OPNsense - "nur" ein pfSense-Fork?

WildGuy

Member
Hi,

da ich grade überlege, mir neue Firewall-Hardware anzuschaffen, steht noch die Überlegung im Raum, ob ich nicht auf OPNsense wechseln soll (was meines Wissens nach ein Fork von pfSense ist). Was ich bisher so gesehen habe, ist OPNsense vom Webinterface her etwas anders aufgebaut und habe gelesen, dass es wohl schon ein paar Unterschiede gibt, wobei da für mich jetzt irgendwie nirgendwo so "das" Argument zu finden war. Nutzt hier jemand OPNsense und kann mir ggf. sagen, warum OPNsense definitiv der pfSense vorzuziehen wäre? Falls nicht, bleib ich einfach bei pfSense 😄 Apropos... Kann man die Konfiguration in der pfSense sichern und bei einer OPNsense wieder einspielen?
 
Hier kann evtl. @tiermutter mehr beitragen.
Aber bei einem Export der Konfig und Import auf einem anderen System wäre ich vorsichtig.
Selbst wenn es gehen würde halte ich es nicht für ratsam.
Es können sich unangenehme Seiteneffekte zeigen. Und das auch erst später wenn man das garnicht mehr auf dem Schirm hat.
 
Moin,
(was meines Wissens nach ein Fork von pfSense ist)
korrekt, und PFsense ist wiederum ein Fork von m0n0wall.... alles basierend auf FreeBSD.
Kann man die Konfiguration in der pfSense sichern und bei einer OPNsense wieder einspielen?
Nur sehr bedingt und maximal in Einzelteilen. Zumindest bei OPNsense kann man eine Konfiguration teilweise, also nur FW Regeln, nur NAT, .... importieren.
Vollumfänglich hat das aber scheinbar noch niemand geschafft, dafür unterscheiden sich die beiden wohl doch zu sehr.
Nutzt hier jemand OPNsense und kann mir ggf. sagen, warum OPNsense definitiv der pfSense vorzuziehen wäre?
Ich nutze OPNsense, technische Aspekte haben mich dazu allerdings nicht unbedingt gebracht, allenfalls dass OPNsense HardenedBSD verwendet, was aber in 2022 ein Ende haben wird, sodass dann auch wie bei PFsense direkt auf FreeBSD aufgebaut wird.
Ein weiteres Argument wäre für mich noch die sehr regelmäßige/ zeitnahe Versorgung mit Updates/ Sicherheitspatches (diese kommen nahezu monatlich und regelmäßig zu Beginn und Halbzeit des Jahres gibt es Major-Updates).
Was die Funktionen angeht mag ich mir kein Urteil erlauben, keine Ahnung was sich da bei PFsense zuletzt getan hat.
Ansonsten war es eher eine Entscheidung a la "Soll ich BVB oder S04 Fan werden?" oder zutreffender noch "Soll ich BVB oder RB Leipzig Fan werden?".
PFsense hat aus einem OpenSource Projekt "heimlich" ein ClosedSource (oder was auch immer) Projekt gemacht und dann auch noch versucht die Abspaltung nach OPNsense zu "sabotieren". Kein feiner Zug (gelinde ausgedrückt) wie ich finde und daher gibt es für dieses Projekt keinerlei Unterstützung oder Sympathie von mir.
Um nicht ebenfalls unfair zu sein soll nicht unerwähnt bleiben, dass PFsense eine wesentliche bessere Doku und größere Community hat, woran ich mich natürlich gerne mal bediene.

Hier gibt es einen wahrscheinlich bekannten Artikel zum Vergleich: https://teklager.se/en/pfsense-vs-opnsense/
 
Achja, was noch klarzustellen wäre:
OPNsense ist in dem Sinne ein Fork von PFsense, als das sich die OPNsense Entwickler von PFsense getrennt und OPNsense ins Leben gerufen haben. Der OPNsense Code wurde aber von Grund auf neu geschrieben und gleicht dem vom PFsense wahrscheinlich nur, weil beides auf m0n0wall basiert und die Entwickler natürlich noch wussten was sie einst gemacht haben.
 
Hab mir das jetzt mal angeschaut und ich muss schon sagen, dass mir persönlich OPNsense doch irgendwie optisch ein bisschen besser gefällt... Das mit der Config ist dann zwar etwas nervig, aber kostet im Endeffekt auch nur ein wenig Zeit (und man hat es wieder ordentlich). Da ich sowieso nur die grundlegenden Funktionalitäten nutze und keine Addons oder sonstiges dazu installiere, denke ich, dass ich das durchaus mal ausprobieren werde. Danke für die zahlreichen Infos! :)
 
Wobei man dazusagen muss, dass max-it Gold Partner von OPNsense ist und einer deren Angestellten aktiv mit an OPNsense entwickelt :)
Sonst gibt es bestimmt böse Worte aus der PFsense Ecke, wenn auf der max-IT Seite zu sehr von OPNsense geschwärmt wird :p
 
Naja, die Geräte die von Deciso/ OPNsense vertrieben werden sollten schon taugen, habe jedenfall nie etwas Negatives gehört.
Wichtig ist: kein ARM (gibt (noch) keine Software dafür) und nach Möglichkeit keine Realtek NICs, da die unter HBSD gerne Probleme machen, das scheint aber fortan gelöst zu sein und ab 2022 sattelt OPNsense eh auf FreeBSD um.

