Migration - Ipfire -> opnSense

Started by lenny, October 25, 2019, 07:23:32 PM

Previous topic - Next topic
Print
Go Down Pages1 2 3
User actions
October 25, 2019, 07:23:32 PM Last Edit: October 25, 2019, 07:45:15 PM by lenny
Hallo zusammen,

seit Jahren habe ich ipfire im Einsatz, mal mehr mal weniger zufrieden.
Langsam scheint es (leider) immer mehr einzuschlafen.
Bei pfSense hatte ich immer wieder bedenken wegen des Sitzes in der USA - auch wenn der Funktionsumfang deutlich höher war.
Nach nun langen Gedanken, wird es wohl opnSense für mich werden.
Eins vorweg, wird es zukünftlich etwas vergleichbares wie pfblockerng geben? damit dachte ich, meinen pihole ablösen zu können.

Aber nun zu den eigentlichen Fragen:
Die iptables werde ich händisch übertragen müssen, gibt es jedoch die Möglichkeit andere Einstellungen zu übertragen:

  • ovpn config inkl. certs
  • Host einträge bzw. statische dhcp Einträge

  • wird Samba (ich weiß, ist eine FW und kein Nas) unterstützt?
  • wie wird das WLAN in opnS gehandhabt? Eigenes IF mit eigenem IP Bereich oder kann man das überbrücken?


Ich hoffe, ein paar Antworten zu bekommen und nicht nur gelächter :)

VG
October 25, 2019, 07:27:31 PM #1
OpenVPN gibt's ein custom field, aber es geht auch ohne.

OPNsense ist eigentlich feature gleich. Statt pfblocker kannst du DNSBL über dnscrypt-proxy plugin machen. Bald gibt's das auch für Unbound. GeoIP geht von Haus aus schon.

Rule Import machst du am besten händisch, bester Lerneffekt.
October 25, 2019, 10:23:32 PM #2
Samba muss man selber aus dem ports tree bauen. Ich würde es nicht tun, weil das eher nicht da hin gehört aber das sei dir überlassen.
October 29, 2019, 07:55:51 AM #3 Last Edit: October 29, 2019, 08:01:46 AM by lenny
Danke schon einmal dafür!

Wie läuft es mit dem WLAN in OPN sense? kann auch dieses in VAP / Vlans unterteilt werden?

was mir bei OVPN in der VM aufgefallen ist, dass er zwar fragte, ob er die automatischen Regeln setzen soll, dies hat er aber nicht auf dem WAN eingehend gemacht. Ist das versteckt oder gibts da evtl. einen BUG?

(Bei der Ipfire werden "von der FW selbstinitierte" Regeln nicht angezeigt.)

October 29, 2019, 10:18:45 AM #4
Quote from: lenny on October 29, 2019, 07:55:51 AM
Wie läuft es mit dem WLAN in OPN sense? kann auch dieses in VAP / Vlans unterteilt werden?
Grundsätzlich sollte man bei den *sensen von internen WLAN-Lösungen die Finger lassen, da die Treiberunterstützung von FreeBSD für WLAN-Hardware einfach schlecht ist! Ich hab selbst lang genug mit WLAN und OPNsense herumgedocktert...  ::)
Von daher nutze einen eigenen AP und Du wirst glücklich!  ;)
October 29, 2019, 10:38:14 AM #5
Ohje...
Nicht mal "ältere" Atheros Karten im N Standard?
October 29, 2019, 11:36:27 AM #6
Mit Atheros 9280 Karten habe ich unter OPNsense einigermaßen stabile Ergebnisse erzielt. War aber noch unter V18.1.x.
Seither nutze ich einen AP und damit ist unser WLAN deutlich besser geworden (Geschwindigkeit, Stabilität und Abdeckung). 
November 08, 2019, 07:29:54 AM #7
Das ist gut, die habe ich derzeit verbaut.

Extra APs sind im Einsatz. Aber für das ganze IoT geraffel hat sich das "eigentlich" bewährt und komplett gekapselt.

Theoretisch kann ich die Konfig in einer VM bauen und später die Datensicherung in der Produktivien wiederherstellen, oder?!
November 08, 2019, 08:57:45 AM #8
Quote from: lenny on November 08, 2019, 07:29:54 AM
Extra APs sind im Einsatz. Aber für das ganze IoT geraffel hat sich das "eigentlich" bewährt und komplett gekapselt.
Ja, aber warum nicht einfach auf dem AP ein 2. WLAN nur für IoT aufmamchen. Selbst billige AP unterstützen MultiSSD. Die Trennung der Netze erfolgt dann per VLAN.
Quote from: lenny on November 08, 2019, 07:29:54 AM
Theoretisch kann ich die Konfig in einer VM bauen und später die Datensicherung in der Produktivien wiederherstellen, oder?!
Ja, aber Du musst darauf achten, dass die verwendeten NIC identisch sind. Ansonsten musst Du in der Config-Datei die (Treiber)Namen der verwendeten NIC anpassen (z.B. igb -> re). Dann kannst Du die Config 1zu1 auf die andere HW umziehen.
November 08, 2019, 01:36:42 PM #9
Weil ddwrt nicht immer sauber mit VAP funktioniert.

