OPNCentral enteuschung

[alexebner]

Hallo !

Ich habe jetzt mal versucht mit OPNCentral mehrere Firewalls zu konfigurieren und mir das Leben damit zu erleichtern. Leider stellte sich das als totale Katastrophe heraus.
Die eingesetzten Firewalls sind für unterschiedliche Standorte. Diese haben auch eine unterschiedliche anzahl von Netzen , VLANS und Wireguard verbindungen. Beim durchspielen diverser konfigurationen hat sich volgendes ergeben.

Zentrale verwaltung von Aliase können nur bedingt verwendet werden wenn man von Anfang alles nur über die Zentrale Firewall konfiguriert.
Firewall Regeln und NAT kann man nicht verwenden da entweder alle Regeln gelöscht werden die auf der Verwalteten firewall sind oder wenn man es konfiguriert das nur regeln für bestimmte Schnittstellen synchronisiert werden diese immer bei den Falschen Interfaces landen. Die Zuordnung findet nämlich nur über die Schnitstellen identifikation statt die man aber nicht ändern kann. Somit funktioniert das ganze eigentlich nur zuverlässig wenn alle Standorte 100% gleich sind. Es darf auf keinen Standort ein VPN Zusätzlich geben oder Vieleicht ein VLAN zusätzlich. Nochdazu muss immer überall alles in der gleichen Reihenfolge angelegt werden.

Das Hauptproblem ist das man die Netzwerkkennung nicht ändern kann sondern das dies einfach nur durch Nummeriert wird.

Oder habe ich noch irgend eine Option übersehen wie man das besser regeln kann?

Ich finde es etwas schade das man die Funktion überhaupt Zentrale Verwaltung nennt da dies keine Verwaltung sondern eine sehr dumme 1:N kopie der einstellung ist.

[ews]

Ich glaube du hast keine Option übersehen — das ist tatsächlich ziemlich nah an dem aktuellen Stand von OPNCentral.

Die Plattform entwickelt sich zwar sichtbar weiter und mit 26.4 wurde ja begonnen, Firewall-Regeln auf das neue MVC/API-System umzustellen, aber im Moment ist OPNCentral noch eher ,,zentralisierte Konfigurationsverteilung" als echtes zentrales Management wie man es z.B. von FortiManager, Panorama oder Sophos Central kennt.

Gerade bei heterogenen Umgebungen mit:

unterschiedlichen VLANs
zusätzlichen WireGuard/OpenVPN-Tunneln
abweichenden Interface-Layouts
standortspezifischen Regeln

stößt das Konzept aktuell sehr schnell an Grenzen.

Das Hauptproblem ist genau das was du beschrieben hast:
die Zuordnung basiert intern stark auf der Reihenfolge bzw. den generierten Interface-IDs (opt1/opt2 usw.) und nicht auf stabilen frei definierbaren Interface-Objekten. Dadurch funktioniert das Ganze praktisch nur wirklich zuverlässig wenn die Firewalls nahezu identisch aufgebaut sind.

Ich glaube aber auch, dass OPNsense das durchaus bewusst ist. Wenn man sich die Entwicklung der letzten Versionen anschaut, sieht man schon klar die Richtung:

Migration auf MVC/API
neue zentrale Rule-Engine
immer mehr API-fähige Komponenten
OPNCentral-Ausbau
automatische Host-Erkennung
zentralisierte Verwaltungsidee

Aber aktuell steckt das Ganze technisch noch mitten im Umbau.

Für identische Außenstellen (wie bei uns) funktioniert OPNCentral heute schon durchaus brauchbar.
Für echte Multi-Site-Umgebungen mit individuellen Standorten fehlt aber aus meiner Sicht noch:

stabile Interface-UUIDs
Mapping nach Namen statt Reihenfolge
Template-/Variablen-System
Merge statt Replace
standortspezifische Overrides

Erst dann wird daraus wirklich ,,zentrale Verwaltung" und nicht eher eine intelligente 1:1 der config.xml.