Archiv für den Monat: Juni 2019

Labortest mit OPNsense (Sophos UTM Ersatz?)

Ich betreibe pfSense schon seit dem Ende der M0n0wall auf einigen Produktivsystemen im Kundeneinsatz. Nun wollte ich mir den Fork „OPNsense“ mal genauer ansehen, weil dieser selbst vom ehemaligen Entwickler der M0n0wall empfohlen wird, und habe eine gößere Testinstallation in meiner VMware Umgebung ausgerollt. Ich habe alles ausprobiert was ich immer so in einer Netzwerkinfrakstruktur simuliere: MultiWAN, AD Integration, HA Proxy, Postfix Mailgate und dynamisches Routing über VPN Tunnel mit routed IPsec und OpenVPN. Das MultiWAN simuliere ich über einen ebenfalls virtuellen Mikrotik Router der vier WAN Interfaces bereit stellt. Hochverfügbarkeit ist ebenfalls in Form von CARP verfügbar.
Eins vorab: Eine Sophos UTM (vor allem nur mit Network Protection) kann man damit locker ersetzen! IT Entscheider sollten sich folgende Frage stellen: „Kann ich auf externe Ressourcen und Support zurückgreifen die mich unterstützen?“. Open Source ist gut – aber sie will auch verstanden und beherrscht werden. Sophos UTM oder XG bieten viele Systemhäuser an und es ist genug Know How auf dem Markt vorhanden. Daher hat die kommerzielle Variante mit ihren Kosten für evtl. Appliance Garantie und Support auch ihre Berechtigung. Auch wenn unter der Haube fast alle Dienste identisch sind und man sich nur durch die GUI unterscheidet. Ich versuche mal erste Eindrücke zur freien OPNsense mit Hilfe von Screenshots zu vermitteln. Wie gesagt, sie ist ein mächtiges Werkzeug und es geht hier nur um die Weitergabe meiner Erkenntnisse. Ich konnte jedenfalls alle Einsatzszenarien der UTM in unserem Unternehmen sehr einfach mit OPNsense abbilden. Ein wichtiger Grund sich über eine Migration von pfSense zu OPNsense Gedanken zu machen war für mich unter anderem auch das die Entwickler von pfSense das Postfix Mailrelay gegen alle Einwände der Community aus ihrer Firewall verbannt haben. OPNsense jedoch hat Postfix als Relay sehr gut integriert und kann ideal als Mailproxy vor einem Exchange eingesetzt werden. Howtos zu den einzelnen Themen werde ich noch veröffentlichen.
Das Dashboard ist aufgeräumt und kann auf die eigenen Bedürfnisse angepasst werden:

Das Erstellen der Firewallregeln ist Interface bezogen und entspricht nicht der typischen globalen „Input / Output“ Verfahrensweise wie mit iptables unter Linux, aber man gewöhnt sich sehr schnell an das Funktionsprinzip bei OPNsense:

IPsec (hier im im routed Modus mit VTI) und OpenVPN haben gut administrierbare GUIs:

Anschliessend noch die Einrichtung des dynamischen Routings mit FRR und OSPF:

Viele Reporting Möglichkeiten mit Netflow, Squid Proxy als Webfilter, Postfix als Mailrelay und viele weitere Plugins machen die OPNsense zu einem wirklich guten UTM Gateway. Das angeeignete Know How wird in einer größeren Installation bei einem Kunden zum Einsatz kommen. Für Anfragen zur Integration oder Migration stehe ich gerne zur Verfügung.