Umstieg Sophos UTM 9 (VM) zu OPNsense (VM)

Started by Mr.Bit, October 23, 2025, 01:54:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 23, 2025, 01:54:58 PM
Hallo zusammen,

ich habe eine Sophos UTM 9 Installation, welche ich aufgrund des EOL der Sophos auf OPNsense umstellen möchte. Die UTM läuft als VM auf einem vmware Server, hat aktuell nur ein Interface konfiguriert, über welches Management und Dienste laufen.
Die UTM fungiert aktuell nur als Web Application Firewall (Reverse Proxy) und SMTP Filter, so soll auch die Sense arbeiten (ebenfalls als VM).

Netzaufbau aktuell:


      WAN / Internet
            :
            : Telekom Glas / WAN
            :
      .-----+-----.
      |  Lancom   | ---> Weiterleitung Port 25, 80, 443 zu Sophos UTM -> Mails gehen zu Exchange, 443 zu Exchange, Port 80 bleibt auf der UTM (LetsEncrypt)
      '-----+-----'
            |
            |
            |
      .-----+------.
      | LAN-Switch | -  - - - - - - - - Sophos mit Revers Proxy und SMTP Filter (eingehend)
      '-----+------'
            |
    (Clients/Servers)
      '-----+------'

Wenn ich die richtigen Informationen in der heiligen Suchmaschine gefunden habe, würde sich für dieses Scenario eine OPNsense als "Filtering Bridge" Modus anbieten, mit HAproxy, nginx oder caddy und Mailgateway (ClamAV, Postfix, Redis, Rspamd).

Würde es so funktionieren?

Danke und Gruß

Mr. Bit
           

     
October 23, 2025, 09:00:50 PM #1
Hallo,

es sollte genau so funktionieren wie mit der Sophos.

Aber wie kommst du auf "Filtering Bridge Modus"?
Das gibt es bei einem "Router on a Stick" Setup gar nicht. Eine Bridge würde mehr als ein Interface voraussetzen. Das hast du aber nicht geplant.
Oder meinst du Transparent Reverse-Proxy? Dann vergiss es. Das funktioniert nur, wenn der Reverse-Prosy am Pfad zum Default Gateway liegt, oder die Firewall nicht stateful ist und alles raus lässt.
Das hast du aber aktuell wohl auch nicht.

Die HAproxy Konfiguration ist ziemlich umständlich auf OPNsense. Da muss man sich eine Zeit einarbeiten. Caddy sollte laut den Threads hier einfacher sein.

Mailgateway wird wohl kein Probem sein. Ich verwende es allerdings ohne Filtertools.

Grüße
October 24, 2025, 09:29:00 AM #2
Hallo und Danke für Deine Antwort,

QuoteAber wie kommst du auf "Filtering Bridge Modus"?

Beim lesen der OPNsense Anleitungen mit Standard Router Setup hat man ja immer WAN Interface, Lan Interface, Management Interface, was bei vorgelagertem Router zu einem Doppel NAT führen würde.
Das OPNsense Setup als "Filtering Bridge" erscheint mir als äquivalent zum UTM Setup, ich habe nur eine IP (wie bei der UTM), die Sense hängt zwischen WAN und LAN und "filtert".... oder denke ich zu kompliziert? Geht es einfacher, wenn ja wie?

Netzdiagramm aus dem Forum für "Filtering Bridge"

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Lancom   |  (or Router, CableModem, whatever)
      '-----+-----'
            | 10.0.0.1/24
        WAN |
            |
      .-----:-------.
      |  OPN:sense  +-------.
      |  (Br:dge)  |       |
      '-----:-------'       |
            |              | 10.0.0.253/24
        LAN |         MGMT | management interface
            |              |
      .-----+------.       |
      | LAN-Switch +-------'
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Gruß und Dank

Mr. Bit
October 24, 2025, 09:49:49 AM #3
Es geht einfacher: ersetze den Lancom durch die OPNsense. So und nicht anders ist das gedacht.

Filtering Bridge ist die komplizierteste und fehleranfälligste Topologie, die es gibt. Irgendwie kommen da in den letzten Tagen dauern neue Leute mit dem Thema ins Forum und natürlich klappt es dann nicht. Du brauchst extrem solides Netzwerk-Grundlagen-Wissen, um das aufzusetzen und der Nutzen ist fraglich? Wozu soll das gut sein?

