Ich wusste es nicht besser einzuordnen, als unter linuxmuster.net Meta (Diskussion über dieses Forum und seine Organisation). Daher fasse ich die Begrifflichkeiten halt weiter:
Diskussion über linuxmuster.net!
Um den Lesefluss nicht zu sehr zu zerstören, lasse ich die Diskussion um Firewall als Randnotiz und Aufhänger aber hier drin.
Und das, meine Lieben ist der Grund, warum ich mich weitgehend aus dem offiziellen Teils des Projekts „linuxmuster.net“ verabschiedet habe. Die erlauchten „Entwickler“ beglücken uns halt wieder mal mit irgendwas, was sich wahrscheinlich auch gut verkaufen lässt. Wenn man da die dumme „Community“ fragt, dauert das nur wieder ewig…
Der Hauptgrund warum nicht jeder OPNSense hat ist übrigens IMHO, dass die Firma Netzint jedem Sophos aufschwätzt, der denen zu nah kommt.
VG
Frank
Hallo Frank.
Hier prallen offenbar zwei Meinungen aufeinander, die gegensätzlicher kaum sein könnten; also so in etwa so wie „auch kommerzielles Interesse vs. Open Source in Reinkultur“? 
… ich finde es immer schade, wenn Leute aussteigen, weil sie sich nicht (mehr) mit dem dem Projekt identifizieren. Die Frage ist daher meiner Meinung: Wie ist das zu verhindern – was meinst du denn, wie es laufen sollte?
Schöne Grüße,
Michael
Hi Frank,
Es hat mir jetzt noch keiner geantwortet, also will ich mal noch nichts orakeln.
Es wäre extrem schade, wenn das jetzt nochmal komplett neu erdacht wird, weil die Community (also Frank, Michael, ich, u.a.?) sich dann neu eindenken muss und v.a. weil Beiträge der Community damit nicht gewürdigt werden.
Ich habe grade lange nachgedacht und der Gedanke, dass ich aus einer aktiven Mitarbeit aussteigen würde, weil das Projekt nicht mehr den Charakter hat, mit dem ich mich identifizieren will, macht mich schon ziemlich traurig.
Frank, Michael: Vielleicht können wir uns doch nicht nochmal zusammensetzen und das endlich dokumentationsreif kriegen?
VG, Tobias
Hallo,
nein, kommerzielles Interesse ist mir im Prinzip egal, wenn das sauber vom FOSS Produkt getrennt wird. Das wird erst zum Problem, wenn es die Entwicklung oder das Image des FOSS Produkts beeinflusst und das tuts eben. Bei mir fragen halt Menschen an, die verunsichert sind weil ihnen eine Firewall verkauft wird und sie sich wundern. Da finde ich dann schon deutliche Worte 
Und das mit dem Dockerspruch „wir arbeiten da grad dran“ und der Mensch der Community (Tobias) der sich da voll reinhängt weiß von nichts, naja, wundert jetzt eigentlich auch nicht.
Brauch ich halt nicht mehr so was.
N8
Frank
Hallo Harry,
mir geht’s da genau so.
Zu 1 ja, zu 2 kann ich nicht beurteilen. Als Dienstleister hat Netzint natürlich ein wirtschaftliches Interesse, das wir bei jeder Firma imho auch berechtigt ist.
Viele Grüße
Steffen
Hier in diesem Post scheint aber jemand ganz viel Meinung bei ganz wenig Ahnung zu haben.
Ich bin froh, dass es scheinbar Möglichkeiten mit einer kommerziellen Firewall gibt, da es bei der OPNsense keine passende Hardware gibt. Es macht keinen Sinn den Netzwerkverkehr komplett in den Proxmox zu leiten.
Das hatte ich bei meiner linuxmuster.net 6.2 schon in ähnlicher form. Dabei habe ich zu viele Abhängigkeiten bei einem Gerät. Klar, ich könnte das sicher mit einem L3-Switch oder einem anderen Router machen, dann muss ich aber an andere Stelle noch einmal die Firewall-Regel anpassen
Besser wäre da ein Gerät das Firewall und Router in einem ist.
Daher verstehe ich die ablehnende Haltung gegenüber einem Dienstleister nicht, der sich meiner Recherche nach auch an der Entwicklung beteiligt.
Wie machst du es an deiner Schule, mit Linuxmuster 7, Firewall und Docker?
Hallo trßllix,
herzlich willkommen in dieser Community,
meiner Meinung nach ist dein Kommentar anklagend und die Unterstellung völlig aus der Luft gegriffen - er hat zunächst mal gar nichts mit dem Thema zu tun.
Unabhängig, davon, dass du hier ganz neu bist, ist das kein guter Stil und wird (von mir) hier nicht geduldet. Wir sind nicht heise, wir sind nicht 4chan, wir sind nicht reddit.
Sorry, dass du (von mir) gleich eins auf den Deckel kriegst. Vllt. hilft es auch, einen anderen Benutzernamen zu verwenden und dich von mir aus mit menschenwürdigem Pseudonym zurückzumelden.
Zu dem Rest deiner ANtwort habe ich nichts einzuwenden. Danke dafür.
(Aber) mir geht es in diesem Thread was oben im Titel steht, daher passt das ganze nicht so recht hier her.
Viele GRüße,
Tobias
Hallo Tobias,
ich lese bei @ironiemix und @irrlicht nichts anderes als Anklagen und Unterstellungen raus. Für mich als Außenstehender hört sich das so an als wäre da mal ein aufklärendes Gesrpäch nötig.
Aber zum Thema, mich stört es, dass alle Dienste meiner Musterlösung auf einem Server installiert sind. Fällt dieser aus oder hat ein Problem geht nichts mehr und die Kollegen stehen alle vor der Tür…
Deswegen finde ich es durchaus sinnvoll die Dienste in einzelne virtuelle Maschinen zu trennen. Oder eben Dockercontainer. Wenn ich das Prinzip richtig verstanden habe, dann muss ja nicht jeder einen Container für sich selbst erstellen, es reicht doch, wenn einer dies tut oder nicht?
Hallo Paul!
Zu jedem Thema gibt es sicherlich viele Aspekte, die zur Meinungsfindung
beitragen können. Man sollte sich nicht anmaßen alle diese Aspekte zu
kennen. Und sollte dieser unwahrscheinliche Fall doch zutreffen, ist
eine Beleidigung wie „ganz wenig Ahnung“ nicht hilfreich.
Das hat hier niemand verdient, denn ich bin mir sehr sicher, dass alle
Mitglieder in diesem Forum im Rahmen ihrer Möglichkeiten einen unfassbar
guten Job machen.
An dieser Stelle möchte ich euch allen dafür danken!!!
Gruß - Rainer
PS: @Baden-Württemberg: Aber bitte sagt nicht Susanne zu mir.
Hallo,
Alternativ könnte man als „Außenstehender“ auch einfach mal eine Weile lesen bevor man schreibt, meiner Erfahrung nach hebt das die Qualität von Beiträgen ungemein.
VG
Frank
Hallo,
Das ist ja einfach nicht wahr.
Außerdem geht es nicht darum, ob es „die Möglichkeit gibt“, sondern darum, wie die Außenwirkung ist. Ich habe nirgends geschrieben, dass es schlecht ist, dass man andere Firewalls einsetzen kann, ich habe nur geschrieben dass ich es zweifelhaft finde, wenn jedem einzelnen Kunden gegenüber massiv versucht wird, dem eine kommerzielle Firewall zu verkaufen.
Pro-Tipp: Recherchiere länger („Betrachtete Themen: 3, Gelesene Beiträge: 16“).
Außerdem erscheint es mir durchaus auffällig, warum du wirklich sehr großen Wert auf Anonymität (Tor & Co) legst, ich habe da ein paar Ideen und werde die mal verfolgen - wäre besser, wenn davon keine stimmt.
VG
Frank
Darüber, ob eine Firewall virtualisiert sein sollte oder eine Appliance, lässt sich hervorragend streiten. Für jede Lösung lassen sich Vor- und Nachteile benennen. Letztlich wird das oft auf die Frage hinauslaufen, wie viel Performance man braucht. Für kleine und normale Schulen reicht ein virtualisiertes OPNsense als Firewall und Router in einem, große Umgebungen brauchen vielleicht eine Firewall auf Blech und einen großen L3-Switch mit Routing zusätzlich zum Server.
Für das gesamte System ist es vermutlich auch fast egal, ob eine Firewall auf Blech ausfällt oder der Server, der alles virtualisiert, weil es weitestgehend unbenutzbar wird. In beiden Fällen muss man schnell ran; ob man da nun eine VM mehr wieder aus den Backups herstellt, ist für die Downtime vermutlich fast egal. @zefanja hat das in seinem Artikel Hochverfügbarkeit in einem Schulnetzwerk unter dem Punkt Single Point of Failure angerissen: Wenn man mehr Sicherheit möchte, braucht man Redundanz, also „doppelte Hardware“; das kostet Geld und ist komplexer.
Zurück zu eigentlichen Thema: Ich fände eine Info, wie Docker in Zukunft genutzt werden soll sinnvoll (und wenn es ist: Bestimmte „offizielle“ Pakete kommen als Docker auf den Server; die Community-Sachen auf einen Dockerhost). Da man Docker (insb. im Hinblick auf reverse-Proxy und TLS) unterschiedlich konfigurieren kann, ist ein Konsenz wünschenswert, damit jetzt Erstelltes später nicht noch einmal überarbeitet werden muss.
