OPNsense Allgemein

Aus Xinux Wiki
Version vom 2. März 2024, 10:27 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Infobox Betriebssystem | Name = OPNsense | Logo = <!-- von Wikidata --> | Screenshot = Datei:ScreenShot OPNSense.png|280px…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Vorlage:Infobox Betriebssystem

OPNsense ist eine freie Firewall-Distribution auf Basis von FreeBSD auf der 64-Bit-x86-Architektur (x64). Bis 2021 wurde dabei mit HardenedBSD das offizielle FreeBSD (bis Version 12.x) u. a. um Address Space Layout Randomization (ASLR) erweitert.<ref name="HeiseOpenSource-OPNsense">Vorlage:Cite journal</ref><ref name="Admin-OPNsense">Vorlage:Cite journal</ref>

Die OPNsense-Software steht unter der FreeBSD-Lizenz („2-clause BSD license“) und darf frei kopiert, verändert und verbreitet werden, auch für kommerzielle Projekte.

Grundlegende Eigenschaften

Die Distribution kann kostenlos heruntergeladen werden.<ref name="SF-OPNsense">Vorlage:Cite web</ref>

OPNsense kann auf Festplatten und CompactFlash-Karten installiert, sowie von Live-CDs gestartet werden. OPNsense läuft auf einer Reihe von eingebetteten (embedded) Systemen, gewöhnlichen Personal Computern und als virtuelle Maschine.

Typische Anwendungen sind stateful Perimeter-Firewalls, Router, Wireless Access Points, DHCP-Server, DNS-Server und VPN-Endpunkte. Hierfür bietet OPNsense Eigenschaften, die oftmals nur von teuren kommerziellen Firewalls geboten werden. Mit Hilfe einer Webschnittstelle (Webinterface) kann OPNsense leicht konfiguriert werden und Updates sind komfortabel einzurichten, ohne dass genaue Kenntnisse des unterliegenden FreeBSD Betriebssystems erforderlich werden. Im Gegensatz zu vergleichbarer Open Source Firewall Software wie IPFire und pfSense bietet OPNsense Zwei-Faktor-Authentisierung.<ref name="TKrennFWVergl_(2018)">Vorlage:Cite web</ref>

OPNsense basiert auf FreeBSD und nutzte zwischen Version 16.7 und 21.7 dessen gehärtete Variante HardenedBSD, die gemeinsam mit der FreeBSD-Gemeinde entwickelt, jedoch mit FreeBSD Version 13 wieder aufgegeben wurde,<ref>Vorlage:Internetquelle</ref> da die gehärteten Funktionen inzwischen auch in FreeBSD verfügbar sind. Das OPNsense-Projekt ist auf Code-Qualität, einfache Code-Entwicklung und freien Zugang zu den Build-Werkzeugen ausgelegt.<ref name="GitHub-OPNsense">Vorlage:Internetquelle</ref><ref name="FF-Workflow">Vorlage:Internetquelle</ref> Es wendet das Model View Controller Paradigma an.<ref>Vorlage:Internetquelle</ref>

OPNsense erlaubte in den Version von 15.7 bis 22.7 die Benutzung der freien Kryptobibliothek LibreSSL, alternativ zum Standard OpenSSL (wählbar in der GUI).<ref>Vorlage:Internetquelle</ref>

Name

Der Name ist vom Suffix des Namens seines Vorläufers pfSense<ref>Vorlage:Internetquelle</ref> und open abgeleitet und steht für: Open Source ergibt Sinn<ref name="OPNsense-About">Vorlage:Internetquelle</ref>.

Geschichte

Das Projekt wurde am 2. Januar 2015 ins Leben gerufen.<ref name="opnsense-15-1" /> Es ist eine Abspaltung (Fork) von pfSense, welches im Jahr 2004<ref>Vorlage:Cite web</ref> selbst als Projektabspaltung von m0n0wall begann.<ref name="heiseonline_2550234">Vorlage:Heise online</ref>

Das Projekt führt drei Gründe für seine Abspaltung an:<ref name="OPNsense-About" />

  • Technische Gründe – klare, strukturierte Code-Basis, die von Entwicklern benutzt und gepflegt werden kann, soll entstehen
  • Community (Gemeinschaft) – eine aktive, tragende Gemeinschaft von Anwendern und Entwicklern wird angestrebt
  • Lizenz – OPNsense soll auf der bewährten 2-Klausel BSD-Lizenz aufgebaut werden, die flexibel im gewerblichen und freien Umfeld eingesetzt werden kann

Das OPNsense-Projekt wird von der niederländischen „Deciso B.V. finanziell und sachkundig unterstützt.<ref>Vorlage:Internetquelle</ref> Deciso B.V. tritt schon seit längerer Zeit als Sponsor und Co-Entwickler von anderen freien, quelloffenen Softwareprojekten auf, namentlich für pfSense, m0n0wall, Askozia<ref>Vor Askozia-Version 2.1</ref> und Zen Load Balancer.<ref name="DBV">Vorlage:Cite web</ref>

