OPNsense ist der Wahnsinn

[crash9877]

gestern den Schritt gewagt und die PFsense gegen die OPNsense getauscht. ;-)
Alles funktioniert viel viel besser bin total begeistert und ich hoffe es geht nicht nur mir so.
Weiter so

[JeGr]

Ahoi und Grüße!

Da ich momentan beides nutze, frage ich mich: was funktioniert denn so viel viel besser als vorher!? Für die meisten normalen Anwendungsfälle hatte ich bislang kaum großartige Unterschiede, was keinesfalls schlecht ist, aber auch nicht diesen Überschwang hervorrufen dürfte ;)

[crash9877]

salve!

da gebe ich dir Recht. Standard funktioniert beides sehr gut. Aber ich benötige VLAN, WebProxy mit SSL, OpenVPN mir gefällt halt das das OutoftheBox sehr gut mit OPNsense funktioniert. Klar geht auch mit PFsense aber der Aufwand war etwas höher und interessanterweise niedriger mit OpenBSD.

Ich habe leider nicht mehr die Zeit dafür alles manuell zu machen und ohne einen Flamewar zu starten die Gründe dahinter ist natürlich der Anwendungsfall. Ich benutze auch noch nebenbei PFsense und OpenBSD.
Und alle haben ihre Vor und Nachteile. Bis jetzt gefiel mir OPNSense halt vom Gesamtpaket sehr gut aber ich teste noch. ;-)

crash

[JeGr]

Danke, hat mich nur interessiert. Flames per se sind nie zielführend.
Wobei ich zwar jetzt nicht sehe, dass OPNsense mit VLAN, WebProxy und OpenVPN wahnsinnig schneller/mehr OOTB Experience hat (Proxy vielleicht ein wenig...). Wüsste nicht dass das jetzt schwerer/langsamer war in pfSense aufzusetzen.

Zeitaspekt ist natürlich immer ein guter Grund, wer mit zunehmendem Alter und anderen Verpflichtungen schon Zeit sich mit allem Kleinkram rumzuschlagen ;)
Ich habs bis jetzt leider andersrum erlebt, aber vielleicht habe ich mit 17.1 mehr Glück. Nochmal alles von vorne und zusehen, wie es sich dieses Mal darstellt. Aber eine fehlschlagende Installation hatte ich jetzt vor opnSense schon lange nicht mehr ;)

Und bei OpenBSD muss ich immer noch sagen: schade, dass keine *sense oder derlei sich traut, OpenBSD als Projekt drunter zu nutzen.

Gruß

[fabian]

Und bei OpenBSD muss ich immer noch sagen: schade, dass keine *sense oder derlei sich traut, OpenBSD als Projekt drunter zu nutzen.

OPNsense hat einen HBSD-gepatchten Kernel. Das heißt, dass das System einen guten Exploit-Schutz für Kernel und C-Programme hat. Was macht OpenBSD da besser, warum man es verwenden sollte? Dazu kommt noch das Problem mit der Hardwareunterstützung (es ist unter FreeBSD schon ein Problem).

[crash9877]

Hardwareunterstützung ist unter OpenBSD wirklich mist. Leider!!!
Dazu gibt es auch einen Wikieintrag von PFsense warum man sich für die Basis FreeBSD entschieden hat.
Dafür ruled pf da aktueller als unter FreeBSD

Es wird immer Gründe geben was ist wo und warum besser. Ich sage immer hauptsache BSD.

Was macht einen gepatchen Kernel denn soviel besser? 

[JeGr]

@fabian: Es mag ja mit HardenedBSD ein Beitrag dazu kommen, das Grundsystem sicherer zu machen. Darum ging es aber gar nicht. Ein OpenBSD war - als ichs zuletzt angefasst habe Anfang 2004 - OOB bereits sicher und super. Für den Hauptjob einer Firewall ideal. Da mögen dann Pakete und Software und Hardware Bedenken dazu kommen, ganz klar. Trotzdem ist OpenBSD bspw. upstream für DIE Kernkomponenten beider *Sense -> PF. Und PF und CARP können unter OpenBSD eine Menge mehr als der Zögling von FreeBSD. Das wird dort auch besser, keine Frage, aber auch wenn die MT Entwicklung sicher gut und sinnvoll war, wären mir manche pf und CARP Features lieber.

