OPNsense vs IPCop

[Thargor]

Moin,

bin durch Zufall auf eure Seite gestoßen, weil ich auf der Suche nach einer FW bin die auch IPv6 schon unterstütz.

Hintergrund: bin dabei meinen I-Net Anbieter zu Wechseln, von DSL (Versatel) zu Kabel UM. Dort gibts zur Zeit ein Angebot wo die gesamten Baukosten übernommen werden, hat aber den Nachteil das nur noch IPv6 Anschlüsse gibt. Habe aber später die Möglichkeit auf Business zu wechseln...

Habe einen IPCop zur Zeit in Betrieb auf aktuellen Stand 2.19 und prinzipiell damit ganz zufrieden.

Frage: wo liegen die Unterschiede zwischen den beiden FW? Wo sind die Vor- bzw. Nachteile?

Was für mich entscheidend ist, ich möchte weiterhin von außerhalb auf mein System zugreifen können, sprich hab z.b. Solarlog und ein NAS am laufen.

Brauch ich dazu weiterhin einen IPv4 Anschluß? Oder kann man das schon mittlerweile mit IPv6 lösen?

Gibts schon DynDNS Anbieter die das lösen können?

Fragen über Fragen...

[franco]

Moin Thargor,

herzlich willkommen! So viel weiß ich leider auch nicht--die Welt der Open Source Firewalls ist ziemlich groß.

Nach ein bisschen Wikipedia kommt IPCop aus einer Linux Familie, Endian und IPFire hab ich immer mal wieder als gute Abkömmlinge gehört. Ich glaube der Hauptunterschied liegt bei OPNsense an BSD als Betriebssystem anstelle von Linux. Grundsätzliche Netzwerkfeatures sind natürlich gleich, aber auch Zusatzfeatures wie VPN, DHCP usw. sind vorhanden.

Das ganze wird schnell zu einer Philosophiefrage und wie sehr man die Oberflächen mag, die API, oder die Konsole.

Für OPNsense spricht noch ein hauptsächlich wöchentliches Update-Verfahren, je nach "Bedrohungslage", aber auch mal tägliche Hotfixes oder Schmankerl wie LibreSSL anstatt OpenSSL.

NAS können wir leider nicht liefern, da wärest du in der BSD-Familie besser z.B. bei FreeNAS aufgehoben. Solarlog kann ich gerade nicht zuordnen?

IPv4 und IPv6 sind unterstützt. DynDNS (eine Auswahl an Anbietern) wird auch unterstützt für beide Varianten.

Soviel erstmal für die erste Runde.


Grüße Franco

[chol]

OPNsense kommt ja als ein Fork von pfSense und von m0n0wall und ist auf FreeBSD basierend.

Im Primzip kommst Du der Frage naeher, was denn OPNsense und FreeBSD basierte Firewall software bzw. Distributionen sind naeher, wenn Du der pf (auch PF geschrieben)  Firewall nachrecherchierst.

Ich empfehle Dir diese Videos:

Henning Brauer (ruBSD 2013) ueber pf

Episode 035: Puffy Firewall

Episode 072: Common OPNsense Approach

Episode 025: A Sixth pfSense




und die folgende Uebersichts-Seite:

OPNsense

[Thargor]

Hallo franco, Hallo chol

danke für eure Ausführungen.

API und UserInterface gibts bei IPCop genauso. Denk dort ähnelt sich vieles. Was mir gefällt beim IPCop
das dort die Netzwerke in verschiedenen Farben dargestellt werden:

ROT: WAN
ORANGE: DMZ
GRÜN: LAN
BLAU: WLAN



Habe vor mir auch neue Hardware zu kaufen, sprich ein APU1D4 http://www.apu-board.de/produkte/apu1d4-bundle.htmlBoard von pcengines z.b.

Kann ich bei der Installation die Netzwerke ebenfalls so zuordnen?

Wie ist das mit der IPv6?

Bräuchte Zugriff von außerhalb auf meinen NAS-System bzw. Solarlog (Photovoltaik Anlage). Kann das so realisiert werden? Oder wird im LAN auch schon IPv6 dazu gebraucht?

Hab mich mit diesem Thema noch nicht so wirklich beschäftigt.


Gibts schon oder wirds eine deutsche Übersetzung geben?

 

[cibomato]

Hallo Thargor,

ich komme auch von IPCop über IPFire und die nächste produktive FW wird wohl OPNsense werden. Die Entwicklung ist deutlich aktiver zumindest im Vergleich zu IPCop.

Viele Grüße,
Jochen

[chol]

Warum einfach, wenn es auch kompliziert geht 

IPcop hat nun ja auch schon Jahre auf dem Buckel.
Ich hatte das vor mehr als 10 Jahren mal in gebrauch mit Einwahlsteuerung und Firewall fuer eine doppelte ISDN Internetverbindung, weil mein Stadtteil OPAL Glasfaser "verseucht" war und fand dann Fli4Linux doch besser.

IPcop wurde bekannt, in Dland hatte es die heise Redaktion gefoerdert und nahm dann einen aehnlichen Weg wie jetzt pfSense, es wurde speziell, spezieller und dann viertel und halb und mehr Kommerziell mit mehreren Fork-Projekten.

Das Rot-Gruen-Orange hat sich bewaehrt und ging auch in Nachfolger ein. Hast Du mal darueber nachgedacht die Interface=farben mit farbigen Netzwerkkabeln nachzustellen, sprich gruen fuer den LAN port, rot fuer den WAN port, Blau/Organe fuer den DMZ port? Plus Du kannst die Netzwerk interfaces natuerlich auch ROT und GRUEN statt WAN und LAN nennen , wenn es Dir beliebt, oder halt WAN (rot).

Im Hinblick auf die Firewall ist die Farbampel natuerlich vereinfachend und passt dann schnell nicht mehr zu einer komplexen und leistungsfaehigen Firewall software wie pf (PF) hier bei uns. Wie Du anhand meiner oben angefuerhrten Beispiele erahnen kannst ist pf das leistungsfaehigere Product und IPcop bilded eine GUI fuer iptables bei Linux.

Deine Hardware: Du hast ein PC-Engines Produkt gewaehlt, fuer dass es noch keine stark ausgearbeitetes OPNsense software image gibt, d.h. was wir haben ist noch in der Entwicklung. Plus du kannst nur mit einer Terminalverbindung ohne Monitor auf die APU von PC-Engines zugreifen.

Da Du von IPCop kommst und nach einer englischen Uebsetzung fragst ist es evtl. besser fuer Dich mit deiner bisherigen IPCop Hardware einmal OPNsense auszuprobieren (1GHz reicht).

Ich empfehle dir also OPNsense ohne die PC-Engines APU Hardware zu nutzen (weil es einfacher ist) oder die APU mit dem pfSense image auszuprobieren oder wenn Du es Dir trotz der Warnungen zutraust halt die APU mit OPNsense (als Bastel und Lernprojekt) was Du aber evtl. aufgrund von Zeitmangel nicht zum Laufen bekommen wirst.

Du kannst von aussen auf dein Solarlog oder NAs system zugreifen, wenn dir die Stichworte port forwarding und/oder 1:1 NAT und/oder virtual IP etwas sagen. Wenn Du wenig weist fang einfach an im Netz zu lernen. Dein vorgestelltes Setup sollte von Dir mit Hilfe der meist englischen Internetquellen aufzusetzen sein.

Ein sehr einfacher Weg fuer Deine Beduerfnisse waere evtl. ein Consumer-router wie die Fritzbox. Und du brauchst nicht unbedingt IPv6 fuer ein locales sicheres LAN mit NAS und Solarlog.

[jstrebel]

A propos pcengines APU hardware. Mein(e) OPNsense(es) laufen seit anfangs März problemlos auf dem APU. Ich habe vom USB Stick auf das interne mSATA SSD installiert. Gruss jakob


Gesendet von iPhone mit Tapatalk

[chol]

A propos pcengines APU hardware. Mein(e) OPNsense(es) laufen seit anfangs März problemlos auf dem APU. Ich habe vom USB Stick auf das interne mSATA SSD installiert. Gruss jakob

Ja, stimmt, habe ich gerade auch gesehen bei der nach-recherche. Die APU hat einen Sata-Anschluss. Wunderbares Teil, das!

[Thargor]

So

hab vor Tagen die neue Hardware bekommen und auch OPNSense erfolgreich installiert bekommen.
Inklusive WLAN. Alles läuft rund auf der APU1D4 Hardware.

Was mich bissl stört, das es noch keine echte Dokumentation gibt. Was all die verschiedenen Einstellungen bedeuten, weder in Englisch geschweige mal was auf Deutsch.

Wird es eine deutsche Übersetzung mal geben, wie z.b es bei dem IpCop der Fall ist?

Wäre sicher sehr hilfreich, und würde das auch interessanter machen für andere User die dem englischen nicht so mächtig sind.
Vieles ist ja sehr speziell.

[jstrebel]

Thargor,
das braucht noch etwas Zeit. Zuerst will das Team die Version 15.7 im Juli herausbringen.
Welche Teile sind deiner Ansicht nach am allernotwendigsten?

Persönlich habe ich den Eindruck, dass der englische Text im GUI doch recht aufschlussreich ist.
Tip: notfalls hilft google 
jakob

[Thargor]

Es würde vllt schon was bringen wenn gewisse Funktionen beschrieben werden wofür sie gut sind:
Captiveportal z.b.

Oder einfach grundlegende Dinge kurz erläutert wie die einzustellen sind: Sprich ein Wlan einrichten, und dort z.b. eine feste Adresse vergeben und das nur der Teilnehmer mit dieser MAC Adresse sich dort einwählen darf.

Oder wie eine Verbindung auf der WAN Schnittstelle eingestellt wird.

Ein kleines, HowTo wie man die OPNSense FW schnell und sicher einrichtet

EDIT: so hab mich bissl schlau gemacht: weiss nun was CaptivPortal ist :-)

Hab noch eine gute Anleitung gefunden, ist zwar für die m0n0wall/pfsense, aber denke OPNsense ist ja darauf aufgebaut: http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html

[jstrebel]

Hallo, diese Seiten helfen auch weiter:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
http://www.nwlab.net/tutorials/pfSense/
jakob

[Thargor]

@jstrebel

Moin und Danke für die Links. Denke das bringt mich schon was weiter.

Aber: gibts eine Möglichkeit nach dem Starten von OPNSense sich mit Putty auf die Konsole/Shell einwählen?

[jstrebel]

Sobald die initialinstallation abgeschlossen ist und der OPNsense mit einer LAN Adresse versehen ist, kannst du via putty (ssh) als root mit pw opensense zugreiffen.

[franco]

SSH muss erst konfiguriert werden über die GUI, und auch Nutzer "root" und Password "opnsense" geht nur mit:

System: Settings: Admin Access

• Enable Secure Shell
• Enable root user login
• Enable password login