[Gelöst]Zuverlässiges Sperren von BOGONS auf ausgehende WAN Verbindungen - BstPr.?

[michael.seidel]

Dann erklär das mal den üblichen Verdächtigen mit OpnSense hinter einer Fritzbox ;-)

WAN Interface = ISP = routebare IP ist eben nur für den Heimanwender der Standardfall, nicht im Business-Umfeld. Und wie viele Heimanwender nutzen schon OpnSense?

Irgendwie wiedersprichst du dir damit selbst, ich kapiers leider nicht. Sorry. Könntest du das nochmal überarbeiten was du genau aussagen willst?

OPNsense ist für mich entweder das Business Produkt oder für den Interressierten, dem halt ne FritzBox nicht langt, diese dann in den Modem Status setzt und dann halt einfach alles über einen Server, MiniPC oder VM etc. löst. Ich glaube auch nicht daran, dass im Produkt OPNsense alles für jeden DAU einfach sein MUSS. Aber zumindest Sicher sollte es doch per default sein UND man sollte nach Möglichkeit die Notwendigkeit eines Support Tickets oder Hilfe ersuchens niedrig halten. Die machen Arbeit und das will man ja eigentlich in seiner Freizeit nicht. Weil ich das so sehe und keinem unnötige Arbeit machen will, verhalte ich mich halt entsprechend. Wenn man dann noch die Gatekeeping Keule bekommt fühlt man sich halt eher bestätigt und welchselt lieber das Produkt als am Ball zu bleiben.

@ Patrick
Firewall zwischen öffentlichen IPs seh ich jetzt eher als nieschendasein als die Regel im Business Umfeld, wo macht man denn das so häufig?

Typisch für IPv4 würde ich finden:
Öffentliche IP -> WAN -> DMZ Netz RFC1918 -> WAN 2. FW RFC1918 -> LAN RFC1918
Oder:
Öffentliche IP -> WAN -> LAN RFC1918
Oder ggf  noch:
Öffentliche IP -> MODEM -> WAN RFC1918 -> LAN RFC1918

Bei V6 vielleicht eher mit öffentlichen. Mal gucken wann. ;-)

[meyergru]

Das ist eben das Problem. Du würdest finden.

Und nur, um nochmal ganz klar zu machen, was ich meinte: Im Business-Umfeld gibt es häufig die Situation, dass man entweder:

a. auf dem WAN RFC1918-Adressen hat.
b. auf dem LAN keine RFC1918-Adressen hat.

Und Business ist klar das Target für OpnSense - Deciso will damit nämlich Geld verdienen.

Und zweitens (oder erstens): Selbst wenn man die kleinere Gruppe der Heimanwender betrachtet, gibt es hier im Forum sehr viele, die eine Fritzbox vor der OpnSense betreiben (entweder, weil sie es nicht besser wissen oder weil der ISP es nicht anders erlaubt). Und bei denen hat man auf dem WAN Interface der OpnSense auch keine routebaren IPs, sondern RFC1918.


Du siehst: Deine Annahme gilt bei sehr vielen OpnSense-Anwendern einfach nicht. Remember: YMMV.

[Patrick M. Hausen]

Firewall zwischen öffentlichen IPs seh ich jetzt eher als nieschendasein als die Regel im Business Umfeld, wo macht man denn das so häufig?

In einem RZ im Hosting-Umfeld? Ich muss ja die Bleche der einzelnen Kunden, die alle öffentliche IP-Adressen haben - sonst stünden sie nicht in meinem RZ - irgendwie voneinander isolieren.

[michael.seidel]

Firewall zwischen öffentlichen IPs seh ich jetzt eher als nieschendasein als die Regel im Business Umfeld, wo macht man denn das so häufig?

In einem RZ im Hosting-Umfeld? Ich muss ja die Bleche der einzelnen Kunden, die alle öffentliche IP-Adressen haben - sonst stünden sie nicht in meinem RZ - irgendwie voneinander isolieren.

Verstanden danke für das Beispiel. Wenn man ne Firewall als "Dienstleistung" anbietet macht das natürlich Sinn.

Die Frage ist nur, wie oft wird eine OPNsense als Router oder VPN Gateway für Firmennetze eingesetzt vs. wie oft ist sie "nur" eine Firewall in einem öffentlichen Umfeld und warum würde man es in einem Router Umfeld dem jeweiligen Admin es extra schwer tun sein System sicher zu konfigurieren?

Egal. Ich würde vorschlagen wir schließen die Diskusion hier. Ich danke vor allem dir, Patrick. Auch Dank an meyergru.