OPNsense FAQs

In diesem Artikel finden Sie Antworten zu häufig gestellten Fragen (FAQs) zu der Open Source Firewall OPNsense.

FAQs

Dieser Abschnitt liefert Antworten zu vermischten Fragen rund um OPNsense.

1. Welche Server von Thomas-Krenn sind für OPNsense geeignet?
   • Sie finden kompatible und getestete Server im Thomas-Krenn-Onlineshop im Bereich OPNsense Firewalls.
2. Wo finde ich eine Übersicht über die wichtigsten Daten der OPNsense kompatiblen Geräte von Thomas-Krenn?
   • Der Artikel Firewall Server zeigt eine tabellarische Übersicht über die technischen Eckpunkte verfügbarer Geräte.
3. Wo finde ich Performancedaten zu den verschiedenen Thomas-Krenn Firewall Servern?
   • Der Artikel Thomas-Krenn OPNsense Firewall Performance zeigt tabellarisch die auf Performance getesteten Systeme auf.
   • Weitere Systeme werden laufend ergänzt.
4. Wo finde ich Informationen zu verschiedenen Themen rund um OPNsense?
   • Wir haben im Wiki eine Kategorie OPNsense angelegt.
   • Webinare zum Thema OPNsense finden Sie in unserem Thomas-Krenn Youtube-Kanal: ThomasKrenn
   • In unserem Firmenblog TKmag gibt es ebenso viele Informationen zu OPNsense: TKmag | Das Expertenmagazin rund um Server, Storage, Virtualisierung und mehr.
5. Wie werden die Netzwerkkabel korrekt verkabelt? Standardmäßige WAN und LAN Schnittstellen-Belegung.
   • Der Artikel Thomas-Krenn OPNsense Firewalls Netzwerk Schnittstellen zeigt die korrekte Verkabelung.
6. Wie können zusätzliche Schnittstellen im OPNsense Webinterface definiert werden?
   • Der Wikiartikel OPNsense Interface hinzufügen zeigt die erforderlichen Schritte.
7. Wie wird OPNsense installiert?
   • Informationen dazu finden Sie im Artikel OPNsense installieren.
8. Wie wird die Grundkonfiguration vorgenommen?
   • Grundkonfiguration nach Installation
9. Wie kann die Konfiguration gesichert werden?
   • Die Konfiguration kann als XML File gesichert werden.
   • Das XML-File kann auch verschlüsselt werden.
10. Wie kann die Konfiguration wiederhergestellt werden?
    • Möglichkeit 1: Über das Webinterface im Bereich System -> Configuration -> Backups unter der Überschrift Restore.
    • Möglichkeit 2: Über die Konsole der OPNsense Firewall.
11. Welche OPNsense Version ist gerade aktuell?
    • Infos zu den Releases mit den wichtigsten Neuerungen finden Sie im Wikiartikel OPNsense.
12. Welche Möglichkeiten bietet OPNsense bezüglich VPN-Verbindungen?
    • Bei einer OPNsense Firewall können unter anderem OpenVPN, IPsec und WireGuard (per Plugin) VPNs erstellt werden, weitere VPN Techniken sind ebenso wie WireGuard als Plugin nachrüstbar.
    • Die VPN-Techniken können für Site-to-Site und auch für Roadwarrior eingesetzt werden.
    • OPNsense OpenVPN für Road Warrior einrichten
    • OpenVPN Site-to-Site Einstellungen zwischen zwei OPNsense Firewalls
    • OPNsense WireGuard VPN für Road Warrior einrichten
    • OPNsense WireGuard VPN Site-to-Site einrichten
    • IPsec Site-to-Site Einstellungen zwischen zwei OPNsense Firewalls
    • Eine konkrete Konfigurationsempfehlung für eine IPsec Roadwarrior Konfiguration gibt es nicht, es muss hierbei immer das Endgerät beachtet werden. Ein Windows 10 Client braucht andere Einstellungen wie ein Android oder iOS Gerät.
13. Werden Chelsio, Mellanox und Broadcom Netzwerkkarten von OPNsense unterstützt?
    • Ja, aber der Treiber muss manuell aktiviert werden: OPNsense Chelsio Mellanox Broadcom Netzwerkkarten-Treiber aktivieren
14. Können zwei OPNsense Firewalls zu einem Cluster verbunden werden?
    • Ja, wie Sie den OPNsense HA Cluster einrichten steht ebenso im Wiki.
    • Anforderungen an die Hardware
15. Das Dashboard der OPNsense Firewall zeigt keine CPU Temperaturen an.
    • Wie Sie CPU Temperaturen in OPNsense anzeigen lassen können, haben wir im Wiki notiert.