Aber sicher, vieles subjektiv. Allerdings finde ich die Hardware Unterstützung jetzt nicht soo mies. Das hängt aber natürlich stark davon ab was ich will. Eine Firewall bauen? Oder eine Wollmilchsau ;) Mir wäre bspw. der Wegfall von WiFi o.ä. völlig egal, da ich der Meinung bin, dass das direkt auf meiner Firewall eigentlich nix zu suchen hat :) Aber da bin ich eben Purist und mehr im Enterprise Umfeld aktiv. Da erwartet niemand, dass man alles auf eine Kiste packt.

Grüße

[Oxygen61]

Hey hey,

Was macht einen gepatchen Kernel denn soviel besser?

fabian spielt dabei denke ich auf ASLR an:
https://hardenedbsd.org/article/shawn-webb/2015-07-06/announcing-aslr-completion

Zeitaspekt ist natürlich immer ein guter Grund, wer mit zunehmendem Alter und anderen Verpflichtungen schon Zeit sich mit allem Kleinkram rumzuschlagen ;)

Zum Thema Zeitaspekt kann ich nur immer wieder das leidige Thema Captive Portal einwerfen.
Die Einrichtung ist bei OPNsense da bei WEITEM schneller und einfacher zu bewerkstelligen als bei pfSense.
Nach der Anleitung von OPNsense, etwas angepasst, kriegt man nach 10 Minuten ein sauber und schön aussehendes funktionierendes Captive Portal hin. Bei pfSense war das Umsetzen einer Bootstrap PHP Landing Page viel schwerer umzusetzen (weniger intuitiv), weil das (Stand: letzte Jahr September) OOTB nicht funktionierte.
Da musste man bisschen frickeln um das hinzubiegen.
Super subjektive Meinung, die auch Stand heute (pfSense Upgrades) vielleicht auch gar nicht mehr aktuell ist. :)
Fakt ist aber das man bei beiden *senses das gleiche hin bekam und darauf kommt es an.

Mir wäre bspw. der Wegfall von WiFi o.ä. völlig egal, da ich der Meinung bin, dass das direkt auf meiner Firewall eigentlich nix zu suchen hat :)

Das sehe ich allerdings genauso, ganz gleich wie viele Probleme die Leute beim einrichten dabei haben, sehe ich keinen Grund WiFi einer Firewall bereitzustellen, wenn es denn AP gibt für nen fuffi.  ;D

Mein Grund, warum "Pro OPNsense" ist folgender, ganz gleich der technischen Fakten:
pfSense kommt aus den USA. :) "National Security Letter" und "Gag-Order" sind uns allen ein Begriff. :)

Schöne Grüße
Oxy

[Oxygen61]

ups

[monstermania]

Aber sicher, vieles subjektiv. Allerdings finde ich die Hardware Unterstützung jetzt nicht soo mies. Das hängt aber natürlich stark davon ab was ich will. Eine Firewall bauen? Oder eine Wollmilchsau ;) Mir wäre bspw. der Wegfall von WiFi o.ä. völlig egal, da ich der Meinung bin, dass das direkt auf meiner Firewall eigentlich nix zu suchen hat :) Aber da bin ich eben Purist und mehr im Enterprise Umfeld aktiv. Da erwartet niemand, dass man alles auf eine Kiste packt.

Das sehe ich allerdings genauso, ganz gleich wie viele Probleme die Leute beim einrichten dabei haben, sehe ich keinen Grund WiFi einer Firewall bereitzustellen, wenn es denn AP gibt für nen fuffi.  ;D

Hmm,
im Enterprise-Umfeld stimme ich Euch 100%ig zu. Dort wird wohl niemand auf die Idee kommen eine FW gleichzeitig als AP zu nutzen.  ;)
Im Heimbereich sieht es dann schon wieder ganz anders aus. Nicht weil ein separater AP zu teuer wäre, sondern ausschließlich aus praktischen Erwägungen. Bei mir z.B. habe ich schlichtweg ein Platzproblem, dass den Einsatz eines zusätzlichen AP unmöglich macht. Dazu kommt dann noch der zusätzliche Energieverbrauch eines extra AP.

Ich habe nur einen Umkreis von rund 10m um meine OPNsense herum per WLAN abzudecken. Schaffe ich problemlos mit meinen beiden USB-Wifi-Sticks in der OPNsense (WLAN intern, Gäste-WLAN).  8)

Gruß
Dirk

[Oxygen61]

Gut. Das ist natürlich ein Argument.
Da muss ich dann aber sagen, dass ich irgendwo von der OPNsense Ebene erwarte sich zu positionieren.
Möchte ich eine Firewall für den SOHO oder für den Enterprise Bereich bereitstellen/entwickeln?

