Wahrscheinlich mache ich jetzt "ein Fass auf", aber ich frage trotzdem mal - und zwar im vollen Bewusstein, dass es "die" Lösung vermutlich nicht gibt:
Betreibe ich meine OPNsense lieber als (VirtualBox-)VM, oder kaufe ich besser eine Appliance?
Wenn mein Host ein problem hat, startet auch die OPNsense nicht mehr, das ist mir klar, und deshalb schiele ich auf eine Appliance. Aber wenn ich mich "verkonfiguriere" oder (gibt es das überhaupt?) eine "kaputte Version" installiere, wie kann ich die OPNsense dann wiederbeleben? Bei der VM-Lsöung gehe ich einfach einen Snapshot zurück. geht das auf der Appliance auch? Gibt es dort so etwas wie "Timeshift"?
... und dann zur Praxis: Wenn ich umsteige, kann ich dann "einfach" meine bisherige VM-Konfiguration auf die Appliance bügeln, und es wird laufen? Oder ist die Portierung tückisch?
Vielen Dank für Eure Meinungen! :-*
Moin,
> Wahrscheinlich mache ich jetzt "ein Fass auf", aber ich frage trotzdem mal - und zwar im vollen Bewusstein, dass es "die" Lösung vermutlich nicht gibt:
Exakt. Die "beste" Lösung liegt immer im Auge des Betrachters bzw. in der entsprechenden Umgebung. Das kann für jeden abweichen :) Also Standardantwort der IT: "Es kommt drauf an" ;)
> Wenn mein Host ein problem hat, startet auch die OPNsense nicht mehr, das ist mir klar, und deshalb schiele ich auf eine Appliance. Aber wenn ich mich "verkonfiguriere" oder (gibt es das überhaupt?) eine "kaputte Version" installiere, wie kann ich die OPNsense dann wiederbeleben? Bei der VM-Lsöung gehe ich einfach einen Snapshot zurück. geht das auf der Appliance auch? Gibt es dort so etwas wie "Timeshift"?
Aktuell meine ich - man möge mich korrigieren - dass es so einen Rollback oder Snapshot (zumindest automatisch oder via UI) (noch) nicht gibt. Bei einem Setup mit ZFS könnte man sich das aber durchaus entsprechend zusammenbauen, da ZFS genau das beherrscht via Snapshotting und Boot Environments. Da lohnt es auch mal zum Cousin pfSense zu schielen, die das seit letztem Jahr in der Plus mit drin haben und seit dem März Release diesen Jahres damit das Update Handling umgebaut haben: es wird dann nicht das Live System aktualisiert bei einem Upgrade, sondern erst ein Snapshot mit BE erstellt und dieser dann im Hintergrund aktualisiert. Ist alles fertig, wird einmalig in das neue BE reingebootet und wenn der Bootup sauber durchläuft wird der Snapshot als der neue aktive default bestätigt. Klappt was nicht oder resettet man bootet die Kiste einfach wieder ins alte BE.
Ich vermute aber, dass auf lange Sicht soetwas zumindest mit händischer Checkliste auch in OPNsense angedacht ist und vielleicht dann einen schicken Menüpunkt bekommt, der das dann automatisieren kann.
Ansonsten hast du die Hauptpunkte schon genannt. Setzt du die Firewall auf nen Hypervisor, hast du den kompletten Stack + die HV Hardware + die Netzwerk Geschichte, die potentiell schief gehen kann bis zur Firewall VM. Sprich: die Fehler die passieren können um die Firewall virtuell wegzureißen sind eben ein Vielfaches mehr als bei einer Appliance. Zusätzlich wird dann gern mal vergessen bei nem Hypervisor Update, dass dann kein Internet mehr da ist. Updates wenn Offline werden dann plötzlich schnell schwer. Und wenn man dann noch auf dem "direkte Einwahl"-Zug gesetzt hat mit Modem steht dann nicht mal ein vorgeschalteter Router zur Verfügung an den man sich mal kurz ranhängen kann, um die Sache wieder flott zu bekommen.
Wir haben da im Support schon viel gesehen, was mit HV/VMs zusammenhing. Von HV abgeschossen, Hardware Problem/Unverträglichkeit, Netzwerkkarte als VM bringt keine Performance, dediziertes Durchreichen der NIC macht Ärger, Datastore der VM bricht weg, VM/storage Migration friert die VM ein - dann läuft auch kein Traffic mehr, etc. etc.
