OPNsense Forum
International Forums => German - Deutsch => Topic started by: Thargor on June 03, 2015, 10:39:45 am
-
Moin,
bin durch Zufall auf eure Seite gestoßen, weil ich auf der Suche nach einer FW bin die auch IPv6 schon unterstütz.
Hintergrund: bin dabei meinen I-Net Anbieter zu Wechseln, von DSL (Versatel) zu Kabel UM. Dort gibts zur Zeit ein Angebot wo die gesamten Baukosten übernommen werden, hat aber den Nachteil das nur noch IPv6 Anschlüsse gibt. Habe aber später die Möglichkeit auf Business zu wechseln...
Habe einen IPCop zur Zeit in Betrieb auf aktuellen Stand 2.19 und prinzipiell damit ganz zufrieden.
Frage: wo liegen die Unterschiede zwischen den beiden FW? Wo sind die Vor- bzw. Nachteile?
Was für mich entscheidend ist, ich möchte weiterhin von außerhalb auf mein System zugreifen können, sprich hab z.b. Solarlog und ein NAS am laufen.
Brauch ich dazu weiterhin einen IPv4 Anschluß? Oder kann man das schon mittlerweile mit IPv6 lösen?
Gibts schon DynDNS Anbieter die das lösen können?
Fragen über Fragen...
-
Moin Thargor,
herzlich willkommen! So viel weiß ich leider auch nicht--die Welt der Open Source Firewalls ist ziemlich groß. :)
Nach ein bisschen Wikipedia kommt IPCop aus einer Linux Familie, Endian und IPFire hab ich immer mal wieder als gute Abkömmlinge gehört. Ich glaube der Hauptunterschied liegt bei OPNsense an BSD als Betriebssystem anstelle von Linux. Grundsätzliche Netzwerkfeatures sind natürlich gleich, aber auch Zusatzfeatures wie VPN, DHCP usw. sind vorhanden.
Das ganze wird schnell zu einer Philosophiefrage und wie sehr man die Oberflächen mag, die API, oder die Konsole.
Für OPNsense spricht noch ein hauptsächlich wöchentliches Update-Verfahren, je nach "Bedrohungslage", aber auch mal tägliche Hotfixes oder Schmankerl wie LibreSSL anstatt OpenSSL.
NAS können wir leider nicht liefern, da wärest du in der BSD-Familie besser z.B. bei FreeNAS aufgehoben. Solarlog kann ich gerade nicht zuordnen?
IPv4 und IPv6 sind unterstützt. DynDNS (eine Auswahl an Anbietern) wird auch unterstützt für beide Varianten.
Soviel erstmal für die erste Runde. :)
Grüße Franco
-
OPNsense kommt ja als ein Fork von pfSense und von m0n0wall und ist auf FreeBSD basierend.
Im Primzip kommst Du der Frage naeher, was denn OPNsense und FreeBSD basierte Firewall software bzw. Distributionen sind naeher, wenn Du der pf (auch PF geschrieben) Firewall nachrecherchierst.
Ich empfehle Dir diese Videos:
Henning Brauer (ruBSD 2013) ueber pf (https://www.youtube.com/watch?v=wGOPj53r1Fc)
Episode 035: Puffy Firewall (http://www.bsdnow.tv/episodes/2014_04_30-puffy_firewall)
Episode 072: Common OPNsense Approach (http://www.bsdnow.tv/episodes/2015_01_14-common_sense_approach)
Episode 025: A Sixth pfSense (http://www.bsdnow.tv/episodes/2014_02_19-a_sixth_pfsense)
und die folgende Uebersichts-Seite:
OPNsense (https://wiki.opnsense.org/index.php/OPNsense)
-
Hallo franco, Hallo chol
danke für eure Ausführungen.
API und UserInterface gibts bei IPCop genauso. Denk dort ähnelt sich vieles. Was mir gefällt beim IPCop
das dort die Netzwerke in verschiedenen Farben dargestellt werden:
ROT: WAN
ORANGE: DMZ
GRÜN: LAN
BLAU: WLAN
Habe vor mir auch neue Hardware zu kaufen, sprich ein APU1D4 http://www.apu-board.de/produkte/apu1d4-bundle.html (http://www.apu-board.de/produkte/apu1d4-bundle.html)Board von pcengines z.b.
