Gillar du att fippla med datorer och är sugen på att ge dig på ett lite mer avancerat projekt? Då har jag ett förslag: Bygg en egen router/brandvägg.
Med en router som kör ett mer avancerat operativsystem på kraftfullare hårdvara än vanliga konsumentroutrar öppnas en hel värld av nya möjligheter. Även om det finns en inlärningskurva och kan kännas komplicerat i början blir det faktiskt enklare att göra saker som kanske går med en router från till exempel Asus, men är rejält krångligt.
Operativsystem finns det ett antal att välja mellan, från Openwrt som även går att installera på konsumentroutrar till olika Linux-baserade system som Clear OS och IP Fire till Unix-system som PF Sense och Opnsense.
De två senare verkar mest populära, och jag själv har sedan ett par år en router med Opnsense så för den här guiden har jag valt det systemet.
Anders Lundberg
Varför bygga själv?
För många räcker det att svara: För att det går och för att det är intressant och lärorikt. Men du behöver inte vara motiverad enbart av nyfikenhet. Det finns flera praktiska och tekniska fördelar också.
Har du väl kommit igång och lärt dig grunderna blir det genast mycket lättare att göra saker som att ställa in flera vlan med olika brandväggsregler (för att till exempel hindra smarta hemmet-prylar att komma åt internet), använda dynamisk dns, köra en egen rekursiv dns-server, visa ett välkomstmeddelande när gäster ansluter till det trådlösa nätverket och mycket annat.
Den kanske största fördelen är dock säkerhet. Istället för att förlita dig på att tillverkaren släpper uppdateringar och håller routern säker får du nästan varje vecka nya uppdateringar så att alla delar av systemet har de allra senaste säkerhetsfixarna. Det finns också tillägg som ger nätverket mer avancerat skydd än vad som är normalt i konsumentprodukter.
Hunsn
Välj rätt hårdvara
Du kan återanvända en gammal dator för Opnsense och då är ett eller ett par nätverkskort det enda du normalt behöver införskaffa. Men en sådan dator är oftast onödigt strömslukande och ett stort åbäke som kan vara svårplacerat i hemmet.
Opnsense bygger på Unix-systemet Freebsd. Det innebär att det är lite mer petigt med hårdvaran jämfört med Linux. Framför allt är det nätverkskort som kan vara ett problem. Systemet föredrar och fungerar bäst med Intel-baserade kort, så om du köper nytt kan det vara värt att kontrollera att datorn du väljer har nätverkskretsar från Intel.
En mini-pc med två ethernetkontakter kan vara ett bättre val, och faktum är att det säljs datorer designade just för att användas med Opnsense eller PF Sense. Amazon säljer till exempel den här modellen från Hunsn som kostar strax över 3 000 kronor och har Intel-nätverkskretsar. Eftersom minne är billigt rekommenderar jag 16 gigabyte från start och minst 128 gigabyte ssd.
Utöver routerdatorn rekommenderar jag starkt en managed switch för att ansluta till exempel din gamla router som du kan ställa in att fungera som accesspunkt istället för router, det vill säga enbart för wifi. Den behövs också om du vill börja använda virtuella nätverk (vlan).
Installera Opnsense
Börja med att ladda ned den senaste versionen av Opnsense (klicka direkt på Download-knappen med de förvalda alternativen). Ladda även ned och installera Balena Etcher, ett enkelt program för att skriva .iso- och .img-filer till usb-minnen.
Foundry
Packa upp den nedladdade .bz2-filen så att du får en .img-fil. Anslut ett usb-minne, starta Etcher, klicka på Flash from file och välj den filen. Välj ditt usb-minne som mål och klicka sedan på Flash.
När det är klart kan du mata ut usb-minnet och ansluta det till router-datorn, till vilken du till att börja med behöver ha en skärm och tangentbord anslutna. Starta datorn från usb-minnet via startmenyn eller bios.
Foundry
Systemet startar med enbart text, som kommer skrolla förbi en stund. När den är klar kommer du till en inloggningsprompt. Skriv in användarnamn installer och lösenord opnsense. Nu startar installationsprogrammet.
