fnbalu
Goto Top

PfSense vs. opnSense

Hallo zusammen,

ich habe seit einigen Jahren pfSense im Einsatz und bin soweit auch zufrieden.

Jetzt habe ich mir vor einiger Zeit neue Hardware dafür gekauft und meine config soweit auch auf die neue Hardware umsiedeln können.
Noch ist die neue Hardware allerdings nicht aktiv im Einsatz.

Nun lese ich viel von opnSense und bin neugierig.
Die Frage die sich mir jetzt stellt, was ist besser? Gibt es da überhaupt pro & cons oder sind sich die Beiden so sehr ähnlich?

Könnte ich denn meine config der pfsense übernehmen zu pfsense?

Ich weiß, die Frage widerspricht sich mit dem zufrieden sein, jedoch hinterfrage ich lieber jetzt bevor ich die aktuelkl laufende pfsense abschalte.

Content-Key: 513508

Url: https://administrator.de/contentid/513508

Printed on: May 21, 2024 at 11:05 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Nov 09, 2019 at 00:11:16 (UTC)
Goto Top
Hast du dir den schon Mal eine aktiv verwaltete Business Firewall angeschaut? Bspw eine Sophos?

VG
Member: fnbalu
fnbalu Nov 09, 2019 at 00:47:33 (UTC)
Goto Top
Nein. Hatte ich auch nicht vor.
Member: falscher-sperrstatus
falscher-sperrstatus Nov 09, 2019 at 01:14:56 (UTC)
Goto Top
Mach es mal, ggf. verbreitert sich die Auswahl dann noch weiter. face-wink Du weisst schon, bevor du nun implementierst und dir dann erst der Gedanke kommt. Bei Fragen, gerne PN.
Member: fnbalu
fnbalu Nov 09, 2019 at 02:14:35 (UTC)
Goto Top
Vielleicht habe ich vergessen zu erwähnen, dass es im Homebetrieb ist?
Member: falscher-sperrstatus
falscher-sperrstatus Nov 09, 2019 at 02:20:00 (UTC)
Goto Top
schon möglich, aber was des einen Homebetrieb ist des anderen KMU.
Member: Spirit-of-Eli
Spirit-of-Eli Nov 09, 2019 at 06:39:55 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Hast du dir den schon Mal eine aktiv verwaltete Business Firewall angeschaut? Bspw eine Sophos?

VG

Also da würde ich bei der Sense bleiben.
Es sei denn eine Sophos bietet mir irgend ein essentielles Feature was mich dazu bewegen würde.

Im Grund interessiert mich das Thema PfSense vs OpenSense ebenfalls.
Member: fnbalu
fnbalu Nov 09, 2019 at 06:46:28 (UTC)
Goto Top
Also ich habe etwas gelesen. pfsense bietet pfblockerng, was opnsense wohl nicht bietet, zumindest nicht laut den Beiträgen die ich gelesen habe.
Opnsense soll vom Menü etwas aufgräumter sein und hier und dort dabei Vorteile haben
Member: Spirit-of-Eli
Spirit-of-Eli Nov 09, 2019 at 07:03:44 (UTC)
Goto Top
Ja, mehr konnte ich auch nicht finden.
Wobei ich mich mit dem Menü nicht anfreunden konnte.

Ich habe die OpenSense mal in na VM installiert. Es sieht ganz nett aus. Ein plus ist sicherlich die Erweiterbarkeit. Aber einen treffenden Grund von einer super Funktionierenden PfSense zu wechseln habe ich nicht gefunden.
Member: falscher-sperrstatus
falscher-sperrstatus Nov 09, 2019 at 08:18:19 (UTC)
Goto Top
Da die Frage immer wieder kommt, ein Ausschnitt aus einem Security Forum in dem es genau um die Frage ging,;
Which is better is subject to what you want. If you want a full featured firewall with intrusion detection and application control, Sophos is the way to go. If you want a hot-rod where you control every nut and bolt, go pfsense.

