Opnsense als RZ Firewall ?

[Zaidan]

Hallo zusammen,

Ich erstelle gegenwärtig ein Rechenzentrum.
Hier soll folgendes abgebildet werden :
450 User,
Exchange, Terminalservices, MS Nav, Fileserver etc.
Weiterhin wird es Standortvernetzungen per ipsec geben.

Bisher bin ich Sophos UTM erfahren.
Mich reizt aber der Gedanke von OPNSense
Vorgestellt hatte ich mir zwei im HA zu fahren. Als Hardware stünden mir zwei Dell Poweredge R610 zur Verfügung. Je zwei Xeon mit jeweils 36 GB RAM und ein Raid1 mit SSD's . Ich würde noch me DualPort SFP+ 10 GB einbauen können.
Also Hardware ist perfomant. Nun die Quizzfrage.

Eignet sich die Lösung als Enterprise-Lösung ?
Klar wir könnten such zwei UTM SG230 kaufen mit SLA etc. Charmant Bei Sophos ist Mail-Protection an board. Auch ist Sophos einfach zu bedienen etc.
Aber irgendwie glaube ich das OPNSense dem nicht nachsteht oder ?
Die commercial Appliances sichern my Durchsatzraten für VPN, Portfilter IPS etc. an.
Hier bei der Self-made Lösung weiss ich nicht was ich erwarten kann.
Auch lese ich hier und da von Update/Upgrade Schwierigkeiten. Ist das Unfähigkeit ?
Also kurz und Knapp ist OpnSense Enterprise ready so wie oben beschrieben ?

Danke euch
Gruss
Thorsten

[fabian]

Ich erstelle gegenwärtig ein Rechenzentrum.
Hier soll folgendes abgebildet werden :
450 User,
Exchange, Terminalservices, MS Nav, Fileserver etc.
Weiterhin wird es Standortvernetzungen per ipsec geben.

User sind egal, es geht darum, wie viel Traffic läuft - dabei sind insbesondere CPU, RAM und Netzwerkkarten ausschlaggebend und nicht die Software

+ Exchange: Läuft meines Wissens nach über TCP/443 - geht also per Portforward und HAProxy-Plugin (mit relayd kenne ich mich nicht aus). Scanning von Emails unterstützen wir derzeit nicht.
+ Terminalservices: das kann alles sein - wird vermutlich aber irgendwas sein, wo ein TCP-Port per Portweiterleitung/Firewallregel erlaubt werden muss. Sollte auf jedem Fall gehen.
+ MS Nav: Kann ich nix dazu sagen
+ Fileserver: SMB geht ohne Probleme (siehe AW Terminalservices), FTP geht mit dem os-ftp-proxy (hier mit TLS aufpassen - könnte im Plugin Probleme machen) plugin, TFTP geht nicht ordentlich (kein Proxy-Modul verfügbar), NFS kann ich nicht sagen - wird vermutlich funktionieren.

Eignet sich die Lösung als Enterprise-Lösung ?
Klar wir könnten such zwei UTM SG230 kaufen mit SLA etc. Charmant Bei Sophos ist Mail-Protection an board. Auch ist Sophos einfach zu bedienen etc.
Aber irgendwie glaube ich das OPNSense dem nicht nachsteht oder ?
Die commercial Appliances sichern my Durchsatzraten für VPN, Portfilter IPS etc. an.
Hier bei der Self-made Lösung weiss ich nicht was ich erwarten kann.

Ich würde dir raten, das ISO herunterzuladen und mal schauen ob es passt. IPS/IDS gibt es übrigens auch in OPNsense.
VPN über IPsec musst du testen - es wird hier StrongSwan verwendet.

Auch lese ich hier und da von Update/Upgrade Schwierigkeiten. Ist das Unfähigkeit?
Also kurz und Knapp ist OpnSense Enterprise ready so wie oben beschrieben?

Bei OPNsense ist es so, dass es häufiger Aktualisierungen gibt. Für einige Features gibt es Entwicklerversionen wie zum Beispiel einige Plugins. Diese stehen eine Zeit lang zum Testen bereit. Das erklärt dir am besten Franco.
Ich halte es in meinen Plugins so, dass ich neue Features in der Entwicklerversion und Stable 1 bis 2 Releases zeitversetzt habe. Wenn also keine Probleme in der Entwicklerversion gefunden werden, gibt es offensichtlich keine. Danach wird der Code auf stable übertragen.
Bei den Plugins ist das jedoch jedem Maintainer überlassen, wie das gehandhabt wird. In den Entwicklerversionen kann immer mal was kaputt gehen - ist ja auch deren Existenzgrund. Im Core-Bereich passiert eher selten mal was. Bei mir geht im Moment der Treiber nicht, was aber eher ein FreeBSD-Problem ist. Wenn du dir die Probleme anschaust, wird dir auch auffallen, dass es immer wieder die gleichen Komponenten sind, die betroffen sind.

