Ausfallsichere OPNsense-Firewall für Koller International Group

25.04.2024

 

Erneuerung der Hardware und Implementierung eines redundanten OPNsense Clusters über die Landesgrenzen hinaus

Die Firma Koller International Group mit Hauptsitz in Vitis, Österreich, ist in verschiedenen Geschäftsbereichen tätig, wie der Produktion von Whirlpool-Komponenten, Metall- und Kunststofftechnik sowie Holzprodukten für Geschäfts- und Privatkunden.

Die neueste Innovation von Koller International Group sind Outdoor Spa`s  und Hot Tub`s für eine wohlige Entspannung im Außenbereich.

Neben dem Stammwerk in Vitis gibt es zwei weitere Niederlassungen in Wien und in Jindrichuv Hradec (Tschechische Republik).

Die bestehende Firewall-Lösung war in die Jahre gekommen, und deren Hersteller hatte für die eingesetzten Geräte End of Support bzw. End of Life angekündigt. Koller International ist langjähriger Kunde von Siedl Networks und beauftragte den IT-Dienstleister aus Krems an der Donau im April 2022 mit der Planung und Implementierung einer neuen Firewall-Lösung.


Die Herausforderung...

Gewünscht war eine leistungsfähige State-of-the-Art-Firewall auf Multi-GBit-Niveau, ausfallsicher vom Internet bis zum Client. Im Anforderungskatalog standen die Punkte „Redundanz" und "Kontinuität“ an oberster Stelle: Bei einer Störung oder einem kompletten Ausfall der Internetleitung sollten alle wichtigen Dienste wie E-Mail, VPN, etc. weiter funktionieren.

Alle Niederlassungen, auch die Außenstandorte in Wien und Tschechien, müssen redundant angebunden sein. Das Failover muss im Störungsfall schnell und automatisch mit minimalen Umschaltzeiten erfolgen, um einen unterbrechungsfreien Betrieb des Netzwerkes zu gewährleisten. Natürlich sollte das Zurückschalten in den Normalbetrieb auch automatisch erfolgen, sobald die Störung behoben ist.

Auf der Wunschliste stand ebenfalls eine sichere VPN-Verbindung für Remote Worker. Die Mitarbeitenden sollen von zu Hause oder unterwegs sicher auf das Unternehmensnetzwerk zugreifen und vertrauliche Informationen geschützt übermitteln können.

Die Lösung...

Siedl Networks realisiert digital souveräne IT-Infrastrukturen mit Open-Source-Technologien und in diesem Fall empfahlen die Techniker aufgrund der erfolgreichen Erfahrungen in mehreren Kundenprojekten eine Open-Source-Lösung: OPNsense.

Nach einer ausführlichen Recherche entschieden sich die Techniker von Siedl Networks, an jedem Standort zwei Geräte mit OPNsense einzurichten. Am Standort Vitis kommunizieren die beiden Geräte miteinander – fällt eines aus, übernimmt das andere automatisch, ohne dass ein Administrator manuell eingreifen muss. In Wien und Tschechien waren Cold Standby Lösungen gewünscht. Im Fehlerfall muss der Administrator manuell die 2. Firewalls in Betrieb nehmen.

Bei der Planung stellte sich heraus, dass neben den OPNsense® Rack Security Appliances auch neue Core-Switches am Standort Vitis erforderlich waren. Bei den bisher eingesetzten Switches gab es nicht nur Kompatibilitätsprobleme, sondern die älteren Geräte unterstützten nicht alle benötigten Protokolle.

Das WAN-seitige Routing, um die Kommunikation zwischen verschiedenen Standorten und Netzwerken zu ermöglichen, war komplex. Damit eine WAN-seitige Redundanz hergestellt werden konnte, wurden zwei Glasfaseranschlüsse von unterschiedlichen Providern und auch Netzbetreibern (eine A1-Leitung und eine Nögig-Leitung) eingesetzt.

 

Schriftzug OPNsense

OPNsense ist eine auf FreeBSD basierende Firewall-Distribution mit Unterstützung für Firewall-Regeln, VPN, Intrusion Detection und Prevention System (IDPS), Proxy-Server, Load Balancing, Traffic Shaping und mehr. Die benutzerfreundliche grafische Oberfläche vereinfacht die Administration. OPNsense verfügt über zahlreiche Plugins, die eine modulare Erweiterung der Firewall ermöglichen. Es wird von einer aktiven Entwicklergemeinschaft und einer engagierten Community unterstützt.

Website: https://opnsense.org/

 

 

 

Was ist BGP?