Auswahl der passenden Hardware

Bei der Auswahl sind folgende Punkte zu beachten:

• Standort (lüfterloses System fürs Büro oder 19" Rack-Server)
• Front-IO System oder klassischer Rackserver
• Ein oder zwei Netzteile
• Anzahl erforderlicher 1 GBit, 10 GBit oder >25 Gbit Netzwerk-Schnittstellen
• Erforderliche CPU-Performance
  • OpenVPN: CPU mit hohem Takt, zum Beispiel Xeon-E oder Xeon Silver: RI1101-SMXEFH
  • IPsec VPN Tunnel: Ab 1 Gbit/s erforderlichem Durchsatz eine Xeon-E CPU oder Xeon Silver wählen: RI1101-SMXEFH
  • Proxy: Anzahl der Kerne wichtiger als Takt, Beispiel Xeon-D Systeme: RI1102D-F Ver.2
• Erforderliche Größe des Arbeitsspeichers
  • Betrieb der Firewall mit den Grundfunktionen und VPN Diensten: 4GB RAM (ab 50 Benutzer 8GB RAM)
  • Zusätzlich mit Intrusion Detection (IDS), Intrusion Prevention (IPS) oder Proxy: 8GB RAM (ab 50 Benutzer 16GB RAM)
  • Beim Betrieb von Zenarmor: 16GB RAM (Ab 250 Benutzer: 32GB RAM)
• Hardware-Kompatibilität mit dem Betriebssystem der Firewall-Lösung (FreeBSD bei OPNsense oder pfSense, Linux bei ipFire)
• Empfehlungen des Herstellers, siehe z.B. Hardwareanforderungen OPNsense

Inbetriebnahme vorinstallierter OPNsense Firewalls

Sie können bei Thomas-Krenn auch bereits vorinstallierte OPNsense Firewalls erwerben. Im Wikiartikel Inbetriebnahme vorinstallierter Thomas-Krenn OPNsense Firewalls finden Sie Informationen wie Sie vorinstallierte Systeme dann korrekt in Betrieb nehmen und weiter konfigurieren können.

OPNsense Business Edition

In diesem Abschnitt finden Sie wichtige Informationen zur OPNsense Business Edition.