There probably isn't anything that Sophos does that pfsense can't be made to do, but with Sophos, getting something done is one or two mouse clicks. With pfsense, anything other than basic firewall functionality requires lots of research, installing third party packages, then trying to figure out how to make it all play together using probably outdated documentation.

Think of pfsense as a homemade bucket-T roadster with a Chevy 350 engine. Great performance, but the driver's seat is an aluminum lawn chair, and when it rains, you get wet.

Another way to look at it is that Sophos has a task oriented menu system. With pfsense, the web menus are essentially just a front end for the myriad of configuration options that each component requires.

An example of this is creating client access VPN. With Sophos, you enter a few details, click a few buttons, and Sophos builds all of the needed pieces for you including a web portal where clients can download their certificates and client software.

With pfsense, you first have to make pfsense a certificate authority which requires you to configure a dozen options that require a masters degree in certificates to understand. To make matters worse, 90% of those options have reasonable default values that could have been used instead of making the user figure out what needs to go there. Then you have to configure certificates for the users. Then you have to set up the networking. Then you have to set up DHCP. Then you have to get the client cert and the client software to the user.

Last thought: If you decide to go with pfsense, check out OPNSense and research why you might want to choose it instead of pfsense.

Kommt eben darauf an...und da der Zeitfaktor immer wichtiger wird, spart man sich durch direktes Open source eben meist nichts mehr zum veredelten. Und wenn man das tut, dann erst Recht nicht, weil dann nicht genug know how davor sitzt. Zu gegeben wenn man nicht weiss, was man tut hilft einem die Sophos auch nichts...aber das dürfte auf der Hand liegen.

Viele Grüße
Member: Spirit-of-Eli
Spirit-of-Eli Nov 09, 2019 updated at 08:26:38 (UTC)
Goto Top
Im Prinzip trifft die Diskussion auf jede Firewall zu.
Eine Watchguard hat sicherlich auch gewisse Vorzüge gegenüber einer PaloAlto.

Im Endeffekt kommt es drauf an worin der/die L8 Position fit ist.
Wurde hier doch auch schon mal gesagt. Die Konfiguration ist nur so gut wie die Person, die sie eingerichtet hat und was die Basis hergibt.
Member: Looser27
Looser27 Nov 09, 2019 at 08:29:21 (UTC)
Goto Top
Moin,

ich hatte beide schon privat im Einsatz. Die deutsche GUI der Opnsense fand ich damals angenehmer. Heute hat die pfsense die auch.
Funktionseinschränkungen konnte ich für privaten Gebrauch keine feststellen.
Aktuell läuft bei mir wieder eine pfsense.

Gruß Looser
Member: aqui
aqui Nov 09, 2019 at 09:02:31 (UTC)
Goto Top
Es gibt wenig bis keine Unterschiede. Die Kollegen haben es ja schon gesagt. Der Hauptgrund für die meisten die OpnSense wählen ist das der Code in Europa gepflegt wird statt in den USA. Der Code der pfSense gilt als stabiler und ausgereifter aber ob man das aktuell noch so halten kann ist fraglich.
Letztlich ist es also egal was du nimmst. Hier rennt auch mehrheitlich pfSense.
Member: Crusher79
Crusher79 Nov 09, 2019 at 11:22:25 (UTC)
Goto Top
Habe die OPNsense genommen, wegen der API Schnittstelle.

Brauche die, um aus einen bestehenden System WLAN Vouchers zu übergeben. Eben halt nicht vorgeneriert, sondern mit vordefnierten User und Passwörtern. Die API Steuerung war somit der ausschlaggebende Punkt.

Bei jeder Business Firewall sollte man wissen, was man tut. Sonst ist es wie mit Perlen vor die Säue.....

