Migration von IPCOp zu IPFire
Migration von IPCOp zu IPFire
Hallo zusammen,
nachdem IPCop nun offiziell für tot erklärt wurde, will ich schleunigst mit den noch verbliebenen Systemen möglichst nahtlos zu IPFire migrieren.
Im Inet habe ich nur veraltete oder unvollständige Infos zu dem Thema gefunden, daher hier meine Anfrage:
- Gibt es mittlerweile ein HowTo für den Umstieg? Wenn ja, was wird dort berücksichtigt?
- Kann ich vorhandene OpenVPN- und IPSec-Verbindungen übernehmen oder müssen diese neu eingerichtet werden?
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
- Was geht definitiv nicht an Funktionalität was der IPCop hatte?
Vielen Dank schonmal für die Antworten.
VG
Christian
nachdem IPCop nun offiziell für tot erklärt wurde, will ich schleunigst mit den noch verbliebenen Systemen möglichst nahtlos zu IPFire migrieren.
Im Inet habe ich nur veraltete oder unvollständige Infos zu dem Thema gefunden, daher hier meine Anfrage:
- Gibt es mittlerweile ein HowTo für den Umstieg? Wenn ja, was wird dort berücksichtigt?
- Kann ich vorhandene OpenVPN- und IPSec-Verbindungen übernehmen oder müssen diese neu eingerichtet werden?
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
- Was geht definitiv nicht an Funktionalität was der IPCop hatte?
Vielen Dank schonmal für die Antworten.
VG
Christian
-
- Posts: 186
- Joined: April 4th, 2013, 4:30 pm
Re: Migration von IPCOp zu IPFire
Hallo,
das wird dann aber langsam Zeit mit dem Umstieg. Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.
Ich habe es damals so gemacht und auch nicht bereut. So viel Arbeit war das insgesamt auch nicht.
Ob etwas fehlt? Ich vermisse nichts, im Gegenteil, bin sehr zufrieden mit der Stabilität und Funktionalität.
das wird dann aber langsam Zeit mit dem Umstieg. Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.
Ich habe es damals so gemacht und auch nicht bereut. So viel Arbeit war das insgesamt auch nicht.
Ob etwas fehlt? Ich vermisse nichts, im Gegenteil, bin sehr zufrieden mit der Stabilität und Funktionalität.
Re: Migration von IPCOp zu IPFire
Danke für deine Antwort. Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Wenn ich das bei den OpenVPN/IPSec-Sachen irgendwie vermeiden kann, wäre das schon die halbe Miete.
Alles andere bekomme ich "nachgebaut" ohne Dritte mit einbinden zu müssen.
Vielleicht hat ja jemand noch ein paar konkretere Tipps für mich ob, wie und was ich migrieren kann.
Danke und VG
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Wenn ich das bei den OpenVPN/IPSec-Sachen irgendwie vermeiden kann, wäre das schon die halbe Miete.
Alles andere bekomme ich "nachgebaut" ohne Dritte mit einbinden zu müssen.
Vielleicht hat ja jemand noch ein paar konkretere Tipps für mich ob, wie und was ich migrieren kann.
Danke und VG
Re: Migration von IPCOp zu IPFire
Hallo zusammen,
mal zu folgendem Punkt
Wegen OpenVPN ein paar Info´s: IPFire ist derzeit bei OpenVPN-v2.4.6 es gab einige Änderungen mit dem Versionsprung von der 2.3.x auf die 2.4er. Ich weiss nun nicht wie das beim Cop/bei_dir aussieht (client.ovpn´s ?), aber es kann sein das es da Probleme geben könnte. Der Fire spielt z.b. nur noch ungern bei CA´s mit z.b. --ns-cert-type´s oder MD5/SHA1 mit und gibt Warnungen aus (Meckert), für z.b. 1024 bit DH-Parametern gilt das selbe...
Da ich den Cop leider nie genutzt habe kann ich zur Migration leider nicht so viel sagen aber ein paar erweiterte Infos sind ja vielleicht brauchbar.
Grüssle,
UE
mal zu folgendem Punkt
Ein NETMAP wurde hier --> viewtopic.php?f=16&t=17313 mal positiv getestet und kann ganz gut via CUSTOMregeln mittels firewall.local --> https://wiki.ipfire.org/configuration/f ... wall.local zu Fuss (CLI) gemacht werden.
Wegen OpenVPN ein paar Info´s: IPFire ist derzeit bei OpenVPN-v2.4.6 es gab einige Änderungen mit dem Versionsprung von der 2.3.x auf die 2.4er. Ich weiss nun nicht wie das beim Cop/bei_dir aussieht (client.ovpn´s ?), aber es kann sein das es da Probleme geben könnte. Der Fire spielt z.b. nur noch ungern bei CA´s mit z.b. --ns-cert-type´s oder MD5/SHA1 mit und gibt Warnungen aus (Meckert), für z.b. 1024 bit DH-Parametern gilt das selbe...
Da ich den Cop leider nie genutzt habe kann ich zur Migration leider nicht so viel sagen aber ein paar erweiterte Infos sind ja vielleicht brauchbar.
Grüssle,
UE
Re: Migration von IPCOp zu IPFire
Das ist sicher ein valider Punkt, aber...
...so bin auch ich vorgegangen und habe es nicht bereut.Alternarivende wrote: ↑November 7th, 2018, 3:39 pmIch persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.
Grüße, zargano
Re: Migration von IPCOp zu IPFire
Hallo zusammen,
vielen Dank für euer Feedback. Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn.
@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.
Ich denke ich habe nun einen ganz guten Plan: Ich werde die neuen Systeme parallel aufsetzen und nach und nach die IPSec-Tunnel und OpenVPN-Verbindungen "umziehen". Bis alles umgezogen ist, gibt es auch den IPCops dann eben ein paar zusätzliche static routes die auf die neuen Systeme zeigen. Wenn alles umgesetzt, können die Altsysteme heruntergefahren werden.
Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.
VG
Chris
vielen Dank für euer Feedback. Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn.
@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.
Ich denke ich habe nun einen ganz guten Plan: Ich werde die neuen Systeme parallel aufsetzen und nach und nach die IPSec-Tunnel und OpenVPN-Verbindungen "umziehen". Bis alles umgezogen ist, gibt es auch den IPCops dann eben ein paar zusätzliche static routes die auf die neuen Systeme zeigen. Wenn alles umgesetzt, können die Altsysteme heruntergefahren werden.
Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.
VG
Chris
Re: Migration von IPCOp zu IPFire
Hallo zusammen,
wobei 3072 und auch 4096 bit beim hochladen über das Webinterface akzeptiert werden.
Aber das nur nebenbei, ich denke das beste ist es wenn du das so machst wie du es schon geschrieben hast.
Grüsse,
UE
freut mich das dir dass weiterhilft.
Der DH-Parameter sollte nicht das Problem sein da er nur Serverseitig vorliegt und du ihn auch nur da austauschen musst, der Name muss aber immer gleichbleiben (dh1024.pem sind noch Altlasten) aber du kannst dir einen neuen entweder über das WUI generieren was ich aber wahrscheinlich nicht machen würde da es lange gehen kann mit der Generierung, du kannst ihn dir auch auf einer externen Maschine mit mehr Power generieren und dann mittels WUI hochladen (mach ich immer so). Kommandos wären dann
Code: Select all
openssl dhparam -out dh1024.pem 2048
Aber das nur nebenbei, ich denke das beste ist es wenn du das so machst wie du es schon geschrieben hast.
Klasse, das ist nett von dir.
Grüsse,
UE