1. Welche Zusatzfunktionen bietet die OPNsense Business Edition?
   • Informationen zu den Zusatzfunktionen der OPNsense Business Edition
2. Wo kann man die OPNsense Business Edition Subscription kaufen?
   • Sie können die Business Edition Subscription direkt beim Kauf eines OPNsense-kompatiblen Servers mitbestellen.
   • Über den Konfigurator - OPNsense Business Edition Subscription (Ver. 1.*) können Business Edition Subscriptions auch separat gekauft werden.
3. Wie kann die OPNsense Business Edition aktiviert werden?
   • Die Business Edition kann bequem nach Kauf einer Subscription mit dem Activation Key aktiviert werden: OPNsense Business Edition Lizenz aktivieren
4. Gibt es einen exakten Zeitplan, wann eine neue OPNsense Business Edition erscheint?
   • Ja, am 12. April 2021 wurde ein Zeitplan veröffentlicht der nun für alle zukünftigen Business Edition Releases gilt. Sie erscheint nun immer im April und Oktober als eigenes Image.^[1]
   • Prüfen Sie trotzdem regelmäßig im OPNsense Interface die verfügbaren Updates.
5. Wird man benachrichtigt wenn die Business Edition Subscription abläuft oder gibt es eine Funktion zur automatischen Verlängerung?
   • Nein, so eine Funktion ist nicht verfügbar. Die Subsciptions laufen automatisch ab.
   • Im OPNsense Dashboard finden Sie im Widget System Information in der Zeile Version einen Eintrag Licensed until DATUM.
6. Was passiert, wenn man vergisst, die Business Edition zu verlängern? Funktionieren die Updates weiterhin?
   • Nein, man kann über den speziellen Update Mirror keine Updates mehr einspielen, denn man hat ohne gültige Subscription keinen Zugriff mehr auf den spezifischen Update Mirror der Business Edition.
   • Sie können dann natürlich aber wieder auf den regulären Update Mirror von OPNsense umstellen und erhalten darüber weiterhin Updates.
7. Gibt es ein separate Verlängerung der Subscription und wenn ja sind unterschiedlich?
   • Nein, derzeit gibt es keine separate Verlängerung der Subscription.
8. Sind zwei OPNsense Business Edition Subscriptions beim Einsatz eines HA-Clusters erforderlich?
   • Ja, es ist pro Maschine eine Subscription erforderlich.

Fragen aus dem OPNsense Q&A Webinar – mit m.a.x. it

Hier finden Sie nun alle nicht beantworteten Fragen aus Großes OPNsense Q&A Webinar – mit m.a.x. it mit den Antworten versehen aufgelistet:

Fragen zu VPN-Themen

1. Welches Setup ist zu empfehlen, wenn man 10 Standorte mit jeweils gleichem IP Subnetz miteinander per VPN verbinden will? Bei pfSense wurde es in der Vergangenheit über ein Transfer NAT Netzwerk mit OpenVPN Zertifikaten gelöst.
   • 10 Standorte mit gleichem Subnetz, das sollte man nicht machen, alternativ renumbern. Ansonsten geht das natürlich mit NAT, wird dann aber verwirrend, unserer Empfehlung wäre die Subnetze neu zu machen.
2. Wie ist das Best-Practice, wenn man ein Default-GW und mehrere GWs für bestimmte Netze anlegen will? Wählt man beim Interface das Default-GW als "IPV4 Upstream Gateway" aus? Oder lieber Auto-detect und dann unter System -> Gateways -> Single die Checkbox bei "Upstream Gateway" (Bzw. je nach Version: "Default Gateway") aktivieren? Was ist, wenn man mehrere Uplinks (System/Gateways/Group) hat? Dann bei allen Interfaces das Upstream Gateway auswählen? Und wie legt man fest, über welches GW die eigenen Services der OpnSende (Wireguard, OpenVPN, etc.) verwenden?
   • Upstream Gateway in Interface erlaubt richtiges Multi-WAN, es werden pf Regeln gesetzt damit ein Paket was bei Leitung B rein kommt auch da wieder raus geht. Upstream Gateway Checkbox in Gateways selbst sagt nur aus, dass dieses Gateway auch als Default Gateway infrage kommt wenn in System -> Settings -> General Default GW Switching aktiv ist. Für mehr Details gerne auch im OPNsense-Forum dazu fragen.
3. Wie gut eignet sich die OPNsense als zentrale Gegenstelle für VPN Road Warrior Installationen? Kann das Ausrollen der Clientkonfiguration hier irgendwie automatisiert werden?
   • Der Export für OPNsense kann über die API angesprochen werden, da könnte man dann etwas scripten, von der Stange gibt es derzeit nichts.
4. Könnten Sie kurz zeigen, wie ein eine WireGuard Verbindung als Interface eingestellt werden kann?
   • Wenn Sie den WireGuard Dienst konfiguriert und aktiviert haben, können Sie in der Sektion Interfaces -> Assign Interfaces dann zum Beispiel dem wg0 ein Interface zuweisen.
5. Kann man NAT bei IPSec-Verbindungen durchführen? Für IPsec wird bei der Auswahl der NAT-Regeln kein entsprechendes Interfaces angeboten.
   • Ja, bitte in der Doku nach BINAT suchen. Die m.a.x. it hat mit OPNsense 21.1 auch die Entwicklung für mehr P2 mit NAT gesponsort.
6. Gibt es bei IPsec eine Möglichkeit, SPD-Policys mehreren Phase 2 Tunneln zuzuweisen? (source NAT, mehrere interne Netze)
   • Ja, dies wurde von der m.a.x. it mit OPNsense 21.1 gesponsert.
7. Ist es bekannt, dass WireGuard gelegentlich den Traffic stoppt? Ein deaktivieren/aktivieren des Dienstes lässt wieder alles normal laufen.
   • Setzen Sie beim Endpoint den Keepalive auf 5.
8. Welche Plugins sind ein "must have"? Welches Client-VPN ist bei OPNsense vorteilhaft? IPsec (Cisco-NCP-bintec-lancom), Wireguard oder OpenVPN?
   • Je weniger Plugins desto besser, OpenVPN bei ClientVPN ist am besten.

