OPNsense-Firewall 20.1 mit VXLAN, IPsec Public Key und kompletter Doku
Mit Detail-Verbesserungen, VXLAN und einer kompletten Dokumentation wollen die Entwickler von OPNsense ihre Position im Profi-Router-/Firewall-Markt festigen.
Die frisch veröffentlichte Firewall OPNsense 20.1 löst den 19er-Zweig ab und bringt daher einige Neuerungen mit sich. Dazu gehört der VXLAN-Support für den Fall, dass in wirklich großen Netzwerkumgebungen die beschränkte Anzahl möglicher VLANs nicht mehr ausreicht. IPsec-Verbindungen lassen sich via Public Key authentifizieren. Bei der Erzeugung eigener TLS-Zertifikate stehen nun neben RSA auch elliptischen Kurven (ECC) als Schlüsseltyp zur Verfügung.
Für den Hochverfügbarkeits-Betrieb wurde begonnen, CARP Demotion (Common Address Redundancy Protocol) transparenter zu implementieren. Anhand des Wertes von "Demotion" wird in einem CARP-Verbund (z.B. zwei Firewalls im Failover-Betrieb) bestimmt, welches Gerät als Master fungiert. Beim Hochfahren oder für Wartungsaufgaben kann per demotion auf einfache Weise auf die Backup-Firewall umgeschaltet werden.
Entwickler legen Wert auf Code-Style
Große Teile von OPNsense sind in Python programmiert. Der Python-Code wurde komplett auf Version 3.7 umgestellt. Selbst um Programmierrichtlinien macht man sich bei OPNsense Gedanken und schreibt den Entwicklern den PSR-12-Style vor. PSR ist die "PHP Standard Recommendation" der PHP Framework Interop Group und dient der Standardisierung von Programmierkonzepten.
.
Ein bislang stiefmütterlich behandelter aber wichtiger Bereich erhält mit OPNsense 20.1 "Keen Kingfisher" viele Verbesserungen: Die online verfügbare Dokumentation ist endlich vollständig und wurde in großen Teilen überarbeitet. OPNsense 20.1 ist ab sofort kostenlos von der Projektseite als ISO- oder Datenträger/USB-Image für i386 und amd64 herunterladbar.
Funktionen kommerzieller Firewalls vorhanden
Die freie Router-/Firewall-Distribution OPNsense 20.1 basiert auf HardenedBSD 11.2, einer besonders auf Sicherheit getrimmten Variante von FreeBSD. OPNsense steht unter der "2-clause" BSD-Lizenz und darf somit auch frei in kommerziellen Produkten benutzt werden. Die Firewall-Appliance läuft auf 32- und 64bittigen x86-Plattformen (i386 und amd64) und ist als ISO-Image oder fertiges Datenträger-Image erhältlich. Für die Installation im Textmodus unterstützt OPNsense auch die serielle Verbindung von eingebetteten Systemen.
OPNsense bietet viele Funktionen kommerzieller Firewalls, unter anderem: Traffic Shaper, Captive Portal, Forward Caching Proxy, VPN, 802.1Q-VLAN, IDS, Monitoring bis hin zu High Availability und Failover. Ein besonderes Merkmal ist, dass OPNsense auf Wunsch vom standardmäßigen OpenSSL (1.1.1) auf das besonders sichere LibreSSL (3.0) des OpenBSD-Projekts umgestellt werden kann – beide sind theoretisch API-kompatibel, in der Praxis können jedoch Probleme auftreten.
Aus Frust abgeleitet von pfSense
OPNsense stammt vom bekannteren pfSense ab, einer ebenfalls auf FreeBSD basierende Firewall mit mittlerweile kommerziellem Hintergrund unter den Fittichen von Netgate. Einigen Entwicklern waren die Qualität des Quellcodes, der Umgang mit der Community und die kommerziell ausgerichtete Lizenz nicht frei genug, und so legten Sie mit OPNsense vor rund sechs Jahren einen Fork von pfSense an. Anfangs belächelt hat sich das Projekt zu einer vollwertigen Alternative entwickelt. Finanziert wird OPNsense-Projekt vor allem von der niederländischen Deciso B.V. und durch Spenden der Anwender. (axk)