Im November 2017 stellte ein Schiedsgericht der Weltorganisation für geistiges Eigentum fest, dass Netgate, der Urheber von pfSense, die Domain opnsense.com in böswilliger Absicht benutzt hatte, um OPNsense zu diskreditieren, und verpflichtete Netgate, die Domain an Deciso zu übertragen. Die Netgate-Partei versuchte, sich auf die Fair-Use-Klausel zu berufen und behauptete, dass der Domainname „für eine Parodie-Website verwendet wurde“; dies wurde mit der Begründung abgelehnt, dass die Meinungsfreiheit die Registrierung von Domainnamen nicht abdeckt.<ref>Vorlage:Cite web</ref>

Plugins

OPNsense bietet neben den Grundfunktionen einer Firewall auch eine Reihe von Plugins an, die einfach über die GUI nachinstalliert werden können, um weitere Funktionen hinzuzufügen. Die meisten Plugins sind sogenannte "Community Plugins", welche frei verfügbar / verwendbar sind.<ref>Vorlage:Internetquelle</ref> Einige wichtige Plugins sind zum Beispiel (nach Kategorie):

  • DNS
    • Dynamic DNS (auch RFC2136)
    • BIND
  • VPN
    • OpenVPN
    • WireGuard
    • Tinc
  • Routing
    • frr
    • tor
  • Web
    • Reverse Proxy and Webserver
    • nginx
    • HAProxy
    • ACME Client
  • Postfix mail relay
  • Antivirus (c-icap, ClamAV, rspamd)
  • Sonstige
    • Zabbix Proxy und Agent
    • diverse Treiber und Guest Agents (VMware, Quemu, Realtek, VirtualBox)
    • Intrustion Detection / Intrustion Prevention
    • IGMP Proxy
    • SNMP
    • iperf
    • SMART-Tools

Es gibt auch einige Plugins, die nur über das Business-Repository (kostenpflichtig) verfügbar sind, zum Beispiel:<ref>Vorlage:Internetquelle</ref><ref>Vorlage:Internetquelle</ref>

  • Central Management (OPNCentral)
  • GeoIP Datenbank
  • OPNWAF (Web Application Firewall)

Die Firma "m.a.x. it" aus München bietet ebenfalls kostenpflichtige Plugins und Support für OPNsense an.<ref>Vorlage:Internetquelle</ref><ref>Vorlage:Internetquelle</ref>

Business Repository

Deciso bietet ein Business-Repository an, welches über ein kostenpflichtiges Abo erworben werden kann.<ref>Vorlage:Internetquelle</ref><ref>Vorlage:Internetquelle</ref><ref>Vorlage:Internetquelle</ref> Im Vergleich zur Community / Free Edition gibt es hier unter anderem getestete Updates, Zugriff auf das offizielle OPNsense OVA Image, diverse Business Plugins (siehe Plugins) oder ein kostenloses E-Book. Des Weiteren unterstützt man die aktive Entwicklung mit der Lizenzgebühr.

Versionstabelle

Die Versionsnummern von OPNsense spiegeln nicht die Signifikanz der Veränderungen, sondern das Veröffentlichungsdatum wider (z. B. Veröffentlichung im Januar 2015 entspricht Version 15.1).<ref>Vorlage:Internetquelle</ref>