Foundry
Välj språk på tangentbordet och gå vidare. Välj Install (ZFS) som numera är den normalt rekommenderade metoden. Välj Stripe och använd sedan mellanslag för att markera ssd:n som mål. Gå vidare och godkänn så formaterar den disken och kopierar alla filer. När den är klar kan du välja Complete Install (du kan ändra root-lösenord enklare i nästa steg).
Grundinställningar
När routerdatorn startar om kan du ta ut usb-minnet och låta den starta från ssd:n. Precis som tidigare kommer en massa text skrolla förbi under uppstarten, tills du når fram till inloggningsprompten.
Jag rekommenderar att du börjar med att ändra adress på LAN-gränssnittet, så att Opnsense inte bråkar med din gamla router om du vill vara ansluten till båda samtidigt innan du är redo att flytta över internetanslutningen till Opnsense.
Foundry
Logga in med användarnamnet root och lösenordet opnsense. Tryck 2 för att ändra ip-adress. Tryck på rätt siffra för LAN (normalt 1). Tryck retur för att välja att inte använda dhcp. Fyll i en passande adress, till exempel 10.1.1.1 och sedan 24 för att hålla dig till adresser i formatet 10.1.1.x. På resten av frågorna kan du trycka retur för att godkänna det förvalda alternativet.
Innan du kan göra något mer behöver du koppla ihop Opnsense-maskinen och din vanliga dator med nätverkskabel, antingen direkt eller via en switch.
Öppna Inställningar på din vanliga dator och gå till Nätverk och Internet -> Ethernet. Du ska ha en adress i samma format som Opnsense (till exempel 10.1.1.2), med den adress du valde nyss som gateway och mask 255.255.255.0. Om det inte har dykt upp av sig själv kan du klicka på Redigera till höger om ip-tilldelning och fylla i själv.
Öppna därefter en webbläsare och skriv in 10.1.1.1 så ska du förhoppningsvis få upp en säkerhetsvarning om ogiltigt certifikat, som du får klicka dig förbi för att komma till Opnsense webbgränssnitt. Användarnamnet är root och standardlösenordet opnsense.
Foundry
Du kommer nu till Opnsense guidade grundinställningar. Det första du ska göra är dns-inställningar. Här rekommenderar jag att du lämnar fälten för dns-servrar tomma, kryssar ur Override DNS och kryssar i de tre rutorna under Unbound DNS.
Resterande steg kan du klicka dig förbi tills du kommer till en fråga om att ändra lösenord för root-kontot. Välj ett nytt säkert lösenord och skriv ner det.
Kom ut på internet
För att Opnsense ska komma åt internet och fungera som router/brandvägg behöver du ansluta en ethernetkabel till. Du kan antingen ta kabeln från bredbandsuttaget till din gamla router och istället ansluta den till Opnsense. Alternativt kan du ansluta till en kontakt i den gamla routern eller en switch om du har en, men det blir lite krångligare.
Om du har vanligt bredband via fiber som ansluter med dhcp så ska Opnsense automatiskt ansluta och få en extern ip. Det kan du kontrollera genom att välja Interfaces -> Overview i webbgränssnittet.
Foundry
Om WAN har fått en adress kan du testa att allt fungerar genom att söka efter uppdateringar. Välj System -> Firmware -> Status och klicka på Check for updates. Fungerar det är det ett bra tillfälle att installera de första av många kommande uppdateringar.
Testa sedan att gå till någon webbplats i din vanliga dator. Om även det fungerar har du en fungerande Opnsense-router. Övriga inställningar i systemet kan du tills vidare lämna som de är – systemet har inga osäkra standardalternativ.
Foundry
Lär dig gränssnittet och förstå dig på brandväggen
Opnsense webbgränssnitt är uppbyggt på ett lite annat sätt än de flesta routrar. Till vänster finns en hierarkisk meny där du hittar alla inställningar, uppdelat i olika kategorier. Längst upp till höger finns även ett sökfält som fungerar riktigt bra för att hitta till inställningar långt ner i hierarkierna.
System-menyn har framför allt inställningar för själva Opnsense, men även uppdateringar och installation av pluginer – en viktig funktion när du vill börja bygga ut routern med smarta funktioner.