VG
Fabian
Hallo Tobias und tr0llix,
das kann ich nur zu 100% unterstreichen. Der Umgangston hier ist freundlich und Äußerungen, auch Meinungsäußerungen, respekt- und niveauvoll. Wir sagen hier eigentlich auch Hallo und Tschüß, sprich Begrüßungs- und Verabschiedungsfloskeln - leider nicht mehr alle.
tr0llix sagt finde ich schon ziemlich alles. Offensichtlich hat man sich angemeldet um zu trollen a la Heise.
Als Moderator fordere ich tr0llix auf, sich einen anderen Benutzernamen zu geben und sich an unsere Nettiquette zu halten. Das darf als Verwarnung angesehen werden.
Viele Grüße
Steffen
Hallo Frank,
unterstreicht den Benutzernamen und meine daraus abgeleitete Vermutung über den Grund der Anmeldung. Heise und Co reichen wohl nicht mehr.
Viele Grüße
Steffen
Hi,
Können wir wieder beim Thema bleiben?
@Frank: es gibt keinen Grund, hier Zeit für irgendeine De-Anonymisierung zu verschwenden. Wenn @tr0llix ein Troll wäre, würde er sich auch wieder trollen. Er ist ja zum Thema zurückgekehrt…
Sonst muss ich mal einfordern, dass es neben dem Herz-Symbol unter einem Post noch ein Symbol für „OT“ geben sollte und eines für „das hat die Diskussion entscheidend weitergebracht.“. Das hätte der Post von @fkretzschmar z.B. verdient.
VG, Tobias
Also geb ich auch noch meinen Senf dazu 
Ich glaube nicht, dass hinter der Empfehlung von netzint, eine Sophos einzusetzen, der Versuch einer Gewinnmaximierung liegt!
Dass eine Firma insgesamt auch darin interessiert sein muss, Gewinn zu machen steht imho auf einem anderen Blatt und das finde ich auch legitim. Das muss ja aber nicht im Zusammenhang damit stehen, kommerzielle Produkte einzusetzen.
Ich kann einige der Argumente nachvollziehen und so überlegen wir auch, von der OPNsense auf eine Sophos zu wechseln. U.a. wegen der Schutzfunktionen beim Öffnen der Schulkonsole nach außen, die Sophos soll das komplette Routing übernehmen, was momentan irgendwie auf Coreswitch und OPNsense verteilt ist, der Unsicherheit, bei jedem OPNsense-Update könnte was kaputt gehen, etc.
Solange jeder auswählen kann, welchen Weg (OPNsense oder Sophos, Hypervisor 1 oder 2, Docker à la Frank oder was auch immer à la netzint, WLAN so oder so, Linux- und/oder Windows-Clients,…) er gehen möchte und dabei sowohl Support von netzint als auch der Community bekommt, ist das doch ok und gerade von solchen Alternativen/Optionen lebt doch unser Projekt!?
Genau das sehe ich aber in Gefahr!
Und problematisch wird es dann, wenn die Entwicklung in eine Richtung gehen sollte, in der nur noch jeweils eine Variante funktioniert und alle anderen in eine Sackgasse rennen oder wenn die einen oder anderen sich nachher auf den Standpunkt stellen sollten, dann keinen Support mehr geben zu können oder (schlimmer!) zu wollen!
Dann befürchte ich, wird es zu solchen Überlegungen wie der von Frank kommen, sich zurückzuziehen und das wäre zum einen persönlich mehr als schade und zum anderen dem Projekt mehr als nicht zuträglich, da wir zwar tollerweise über eine große und aktive Community aber leider nicht über immense Kern-Entwicklungs-(Wo)Menpower verfügen!
Daher würde ich Tobias’ Eingangsbitte unterstützen, sich doch bitte (rechtzeitig) zusammenzusetzen und transparent weitere Entwicklungen abzustimmen!
Just my 0,02$, viele Grüße,
Jochen
Hallo Paul,
wie @fkretzschmar schreibt, mit Hochverfügbarkeit hat das noch lange nichts zu tun. Wenn der Server ausfällt, geht eh nichts mehr richtig.
dein zweiter Kommentar war auch die Idee: wenige kümmern sich um die Aktualität und alle profitieren davon.
VG, Tobias
Hallo,
ich fand trollix Antwort OK und von mir aus darf er den Benutzernamen
nehmen den er will.
Dass er Paul heißt steht ja trotzdem dabei.
Andererseits halte ich
Hallo und
Gruß
in der Nachricht auch für wichtig.
Das würde mich also schon freuen 
Viele Grüße
Holger