Ervaring OPNsense hardware

7zp · Bericht 3 maanden geleden

Zoals de titel zegt, iemand ervaring met hun hardware, meer bepaald de DEC600 of 700 series? En dan meer bepaald voor in een bedrijf met een high availability setup. Op het internet vind ik niet al te véél informatie, zeker niet over hun laatste versies. Over de software heb ik persoonlijk wel goede ervaringen mee en leunt aan met wat we nodig hebben.

Op mijn werk gebruiken we een paar Intel NUCs die pFsense draaien, maar er zijn een paar pesky bugs in pfsense die ons soms toch wel raken met een zekere impact, bugs die in FreeBSD al lang gefixed zijn, en patches vanuit pfsense zelf maar die nog niet gereleased zijn (liefde voor hun community edition blijkt verdwenen te zijn, 2.7.2 dateert van december 2023), alsook de NUCs beginnen hun einde wat tegemoet te komen.

Vandaar dat we opzoek zijn naar een out-of-the-box oplossing, waar we garantie op compatibiliteit tussen hardware en software vinden. Desnoods buiten het ecosysteem van pf/opnsense mits het onze noden kan invullen.

Alvast bedankt voor enige input,
G

joriz · Bericht 3 maanden geleden

Voor zover ik weet is de HA setup bij PFsense hetzelfde als bij OPNsense (carp, pfsync).
ICS DHCP gaat vervangen worden door Kea DHCP en daar zitten ook HA features in, zelf nog niet mee gewerkt.

7zp · Bericht 3 maanden geleden

KEA draaien we al op twee aparte servers icm bind9, beide in HA, maar het zou leuk zijn om die eventueel mee over te zetten op *Sense , jammerlijk dat er geen native openldap server package is op OPNsense.

Wat voor hardware gebruiken jullie? Alvast bedankt voor jouw reactie. @joriz

Bericht 3 maanden geleden

Ik lees in de geruchten dat OPNsense eigenlijk weinig tot geen eigen developers heeft, en vooral de pfSense updates herwerkt in hun GUI.
Als dat waar zou zijn, gaan we dat wel zien wanneer pfSenseCE verder verwaarloosd wordt.
Maar dat zou wel betekenen dat OPNsense (tot nu toe) geen belangrijke development gaat krijgen die pfSense nog niet gedaan heeft.

Ik was ook aan het kijken om over te stappen, nu Netgate pfSenseCE een beetje aan het verwaarlozen is (en het ziet ernaar uit dat die lijn doorgetrokken gaat worden).

joriz · Bericht 3 maanden geleden

7zp schreef: 3 maanden geleden KEA draaien we al op twee aparte servers icm bind9, beide in HA, maar het zou leuk zijn om die eventueel mee over te zetten op *Sense , jammerlijk dat er geen native openldap server package is op OPNsense.

Wat voor hardware gebruiken jullie? Alvast bedankt voor jouw reactie. @joriz

Supermicro hardware. De hardware die PFsense verkoopt zijn daar vaak op gebaseerd. Tis maar wat je wil. Van een kleine box tot een rackserver met redundante powersupplies, hotswap disken. Er zijn in België systeembouwers die dat verkopen. Neem daar een service bij voor NBD vervanging van defecte hardware en dan zit je al vrij gerust als er toch iets stuk gaat.

Ander alternatief is bijvoorbeeld Protectli: https://eu.protectli.com/solutions/firewall/

Bericht 3 maanden geleden

ITnetadmin schreef: 3 maanden geleden Ik lees in de geruchten dat OPNsense eigenlijk weinig tot geen eigen developers heeft, en vooral de pfSense updates herwerkt in hun GUI.

Wat ik weet (van bronnen zeer dicht bij pfsense en opnsense) is dat de merendeel van de freebsd contributies inderdaad vanuit het Netgate kamp komen. Maar daar staat dan tegenover sst ze bij opnsense wel zaken gaan integreren voor dat ze in pfsense komen.
Uiteindelijk maken beide gebruik van freebsd.

7zp schreef: 3 maanden geleden Wat voor hardware gebruiken jullie? Alvast bedankt voor jouw reactie. @joriz

Enkel in een thuis-setting, en ik maak gebruik van een Pcengines APU2e4. Bolt als een trein, maar je moet geen onnozele dingen gaan verwachten dan de hardware natuurlijk.

Splitter · Bericht 3 maanden geleden

ITnetadmin schreef: 3 maanden geleden Ik lees in de geruchten dat OPNsense eigenlijk weinig tot geen eigen developers heeft, en vooral de pfSense updates herwerkt in hun GUI.

ik dacht van wel, maar enkel voor het opnsense-deel, niet voor het -bsd deel.

en je kan je afvragen of netgate dat wel heeft, als je kijkt naar het wireguard debacle, waarbij netgate absoluut wireguard in-kernel wou in freebsd,
daarvoor een externe partij aanspreekt, die de code laat ontwikkelen, dewelke direct-to-head gepusht werd en bijna included in freebsd,
terwijl die vol met issues zat.
netgate heeft daarbij geen code review gedaan, en voor zover ik weet ook geen mea culpa gegeven, maar gewoon offensief gereageerd.
(iets meer info voor zij het het destijds gemist hebben: https://arstechnica.com/gadgets/2021/03 ... lose-call/ )

of opnsense veel of weinig devs hebben is een andere zaak, ze hebben sowieso een aantal eigen ontwikkelaars (zoals franco), maar ze zullen er geen 100 hebben.
dat hoeft dan ook niet voor dit project, gezien het ook deels community-developed is (en het is niet alsof ze fortigate zijn.... dewelke een hoop devs hebben en nog met hun broek naar beneden stonden....)

