Migration von IPCOp zu IPFire

[ChrisK]

Hallo zusammen,

nachdem IPCop nun offiziell für tot erklärt wurde, will ich schleunigst mit den noch verbliebenen Systemen möglichst nahtlos zu IPFire migrieren.
Im Inet habe ich nur veraltete oder unvollständige Infos zu dem Thema gefunden, daher hier meine Anfrage:

- Gibt es mittlerweile ein HowTo für den Umstieg? Wenn ja, was wird dort berücksichtigt?
- Kann ich vorhandene OpenVPN- und IPSec-Verbindungen übernehmen oder müssen diese neu eingerichtet werden?
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
- Was geht definitiv nicht an Funktionalität was der IPCop hatte?

Vielen Dank schonmal für die Antworten.

VG
Christian

[Alternarivende]

Hallo,
das wird dann aber langsam Zeit mit dem Umstieg. Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.

Ich habe es damals so gemacht und auch nicht bereut. So viel Arbeit war das insgesamt auch nicht.

Ob etwas fehlt? Ich vermisse nichts, im Gegenteil, bin sehr zufrieden mit der Stabilität und Funktionalität.

[ChrisK]

Danke für deine Antwort. Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Wenn ich das bei den OpenVPN/IPSec-Sachen irgendwie vermeiden kann, wäre das schon die halbe Miete.
Alles andere bekomme ich "nachgebaut" ohne Dritte mit einbinden zu müssen.

Vielleicht hat ja jemand noch ein paar konkretere Tipps für mich ob, wie und was ich migrieren kann.

Danke und VG

[ummeegge]

Hallo zusammen,
mal zu folgendem Punkt

- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?

Ein NETMAP wurde hier --> viewtopic.php?f=16&t=17313 mal positiv getestet und kann ganz gut via CUSTOMregeln mittels firewall.local --> https://wiki.ipfire.org/configuration/f ... wall.local zu Fuss (CLI) gemacht werden.

Wegen OpenVPN ein paar Info´s: IPFire ist derzeit bei OpenVPN-v2.4.6 es gab einige Änderungen mit dem Versionsprung von der 2.3.x auf die 2.4er. Ich weiss nun nicht wie das beim Cop/bei_dir aussieht (client.ovpn´s ?), aber es kann sein das es da Probleme geben könnte. Der Fire spielt z.b. nur noch ungern bei CA´s mit z.b. --ns-cert-type´s oder MD5/SHA1 mit und gibt Warnungen aus (Meckert), für z.b. 1024 bit DH-Parametern gilt das selbe...

Da ich den Cop leider nie genutzt habe kann ich zur Migration leider nicht so viel sagen aber ein paar erweiterte Infos sind ja vielleicht brauchbar.

Grüssle,

UE

[zargano]

Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...

Das ist sicher ein valider Punkt, aber...

Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.

...so bin auch ich vorgegangen und habe es nicht bereut.

Grüße, zargano

[ChrisK]

Hallo zusammen,

vielen Dank für euer Feedback. Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn.

@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.

Ich denke ich habe nun einen ganz guten Plan: Ich werde die neuen Systeme parallel aufsetzen und nach und nach die IPSec-Tunnel und OpenVPN-Verbindungen "umziehen". Bis alles umgezogen ist, gibt es auch den IPCops dann eben ein paar zusätzliche static routes die auf die neuen Systeme zeigen. Wenn alles umgesetzt, können die Altsysteme heruntergefahren werden.

Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.

VG
Chris

[ummeegge]

Hallo zusammen,

@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.

freut mich das dir dass weiterhilft.

Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn

Der DH-Parameter sollte nicht das Problem sein da er nur Serverseitig vorliegt und du ihn auch nur da austauschen musst, der Name muss aber immer gleichbleiben (dh1024.pem sind noch Altlasten) aber du kannst dir einen neuen entweder über das WUI generieren was ich aber wahrscheinlich nicht machen würde da es lange gehen kann mit der Generierung, du kannst ihn dir auch auf einer externen Maschine mit mehr Power generieren und dann mittels WUI hochladen (mach ich immer so). Kommandos wären dann

Code: Select all

openssl dhparam -out dh1024.pem 2048

wobei 3072 und auch 4096 bit beim hochladen über das Webinterface akzeptiert werden.
Aber das nur nebenbei, ich denke das beste ist es wenn du das so machst wie du es schon geschrieben hast.

Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.

Klasse, das ist nett von dir.

Grüsse,

UE