Firewall as a Service mit OpenWrt

OpenWrt lässt sich einfach deployen und mit dieser Ansible Collection lassen sich etliche Geräte zentral administrieren. Als Provider kann man seinen Kunden damit eine kostengünstige Managed Firewall Appliance anbieten.

Stellenmarkt
  1. SAP FICO Berater (m/w/x)
    über duerenhoff GmbH, Raum Frankfurt am Main
  2. CAD/CAM Programmierer (w/m/d)
    AIXTRON SE, Herzogenrath
Detailsuche

Ansible vereinfacht dabei nicht nur potenzielle Konfigurationsänderungen, sondern stellt den gleichen Stand auf allen Geräten sicher. Dadurch werden Fehler vermieden. Den Zeitaufwand für den zuständigen Admin verringert man mit dem Einsatz von Ansible deutlich. Oft wird Ansible in Firmen bereits verwendet, was die Einstiegshürde senkt.

Die verlinkte Ansible Collection beschränkt sich allerdings nicht nur auf den Einsatz einer dedizierten Firewall. Als Mindestanforderung sollten 32 MByte Festplattenspeicher verfügbar sein. Eine virtuelle Maschine sollte problemlos mehr bieten können.

Benötigt man spontan eine Firewall, ist sie schnell in Betrieb genommen und verbraucht kaum Ressourcen. Denkbar wäre der Einsatz in Umgebungen beim Cloudhoster oder in Rechenzentren, die auf Open-Source-Software Wert legen und eine möglichst flexible, aber auch zuverlässige Lösung benötigen. Damit kommt man der Idee einer Firewall as a Service recht nahe.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    10./11.10.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Ist bei der Firewall Redundanz gewünscht, sollte man von OpenWrt jedoch Abstand nehmen. Es gibt zwar die Möglichkeit, mithilfe von keepalived und dem conntrackd ein HA-System zu errichten. Für produktive Umgebungen sind OPNsense oder pfSense jedoch besser geeignet.

Access Points orchestrieren

Neu ist dieser Ansatz nicht. Bereits vor gut zehn Jahren betrieb die Firma Uni-DSL (heute Relaix Networks) in Aachen eines der größten Wi-Fi-Netze Europas. Es bestand aus mehreren Tausend Knotenpunkten. Sie hatten ein angepasstes OpenWrt installiert. Damals sorgte eine selbst entwickelte Software für die Orchestrierung dieser Systeme.

Auch heute gibt es einige Projekte, bei denen größere Ansammlungen von Access Points zentral administriert werden. Eine Software, um dies zu bewerkstelligen, ist das Projekt OpenWisp. Es kommt vorwiegend in Italien zum Einsatz. Auch für solche Umgebungen ist die Imp1sh Ansible Collection für OpenWrt eine gute Alternative. Die eingesetzten Access Points müssen allerdings die in der Dokumentation genannten Anforderungen an Speicher und RAM erfüllen.

Damit ist es bequem möglich, in Ansible-Sets Konfigurationen anzulegen, die immer wieder genutzt und mit wenig Aufwand modifiziert werden können. Die Integration der Knoten in ein Monitoring oder den zentralen Log-Server wird einmal definiert. Alle Knoten erhalten die gleiche, getestete Konfiguration.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Nicht ohne Stolpersteine

OpenWrt ist ein Alleskönner. Man bemerkt allerdings in der Praxis bei der Nutzung als Firewall ein paar Schwächen. Verwaltet man sehr viele Firewallregeln, kommt man mit der LUCI-Oberfläche an seine Grenzen. Sie zeigt alle Paketfilter-Regeln in einer Liste, nicht etwa getrennt nach Quellinterface wie bei pfSense. Solche langen Listen werden dann oft unübersichtlich. Nutzt man jedoch die Ansible Collection, ist dies kein Nachteil, da man Änderungen nicht mehr über das Webinterface durchführt.

Der Updateprozess ist bei OpenWrt ebenfalls ein wunder Punkt. Bei OPNsense oder pfSense ist man es gewohnt, nur einen Knopf zu drücken und den Neustart abzuwarten. Bei OpenWrt ist etwas Handarbeit gefragt. Auch hier unterstützt die Ansible Collection.

Eine Schwierigkeit beim Update besteht darin, nach dem Neustart die zusätzlich installierten Pakete wiederherzustellen. Hierzu gibt es eine Anleitung. Nutzt man die Collection, sind diese manuellen Schritte nicht nötig. Man lässt nach einem Update lediglich die Rolle zur Installation der Zusatzpakete laufen.

Für so große Projekte wie das Bürgernetz pplznet gibt es einige Herausforderungen zu meistern - und zwar auf technischer, gesellschaftlicher und auch bürokratischer Ebene. Die Technikerszene zeichnet sich jedoch dadurch aus, sich von Gegenwind nicht entmutigen zu lassen. Kreative Ideen, um vorhandene Software in neuem Gewand zu sehen, sind der Maßstab.

Jochen Demmer ist System- und Netzwerkadministrator - angestellt und selbstständig. Gelegentlich publiziert er Youtube-Videos unter dem Pseudonym Junicast. In all den Bereichen spielt Open Source eine entscheidende Rolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Herausforderungen und Einsatz in Krisengebieten
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


teleborian 25. Sep 2022 / Themenstart

Wie wird Open Wrt eigentlich so entwickelt. Weiss wer was sich seit LEDE getan hat...

Schlitzauge 16. Sep 2022 / Themenstart

Oder man nimmt ohnehin leistungsfähigere und je nach Prozessor genauso energiesparsame...

chefin 15. Sep 2022 / Themenstart

Wenn ich mir das so anschaue, reden wir von einem ziemlich komplexen Netzwerk, dessen...

schnedan 15. Sep 2022 / Themenstart

6A ? Profinet hat hierzu tatsächlich einen guten Guide wie man sowas richtig macht...

Kommentieren



Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  2. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

  3. Firefly Aerospace: Rakete erreicht den Orbit
    Firefly Aerospace
    Rakete erreicht den Orbit

    Der zweite Start der Alpha-Rakete war erfolgreich. Sie hat Satelliten in einer niedrigen Erdumlaufbahn ausgesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /