[Solved] Frage zu Firewall als Appliance

Hallo Leute,

zunächst einmal muss ich sagen, dass ich sehr froh bin, dass es dieses Projekt gibt. Chapeau an die Devs.
Ich habe noch keinen Server umgesetzt. Die Hardware kommt erst in ein paar Wochen. Bevor ich starte habe ich ein paar Fragen, die mir die Doku nicht beantworten konnte.
Im Zuge des Digitalpakts steht bei uns die Anschaffung eines neuen Schulservers an. Als Software habe ich, wer hätte es Gedacht, LMN auserkoren. Geplant ist auch die Anschaffung einer Firewall Appliance hier habe ich auch schon auf OpnSense geschielt. So weit, so gut.
Wenn ich das richtig verstehe empfiehlt ja LMN auch die OpnSense, allerdings als VM. Da ich beide Systeme noch nicht eingesetzt habe bin ich da nicht so tief in der Materie.

Ist es so, dass LMN die Konfiguration der OpnSense „übernimmt“, zumindest in den Belangen des Schulnetzes und ich im eingeschränkten Rahmen über die Webgui von LMN Firewall regeln erstellen kann? Wenn ja, geschieht die Konfiguration dann über die API von OpnSense, so dass es egal ist ob ich das auf ner VM, ner Appliance oder einem zusätzlichen Server laufen habe?

Schonmal vielen Dank für eure Zeit

Hallo Hoches,
nur ganz kurz … die OPNSense kannst Du als VM installieren – musst es aber nicht. Wir haben sie (nach vielen Überlegungen) direkt auf Blech installiert und seitdem läuft sie dort relativ problemlos. Natürlich kann man auch gleich fix und fertige 19 Zoll Rack-Einschübe kaufen, doch mir kommt es so vor, als sei dort die gleiche Hardware verbaut wie bei uns . Es ist so, dass der linuxmuster-Server per ssh und pub.key-Auth eine Verbindung zur OPNSense aufbaut und dann die notwendige Konfiguration (Routen etc.) auf der OPNSense angelegt werden.
Anschließend ist es natürlich problemlos möglich, das WebUI der OPNSense direkt zu verwenden, wenn Dinge zusätzlich eingestellt werden müssen.
Beantwortet das Deine Fragen?
Viele Grüße,
Michael

Ja. vielen Dank für die Infos Michael. Du hast mir sehr geholfen!

Hallo Kevin,

Ist es so, dass LMN die Konfiguration der OpnSense „übernimmt“,
zumindest in den Belangen des Schulnetzes und ich im eingeschränkten
Rahmen über die Webgui von LMN Firewall regeln erstellen kann? Wenn ja,
geschieht die Konfiguration dann über die API von OpnSense, so dass es
egal ist ob ich das auf ner VM, ner Appliance oder einem zusätzlichen
Server laufen habe?

die lmn setzt keien Firewallregeln auf der OPNsense im laufenden Betrieb.
Dinge wie „Internet an/aus“ laufen nicht über Firewallregeln
Rechnerbezogen (das war früher mal so) sondern in Feldern des LDAP.
Die OPNsense wird an den ldap angebunden und shcaut dann selber, ob
Person XY ins Internet darf oder nicht (nicht transparenter Proxy mit
SingleSignOn).

Es ist also relativ wurscht welche Firewall man verwendet: sie muss halt
an einen AD koppelbar sein und ein AD Feld auslesen.
Es gibt etliche lmn Installationen mit einer Sophos Firewall appliance
statt einer OPNSense.

Meine bisherige Erfahrung sagt: für eine normale Schule reicht eine
virtualisierte Firewall voll und ganz.
Ich hab ein Schulzentrum zu versorgen mit >200 Rechnern und >1400
Nutzern: läuft alles mit einer virtualisierten OPNSense.

LG

Holger

Hallo!
Firewall auf dem Blech oder als VM ist eine Glaubensfrage. Ich hingegen (virtualisiert) bin sehr froh, dass ich auch von der Firewall Snapshots machen kann…
LG
Max

Habe zwei OPNsense, jeweils als VM, auf zwei unterschiedlichen Rechnern im Redundanz-Betrieb. Während auf der einen die Updates laufen, übernimmt die andere. Vor jedem Update mache ich einen Snapshot und danach auch. Ebenso bei größeren oder umfangreicheren Änderungen. Geht was schief, kann man super einfach zu einer gesichert funktionierenden Konfiguration zurück kehren.

Die Möglichkeit von Snapshots ist einfach unbezahlbar.

Hi.
Ja, das ist schon alles richtig … ich war aber von diesem Ansatz beeindruckt:

Der Redundanz-Betrieb (CARP?!) erfordert aber noch etwas mehr Know-How, oder?

Viele Grüße,
Michael

Nicht unbedingt. Es ist gut dokumentiert. Quellen:

https://docs.opnsense.org/manual/hacarp.html
https://docs.opnsense.org/manual/how-tos/carp.html
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten

Am einfachsten beschrieben ist das meiner Meinung nach aber im Buch „Der OPNsense-Praktiker“ von Markus Stubbig. Auf der Webseite vom Buch gibt es eine Leseprobe, die sich mit dem Thema Hochverfügbarkeit beschäftigt. Auch, wenn du erstmal einen Überblick über das Konzept der Hochverfügbarkeit haben willst, ist dieser Abschnitt sehr lesenswert.