Solange das alles im Homelab ist, muss man da einfach abwägen, ob der "alles in einer Box, spare mir Geräte" Ansatz an der Stelle mit den ganzen möglichen Problemen über dem "ich muss noch ne zweite Box bezahlen" Aspekt steht. Wie gesagt - das ist dann einfach Abwägung und ggf. auch Family/sonstige Teilnehmer mit Problem. Ich bin froh über meine TestVMs, aber würde meine HW Boxen nicht hergeben wollen :)
> ... und dann zur Praxis: Wenn ich umsteige, kann ich dann "einfach" meine bisherige VM-Konfiguration auf die Appliance bügeln, und es wird laufen? Oder ist die Portierung tückisch?
Prinzipiell ja. Die Konfiguration noch fix angepasst und das XML umgeschrieben von den alten HW/VM Interfaces zu den neuen der neuen Box, aber wenn man sich da einen kleinen Plan macht, geht das problemlos. Sichern, umschreiben, in neue Box reinladen, fertig.
Cheers
\jens
Als ich anfing, habe ich OPNsense in einer Proxmox VM laufen gehabt. Da kann man sich ohne großen Aufwand mal alles ansehen und testen wie man zurecht kommt. Neue virtuelle Interfaces und Netzwerke sind sind schnell gemacht und so kann man auch komplexe Sachen testen.
Für die Produktion ist das aber gar nichts. An meine VMs und deren Server will ich gerade dann rankommen, wenn alles schief geht. Da kann ich keine VM gebrauchen, die gerade nicht funktioniert und dadurch den Zugriff übers Netz verhindert. Etwas simples wie ein VM-Serverneustart legt das Netzwerk lahm und man kann nur hoffen, das Alles wieder wie gewohnt hochkommt. Bei großen Servern kann das schon mal 5 minuten dauern. Man kann ja nicht mal über IPMI Interfaces dem Fortschritt zusehen. Ja, für diese Situationen gibt es Lösungen, aber dafür braucht es Hardware und dann kann ich auch gleich ne dedizierte Routerhardware hinstellen.
Dedizierte Hardware hat weiterhin den Vorteil, dass der Router ausfallen kann, ohne dass gleich alle Clients im selben Netz ihre Serververbindung verlieren. Umgekehrt verlieren nicht alle Nutzer das Netzwerk, wenn der VM Serveradmin mal dicke Finger hat.
In Sachen Zuverlässigkeit liest man hier immer wieder von Problemen, insbesondere mit Proxmox, also KVM/QEMU. Während ich selbst nie diese Probleme hatte, sind die Standardlösungen, wie PCIe Geräte durchreichen, nicht hilfreich, weil man dann die Fähigkeit zur (live-)Migration der VMs auf andere Server verliert und damit einen wesentlichen Vorteil von Virtualisierung.
Also: Zum Lernen auf jeden Fall, für die Produktion niemals.
OPNSense unter Proxmox - ja nutze ich auch, aber ausschliesslich als meine Spielumgebung.
Ich habe eine Abneigung dagegen, ne Firewall, die mein Netzwerk schützen soll, mitten in meine Netzwerk auf einen Virtualisierungsserver zu packen, wo auf dem Netzwerkinterface das nackte Internet ungeschützt anliegt.
( Fritzbox im BridgeModus )
Daher nur auf einer eigenen Hardware ( in meinem Fall MiniPC )
Eine Virtual Box ist prima, wenn man mal fix etwas ausprobieren möchte.
Für den Betrieb aber ungeeignet, weil die Maschinen nicht von sich aus starten, zb. Stromausfall etc.
Virtuelle Systeme haben einige Vorteile: ich bin nicht von einem Hw Hersteller abhängig.
Oder kann freier entscheiden.
Meine OS Server haben 25GBit/s Anschlüsse, die bekomme ich nicht mit den Standard-Boxen.
Auch die Anzahl der Interfaces ist virtuell praktisch beliebig. On Hw natürlich begrenzt.
Dazu Snapshots und echtes Backup der VM alles unabhängig und automatisch, auf jedes Medium das ich will.
Wegen Snapshots auf Appliances mit ZFS, bald:
https://github.com/opnsense/core/pull/7749
Quote from: Monviech on August 16, 2024, 05:10:13 PM
Wegen Snapshots auf Appliances mit ZFS, bald:
https://github.com/opnsense/core/pull/7749
Was ist "ZFS"?
Quote from: trixter on August 16, 2024, 05:02:10 PM
Eine Virtual Box ist prima, wenn man mal fix etwas ausprobieren möchte.
Für den Betrieb aber ungeeignet
[...]
Dazu Snapshots und echtes Backup der VM alles unabhängig und automatisch, auf jedes Medium das ich will.
Jetzt verstehe ich aber nicht, was Du favorisierst? VBox ist ungeeignet - bietet aber flexiblere Möglichkeiten?