Fragen zu Firewall-Themen

1. Hat man in der Sektion Firewall -> Alias auch die Option "were used", um heraus zu finden welche Rules der Alias verwendet, zur Verfügung?
   • Nein, sobald Firewallregeln und NAT auf API migriert sind, wäre das einen Feature Request bei OPNsense wert. Diese Funktion ist von Cisco ASA und Sophos Systemen bekannt.
2. Kann eine OPNsense-Firewall bei dem aktuellen Exchange-Angriff helfen?
   • Nein, es wäre eh schon zu spät. Das Nginx Plugin hat eine WAF (Web Application Firewall), diese hätte unserer Meinung nach hier aber nicht zugeschlagen.
3. Wie wird ein zusätzlicher Filter im Firewall Live Log aktiviert?
   • Im Firewall Live Log wird ein zusätzlicher Filter aktiv, wenn er angelegt und danach mit + hinzugefügt wird.
4. Blocker für schädliche Hosts im Internet kann man ja auf unterschiedlichen Ebenen einrichten. Wann sollte man wo einen Blocker ansetzen: DNS, pf-Rule, Suricata?
   • DNS Blacklisting und die FireHOL Rules, das reicht.
5. OPNsense für bestimmte Anwendungen als Gateway ins Internet nutzen und den Datenverkehr überwachen: FW-Regeln mit z.B. *.teamviewer.com erstellen? Datenverkehr bewerten und Alarme ausgeben?
   • *. Als DNS Alias geht nicht, dazu braucht man den Proxy.

Performance-Fragen

1. Ein Performancevergleich zwischen pfSense und OPNsense (Firewalling ohne IPS intern zum abtrennen/schützen von Diensten lieferte folgende Ergebnisse: Mit pfSense wurden über 3Gbit/s erreicht, mit OPNsense lediglich 900Mbit. Die Tests wurden auf der identischen Hardware durchgeführt, jeweils als VMware VM. Gab es bei OPNsense zwischenzeitlich Verbesserungen?
   • Jein, pfSense verwendet bessere Default-Einstellungen, da muss man bei OPNsense gehörig die Einstellungen anpassen. Allerdings werden bei einem Kunden per VMware VM Durchsatzwerte von 6Gbit erreicht (OPNsense 20.1), eventuell liegt das Problem doch an der VM?