Hinweis: Dies ist keine offizielle Antwort

[Zaidan]

Hallo und vielen Dank.
Ja das meisste sind klassische Portfilterregeln. Terminalservices z.b. TCP 3389 etc.
Mit der Summe der User wollte ich nur darauf hinweisen, days dauerthaft traffic besteht, sei we HAProxy, VPN etc.
Ich habe die ISO zuhause am laufen. Mit IPS , Let's Encrypt, OpenVPN, Squid etc.
Nur ist das leider nicht repräsentativ fürs RZ
Für die ipsec's habe ich an allen Standorten Lancom VPN Gateways. Müssten 16 Stück sein.
Die würde ich damn entsprechend konfigurieren woolen.
WAN Uplink ist 1 GB, die Standorten sind mit his zu 100 MBit angebunden.
Sophos kann ich für Exchange z.b. als Relay betreiben. Würde dies such mit Opnsense klappen ?

Wichtig und interessant ist die Frage ;
Wie stable ist Opnsense.
Ist das o.g. Hardware performant genug. Würde ich stabile Durchsätze haben, such wenn ich die FW voll ausreize, IPS Squid und Co betreibe ?
Danke euch
Edit : sorry für die autovervollständigung, tippe gerade vom Android was nicht so will wie ich

[monstermania]

@Zaidan
Also zunächst mal bin ich durchaus der Meinung, dass eine OPNsense auch im Enterprise-Umfeld eingesetzt werden kann. Man muss eben genau prüfen, ob die vorhandenen Möglichkeiten der OPNsense ausreichen um die Anforderungen abdecken zu können. Auch ist und bleibt die Support- und Haftungsfrage ein echtes Argument im Unternehmensumfeld. Wer leistet Support, wenn es denn doch mal Probleme gibt!? Wer haftet, wenn es durch einen nachweißbaren (Sicherheits)Bug zu einem Systemausfall/Datenverlusten kommt!?
Im direkten Vergleich zu bekannten UTM's fehlt m.E. noch so Einiges was den Einsatz bei uns im Unternehmen ausschließen würde (z.B. Proxy-Filtergruppen, Spam-Filter).

Wir haben hier im Unternehmen lange Jahre Astaro/Sophos genutzt. 2013 gab es dann die Anforderung nach einem HA-FW-System. Sophos fiel Aufgrund der seinerzeitlichen Lizenzpolitik durch das Raster (Lizenzierung nach Anzahl der geschützten IP-Adressen).
Schlussendlich wurde es eine HA-Lösung von Securepoint. Damit sind wir recht zufrieden. Ja, Sophos ist bestimmt 'besser', aber auch ungleich teurer.
Wie so häufig kommt es aber auch auf den DL an. Hier hatten wir leider Anfangs völlig daneben gelegen (Die Empfehlung kam direkt von Securepoint!!!).
Zum Glück konnten wir durch Mundpropaganda unseren jetzigen DL finden. Läuft Alles rund.

Gruß
Dirk
 
PS: Bei uns läuft die UTM auf 2 Dell R320-Servern als VM (VMWare ESXi). Grund war der Herstellersupport. Der Einsatz der UTM ist auf VMWare/Hyper-V freigegeben. Hätten wir native auf das Blech installiert wäre der Support eingeschränkt gewesen, das Securepoint nur die eigene HW native supportet! Das ist m.W. bei Sophos das Gleiche.

[fabian]

Also zumindest den Support kann man hier auch dazu kaufen: https://opnsense.org/support-overview/commercial-support/

[monstermania]

Also zumindest den Support kann man hier auch dazu kaufen: https://opnsense.org/support-overview/commercial-support/

Ich hoffe sogar das es Allgemein bekannt ist, dass man einen Support bei den *sensen dazukaufen kann.
Das ändert aber nichts an der allgemeinen Problematik z.B. zur Herstellerhaftung.
In kleinen Firmen ist so etwas ja nie ein Thema. Spätestens, wenn Du aber in einem größeren Umfeld mit BWL'ern zu tun hast, werden dann Haftungsfragen beim Einsatz von Software dann auch hinterfragt.
Ich habe da teilweise mit OpenSource oder Freeware Lösungen einen schweren stand. 

[Zaidan]

Hallo zusammen

und vielen Dank für die Antworten.
Ja mit OpenSource und gerade hier ohne SLA Support ist es teilweise schwieriger, gerade bei mission critial Systemen wie Firewall.

