OPNsense - "nur" ein pfSense-Fork?

WildGuy

Member
Hi,

da ich grade überlege, mir neue Firewall-Hardware anzuschaffen, steht noch die Überlegung im Raum, ob ich nicht auf OPNsense wechseln soll (was meines Wissens nach ein Fork von pfSense ist). Was ich bisher so gesehen habe, ist OPNsense vom Webinterface her etwas anders aufgebaut und habe gelesen, dass es wohl schon ein paar Unterschiede gibt, wobei da für mich jetzt irgendwie nirgendwo so "das" Argument zu finden war. Nutzt hier jemand OPNsense und kann mir ggf. sagen, warum OPNsense definitiv der pfSense vorzuziehen wäre? Falls nicht, bleib ich einfach bei pfSense 😄 Apropos... Kann man die Konfiguration in der pfSense sichern und bei einer OPNsense wieder einspielen?
 

rednag

Active member
Hier kann evtl. @tiermutter mehr beitragen.
Aber bei einem Export der Konfig und Import auf einem anderen System wäre ich vorsichtig.
Selbst wenn es gehen würde halte ich es nicht für ratsam.
Es können sich unangenehme Seiteneffekte zeigen. Und das auch erst später wenn man das garnicht mehr auf dem Schirm hat.
 

tiermutter

Well-known member
Moin,
(was meines Wissens nach ein Fork von pfSense ist)
korrekt, und PFsense ist wiederum ein Fork von m0n0wall.... alles basierend auf FreeBSD.
Kann man die Konfiguration in der pfSense sichern und bei einer OPNsense wieder einspielen?
Nur sehr bedingt und maximal in Einzelteilen. Zumindest bei OPNsense kann man eine Konfiguration teilweise, also nur FW Regeln, nur NAT, .... importieren.
Vollumfänglich hat das aber scheinbar noch niemand geschafft, dafür unterscheiden sich die beiden wohl doch zu sehr.
Nutzt hier jemand OPNsense und kann mir ggf. sagen, warum OPNsense definitiv der pfSense vorzuziehen wäre?
Ich nutze OPNsense, technische Aspekte haben mich dazu allerdings nicht unbedingt gebracht, allenfalls dass OPNsense HardenedBSD verwendet, was aber in 2022 ein Ende haben wird, sodass dann auch wie bei PFsense direkt auf FreeBSD aufgebaut wird.
Ein weiteres Argument wäre für mich noch die sehr regelmäßige/ zeitnahe Versorgung mit Updates/ Sicherheitspatches (diese kommen nahezu monatlich und regelmäßig zu Beginn und Halbzeit des Jahres gibt es Major-Updates).
Was die Funktionen angeht mag ich mir kein Urteil erlauben, keine Ahnung was sich da bei PFsense zuletzt getan hat.
Ansonsten war es eher eine Entscheidung a la "Soll ich BVB oder S04 Fan werden?" oder zutreffender noch "Soll ich BVB oder RB Leipzig Fan werden?".
PFsense hat aus einem OpenSource Projekt "heimlich" ein ClosedSource (oder was auch immer) Projekt gemacht und dann auch noch versucht die Abspaltung nach OPNsense zu "sabotieren". Kein feiner Zug (gelinde ausgedrückt) wie ich finde und daher gibt es für dieses Projekt keinerlei Unterstützung oder Sympathie von mir.
Um nicht ebenfalls unfair zu sein soll nicht unerwähnt bleiben, dass PFsense eine wesentliche bessere Doku und größere Community hat, woran ich mich natürlich gerne mal bediene.

Hier gibt es einen wahrscheinlich bekannten Artikel zum Vergleich: https://teklager.se/en/pfsense-vs-opnsense/
 

tiermutter

Well-known member
Achja, was noch klarzustellen wäre:
OPNsense ist in dem Sinne ein Fork von PFsense, als das sich die OPNsense Entwickler von PFsense getrennt und OPNsense ins Leben gerufen haben. Der OPNsense Code wurde aber von Grund auf neu geschrieben und gleicht dem vom PFsense wahrscheinlich nur, weil beides auf m0n0wall basiert und die Entwickler natürlich noch wussten was sie einst gemacht haben.
 

