Quando você instala o OPNsense em um ambiente com apenas uma interface de rede (WAN), o sistema inicializa em modo texto e não configura automaticamente o acesso ao GUI (Interface Gráfica) pela WAN. Isso acontece porque o OPNsense não sabe qual interface usar para o acesso ao painel de administração. No entanto, é possível configurar o OPNsense para permitir o acesso ao GUI através da interface WAN, mesmo com uma única placa de rede. Vamos aprender como fazer isso, tanto via GUI quanto via linha de comando (shell).
Passos para Habilitar o Acesso ao GUI pela WAN com Uma Única Interface
- Acesso ao Console Local (Modo Texto)
Ao inicializar o OPNsense, você verá uma tela de texto com as opções para configuração do sistema. Como a instalação foi feita com uma única interface de rede (WAN), o OPNsense estará no modo texto e não terá o GUI acessível ainda. Conecte-se ao OPNsense via console físico ou por meio de um acesso remoto (caso esteja usando um servidor virtualizado). - Configuração da Interface WAN
No console de texto, selecione a opção para configurar as interfaces de rede. A interface WAN será a única disponível, então selecione essa interface para configurar. Você precisará atribuir um endereço IP válido para a interface WAN. Isso pode ser feito de duas formas: DHCP, onde o OPNsense tentará obter um endereço automaticamente, ou Estático, configurando um endereço IP fixo para sua interface WAN. - Habilitar o Acesso ao GUI pela WAN
Com o endereço IP configurado, o próximo passo é editar a configuração do OPNsense para permitir o acesso ao GUI pela interface WAN. Execute o seguinte comando no console para editar o arquivo de configuração:
Se vocë ainda tem dúvidas de como usar o VI, leia este post aqui.
vi /conf/config.xmlEncontre a seção <webgui> no arquivo e altere as configurações para que o OPNsense permita o acesso pela interface WAN. As configurações devem ser semelhantes a esta:
<webgui>
<interface>wan</interface>
<protocol>https</protocol>
<ssl>false</ssl>
</webgui>interface: Defina como wan, indicando que o GUI estará disponível na interface WAN.
protocol: Configure como https para garantir uma comunicação segura.
ssl: Se você tiver um certificado SSL configurado, deixe como true. Caso contrário, deixe como false, e considere configurar um certificado mais tarde.
- Configuração do Firewall para Permitir Acesso ao GUI
Para garantir que o tráfego da WAN para o GUI seja permitido, você precisa criar uma regra no firewall do OPNsense. No shell, para editar as regras de firewall manualmente, execute:
vi /usr/local/etc/filter/pf.confAdicione uma regra que permita o tráfego TCP na porta 443 (para HTTPS). A linha será parecida com esta:
pass in proto tcp from any to any port 443Se quiser restringir o acesso, altere para algo como:
pass in proto tcp from <ip_permitido> to any port 443Após editar as regras, recarregue as configurações do firewall com os seguintes comandos:
pfctl -f /usr/local/etc/filter/pf.conf
pfctl -eSe preferir, você pode usar os scripts internos do OPNsense para aplicar as regras diretamente sem editar os arquivos manualmente. Execute o comando:
/usr/local/opnsense/scripts/OPNsense/Firewall/rules.py
- Reiniciar o OPNsense
Após fazer as alterações, reinicie o OPNsense para aplicar as configurações:
reboot- Acessando o GUI Pela WAN
Agora, a interface WAN está configurada para aceitar conexões ao GUI. A partir de um dispositivo externo, tente acessar o GUI usando o IP atribuído à interface WAN:
https://<ip-da-interface-wan>Considerações de Segurança
Embora a configuração do acesso ao GUI pela WAN seja útil, ela traz alguns riscos de segurança. É fundamental tomar precauções para proteger seu sistema.
Primeiro, use regras de firewall adicionais para permitir o acesso ao GUI apenas de IPs específicos ou de uma rede confiável. Além disso, certifique-se de usar HTTPS para acessar o GUI, garantindo que as comunicações sejam criptografadas. Considere instalar um certificado SSL válido para evitar avisos de segurança nos navegadores. Garanta também que as credenciais de acesso ao OPNsense sejam seguras e complexas, para evitar tentativas de acesso não autorizadas. E, claro, mantenha o OPNsense sempre atualizado para proteger contra vulnerabilidades de segurança conhecidas.
Conclusão
Configurar o acesso ao GUI do OPNsense pela WAN com apenas uma interface de rede é uma solução prática para ambientes limitados em hardware, mas exige cuidados com a segurança. Ao seguir os passos descritos acima, você poderá gerenciar seu OPNsense de forma remota, com o acesso diretamente pela interface WAN. Contudo, sempre tome medidas adicionais de segurança para proteger seu sistema contra acessos não autorizados.