Welche Hardware für OpenVPN Server und HAProxy

[spooner.arthur]

Hallo Zusammen,
ich bin absoluter Anfänger bzw. möchte nun mit OPNsense starten.
Suche eine Lösung für einen OVPN Server und einen HAProxy.

Kann mich nicht damit anfreunden, die OPNsense auf dem Proxmox Host zu installieren.

Möchte das lieber vor allen anderen Netzwerkkomponenten machen.

Im Moment soll nur ein OpenVPN Server für den Client VPN Zugriff und ein HAProxy für die 3CX eingerichtet werden.

Welche Hardware ist dafür empfehlenswert?

Gruß spooner

[Patrick M. Hausen]

Bandbreite im LAN? Bandbreite Uplink? Anzahl der Clients?

[spooner.arthur]

ah, sorry.

50Mbit VDSL, 1GB Uplink zum Switch, 5 Clients.

Per VPN hin und wieder 2 Clients.

[cadzen]

Moin,

mal die Frage außen vor gelassen, ob und warum ein extra Blech für Router/Firewall sinnvoll ist, finde ich eine virtualisierte OPNSense, gerade für Anfänger, eher als vorteilhaft. Vorrausgesetzt Leistung und Hardware (z.B. Anzahl NIC-Ports) passen, ist so eine VM grad zum lernen und probieren ideal. Wenn du dich mal (total) verkonfiguriert hast und nix mehr geht ... VM wegschmeißen, Backup einspielen, fertig. Dauert keine Minute. Wenn es dann richtig läuft kannst du auf Blech umziehen. 

[spooner.arthur]

ja, bin ich generell bei dir.

Aber wenn ich keine DMZ habe und einen extra Proxmox Host, dann fülle ich mich dabei irgendwie nicht wohl :-)

Deshalb die Idee mit eignen Blech.

[Tuxtom007]

Aber wenn ich keine DMZ habe und einen extra Proxmox Host, dann fülle ich mich dabei irgendwie nicht wohl :-)

Da bin ich bei dir, ich fühle mich da überhaupt nicht wohl, eine Firewall als VM auf einem Virtualisierungshost zu betreiben, gerade für Anfänger nicht. Ich lese doch jeden Tag in einem anderen Forum, was die Leute sich da zusammen konfigurieren und dann nicht mehr weiter kommen - weil die nach 20min YT-Video glauben, eine OPNSense aufsetzen zu können, aber nicht mal IPv4 verstanden haben ( nicht böse gemeint )

Könnte dran liegen, das ich einige Zeit bei einen IT-Dienstleister gearbeitet habe und wir einigen Kunden aus der Sch.... geholfen haben, der Netzwerke durch Angreifer lahm gelegt wurden. Oft auch durch mangelndes KnowHow bei der Firewall-Einrichtung.

Mein Vorschlag - eigene Hardware für die OPNSense und zum lernen, spielen, üben diese hinter der aktuellen Router ( Fritzbox etc. ) hängen, dann kann nichts passieren. Selbst wenn das Teil man richtig kaputt konfiguriert wird, notfalls eben vom USB-Stick neu installieren und letztes laufendes Backup einspielen, das dauert auch keine 20min.
Ich hab damals genauso mit OPNSense angefangen und viel ausprobiert, gelesen und gelernt

[Patrick M. Hausen]

Für die Bandbreite reicht ein APU4D4. Zum Beispiel.

[spooner.arthur]

Also Router beim aktuellen Fall ein TP-Link Omada Router eingesetzt.
OK, also hintern diesen die OPNsense.
Also Hardware meint ihr so etwas: https://www.varia-store.com/de/produkt/415650-opnsense-ready-system-apu4d4-4-gb-ram-16-gb-msata-ssd-modul-schwarz.html
Hab vorher noch nie etwas von APU4D4 gehört.
Ist das spezielle Hardware für solche Appliance Software?
Ist die OPNsense für einen quasi Firewall Anfänger überhaupt das Richtige?
Hab bisher nur sehr bintec, Omada und ein bisschen Sophos Erfahrungen gesammelt.

[Patrick M. Hausen]

Warum willst du eine weitere Firewall hinter deinem Router? Was soll erreicht werden? Normalerweise ist die OPNsense der Internet-Router.

