Migration von IPCOp zu IPFire

Post Reply
ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Migration von IPCOp zu IPFire

Post by ChrisK » November 5th, 2018, 11:52 am

Hallo zusammen,

nachdem IPCop nun offiziell für tot erklärt wurde, will ich schleunigst mit den noch verbliebenen Systemen möglichst nahtlos zu IPFire migrieren.
Im Inet habe ich nur veraltete oder unvollständige Infos zu dem Thema gefunden, daher hier meine Anfrage:

- Gibt es mittlerweile ein HowTo für den Umstieg? Wenn ja, was wird dort berücksichtigt?
- Kann ich vorhandene OpenVPN- und IPSec-Verbindungen übernehmen oder müssen diese neu eingerichtet werden?
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
- Was geht definitiv nicht an Funktionalität was der IPCop hatte?

Vielen Dank schonmal für die Antworten.

VG
Christian

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: Migration von IPCOp zu IPFire

Post by Alternarivende » November 7th, 2018, 3:39 pm

Hallo,
das wird dann aber langsam Zeit mit dem Umstieg. Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.

Ich habe es damals so gemacht und auch nicht bereut. So viel Arbeit war das insgesamt auch nicht.

Ob etwas fehlt? Ich vermisse nichts, im Gegenteil, bin sehr zufrieden mit der Stabilität und Funktionalität.

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: Migration von IPCOp zu IPFire

Post by ChrisK » November 7th, 2018, 3:46 pm

Danke für deine Antwort. Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Wenn ich das bei den OpenVPN/IPSec-Sachen irgendwie vermeiden kann, wäre das schon die halbe Miete.
Alles andere bekomme ich "nachgebaut" ohne Dritte mit einbinden zu müssen.

Vielleicht hat ja jemand noch ein paar konkretere Tipps für mich ob, wie und was ich migrieren kann.

Danke und VG

ummeegge
Community Developer
Community Developer
Posts: 4993
Joined: October 9th, 2010, 10:00 am

Re: Migration von IPCOp zu IPFire

Post by ummeegge » November 7th, 2018, 4:02 pm

Hallo zusammen,
mal zu folgendem Punkt
ChrisK wrote:
November 5th, 2018, 11:52 am
- Was ist mit "custom rules" in den IPTables? Ich habe hier bspw. 1:1 NAT-Einträge drin, ist sowas auch mit IPFire möglich?
Ein NETMAP wurde hier --> viewtopic.php?f=16&t=17313 mal positiv getestet und kann ganz gut via CUSTOMregeln mittels firewall.local --> https://wiki.ipfire.org/configuration/f ... wall.local zu Fuss (CLI) gemacht werden.

Wegen OpenVPN ein paar Info´s: IPFire ist derzeit bei OpenVPN-v2.4.6 es gab einige Änderungen mit dem Versionsprung von der 2.3.x auf die 2.4er. Ich weiss nun nicht wie das beim Cop/bei_dir aussieht (client.ovpn´s ?), aber es kann sein das es da Probleme geben könnte. Der Fire spielt z.b. nur noch ungern bei CA´s mit z.b. --ns-cert-type´s oder MD5/SHA1 mit und gibt Warnungen aus (Meckert), für z.b. 1024 bit DH-Parametern gilt das selbe...

Da ich den Cop leider nie genutzt habe kann ich zur Migration leider nicht so viel sagen aber ein paar erweiterte Infos sind ja vielleicht brauchbar.

Grüssle,

UE
Image
Image

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: Migration von IPCOp zu IPFire

Post by zargano » November 7th, 2018, 6:42 pm

ChrisK wrote:
November 7th, 2018, 3:46 pm
Leider ist "einfach alles neu machen" leichter gesagt als getan. Ich habe hier 50+ OpenVPN-Einträge und ca. 10 IPSec-Tunnel.
Das alles neu zu machen ist ein immenser kommunikativer Aufwand mit den Admins der Gegenseiten, zumindest bei den Tunneln...
Das ist sicher ein valider Punkt, aber...
Alternarivende wrote:
November 7th, 2018, 3:39 pm
Ich persönlich würde dir empfehlen alles neu zu machen und keinen Ballast mit rüber zu nehmen.
...so bin auch ich vorgegangen und habe es nicht bereut.

Grüße, zargano

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: Migration von IPCOp zu IPFire

Post by ChrisK » November 13th, 2018, 12:32 pm

Hallo zusammen,

vielen Dank für euer Feedback. Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn.

@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.

Ich denke ich habe nun einen ganz guten Plan: Ich werde die neuen Systeme parallel aufsetzen und nach und nach die IPSec-Tunnel und OpenVPN-Verbindungen "umziehen". Bis alles umgezogen ist, gibt es auch den IPCops dann eben ein paar zusätzliche static routes die auf die neuen Systeme zeigen. Wenn alles umgesetzt, können die Altsysteme heruntergefahren werden.

Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.

VG
Chris

ummeegge
Community Developer
Community Developer
Posts: 4993
Joined: October 9th, 2010, 10:00 am

Re: Migration von IPCOp zu IPFire

Post by ummeegge » November 13th, 2018, 1:03 pm

Hallo zusammen,
ChrisK wrote:
November 13th, 2018, 12:32 pm
@ummeegge: Danke für den Tipp mit den 1:1 Rules, das wird mir definitiv helfen.
freut mich das dir dass weiterhilft.
ChrisK wrote:
November 13th, 2018, 12:32 pm
Das Problem mit den DH-Schlüssellängen <=1024 und OpenVPN kenne ich bereits, wahrscheinlich wird das 2/3 der bestehenden OpenVPN-Profile bei uns betreffen. Von daher macht eine Migration der OpenVPN-Accounts wohl keinen Sinn
Der DH-Parameter sollte nicht das Problem sein da er nur Serverseitig vorliegt und du ihn auch nur da austauschen musst, der Name muss aber immer gleichbleiben (dh1024.pem sind noch Altlasten) aber du kannst dir einen neuen entweder über das WUI generieren was ich aber wahrscheinlich nicht machen würde da es lange gehen kann mit der Generierung, du kannst ihn dir auch auf einer externen Maschine mit mehr Power generieren und dann mittels WUI hochladen (mach ich immer so). Kommandos wären dann

Code: Select all

openssl dhparam -out dh1024.pem 2048
wobei 3072 und auch 4096 bit beim hochladen über das Webinterface akzeptiert werden.
Aber das nur nebenbei, ich denke das beste ist es wenn du das so machst wie du es schon geschrieben hast.
ChrisK wrote:
November 13th, 2018, 12:32 pm
Ich werde hier dann mal meine Erfahrungen berichten, vielleicht hilft es ja jemand anderem.
Klasse, das ist nett von dir.

Grüsse,

UE
Image
Image

Post Reply