Der Wechsel von pfSense zu OPNsense

OPNsense upgrade auf eine neue Version nach der Installation

Mehr als 10 Jahre hat pfSense mich nun begleitet. Version 1.2 war es, wenn ich mich recht erinnere. Obwohl mir Version 1.2.3 doch sehr in Erinnerung geblieben ist

Installation OPNsense

Die Installation von OPNsense habe ich bei mir via seriellen Kabel und Konsole auf der PC Engines APU.1D4 vorgenommen. Nach einem kompletten Hochfahren der Liveinstanz der Firewall hatte ich mich via ssh mit dem Benutzernamen installer und Passwort opnsense angemeldet. Von hier aus konnte ich die Firewall OPNSense auf die interne SSD installieren. Etwas anders als bei pfSense.

Eingabe der MAC für WAN, anpassen der DHCP-Pools und festen Leases, sowie ein erstes Einspielen eines Updates. Die vorherige Eingabe der DHCP-Pools und festen Leases war der Hintergrundmusik geschuldet. Ich glaube ich hatte insgesamt 10 Minuten gebraucht. Nun kam der Punkt mich mit Grundkonfiguration zu befassen.

Grundkonfiguration OPNsense

Zugang via SSH

Mein erster Weg brachte mich zu der Aktivierung des SSH-Servers. Hier erlaubte ich den Login für die Gruppe wheel und admins und beschränkte den Zugang auf das LAN-Interface. Hier habe ich einen SSH-Schlüssel generiert und diesen für den Benutzer unter System: Access: Users: Benutzername: Authorized keys eingetragen

 ssh-keygen -C firewall -t rsa -b 4096 -f ~/.ssh/opnsense

2FA TOTP für den Zugang

Eine wunderbare Funktion in OPNsense ist die Möglichkeit einen TOTP server für die Authentifizierung an der Firewall und für andere Dienste zu nutzen. Hierzu wird ein Serverdienst lokal auf der Firewall erstellt und der Benutzer generiert einen Token, welcher mit einer geeigneten App auf dem Smartphone genutzt werden kann.

iOS OTP Auth, bzw FreeOTP. Android FreeOTP. Shellscripte mit oathtool.
Da ich keine Androidgeräte mehr aktiv nutze, habe ich mich für OTP Auth entschieden und für verschiedene selbst geschriebene Lösungen unter Linux.

OpenVPN mit OPNsense

OPNsense habe ich die Konfiguration händisch vorgenommen. Dies ist aber kein Hexenwerk.

  • CA einrichten
  • Server Zertifikat erstellen
  • VPN Benutzer erstellen
  • OpenVPNServer einrichten
  • Firewallreglement anpassen
  • Schlussendlich die Konfigurationsdatei *ovpn für den Client exportieren

Werbefilter und Anti-Tracking mit OPNsense

Es besteht nun die Möglichkeit ein Plugin inklusive BIND herunterzuladen,  welches die Möglichkeit bietet voreingestellten Listen auszuwählen und diese dann automatisch einzubinden. Hier müssen dann die Anfragen von unbound via

do-not-query-localhost: no
forward-zone:
name: „.“
forward-addr: 127.0.0.1@53530

an Bind weitergeleitet werden. Da ich pfblockerNG von pfSense gewohnt bin empfinde ich die Lösung als noch nicht ausgereift. Mir fehlen die Optionen eigene Listen einzutragen, Updates selbst anzustoßen, ein Überblick über den Updatemechanismus zu haben etc. Ich habe hier schon Kontakt zu dem Entwickler aufgenommen und er trägt fehlende Listen ein und kümmert sich noch um eine richtige Dokumentation.

Da mir somit selbst einige wichtige Listen fehlen, nutze ich ein Script und nutze den Werbe- und Trackingfilter vorerst mit unbound. Ich warte noch ein wenig bis das Plugin weiterentwickelt wurde. Auch sehe ich Bind nicht wirklich als den richtigen Weg an. Meinungen.

Backup zu Nextcloud

Backupkonfiguration OPNsense zu Nextcloud
OPNsense Backup zu Nextcloud

Eine gute Option ist die Backupfunktion der Firewall zu Nextcloud. Hier habe ich einen eigenen Benutzer mit einem Speicherplatz von 100MB angelegt und diesen mit meinem Account geteilt. Ein Backup zu GoogleDrive wäre auch möglich, aber wer macht so etwas?

Fazit

Bis jetzt steht OPNsense in vielen Dingen pfSense in nichts nach und auch mein Gefühl ist mit OPNsense besser. Ich traue pfSense nicht mehr wirklich und die Vorfälle, welche ich seit zwei Jahren aus dem Hause Netgate/pfSense gegenüber dem Fork OPNsense beobachtet habe sprechen eine weitere Sprache.

Ich hatte schon länger mit dem Gedanken gespielt pfSense als Firewall in meinem Homeoffice abzulösen. Nachdem nun das letzte Update von pfSense auf die Version 2.4.4 so schief lief wollte ich nicht mehr ein Backup einspielen und habe den Entschluss gefasst OPNsense aufzusetzen.
Bereut habe ich es bis jetzt nicht.

4 Kommentare

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.