OPNsense
Hallo an alle hier.
Ich habe mal einige Fragen zu OPNSense.
Wie Ihr ggf schon mitbekommen habt von dem anderen Beitrag läuft unsere Sophos Lizenz bald aus.
Wir sind eine kleine Firma (10 User) und haben vermutlich sehr wenig von der Spohos benutzt.
Wir beötigen bzw. das haben wir von der Sophos benutzt
1.) DHCP Server -> Muss nicht unbedingt sein aber wäre schon
2.) VPN Zugang -> Gewisse Mitarbeiter können sich von zu hause aus verbinden.
3.) Actvie Sync -> Zugriff vom Handy auf den Exchangeserver in der Firma
4.) Schutz des Internen Netzes vom Internet
5.) Regeln das bestimmt benutzer das Internet nur zu gewissen zeiten benutzen können -> Kann wegfallen muss nicht unbedingt sein.
6.) Gewisse Seitern (Waffen, Gewalt usw.) Sollten nicht erreichbar sein.
7.) Die Benutzer sind aus dem AD "übernommen" da die Sophos eine anbindung an unsere Domain hat und damit auch der VPN zugang gekoppelt ist.
8.) Verschieden Rechte für verschieden AD User. Z.B nur die Buchhaltung soll das HBCI Portokoll / Port 3000 frei geschaltet bekommen.
9.) Bei Server sollte der Port 80 zum Internet immer frei sind auch wenn kein AD User am Server angemeldt ist
10.) Der Exchange Server holt die Mail über popCon beim Provider ab. Die Mails werden hier nochmals auf Spam durch die Sophos geprüft
Ist dieses alles mit OPNsense möglich ?
Was ist bei der business edition von OPNsense mehr dabei und benötige ich das für die Punkte von oben ?
Darf ich als Firma auch die "normale" version benutzen ? Wobei bei den Kosten spielt es auch keie so große Rolle wenn ich daran denke was hier die Sophos kostet.
Man liest hier was von einem Zenarmor Plugin. Was kann das mehr benötige ich so etwas für die Daten von oben und wo ist denn hier genau der Unterschied zwischen der Free und "normalen" version ?
Gibt es Irgendo eine Anleitung wie man den Active Sync für Exchange konfigurieren muss. Ich weiß noch das ich mir hier bei der Sophos sehr schwer getan habe bis das läuft. Am Ende haben ich es nur anhand eines Beispiels im Netz hinbekommen.
Ich danke schon einmal allen die mir auch hier helfen werden.
Ich habe mal einige Fragen zu OPNSense.
Wie Ihr ggf schon mitbekommen habt von dem anderen Beitrag läuft unsere Sophos Lizenz bald aus.
Wir sind eine kleine Firma (10 User) und haben vermutlich sehr wenig von der Spohos benutzt.
Wir beötigen bzw. das haben wir von der Sophos benutzt
1.) DHCP Server -> Muss nicht unbedingt sein aber wäre schon
2.) VPN Zugang -> Gewisse Mitarbeiter können sich von zu hause aus verbinden.
3.) Actvie Sync -> Zugriff vom Handy auf den Exchangeserver in der Firma
4.) Schutz des Internen Netzes vom Internet
5.) Regeln das bestimmt benutzer das Internet nur zu gewissen zeiten benutzen können -> Kann wegfallen muss nicht unbedingt sein.
6.) Gewisse Seitern (Waffen, Gewalt usw.) Sollten nicht erreichbar sein.
7.) Die Benutzer sind aus dem AD "übernommen" da die Sophos eine anbindung an unsere Domain hat und damit auch der VPN zugang gekoppelt ist.
8.) Verschieden Rechte für verschieden AD User. Z.B nur die Buchhaltung soll das HBCI Portokoll / Port 3000 frei geschaltet bekommen.
9.) Bei Server sollte der Port 80 zum Internet immer frei sind auch wenn kein AD User am Server angemeldt ist
10.) Der Exchange Server holt die Mail über popCon beim Provider ab. Die Mails werden hier nochmals auf Spam durch die Sophos geprüft
Ist dieses alles mit OPNsense möglich ?
Was ist bei der business edition von OPNsense mehr dabei und benötige ich das für die Punkte von oben ?
Darf ich als Firma auch die "normale" version benutzen ? Wobei bei den Kosten spielt es auch keie so große Rolle wenn ich daran denke was hier die Sophos kostet.
Man liest hier was von einem Zenarmor Plugin. Was kann das mehr benötige ich so etwas für die Daten von oben und wo ist denn hier genau der Unterschied zwischen der Free und "normalen" version ?
Gibt es Irgendo eine Anleitung wie man den Active Sync für Exchange konfigurieren muss. Ich weiß noch das ich mir hier bei der Sophos sehr schwer getan habe bis das läuft. Am Ende haben ich es nur anhand eines Beispiels im Netz hinbekommen.