Macht es bei der Widerherstellung einen Unterschied, dass man erst die VGA Version installiert hat und dies auf einer seriellenconsole Version wiederherstellt?
November 25, 2019, 06:49:03 AM #10
Am Wochenende mal bisschen weiter gemacht:

  • OVPN - läuft. Nur nicht mit 2 FA - es erscheint keine Abfrage (2FA Server ist eingerichtet und in den Einstellung ist dies konfiguriert, mit lokaler DB und TOTP Server - bei der WebGUI Anmeldung erscheint auch keine Abfrage
  • WLAN - noch nicht getestet
  • DHCP und statische Einträge - u.a. mit Unbound gelöst

Nun das negative:

  • Regeln...ANY Regeln sind immer nicht so gut. Bei der IPfire gab man als Ziel das Rote (WAN) Interface an, dann war alles ins WAN erlaubt, aber nicht in andere Netze. Setzt man dies nun so in der OPN um, bekommt man keine Verbindung. In einem anderen BEitrag erfuhr ich, dass man dort ANY stehen haben "muss". Finde ich nicht so gut gelöst.
  • Der Proxy...wurde gemäß doku/wiki eingerichtet. Die Automatischen Regeln erzeigt, aber ich komme über den Proxy einfach ins Internet. Deaktiviere ich die automatischen Regeln und schalte das LAN Netz frei, funkioniert es. Fehler nicht erkennbar. LiveLog ist grün...
  • zu guter Letzt, das LOG. Das Livelog gefällt mir, aber wenn man wissen will, was in der Vergangenheit passiert ist, wird es sehr gruselig.
Wobei mein Hauptproblem tatsächlich der Proxy ist, der nicht läuft. Hatte ähnliches hier schon gefunden, dort wurde die localhost 127.0.0.1 auf die echte Interne IP geändert, half bei mir jedoch nicht.
November 25, 2019, 07:07:00 AM #11
Guten Morgen,

Ich verstehe nicht warum Du nicht bei IPFire bleibst. Ist doch eine gute Software und scheint ja offensichtlich besser Deine Anforderungen ab zu decken.

Und was ich noch fragen muss, wird das hier ein Vergleichsbericht oder möchtest Du Hilfe für ein bestimmtes Problem. Wenn zweiteres solltest Du vielleicht ein paar mehr Aussagekräftige Angaben hier hinterlegen. Sowas wie Logfiles zum Beispiel.

Zum Thema Any. Ich habe bevor die Any Regel kommt, welche nur die Ports enthält die auch wirklich ins WAN sollen, für alle anderen Netzte eine any reject Regel.
November 25, 2019, 09:10:42 AM #12
Es ist kein Vergleichsbericht, ich möchte jedoch anderen evtl. Umstellern mit meinen Erfahrungen Tipps geben, was deutlich anders ist, als gewohnt.

Hilfestellung wäre für die Proxy Problematik toll, dafür gibt es jedoch schon ein Thema. Jedoch leider bisher nicht beantwortet.
November 25, 2019, 10:03:52 AM #13
Quote from: lenny on November 25, 2019, 06:49:03 AM
Der Proxy...wurde gemäß doku/wiki eingerichtet. Die Automatischen Regeln erzeigt, aber ich komme über den Proxy einfach ins Internet. Deaktiviere ich die automatischen Regeln und schalte das LAN Netz frei, funkioniert es. Fehler nicht erkennbar. LiveLog ist grün...
Moin,
evtl. solltest Du auch erklären, wie Du den Proxy eingerichtet hast (transparent, mit/ohne SSL-Interception). Auch wären Screenshots Deiner Regeln recht hilfreich.
Nutzt ja nix, wenn ich hier schreibe, dass bei mir der Proxy problemlos läuft...  ;)

Gruß
Dirk

PS: Da ich ja auch von ipfire komme. Ja, die Regeln sind etwas anders anzuwenden. Suche mal hier im Forum nach RFC1918. Da wirst Du dann Beispiele finden um den Traffic zwischen den Netzen auf der OPNsense zu unterbinden.
November 25, 2019, 10:11:12 AM #14
Der Proxy ist nach doku transparent mit SSL eingerichtet.
Ohne den tranparenten Modus mit manuellen Eintrag im Client funktioniert es jedoch auch nicht.

Ziel wäre, den Proxy transparent mit SSL injection funktionierend laufen zu lassen.

Die Screenshots reiche ich später nach :)
Print
Go Up Pages1 2 3
User actions