Allgemeine Fragen

1. Kann man das Webfilter Reporting einer Sophos UTM mit der OPNsense nachbauen?
   • Ja, mit sehr sehr viel Aufwand, besser einen Blick auf das Sensei Plugin werfen.
2. Gibt es ein grafisches Mail-Log wie bei der Sophos UTM?
   • Ja, Rspamd hat eine Web-Console, per Portforwarding auf Localhost mit Port 11334.
3. Kann man über Monit eine Watchdog-Funktion für OPNsense Dienste einrichten? Gibt es zu allen relevanten Diensten dazu eine Dokumentation?
   • Ja, aber nur manuell. Sie finden in der umfassenden OPNsense Dokumentation zu allen relevanten Diensten auch eine Sektion zu Monit.
4. Gibt es sowas wie ein Packet Tracer Policy Lookup bei OPNsense?
   • Nein, das ist nicht verfügbar.
5. Wann kommt endlich ZFS als mögliches Dateisystem bei der Installation?
   • Eventuell mit OPNsense 22.1.

Fragen zum High Availability Cluster

1. In einem HA-Verbund (derzeit 2 Knoten) soll Squid unabhängig vom Knoten nach außen immer mit der selben Source-IP erscheinen (VIP aus einem /27 Netz). Wie kann das konfiguriert werden?
   • Sollte mit outbound NAT funktionieren.
2. In einer Teststellung habe ich 2 OPNsense Firewalls in einer VMware Umgebung aufgebaut und einen HA Cluster nach der Thomas-Krenn Anleitung erstellt. "Disable preempt" wurde deaktiviert. Dennoch wird bei einem Failover (eine NIC wird disconnected) nur die eine IP auf die Firewall 2 umgezogen und nicht alle IP Adressen. Ist dies das gewünschte Verhalten?
   • Niemals Disable preempt anklicken! HA in VMware erfordert Anpassungen am ESX via CLI.

Hardware- und Hypervisor-bezogene Fragen

1. Wie kann man feststellen, ob eine NIC für Suricata im IPS-Modus mit VLANS geeignet ist (Stichwort netmap)? Die von FreeBSD angeführten Treiber-Gruppen sind nicht wirklich aussagekräftig (em, re, etc.). Im Betrieb zeigt sich, dass viele NICs instabil sind.
   • Dies wurde im Webinar erläutert.
2. Welche Vorgehensweise (auch in Hinblick auf die Performance) ist eher empfehlenswert: VLANs auf wenige NICs oder für jedes VLAN eine eigene dedizierte NIC nehmen?
   • Dies wurde im Webinar erläutert.
3. Ist OPNsense mit AMD Ryzen CPUs kompatibel?
   • Ja, siehe unsere AMD-basierten Server im Thomas-Krenn-Onlineshop.
4. Gibt es Erfahrungen zu OPNsense und VXLAN?
   • Es geht, Erfahrungen unsererseits leider keine. Man macht das ja eher am Hypervisor.
5. Wie kann man in einer virtuellen OPNsense mehrere LAN Interfaces hinzufügen?
   • Über den Hypervisor, dann erscheinen sie auch im System. Achtung: Das zerwürfelt alle bestehenden Interfaces und sie müssen per Console wieder richtiggestellt werden.

Fragen zur OPNsense Business Edition

1. Wir betreiben einen OPNsense-HA-Cluster (V. 20.7.8) auf dedizierter Thomas-Krenn-Hardware inklusiver aktivierter Business Edition. Sollten bzw. können wir schon auf die Version 21.x upgraden?
   • OPNsense 21.1 ist noch nicht für Business Edition User verfügbar.
2. Wie geht es weiter mit zentralen Verwaltung von mehreren OPNsense Firewalls? Soweit uns bekannt, ist dieses Feature nur in der Business Edition enthalten, habe ich noch nicht benutzt. Ist das brauchbar bzw. was können sie uns in Sachen zentrale Verwaltung mitgeben?
   • Es gehen nur die LITE Funktionen wie Upgrade, WebUI etc. Kein Rollout von Policies.

Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.