OPNsense Forum
International Forums => German - Deutsch => Topic started by: rolfd on March 30, 2019, 07:06:48 am
-
Ungeachtet der Tatsache wie man zu Webmin/Usermin als Admin Tool steht... es ist ansich ja BSD tauglich.
Ist schon mal jemand auf die Idee gekommen, es alternativ auf einem Opnsense Stable-Release zu installieren?
In den Paketquellen zu opnsense finde ich es nicht und bevor ich meinen schönen neuen Router auf Links ziehe, gedachte ich erst mal vorsichtig zu fragen... :)
https://doxfer.webmin.com/Webmin/Installation
-
Nein aber das könnte Konflikte zwischen beiden Oberflächen auslösen - würde ich nicht empfehlen.
-
könnte... deswegen frage ich ja... hatte gehofft, das jemand fundierte Infos hat, ob und was geht bzw. was nicht.
-
Also wer es auf einem Testrouter mal probieren will... es geht. Man müsste wohl ein paar Pfade anpassen und ich denke nicht, das Webmin die Funktionalitäten der GUI insbesondere in der Netzconfig ersetzen könnte. Aber für einen alternativen Blick auf das System ist das nicht uninteressant. Der Weg dahin?
#pkg add https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/p5-Authen-PAM-0.16_2.txz
#pkg add https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/p5-IO-Tty-1.12_2.txz
#pkg add https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/p5-Net-SSLeay-1.85.txz
#pkg add https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/webmin-1.900.txz
dann kommt folgenes, was man gewissenhaft ausführt...
After installing Webmin for the first time you should perform the following
steps as root:
* Configure Webmin by running /usr/local/lib/webmin/setup.sh
* Add webmin_enable="YES" to your /etc/rc.conf
* Start Webmin for the first time by running "service webmin start"
The parameters requested by setup.sh may then be changed from within Webmin
itself.
ggf. noch den Dienst/Port mit Regeln absichern... läuft. Ob das Sinnvoll ist... nun ja... ich halte nichts von Bevormundungen, also selbst entscheiden.
Ich persönlich halte es für einfacher eine modularisierte Oberfläche mit Plugins zu pflegen als ein komplexes Webinterface zu programmieren... aber die Frage stellt sich hier nicht.
-
Welche Teile von Webmin sind hilfreich? Sinn ergibt es schon, aber da die OPNsense GUI ein direkter "Konkurrent" ist und Webmin nicht die Verhaltensweisen der OPNsense GUI kennt frage ich mich ob es wirklich gut ist beides zu haben weil Webmin nicht alles abdecken kann oder gar falsch agiert was dann die Integrität der Konfiguration gefährden kann.
Unterm Strich ist die Frage was noch in die OPNsense GUI sollte damit Webmin nicht benötigt wird?
Grüsse
Franco
-
Ok...
1. sehe ich Webmin nicht als Konkurenz, sondern wenn überhaupt, dann nur als Vorbild bezüglich wie man funktionale, modulare WebGUIs baut. Die Funktionalität der Sense Firewall kann Webmin nicht nachbilden und das wird auch nie ihr Job sein. Sagte ich aber quasi schon. Mir scheint webmin aber wesentlich reaktiver und moderner in Haptik und Darstellung*. Da könnte man doch mal gucken, wo ran das liegt...
Angemerkt: *auf dem gleichen Rechner und unter gleicher Last wie im GUI Betrieb...
2. Webmin ist mein Versuchsbalon weil ich das System von anderen *nixe halt kenne. Eine praktische Anwendung und mögliche Erweiterung von der Opnsense GUI sehe ich aber eher in Usermin. Es erlaubt z.B. Zugang zu den Maildirs der lokalen User des Postfix. Man kann jetzt natürlich sagen, lokale User haben auf der Firewall nichts zu suchen... ein lokaler Postfix aber genau so wenig! Die Frage ist, wo zieht man die Grenze zwischen einem performantem System mit wenigen aber spezialisierten Funktionen und einer eierlegenden Wollmilchsau. Zugang zu den Maildirs wenn ein postfix läuft... zumal Opensense auch andere Dienste wie Radius, Ldap, squid auth anbietet... finde ich jetzt nicht so abwegig wenn man eh user einpflegen will/muss.
