Page 1 of 1

Migration von IPCOp zu IPFire

Posted: November 5th, 2018, 11:52 am
by ChrisK
Hallo zusammen,

nachdem IPCop nun offiziell für tot erklärt wurde, will ich schleunigst mit den noch verbliebenen Systemen möglichst nahtlos zu IPFire migrieren.
Im Inet habe ich nur veraltete oder unvollständige Infos zu dem Thema gefunden, daher hier meine Anfrage:

- Gibt es mittlerweile ein HowTo für den Umstieg? Wenn ja, was wird dort berücksichtigt?
- Kann ich vorhandene OpenVPN- und IPSec-Verbindungen übernehmen oder müssen diese neu eingerichtet werden?
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
- Was geht definitiv nicht an Funktionalität was der IPCop hatte?

Vielen Dank schonmal für die Antworten.

VG
Christian

Re: Migration von IPCOp zu IPFire

Posted: November 7th, 2018, 3:39 pm
by Alternarivende
Hallo,
das wird dann aber langsam Zeit mit dem Umstieg. Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.

Ich habe es damals so gemacht und auch nicht bereut. So viel Arbeit war das insgesamt auch nicht.

Ob etwas fehlt? Ich vermisse nichts, im Gegenteil, bin sehr zufrieden mit der Stabilität und Funktionalität.

Re: Migration von IPCOp zu IPFire

Posted: November 7th, 2018, 3:46 pm
by ChrisK
Danke für deine Antwort. Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Wenn ich das bei den OpenVPN/IPSec-Sachen irgendwie vermeiden kann, wäre das schon die halbe Miete.
Alles andere bekomme ich "nachgebaut" ohne Dritte mit einbinden zu müssen.

Vielleicht hat ja jemand noch ein paar konkretere Tipps für mich ob, wie und was ich migrieren kann.

Danke und VG

Re: Migration von IPCOp zu IPFire

Posted: November 7th, 2018, 4:02 pm
by ummeegge
Hallo zusammen,
mal zu folgendem Punkt
ChrisK wrote:
November 5th, 2018, 11:52 am
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
Ein NETMAP wurde hier --> viewtopic.php?f=16&t=17313 mal positiv getestet und kann ganz gut via CUSTOMregeln mittels firewall.local --> https://wiki.ipfire.org/configuration/f ... wall.local zu Fuss (CLI) gemacht werden.

Wegen OpenVPN ein paar Info´s: IPFire ist derzeit bei OpenVPN-v2.4.6 es gab einige Änderungen mit dem Versionsprung von der 2.3.x auf die 2.4er. Ich weiss nun nicht wie das beim Cop/bei_dir aussieht (client.ovpn´s ?), aber es kann sein das es da Probleme geben könnte. Der Fire spielt z.b. nur noch ungern bei CA´s mit z.b. --ns-cert-type´s oder MD5/SHA1 mit und gibt Warnungen aus (Meckert), für z.b. 1024 bit DH-Parametern gilt das selbe...

Da ich den Cop leider nie genutzt habe kann ich zur Migration leider nicht so viel sagen aber ein paar erweiterte Infos sind ja vielleicht brauchbar.

Grüssle,

UE

Re: Migration von IPCOp zu IPFire

Posted: November 7th, 2018, 6:42 pm
by zargano
ChrisK wrote:
November 7th, 2018, 3:46 pm
Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Das ist sicher ein valider Punkt, aber...
Alternarivende wrote:
November 7th, 2018, 3:39 pm
Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.
...so bin auch ich vorgegangen und habe es nicht bereut.

Grüße, zargano

Re: Migration von IPCOp zu IPFire

Posted: November 13th, 2018, 12:32 pm
by ChrisK
Hallo zusammen,

vielen Dank für euer Feedback. Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn.

@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.

Ich denke ich habe nun einen ganz guten Plan: Ich werde die neuen Systeme parallel aufsetzen und nach und nach die IPSec-Tunnel und OpenVPN-Verbindungen "umziehen". Bis alles umgezogen ist, gibt es auch den IPCops dann eben ein paar zusätzliche static routes die auf die neuen Systeme zeigen. Wenn alles umgesetzt, können die Altsysteme heruntergefahren werden.

Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.

VG
Chris

Re: Migration von IPCOp zu IPFire

Posted: November 13th, 2018, 1:03 pm
by ummeegge
Hallo zusammen,
ChrisK wrote:
November 13th, 2018, 12:32 pm
@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.
freut mich das dir dass weiterhilft.
ChrisK wrote:
November 13th, 2018, 12:32 pm
Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn
Der DH-Parameter sollte nicht das Problem sein da er nur Serverseitig vorliegt und du ihn auch nur da austauschen musst, der Name muss aber immer gleichbleiben (dh1024.pem sind noch Altlasten) aber du kannst dir einen neuen entweder über das WUI generieren was ich aber wahrscheinlich nicht machen würde da es lange gehen kann mit der Generierung, du kannst ihn dir auch auf einer externen Maschine mit mehr Power generieren und dann mittels WUI hochladen (mach ich immer so). Kommandos wären dann

Code: Select all

openssl dhparam -out dh1024.pem 2048
wobei 3072 und auch 4096 bit beim hochladen über das Webinterface akzeptiert werden.
Aber das nur nebenbei, ich denke das beste ist es wenn du das so machst wie du es schon geschrieben hast.
ChrisK wrote:
November 13th, 2018, 12:32 pm
Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.
Klasse, das ist nett von dir.

Grüsse,

UE