Was ist OpnSense?
Was ist OpnSense
Opnsense ist eine Firewall auf Basis des Betriebssystems FreeBSD, die von der niederländischen Firma Deciso unter einer OpenSource Lizenz herausgebracht wird. OpnSense besteht seit 2015 und spaltete sich damals aus dem Firewall-Projekt pfsense bzw. m0n0wall ab. – Mittlerweile ist die OpnSense Firewall mit kommerziellen Firewall-Anbietern gleich zu setzen.
Geschichte und Entwicklung von opnsense
Die Firewall opnsense gibt es seit 2015 und ist praktisch eine Abspaltung der bestehenden OpenSource-Firewall pfsense. Der Hintergrund diese so genannten „forks“ von pfsense war die Änderung des Lizenzmodells von pfsense seitens des amerikanischen Herstellers Netgate (https://www.netgate.com/).
Den Machern der damals neuen OpnSense-Firewall war es wichtig, ihr Produkt weiter offen ohne Lizenz-Einschränkungen anbieten zu können. Darüber hinaus haben die Entwickler bei Deciso den Anspruch, hochwertige und fortgeschrittene Firewall-Technologien als eine gut nutzbare OpenSource-Anwendung anzubieten.
Funktionsumfang von OpnSense
Die Funktionen, die man als nutzendes Unternehmen von einer OpnSense bekommt, können sich im Vergleich zu klassischen Firewalls wie Sophos, Clavister, Cisco u.ä. absolut sehen lassen.
Grundfunktionen:
- Verwaltung von Netzwerk-Anschlüssen mit IPv4 und IPv6
- Verwalten von Netzwerk-Elementen (Hosts, Netze, Ports, VLANs, Gateway)
- Verwalten von Firewall-Regeln
- Netzwerk-Dienste wie DHCP, DNS, NTP, SNMP
- Remote Einwahl via OpenVPN oder IPSEC
- IPSEC Tunnel zu anderen Standorten
- NAT (Network Adress Translation)
- Traffic Shaping z.B. für Voice Over IP (VoIP)
Weiter Funktionen der OpnSense
- Hochverfügbarkeit mit 2 Geräten bzw. virtuellen Firewalls
- Webproxy (Squid)
- Intrusion-Detection System bzw. Intrusion Prevention (suricata)
- Captive Portal
- Multi-WAN – mehrere Internet-Anschlüssen
- Verwaltung von Demilitarisierten Zonen (DMZ)
- HA-Proxy als Reverse Proxy
- Routing-Protokolle (OSPF, RIP, BGP)
Darüber hinaus kann eine OpnSense mit zusätzlichen Modulen ausgestattet werden, um den Funktionsumfang der Firewall-Appliance zu erweitern. Das können z.B. kleine Pakete wie etwa der qemu-guest-agent oder vmware-Tools in virtuellen Umgebungen sein. Es gibt für die OpnSense aber auch deutlich mächtigere Software-Erweiterungen, mit denen der Funktionsumfang ganz erheblich gesteigert werden kann – etwa Wireguard als VPN Alternative oder weitere Intrusion Detection Systeme. Die ausführliche Liste der Funktionen und Features der OpnSense finden Sie hier (auf englisch) https://opnsense.org/about/features/ .
Der Fairness halber sei erwähnt, dass mit einer großen Anzahl an Zusatzpaketen auch die Anforderungen an die physische oder virtuelle Hardware steigen.
Hardwareanforderungen einer OpnSense Firewall
Als Entscheider ist es wichtig zu wissen, dass die Software OpnSense an keinen bestimmten Hardware-Hersteller gebunden ist. In Punkto Hardware lässt sich eine OpnSense Firewall auf fast jeder Hardware betreiben, auf der auch die Linux-Distribution FreeBSD installiert werden kann.
D.h. es kann sowohl auf neuen PC-Modellen oder Server-Systemen als auch auf eher „altersschwacher Hardware“ installiert werden. Die OpnSense Firewall kann außerdem problemlos als virtuelle Maschine in Rechenzentren oder hyperkonvergenten Umgebungen betrieben werden. Eingesetzt wird sie in vielen Datacentern oder bei Cloud-Anbietern wie Amazon oder Microsofts Azure.
Mittlerweile gibt es unterschiedliche Anbieter von spezialisierter Hardware für generische Firewalls, die z.B. bis zu 8 Netzwerk-Anschlüsse aufweisen – viele davon sogar mit 10GBit/s Anschlüssen für Glasfaser.
Rein formal sind die Mindest-Anforderungen an die Hardware bzw. virtuelle Maschine: 1 Ghz Dual Core CPU, 2GB RAM und 4 GB Festplattenspeicher. OpnSense läßt sich auch auf einem USB Stick oder einer CompactFlash Card installieren. Aus der Erfahrung mit vielen physischen und virtuellen OpnSense Geräten ist man als Einsteiger mit 4 GB Hauptspeicher (RAM) und 2-4 Prozessor-Kernen gut beraten.
Wer vorhat, auf der OpnSense einen Webproxy wie Squid, einen Reverse-Proxy oder ein IDS zu betreiben, der sollte auf jeden Fall eine solide SSD als Festplatte wählen und von USB-Sticks oder CF-Karten absehen.
Installation einer OpnSense Firewall
Die eigentliche Installation einer OpnSense Firewall ist nicht allzu schwierig. Man benötigt dazu lediglich das Installations-Medium von der Projekt-Website. Damit wird dann die bevorzugte physische oder virtuelle Hardware gebootet. Nach der Zuweisung eines internen und externen Netzwerk-Anschluss sowie von zwei IP-Adressen ist eine OPnSense einsatzbereit.
Im Gegensatz zu kommerziellen Anbietern, ist das für den Betrieb einer Firewall notwendige Regelwerk bei der OpnSense so vorkonfiguriert, daß die Firewall theoretisch nach wenigen Minuten einsatzbereit sein kann.
In der Realität ist die Einrichtung einer OpnSense natürlich meistens eine längere Angelegenheit, da häufig mehrere Dienste wie dhcp, DNS oder eine VPN-Einwahl eingerichtet werden sollen.
Wie die Installation einer OpnSense genau funktioniert, beschreiben wir in unserem ausführlichen Tutorial an anderer Stelle hier im Blog der Biteno GmbH.
Updates und Weiterentwicklung der OpnSense
Bei längerer Betrachtung und vor allem dem Vergleich mit der pfsense Firewall fällt auf, dass seitens der Hersteller-Firma Deciso deutlich häufiger Aktualisierung und Weiterentwicklungen erfolgen als das bei der pfsense der Fall ist.
Bei der pfsense Firewall kommen nach unserer Erfahrung der letzten Jahre pro Halbjahr maximal ein Release oder Bugfix raus, während bei der OpnSense pro Quartal mit mindestens einem Update zu rechnen ist. Der Update-Prozess bei der OpnSense an sich ist relativ unkompliziert – schließt aber in fast allen Fällen (in den letzten 4-5 Jahren) einen Reboot ein.
Lediglich wenn die OpnSense in einem HA-Verband(Hochverfügbarkeit) verwendet wird, sind einige Vorkehrungen zu treffen damit beide OPnSense Firewalls zuverlässig nach dem Update sowohl die gleiche Firmware als auch die passende Konfiguration aufweisen.
Verwaltung / Administration einer OpnSense Firewall
Während die Installation der OpnSense noch über das Command-Line Interface (CLI) erfolgt, so kann die weitere Einrichtung und Verwaltung der Firewall relativ komfortabel vom Netzwerk-Administrator über das Web-Interface vorgenommen werden.
Der guten Ordnung halber sei erwähnt, dass man einige – wenn auch nicht viele – administrative Tätigkeiten über die Kommandozeile erledigen kann. Insbesondere Updates des Betriebs-Systems bzw. der eigentlichen OpnSense Software lassen sich so zeitsparender erledigen als über die Web-Oberfläche.
OpnSense und die anderen (Firewalls)
In der Praxis werden wir oft gefragt ob die OpnSense mit anderen Firewalls bzw. anderen Technologien „gut“ zusammenarbeitet. – Wir haben als Betreiber und Berater bei der OpnSense bis dato keinen anderen Firewall-Hersteller gefunden, mit dem man eine OpnSense – z.B. via IPSEC-Tunnel – nicht hätte koppeln können. Im Gegenteil – in der Regel waren die kommerziellen Anbieter von Firewalls „zickiger“.
Auch eine Anbindung an ein Microsoft Active-Directory zur Authentifizierung von VPN-Benutzern ist möglich – genauso wie die Authentifizierung gegen eine Samba-Domäne.
Wie hoch ist der Einarbeitungsaufwand bei der OpnSense
Wie bereits weiter oben beschrieben, ist der Aufwand eine OpnSense zu installieren überschaubar. Der anschließend folgende Lernaufwand für den interessierten Netzwerk-Administrator ist aber – wie bei anderen Firewalls auch – erheblich. Die Einrichtung von Basis-Diensten wie DNS, DHCP und das Anlegen von einfachen Regeln wird auch Einsteigern leicht fallen. Sobald es allerdings an die Konzeption und Einrichtung von IPSEC-Tunneln, OpenVPN-Einwahlen oder die Konfguration eines Intrusion Detection bzw. Prevention Systems geht, wird dem interessierten Netzwerker einiges abverlangt. Hier hilft meist nur ein sehr gutes Netzwerk-Verständnis und bisweilen viel Erfahrung.
Fazit zur OpnSense Firewall
Die OpnSense ist nach über 6 Jahren am Markt eine ausgewachsene Firewall, die keinen Vergleich mit der PfSense oder kommerziellen Anbieter scheuen braucht. Die niederländischen Entwickler haben hier einen tollen Job gemacht. Wir bzw. Dutzende Kunden der Biteno GmbH nutzen die OpnSense gerne und vertrauen ihr und können Sie guten Gewissens empfehlen.
Übrigens: Wir haben nicht nur viele Firewalls auf OpnSense gerne an Kunden verkauft – wir betreiben die OpnSense bei Kunden und in Rechenzentren auch als Managed Service. Wenn das für Sie interessant ist, dann freuen wir uns auf ihren Kontakt.
Wie sind Ihre Erfahrungen mit der OpnSense? Lassen Sie es uns gerne wissen und schreiben Sie uns einen Kommentar zu diesem Blog-Beitrag.
Quellen:
- Download der OpnSense Software: https://opnsense.org/download/
- Hardware-Anforderungen https://docs.opnsense.org/manual/hardware.html
- Doku zur OpnSense: https://docs.opnsense.org/index.html
- Über den Autor
- Aktuelle Beiträge
Matthias Böhmichen ist Geschäftsführer des IT-Dienstleisters Biteno GmbH. Neben seinem Job blogt und schreibt er auf den Webseiten der Biteno GmbH über technische und unternehmerische Themen.