OPNsense Firewall

Eine freie Router / Firewall Lösung geeignet für Enterprise Umgebungen aber auch für Daheim.

OPNsense ist eine Firewall Lösung, die im Kern auf der Betriebssystemvariante HardenedBSD basiert. BSD ist bekannt für seine Stärken im Bereich Netzwerke und wird dort schon seit Jahrzehnten sehr erfolgreich eingesetzt. Ein aufgeräumtes Web Interface dient dem Nutzer als Schnittstelle um die pf Paketfilterregeln auch ohne Kommandozeilenkenntnisse komfortabel einrichten zu können. Massenweise anderer Softwarekomponenten lassen sich ebenfalls vollständig über diese grafische Oberfläche installieren und einrichten. Zudem bietet es für professionelle Anwender einen Shell Zugang mit umfangreichen Diagnosewerkzeugen.

OPNsense wird ständig verbessert und mit Sicherheitpatches versorgt. Die Community ist groß und erfährt weiteren Zulauf, vor allen Dingen seitdem Netgate den pfSense CE Konkurrenten etwas geschwächt hat mit der Einführung von pfSense+. OPNsense ist ein Fork von pfSense, weswegen viele Gemeinsamkeiten bestehen. Die Oberfläche ist jedoch anders strukturiert als bei pfSense. Auch bei den zusätzlichen Paketen bestehen Unterschiede.

Für den Heimgebrauch

Auf einfacherer X86 Hardware kann man OPNsense betreiben. In der Praxis werden dafür häufig ausgemusterte Computer verwendet, die über die entsprechenden Netzwerkschnittstellen verfügen. Auch schon Jahre alte Systeme sind ausreichend leistungsfähig um Gigabit Bandbreiten handhaben zu können. Es gibt zahlreiche Mini-Computer die sich ebenfalls hervorragend für den Einsatz eignen. Man sollte jedoch drauf achten Netzwerkkarten zu verwenden, die von FreeBSD unterstützt werden.

Für die Firma

OPNsense ist leistungsfähig genug um auch gehobenere Ansprüche bestens bewältigen zu können. Internet Anschlüsse mit 10G sind mit leistungsfähigem Prozessor und guter Netzwerkarte kein Problem.
Für VPN Anbindungen sollte ebenfalls ausreichend leistungsfähige Prozessorhardware eingesetzt werden. OpenVPN ist nicht gerade die schnellste Lösung, weswegen Nutzer heute gerne zu Alternativen wie Wireguard greifen. Bei OPNsense existiert allerdings noch keine Kernel Implementierung und bleibt deswegen etwas hinter den Linux-basierten Lösungen im Bereich Wireguard zurück.

In Firmenumgebungen kommen häufig Intrusion Detection / Intrusion Prevention Systeme (IDS / IPS) eingesetzt, die OPNsense mit Suricata unterstützt. Für eine solche Software sollte man jedoch auch genügend leistungsfähige Hardware einplanen.

Zusammen mit CARP und pfsync kann OPNsense auch in High Availability (HA) Umgebungen eingesetzt werden. Mit einem solchen Active-Passive Setup kann man die Konnektivität auch im Falle eines Hardwaredefekts oder eines Software Updates gewährleisten.

Flexibel und erweiterbar

Da es sich im Kern um ein unixoided Betriebssystem (BSD) handelt, müssen Administratoren keine proprietären Kommandozeilen lernen, sondern können auf die bekannten Werkzeuge zurück greifen.
OPNsense lässt sich gut in vorhandene Umgebungen integrieren.
Datensicherung und Monitoring sollen nicht auf die Wahl der Firewall angepasst werden. Es gibt zum Beispiel Schnittstellen für NRPE (Nagios / Icinga), SNMP aber auch Zabbix und verschiedene Möglichkeiten das Backup automatisiert zu betreiben (GIT / Nextcloud / Google Drive ).

Es stehen zahlreiche Erweiterungspakete zur Installation bereit. Ein kurzer Auszug:

  • Letsencrypt / ACME
  • LLDP
  • Netdata
  • Munin
  • relayd Load Balancer
  • HAProxy
  • ntopng

Libcom und OPNsense

Ich habe viele Jahre Erfahrung mit freien und kommerziellen Firewall Lösungen. OPNsense gehört definitiv zu meinen Favoriten. Es ist absolut zuverlässig, leistungsfähig und erweiterbar. Selbst im Firmenumfeld ist es kostenneutral einsetzbar.

Wenn Sie Informationen zu dem Thema wünschen, kontaktieren Sie mich gerne.