IWILL България
ClawFirewallOPNsenseZenarmorAI FirewallVLANDIYN1241

ClawFirewall DIY: Как да изградите AI Firewall с OPNsense и Zenarmor

IWILL България18 мин четене

Въведение

Стартирате локални AI модели като Ollama или LM Studio? Използвате облачни API-та от OpenAI или Anthropic? Вашата AI инфраструктура се нуждае от истинска мрежова изолация.

Повечето домашни и малки офис setup-и стартират AI натоварвания зад обикновен ISP рутер с:

  • Без VLAN изолация
  • Без deep packet inspection
  • Без egress filtering
  • Ollama слуша на порт 11434 без автентикация

Това ръководство показва как да изградите ClawFirewall — истински AI Firewall с IWILL N1241, OPNsense и Zenarmor — за около 60 минути.

Какво ще получите:

  • 4 изолирани мрежови зони (WAN, LAN, AI_LAB, IOT)
  • AI-powered deep packet inspection (Zenarmor)
  • Cloud threat intelligence в реално време
  • Egress filtering за whitelist на облачни AI API-та
  • Всичко за ~275€ хардуер

Хардуерни изисквания

IWILL N1241 спецификации

КомпонентСпецификация
CPUIntel N100 (4C/4T, 3.4GHz, AES-NI)
RAM8GB DDR4 мин. (16GB препоръчително)
Съхранение128GB SSD мин.
Мрежа4× Intel i226-V 2.5GbE
Консумация<15W, безвентилаторен
Размери144 × 136.7 × 42 mm
Тегло0.79 kg

Защо N1241?

  • 4 физически NIC-а = истинска VLAN изолация без managed switch
  • Intel i226-V = отлична FreeBSD/OPNsense поддръжка
  • AES-NI = VPN криптиране на пълна скорост
  • Безвентилаторен = безшумна 24/7 работа

Допълнителни материали

  • USB флашка (4GB+) за OPNsense инсталатора
  • 2× Ethernet кабела (минимум)
  • Монитор + клавиатура (само за началната инсталация)
  • Компютър за изтегляне и записване на образа

Мрежова архитектура

ИнтернетЗаплахи + AI APIISP РутерNAT/DHCPWAN (Порт 1)🛡IWILL N1241 ClawFirewallOPNsense + Zenarmor4× 2.5G LAN | Intel N100 | <15WVLAN Isolation • Egress Filtering • AI DPI • Cloud Threat IntelПорт 2 (LAN)Порт 3 (AI_LAB)Порт 4 (IOT)Доверена мрежа (LAN)192.168.1.0/24Лаптоп • NAS • ПринтерAI_LAB (VLAN 20)192.168.20.0/24Ollama • OpenClaw • LM StudioIOT (VLAN 30)192.168.30.0/24Камери • Сензори • Smart устройства🚫🚫

Матрица на достъпа:

От / КъмИнтернетLANAI_LABIOT
LAN
AI_LAB
IOT⚠️*

* IOT: Само DNS + HTTPS (за firmware актуализации)

Фаза 1: Създаване на стартиращ USB (5 минути)

Изтеглете OPNsense

  1. Отидете на opnsense.org/download
  2. Изберете: Architecture: amd64, Image type: vga
  3. Изтеглете .img.bz2 файла (~400MB)

Запишете на USB

Windows (с Rufus):

  1. Разархивирайте .img.bz2 с 7-Zip → получавате .img файл
  2. Изтеглете Rufus от rufus.ie
  3. Поставете USB, отворете Rufus
  4. Device: вашето USB, Boot selection: SELECT → изберете .img файла
  5. Натиснете START и изчакайте

Linux / macOS:

# Разархивиране

bunzip2 OPNsense-24.7-vga-amd64.img.bz2

# Намерете USB устройството

lsblk   # Linux

diskutil list   # macOS

# Запишете (заменете sdX с вашето устройство!)

sudo dd if=OPNsense-24.7-vga-amd64.img of=/dev/sdX bs=4M status=progress

sync

⚠️ Внимание: Проверете целевото устройство. dd ще презапише без потвърждение.

Фаза 2: Инсталиране на OPNsense (15 минути)

Свързване на хардуера

N1241 свързвания:

├── Порт 1 → ISP Рутер (WAN)

├── Порт 2 → Вашият лаптоп (за настройка)

├── USB → Стартиращ USB

├── HDMI → Монитор

└── USB → Клавиатура

Стартиране и инсталация

1

Включете N1241

Натиснете F7 при зареждане, ако е нужно, за да изберете USB.