Das Border Gateway Protocol findet die besten Wege für den Datenverkehr zwischen den Autonomen Systemen im Internet und sorgt für die Stabilität des Netzes, indem es garantiert, dass sich Router an Routenausfälle anpassen können: wenn ein Pfad ausfällt, wird schnell ein neuer Pfad gefunden. BGP trifft Routing- Entscheidungen auf der Grundlage von Pfaden, die durch Regeln oder Netzwerkrichtlinien definiert sind, die von Netzwerkadministratoren festgelegt wurden.

 

Damit im Falle eines Ausfalles der primären Internetleitung dennoch alle Services zur Verfügung stehen, wird nun ein via BGP (Border Gateway Protocol) geroutetes Subnetz verwendet, welches im Fehlerfall über den Backup-Provider gerouted werden kann.

Weiters war die Gestaltung eines voll vernetzten (Full-meshed), ausfallsicheren VPN sehr anspruchsvoll. Hier waren im Vorfeld umfangreiche Tests und einige Entwicklungsarbeit notwendig. IPsec war für das geplante Setup unbrauchbar, OpenVPN bot zu wenig Bandbreite, und Wireguard war zu diesem Zeitpunkt noch nicht gut genug in OPNsense integriert.

Die Techniker entschieden sich daher für tinc VPN (Full Meshed auf Layer 2, d.h. das VPN simuliert die gesamte Netzwerkschicht und die verschiedenen Geräte und Standorte erscheinen als Teil eines einzigen lokalen Netzwerks). tinc VPN ist effizient und ressourcenschonend, was die Netzwerklatenz minimiert und sicherstellt, dass die VPN-Kommunikation effizient und mit minimalen Auswirkungen auf die Netzwerkressourcen stattfindet.

 

Die Umsetzung ...

Nachdem die Planungsphase abgeschlossen war, begannen die Techniker von Siedl Networks im Juli 2022 mit den Tests im eigenen Labor. Sie stellten die Kundennetzwerke nach, konfigurierten die Hardware und führten zahlreiche Ausfalltests durch. Das ist effizient und verkürzt die Installationszeit. Nach rund 10 Tagen waren alle zufrieden – jetzt konnte die Implementierung bei Koller International beginnen. Innerhalb weniger Tage stellten die Techniker die Standorte in Tschechien, Wien und Vitis um.

Die OPNsense-Cluster mit Session Sync ermöglichen ein Stateful Failover bei einem Hardwareausfall. Jede Firewall ist redundant über das Link Aggregation Control Protocol (LACP) an einen neuen Switch-Stack (2 mal 10 GBit) angebunden, und jeder Server ist ebenfalls redundant über LCAP mit dem Switch-Stack verbunden. Die Client-Switches sind in einem RSTP-Ring mit dem Switch-Stack verbunden. Diese Ringtopologie ermöglicht redundante Verbindungen, die den Datenverkehr auch dann weiterleiten können, wenn eine der Verbindungen oder ein Switch ausfällt.

 

Philipp Sprung, Sales & Account Manager bei Siedl Networks GmbH und Helmut Hieß, Leiter IT bei Koller International Group

Als Intrusion Detection and Prevention System (IDPS) kommt Suricata zum Einsatz, eine der Kernkomponenten von OPNsense. Das Netzwerküberwachungstool analysiert den Netzwerkverkehr in Echtzeit, kann Bedrohungen und Angriffe erkennen und darauf reagieren. Suricata kann den Netzwerkverkehr filtern, bestimmte Verbindungen blockieren oder Alarme auslösen, um Administratoren über verdächtige Aktivitäten zu informieren. Dazu kommen Funktionen wie Traffic Logging, Protocol Analysis, Flow Monitoring etc.


Das Fazit ...

Die neue Firewall mit OPNsense ist leistungsstark und ausfallsicher. Sie ermöglicht den reibungslosen Betrieb aller Standorte - auch bei einer Unterbrechung der Internetleitung. Auch das vollautomatische Failover erfüllt alle Ansprüche. Alles ist so konfiguriert, dass Ausfallzeiten auf ein Minimum reduziert werden können. Dank der intelligenten Konfiguration schaltet die Firewall automatisch in den Normalbetrieb zurück, sobald eine Störung behoben ist.

Siedl Networks hat die Herausforderung gemeistert – durch die neue State-of-the-Art Lösung ist die Koller International Group nun optimal geschützt und kann ihre Geschäftsprozesse ohne Sicherheitsbedenken fortsetzen.


SUCCESS STORY Koller International Group (PDF Download)

 

Beitrag drucken
 
 

 

Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 
Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr


Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

+43 2732 71545-0
office@siedl.net
support@siedl.net
 

Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr

 

Für Fragen steht Ihnen unser Team zur Verfügung.

mail
Telefon: +43 2732 71545-0

 +43 2732 71545-0 

facebook
teamviewer support

 +43 2732 71545-0