OPNsense Community Edition (die Business Edition hat meist andere Versionsnummern)
Version<ref name="roadmap" /> Codename<ref name="roadmap" />, mögl. Übersetzung Veröffentlichung<ref name="roadmap" /> Anmerkung
Vorlage:Version Vorlage:Lang<ref name="releases-15-1">Vorlage:Internetquelle</ref>, aufsteigender Albatros 2. Januar 2015<ref name="opnsense-15-1" /> erste Version nach der Abspaltung von pfSense, FreeBSD 10 als Basis<ref name="opnsense-15-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-15-7">Vorlage:Internetquelle</ref>, mutiger Dachs 2. Juli 2015<ref name="opnsense-15-7" /> bietet mit Suricata ein NIDS; inkludiert neben OpenSSL nun auch LibreSSL und erlaubt einen einfachen Wechsel<ref name="opnsense-15-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-16-1">Vorlage:Internetquelle</ref>, listiger Kojote 28. Januar 2016<ref name="opnsense-16-1" /> FreeBSD 10.2, verbesserte Übersetzungen für Deutsch, Japanisch, Chinesisch und Französisch.<ref name="opnsense-16-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-16-7">Vorlage:Internetquelle</ref>, tanzender Delfin 28. Juli 2016<ref name="opnsense-16-7" /> HardenedBSD auf Basis von FreeBSD 10.3, Unterstützung für UEFI, Sprachunterstützung verbessert<ref name="opnsense-16-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-17-1">Vorlage:Internetquelle</ref>, vielseitiger Adler 31. Januar 2017<ref name="opnsense-17-1" /> FreeBSD 11.0 (HardenedBSD), weitere Übersetzungen ins Italienische, Tschechische und Portugiesische<ref name="opnsense-17-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-17-7">Vorlage:Internetquelle</ref>, offenherziger Fuchs 31. Juli 2017<ref name="opnsense-17-7" /> mehr Plugins, Übersetzungen Tschechisch, Chinesisch, Japanisch, Portugiesisch und Deutsch nun komplett<ref name="opnsense-17-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-18-1">Vorlage:Internetquelle</ref>, fetziger Gecko 29. Januar 2018<ref name="opnsense-18-1" /> FreeBSD 11.1 (HardenedBSD), weitere Plugins; an Patches gegen Spectre und Meltdown wurde nach der ersten Veröffentlichung gearbeitet<ref name="opnsense-18-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-18-7">Vorlage:Internetquelle</ref>, fröhliches Flusspferd 6. August 2018<ref name="opnsense-18-7" /> FreeBSD 11.2 (HardenedBSD)<ref name="opnsense-18-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-19-1">Vorlage:Internetquelle</ref>, begeisternder Leguan 31. Januar 2019<ref name="opnsense-19-1" /> die Integration von HardenedBSD 11.2 wurde vervollständigt und das Firewall-API wurde finalisiert<ref name="opnsense-19-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-19-7">Vorlage:Internetquelle</ref>, toller Jaguar 17. Juli 2019<ref name="opnsense-19-7" /> selbständiges Logging mit syslog-ng, Übersetzung ins Spanische, weitere Plugins: Netdata und WireGuard VPN<ref name="opnsense-19-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-20-1">Vorlage:Internetquelle</ref>, verwegener Eisvogel 30. Januar 2020<ref name="opnsense-20-1" /> letzte Version für 32-Bit-x86 (IA-32) „i386“<ref name="opnsense-20-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-20-7">Vorlage:Internetquelle</ref>, sagenhafter Löwe 30. Juli 2020<ref name="opnsense-20-7" /> HardenedBSD 12.1 und nur noch 64-Bit-x86 (x64, IA-32 mit 64-Bit-Erweiterung) „amd64“; Suricata 5<ref name="opnsense-20-7">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-21-1">Vorlage:Internetquelle</ref>, fantastisches Erdmännchen 28. Januar 2021<ref name="opnsense-21-1" /> Verbesserungen der Firewall-Regeln und der Web-Oberfläche<ref name="opnsense-21-1">Vorlage:Internetquelle</ref>
Vorlage:Version Vorlage:Lang<ref>Vorlage:Internetquelle</ref>, edle Nachtigall 28. Juli 2021<ref name="opnsense-21-7">Vorlage:Internetquelle</ref> Verbesserte Traffic Graphen sowie Update auf PHP 7.4, Python 3.8 sowie OpenVPN 2.5<ref name="opnsense-21-7" />; native ZFS-Unterstützung im Installer: bei den Installations-Medien dvd, vga und serial kann zwischen dem Unix File System (UFS2) und ZFS (OpenZFS) gewählt werden; letzte Version, die auf HardendBSD aufbaut.<ref name="heiseonline_6152845">Vorlage:Heise online</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-22-1">Vorlage:Internetquelle</ref>, wachsame Eule 27. Januar 2022<ref name="releases-22-1" /> Upgrade auf FreeBSD 13 (HardenedBSD als gehärtete Variante von FreeBSD wird nicht mehr gesondert weiterentwickelt).<ref name="opnsense-21-7" /> Durch diese große Änderung am Unterbau empfehlen die Entwickler vor der Aktualisierung eine Sicherung zu erstellen. Auch fehlt dadurch der bisherige Treiber für modernere Realtek-Netzwerkkarten (2.5G-Modelle). Als unsicher eingestufte ältere Kryptographieoptionen wurden entfernt, sodass bestehende IPsec-Einstellungen eventuell angepasst werden müssen.<ref name="heiseonline_6474432">Vorlage:Heise online</ref>
Vorlage:Version Vorlage:Lang<ref name="releases-22-7">Vorlage:Internetquelle</ref>, kraftvoller Panther 28. Juli 2022<ref name="releases-22-7" /> Upgrade auf FreeBSD 13.1 und PHP 8.0. Die Version beinhaltet zahlreiche Detailverbesserungen. Als Neuerung ist nun eine Funktion zum Schutz vor DDoS (Vorlage:Lang) enthalten.<ref name="heiseonline_7206560">Vorlage:Heise online</ref> LibreSSL wird hingegen nicht mehr gepflegt und wird ab der nächsten Version nicht mehr in OPNsense enthalten sein.
Vorlage:Version Vorlage:Lang<ref name="releases-23-1">Vorlage:Internetquelle</ref>, typische Wachtel 26. Januar 2023<ref name="releases-23-1" /> Upgrade auf FreeBSD 13.2 und PHP 8.1. LibreSSL wurde entfernt.
Vorlage:Version Vorlage:Lang<ref name="releases-23-7">Vorlage:Internetquelle</ref>, ruheloser Wegekuckuck 23. Juli 2023<ref name="releases-23-7" /> OpenVPN-Verbesserungen, Upgrade auf PHP 8.2.
Vorlage:Version
Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Allgemein&oldid=52074