Lange nutzte ich eine OPNsense als Firewall, privat wie geschäftlich. Das hat sich mit der Version 23.1 geändert und pfSense+ ist eingezogen. Das hat nur einen Grund: VPN.
Aus alt mach neu
Die OPNsense-Entwickler beschreiben ihre aktuelle (stabile) Implementierung von OpenVPN und IPsec als nicht gut und wollen diese ersetzen. Ein Schritt, den ich grundsätzlich begrüße. Es kommt vor, dass Neuschreiben manchmal besser ist als bestehendes mit spitzen Fingern anzufassen. Einen Migrationspfad zwischen den alten und neuen Implementierungen bieten sie leider nicht an, möglicherweise weil ein Teil der Einstellmöglichkeiten in der neuen Implementierung einfach fehlt und offenbar niemals nachgereicht wird.
Eine Frage des Labels
Es ist aber die Frage, wie man etwas tituliert. Die aktuelle (funktionierende, mit allen Einstellungen) Implementierung wird als Legacy gekennzeichnet. Das ist natürlich massiv irreführend, es ist aktuell die einzige stabile Implementierung, das andere hätte man nicht New, sondern Beta kennzeichnen sollen! Mit der aktuellen Titulierung kommt man auf die Idee, die Beta Implementierung wäre die Stable.
Überheblichkeit der Maintainer
So manches Issue auf Github ist an Überheblichkeit nicht mehr zu überbieten. »Das braucht doch kein Mensch« ist oft die Antwort auf Feature Requests, die Leute eröffnen, denen im NEW ein Feature der Legacy-Implementierung fehlt. Braucht kein Mensch relativiert sich doch allein schon durch Eröffnung eines Issues mit dem Wunsch danach. In einer merkwürdigen Bubble leben die OPNsense-Leute …
DECISO scheint einen richtigen Höhenflug zu haben, seit sie mehr im Business eingesetzt werden. Ich gönne jedem den Erfolg, doch sollten sie mal wieder von ihrem selbst kreiertem hohen Ross herunterkommen. Teilweise ist hier die Arroganz schlimmer als bei den pfSense Leuten, fast schon toxisch.
Braucht kein Mensch, okay fein, dann sag mir warum ich OPNsense einsetzen sollte? Wenn ich eine Firewall ohne Einstellmöglichkeiten möchte, kaufe ich eine Sophos oder nutze IPFire. Hört auf, funktionierende Firewalls zu ver-GNOME-n und sinnvolle Einstellmöglichkeiten auszubauen! Zumal die GUI nicht einmal wie propagiert “clean and simple” ist, das sehen wir im nächsten Absatz:
IPsec
Gemeckert ist schnell, hier möchte ich mal etwas zeigen:
In der Legacy Implementierung ist alles klar strukturiert und nicht überverkompliziert in eine einzelne Liste gepackt. Das ist nur eins von vielen Beispielen, fassungslos macht mich immer noch das hier: keine Remote-Sites mehr mit dynamischen IPs oder FQDNs. Denkt dort auch jemand weiter als von der Tapete bis an die Wand? Das ist ein Feature, dass von vielen Leuten als auch Unternehmen genutzt wird, nicht jeder hat den Luxus einer statischen IPv4. Geschäftlich habe ich auch eine Remote Site ohne statische IP, mit der neuen Implementierung bin ich dann wohl angeschmiert. Warum hier der Unterbau gewechselt wird, erschließt sich mir auch nicht ganz, Strongswan kann doch alles – baut doch das neu ein oder ist es jetzt Hip’ anders zu sein so wie Ubuntu mit SNAP und netplan?
Ebenfalls fehlen Dinge wie SPD Einträge. Das schränkt mich als Road-Warrior massiv ein, da ich statt einem VPN-Tunnel nun 20 benötige. Statt wie früher eine Verbindung ins Rechenzentrum zu haben, um von dort aus in alle Sites zu hüpfen, muss ich künftig in jede Site einen Tunnel vom Endgerät erstellen. Das Weglassen der SPD Einträge hat welchen Grund und verbessert was genau?
Ein Test-Tunnel zwischen zwei versionsgleichen OPNsense hat mit der New Implementierung nicht einmal funktioniert. Erschwerend hinzu kommt das “neu laufen lernen“, so manche Fehlermeldung, die Strongswan (Legacy) auswirft, kann man im Schlaf lösen. Zu dem New gibt es teilweise nicht mal ein einziges Suchergebnis bei Google. Fast so proprietär und unentstörbar wie DATEV, so ist man gezwungen den Herstellersupport zu kaufen – nice try 😉
Während dem Schreiben dieses Artikels habe ich mich erneut mit dem New beschäftigt und frage mich: Wo sind die Einstellungen zu Phase 1 und Phase 2? Soll das jetzt ein Pseudo-Autodiscover werden? Ich kann ja nicht einmal einstellen, welches Subnet sich auf der anderen Seite befindet. Das ist eine dringend benötigte Funktion, die Welt ist kein Wunschkonzert, in der alles auf OPNsense basiert. So kann man jeden 3rd Party Router als Gegenstelle vergessen.
