Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: MBatOS on November 19, 2025, 02:28:38 PM

Title: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: MBatOS on November 19, 2025, 02:28:38 PM
Hallo,

ich habe hier eine Firewall bei der ca. 1500 Objekte angelegt sind um den Netzwerkverkehr zu regeln. Viele dieser Objekt sind Netzwerke, Hosts und FQDN. Zum Beispiel werden Netze hier als 192.168.0.1/24-foobar benannt. Ich sehe noch keinen Weg wie ich diese Umgebung mit opnsense und denn Alias-Limitationen so umsetze, so dass man bei einer etwaigen Fehlersuche noch eine Chance hat. Wie handhabt ihr das mit den Aliasnamen?
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: Patrick M. Hausen on November 19, 2025, 02:51:22 PM
Bei mir haben Alias semantische Prefixe. Und ich versuche wo möglich Gruppen anzulegen. Den Inhalt nochmal in den Namen zu schreiben halte ich spontan für überflüssig - habe ich noch nie getan. Man legt Aliase ja genau deshalb an, damit man sich nicht mit Adressen und Ports beschäftigen muss sondern mit benannten Systemen und Funktionen.

Das mit den Prefixen habe ich angefangen, weil bei der Sidewinder die unterschiedlichen Alias-Typen unterschiedliche Symbole hatten und man im UI gleich Netze, Ports, etc. auseinanderhalten konnte.

(https://forum.opnsense.org/index.php?action=dlattach;attach=49493;image)
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: meyergru on November 19, 2025, 03:07:01 PM
"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.

Was die o.a. Übersicht angeht: Dort könnte man ja auch nach Typ filtern, aber bei der Auswahl von Aliasen in Firewall-Regeln gibt es diese Möglichkeit leider nicht. Die Aliase sind nicht einmal alphabetisch sortiert, nur anhand der "möglichen" Typen eingeschränkt. Man kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste - insofern ist die Präfizierung mit dem Typ hilfreich.

Schöner wäre es, wenn die Auswahlliste selbst nach Typ strukturiert wäre - aktuell ist bei einer Quelle oder bei einem Ziel nur "Alias" und "Netzwerk" getrennt.

Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: Patrick M. Hausen on November 19, 2025, 03:19:35 PM
Quote from: meyergru on November 19, 2025, 03:07:01 PMMan kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste

Genau! 🙂
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: meyergru on November 19, 2025, 03:24:01 PM
Ist aber echt eine Notlösung. Die quasi "zufällige" Reihenfolge in der Auswahl fand ich schon immer schlecht. Und bei >1000 Aliasen praktisch nicht handhabbar. Kategorisierung und alphabetische Sortierung wäre da wirklich hilfreich - sollte man vielleicht mal einen Feature Request für machen.
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: MBatOS on November 20, 2025, 12:59:41 PM
Quote from: meyergru on November 19, 2025, 03:07:01 PM"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.
Nun, bei den anderen Firewalls die wir hier einsetzten (Sophos XGS bzw. SG) hat es sich sehr bewährt beide Informationen in der Objektbenennung zu haben. Was die Gruppen angeht ist
---SCHNIPP---
Only letters, digits and underscores are allowed as the group name.
The group name shall not be longer than 15 characters.
The group name shall not start or end with a digit.
---SCHNAPP---
Ja auch nicht hilfreich.

Ich fürchte, dass dieses Verhalten der Opnsense das Genick bei der Auswahl bricht.
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: meyergru on November 20, 2025, 01:07:28 PM
Wieso "fürchtest" Du das? Wenn das das entscheidende Kriterium ist... ¯\_(ツ)_/¯
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: MBatOS on November 20, 2025, 02:01:33 PM
Quote from: meyergru on Today at 01:07:28 PMWieso "fürchtest" Du das?
Weil ich die Entscheidung nicht alleine fälle. Und ja, wie man die Objekte verwaltet ist ein großes Thema. Die Sophos XGS wäre beinahe wieder raus geflogen weil die GUI sich als "schwierig" herausgestellt hat. Allerdings sind die in einem wenige komplexen Umfeld eingesetzt.
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: meyergru on November 20, 2025, 02:08:28 PM
Ich kenne das aus solch großen Installationen nur so, dass ohnehin mehrere Firewalls verschiedener Anbieter in Serie eingesetzt werden, falls eine eine Sicherheitslücke aufweist. Und dann macht man die Konfiguration sowieso automatisiert, weil man sicher nicht von Hand die selben Regeln auf mehreren Instanzen einspielen will.

Dabei kommt es eher auf die Automationsfähigkeiten der Systeme (also z.B. APIs) als auf deren UI an und man hat die Verwaltung der Objekte eh selbst in der Hand. Meist sind die aufgrund von diversen Vorschriften ohnehin in einer Konfig-DB.

Vielleicht kommt nur mir das Kriterium deswegen so schräg vor.
Title: Re: Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?
Post by: MBatOS on November 20, 2025, 03:04:27 PM
Quote from: meyergru on Today at 02:08:28 PMVielleicht kommt nur mir das Kriterium deswegen so schräg vor.
Gibt eine einfache Erklärung: Die Automatisierung existiert nicht und deshalb wird über die GUI konfiguriert.

Selbst wenn es die Automatisierung gäbe, würde man eine für Menschen handhabbare Benennung der Objekte bevorzugen.
Text only | Text with Images