Ich danke schon einmal allen die mir auch hier helfen werden.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669318
Url: https://administrator.de/contentid/669318
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo, die normale geht auch.
Sophos Hardware soll benutzt werden? Es gibt Anleitungen dafür. Je nach Hardware muss man ggf. noch eine kleine Anpassung - Ein-Zeiler - vornehmen, damit die OPNsense booten kann. Alles aber halb so wild und es gibt zig Anleitungen dazu.
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
Rules can also be scheduled to be active at specific days or time ranges, you can create schedules in Firewall ‣ Advanced ‣ Schedules and select one in the rule.
https://docs.opnsense.org/manual/firewall.html
https://docs.opnsense.org/manual/how-tos/user-ldap.html
Man kann mehrere Gruppen/ Server/ Quellen als Authentifizierung hinterlegen. Die dann für VPN o.ä. verwenden.
Siehe oben Seiten sperren.... Dort kann man es für bestimmte Clients z.B. als Ausnahme hinterlegen, dann terminiert die Verbindung wieder dort. Falls andere Szenarien Problee machen. Würde aber dann hier noch mehr aushebeln.
Ein- oder Ausgehend kann man einfach via Regeln Clients einschränken. Ein * erlaubt alles. Man kann aber die Regeln weitaus strenger setzen!
Standard früher: nein. Port hatte die OPNsense. Heutzuage hat die ja schon meist 443. Man kann diese internen Web GUI Port der Firewall aber frei wählen und andere wählen, oder es von deaktiviert lassen. "Freie" Ports lassen sich wieder dann in Regeln/ Portweiterleitungen verarbeiten und für "echte" Server hinter der Firewall verwenden.
Nicht mit drin. Es gibt Plugins, bzw. kann man eine Appliance, die den Traffic prüft, hinterlegen.
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Sophos Hardware soll benutzt werden? Es gibt Anleitungen dafür. Je nach Hardware muss man ggf. noch eine kleine Anpassung - Ein-Zeiler - vornehmen, damit die OPNsense booten kann. Alles aber halb so wild und es gibt zig Anleitungen dazu.
Wir beötigen bzw. das haben wir von der Sophos benutzt
1.) DHCP Server -> Muss nicht unbedingt sein aber wäre schon
Ja geht. Auch für virtuelle VLANs etc. Alles drin1.) DHCP Server -> Muss nicht unbedingt sein aber wäre schon
2.) VPN Zugang -> Gewisse Mitarbeiter können sich von zu hause aus verbinden.
Geht. Ist kein kostenpflichter Client nötig. OpenVPN als klassisches Bsp. geht. Wireguard ebenso.https://docs.opnsense.org/manual/how-tos/wireguard-client.html
3.) Actvie Sync -> Zugriff vom Handy auf den Exchangeserver in der Firma
Portweiterleitung. Grob so wie Server von außen erreichbar machen....4.) Schutz des Internen Netzes vom Internet
Ist Standard. WAN/ LAN Trennung von Anfang an. NAT-Regeln z.B. lösen Trennung auf und geben Ports nach außen frei5.) Regeln das bestimmt benutzer das Internet nur zu gewissen zeiten benutzen können -> Kann wegfallen muss nicht unbedingt sein.
Unterschiedliche Mögilchkeiten. Via IP und Firewall Regeln. Man kann auch Schedule - Zeitplan - hinterlegen.Rules can also be scheduled to be active at specific days or time ranges, you can create schedules in Firewall ‣ Advanced ‣ Schedules and select one in the rule.
https://docs.opnsense.org/manual/firewall.html
6.) Gewisse Seitern (Waffen, Gewalt usw.) Sollten nicht erreichbar sein.
Ja geht. ABER die Frage ist wie. Als Proxy-Server. Damit die die Verbindungen auflösen kann, wird SSL auf der Firewall termniert. Dann hat man noch mehr Kontrolle.7.) Die Benutzer sind aus dem AD "übernommen" da die Sophos eine anbindung an unsere Domain hat und damit auch der VPN zugang gekoppelt ist.
https://docs.opnsense.org/manual/how-tos/user-ldap.html
Man kann mehrere Gruppen/ Server/ Quellen als Authentifizierung hinterlegen. Die dann für VPN o.ä. verwenden.
8.) Verschieden Rechte für verschieden AD User. Z.B nur die Buchhaltung soll das HBCI Portokoll / Port 3000 frei geschaltet bekommen.
Siehe oben Seiten sperren.... Dort kann man es für bestimmte Clients z.B. als Ausnahme hinterlegen, dann terminiert die Verbindung wieder dort. Falls andere Szenarien Problee machen. Würde aber dann hier noch mehr aushebeln.
Ein- oder Ausgehend kann man einfach via Regeln Clients einschränken. Ein * erlaubt alles. Man kann aber die Regeln weitaus strenger setzen!