OpenVPN
Auch im OpenVPN-Lager sieht es nicht besser aus. Hier kommen nicht gleich Screenshots, beim Anfertigen dieser, habe ich Differenzen zwischen verschiedenen OPNsense derselben Version gefunden. Man nahm uns schon die Möglichkeit die DH Parameter zu bestimmen, die wird einfach auf 8192 Bit gesetzt, ob die Hardware das kann oder nicht. Die Einstellungen zur Verschlüsselung werden im Legacy als deprecated angezeigt. Darf ich künftig nicht mal mehr selbst entscheiden/beeinflussen, wie verschlüsselt wird?
Die Verschlüsselung nicht mehr auswählbar zu machen, ist aus zweierlei Hinsicht fragwürdig. Erstens möchte ich die Freiheit meine Firewall so zu konfigurieren, wie es mir passt, andererseits können spezielle Vorgaben (z. B. BaFin) eine bestimmte Verschlüsselung voraussetzen. Hier sägt sich dann OPNsense einen gesamten Geschäftszweig ab. Generell scheint dort das Thema Selbstbestimmung immer mehr auf das Abstellgleis zu geraten.
Kurzum: Die neue OVPN Implementierung ist genau so »vereinfacht« und »übersichtlich dargestellt« wie auch bei IPsec. Wenn das der neue Weg sein soll, gute Nacht.
Komische Hardware
Lancom fällt mir hier direkt ein. Sollte man eine Telefonielösung der Deutschen Telekom nutzen, bekommt man einen solchen Router zwangsläufig aufgedrückt. Ein Lancom als VPN-Site ist so ziemlich das schmerzhafteste, was ich je erlebt habe, gleich nach den Cisco-Dingern der SwyxOn Cloud. Hier bekommt man nicht haarklein gesagt, wie der Tunnel aussehen muss. Früher™ hat es gereicht, die Häkchen überall zu setzen, was nun nicht mehr geht, und zu schauen, auf welche Algorithmen und Cipher sie sich einigen. Soll ich nun jedes Mal eine pfSense den Tunnel aufbauen lassen, um die Einstellungen des aufgebauten Tunnels auszulesen oder wie?
Auch die Voreinstellungen sind fragwürdig, eigentlich ist es Standard, dass die ESP-Pakete in UDP gepackt werden, angehakt ist es aber nicht. Wie viele Stunden Lebenszeit das wohl die Admins kosten wird, bis sie darauf stoßen …
Nicht das erste rumpeln bei OPNsense
Der alte DynDNS-Client, genauer gesagt sein Sterben, war der Vorbote dieses Übels. Hier wurde völlig überstürzt das DynDNS-Paket ausgetauscht, ohne dass der neue Client alles eingebaut hatte. Zum Zeitpunkt des »Upgradezwangs« gab es nicht mal die Möglichkeit, eine Custom URL zu hinterlegen. Ebenfalls waren nur zwei Hände voll Anbieter vertreten, die man eintragen konnte. Nach genug Krawall der Community sind wir inzwischen featuretechnisch fast wieder auf dem alten Stand.
Fazit
Kommen die neuen VPN Implementierungen so, wie sie aktuell eingebaut sind, ist OPNsense im Business mit 3rd Party Geräten nicht mehr sinnvoll einsetzbar. Soll OPNsense nun zu so einer Easy-Bundle-Firewall wie eine Sophos werden?
Neu geschrieben, aber fehlende Funktion und Kritik in der Community, die nicht gehört wird. Man fährt einfach seine Schiene. Keine genauen Angaben, wann die Legacy Implementierungen ausgebaut werden sollen. Planbar und transparent, das schafft Vertrauen! Ich habe keinen Stress damit, in allen Gesellschaften OPNsense rauszuwerfen und pfSense einziehen zu lassen – binnen einer Woche. Sehen wir mal, wie sich das alles entwickelt. OPNsense sollte niemals vergessen, wo es herkommt und warum dieser Fork überhaupt entstand.
OPNsense bekommt von meinem IT-Dienstleister und mir derweil den Produktstatus gelb: Wird nicht weiter ausgerollt und »ready to replace«, für den Fall, dass es komplett abdriftet. Dass hier die Thomas-Krenn AG als großer Handelspartner nicht die Notbremse zieht, verstehe ich auch nicht. Für die Zeit, in der die Legacy-Implementierung noch vorhanden ist, kann man das ja noch als Business Firewall verkaufen, also warum was ändern? Ohne Worte …