[GELÖST] OPNsense-VM vs. OPNsense-Appliance

[Emma2]

Ich habe gerade per Zufall bei Thomas Krenn gesehen, dass eine OPNsense-Appliance ja gar nicht sooo teuer ist.
Meiner aktuellen Lösung als VM auf einem Host mit 4 NICs entspräche das zweitkleinste Gerät, was je nach Konfig bei 300,-€ bis 500,-€ liegt.

Welche Vorteile habe ich durch die "Hardware-Lösung"?
Was sollte mich dazu motivieren, meine gut laufende VM gegen die spezielle Appliance auszutauschen?

Sicherheit wegen Hardware-Trennung? Schnelligkeit wegen dezidierter Hardware? Ausfallsicherheit wegen der Vor-Ort-Garantie? Was spricht sonst noch dafür? Oder kann ich beruhigt mit meiner seit langer Zeit gut laufenden VM-Lösung weitermachen?
(NB: Auf dem Host der OPNsense laufen sowieso nur VMs, die ebenfalls in der DMZ wohnen.)

Falls ich umsteigen wollte, könnte ich davon ausgehen, dass - bis auf die Benennung der NICs - die Portierung meiner aktuellen Konfiguration "ein Klacks" ist? Oder könnte es dabei Schwierigkeiten geben?

[micneu]

wenn du wießt was du tus ist es ein kinder spiel. ich exportiere mir die konfig und öffne sie in einem texteditor, per suchen und ersetzen (brain on) tauche ich dann die interfaces aus. und danach einfach in die neue einlesen. (geht nur wenn beide die gleiche anzahl an nic‘s haben, hat die neue hardware mehr ist es nicht schlimm)


Gesendet von iPad mit Tapatalk Pro

[lfirewall1243]

Also klar ist Bare Metal sicherer als eine VM, da du mögliche Sicherheitslücken in der Virtualisierungsumgebung umgehst.
Außerdem hast du die Ressourcen nur für die OPNsense. Falls deine VMs falsch konfiguriert sind und sich eine die ganzen Resource zieht leidet deine OPNsense darunter, bei dedizierter Hardware eben nicht.
Außerdem ist man mit den Anschlüssen wesentlich flexibler, Mal eben neues Kabel dran für eine dmz o.ä. ist bei einer VM etwas schwieriger.

Dennoch hat man bei der VM die Möglichkeit snapshots vor den config Änderungen oder Updates zu machen (bisher alles gut gegangen dennoch schön wenn es geht).

[kosta]

Ich stand vor paar Jahren vor der Entscheidung, und hab mich damals für einen selbstgebauten kleinPC entschieden. Appliance hat noch was drauf in dem sie genau für das eine gebaut ist. Wodurch sie sicher verlässlicher ist.
Grund für den PC war für mich die Flexibilität, da ich damals Sophos drauf hatte, jetzt OPNsense.
Genauso wie der Server, rennt dieser PC 24/7, und schon seit Jahren ohne wirklichen Macken (einmal ginge der CPU-Lüfter ein, ist mir aber nicht mal aufgefallen, erst dann wo ich mal alles entstaubt habe).
Ich denke die Appliance wird da noch um ein Stück besser sein.
Gegen VM habe ich mich wegen Verlässlichkeit entschieden. Den Server muss man schnell mal neustarten, wenn irgendwelche Updates, Systemänderungen bevorstehen (schlimm wenn Hyper-V, weniger schlimm bei VMware, was ich aktuell habe). Im Vergleich startet man eine Firewall so gut wie nie neu.
In IT jetzt fast 15 Jahre, ich tät eine Firewall immer auf eine Appliance oder Hardware stellen.
In einer Test-Umgebung, klar VM, aber Produktiv, zu Hause, Hardware.
Stell dir mal so vor: in einer VM ist die FireWALL in einer Umgebung, egal wie logisch getrennt. Auf einer Appliance ist die FireWALL wirklich eine "Wand" zwischen WAN und LAN ;-).

[lfirewall1243]

Ich stand vor paar Jahren vor der Entscheidung, und hab mich damals für einen selbstgebauten kleinPC entschieden. Appliance hat noch was drauf in dem sie genau für das eine gebaut ist. Wodurch sie sicher verlässlicher ist.
Grund für den PC war für mich die Flexibilität, da ich damals Sophos drauf hatte, jetzt OPNsense.
Genauso wie der Server, rennt dieser PC 24/7, und schon seit Jahren ohne wirklichen Macken (einmal ginge der CPU-Lüfter ein, ist mir aber nicht mal aufgefallen, erst dann wo ich mal alles entstaubt habe).
Ich denke die Appliance wird da noch um ein Stück besser sein.
Gegen VM habe ich mich wegen Verlässlichkeit entschieden. Den Server startet man schnell neu, wenn irgendwelche Updates bevorstehen (schlimm wenn Hyper-V, weniger schlimm bei VMware, was ich aktuell habe).
In IT jetzt fast 15 Jahre, ich tät eine Firewall immer auf eine Appliance oder Hardware stellen.
In einer Test-Umgebung, klar VM, aber Produktiv, zu Hause, Hardware.
Stell dir mal so vor: in einer VM ist die FireWALL in einer Umgebung, egal wie logisch getrennt. Auf einer Appliance ist die FireWALL wirklich eine "Wand" zwischen WAN und LAN ;-)

Nunja
Da man einen VM Host eh außerhalb der wirklichen Nutzungszeit neustartet sollte das kein Problem geben

Wenn alle Server etc. Aus sind braucht es dir Firewall gerade auch nicht

[kosta]

Bin nicht so Freund davon. Über Nacht laufen Syncs der wichtigen Daten auf die Cloud-Dienste und netzinterne Backups (natürlich jetzt von der FW nicht direkt betroffen). Natürlich kann man jetzt sagen planen lässt sich alles, Neustart am Samstag, keine Cloud-Kopie, wie auch immer. Timen lässt sich alles, immerhin wiege ich die Vorteile der Hardware eher überwiegend. Die Vorteile der VM-Lösung sind für mich eher mager.