3. Ich bin nicht der Meinung, das man produktive Geräte nun damit ausstatten sollte. Die Wahrscheinlichkeit, das Änderungen per Shell die GUI stören können ist übrigends min. genau so groß wie wenn Webmin irgendwo dran rumschraubt. Ich mag aber Opnsense auch nicht als "geschlossenes System" betrachten, was NUR durch die GUI configuriert werden darf. Klar macht es euch das Supporten leichter wenn das so ist... hab ich volles Verständnis für und verstehe da auch eine gewisse Skepsis. Aber so konservativ ist nicht mal eure echte kommerzielle Konkurenz :)
Ein guter Grund sich Webmin als Vorbild zu nehmen ist z.b. auch die Modularität in Bezug auf Entwicklung von Zusätzen, Erweiterungen, Updates zur GUI. Die GUI "versteckt" mir zu viel... die GUI aber zu erweitern wäre vermutlich kompliziert. Mir gehts nicht darum, das Webmin was spezielles kann was die GUI nicht könnte. Es sind die vielen Kleinigkeiten, die es einfach Rund machen.
-
@rolfd, ich verstehe nicht warum man auf einer opnsense unbeding webmin haben will?
was ist denn dein genaues ziel was du mit der opnsense oberfläche nicht machen kannst wofür du unbedingt webmin brauchst?
-
Die Gefahr, die besteht ist nun mal das sich die OPNsense GUI und der Webmin darum streiten, welche Config gerade gültig ist und und im schlimmsten Fall startet die appliance gar nicht mehr. Wenn es gut geht, läuft alles wie gewohnt weiter. Dazwischen gibt's noch die möglichkeit, dass irgendwelche einzelnen Dienste "flattern" oder nicht funktionieren.
-
Ihr wollt mich ja irgendwie nicht verstehen.... jetzt zum dritten mal:
Ich betrachte das nicht als Anleitung oder Aufruf die GUI zu ersetzen sondern eher als Studie und Anregung was und wie man an der Gui verbessern kann. Und um vergleichen zu können ... macht es aus meiner Sicht Sinn, sie mal testweise nebeneinander zu installieren. Das hat scheinbar noch keiner gemacht, deswegen meine Eingangsfrage. Ich habe es probiert, also schreib ich mein Ergebnis dazu auf.
Ich fände es gut wenn Leute es auch mal probieren und das Feedback an die Entwickler geben... "hier dies und das ist in Webmin besser gelöst, kann man das in der GUI umbauern". Hab ich bzw. mach ich auch so. Oder die Entwickler gehen selbst hin und modernisieren die Gui weil sie sich mit neuen Ideen zu internen Abläufen beschäftigen. Wär auch ne Möglichkeit.
Was nicht ok ist, ist Webmin als Ersatz zur Gui zu sehen, sich von Webmin bedroht zu fühlen oder mir sabotage zu unterstellen für etwas was in der *nix Welt selbstverständlich ist. Lernen! Von anderen lernen.
Zu "Zielen" hab ich schon was (aus meiner Sicht) gesagt. Haptik, Bedienung und die Arbeitsgeschwindigkeit ist verbesserbar. Bestimmte Funktionen kann man aufwerten und nachrüsten. Modularisierung könnte Erleichterungen bringen was die Pflege der Site angeht usw. usw. Wobei eine gewisse Funktionsmodulaisierung muss es schon geben... sonst gäbe es keine Plugins, eine einheitliche Klassenfunktion "Tabelle" scheint es aber so nicht zu geben. Andere Leute haben da vielleicht andere Denkanstöße. Das zu kommunizieren, dafür sollte der Thread eigentlich sein.