Know-How etc. nimmt einen keiner ab. Für beide gibt es gute Bücher, die viele Szernarien abdecken. Was die Hardware angeht, hat man bei beiden die freie Wahl. Die Bleche sind halt für beide, bzw. noch andere Systeme ausgelegt. Da gibt es auch keinen speziellen Grund für A oder B.

mfg Crusher
Member: ChriBo
ChriBo Nov 09, 2019 at 11:48:00 (UTC)
Goto Top
Hi,
meine Empfehlung: Bleib bei pfSense.
Die config kannst du nicht überehmen.
-
Ich selber bin vor 2 Jahre von pfSense nach OPNsense gewechselt, damals war OPNsense instabiler und ich bin mit der GUI von OPNsense nicht klargekommen, z.B. gibt es bei den Rules keine Seperators. Ich habe dann sehr kurzfristig wieder zu pfSense gewechselt.
-
Du kannst dir ja eine virtuelle Maschine bit OPNsense erstellen und deine Config der pfSense dort nachbauen.
-
Welche Features für dich wichtiger oder besser zu händeln sind mußt du selber für dich entscheide.
-
Für mich gibt/gab es zwei Gründe von pfSense zu OPNsense zu wechseln
1. weg von JT und Netgate bzw. der Lizenz
2. Die Weiterentwicklung von pfSense stagniert, bzw. ist sehr langsam und alle guten Leute haben das Team verlassen

CH
Member: Crusher79
Crusher79 Nov 09, 2019 at 12:02:55 (UTC)
Goto Top
Wozu Seperators? Kannst doch Kategorien vergeben und danach einfach filtern. Hast dann nur die Regeln der entsprechenden Kategrorie vor dir.....

Keine Ahnung wann das eingführt wurde, müsste aber auch schon länger Bestandteil sein.
Member: Spirit-of-Eli
Spirit-of-Eli Nov 09, 2019 updated at 12:12:05 (UTC)
Goto Top
Zitat von @Crusher79:

Wozu Seperators? Kannst doch Kategorien vergeben und danach einfach filtern. Hast dann nur die Regeln der entsprechenden Kategrorie vor dir.....

Keine Ahnung wann das eingführt wurde, müsste aber auch schon länger Bestandteil sein.

Wo findet man das denn?
Hatte ich beim anschauen nicht gesehen.
Member: Crusher79
Crusher79 Nov 09, 2019 updated at 19:31:50 (UTC)
Goto Top
Oben rechts....

Herscht aber gähnende leere! Du musst erst in den Rules unten eine Katergorie eintragen. Die wird dann sofort nach dem Speichern oben im Pull-Down Menü angezeigt.

Die Kategorien erscheinen in ALLEN Regeln! Wenn dort aber keine Regel der Kat. zugerodnet ist bleibt die Liste leer. Einmal angelegt genügt das Tippen der ersten Buchstaben und die wird eine vorhandene Kategorie, oder mehrere Treffer vorgeschlagen.

Geht ganz gut. Du darfst dich nur ncih wundern, wenn mal Regeln fehlen. Dann einfach den Haken bei der Kategorie wieder rausnehmen und du bekommst wieder alles zu sehen.....
09-11-_2019_20-25-16
09-11-_2019_20-28-20
Member: Spirit-of-Eli
Spirit-of-Eli Nov 09, 2019 at 20:24:12 (UTC)
Goto Top
Klingt interessant, schau ich mir mal an.

Nebenbei warte ich noch auf PfSense 2.5
Member: fnbalu
fnbalu Nov 09, 2019 at 22:28:58 (UTC)
Goto Top
Aber was heißt weg von JT und der Netgate Lizenz?


Ist das so extrem bei der original Hardware und unterscheidet sich von der Nutzung auf eigener Hardware?

Ich habe mir auch mal Pi-Hole angesehen.
Das wird da ja richtig schön grafisch aufbereitet. Das macht pfblockerng anders, oder?

Jedoch ein Gerät weniger.
Wie verhält sich das eigentlich, wenn der Pi-Hole nicht erreichbar ist? Wird dann der Alternative DNS genommen und somit ist es ausgeschaltet?
Member: radiogugu
radiogugu Nov 10, 2019 updated at 18:49:27 (UTC)
Goto Top
Hi.

Hatte pfblockerng testweise im Einsatz auf der PFSense, war aber von den Ergebnissen enttäuscht. Habe seit gut drei Jahren einen Pi-Hole laufen und freue mich nach wie vor, wie gut der Kleine funktioniert.

Die Einrichtung ist simpel und der Effekt groß.

Pfblockerng konnte bei mir kaum Werbung blockieren. Bin streng nach Anleitung vorgegangen (habe zwei unterschiedliche verwendet um Fehler oder Überalterung zu vermeiden).

Meiner Einschätzung nach ist die Kombination aus PFSense und Pi-Hole eine gute Mannschaft.

Gruß
Radiogugu
Member: fnbalu
fnbalu Nov 10, 2019 at 09:41:06 (UTC)
Goto Top
Ich glaube das ist auch eine Frage von wo die Listen geupdatet werden.

Wie verhält sich das, wenn der Pi offline ist?
Ist dann alles tot oder wird dann der alternative DNS genommen?
Member: ChriBo
ChriBo Nov 10, 2019 at 10:59:18 (UTC)
Goto Top
Aber was heißt weg von JT und der Netgate Lizenz?
JT ist Jim Thompson, der Owner von Netgate.
Nach Übernahme von pfSense bzw. Electric Sheep Fencing hat er es geschafft, daß alle ehemaligen Unterstützer und Entwickler der pfSense das Projekt verlassen haben, auch hat er auf übelste Art und Weise gegen das OPNsense Projekt und seine Macher getwittert (die Accounts sind (leider) nicht mehr öffentlich).
-
wg. der Lizenz: in 2016 hat Netgate die Lizenz von BSD-Lizenz auf Apache-Lizenz 2.0 geändert.
Dies gab / gibt Netgate stärkeren Einfluß auf die Verwendung des Namens pfSense zu haben etc.
So ist es z.B. untersagt "pfSense Support" oder "pfSense Appliances" anzubieten, dies ist nur noch Netgate bzw. authorisierten Partnern erlaubt.
-
dies sind aber keinerlei Gründe die die Sicherheit bzw. die Funktion der beiden Distributionen beiinflussen.

CH
Member: radiogugu
radiogugu Nov 10, 2019, updated at Nov 11, 2019 at 07:34:05 (UTC)
Goto Top
Zitat von @fnbalu:

Ich glaube das ist auch eine Frage von wo die Listen geupdatet werden.

Wie verhält sich das, wenn der Pi offline ist?
Ist dann alles tot oder wird dann der alternative DNS genommen?

Prinzipiell heißt kein DNS > keine Namensauflösung und damit auch kein Internet. Man kann in der OPNsense und der Pfsense ja alternative DNS Server hinterlegen. Dies kann global geschehen oder direkt in den unterschiedlichen DHCP Servern.

Gruß
Radiogugu
Member: monstermania
monstermania Nov 11, 2019 at 07:46:17 (UTC)
Goto Top
Ich habe 2016 von pfsense auf OPNsense gewechselt. Hauptgrund war, dass ich damals WLAN unbedingt auf der pfsense zum Laufen bekommen musste, aber die verwendete HW unter pfsense einfach nicht lief.
Unter OPNsense lief das Geraffel dann sofort und so bin ich dabei geblieben. Damals ließ sich auch die Konfiguration 1zu1 übernehmen, weil die OPNsense ein Fork von pfsense war. face-wink