WildGuy

Member
Hab mir das jetzt mal angeschaut und ich muss schon sagen, dass mir persönlich OPNsense doch irgendwie optisch ein bisschen besser gefällt... Das mit der Config ist dann zwar etwas nervig, aber kostet im Endeffekt auch nur ein wenig Zeit (und man hat es wieder ordentlich). Da ich sowieso nur die grundlegenden Funktionalitäten nutze und keine Addons oder sonstiges dazu installiere, denke ich, dass ich das durchaus mal ausprobieren werde. Danke für die zahlreichen Infos! :)
 

tiermutter

Well-known member
Wobei man dazusagen muss, dass max-it Gold Partner von OPNsense ist und einer deren Angestellten aktiv mit an OPNsense entwickelt :)
Sonst gibt es bestimmt böse Worte aus der PFsense Ecke, wenn auf der max-IT Seite zu sehr von OPNsense geschwärmt wird :p
 

tiermutter

Well-known member
Naja, die Geräte die von Deciso/ OPNsense vertrieben werden sollten schon taugen, habe jedenfall nie etwas Negatives gehört.
Wichtig ist: kein ARM (gibt (noch) keine Software dafür) und nach Möglichkeit keine Realtek NICs, da die unter HBSD gerne Probleme machen, das scheint aber fortan gelöst zu sein und ab 2022 sattelt OPNsense eh auf FreeBSD um.

Meine läuft auf einer Terra/Wortmann/Securepoint Appliance RC100: https://www.securepoint.de/produkte/utm-firewalls/appliances.html
 

blurrrr

Well-known member
Da gibt es hier schon einen Thread zu: https://forum.heimnetz.de/threads/pfsense-hardware-empfehlung.50/

Auch 19" kann man sich auch selbst zusammenbasteln, oder eine fertige kleine Appliance (ohne OS) dafür kaufen. Bei 19" für Zuhause bleibt allerdings meist nur die Wahl in Richtung passiv gekühlte Geräte, da ansonsten die Lautstärke schon ein Thema wird (ausser man stellt alles in den Keller oder so). Bei mir läuft im Büro noch eine alte Astaro (heissen heute Sophos) mit pfSense, eine OPNsense im Büro als VM und im RZ auch nur als VM (da setz ich Hardware-Firewall-technisch auf andere Dinge). Hier privat steht einfach so eine eine kleine Zotac ZBox mit 2 Ports rum (WAN/LAN), über die noch div. VLANs für div. externe/interne Netze laufen.

Grundsätzlich kannst Du so ziemlich alles nehmen an Hardware, solange Du Dir über die Konsequenzen im klaren bist. Theoretisch könntest Du auch einfach alles über einen Raspberry Pi laufen lassen. Durch die Segmentierung via VLANs wäre es halt auch möglich, sowohl WAN als auch LAN über eine einzige Schnittstelle laufen zu lassen. Haben viele ein Problem mit, von daher eher 2+ Netzwerkschnittstellen. Die ZBox hier hat auch nur 2 Anschlüsse, reicht aber für die Ansprüche hier völlig aus. Gibt ein paar Kleinigkeiten auf die man ggf. ein Auge haben sollte (AES-NI z.B. sei hier mal erwähnt), aber ansonsten kannste eigentlich machen was Du willst... theoretisch auch einfach einen alten Rechner nehmen, noch eine NIC rein (1x onboard, 1x via Karte) und fertig... alternativ direkt eine Quadhead-NIC (4 Ports) dazu und dann reicht es definitiv. Alternativ schauste einfach mal hier https://www.apu-board.de/ (nutzen auch sehr viele), entweder als fertige Appliance, oder nur ein Board, was in ein 19"-Gehäuse verfrachtet wird...

Wie Du siehst.... Du hast die Qual der Wahl... ☺️ Ist natürlich auch immer eine Frage des Budgets...
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
565
Beiträge
8.272
Mitglieder
193
Neuestes Mitglied
cekap
Oben