Wenn ich sehe, das Tabellenspalten nicht vernünftig sortierbar oder größenverstellbar sind oder große Mengen von Listendaten wie im Regelwerk der IDS kaum von der Gui handhabbar sind... wenn ich sehe das man an die versteckten Regelsätze der Wall und andere Infos keine Einsicht hat, oder die GUI teilweise wild zwischen Menupunkten rumspringt... dann denk ich mir "geht das besser"? Und ja... es geht besser! Deswegen ist die GUI aber weder schlecht noch verzichtbar!
Betrachte ich mir so manche Rückfrage, so denke ich mir als Antwort auf die Frage "wollen andere darüber reden".... eher nein. Schade.
-
Mit
# service webmin stop
# pkg delete p5-Authen-PAM-0.16_2 p5-IO-Tty-1.12_2 p5-Net-SSLeay-1.85 webmin-1.900
kriegt man den Kram wieder runter.
dann noch die gebackupte /etc/rc.conf zurück setzen.
-
Woah, langsam. ;)
Ich habe eigentlich nur nach Use Cases gefragt und bedenken geäussert wenn z.B. Webmin UNIX User anlegen kann. Die überstehen nämlich keinen Reboot sofern Webmin die beim Boot nicht neu erstellt... Ich weiss es einfach nicht, daher die Fragen und Bedenken. Hab ich so gelernt. Ist sogar eigentlich höflich.
Über UX möchte ich nicht urteilen, aber dass kann man ja auch unabhängig davon angehen.
"Konkurrent" war hier zielgerichtet in Anführungszeichen, weil es um das gleiche System konkurriert und OPNsense und Webmin ihre Interaktion nicht kennen. Das halte ich für fatal im schon hergeleiteten Support-Szenario.
Den einzigen Use Case den ich in den Antworten finden kann ist:
> Es erlaubt z.B. Zugang zu den Maildirs der lokalen User des Postfix.
Leider ist mir noch nicht ganz klar was das jetzt bedeutet, also welcher Nutzen sich aus dem Zugang ergibt: Statistiken, Monitoring, Mails lesen, Konfigurationsalternative zu den Plugins / Core Services?
Es ist unterm Strich einfach eine 2. GUI mit allen Vor- und Nachteilen. Nutzen darf doch jeder was er möchte. Dafür gibt es ja auch einen Ports Tree.
Und ich habe diese Dinge selten erlebt:
(a) Nutzer die halt machen vor dem was sie gerade brauchen;
(b) Nutzer die den Rat hier im Forum wiederwillig gegen ihre Interessen befolgen und dabei ihren Unmut äussern als ob sie gezwungen wurden.
Offene Community ja -- Unterstützung für all Art Unterfangen können wir aber leider nicht garantieren.
Ging vielleicht nicht in die erhoffte Richtung hier. Für mich übrigens auch nicht, weil ich noch auf die Use Cases gespannt bin. Es kommt mir allerdings so vor als ob es eher um eine Geschmacksdebatte geht, gerade auch weil so wenig Use Cases bislang dargelegt wurden. Da würde ich nicht teilnehmen wollen, weil es unsinnig wäre über Software zu urteilen die ich nicht verwende.
Grüsse
Franco
-
Hi,
nur eine Frage. Wer macht denn dann den Support für Webmin hier? Völliges Unverständnis warum so etwas überhaupt diskutiert wird. Eine GUI!
cheers till
-
@tillsense: es geht darum, wenn im OPNsense GUI ein Bug auftritt, weil durch Webmin irgendwas zerschossen wurde. Nicht darum ob Webmin grundsätzlich funktioniert oder wie gut/schlecht es ist.
