In een vorig artikel bespraken we de installatie van router-firewall OPNsense, waarmee je inbrekers buiten de deuren van je systeem houdt. Nu gaan we wat dieper in op de mogelijkheden van dit veelzijdige besturingssysteem.

Toegang via ssh en seriële console

De webinterface is niet de enige manier om toegang te krijgen tot OPNsense. Op de pagina System / Settings / Administration vind je de instellingen voor de drie manieren: web, ssh en seriële console. Bij de eerste kun je bijvoorbeeld een ssl-certificaat instellen, dat je eerst in System / Trust Certificates dient aan te maken. Onder Console staan de instellingen voor de seriële console, waartoe je via een seriële (usb-)kabel en een terminalprogramma zoals PuTTY toegang krijgt. Handig als je door verkeerde netwerkinstellingen jezelf hebt buitengesloten uit je OPNsense-machine.

De ssh-toegang staat standaard uitgeschakeld. Vink Enable Secure Shell aan om de ssh-server te starten. Eventueel vink je Permit root use login en Permit password login aan, maar het is eerder aan te raden om in System / Access / Users een gebruiker aan te maken en daar bij Authorized keys de publieke sleutel van de gebruiker te plakken.

Websites blokkeren

Met OPNsense kun je ook eenvoudig zelf websites of andere netwerktoegangen blokkeren. Dat doe je door je eigen regels toe te voegen in het tabblad User defined van het IPS. Klik op het plusteken rechts en vul bij Source IP het ip-adres in van de machine die geen toegang tot de website mag hebben (laat leeg voor alle machines). Bij Destination IP vul je het ip-adres van de website in.

Handig is dat je hier ook de vingerafdruk van het certificaat van een website kunt invoeren. Wil je bijvoorbeeld de toegang tot Facebook blokkeren, klik dan in je webbrowser op de eigenschappen van het certificaat van Facebook en kopieer de sha1-vingerafdruk. Plak die in het veld SSL/Fingerprint en stel Action in op Drop. Klik op Save changes om je regel toe te voegen. Daarna moet je wel eerst de browsercache van je computers legen, zodat ze opnieuw het certificaat van Facebook downloaden en OPNsense de website blokkeert.

©PXimport

Dns over tls

Je kunt ook dns over tls inschakelen voor je hele netwerk. OPNsense schakelt standaard de dns-server Unbound (ontwikkeld door NLnet Labs) in en geeft via dhcp het ip-adres van zichzelf als dns-server door aan de computers op je netwerk. Die gebruiken daardoor allemaal Unbound om domeinen op te vragen.

Als je op je OPNsense-machine via ssh inlogt en dan het netwerkverkeer op je wan-poort afluistert, bijvoorbeeld met de onderstaande opdracht (met igb1 voor je wan-interface), zie je alle dns-aanvragen onversleuteld voorbijkomen:

Daar gaan we nu iets aan doen. Ga naar Services / Unbound DNS / General en klik op Show advanced options. In het tekstveld Custom options dat nu verschijnt, kun je regels aan het configuratiebestand van Unbound toevoegen. Als je bijvoorbeeld de DoT-provider dns.sb wilt gebruiken, vul hier dan het volgende in:

Klik daarna onderaan op Save om je wijzigingen op te slaan en bovenaan op Apply changes om ze door te voeren. En als je nu weer met tcpdump het netwerkverkeer op udp-poort 53 afluistert, zie je normaal gesproken niets voorbijkomen.

Dns-verkeer omleiden

Met de opdracht

853 zie je wel het verkeer naar de DoT-server, maar dat is versleuteld. Let op: de aanvragen van de computers op je netwerk naar je OPNsense-machine zijn nog onversleuteld, het is alleen het doorsturen van de aanvragen van je OPNsense-machine naar internet dat via de DoT-server gaat. Dat kun je eenvoudig controleren (met igb0 voor je lan-interface):

Zo kun je nog altijd de dns-aanvragen van computers in je netwerk onversleuteld op de lan-interface zien binnenkomen.

Om nu zeker te zijn dat alle dns-verkeer via de ingestelde DoT-server gaat, dien je de netwerkconfiguratie in System / Settings / General na te kijken. Zorg dat er bij DNS servers niets ingevuld staat en dat Allow DNS server list to be overridden by DHCP/PPP on WAN en Do not use the local DNS service as a nameserver for this system niet aangevinkt zijn. Controleer daarna met de opdracht

op je OPNsense-machine of alleen 127.0.0.1 als dns-server ingeschakeld staat.

