• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

opnsense Alternative auf Basis OpenBSD

Themenstarter #1
Hallo zusammen,

ich möchte eigentlich in meinem Heimnetzwerk opnsense einsetzen.

Ich baue gerade 'nen Raspberry PI Cluster mit ESXI auf und möchte in einer VM dann opnsense laufen lassen.
Alle Devices im Netzwerk müssten dann durch die opnsense Instanz.

Von der Software bin ich sehr angetan. Was mich persönlich nur stört ist:

Wieso setzt man bei einer Security Software auf FreeBSD statt OpenBSD. Gibt ja einiges was für OpenBSD spricht.

Kennt jemand eine Alternative zu opnsense auf Basis von OpenBSD?
Ich habe im Netz nichts finden können.
 

turrican

Well-Known Member
#3
Wieso setzt man bei einer Security Software auf FreeBSD statt OpenBSD. Gibt ja einiges was für OpenBSD spricht.
Die opnsense war ein Fork von pfSense, als die damals mit der Lizenz etwas drollig wurden (und z.B. auch die unique-Netgate-ID pro Installation einführten) und wg anderer Gründe
.
Als die Maintainer von pfSense sich am Beginn der Entwicklung für ein OS entscheiden mussten, war OpenBSD im Vergleich zu FreeBSD noch etwas "hintenan" mit einigen Features, u.a. im Sektor WiFi und Multiprozessing.
Siehe z.B. hier

Kennt jemand eine Alternative zu opnsense auf Basis von OpenBSD?
Ich habe im Netz nichts finden können.
Ein OpenBSD mit handgezöpfelten (sprich: auf der Konsole eingehackten) Firewall-Regeln?
Ein GUI dazu ist mir nicht bekannt. Früher gabs noch den fwbuilder, aber der scheint mittlerweile discontinued.

Warum wäre FreeBSD als Security-Plattform-Basis deiner Meinung nach wenig(er) geeignet?
 
Themenstarter #6
Ich möchte keineswegs FreeBSD schlecht reden. OpenBSD bringt einige Funktionalitäten mit wie unveiled, pledge, kein kerberos usw, die für mich persönlich wichtig sind.

Bei OpenBSD hat Security halt einen ganz anderen Stellenwert als wie bei FreeBSD. Aber vielleicht hat sich das in den letzten Jahren alles geändert.

Da liegt es nahe zu fragen, warum die Entwickler sich für FreeBSD entschieden haben.

Aber ich glaube @turrican hat meine Frage sehr gut beantwortet. Danke dafür...

@cla Danke für den Link. Das sieht interessant aus.
 

Andy_m4

Well-Known Member
#7
#9
Nur eine kleine Klarstellung: OPNsense basiert nicht mehr auf Vanilla-FreeBSD sondern auf HardenedBSD, was schon eine ganze Reihe von zusätzlichen Sicherheits-Features implementiert hat. HardenedBSD ist im Prinzip der Versuch eine sicherere Version von FreeBSD zu bauen. Der meist genannte Grund, FreeBSD zu härten vs. OpenBSD zu nutzen, sind ZFS und Jails. Je nach Anforderung sind beide für eine Firewall/Router-Software sicherlich verzichtbar. Aber die Enstehungsgeschichte von PfSense -> OPNSense und die Beteiligung von Shawn Webb (Co-Gründer und de-facto Chef von HardenedBSD) am OPNSense Core Team macht die Wahl des OS für OPNSense verständlich.
 
#13
Abgesehen von den ganzen Features sollte eine Firewall Pakete routen. Da sollte es egal sein, welche Mitigations sie für das Userland alles bietet.
Das ist aber offenbar nicht das, was @overflow sucht. Da geht es um eine Alternative zu OPNsense. Das ist eine ganze Plattform mit grafischer Oberfläche (also läuft vermutlich ein Webserver mit PHP o.ä.). OPNsense bietet DNS- und DHCP-Server, Funktionalität für ein Captive Portal, OpenVPN, Intrusion Detection (Suricata) usw. usw. Es ist also viel mehr als eine reine Firewall und kommt daher mit einer ganzen Ladung von Userland-Programmen. Und dann machen diese ganzen Mitigations auch Sinn.
 

turrican

Well-Known Member
#14
Das ist aber offenbar nicht das, was @overflow sucht. Da geht es um eine Alternative zu OPNsense.
Sowas wie pfSense/OPNsense (mit dieser Integration in einer einzigen Oberfläche, mit ner OS Installation als quasi-Appliance) gibts meines Wissens mit OpenBSD als Basis nicht.
Das o.g. PFFW von Soner Tari kommt dem nahe, aber hat vllt noch nicht den gewünschten Reifegrad.

Es ist also viel mehr als eine reine Firewall und kommt daher mit einer ganzen Ladung von Userland-Programmen.
Könnte man sich im Prinzip wie früher auch ohne (web)GUI manuell auf der Maschine zusammenstricken, ist halt einiges an Arbeit.