2

Влезте в инсталатора

Потребител: installer, Парола: opnsense

3

Стартирайте инсталацията

Изберете Install (UFS) → Auto (UFS) → Use entire disk → Потвърдете. Изчакайте ~5 мин.

4

Задайте root парола

Изберете сигурна парола. За това ръководство: iwill2024 — сменете в продукция!

5

Завършете инсталацията

Complete Install → Reboot. Извадете USB при рестарт.

След рестарт

OPNsense автоматично разпознава интерфейсите: WAN на igc0 (Порт 1), LAN на igc1 (Порт 2). Стартира DHCP сървър на LAN (192.168.1.0/24). Ще видите конзолното меню с IP присвоявания.

Фаза 3: Уеб конфигурация (10 минути)

Достъп до уеб интерфейса

  1. На лаптопа (свързан към Порт 2) — получавате DHCP IP: 192.168.1.x
  2. Отворете браузър: https://192.168.1.1
  3. Приемете предупреждението за сертификат (self-signed)
  4. Влезте: root / iwill2024

Setup Wizard

1.

General Information

Hostname: ai-firewall, Domain: local, DNS: 1.1.1.1 и 8.8.8.8

2.

Time Server

Timezone: (изберете вашата), NTP: pool.ntp.org

3.

WAN Configuration

Домашни потребители: DHCP. Бизнес статичен IP: Static. ISP с PPPoE: въведете идентификационни данни.

4.

LAN Configuration

Запазете по подразбиране: 192.168.1.1/24

5.

Root Password

Потвърдете или сменете паролата

6.

Reload

Натиснете Reload → Изчакайте рестарт

Фаза 4: Конфигуриране на VLAN-ове (15 минути)

Създаване на VLAN интерфейси

Навигирайте до: Interfaces → Other Types → VLAN

AI_LAB VLAN

  • Parent: igc2 (Порт 3)
  • VLAN tag: 20
  • Description: AI_LAB_VLAN

IOT VLAN

  • Parent: igc3 (Порт 4)
  • VLAN tag: 30
  • Description: IOT_VLAN

Присвояване и конфигурация

Interfaces → Assignments → добавете igc2 (VLAN 20) и igc3 (VLAN 30)

AI_LAB интерфейс (OPT1)

Enable: ✅ • IPv4: Static • Адрес: 192.168.20.1/24

IOT интерфейс (OPT2)

Enable: ✅ • IPv4: Static • Адрес: 192.168.30.1/24

Активиране на DHCP сървъри

Services → DHCPv4

AI_LAB DHCP

Range: 192.168.20.10 – 192.168.20.250

DNS / Gateway: 192.168.20.1

IOT DHCP

Range: 192.168.30.10 – 192.168.30.250

DNS / Gateway: 192.168.30.1

Фаза 5: Инсталиране на Zenarmor (10 минути)

Инсталиране на плъгина

  1. System → Firmware → Plugins
  2. Натиснете Fetch за обновяване на списъка
  3. Потърсете: zenarmor
  4. Намерете os-zenarmor → натиснете +
  5. Изчакайте 2-3 минути за инсталация
  6. Презаредете страницата

⚠️ Важно: НЕ инсталирайте Suricata (os-suricata). Suricata и Zenarmor конфликтуват — и двете използват netmap за прихващане на пакети и не могат да работят едновременно.

Конфигуриране на Zenarmor

Services → Zenarmor → Setup Wizard

Deployment Mode

Изберете Routed Mode

Interfaces

Изберете: WAN, AI_LAB, IOT

Cloud Connection

Регистрирайте се на sunnyvalley.io/signup, копирайте activation key от имейла

Security Policies

Активирайте: Malware Blocking, Botnet Protection, Phishing Prevention, Web Application Control

Стартиране на Zenarmor Engine

  1. На Zenarmor Dashboard, намерете Engine Status (долу вляво)
  2. Натиснете менюто ... (три точки)
  3. Натиснете Start
  4. Включете Start on boot → ON
  5. Изчакайте 30 сек., презаредете страницата
  6. Проверете: Status показва Running

Фаза 6: Firewall правила (10 минути)

AI_LAB правила

Firewall → Rules → AI_LAB

Правило 1: Блокирай достъп до LAN

Action: Block | Source: AI_LAB net | Destination: LAN net

Правило 2: Разреши интернет

Action: Pass | Source: AI_LAB net | Destination: any

⚠️ Редът е важен: Block правилото ТРЯБВА да е НАД allow правилото.