Beides wird auf Dauer glaube nicht gut gehen oder sehe ich das zu pessimistisch? :o

[JeGr]

Mein Grund, warum "Pro OPNsense" ist folgender, ganz gleich der technischen Fakten:
pfSense kommt aus den USA. :) "National Security Letter" und "Gag-Order" sind uns allen ein Begriff. :)

Schöne Grüße
Oxy

Ist allerdings eine seltsame Idee. Natürlich kannst du eine Firma dazu verdonnern. Wird auch mit Google immer versucht, klappt trotzdem nicht wirklich. Noch dazu: Wofür sollen Sie einen NSL oder eine GO bekommen? Was einbauen was man nicht sieht? Im Sourcecode auf Github? Das wär schon ein wenig arg auffällig, zumal jetzt der erste 3rd Party Audit drüber lief. Und das auf der "bösen" Variante die auf der eigenen Hardware lief. Das Argument zieht für mich minimal bis gar nicht. Dann müsste ich auch instant andere Projekte beerdingen, die das Core Team oder einen Großteil Entwickler in den Staaten haben mit Firma dahinter. :)

Ansonsten dein Argument bzgl. Position: Momentan (und das ist wirklich nicht böse gemeint) sehe ich opnSense eher im SOHO Sektor. Mir laufen die ganzen Updates und der Stabilitätsfaktor nicht rund genug. 16.7 Installation war schon nicht schön (getestet mit 1:1 pfSense daneben weil ich neugierig war), bin auf 17.1 gespannt aber meine TestVM rödelt und explodiert auch schon vor sich hin. Update auf 17.1 war in der VM extrem holprig und musste ich 3x anschieben. Da hätte ich bei unseren Firmenkunden extreme Bauchschmerzen das so einzusetzen. Ich sehe auch diese Canonical-Style Releases eher kritisch. Das hätte m.E. später gern kommen dürfen, aber momentan sieht es für mich eher so aus als würde die Manpower für solche on the spot Releases fehlen. Wiederum nur mein subjektiver Blick. Da würde ich mir dann bspw. für 17.x lieber mehr Zeit lassen wenn es noch dazu auf eine neue Basis setzt, als es rauszubringen und dann so viel hinterher fixen zu müssen (siehe Kernel Panics etc.)
Da momentan auch eher die Sachen abgedeckt werden, die bei pfSense sowieso stiefmütterlich behandelt werden (WiFi, CP, nano, i386) kommt mir ein ähnlicher Eindruck, dass es eher der SOHO/low power freundliche Cousin von pfSense wird. Was aber nichts schlechtes sein muss, auf höhere Ziele kann man dann immer noch mit mehr Power hinarbeiten, wenn man die Platform mal stabil hat, es wird ja auch noch gerade viel ausgetauscht und umgebaut.

Grüße

[crash9877]

hey,

da habe ich ja jetzt doch ne Diskussion losgetreten was ich nicht wollte. Aber es ist schön das man sich hier vernünftig unterhalten kann und sich nicht die Köpfe einschlagen muss.

Das ist leider in anderen Foren nicht der Fall. Jason Dixon ist ja bekanntermassen wieder so ein Beispiel. Absolut Anti-Gui und PFsense-hasser.

Aber eure Antworten spiegeln sich meist mit dem wieder was ich jetzt auch gesagt hätte.

Vielen Dank dafür und ja tief im innern bin ich immer noch OpenBSD eingeschworen aber ich schaue auch gerne mal über den berühmten Tellerrand. Deswegen habe ich mir auch OPNsense mal angeschaut und war halt erstaunt wie einfach es im Vergleich zur PFsense ist. 2-Wege Authentifizierung für OpenVPN finde ich dann wiederrum mega cool.

crash

[stefan21]

Da würde ich mir dann bspw. für 17.x lieber mehr Zeit lassen wenn es noch dazu auf eine neue Basis setzt, als es rauszubringen und dann so viel hinterher fixen zu müssen (siehe Kernel Panics etc.)