zelf heb ik al jaren opnsense, altijd tevreden van geweest, maar idd ook wel meer in de settings van prive & kleinere kmo's,
niet zozeer van grotere bedrijven.
draaide het eerst ook op een APU (nouja, daarvoor op een proxmox), en later ben ik overgeschakeld naar een N100 van aliexpress (zie STH -servethehome- reviews daarvoor)

je kan evenzeer ook die route gaan (die N100 dingetjes zijn best performant, en met intel nic zit je sowieso goed), maar de hoofdredenen om voor een bedrijf te gaan voor de opnsense hardware via deciso, is de ondersteuning die erbij hoort.
je krijgt dan niet enkel de hardware voor die prijs, maar ookde business editie (zogenaamd wat stabieler + met pro plugins + met support), en -vermoed ik- ook support als de hardware toch zou underperformen (vs de gegeven specs)

ik zou zeggen: neem even contact op met het business adres van deciso, dan krijg je normaalgezien gewoon een antwoord op je vragen, in het nederlands,
en kan je daarop ook verder.

Bericht 3 maanden geleden

Splitter schreef: 3 maanden geleden netgate heeft daarbij geen code review gedaan, en voor zover ik weet ook geen mea culpa gegeven, maar gewoon offensief gereageerd.

Zonder teveel in deze polemiek te willen verdergaan, is Netgate gekend om zeer hostile (lees: kinderachtig) te zijn tov opnsense.
Ze hadden ooit opnsense<dot>com geregistreerd en daar een website op gezet om opnsense zwart te maken; daar is een klacht over geweest om dat domein over te dragen; enfin, Netgate heeft geen goeie reputatie als het om volwassen gedrag gaat.

(Meer info:
https://www.reddit.com/r/homelab/commen ... hand_over/
https://web.archive.org/web/20160314132 ... sense.com/
https://opnsense.org/opnsense-com/ )

Rudolphin · Bericht 2 maanden geleden

pfSense heeft blijkbaar eigen mensen dedicated aan het upstreamen van patches, waar OPNSense meer "leacht".
https://lawrence.video/opnsense
Maar OPNSense lijkt vaker updates door te voeren dan pfSense.

Zelf gebruik ik OPNSense op een AliExpress miniPC router met 4x2.5Gbps NICs. Werkt perfect voor thuisgebruik.
Voor een bedrijfs-setting, zal je wat meer oomph kunnen gebruiken, zeker als je HA wilt opzetten.

Splitter · Bericht 2 maanden geleden

ITnetadmin schreef: 3 maanden geleden Netgate heeft geen goeie reputatie als het om volwassen gedrag gaat.

klopt, dat is 1 van de zovele dingetjes dat er mis is met netgate.

@Rudolphin : die link die je geeft van lawrence systems is 1 van de grote redenen dat ik zijn videos niet langer meer apprecieer,
het is nogal biased (en als ik me goed herinner zelfs half foute) info dat hij erin steekt.
en dat ben ik bij hem nog wel wat tegengekomen.
(zie ook de comments op die video, dan weet je wat ik bedoel)

hetgene mensen ook blijven aanhalen "maar netgate doet meer" is vooral "netgate heeft in het verleden geld uitgegeven om wat meer in de bsd source code te krijgen, omdat dat hun eigen belangen ten goede kwam bij het maken van hun product", niet zozeer "netgate heeft liefde voor de community"

wat opnsense doet is pfsense forken (en pfsense zelf was een fork van monowall), en daarop vervolgens verbeteringen -die in hun visie passen- op aanbrengen,
met een betere UX experience, een vrij decent plugin systeem, een API, ....

er zal ongetwijfeld nog wat pfsense code "under the hood" zitten, dat bouw je niet zomaar in 1-2-3 helemaal om, maar het feit dat er nog steeds mensen bsd-code als "netgate code" benoemen, omdat netgate dat 20j geleden eens in de source heeft gecommit, is "grasping at straws", vind ik.

al dat gezegd zijnde kies je een firewall appliance op eigen noden, zinnen, en kennis en niet op "dat zeggen anderen",
en beide zullen wel doen wat ze zeggen qua basisfunctionaliteit.

maar opnsense heeft een aantal voordelen, imho:
- niet zo kinderachtig (conform wat al gemeld is)
- eigen bijdrages + een vrij actieve dev community, iirc
- nederlands! altjid handig als je support moet hebben vs een of ander amerikaans bedrijf
- snellere ontwikkeling (dat heeft zo zijn voor en nadelen)
- en op de hardware vergelijkingen doet netgate hun cijfertjes wat omhoog door oudere encryptie te gebruiken ter vergelijking (netgate ipsec: AES-GCM-128, opnsense ipsec: AES256GCM16 - hoewel je tegenwoordig gewoon toch wireguard zou gebruiken ipv ipsec)