9.) Bei Server sollte der Port 80 zum Internet immer frei sind auch wenn kein AD User am Server angemeldt ist
Standard früher: nein. Port hatte die OPNsense. Heutzuage hat die ja schon meist 443. Man kann diese internen Web GUI Port der Firewall aber frei wählen und andere wählen, oder es von deaktiviert lassen. "Freie" Ports lassen sich wieder dann in Regeln/ Portweiterleitungen verarbeiten und für "echte" Server hinter der Firewall verwenden.
10.) Der Exchange Server holt die Mail über popCon beim Provider ab. Die Mails werden hier nochmals auf Spam durch die Sophos geprüft
Nicht mit drin. Es gibt Plugins, bzw. kann man eine Appliance, die den Traffic prüft, hinterlegen.
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Guten Morgen,
ich kann es gerade überfliegen, da ich auch im Thema bin.
1) ja, lizenzkostenfrei
2) ja, lizenzkostenfrei: IPsec, OpenVPN oder WireGuard
3) ja, lizenzkostenfrei
4) ja, die Basis ist lizenzkostenfrei (Country Block,... ) und der Plugin erweiterbar, "next gen" schau mal unten bei Features der Free Version: https://www.zenarmor.com/plans
5) jein, ich kann mir ein Setup mit dem Cronjob vorstellen
6) ja, lizenzkostenfrei https://docs.opnsense.org/manual/how-tos/proxywebfilter.html Eine (gute) Endpoint Protection bietet aber auch ein Web- Appfilter, vielleicht hast du das schon.
7) ja, lizenzkostenfrei https://docs.opnsense.org/manual/how-tos/user-ldap.html Es bildet aber ein gewisse Abhängigkeit, ich würde daher bei 10 Nutzern kein LDAP anbinden.
9) ja, lizenzkostenfrei
10) Hatte ich nicht geprüft: https://docs.opnsense.org/manual/how-tos/mailgateway.html
Und noch einiges mehr: https://docs.opnsense.org/plugins.html
Ich denke in der CE Edition wird mehr probiert, häufiger Updates,... was ich nicht unbedingt brauche.
siehe Release Notes ja, lizenzkostenfrei
Denke auch, für die nächsten 5 Jahre, an
Thomas Krenn berät hierzu auch kostenlos.
ich kann es gerade überfliegen, da ich auch im Thema bin.
1) ja, lizenzkostenfrei
2) ja, lizenzkostenfrei: IPsec, OpenVPN oder WireGuard
3) ja, lizenzkostenfrei
4) ja, die Basis ist lizenzkostenfrei (Country Block,... ) und der Plugin erweiterbar, "next gen" schau mal unten bei Features der Free Version: https://www.zenarmor.com/plans
5) jein, ich kann mir ein Setup mit dem Cronjob vorstellen
6) ja, lizenzkostenfrei https://docs.opnsense.org/manual/how-tos/proxywebfilter.html Eine (gute) Endpoint Protection bietet aber auch ein Web- Appfilter, vielleicht hast du das schon.
7) ja, lizenzkostenfrei https://docs.opnsense.org/manual/how-tos/user-ldap.html Es bildet aber ein gewisse Abhängigkeit, ich würde daher bei 10 Nutzern kein LDAP anbinden.
9) ja, lizenzkostenfrei
10) Hatte ich nicht geprüft: https://docs.opnsense.org/manual/how-tos/mailgateway.html
Und noch einiges mehr: https://docs.opnsense.org/plugins.html
Was ist bei der business edition von OPNsense mehr dabei und benötige ich das für die Punkte von oben ?
Nein, https://docs.opnsense.org/BE_releases.htmlDarf ich als Firma auch die "normale" version benutzen ?
Ja, aber ich würde die 10€/Monat für die Business Edition nehmen. Ich glaube diese hat noch weitere Plugins.Ich denke in der CE Edition wird mehr probiert, häufiger Updates,... was ich nicht unbedingt brauche.
siehe Release Notes ja, lizenzkostenfrei
Man liest hier was von einem Zenarmor Plugin. Was kann das mehr benötige ich so etwas für die Daten von oben und wo ist denn hier genau der Unterschied zwischen der Free und "normalen" version ?
siehe Features der Free Version: https://www.zenarmor.com/plansGibt es Irgendo eine Anleitung wie man den Active Sync für Exchange konfigurieren muss.
Das ist ein ganz normales Regelwerk.Denke auch, für die nächsten 5 Jahre, an
- Segmentierung, Anzahl VLANs, Schnittstellenerweiterung (SPF+)
- Anbindung/Schnittstelle, dazu gab es gestern einen interessanten Ansatz: Core Switch oder alles an die Firewall
- HA/Cluster (doppelte Hardware HA oder cold standby)
- WLAN
- Intrusion Detection,...
- Radius
- SMTP Relay
- Lizenzkosten auf 5 Jahre oder mehr ...
Thomas Krenn berät hierzu auch kostenlos.