Hier bin ich gottseidank in der komfortablen Lage, das die Beurteilung zur Verwendung der nötigen Infrastruktur mir alleine unterliegt.
Wenn ich also sage wir fahren OPNSense im HA auf Dellserver, dann wird das nicht hinterfragt.
Das setzt nur vor raus, Vertrauen und Entscheidung treffen = verantwortlich sein

Und da kann ich noch nicht wirklich abschätzen; läuft die angedachte Lösung bestenfalls eine Uptime von 200 Tagen ohne nennenswerte Schwierigkeiten. Ohne HA würde ich das gar nicht erst in Betracht ziehen wollen.

So wäre ich zumindest in der Lage HA aufbrechen, Konten aktualisieren und dann wieder im Sync zu nehmen.
Auch was den Funktionsumfang betrifft, das was eine Firewall können muss, ist gegeben bei OpnSense und auch mehr.
Klare Vorteil z.B. gegenüber Sophos und Co. native Unterstützung LetsEncrypt.
Ich fahre ein Hyper-V Cluster hier, auch das wäre ein denkbares Szenario, diese als VM's einzusetzen.
Für mich gehört aber Firewall noch in eigene Hardware, dediziert und physikalische getrennt.

Der Support der gekauft werden kann ist aber kein klassischer SLA, sondern ein Kontigent an Stunden auf das man zurück greifen kann um entsprechende Experten zu bekommen richtig ?

Das sehe ich weniger als Support, sondern ist eher Consulting mit garantierter Reaktionszeit .)

Gruß
Thorsten

[monstermania]

Hier bin ich gottseidank in der komfortablen Lage, das die Beurteilung zur Verwendung der nötigen Infrastruktur mir alleine unterliegt.
Wenn ich also sage wir fahren OPNSense im HA auf Dellserver, dann wird das nicht hinterfragt.
Das setzt nur vor raus, Vertrauen und Entscheidung treffen = verantwortlich sein

Ist bei und nicht viel Anders. Die GF verlässt sich hier i.d.R. auch auf die IT. Nur bleibt die Frage, ob Du wirklich alle möglichen Folgen die sich aus Deiner Wahl ergeben können abschätzen kannst!

Und da kann ich noch nicht wirklich abschätzen; läuft die angedachte Lösung bestenfalls eine Uptime von 200 Tagen ohne nennenswerte Schwierigkeiten. Ohne HA würde ich das gar nicht erst in Betracht ziehen wollen.

Ich weiß echt nicht, was immer dieser Zinnober mit der Uptime eines Systems soll! Wichtig ist zunächst mal eine konsequente und stabile Versorgung mit Updates seitens des Herstellers! Und nach einem Update wird die FW u.U. eben neu gestartet. Dank HA benkommen die User davon ja (fast) gar nichts mit!  Es fliegen halt kurzzeitig alle VPN-Tunnel weg. Aber ein Problem war das bisher auch nicht.
Das halte ich im Übrigen auch bei meiner OPNsense so. Da kommt es bei einem Update auch gern vor, dass z.B. der Squid nach dem Update weiterhin mit der alten Version läuft!

Auch was den Funktionsumfang betrifft, das was eine Firewall können muss, ist gegeben bei OpnSense und auch mehr.

Spam- und AV-Filter für den Exchange!?
Soll der Webbproxy genutzt werden? Wie sieht es dann mit AV-Schutz für Downloads aus?
Sollen ggf. Kategoriesperren genutzt werden (z.B. Porno, Werbung)? Wie sieht es hier mit notwendigen Filterlizenzen für OPNsense aus?
Wie sieht es mit dem Logging/Reporting aus (Zugriffstatistik, Traffic-Reports, usw.)!?
 

Für mich gehört aber Firewall noch in eigene Hardware, dediziert und physikalische getrennt.

Nun ja, unser FW Cluster läuft auf dedizierter HW! Einzig aus Gründen des Herstellersupports läuft halt ein Hypervisor. Ich würde auch nie auf die Idee kommen eine FW auf einem Host zu nutzen auf dem noch andere produktionskritische VM laufen.

[Zaidan]

Ist bei und nicht viel Anders. Die GF verlässt sich hier i.d.R. auch auf die IT. Nur bleibt die Frage, ob Du wirklich alle möglichen Folgen die sich aus Deiner Wahl ergeben können abschätzen kannst!