Kann ich bei der Installation die Netzwerke ebenfalls so zuordnen?
Wie ist das mit der IPv6?
Bräuchte Zugriff von außerhalb auf meinen NAS-System bzw. Solarlog (Photovoltaik Anlage). Kann das so realisiert werden? Oder wird im LAN auch schon IPv6 dazu gebraucht?
Hab mich mit diesem Thema noch nicht so wirklich beschäftigt.
Gibts schon oder wirds eine deutsche Übersetzung geben?
-
Hallo Thargor,
ich komme auch von IPCop über IPFire und die nächste produktive FW wird wohl OPNsense werden. Die Entwicklung ist deutlich aktiver zumindest im Vergleich zu IPCop.
Viele Grüße,
Jochen
-
Warum einfach, wenn es auch kompliziert geht ;)
IPcop hat nun ja auch schon Jahre auf dem Buckel.
Ich hatte das vor mehr als 10 Jahren mal in gebrauch mit Einwahlsteuerung und Firewall fuer eine doppelte ISDN Internetverbindung, weil mein Stadtteil OPAL Glasfaser "verseucht" war und fand dann Fli4Linux doch besser.
IPcop wurde bekannt, in Dland hatte es die heise Redaktion gefoerdert und nahm dann einen aehnlichen Weg wie jetzt pfSense, es wurde speziell, spezieller und dann viertel und halb und mehr Kommerziell mit mehreren Fork-Projekten.
Das Rot-Gruen-Orange hat sich bewaehrt und ging auch in Nachfolger ein. Hast Du mal darueber nachgedacht die Interface=farben mit farbigen Netzwerkkabeln nachzustellen, sprich gruen fuer den LAN port, rot fuer den WAN port, Blau/Organe fuer den DMZ port? Plus Du kannst die Netzwerk interfaces natuerlich auch ROT und GRUEN statt WAN und LAN nennen , wenn es Dir beliebt, oder halt WAN (rot).
Im Hinblick auf die Firewall ist die Farbampel natuerlich vereinfachend und passt dann schnell nicht mehr zu einer komplexen und leistungsfaehigen Firewall software wie pf (PF) hier bei uns. Wie Du anhand meiner oben angefuerhrten Beispiele erahnen kannst ist pf das leistungsfaehigere Product und IPcop bilded eine GUI fuer iptables bei Linux.
Deine Hardware: Du hast ein PC-Engines Produkt gewaehlt, fuer dass es noch keine stark ausgearbeitetes OPNsense software image gibt, d.h. was wir haben ist noch in der Entwicklung. Plus du kannst nur mit einer Terminalverbindung ohne Monitor auf die APU von PC-Engines zugreifen.
Da Du von IPCop kommst und nach einer englischen Uebsetzung fragst ist es evtl. besser fuer Dich mit deiner bisherigen IPCop Hardware einmal OPNsense auszuprobieren (1GHz reicht).
Ich empfehle dir also OPNsense ohne die PC-Engines APU Hardware zu nutzen (weil es einfacher ist) oder die APU mit dem pfSense image auszuprobieren oder wenn Du es Dir trotz der Warnungen zutraust halt die APU mit OPNsense (als Bastel und Lernprojekt) was Du aber evtl. aufgrund von Zeitmangel nicht zum Laufen bekommen wirst.
Du kannst von aussen auf dein Solarlog oder NAs system zugreifen, wenn dir die Stichworte port forwarding und/oder 1:1 NAT und/oder virtual IP etwas sagen. Wenn Du wenig weist fang einfach an im Netz zu lernen. Dein vorgestelltes Setup sollte von Dir mit Hilfe der meist englischen Internetquellen aufzusetzen sein.
Ein sehr einfacher Weg fuer Deine Beduerfnisse waere evtl. ein Consumer-router wie die Fritzbox. Und du brauchst nicht unbedingt IPv6 fuer ein locales sicheres LAN mit NAS und Solarlog.