[JeGr]

> Da man einen VM Host eh außerhalb der wirklichen Nutzungszeit neustartet sollte das kein Problem geben
> Wenn alle Server etc. Aus sind braucht es dir Firewall gerade auch nicht

Gerade das ist das Killerargument schlechthin gegen VMs.
Wenn der Hypervisor down geht ist Schicht im Schacht. Dann geht auch KEIN Internet mehr wo man mal kurz nachschauen, was runterladen, patchen etc. könnte. Das hat man einfach viel zu wenig auf dem Schirm.

Wenn das alles kein Thema ist - warum nicht. Kann man auch virtuell fahren. Aber beim ganzen VM Thema wird gerne vergessen, dass es auch den Problemfall gibt. Wichtiger HV Patch for ESX, Proxmox, Hyper-V, whatever. Oder in Business Umgebungen wo noch weitere VMs auf dem gleichen Host/Cluster laufen sind Spectre und Co. eben auch valide Angriffsvektoren. Dann ist es vielleicht eher suboptimal auf der gleichen Hardware auch die Firewall laufen zu haben. Sollte man dann auf dem Schirm und im Hinterkopf haben. Und wenn dann mal wieder ein Hotfix der Virtualisierung den Cluster oder die VM killt und man dann keinen Plan B hat, um wieder Netz zu bekommen - tjoa da standen schon der ein oder andere Kunde da und meinte "und jetzt? Aber virtualisieren war doch so günstig"

Und nö ich bin nicht komplett dagegen - aktuell bin ich in der Vorbereitung auf meiner Hardware auch 2-3 Instanzen von Sensen laufen zu lassen. Wegen HA und Updates und ggf. auch Tests etc. und ich damit die HW eben besser ausnutzen kann. Aber da läuft dann nur Firewalls und ggf. noch eine kleine Monitoring Instanz auf der HW und sonst nichts. Das ist dann völlig OK und der Plan B liegt in Form von der alten Hardware im Schrank für den Fall dass der HV mal die Grätsche macht

[dsecure]

[...]

Genau das wäre auch mein Argument, habe mittlerweile ebenfalls einen kleinen Proxmox Server neben her am laufen, zum Testen von Einstellungen bei Opnsense (Pfsense) oder auch kennenlernen von anderen Distros gut geeignet.

Für kleinere Netzwerke und Bandbreiten bis 100MBit ist eine APU doch nicht verkehrt, verbraucht nicht zu viel el. Leistung und hat genug Performance dort den Workload zu handeln.

[kosta]

In der Firma ginge es gar nicht, dass die Firewall als VM ist. Kollegen aus dem VPN trennen nur weil ich was patchen muss? Neeee... Ich sag nur, es hängt auch sehr stark davon ab, was man hat, wie konfiguriert und ob es für einen auch praktisch und überhaupt machbar ist, Firewall als VM zu haben.

Zu Hause ist natürlich etwas entspannter, aber schon alleine die Tatsache dass Internet weg ist wenn man den Server neu startet ist für mich Grund genug für die Hardware. Gegenteilig zur Firma, zu Hause "spiele" ich mehr, und das impliziert auch oft mal schnell "etwas" am Hypervisor zu machen.

Natürlich geht es aber auch. Wenn man das will, muss man sich nur gut die Gedanken darüber machen, ob man mit Nachteilen leben kann und will. Wenn ja, spricht absolut nichts dagegen.

[Patrick M. Hausen]

Ich hatte lange Zeit einen VMware-Cluster mit je einer VM auf den beiden ESXi-Servern und einer HA-Konfiguration der beiden Firewalls. Secure Computing Sidewinder. Lief tatsächlich wie eine Eins.

Die Firewalls wurden durch Hardware ersetzt, weil der Durchsatz irgendwann nicht mehr ausreichte ... nicht wegen der Verfügbarkeit.

[Emma2]

Danke für Eure Erläuterungen... jetzt gibt's genug zum Drübernachgrübeln. 
(Ich markiere die Frage als gelöst.)

[multimania]

...falscher Post.

[lfirewall1243]

Hallo,

es hat mir doch keine Ruhe gelassen und ich habe heute noch mal versucht herauszufinden woran es liegt.

Problem besteht nur wenn WAN kurz weg ist, reboot der Fritzbox.
Wenn nur die WAN Verbindung der Fritzbox kurz weg ist, kein Problem.

Das Gateway (Monitor IP: 8.8.8. über die Fritzbox bleibt dann auch auf Down, obwohl die Verbindung wieder besteht.

Es geht kein Traffic über WAN raus, daher auch keine DNS Auflösung.
Geht aber auch nicht von der Konsole per PING

Erst wenn ich den OpenVPN Client beende, wird das Gateway wieder als UP angezeigt.
Auch PING und DNS Auflösung funktionieren dann wieder.

Jemand eine Idee?

Gruß
Multi.

Glaube du bist im falschen Thread