Stell es dir eher so vor: webmin kann postfix konfigurieren und OPNsense kann postfix konfigurieren. Aktiv kann aber maximal eine Konfiguration gleichzeitig sein (nur einer kann Port 25 haben). Und hier heraus entstehen dann die Probleme. Auch mit dem tempfs auf /var und /tmp kann es zum Teil schwierig werden, weil das in einem normalen FreeBSD eher unüblich ist.
-
@tillsense: es geht darum, wenn im OPNsense GUI ein Bug auftritt, weil durch Webmin irgendwas zerschossen wurde.
Ja genau darum geht es.
Nicht darum ob Webmin grundsätzlich funktioniert oder wie gut/schlecht es ist.
Wo habe ich denn dies geschrieben?
Stell es dir eher so vor: webmin kann postfix konfigurieren und OPNsense kann postfix konfigurieren. Aktiv kann aber maximal eine Konfiguration gleichzeitig sein (nur einer kann Port 25 haben). Und hier heraus entstehen dann die Probleme. Auch mit dem tempfs auf /var und /tmp kann es zum Teil schwierig werden, weil das in einem normalen FreeBSD eher unüblich ist.
Ja genau darum geht es. Deshalb völliges Unverständnis...
cheers till
-
Ja genau darum geht es. Deshalb völliges Unverständnis...
Was soll ich dazu sagen... ja um Unverständnis gehts... Webmin und die GUI würden ja nicht 2 unterschiedliche Postfixes managen wie von Fabian vermutet, sondern beide das eine gleiche Postfix. Da die GUI aber fremde Einstellungen überschreibt, wären Änderungen Seitens Webmin nicht mal von Dauer. Webmin müsste die Files ändern, aus denen die GUI die Änderungen generiert um dauerhaft zu wirken und dafür ist es nicht ausgelegt. Stichwort proprietäre Dateien vs. LSB. Aus dem Grund muss man aber auch nicht mal große Angst haben, das Webmin was zerstört.
Mir ist noch nicht klar wie weitgehend das Konzept der generierten Configs seitens der GUI/Opnsense durchgezogen wird aber es verhindert an den Stellen, die ich mir angesehen habe, nachhaltig händische respektive Webmin Änderungen und das steht auch in den Files als Header eingetragen.
In so fern ist aber auch die Sorge vor Eingriffen durch Webmin, die hier im Thread mehrfach geäussert wird relativ unbegründet, stellt aber auch den Begriff "open" im Namen in Frage.
Aber darum geht es mir hier nicht... und das will ich auch nicht verhackstücken. Mir waren die Zusammenhäng so nicht klar weil ich von GNU/Linux komme und da sowas unüblich ist. Über Geschmacksfragen möchte Franco nicht reden... und ich bin selbst lang genug Admin und Programmierer, so das ich mir selbst ein Bild von der Geschichte machen kann. Ich habs nu kapiert und gut is.
-
Alles was über die GUI konfiguriert werden kann, muss auch in irgendeiner Weise die Konfiguration anfassen. Das ist bei jeder Firewall gleich, sei es Sophos, pfSense, IPFire, IPCop etc.
Jedes Plugin macht das genauso, ABER, du bist nicht gezwungen das Plugin zu installieren. Du kannst auch über die Console nur Postfix als pkg installieren (sowas wie RPM, DEB etc.) und dann mit Webmin verwalten. Super Sache oder? Open Source halt :)
Eine Liste der verfügbaren Pakete die du installieren kannst findest du hier:
https://pkg.opnsense.org/FreeBSD:11:amd64/19.1/latest/All/
Installieren dann mit:
# pkg install paket
Alles mit "os-" ist von OPNsense, würde also configs überschreiben.
Wenn du was vermisst kannst du dir den portstree laden:
# opnsense-code ports
Dann in den port rein und
# make install
So kannst du theoretisch auch ne Datenbank etc. hinzufügen.
Du bist alles völlig frei in dem was du tun willst .. das einzige Problem ist der Support, da die meisten halt auf Linie sind und von den Problemen auf die du triffst (ist in der Open Source Welt ja überall so) noch nie was gehört haben.