IOT правила

Firewall → Rules → IOT

Block: Блокирай LAN

Source: IOT net | Destination: LAN net

Block: Блокирай AI_LAB

Source: IOT net | Destination: AI_LAB net

Pass: Разреши DNS

Protocol: TCP/UDP | Destination Port: 53

Pass: Разреши HTTPS

Protocol: TCP | Destination Port: 443 (за firmware актуализации)

Фаза 7: Тестване (5 минути)

Тест 1: Интернет

ping 8.8.8.8

ping google.com

✅ И двата трябва да работят

Тест 2: Zenarmor

Services → Zenarmor → Dashboard

  • Engine Status: Running
  • Cloud Threat Intel: UP
  • Traffic графики: активни

Тест 3: VLAN изолация

Свържете устройство към Порт 3:

# Работи

ping 8.8.8.8

# БЛОКИРАН

ping 192.168.1.1

✅ Ако ping до 192.168.1.1 е неуспешен — изолацията работи

Опционално: Whitelist за облачни AI API-та

За хибридни AI setup-и (локални + облачни API-та), ограничете AI_LAB зоната само до одобрени облачни endpoints.

Създайте Alias

Firewall → Aliases → +

Name: Allowed_AI_APIs | Type: Host(s)

api.openai.com

api.anthropic.com

generativelanguage.googleapis.com

api.mistral.ai

api.cohere.ai

Промяна на AI_LAB правилата

Firewall → Rules → AI_LAB

Ново правило (преди “Allow AI internet”):

Action: Pass | Source: AI_LAB net | Destination: Allowed_AI_APIs | Port: 443

Промяна на “Allow AI internet”:

Сменете Action на: Block (или изтрийте и разчитайте на default deny)

Сега AI_LAB може да достигне само одобрените облачни AI API-та.

Бърза справка

Присвояване на портове

ПортИнтерфейсПодмрежаЦел
1WANDHCPИнтернет
2LAN192.168.1.0/24Доверени устройства
3AI_LAB192.168.20.0/24AI инфраструктура
4IOT192.168.30.0/24Smart устройства

Важни данни

Уеб интерфейс

https://192.168.1.1

OPNsense

opnsense.org

Zenarmor

sunnyvalley.io

N1241 продукт

iwill.bg/products/n1241

Отстраняване на проблеми

Не мога да достъпя уеб интерфейса

От конзолата изберете Option 4 за нулиране на root паролата.

Zenarmor не стартира ("Device busy")

Означава, че Suricata също е инсталиран. Премахнете го: System → Firmware → Plugins → os-suricata → Delete

Няма интернет на WAN

1) Проверете кабелната връзка към ISP рутера. 2) Interfaces → WAN → Проверете DHCP или правилни настройки. 3) Diagnostics → Ping → Тест 8.8.8.8

VLAN-овете не получават IP адреси

1) Проверете че VLAN интерфейсът е enabled. 2) Проверете че DHCP сървърът е активиран. 3) Уверете се, че кабелът е в правилния порт.

Заключение

Вече имате професионален ClawFirewall, защитаващ инфраструктурата ви:

  • 4 изолирани мрежови зони
  • AI-powered откриване на заплахи (Zenarmor)
  • Cloud threat intelligence
  • VLAN изолация за AI натоварвания
  • Ограничена IoT мрежа
~275€Обща цена
~60 минутиИнвестирано време
Enterprise-gradeНиво на сигурност

Следващи стъпки

  1. Backup на конфигурацията: System → Configuration → Backups → Download
  2. Активиране на 2FA: System → Access → Users → Edit root → Add OTP
  3. VPN настройка: VPN → WireGuard (за отдалечен достъп)
  4. Седмични актуализации: System → Firmware → проверявайте всяка седмица

Нуждаете се от помощ? IWILL предлага предварително конфигурирани устройства и абонаменти за поддръжка. Вижте нашите Pre-Configured и Premium пакети.

Готови ли сте да тествате?

IWILL предлага възможност за Proof of Concept (PoC) тестване за български системни интегратори.

Свържете се с нас за PoC

Кошница

Кошницата е празна