©PXimport

Advertenties blokkeren

Het IPS blokkeert bedreigingen op basis van regels, maar je kunt nog veel eenvoudiger via dns allerlei domeinen blokkeren, bijvoorbeeld voor advertenties en malware. Dat doe je met een dns-blocklist (vaak afgekort tot dnsbl). OPNsense biedt standaard die mogelijkheid niet via de webinterface, maar er bestaat een extra plug-in die je het wel op een relatief eenvoudige manier laat configureren: UnboundBL.

Op het moment van schrijven zat UnboundBL nog niet in de officiële lijst met plug-ins. Log daarom eerst als root in op je OPNsense-machine en voer de volgende opdracht uit om de tools te installeren die nodig zijn om plug-ins te compileren:

Download dan de recentste versie van UnboundBL:

Ga dan naar de zojuist gedownloade directory, compileer de plug-in en installeer ze:

Die laatste regel is nodig omdat de installatie de scripts van UnboundBL door een fout niet uitvoerbaar maakt. Op het moment dat je dit leest, is de fout misschien al opgelost.

De instellingen van UnboundBL vind je nu onder Services / Unbound DNS / DNSBL. Vink Enable aan en vul in het tekstveld Blocklist URL(s) een url in van een blocklist. Op The Big Blocklist Collection vind je er heel wat. Andere populaire lijsten zijn die van Steven Black en zelf hebben we goede ervaringen met die van de Nederlander sjhgvr.

Ga daarna naar Services / Unbound DNS / General en voeg in het tekstveld Custom options (alleen te zien als je Show advanced options ingeschakeld hebt) de volgende regel toe:

Klik daarna op Save en Apply changes. Elke keer dat je iets aan je zwarte lijst verandert, dien je Unbound te herstarten door in Dashboard bij Unbound rechts op het icoontje met de twee pijltjes in een cirkel te klikken. Let op: het herstarten kan even duren als je een grote blacklist hebt. Vanaf nu worden alle dns-aanvragen naar domeinen die in de zwarte lijst staan geblokkeerd.

Het enige wat je nog dient te doen, is regelmatig je blacklist bijwerken door in de instellingen van UnboundBL op Save te klikken en Unbound te herstarten. Overigens kun je hier ook domeinen die onterecht geblokkeerd worden aan een whitelist toevoegen.

Plug-ins in OPNsense

Het is mogelijk om in OPNsense plug-ins te installeren om de functionaliteit uit te breiden. Je vindt de lijst in het menu System / Firmware / Plugins. Zo vind je er plug-ins om tls-certificaten op te halen met Let’s Encrypt, om webpagina’s te cachen, om binnenkomende bestanden te scannen op virussen, om je verbindingssnelheid te testen, om je netwerkverkeer te monitoren, om machines te wekken via Wake-on-lan, en ook enkele thema’s voor de webinterface.

©PXimport

Met een klik op het icoontje met de letter i rechts van een plug-in krijg je wat meer informatie. Een klik op het plusteken installeert de plug-in. Sommige plug-ins zijn na installatie bereikbaar in een van de submenu’s van OPNsense; andere werken puur op de opdrachtregel of starten een webinterface op een eigen poort op.

Let er wel mee op dat je niet te veel plug-ins installeert: als je immers onbetrouwbare, kwetsbare of voor je hardware te zware software installeert, heeft dit een grote impact op je netwerk.

Monitor je netwerkverkeer met ntopng

De ingebouwde monitoringmogelijkheden van OPNsense tot slot zijn al niet slecht, maar je kunt dit nog uitbreiden met enkele plug-ins. Een interessante is ntopng. Als je na de installatie van ntopng en redis (nodig voor ntopng) de pagina herlaadt, vind je onder het menu Services nieuwe submenu’s: Ntopng en Redis. Schakel eerst Redis in (de standaardinstellingen zijn oké) en daarna Ntopng (ook hier zijn de standaardinstellingen in orde). Log daarna via je webbrowser in op poort 3000 van het ip-adres van je OPNsense-machine met gebruiker admin en wachtwoord admin.