In den letzten Jahren hat mich OPNsense auf jedem Fall überzeugt. Eine Konsequente Weiterentwicklung und läuft sehr stabil, nur bei den Release-Wechseln (2 x Jährlich) sollte man lieber 1-2 Wochen abwarten, bevor man auf die neueste Release wechselt. Aber mal ehrlich, bei welcher SW ist das schon anders. face-wink
Die Funktionalität von pfBlockerNG läßt sich übrigens auch auf der OPNsense abbilden: https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Ach ja, die persönlichen Beleidigungen von Jim Thompson gegen die 'Abweichler' waren seinerzeit schon heftig. Zeitweise wurde man im pfsense- bzw. Netgate-Forum einfach gesperrt, wenn man sich einmal lobend zur OPNsense äußerte bzw. eine Diskussion zum Theme pfsense vs OPNsense auftrat.
Eigentlich sollte pfsense ja OpenSource sein, da es ja seinerzeit selbst nur ein Fork von M0n0wall war. Nur hält sich Netgate längst nicht mehr daran. So werden seitens Netgate FreeBSD-Patches für pfsense erstellt, die dann gar nicht bzw. nur sehr verspätet an die FreeBSD-Community gegeben werden.
Nun gut, muss jeder für sich selbst entscheiden welche Software er einsetzt bzw. welches Geschäftsgebaren er unterstützt.
Und zum Glück scheint der Flamewar OPNsense vs. pfsense auch vorbei zu sein.
Member: fnbalu
fnbalu Nov 11, 2019 at 11:53:57 (UTC)
Goto Top
Mich macht die Aussage, dassdurch den Kleinkrieg viele Entwickler abgehauen sind schon stutzig.

Stabil laufen muss es schon. Wenn es alle 2 Wochen Updates gibt, kann es entweder heißen es wird viel im Hintergrund gearbeitet und verbessert oder es wurde halbherzig rausgehauen undman muss Fehler korrigieren.
Member: monstermania
monstermania Nov 11, 2019 at 13:20:01 (UTC)
Goto Top
Zitat von @fnbalu:
Stabil laufen muss es schon. Wenn es alle 2 Wochen Updates gibt, kann es entweder heißen es wird viel im Hintergrund gearbeitet und verbessert oder es wurde halbherzig rausgehauen undman muss Fehler korrigieren.
Ja, es gibt regelmäßig Updates. Das ist auch gut so, da eigentlich mit jedem Update auch in Paketen bekannt gewordene Sicherheitslücken gefixt werden. Das ist und war m.W. bei pfsense auch nicht viel anders.
Man muss ja auch nicht jedes Update mitmachen. Man kann den jeweiligen Release-Notes entnehmen, welche Dinge gefixt wurden und ob man von einer Lücke überhaupt betroffen ist.
Bisher gab es auch bei keinem Update einen Totalausfall! Ich bin auf jedem Fall absolut begeistert von der Stabilität.

Das Einzige was ich wirklich bemängele ist die starre Politik der 2. Major-Releases/Jahr bei OPNsense. Jeweils im Januar und Juli erscheint ein Major-Release. Und hier wäre es manchmal wirklich besser das Release erst dann zu veröffentlichen, wenn das Produkt wirklich fertig ist! Seit der 18.7 warte ich Produktiv immer ab bis das 1. Update eines neuen Releases veröffentlicht wird und mache erst dann ein Release-Update.
Man muss aber zur Ehrenrettung der Entwickler sagen, dass diverse Probleme durch den Unterbau von OPNsense entstanden sind (FreeBSD). Wenn ein Bug in FreeBSD vorhanden ist, muss dieser eben dort gefixt werden, damit er auch in OPNsene gefixt wird.
Dafür hat man mit der OPNsense aber i.d.R. auch das gegenüber pfsense aktuellere System (FreeBSD) und damit auch bessere Treiberunterstützung. Die 20.1 von OPNsense wird z.B. FreeBSD 12.1 nutzen.
Member: fnbalu
fnbalu Nov 11, 2019 at 14:49:59 (UTC)
Goto Top
Nun bin ich mir immer noch unsicher.
Es gibt da wohl immer ein für und wieder.

