Labortest mit OPNsense (Sophos UTM Ersatz?)

Ich betreibe pfSense schon seit dem Ende der M0n0wall auf einigen Produktivsystemen im Kundeneinsatz. Nun wollte ich mir den Fork „OPNsense“ mal genauer ansehen, weil dieser selbst vom ehemaligen Entwickler der M0n0wall empfohlen wird, und habe eine gößere Testinstallation in meiner VMware Umgebung ausgerollt. Ich habe alles ausprobiert was ich immer so in einer Netzwerkinfrakstruktur simuliere: MultiWAN, AD Integration, HA Proxy, Postfix Mailgate und dynamisches Routing über VPN Tunnel mit routed IPsec und OpenVPN. Das MultiWAN simuliere ich über einen ebenfalls virtuellen Mikrotik Router der vier WAN Interfaces bereit stellt. Hochverfügbarkeit ist ebenfalls in Form von CARP verfügbar.
Eins vorab: Eine Sophos UTM (vor allem nur mit Network Protection) kann man damit locker ersetzen! IT Entscheider sollten sich folgende Frage stellen: „Kann ich auf externe Ressourcen und Support zurückgreifen die mich unterstützen?“. Open Source ist gut – aber sie will auch verstanden und beherrscht werden. Sophos UTM oder XG bieten viele Systemhäuser an und es ist genug Know How auf dem Markt vorhanden. Daher hat die kommerzielle Variante mit ihren Kosten für evtl. Appliance Garantie und Support auch ihre Berechtigung. Auch wenn unter der Haube fast alle Dienste identisch sind und man sich nur durch die GUI unterscheidet. Ich versuche mal erste Eindrücke zur freien OPNsense mit Hilfe von Screenshots zu vermitteln. Wie gesagt, sie ist ein mächtiges Werkzeug und es geht hier nur um die Weitergabe meiner Erkenntnisse. Ich konnte jedenfalls alle Einsatzszenarien der UTM in unserem Unternehmen sehr einfach mit OPNsense abbilden. Ein wichtiger Grund sich über eine Migration von pfSense zu OPNsense Gedanken zu machen war für mich unter anderem auch das die Entwickler von pfSense das Postfix Mailrelay gegen alle Einwände der Community aus ihrer Firewall verbannt haben. OPNsense jedoch hat Postfix als Relay sehr gut integriert und kann ideal als Mailproxy vor einem Exchange eingesetzt werden. Howtos zu den einzelnen Themen werde ich noch veröffentlichen.
Das Dashboard ist aufgeräumt und kann auf die eigenen Bedürfnisse angepasst werden:

Das Erstellen der Firewallregeln ist Interface bezogen und entspricht nicht der typischen globalen „Input / Output“ Verfahrensweise wie mit iptables unter Linux, aber man gewöhnt sich sehr schnell an das Funktionsprinzip bei OPNsense:

IPsec (hier im im routed Modus mit VTI) und OpenVPN haben gut administrierbare GUIs:

Anschliessend noch die Einrichtung des dynamischen Routings mit FRR und OSPF:

Viele Reporting Möglichkeiten mit Netflow, Squid Proxy als Webfilter, Postfix als Mailrelay und viele weitere Plugins machen die OPNsense zu einem wirklich guten UTM Gateway. Das angeeignete Know How wird in einer größeren Installation bei einem Kunden zum Einsatz kommen. Für Anfragen zur Integration oder Migration stehe ich gerne zur Verfügung.

2 Gedanken zu „Labortest mit OPNsense (Sophos UTM Ersatz?)

  1. Michael

    Hi,

    schöner Artikel! Das Postfix-Modul stammt von mir (wie fast die Hälfte aller Plugins). Wir, http://www.max-it.de, versuchen die OPNsense so weiter zu entwickeln, um Bestandskunden von Sophos UTM zu migrieren. Von daher passt der Artikel echt gut 🙂

    Was leider fehlt ist WLAN Verwaltung und Userportal, das bekommen wir so leicht nicht gebacken.

    LG
    Michael

    Antworten
    1. Michael Klehr Beitragsautor

      Hallo Namensvetter,
      ich würde mich eher auf übersichtlichere Gestalltung der Firewallregeln freuen als ein WLAN Portal das andere Hersteller wesentlich besser können. Mir wäre eine WLAN Verwaltung nicht so wichtig wie ein besseres Handling der Aliase, ähnlich wie das der Sophos UTM. Das Tippen, suchen und eingrenzen – dann Drag & Drop ist da einfach genial gelöst! Die Auswahlfelder müssten flexibel in der Größe anpassbar sein. Mir ist bei der ein oder anderen Installation schon aufgefallen das wenn viele Aliase angelegt sind, das Scrollen und Auswählen in dem kleinen Feld wirklich nervig sein kann. Homeuser mit ein paar Objekten merken das nicht, aber ich habe bei einer größeren Installation sehr viele Aliase definiert. Auch das HA Modul könnte man statt CARP irgendwie besser hinkriegen denke ich. Die Configdatenbank auf den anderen Node syncen und im Failover Fall übernimmt der zweite Knoten. Ohne virtual IP usw. Alles Kleinigkeiten, denn ansonsten bin ich mit der OPNsense wirklich sehr zufrieden. Ein tolles Produkt!

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*