Interfaces handlar om de olika nätverksgränssnitten, normalt LAN och WAN men här hittar du även vlan, pppoe om internetoperatören kräver inloggning och gränssnitt för vpn-server.
Firewall handlar så klart om regler för att blockera och tillåta trafik, men också om port forwarding. Under Aliases kan du skapa alias för till exempel enskilda enheter så att de blir enklare att använda i brandväggsregler.
VPN-menyn är till för både vpn-servrar för anslutning utifrån till ditt lokala nätverk och för att ansluta hela nätverket till en extern vpn-tjänst.
Services är en samlingsmeny för andra inbyggda funktioner som dhcp och dns (Unbound) och även funktioner från installerade pluginer.
Vlan utan internet för smarta hemmet
Ett vanligt användningsområde för en mer avancerad router som Opnsense är att placera vissa anslutna enheter på ett separat nätverk med andra brandväggsregler. Exempelvis ett nätverk för smarta hemmet-prylar som inte har tillgång till internet och begränsad tillgång till det övriga nätverket.
Foundry
För att göra det, börja med att öppna Interfaces -> Other Types -> VLAN. Klicka på plusknappen för att skapa ett nytt vlan. Ge det ett kort namn, till exempel SMART och fyll i ett nummer för VLAN tag mellan 1 och 4094, jag brukar välja ett tiotal, till exempel 10. Spara.
Flundry
Gå nu till Interfaces -> Assignments och fyll i samma namn under Description för det nya gränssnittet. Klicka Add.
Foundry
Klicka nu på Interfaces -> [SMART] och kryssa i Enable Interface och Prevent interface removal. Välj Static IPv4 under IPv4 Configuration Type. Skrolla ned till botten och fyll i en passande ip-adress samt välj 24 istället för 32 till höger om adressen. Om du har valt att ge det vanliga nätverket adressen 10.1.1.1 kan du välja 10.1.10.1 till vlan-nätet (jag brukar använda samma siffra i tredje gruppen som vlan-taggen, så ett gästnätverk med taggen 20 får adressen 10.1.20.1 och så vidare). Spara och applicera ändringarna.
Foundry
Gå till Services -> ISC DHCPv4 -> [SMART]. Kryssa i Enable DHCP server… och fyll i ett adressområde, till exempel 10.1.10.100-10.1.10.254 (jag brukar lämna adresser under 100 för enheter som ska ha en fast ip-adress). Spara och applicera ändringarna.
Om du tittar i Firewall -> Rules -> SMART ser du att det inte finns några regler, vilket innebär att all trafik stoppas. Tittar du på reglerna för LAN ser du att Opnsense automatiskt har lagt till regler för att släppa igenom all trafik som härstammar på det nätverket. Om du vill tillåta internet för smarta hemmet-prylar måste du alltså skapa en regel för det.
Foundry
För att faktiskt använda och ansluta prylar till vlan-nätverket behöver du en managed switch. I inställningarna för den kan du aktivera vlan-taggning för en eller flera ethernetkontakter, och prylar du ansluter till dessa kontakter kommer då bara att ”se” vlan-nätverket. På bilden intill kan du se hur det ser ut med en switch från Unifi – andra tillverkare som D-Link och TP-Link har liknande inställningar. Om din Opnsense-maskin har fler nätverkskontakter kan du ”tagga” dessa och använda istället.
Behöver du hjälp?
Om du kör fast någonstans finns många resurser att ta hjälp av. Bloggen Home Network Guy har flera guider om Opnsense, om allt från installation till mer avancerade ämnen som vlan. Den har även en mycket bra Youtube-kanal som jag varmt rekommenderar. På Reddit finns hjälp att få i flera grupper, till exempel r/opnsense och r/homelab.
Foundry
Tips: Virtuell router
Om du vill prova på Opnsense och se hur gränssnittet känns kan du göra det i en virtuell maskin istället för på en fysisk dator. Det kan du göra med till exempel Virtualbox direkt i Windows, bara för att bekanta dig med gränssnittet och hur du ställer in olika saker. Det går också att köra systemet så mer permanent på en serverdator med Linux, vanligen varianten Proxmox. Home Network Guy har en bra guide till det.