Quote from: JeGr on August 16, 2024, 03:47:24 PM
das XML umgeschrieben von den alten HW/VM Interfaces zu den neuen der neuen Box
Die Änderung der Interfaces ist klar, aber mit der XML habe ich (noch) Probleme, ich kann bisher alles nur über die (Web-)GUI machen. Gibt es irgendwo eine schöne Stelle zum Nachlesen, wie man die OPNsense "direkt" mit Hilfe der Konfigurationsdatei bearbeitet?
Auf alle Fälle sage ich schon jetzt: "Vielen Dank für Eure Meinungen!" Genau solche Argumente wollte ich haben und tendiere nun auch eher zum Kauf einer Appliance (bzw. zwei davon).
Sollte man dann die Dinger hier kaufen? Für mich reicht wahrscheinlich die "kleinste", also DEC677. Wobei ich zugebe, gar nicht richtig zu verstehen, was der Unterschied bei der DEC697 ist? Wozu ist der "größere" oder "andere" Speicher gut? Was sind die dort genannten "Disk Writes"? Wenn ich z.B. meinen DHCP- und DNS-Server dort laufen lassen will (sind aktuell virtuelle Ubuntus))?
Ich nehme an, dass man mit einer solchen "speziellen" Appliance einfacher und vielleicht auch besser fährt als mit selbst zusammengestellter Hardware?
Vielleicht sage ich einfach, was ich brauche:
Ich habe die OPNsense zur Zeit als Firewall, und sie stellt auch die Telekom-Einwahl her, d.h. mein Zyxel ist nur DSL-Modem? Oder wäre es "besser", wenn das Zyxel sich einwählt, und man die OPNsense dort nur anstöpselt? (OT: Ich gebe zu, dass das historisch gewachsen ist, denn ganz früher hatten wir den unsäglichen MS-TMG laufen, und der konnte keinen Tunnel bauen, wenn er nicht selbst auch die Einwahl vornahm - jetzt sind wir MS-frei, könnten das also ändern.)
Zusätzlich muss ich einen Tunnel zwischen meinen beiden Standorten aufbauen (aktuell IPSec, ich habe aber verstanden, dass ich den auf OpenVPN umstellen soll) und die xterne EInwahl ermöglichen (ist jetzt schon OpenVPN).
Wenn das möglich ist, würde ich mittelfristig dort auch meinen DNS- und DHCP-Server laufen lassen wollen (oder gehören die von der Philosophie her nicht auf die Firewall?). Und wie wäre es mit einem späteren LDAP (oder gehört der erst recht nicht dorthin?)?
Bitte nicht böse sein über die vielen Fragen - oder sollte ich dafür einen neuen Thread aufmachen?
Quote from: Emma2 on August 16, 2024, 05:27:04 PM
Quote from: trixter on August 16, 2024, 05:02:10 PM
Eine Virtual Box ist prima, wenn man mal fix etwas ausprobieren möchte.
Für den Betrieb aber ungeeignet
[...]
Dazu Snapshots und echtes Backup der VM alles unabhängig und automatisch, auf jedes Medium das ich will.
Jetzt verstehe ich aber nicht, was Du favorisierst? VBox ist ungeeignet - bietet aber flexiblere Möglichkeiten?
Moin,
VirtualBox ist eher was um "Desktop-OS" zu virtualisieren. Für 24/7 Einsatz auf Servern ist eher so was wie Proxmox VE geeignet.
Meine OPNsense läuft seit Jahren als VM unter PVE. Würde ich für privat immer wieder so machen.
Quote from: cadzen on August 16, 2024, 05:49:09 PM
Würde ich für privat immer wieder so machen.
Mir geht es schon um mein Firmennetz.
Quote from: Emma2 on August 16, 2024, 05:51:18 PM
Quote from: cadzen on August 16, 2024, 05:49:09 PM
Würde ich für privat immer wieder so machen.
Mir geht es schon um mein Firmennetz.
Dann +1 für dedizierte Hardware.
Ja, ok, davon bin ich ja wie schon geschrieben mittlerweile überzeugt. Deshalb habe ich ja meinen Folgefragen-Katalog gepostet ;-)
Ich benutze für daheim im Homeoffice eine DEC740 mit Zyxel vmg3006-d70a als Modem. Das Internet ist zu 99.99% stabil. Und wenn nicht ist der DSLAM der Telekom manchmal schuld.
Quote from: Monviech on August 16, 2024, 07:15:45 PM
Ich benutze für daheim im Homeoffice eine DEC740 mit Zyxel vmg3006-d70a als Modem. Das Internet ist zu 99.99% stabil. Und wenn nicht ist der DSLAM der Telekom manchmal schuld.