Meine läuft auf einer Terra/Wortmann/Securepoint Appliance RC100: https://www.securepoint.de/produkte/utm-firewalls/appliances.html
 
Da gibt es hier schon einen Thread zu: https://forum.heimnetz.de/threads/pfsense-hardware-empfehlung.50/

Auch 19" kann man sich auch selbst zusammenbasteln, oder eine fertige kleine Appliance (ohne OS) dafür kaufen. Bei 19" für Zuhause bleibt allerdings meist nur die Wahl in Richtung passiv gekühlte Geräte, da ansonsten die Lautstärke schon ein Thema wird (ausser man stellt alles in den Keller oder so). Bei mir läuft im Büro noch eine alte Astaro (heissen heute Sophos) mit pfSense, eine OPNsense im Büro als VM und im RZ auch nur als VM (da setz ich Hardware-Firewall-technisch auf andere Dinge). Hier privat steht einfach so eine eine kleine Zotac ZBox mit 2 Ports rum (WAN/LAN), über die noch div. VLANs für div. externe/interne Netze laufen.

Grundsätzlich kannst Du so ziemlich alles nehmen an Hardware, solange Du Dir über die Konsequenzen im klaren bist. Theoretisch könntest Du auch einfach alles über einen Raspberry Pi laufen lassen. Durch die Segmentierung via VLANs wäre es halt auch möglich, sowohl WAN als auch LAN über eine einzige Schnittstelle laufen zu lassen. Haben viele ein Problem mit, von daher eher 2+ Netzwerkschnittstellen. Die ZBox hier hat auch nur 2 Anschlüsse, reicht aber für die Ansprüche hier völlig aus. Gibt ein paar Kleinigkeiten auf die man ggf. ein Auge haben sollte (AES-NI z.B. sei hier mal erwähnt), aber ansonsten kannste eigentlich machen was Du willst... theoretisch auch einfach einen alten Rechner nehmen, noch eine NIC rein (1x onboard, 1x via Karte) und fertig... alternativ direkt eine Quadhead-NIC (4 Ports) dazu und dann reicht es definitiv. Alternativ schauste einfach mal hier https://www.apu-board.de/ (nutzen auch sehr viele), entweder als fertige Appliance, oder nur ein Board, was in ein 19"-Gehäuse verfrachtet wird...

Wie Du siehst.... Du hast die Qual der Wahl... ☺️ Ist natürlich auch immer eine Frage des Budgets...
 
@WildGuy & @florian78
Könnt ihr vielleicht ein kurzes Feedback geben, ob ihr euch letztendlich für pfSense oder OPNsense entschieden habt und wie zufrieden ihr damit seid?

Bei mir läuft pfSense auf einem APU2 Board und da ich gerne rumspiele, kam mir heut Morgen der Gedanke, mal auf OPNsense zu welcheln… einfach aus Spaß an der Freud.
 
Du wirst es bestimmt nicht bereuen :)
Das Einzige was manchem fehlen könnte wäre wohl pfblockerNG, das gibt es bei OPNsense so nicht.
 
Ich bin mit meinem OPNsense-HA grundsätzlich zufrieden und haben noch kein Feature vermisst.
 
Hm... an pfBlockerNG hab ich mich aber schon sehr gewöhnt und würde nur ungern darauf verzichten wollen. Die Umstellung auf OPNsense ist auch erst mal nur eine fixe Idee von mir, was natürlich wieder viel Zeit und Nerven verschlingt. Ich hadere also noch mit mir, mich darauf einzulassen... aber ich hab halt irgendwie bock drauf :ROFLMAO:
 
Ohne das ich mich mit pfSense und pfBlockNG auskenne... die dort erwähnten Features kann ich in der OPNsense auch abbilden.
Also IP-"URL-Files" laden und über Geo-IP ganze Länder blocken. Sicher würde ich ggf. ein oder zwei Schritte mehr brauchen, als wenn ich alles in einem "Plugin" hätte. Aber außer "Komfort" sehe ich auf den ersten Blick keinen Feature-Vorsprung.
 
Vielleicht sollte ich auch besser noch eine Nacht drüber schlafen... oder zwei, oder drei! Läuft mir ja nicht weg und ist auch absolut nicht wichtig.
 
Also wenn es nur um's testen und rumspielen geht, vielleicht besser in einer VM (zumindestens mach ich das dann so) 🙃
 
Hallo @Tommes
Vor ca. 2 Jahren gab es bei mir ähnliche Überlegungen pfSense oder OPNsense. IPFire war auch noch im Rennen.
Ich entschied mich für pfSense, weil es für mich den ausgereifteren, professionelleren Eindruck machte.
Das ist natürlich sehr subjektiv. EntwareNG war ein zusätzlicher Punkt.
Ich bin bis heute mit pfSense zufrieden und sehe keinen Grund zum Wechsel.
 
EntwareNG war ein zusätzlicher Punkt.
Was machst Du denn damit? :) Für mich "ist" und "bleibt" eine Firewall auch immer eine Firewall, da brauch ich kein Repo, wo man noch fünfunddrölfzig Pakete nachinstallieren kann. Die meisten Firewall-Distri's bringen typische Firewall-Funktionalitäten mit und i.d.R. auch etwas VPN-artiges... Hab mir mal kurz EntwareNG angeschaut und sorry, also so ein "Asterisk"-Paket brauch ich definitiv nicht auf einer Firewall (ist natürlich nur beispielhaft, ist mir halt sofort ins Auge gefallen... oder ein IRC-Bouncer... 😁).
 
Zuletzt bearbeitet:
Ich finde es nicht in Ordnung, dass du diese Diskussion ins Lächerliche führst.(n)
Es gibt auch genug Software, die man auf OPNSense installieren kann.
Was ist schlecht, falsch an EntwareNG?
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
5.816
Beiträge
56.830
Mitglieder
5.732
Neuestes Mitglied
christoph__1979
Zurück
Oben