Die von mir vorgeschlagene Hardware ist spezielle Appliance-Hardware. Stromsparend, lüfterlos, sehr robust und langlebig fürs Geld. Dafür Abstriche bei der Performance. Aber 50 Mbit/s Upstream macht sie locker. Sie wäre für Gigabit per PPPoE etwas zu schwach auf der Brust. Auf dem System laufen praktische alle Open-Source-Anwendungen sehr gut. OPNsense, pfSense, OpenWRT, Firebox, ...

Warum solche Hardware? Neben den Features ist so ein Appliance-OS hnin und wieder etwas wählerisch und umterstützt z.B. USB-Ethernet oder Realtek-Netzwerkkarten nicht besonders gut bis hin zu mieser Performance und Abstürzen. Die PCengines-Teile sind bekannt zuverlässig und robust.

Das ist es im Wesentlichen. Ich benutze - siehe meine Signatur - ein Supermicro-Board (auch wieder Netzwerk alles Intel etc.), das einfach übrig war. Hab mir dann ein kleines Gehäuse dazu gekauft und fertig. Wäre aber für ein neues Projekt völliger Overkill und ist auch neu gekauft deutlich teurer als so ein APU-Teil. Mit "Board zu eBay oder weiter benutzen?" und nem guten Hunderter für Gehäuse, Lüfter und Netzteil war das dann eben so.

Wenn es um eine Firmenumgebung geht, ein gewisses Budget da ist, und es einfach funktionieren soll - auf OPNsense.org auf "Store" klicken und das passende Modell aussuchen. Die funktionieren super.

Gruß
Patrick

[Tuxtom007]

Also Router beim aktuellen Fall ein TP-Link Omada Router eingesetzt.
.......
Ist die OPNsense für einen quasi Firewall Anfänger überhaupt das Richtige?

Frage 1: macht keine Sinn, da gebe ich pmhausen vollkommen Recht, da du damit schon einen Router hast.
Du baust dir damit mehr Problem rein als du hoffst zu lösen.
Daher OMADA-Router oder OPNSense aber nicht beides.

Frage 2: die Frage kannst du dir selber beantworten.
OPNSense ist ein professionelle Firewall, die als Business-Edition mit Hardware verkauft wird und in Unternehmen eingesetzt wird.
Entweder du nimmst dir die Zeit, dich darin einzuarbeiten, viel zu lesen und zu testen oder lasse es besser direkt bleiben.
Ich kann aus eigener Erfahrung sagen, die Lernkurve ist verdammt steil, mir hat es Spass gemacht. Vor etwas über einem Jahr kannte ich OPNSense nicht mal.
Allerdings komme ich aus der IT und hab im letzten Job schon viel Netzwerk/Firewall gemacht und war daher nicht unbedarft in dem Thema.

[spooner.arthur]

Hallo Zusammen,
ich komme auch aus der IT und betreue kleinere / mittel große Kunden.
Bisher bin ich ganz gut mit bintec gefahren, was aber genau wie der Omada, eher Richtung Router als Firewall geht.
Sprich einfaches NAT / Porforwarding.
bintec stirbt aber meines Erachtens und auf Grund er Anforderung eines Reverse Proxy für einer 3CX habe ich mich die Suche nach einer Alternative gemacht.
Und bin auch OPNsense gestoßen.

Bei gößeren Firmenkunden bzw. eigentlich bisher bei allen Kunden habe ich noch nie Berühungspunkte mit OPNsense gehabt, sondern meistens gab es eine uralte Sophos oder manchmal auch SecurePoint oder Watchguard.

Deshalb auch meine Frage ob die OPNsense als Buisness Produkt eingesetzt werden kann.

Mit dem Omada Router bin ich nicht verheiratet, war jetzt das erste Kundenprojekt damit, hat mir sehr gut gefallen, aber ist gibt noch viel Luft nach oben was das Sicherheitsthema angeht.
Der Rest vom Omada Controller in Verbindung mit den Switchen und APs ist super.

Mmh, soll ich mich jetzt an OPNsense ran trauen oder nicht?
Bei der 3CX bin ich auf die Nase gefallen, hat sich auch alles easy angehört, war aber eine riesen Arbeiten 
Bei der Firewall denke ich fange ich ja nicht von Null an.

Mmh...

[TimoB]

Installier Dir doch mal ne VM testweise.

Ich bin erst kürzlich auf OPNsense umgestiegen (auch ITler).

Hatte schon einige Dinge probiert (quasi im "homelab"): Fritzbox, Sophos, UniFi USG etc.

Die OPNsense benötigt Einarbeitungszeit, das braucht Sophos & Bintec aber auch.


Ich hab mir einen Vormittag frei genommen und einfach mal die OPNsense auf nem APU6B4 installiert.