-
Schöne Zusammenfassung, Danke.
-
In so fern ist aber auch die Sorge vor Eingriffen durch Webmin, die hier im Thread mehrfach geäussert wird relativ unbegründet, stellt aber auch den Begriff "open" im Namen in Frage.
Ich finde es nicht unbegründet weil Erfahrungswerte fehlen. Auch im Umgang mit OPNsense und was man damit alles darf und dass es da keine Grenze gibt und das Forum hier mit Menschen besteht die gern oder gezwungenermassen OPNsense verwenden aber keine Gesetze erstellen im Umgang damit. ;)
Ich verstehe die nachläufige Kritik: OPNsense ist nicht so "open" wie du es dir vorstellst im Umgang mit dem Thema. Nun versteh bitte dass das erst einmal deine Auffassung ist und mir hier noch eine faktische Begründung fehlt ohne die eine konstruktive Diskussion nicht aufgebaut werden kann.
Aktuell höre ich nur persönliche Kritik im Umgang mit dem Thema und den alten beliebten Fehler "ich bin meine Wünsche" und die Kritik am Wunsch ist dann unweigerlich als persönliche Kritik interpretiert. Dafür ist die Diskussion leider jetzt schon zu sachlich als dass diese den Anschein wecken könnte hier würden Personen für Ihre Ideen kritisiert und damit auch die Verwendungsgebiete von OPNsense negativ abgesteckt.
Da muss ich leider der angedeuteten Auffassung und Ableitung "open" ist nicht offen offen widersprechen. :)
Grüsse
Franco
-
Lieber Franco,
"in Frage stellen" heisst aus meiner Sicht nicht, das ich das Gegenteil behaupte sondern das man da mal genauer schauen muss.. und der Maßsstab, welchen ich zu "open" anlege ist nicht mein privater sondern die übliche Praxis die LSB aus Gnu/Linux betreffend. Das es gute Gründe dafür gibt stelle ich nicht in Frage und das bzw. warum ich das so sehe hatte ich erklärt. User mimugmail hat oben die Möglichkeiten das System jenseits der GUI seinen Bedürfnissen anzupassen schön dargestellt.
Ich kritisiere auch niemand persönlich und ob man mit mir reden kann, sollte jeder selbst beurteilen können. Die fachliche Grundlage zu bezweifeln durch angeblichen "Magel an Argumenten/Beweisen" ist auch keine feine Art und zeugt eher von Unsicherheit. Ich bin an fachlicher Kommunikation interessiert und nicht an Stimmungsmache!
So und zum Abschluss quote ich mich jetzt auch noch mal selbst... in der Hoffnung das es dann wenigstens verstanden wird!
Aber darum geht es mir hier nicht... und das will ich auch nicht verhackstücken.
Dafür ist die Diskussion leider jetzt schon zu sachlich als dass diese den Anschein wecken könnte hier würden Personen für Ihre Ideen kritisiert und damit auch die Verwendungsgebiete von OPNsense negativ abgesteckt.
Und auch hier noch mal... es geht mir nicht um persönliche Kritik. Aber du suchst schon Streit, oder?
-
Nein, ich suche bislang relativ erfolglos eine produktive Gesprächsbasis im Hinblick auf OPNsense Verbesserungen.
Ich bin in der Tat unsicher wozu die Diskussion dient. Ich habe mehrmals offene Fragen gestellt und keine konkreten Antworten enthalten. "Übliche Praxis" ist, wie soll ich sagen, schwammig formuliert.
> Ich bin an fachlicher Kommunikation interessiert und nicht an Stimmungsmache!
Dazu fehlen einfach Fakten die ich mehrmals erfragte. Stattdessen gibt es Aussagen wie diese. Daher kann ich hier an der Stelle auch nichts mehr sinnvolles tun ausser es ruhen zu lassen.
Grüsse
Franco