Grüße

100% +

my 2C
stefan

[Oxygen61]

Hey hey,

Ist allerdings eine seltsame Idee. Natürlich kannst du eine Firma dazu verdonnern. Wird auch mit Google immer versucht, klappt trotzdem nicht wirklich. Noch dazu: Wofür sollen Sie einen NSL oder eine GO bekommen? Was einbauen was man nicht sieht? Im Sourcecode auf Github? Das wär schon ein wenig arg auffällig, zumal jetzt der erste 3rd Party Audit drüber lief. Und das auf der "bösen" Variante die auf der eigenen Hardware lief. Das Argument zieht für mich minimal bis gar nicht.

Stuxnet hat auch keiner "gesehen". Darüber kann man ewig diskutieren und ich will hier auch keine Firma schlecht reden, wieso auch. Die Amis können es halt leider besser, dass ist "noch" das Problem.  :(
Deine Aussage über Google versteh ich nicht ganz, gerade nach "Prism" lässt sich schwer leugnen, dass Google nicht mit im Boot sein sollte. Worüber diese Firmen sich halt immer streiten ist die fehlende Transparenz gegenüber diesen Anfragen, nicht aber die Tatsache, dass Daten versendet wurden.

Dann müsste ich auch instant andere Projekte beerdingen, die das Core Team oder einen Großteil Entwickler in den Staaten haben mit Firma dahinter. :)

Genauso sieht es aus. Sofern möglich und Alternativen vorhanden sind? Natürlich muss sowas abhängig gemacht werden ob man den Verlust der Benutzerfreundlichkeit in bestimmen Belangen "erträgt". Ich beerdige die Google Suchmaschine zum Beispiel nicht. Da kann man machen was man will, aber da gibt es leider keine Alternative. Beim Besten Willen nicht.

In OPNsense sehe ich halt aber auch hier wieder eine Alternative..
Der Weg ist lang und steinig und man vergleicht hier ein neues Projekt mit einem Alteingesessen.
Natürlich hat pfSense da die Oberhand. Der Schüler schlägt halt eben doch nicht einfach so den Meister...
Ich bleib da positiv und hoffe auf großes. Der Change auf 17.1 verlief bei mir reibungslos (zum Glück. Yay! ;D) und bei meinen vielen Neuinstallationen, beim Rumspielen, hatte ich auch keine Schwierigkeiten. :)

Ansonsten dein Argument bzgl. Position: Momentan (und das ist wirklich nicht böse gemeint) sehe ich opnSense eher im SOHO Sektor. [...] Ich sehe auch diese Canonical-Style Releases eher kritisch. Das hätte m.E. später gern kommen dürfen, aber momentan sieht es für mich eher so aus als würde die Manpower für solche on the spot Releases fehlen. Wiederum nur mein subjektiver Blick. Da würde ich mir dann bspw. für 17.x lieber mehr Zeit lassen wenn es noch dazu auf eine neue Basis setzt, als es rauszubringen und dann so viel hinterher fixen zu müssen (siehe Kernel Panics etc.)

Das würde ich so 1 zu 1 unterschreiben. Mir sind die Upgrades leider auch etwas zu holprig. Gerade im Bezug auf IPsec und OpenVPN war 17.1 ein Griff ins Klo laut den unzähligen Beiträgen im Forum, was wirklich sehr Schade ist. :(

Was aber nichts schlechtes sein muss, auf höhere Ziele kann man dann immer noch mit mehr Power hinarbeiten, wenn man die Platform mal stabil hat, es wird ja auch noch gerade viel ausgetauscht und umgebaut.

Ich bleibe positiv. Mir gefällt das Projekt. Es gibt ein klares Ziel und engagierte Entwickler und eine freundliche Community... Also mal ganz abgesehen von dem ganzen technischen Schnickschnack sehe ich bei OPNsense wo die Reise hin geht. PfSense sehe ich eher als... ähm.. "altmodisch"?, was an dieser Stelle ja von vielen gelobt wird, weil es halt funktioniert/stable und leicht zu pflegen ist. :)
Das was ich auf Arbeit bewerkstelligen musste konnte ich mit beiden *senses hinkriegen, sodass mir das egal sein kann, für was man sich dann am Ende entscheidet.

Fürs SOHO hätte ich hingegen super viel Lust OPNsense aufzubauen. Da fehlt nur die Hardware *hust*  ::) ;D

Zusammenfassend muss ich sagen, dass mir die "Security Patches" alle paar Wochen sehr gut gefallen, nur die Upgrades alle 6 Monate noch viel zu "erzwungen" wirken. Ich bin auf jeden Fall gespannt. :)

Schöne Grüße
Oxy