Ne das werde ich bei keiner Wahl können, ich muss es dann halt nur "beherrschen", Fehlerquellen etc. zügig im Griff zu haben. Ein Grund der gerade für OpenSource spricht, da man mehr Einblick in Abläufe hat als bei BlackBoxen

Ich weiß echt nicht, was immer dieser Zinnober mit der Uptime eines Systems soll! Wichtig ist zunächst mal eine konsequente und stabile Versorgung mit Updates seitens des Herstellers! Und nach einem Update wird die FW u.U. eben neu gestartet. Dank HA benkommen die User davon ja (fast) gar nichts mit!  Es fliegen halt kurzzeitig alle VPN-Tunnel weg. Aber ein Problem war das bisher auch nicht.
Das halte ich im Übrigen auch bei meiner OPNsense so. Da kommt es bei einem Update auch gern vor, dass z.B. der Squid nach dem Update weiterhin mit der alten Version läuft!

Mit Uptime war einfach ein stabiles System gemeint, was wenn es nicht kritisch ist, auch Updates im Rahmen bekommt. Ein Beispiel, wir hatten mal ein CephCluster betrieben, vertrieben durch Suse. Hier kamen Updates in einem Zyklus der nicht mehr vertretbar war. Lag aber wohl auch an Bugs und zu schnell auf neue Pferde gesetzt.
Sophos war auch was Updates betrifft, nicht übertrieben viel. So konnten wir uns es erlauben, auch die FW nur bei QuartlyPatchDay die FW zu aktualisieren. Ich verstehe aber auch unter Uptime, dass die Dienste bei korrekter Konfiguration nicht alle Nase lang sich aufhängen. NeverEndingStory ; PrintSpooler von Windows Server als Beispiel. Sowas kann man bei einer FW garnicht gebrauchen.

Spam- und AV-Filter für den Exchange!?
Soll der Webbproxy genutzt werden? Wie sieht es dann mit AV-Schutz für Downloads aus?
Sollen ggf. Kategoriesperren genutzt werden (z.B. Porno, Werbung)? Wie sieht es hier mit notwendigen Filterlizenzen für OPNsense aus?
Wie sieht es mit dem Logging/Reporting aus (Zugriffstatistik, Traffic-Reports, usw.)!?

Hier müsste ich im Falle von OPNSense Abstriche machen. Das würde sich aber alles über Linux-Systeme in Form von Appliances lösen lassen denke ich. Erhöht die Administration/Monitoring etc. schafft uns aber Bedarfsgerecht reagieren zu können.

Nun ja, unser FW Cluster läuft auf dedizierter HW! Einzig aus Gründen des Herstellersupports läuft halt ein Hypervisor. Ich würde auch nie auf die Idee kommen eine FW auf einem Host zu nutzen auf dem noch andere produktionskritische VM laufen.

Da würde ich Ärger mit den Netzwerken bekommen Die erzählen mir dann sowas vonwegen im Kernel des Hypervisors war es in der Vergangenheit möglich von einer VM auf die andere zu zugreifen etc.
Aber auch für den DisasterRecovery möchte ich nicht vor einem Henne/Ei Problem stehen. Im ColdStandBy würde ich mir die sekundäre FW noch als VM gefallen lassen.

[monstermania]

Da würde ich Ärger mit den Netzwerken bekommen Die erzählen mir dann sowas vonwegen im Kernel des Hypervisors war es in der Vergangenheit möglich von einer VM auf die andere zu zugreifen etc.
Aber auch für den DisasterRecovery möchte ich nicht vor einem Henne/Ei Problem stehen. Im ColdStandBy würde ich mir die sekundäre FW noch als VM gefallen lassen.

Versteh ich nicht...
Da soll mir ein NW mal erklären oder besser zeigen, wie man bei nur einer einzigen VM auf einem Host über den Hypervisor auf andere VM's zugreifen kann!?

Aber auch egal.
Irgendwie habe ich ohnehin das Gefühl, dass Du eigentlich nur eine Bestätigung Deiner Entscheidung zum Einsatz von OPNsense in Eurem RZ suchst!
Ob das nun im konketen Fall, mit den von Dir geschilderten Eckdaten sinnvoll ist, lasse ich mal offen. Warum man z.B. dann noch zusätzliche Appliances für AV- und Spamfilter nutzen will, erschließt sich mir ehrlicherweise nicht! Da könnte man ja eigentlich gleich eine OpenSource Lösung nutzen, die entsprechende Module Out-of.the-Box bietet (z.B. pfsense , ipfire oder Endian Community).
Ich kann jedenfalls über die OPNsense nichts negatives berichten. Läuft bei mir privat vollkommen problemlos und stabil!

[fabian]

Versteh ich nicht...
Da soll mir ein NW mal erklären oder besser zeigen, wie man bei nur einer einzigen VM auf einem Host über den Hypervisor auf andere VM's zugreifen kann!?

Entweder über nen Exploit für den Hypervisor aus der VM ausbrechen oder mittels eines Exploits über Hardwarezugriff - ist beides denkbar.