-
A propos pcengines APU hardware. Mein(e) OPNsense(es) laufen seit anfangs März problemlos auf dem APU. Ich habe vom USB Stick auf das interne mSATA SSD installiert. Gruss jakob
Gesendet von iPhone mit Tapatalk
-
A propos pcengines APU hardware. Mein(e) OPNsense(es) laufen seit anfangs März problemlos auf dem APU. Ich habe vom USB Stick auf das interne mSATA SSD installiert. Gruss jakob
Ja, stimmt, habe ich gerade auch gesehen bei der nach-recherche. Die APU hat einen Sata-Anschluss. Wunderbares Teil, das! :)
-
So
hab vor Tagen die neue Hardware bekommen und auch OPNSense erfolgreich installiert bekommen.
Inklusive WLAN. Alles läuft rund auf der APU1D4 Hardware.
Was mich bissl stört, das es noch keine echte Dokumentation gibt. Was all die verschiedenen Einstellungen bedeuten, weder in Englisch geschweige mal was auf Deutsch.
Wird es eine deutsche Übersetzung mal geben, wie z.b es bei dem IpCop der Fall ist?
Wäre sicher sehr hilfreich, und würde das auch interessanter machen für andere User die dem englischen nicht so mächtig sind.
Vieles ist ja sehr speziell.
-
Thargor,
das braucht noch etwas Zeit. Zuerst will das Team die Version 15.7 im Juli herausbringen.
Welche Teile sind deiner Ansicht nach am allernotwendigsten?
Persönlich habe ich den Eindruck, dass der englische Text im GUI doch recht aufschlussreich ist.
Tip: notfalls hilft google ;)
jakob
-
Es würde vllt schon was bringen wenn gewisse Funktionen beschrieben werden wofür sie gut sind:
Captiveportal z.b.
Oder einfach grundlegende Dinge kurz erläutert wie die einzustellen sind: Sprich ein Wlan einrichten, und dort z.b. eine feste Adresse vergeben und das nur der Teilnehmer mit dieser MAC Adresse sich dort einwählen darf.
Oder wie eine Verbindung auf der WAN Schnittstelle eingestellt wird.
Ein kleines, HowTo wie man die OPNSense FW schnell und sicher einrichtet
EDIT: so hab mich bissl schlau gemacht: weiss nun was CaptivPortal ist :-)
Hab noch eine gute Anleitung gefunden, ist zwar für die m0n0wall/pfsense, aber denke OPNsense ist ja darauf aufgebaut: http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html
-
Hallo, diese Seiten helfen auch weiter:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
http://www.nwlab.net/tutorials/pfSense/
jakob
-
@jstrebel
Moin und Danke für die Links. Denke das bringt mich schon was weiter.
Aber: gibts eine Möglichkeit nach dem Starten von OPNSense sich mit Putty auf die Konsole/Shell einwählen?
-
Sobald die initialinstallation abgeschlossen ist und der OPNsense mit einer LAN Adresse versehen ist, kannst du via putty (ssh) als root mit pw opensense zugreiffen.
-
SSH muss erst konfiguriert werden über die GUI, und auch Nutzer "root" und Password "opnsense" geht nur mit:
System: Settings: Admin Access
- Enable Secure Shell
- Enable root user login
- Enable password login
-
Danke.
Werds mal so einrichten und testen!
-
Hallo,
ich komme auch von ipcop. Ich war auf der Suche nach einer Firewall mit einer aktiven community, ipv6 und mehreren wan-Schnittstellen. Leider habe ich nur ein paar theoretische Kenntnisse von freeBSD. Ich lese mich gerade etwas ein und werde in Kürze ein Testsystem aufbauen.
Deshalb herzliche Grüße in die Runde, ich hoffe beim richtigen System angekommen zu sein, das ich für mich und Freunde einsetzen möchte, weil wir für ein freies und offenes Internet sind, aber auch wissen, welche Gefahren bestehen.
Grüße aus dem Süden
Franz
-
Willkommen Franz. Erste Eindrücke und Vorschläge sind erwünscht. :)
-
Moin.
Ebenfalls ipcop'ler seit.. v1.2? Weiß nicht mehr.
Eigentlich finde ich ipcop immer noch nett, aber es fehlen mir zu viele Dinge wie pptp, l2tp, ipv6..