De eerste keer dat je je aanmeldt, wordt je gevraagd om je wachtwoord te veranderen. De interface van ntopng ziet er wat gedateerd uit, maar biedt je een ongelooflijk inzicht in je netwerk en op elke pagina kun je doorklikken om je zoektocht te filteren.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Deze zomer klussen? Goed gereedschap is dan onontbeerlijk. Ee digitale waterpas bijvoorbeeld, ook wel kruislijnlaser genoemd. Dankzij een duidelijke lijn van laserlicht kun je alles mooi waterpas ophangen, zetten of plaatsen.

Een digitale waterpas met laser, ook wel kruislijnlaser genoemd, helpt je om alles perfect recht of waterpas te krijgen, bijvoorbeeld bij het ophangen van een schilderij, het plaatsen van een plank of het tegelen van een muur. De ingebouwde laser projecteert een strakke lijn op de muur, zodat je grotere afstanden gemakkelijk kunt uitlijnen zonder steeds opnieuw te hoeven meten. Handig bij het klussen, verbouwen of inrichten van je huis! Wij vonden vijf betaalbare kruislijnlasers.

Kapro Prolaser 862GS

Deze Kapro Prolaser 862GS verrast met een opvallend groen laserlijn die beter zichtbaar is in fel licht, perfect voor binnen én buiten gebruik. Hij werkt tot zo’n 20 m met indrukwekkende nauwkeurigheid van ± 0,2 mm/m en een zelfnivelleringsbereik van ± 3°. Je krijgt er zelfs een mini‑statief bij, waardoor je meteen aan de slag kunt. Compact, lichtgewicht – maar gebouwd om te presteren onder uiteenlopende omstandigheden dankzij zijn IP 54‑behuizing en lange batterijduur. Een slimme keuze voor wie zowel gemak als zichtbaarheid wil tijdens precisiewerk.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,4 mm / meter
Automatische correctie: ± 3 °
Lijnzichtbaarheid: 20 meter
Stroombron: 2x AA-batterij

Parkside PKLL 7 D3

De Parkside PKLL 7 D3 is een betaalbare instapper die verrassend veel kan. Hij projecteert kruislijnen met automatische nivellering tot ± 4° en werkt tot ca. 7  meter afstand. Uniek is de mogelijkheid om de lasers onder vaste hoeken te projecteren – handig bij creatief-imaginair werk of wanneer precieze hoeken nodig zijn zonder automatisch corrigerend niveau. Hij is compact, licht en ideaal voor gebruik bij kleine klussen in huis. De nauwkeurigheid van deze kruislijnlaser is met een afwijking van 0,8 mm per meter echter wel iets minder goed, iets om rekening mee te houden.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,8 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 7 meter
Stroombron: 2xAA-batterij

Makita SK105DZ

Deze Makita projecteert heldere rode lijnen tot 25 meter, ideaal voor zowel horizontale als verticale lijnprojectie. Dankzij de zelfnivellerende functie hoef je je nooit druk te maken over scheve hoeken: hij corrigeert automatisch tot zo'n 4° graden. Deze Makita werkt op en afzonderlijk te verkrijgen 12Volt CXT-accu. De nauwkeurigheid van de SK105DZ is met een afwijking van 0,3 mm per meter erg goed.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,3 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 25 meter
Stroombron: Accu

Stanley STHT77502-1 Cross 90

Deze Stanley Cross 90 projecteert naast een horizontale en verticale ook nog een extra verticale lijn op exact 90°, waardoor hij ideaal is voor bijvoorbeeld tegelwerk, vloeren en het netjes uitlijnen van tussenschotten. De automatische nivellering zorgt voor een precieze uitlijning zonder gedoe. Een uitstekende keuze voor wie professioneel resultaat wil zonder poespas.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: ± 4°
Bereik: 12 meter
Stroombron: 2xAA-batterij

Bosch Universal Level 2

De Bosch Universal Level 2 biedt drie handige modi: kruislijnen met automatische nivellering, verticale lijnen met puntenfunctie of een hellingsmodus voor schuine uitlijning. Dankzij de heldere rode laserstraal en de intuïtieve bediening ervaar je snel gemak en nauwkeurigheid. Compleet geleverd inclusief batterijen en opberghoes.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: 4 °
Lijnzichtbaarheid: 10 meter
Stroombron: 3xAA-batterij

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.