Mal die Grundeinrichtung vorgenommen:

- PPPoE für`s Internet
- Meine 3 VLANs für die UniFI-APs

Das Gute ist:

Ab Werk ist erstmal alles geblockt. Nicht wie bei UniFi, da ist erstmal alles erlaubt

So kannst Du Dich stück für Stück ran arbeiten.
Wenn die grundlegenden Inhalte bekannt sind (Netzwerke / Firewall etc.), dann geht das recht fix.
So wie die Sophos ihre Eigenheiten hat, hat das die OPNsense auch. Jeder Hersteller 


Wenn alles klemmt: alten Router wieder ran als wäre nichts gewesen...


Aber ich behaupte mal:  Nach 2-3h läuft schonmal das meiste. Und Du hast auch verstanden, was Du da machst..

Trau Dich ran

[Patrick M. Hausen]

Schnellster Weg zur VM zum Spielen:

https://github.com/punktDe/vagrant-opnsense

[Tuxtom007]

Mit dem Omada Router bin ich nicht verheiratet, war jetzt das erste Kundenprojekt damit, hat mir sehr gut gefallen, aber ist gibt noch viel Luft nach oben was das Sicherheitsthema angeht.
Der Rest vom Omada Controller in Verbindung mit den Switchen und APs ist super.

Mmh, soll ich mich jetzt an OPNsense ran trauen oder nicht?
Bei der 3CX bin ich auf die Nase gefallen, hat sich auch alles easy angehört, war aber eine riesen Arbeiten 
Bei der Firewall denke ich fange ich ja nicht von Null an.

Ich finde OMADA super, auch wenn die viel bei Unif gekl....  eh kopiert haben, das System hat noch viel Potential und ist nicht so fehlerbehaften, wie Unifi. Zumal von TP-Link in Sachen Hardware einiges neu gekommen ist und noch kommen wird, zb. 48-Port Switche mit SFP+ oder neu 10GBit-VPN-Router mit SFP+

Zwei Bekannte von mir, beide mir Firma, nutzen OMADA für Switche und AP's, dazu jeweils OPNSense und das läuft super gut.

Ich werde zuhause auch auf OMADA AP und den Switch umsteigen, mein erste Unifi-AP hat gerade das zeitliche gesegnet.
---
Soll du dich an OPNSense rantrauen - ich sag "klares ja" wenn du dich für die Materie interessierst, bereit bist viel zu probieren, zu lesen, zu teste und zu lernen.
OPNSense ist mächtig, macht aber auch Spass zu konfigurieren, weil die - meiner Ansicht nach - übersichtlich aufgebaut ist. Ich komme von Juniper-Firewalls und das hast du keine WebGUI :-)

Bau dir erst mal eine VM mit OPNSense auf, spiele damit rum, wenn du dann sicher bist, das ist was für deinen produktiven Einsatz, dann würde ich zu eigenen Hardware raten.
Mache nicht den Fehler den viele machen, die reissen alles raus, stellen sich ne OPNSense dahin und fang dann an sich damit auseinander zu setzen, dann ist direkt das Geschrei gross, weil nichts funktioniert - sah ja im 20min YT-Video alles ganz einfach aus.

Ich hab mir zuhause neben meiner normalen OPNSense auf eigener Hardware noch zwei VM's unter Proxmox aufgesetzt, weil ich da mit HA-Konfig rumspielen will.

Mache einen Schritt nach dem anderen.

[cadzen]

Da bin ich bei dir, ich fühle mich da überhaupt nicht wohl, eine Firewall als VM auf einem Virtualisierungshost zu betreiben, gerade für Anfänger nicht. Ich lese doch jeden Tag in einem anderen Forum, was die Leute sich da zusammen konfigurieren und dann nicht mehr weiter kommen - weil die nach 20min YT-Video glauben, eine OPNSense aufsetzen zu können, aber nicht mal IPv4 verstanden haben ( nicht böse gemeint )
...

...
Ich hab mir zuhause neben meiner normalen OPNSense auf eigener Hardware noch zwei VM's unter Proxmox aufgesetzt, weil ich da mit HA-Konfig rumspielen will.
...

Na so was!? 

Was hab ich gesagt? Nimm ne VM zum probieren und testen und zieh dann um wenn es läuft. 

Feine Sache dieses PVE, auch weil man da in sein (virtuelles) Testnetzwerk nach Lust und Laune Container oder VM mit Software nach Bedarf reinhängen kann