Fahre deshalb immer noch die 1.4 - da gab es halt noch Addons für ppt etc. Hab aber nun angefangen, eine neue Kiste (Lex Brik 3I270D) mit OPNsense zu bestücken - naja, man muss sich schon umgewöhnen.. ^^
Geschafft: Netzwerke und openvpn user (>50) zu importieren - was mal echt Arbeit ist, aber geht.
Was mir fehlt:
- Ein Notizen-Feld. Überall. Bei Usern, bei Zertifikaten, bei Netzwerken...
- Proxy mit der Möglichkeit, auf einfachem Weg z.B. Listen der Uni Toulouse zu importieren
- Getrennte VPN-User und lokale User für Administration etc. Zwar muss man bei OpenVPN nur die Zertifikate haben (und gar keine User anlegen), aber da fehlen mir dann wieder Notizfelder.. :D
- Captive portal krieg ich einfach nicht zum laufen, hab aber noch nicht wirklich Fehlersuche betrieben..
- Ich kann mich noch nicht so recht mit dem Prinzip "alle Einstellungen in einer Mammutdatei" anfreunden. Es ist teils eine ziemliche Sucherei, wo und wie dann die "echten" Einstellungen verändert werden (also unter /etc usw.), ist alles etwas.. weiß nicht, unübersichtlicher. Bei ipcop gab es unter /var/ipcop/ alle Configs und man hat nicht gleich alles zerlegt, wenn man statt 700 mal 007 getippt hat.. ^^ Gut, ist sicherlich eine Geschmacksfrage, aber die Gefahr, bei Fehlern in nur einer einzigen Datei das ganze System unbrauchbar zu machen, ist IMHO durchaus gegeben. Wer wie ich auch mal per ssh & vi Änderungen an einer Firewall >100km weit entfernt macht, lernt übersichtliche Strukturen schätzen. Spart einfach Benzin. :D
Naja, mal sehen, i.A. ist es mir zu warm um weiter zu basteln. Aber da ich ca. 25 IPCops ersetzen will, werde ich wohl noch öfters hier auftauchen. ;)
-
OK.. noch was..
Ich nutze xca als Zertifikatsverwaltung (http://sourceforge.net/projects/xca/) und importiere die Zertifikate dann per GUI. Wenn man viele OpenVPN-User hat und nicht jeden auch als User anlegen will (was vor allem viel mehr Zeit braucht als nur die Zertifikate zu importieren), kann man diese User/Zertifikate aber nicht an- und abschalten - also den User resp. das Zertifikat nicht aktivieren oder deaktivieren. Nur löschen.. hmmm..
Sinnvoll ist so etwas z.B. wenn externe Dienstleister zwecks Fernwartung einer Anlage mal in ein Netz dürfen, aber deren Account halt nicht dauernd aktiv sein soll, sondern eben nur nach Absprache und unter "Beobachtung". Also doch User anlegen? *seufz*
Würde mich über so eine Einstellungsmöglichkeit sehr freuen.. ^^
squid: Wo kann man max. Dateigröße, max. Gesamt-Cache, Cache-Pfad usw. einstellen? Wohl noch gar nicht? Und wo sollte man jetzt an so was rumschrauben, ohne spätere Updates zu zerlegen?
Hab mir btw. noch apcupsd und *hust* bash nachinstalliert.
Edit: ach ja, und das OpenVPN Client Export Package wäre echt suuuper, denn normalerweise will man verschlüsseltes pkcs12 haben. Bei IPCop kann man z.B. ein zip herunterladen mit einer Name.p12-Datei (verschlüsselte CA, key und cert) und einer Name.ovpn-Datei (OpenVPN Client conf Textdatei). Für Windows kann man das direkt nehmen (auch wenn Import in Zertifikatsspeicher manchmal sinnvoller ist) und für Macs Ordner drumrum und .tblk dranhängen für Tunnelblick.
Beispiel Name.ovpn:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote ip-adresse 1194
pkcs12 name.p12
cipher BF-CBC
verb 3
ns-cert-type server
-
Nachtrag:
OK, VPN User Export ist ja doch schon drin. Sehr gewöhnungsbedürftig, aber da.