Knowledge base

Hardware

Nach 7 Jahren war es an der Zeit eine alternative zu meinem Nighthawk R7000 Router (Linksys) zu suchen. Zwar gibt es immer noch updates für das dd-wrt OS, aber als ich Filterregeln (iptables) erstellte war bei ca. 1500 Regeln Schluss.

Mit dem apu4d4 habe ich eine gute alternative auf pcengines.ch gefunden. Das System wird passiv gekühlt und ist so leise das es im Wohnzimmer problemlos betrieben werden kann:

CPU: AMD Embedded G series GX-412TC, 1 GHz quad Jaguar core with 64 bit and AES-NI support, 
32K data + 32K instruction cache per core, shared 2MB L2 cache. 

Link zum Gerät: apu4d4

Gerät zusammenbauen

Die Hardware wird in Einzelteile geliefert. Der Zusammenbau ist aber sehr einfach:

• 1 Kreditkarten grosser Kleber wird an das Gehäuse befestigt. (Rahmen wird mitgeliefert)
• Auf die CPU wird ein Briefmarkengrosses Kühlpflaster geklebt
• Vom Board wird der RS232 Schrauben entfernt
• Das Board wird in das Gehäuse geschoben
• Mit den 4 Schrauben wird das Board an das Gehäuse geschraubt.
• Die RS232 Schrauben werden reingeschraubt
• Das Gehäuse wird geschlossen und verschraubt.

Opnsense

OPNsense ist eine auf dem Betriebssystem FreeBSD basierende Open-Source-Firewall-Distribution. Sie ist unter der BSD-Lizenz frei verfügbar. Die Software hat sich aus einer Abspaltung von pfSense entwickelt. OPNsense bietet einen grossen Funktionsumfang, hat ein stabiles GUI und lässt sich mittels REST-API Teilweise automatisierren. Der Clou, die Einstellungen können in ein GIT-Repository eingecheckt werden.

OS-Installation Vorbereitung

Das Betriebsystem wird mittels USB-Stick und einem RS232 Kabel installiert. Das OS-Build kann man von der Opnsense direkt herunterladen:

• System architecture: Amd64
• Type: Serial
• Url: https://opnsense.org/download/

Die Datei wird entpackt und die Datei mittels einem Tool z.b. Win32DiskImager auf den USB-Stick geschrieben.

Interfaces

Die Nummerierung fängt bei der Serien Schnittstelle an. Die WAN Schnittstelle lege ich auf die 0:

• [x] igb0 WAN
• [x] igb1 LAN
• [  ] igb2 LAN
• [  ] igb3 LAN

Der USB-232 Kabel wird mit 115200 (Data: 8, Stop: 1, Parity none, Flow Control none) verbunden

Opnsense Installation

Nach dem einstecken des Stromsteckers bootet das System automatisch. Man drückt im Terminal-Fenster die Taste [F10] und wählt die USB-Stick.

Jetzt wird das Interface eingerichtet

Press any key to start the manual interface assignment: 4
Do you want to configure LAGGs now? [y/N]: N
Do you want to configure VLANs now? [y/N]: N

Valid interfaces are:

igb0             00:0d:b9:5f:a7:4c Intel(R) I211 (Copper)
igb1             00:0d:b9:5f:a7:4d Intel(R) I211 (Copper)
igb2             00:0d:b9:5f:a7:4e Intel(R) I211 (Copper)
igb3             00:0d:b9:5f:a7:4f Intel(R) I211 (Copper)

If you do not know the names of your interfaces, you may choose to use
auto-detection. In that case, disconnect all interfaces now before
hitting 'a' to initiate auto detection.

Enter the WAN interface name or 'a' for auto-detection: igb0

Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): igb1

Enter the Optional interface 1 name or 'a' for auto-detection
(or nothing if finished):

The interfaces will be assigned as follows:

WAN  -> igb0
LAN  -> igb1

Do you want to proceed? [y/N]: y


WAN  -> igb0
LAN  -> igb1

Do you want to proceed? [y/N]: y
done.

Zum Login-Prompt tippt man als Benutzer "installer" und das Passwort "password" ein.

• Keyboard-Map: Swiss-Germain
• Dateisystem: UFS
• Disk: SSD
• SWAP 8 GB: yes

Zum Schluss bestätigt man die Eingabe und der Installer läuft.

Nach der Installation sollte man gleich das root Passwort ändern und Dokumentieren.

Nach dem Reboot kann man den Stick entfernen und über den Browser aufrufen:

Tipp: Nicht vergessen die Firmware auf den aktuellen Stand anzuheben.

• https://pcengines.github.io/
• apu4_v4.16.0.2.rom