Entweder: du hast einen Router mit Firewall. Du brauchst keine OPNsense.
Oder: du bist mit dem Router aus Gründen nicht zufrieden. Dann ersetze ihn durch OPNsense.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 24, 2025, 10:15:57 AM #4
Hallo und Danke,

den/die bestehenden Lancom zu ersetzen ist nicht geplant/gewollt (neue Hardware, Wegfall von Funktionalität), ich suche nach einer "einfachen" Scan/Filter/Proxy Lösung als Ersatz für die UTM. Ich suche eine Lösung die portierbar ist, heißt mit jedem vorgelagertem Router funktioniert und "nur" diese Dienste bietet.
Ich habe selbst privat eine pfsense (steinigt mich bitte nicht) laufen, IT  mache ich seit 30 Jahren, ob ich nach Deinem Verständnis "extrem solides Netzwerk-Grundlagen-Wissen" habe weiß ich nicht, ich habe aber schon so ziemlich alles gebaut und administriert, von 33.6 Kupfer ;) über Richtfunk bis Glas, vom Privathaushalt bis zum 500+ Mitarbeiter Unternehmen mit x Standorten.
Wenn OPNsense dafür nicht die richtige Lösung ist, muss ich anderweitig suchen.

Danke und Gruß

Mr. Bit
October 24, 2025, 10:22:56 AM #5
Mit dem Hintergrund bist du auf jeden Fall eher in der Zielgruppe. Aber wenn du die UTM derzeit mit nur einem Bein im Netz hast und nur den Proxy und andere Dienste nutzt, dann kannst du das natürlich mit der OPNsense genau so tun. Du musst das nicht als filtering Bridge aufsetzen.

Die ergibt nur Sinn, wenn man in einer bestehende Infrastruktur unbedingt einen transparenten Proxy reindengeln will - was wieder ganz andere Probleme nach sich zieht. Deshalb erst mal die Warnung.

Aber OPNsense mit nur einem Interface im bestehenden LAN - geht. Hab ich an unserem Standort in Frankfurt auch. Dort macht sie DHCP- und DNS-Server und VPN-Gateway hinter einer Fritzbox.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 24, 2025, 10:48:30 AM #6
Nochmals Danke,

dann werde ich einfach mal eine VM aufsetzen und testen.

Schönes Wochenende

Mr. Bit

PS: Danke fürs Nichtsteinigen ;)
October 24, 2025, 10:52:55 AM #7
Quote from: Mr.Bit on October 24, 2025, 09:29:00 AMwas bei vorgelagertem Router zu einem Doppel NAT führen würde.
Die Befürchtungen zu dieser Konfiguration sind meist unbegründet. Aber vieleicht hast du triftige Gründe, dies zu verhinden.

Quote from: Mr.Bit on October 24, 2025, 09:29:00 AMDas OPNsense Setup als "Filtering Bridge" erscheint mir als äquivalent zum UTM Setup, ich habe nur eine IP (wie bei der UTM), die Sense hängt zwischen WAN und LAN und "filtert".... oder denke ich zu kompliziert?
Diese Konfiguration hast du aktuell aber auch nicht, und wie erwähnt unnötig kompliziert.

Route on a Stick kann man machen. Die Firewall filtert dann aber nur das, was explizit da hin geschickt wird.
October 24, 2025, 07:27:26 PM #8
OPNsense mit nur einem Interface ist kein Problem. Eine so konfigurierte Instanz habe ich als VM bei einem Hoster laufen. Darauf läuft Unbound als über DoT und DoH erreichbarerer Resolver mit Werbeblocker (für meine Mobilgeräte). Außerdem fungiert sie als WireGuard-Gateway. Falls das heimische OPNsense bei Festnetzausfall auf Mobilfunk zurückfällt (und daher keine eingehenden Verbindungen möglich sind), dann komme ich auf diesem Weg dennoch ins Heimnetz.

Die VM einfach mit einem Interface konfigurieren und dieses beim initialen OPNsense-Setup dem WAN(!) zuweisen. Ein LAN-Interface gibt es dann nicht. Und wie die Kollegen schon sagten: Das ist kein Use Case für eine Filtering Bridge, denn Du hast ja nur ein Interface.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions