Dieser Artikel zeigt eine Auswahl der gestellten Fragen des Webinars OPNsensefür Anwender mit Michael Münz von der m.a.x. it. Das ganze Video finden Sie bei Youtube auf dem Kanal von Thomas-Krenn.
Was ist bei OPNsense Installationen in VirtualBox bei tagged VLAN Interfaces zu beachten damit man auf dem Interface maximalen Durchsatz erreichen kann?
Wir haben leider mangels Erfahrung mit VirtualBox in Kombination mit OPNsense keine Informationen und Tipps dazu.
Kann man in OPNsense die gleichen Blocklisten wie in pihole verwenden?
Es gibt hierzu Blocklisten im Unbound DNS Service, diese sollten einen ähnlichen
Was ist wenn man vorher Legacy VPN hatte und bei der neuen Version dann weg fällt? Wird das automatisch übernommen?
Es wird nicht automatisch in die neue Implementierung übernommen.
Legacy und die neue Implementierung laufen parallel.
Wenn man ein Legacy VPN Variante konfiguriert hat und OPNsense aktualisiert dann bleibt diese natürlich vorhanden.
Kann man den Snapshot auch so einstellen, wenn ein Update fehlschlägt, dass er automatisch zurück spielt?
Nein das ist nicht möglich.
Wenn muss das durch den User selber zurückgesetzt werden, wenn etwas nicht funktioniert.
Ist WireGuard in Kombination mit Captive Portal eine gute Wahl für User-VPN, oder gibt es da aus der Perspektive der Sicherheit Bedenken? Wir nutzen das bei mehreren Kunden, es funktioniert sehr gut, durch WireGuard + Passwort + Token hat man sogar drei Faktoren für die Authentifizierung.
Ja, das ist genau der richtige Weg, mit dem neuen Netbird Plugin wird dann vermutlich noch wesentlich mehr hinzukommen.
Gibt es eine Empfehlung zur Konfiguration, wenn sowohl für OPNsense als auch für WAN ein Failover (HA) verwendet werden soll? Bei pfSense gab es das.
Wichtig ist dass beide Geräte in allen WANs sind, dann primär immer UNIT1 und mit Default-Gateway Switching das Standardgateway schwenken, somit ist alles redundant.
Wo kann ich feste DNS Einträge setzen? Also Hostnames zu IP Adressen zuweisen?
Das geht im Unbound unter Overrides
Hier dann Host, Domain und die IP-Adresse angeben
Funktioniert nur wenn die Firewall sich selbst als DNS Server verwendet.
System -> Settings -> General muss die Zeile "DNS Servers" leer sein.
Ich habe in der Vergangenheit die Info bekommen, dass Opnsense als VM auf Proxmox VE nicht sehr performant sei (FreeBSD/virtuelle Netzwerkkarte). Stimmt dies bzw. ist dem noch immer so?
Man sollte nicht mehr als Gigabit beim Durchsatz erwarten, es könnte sich mit FreeBSD 15 aber noch etwas tun (OPNsense 26.7).
Wir benutzen den PFBlockerNG auf unserer PFSense - kann man den auf OPNsense auch installieren?
Nein, geht nicht.
Es wurde versucht ein Plugin zu bauen.
Ansatz bei OPNsense alles modular anzubieten.
DNS Filter im Unbound definieren
Geoblocking dann über Firewall -> Aliases -> Reiter GeoIP settings einstellbar
Firehol Blacklists über Firewall -> Aliases -> URL Table (IPs)
Die wichtigsten Features von PFBlockerNG damit abgedeckt.
Kann man bei System: Firmware auch die Versionen "zurückgehen", falls bspw. ein Update etwas zerschießt? Dann müsste man ggf. kein Backup einspielen und den ganzen server mit einem Snapshot zurückdrehen.
Das geht mit dem Kommandozeilen Tool "opnsense-revert"
Nur innerhalb eines Major Branches
Major Branches zurückspringen geht nur über ZFS Snapshots
Kann man HA nachträglich machen/einrichten, wenn FW1 schon fertig eingerichtet ist und FW2 neu frisch installiert dazu kommt?
Wartungsfenster nötig
Firewall 2 so konfigurieren wie sein soll
IP Adresse der Firewall 1 ändern
HA Mechanismus einrichten und CARP IPs die Live IPs dann einrichten und synchronisieren
Auch Interessant wäre für mich folgendes: bei WAN Failover im CARP Mode, wie man da am besten eine PPPoE Leitung (Beispiel Gbit Fiber Telekom WAN mit fester IP) handhabt, so dass die zweite FW dann PPPoE aufbaut (pfSense kann das angeblich). Was wäre da best practice? Meines Wissens baut die 2te HA FW dann nicht neu PPPoE auf.
System -> High Availability -> Settings
Disconnect dialup interfaces anhaken
Mit Vorsicht verwenden
Der BSD Paketfilter macht kein stateless unconditional NAT wie jeder 40€ Mediamarkt Router (nötig für manche SIP-Accounts hinter NAT on prem.) sog. Full Cone NAT. Ich musste das nach dem Kauf teurer Hardware "the hard way" lernen und finde das erwähnenswert, dass das nicht geht. Im Nachhinein würde das meine Kaufentscheidung beeinflussen. (Wir migrieren gerade von Sophos UTM nach OPNsense und das ist echt ein Fallstrick.) Muss jetzt deswegen komplett mein PBX System ins WAN migrieren. (Der Thread im BSD Forum, also die Diskussion der Entwickler ist echt interessant, sie sehen keinen Sinn bei unconditional NAT, aber vermutlich jede andere Firewall macht das.)
Bitte nehmen Sie mit uns Kontakt auf.
Wird es irgendwann WireGuard mit Passwort geben, optional?
Ja mit Captive Portal oder dem neuen Netbird Plugin.
Welche Hardware empfehlen Sie für OPNsense?
Thomas-Krenn Systeme mit dem gepflegtem Einsatzzweck OPNsense (z.B. OPNsense 25.7) sind sehr zu empfehlen.
Hängt immer von den Anforderungen ab, nehmen Sie mit uns Kontakt auf.
Ab welcher Größe ist denn die Benutzung von KEA DHCP angeraten?
Dnsmasq DNS für kleinere Umgebungen unter 500 IPs
KEA DNS ab 500 IPs zu empfehlen
Welche Hardware setzen Sie primär ein, gerade wenn man von Sophos UTM kommt?
Es kommt auf den Zweck an, Thomas-Krenn LES Geräte und Front-IO Server mit Intel Xeon-E sind sehr beliebt.
Wie kann ich von IPsec Tunnel Settings [legacy] in Connections migrieren, wir verwenden IPsec für Mobile Warriors, also mit Pre-Shared-Keys.
Da gibt es keinen Königsweg, zu viel Unwägbarkeiten.
Interessant wäre später wenn möglich -> Backup-Gateway wenn A ausfällt nach B Switchen
Es gibt hierzu ein eigenes Video bei Thomas-Krenn auf dem Youtube Kanal dazu.
Die Multi-WAN Möglichkeiten von OPNsense sind im Thomas-Krenn-Wiki beschrieben.
Gibt es eine Option, dass die FW sich als Client an einen OpenVPN Server einwählt? Gegebenenfalls mit automatischem reconnect?
Ja das geht, das ist die Stärke von OpenVPN.
Instances im Client Modus und mehrere Server IPs angeben.
Hatten versucht von Sophos auf OPNsense umzustellen. Bei IPsec wurden die Routing Regeln nicht genommen.
Weil OPNsense dem User die freie Wahl lässt Sachen selbst zu machen.
Bei IPsec Legacy werden viele Schritte manuell erledigt, z.B. automatische Firewall Regel setzen.
Bei IPsec Connections muss man das manuell erledigen.
Dokumentation lesen, Entwickler haben den Weg so eingeschlagen.
Wird dieses Webinar aufgezeichnet für ein späteren Review?
Ja das Webinar wird aufgezeichnet.
Sie erhalten im Nachgang eine Mail mit dem Link dazu.
Es wird auch bei Youtube veröffentlicht.
Bieten Sie einen Komplettservice zu Auswahl, Einrichtung, Konfiguration und weiteren Betreuung der Firewall an? Wir haben derzeit Sophos im Einsatz. Wohin wende ich mich?
Ja das bieten wir an, wenden Sie sich gerne an uns von Thomas-Krenn oder an unseren Partner m.a.x. IT.
Kann OPNsense mich informieren (z.B. per Mail), wenn neue Updates verfügbar sind oder muss ich wirklich immer auf "check for updates" klicken?
RSS Feed am Dashboard prüfen
Cronjob der Updates prüft und dann mit Monit dann eine Benachrichtigung erstellen.
Wie sieht man, ob der "dhcp service" aktiv ist auf der LAN Schnittstelle?
Es kommt auf den DHCP Dienst an
Bei dem Legacy Dienst "ISC DHCP" sieht man den grünen Play-Button.
Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.
wiki