Pi-Hole könnte doch auch auf einer kleinen VM laufen oder nicht?

Oder halt direkt in pfsense oder dem opnsense wie es beschrieben wurde
Member: monstermania
monstermania Nov 12, 2019 at 07:31:22 (UTC)
Goto Top
Zitat von @fnbalu:

Nun bin ich mir immer noch unsicher.
Es gibt da wohl immer ein für und wieder.

Pi-Hole könnte doch auch auf einer kleinen VM laufen oder nicht?

Oder halt direkt in pfsense oder dem opnsense wie es beschrieben wurde
Machen kann man fast Alles. Die Frage ist ja immer, wie sinnvoll eine Lösung ist. Pi-Hole ist eine feine Sache, wenn man (s)ein 08/15-Router-Netzwerk mit einem gewissem Zugriffsschutz pimpen will.
Wenn ich aber ohnehin schon eine echte FW wie die *sense im Einsatz habe sehe ich keinen echten Mehrwert mir noch ein 2. System ans Bein zu binden.
Just my2Cent
Member: Looser27
Looser27 Nov 12, 2019 at 10:23:30 (UTC)
Goto Top
Machen kann man fast Alles. Die Frage ist ja immer, wie sinnvoll eine Lösung ist. Pi-Hole ist eine feine Sache, wenn man (s)ein 08/15-Router-Netzwerk mit einem gewissem Zugriffsschutz pimpen will.
Wenn ich aber ohnehin schon eine echte FW wie die *sense im Einsatz habe sehe ich keinen echten Mehrwert mir noch ein 2. System ans Bein zu binden.

Ich sehe den PiHole nicht als Notlösung sondern als sehr fein einstellbar. Und der läuft auch zuverlässig, wenn das Netzwerk eben nicht nur "Standard" ist. Dann muss man halt die Hardware drunter potenter auslegen.

In meinem Heimnetz übernimmt der PiHole die DNS-Auflösung für insgesamt 3 Subnetze. Das ganze läuft auf ner Ubuntu VM auf nem IntelNUC.
Der lacht sich schlapp über den PiHole.....

Und meine pfSense macht, was sie soll......Firewall!

Btw....die Funktionalität vom PiHole kann man kostenfrei für den Hausgebrauch in einer pfsense nicht so fein abbilden.

Gruß

Looser
Member: fnbalu
fnbalu Nov 12, 2019 at 12:12:58 (UTC)
Goto Top
Also ich habe mir opnsense mal angesehen in erobert VM.

Also da finde ich pfsense übersichtlicher, gut auch gewohnter.


Thema Pihole. Ich könnte es auch auf ner vm laufen lassen.
Wie ich das verstanden habe, ist das dann der erste DNS der pfsense. Dann noch weitere, die werden genommen, wenn der PiHole mal nicht erreichbar ist.
Wenn man dann noch Port 53 auf die pfsense selbst leitet, dann könnte man sich statisch gar keinen anderen DNS zuweisen.
Ist das so richtig?
Member: Looser27
Looser27 Nov 12, 2019 at 12:18:22 (UTC)
Goto Top
Du kannst jedem DHCP auf dem Interface der pfSense sagen, welchen DNS er mitgeben soll.
So bekommen bei mir die Clients ihre Einträge. Wenn Du hier den piHole als ersten einträgst und als zweiten den Forwarder der pfSense, kannst Du in der pfSense die beiden DNS-Server des Providers drin lassen.

Wenn der piHole dann mal down sein sollte, greift der zweite Eintrag.