Ich hatte ein VMG1312, aber weil das "nur" 100 MBit/s kann, habe ich jetzt ein VMG4005. Das ist auch recht stabil.
Du nutzt das Zyxel also auch nur als Modem und überlässt die Einwahl der OPNsense?
Ja, vorher hatte ich auch den vmg1312, damals noch zu opnsense vm weitergeleitet. Sehr stabiles modem. OPNsense macht pppoe einwahl.
Virtualisieren vs. Bare Metal kann man lange diskutieren - was mich aber am Eingangspost spontan sehr irritiert hat, war "VirtualBox". Das ist ein Desktop-Hypervisor als Entwicklungsumgebung. Oder um "mal eben Windows auszuführen". Das würde schon interessant, wie man da überhaupt zwei phys. Netzwerkkarten in die VM bekommt, damit die OPNsense dann ein ganzen Netz bedienen kann.
Und als Host "außenrum" dann ein Windows, Linux, Mac, völlig ungeschützt? Die OPNsense ist ja in der VM ...
Wenn man sowas macht, dann mit einem richtigen Hypervisor. Das war mal ESXi, mittlerweile sollte man sich auch da nach Alternativen umsehen. Ich persönlich fand Proxmox sehr unterwältigend für die "führende" KVM-basierte Lösung, aber jeder wie er mag.
Das heißt nicht, dass man mit OPNsense in VirtualBox [1] nicht prächtig rumspielen oder eben entwickeln kann. Aber produktiv? Nee, ne? :)
Gruß
Patrick
[1] https://github.com/punktDe/vagrant-opnsense
Na ja, es gibt ein Für und Wider für alles, und genau deshalb habe ich ja nach Euren Meinungen gefragt.
Allerdings kann ich das "Herumgehacke" auf Virtualbox nicht so ganz verstehen. Selbstverständlich habe ich nicht irgend eine Windows-Kiste mit VirtualBox, sondern das läuft auf einem GUI-less Ubuntu-Server und wird ausschließlich aus der Shell bedient.
Mehrere Netzwerkkarten einzubinden ist vollkommen unproblematisch, und der Zugriff auf laufende VMs gelingt mit xfreerdp auch sehr gut. Das was ich brauche, nämlich stabil laufende VMs, Snapshots, Verwaltung über die Shell bzw. Skripte und die Möglichkeit, Backup und Restore per Kopieren auf dem Dateisystem zu machen, kann VirtualBox, und das reicht mir.
(Es mag sein, dass ich "noch Schlechteres" gewohnt bin, weil ich ursprünglich von Hyper-V komme, aber zumindest gegen das MS-Zeugs ist VirtualBox viele Klassen besser.)
Ich wüsste nicht, warum ich unbedingt ESXi oder PVE nutzen sollte. Und KVM, gebe ich zu, habe ich mal probiert, aber nicht auf Anhieb zum Laufen gebracht und es deshalb damit aufgegeben.
Debian server installieren
"apt install cockpit cockpit-machines"
https://cockpit-project.org/
fertiges KVM mit GUI.
Nutze ich seit längerem für OPNsense VMs.
Leider ist es nicht so einfach zu erkennen, ob deine OPNsense VirtualBox Installation auf gesonderter Hardware läuft. Oftmals ist VirtualBox auf dem Desktop-Rechner zu finden.
Ich denke, da sind wir uns alle einig: Für eine Firmenumgebung sollte dedizierte Hardware für das Thema Firewall zur Verfügung stehen. Da kann dann auch Virtualisierung drauf laufen, um OPNsense und andere Dienste, welche für Kommunikation und Internet zuständig sind, drauf laufen zu lassen. Oder eben OPNsense Baremetal.
Bei vielen von uns betreuten KMUs setzen wir solche Rechnerkombinationen mit Virtualisierung ein. Die Gründe dafür sind "Backup und Restore" sowie die Ressourcenteilung. Auf den Rechnern laufen dann aber neben OPNsense nur Chat-Server, E-Mail-Server und ähnliches.
Nur bei größeren Umgebungen setzen wir reine Firewall-Instanzen wie DEcxxx ein.
OPNsense macht dann aber meistens auch VLAN zusammen mit den Switchen.
Wenn man nur ein Homelab betreibt, würde ich immer wieder zu unraid greifen.
Wenn man jedoch gewerblich unterwegs ist, ist Proxmox wohl das Mittel der Wahl- ist aber komplexer in der Umsetzung.
Wäre also nicht unwichtig wie der Usecase aussieht.
LDAP gehört auf eigene Instanz in eine Dmz