Gruß

Looser
Member: fnbalu
fnbalu Nov 12, 2019 at 14:53:20 (UTC)
Goto Top
Aber man könnte theoretisch alles umgehen mit statischer IP
Member: aqui
aqui Nov 12, 2019 at 18:13:03 (UTC)
Goto Top
Nicht wenn man das sinnigerweise mit einer Accessliste oder Firewall Regel am Router/Firewall verhindert ! face-wink
Member: fnbalu
fnbalu Nov 12, 2019 at 18:54:46 (UTC)
Goto Top
Wie sieht die aus? Port 53?
Member: aqui
aqui Nov 12, 2019 updated at 19:15:50 (UTC)
Goto Top
Jupp, genau.
Dort lässt du Port 53 TCP und UDP Requests rein nur von der PiHole Absender Adresse passieren. Fertisch... face-wink
Member: fnbalu
fnbalu Nov 12, 2019 at 20:23:28 (UTC)
Goto Top
Theoretisch auch alles andere zwangsumleiten oder?

Oben die Access Regel von der einen ip, sprich dem pihole und darunter deny und Zwangsumleitung für den Rest
Member: mimugmail
mimugmail Nov 17, 2019 at 06:01:15 (UTC)
Goto Top
GeoIP und Aliaslisten (URL table) kann OPNsense schon nativ, dafür braucht es kein Plugin. DNSBL kann über BIND oder dnscrypt-proxy Plugin eingebunden werden, da gibt es einige Guides. Derzeit entwickle ich noch ein Addon für Unbound, eventuell kommt das dann auch in core rein damit kein Plugin benötigt wird.
Member: mimugmail
mimugmail Nov 17, 2019 at 06:05:40 (UTC)
Goto Top
Meine pfSense ist aktuell (2.4.4) mit Stand von Mai! Nicht gerade aktuell für eine Firewall .. da sind mir Updates alle 2 Wochen lieber .. vor allem ist das alles ja nicht sicherheitsrelevant. Ich hab hier ganz versteckt noch ne OPN mit 17.7 im Einsatz face-smile
Member: mimugmail
mimugmail Nov 17, 2019 at 06:16:45 (UTC)
Goto Top
Sorry, bin etwas spät dran, paar Kommentare hab ich schon da gelassen, der Rest hier direkt:
Mein Grund zu OPN zu gehen war die Entwicklergemeinde, Großteil deutsch(sprachig), das macht es einfach Plugins zu entwickeln.
Franco z.B., einer der Hauptenwickler ist auch der Chefentwickler von SEPPmail, das dürfte schon einiges über Qualität und Sicherheit sagen. Hab ihn vorletztes Jahr auf der it-sa kennengelernt.

Das Framework ist super einfach, Plugins entwickeln geht mehr oder weniger per copy und paste. Habe mittlerweile schon über 20 Plugins draussen und wegen mir können es ruhig mehr werden (bitte Ideen?!).

Ganz wichtig, unter der Haube das BSD ist offen, auch die Build Tools. pf behauptet z.B. es ist open source, das stimmt zwar, gilt aber nur für die GUI. Wenn der Laden mal entscheidet dicht zu machen oder closed source, kannst du schon forken und weiter betreiben, aber du wird niemals aus dem geforkten Code eine ISO bauen können. Bei OPN geht das mit paar Befehlen und ist auch dokumentiert.

Gibt noch paar mehr Gründe, wie gesagt, der Großteil ist nicht sichtbar face-smile
Member: aqui
aqui Nov 17, 2019 at 10:17:34 (UTC)
Goto Top
Man muss nicht immer mit einem separaten Einzelthread antworten sondern kann die auch sinnvoll und intzelligent zu einem zusammenfassen... face-wink
Member: fnbalu
fnbalu Aug 03, 2020 at 07:22:35 (UTC)
Goto Top
Mahlzeit.
Nun sind viele Monate vergangen.

Ging die Schere in der Zeit weiter auseinander?

Gibt es vielleicht mittlerweile eine Möglichkeit Teile der Config der pfSense auf die opnSense zu übertragen?


Würde es aufgrund Wireguard gegenüber OpenVPN Sinn ergeben?
Member: mimugmail
mimugmail Aug 03, 2020 at 08:27:43 (UTC)
Goto Top
Hi,

je mehr von OPNsense auf API Code umgestellt wird, desto weniger kann von pfSense importiert werden. Es gibt auch ehrlich gesagt keine Bemühungen den Wechsel von pfSense extra zu vereinfachen um Anwender abzuwerben, daher würde ich auch nicht davon ausgehen dass so etwas irgendwann mal kommt.

WireGuard ist auf jeden Fall einen Blick wert, aber bitte setz mal eine virtuelle OPN auf und spiel mit WireGuard rum.
Es hat (die Software selbst, hat nichts mit Plugin zu tun):

- Kein Logging
- Keine Userverwaltung
- Keine Möglichkeit für Anbindung ans AD
- Keine Möglichkeit für 2FA
- Kein DHCP etc.
Member: fnbalu
fnbalu Aug 03, 2020 at 10:17:37 (UTC)
Goto Top
Mich schreckt das irgendwie auch ab, alles neu anzulegen.
Selbst die Firewall Regeln, auch wenn nicht übermäßig viele, sind doch eher lästig neu anzulegen.
Oder die DHCP static Geschichten.

Würde man jetzt sagen, OPNSense ist das bessere Pferd auf das man setzen sollte, würde man sich auch die Mühe machen.
Aber um ein System gleichauf zu haben ist das unnutz Arbeit.
Member: mimugmail
mimugmail Aug 03, 2020 at 10:48:53 (UTC)
Goto Top
Und genau deswegen, VM installieren und schauen ob es die Arbeit wert ist.
Member: fnbalu
fnbalu Aug 08, 2020 at 21:08:57 (UTC)
Goto Top
Ich bin nun mal neugierig.

Ich habe meine neue Hardware ja noch nicht produktiv.
Also habe ich kurzerhand die pfSense gesichert und OPNSense installiert.

Einen Teil der Config kann man sich offline erstellen.
PfSense sichern und in OPNSense Config rein editieren.
Member: fnbalu
fnbalu Apr 17, 2021 at 02:14:45 (UTC)
Goto Top
Nun kann man das Thema bald schon wieder hoch holen, wo pfSense auch ändert.

Bei OPNSense hat mir irgendwas nicht gefallen, ich weiß nur gerade nicht was.

Auf den ersten Blick, war OPNSense unübersichtlicher, da ich anderes gewohnt bin.
Nur wie soll man sich verhalten?
Member: Spirit-of-Eli
Spirit-of-Eli Apr 17, 2021 at 06:19:46 (UTC)
Goto Top
Ich persönlich bleibe erstmal bei der PfSense. Nur für ein bisschen herumprobieren ist mir der Aufwand zur migration zu groß. Alleine das Konstrukt, welches ich mit dem pfBlockerNG gebaut habe kann ich anscheinend nicht mit einer OpenSense abbilden.
Member: radiogugu
radiogugu Apr 17, 2021 at 12:27:47 (UTC)
Goto Top
Und PFBlocker ist ein würdiger Ersatz für alle, die sich ein weiteres Gerät / einr weitere VM sparen wollen.

Läuft bei mir und Kunden seit mehreren Jahren stabil und erwartungsgemäß gut.

Gruß
Marc
Member: fnbalu
fnbalu Apr 17, 2021 at 13:21:58 (UTC)
Goto Top
Irgendwas ging mit der OPN Sense in meinem Test auch nicht.

Ich beziehe das auf die bald unausweichliche Splittung der pfSense Versionen.
Andererseits hat pfSense aktuell nichts, was fehlen würde.

Man hat sich ja auch eingelebt.
Klar, schlackere ich immer wieder mit den Ohren, was zwangsläufig so sein muss, wenn man es nicht gelernt hat.
Im groben kommt man aber klar.