11-3-2025

Voor het beheren en monitoren van klantomgevingen gebruikte een van onze opdrachtgevers IPSEC VPN om een veilige verbinding met klantnetwerken te realiseren. Dit begon met een fysieke Juniper SRX-oplossing, later vervangen door het virtuele Juniper vSRX platform. Omdat het Juniper platform niet langer voldeed aan de strenge securityeisen van onze klant, werd ons gevraagd mee te denken over een andere invulling. Ons advies: kies voor een migratie naar OPNsense. De combinatie van flexibiliteit, lage kosten en de ondersteuning van open-source technologie maakte het een aantrekkelijke oplossing. In deze blog delen we onze ervaringen met de migratie, inclusief een overzicht van de belangrijkste stappen, uitdagingen en voordelen.

Onze aanpak

Voordat we met de migratie begonnen, hebben we eerst de verschillen tussen Juniper en OPNsense in kaart gebracht. Dit gaf ons een duidelijk beeld van de configuratiewijzigingen die nodig waren. Vervolgens hebben we een uitgebreide analyse uitgevoerd van de bestaande configuraties op het Juniper-platform. Dit hielp ons bij het nauwkeurig vertalen van de instellingen naar OPNsense. In deze fase hebben we ook de bestaande VPN-tunnels, toegangsregels en versleutelingsmethoden vastgelegd.

Met deze gegevens op zak hebben we een testomgeving opgezet waarin we de configuraties stapsgewijs konden repliceren en testen. Dit gaf ons de mogelijkheid om potentiële problemen vroegtijdig te identificeren en op te lossen. Zodra we voldoende vertrouwen hadden in de stabiliteit van de configuratie, zijn we begonnen met het migreren van de bestaande verbindingen van Juniper vSRX naar OPNsense. Tijdens dit proces hebben we ervoor gezorgd dat de versleuteling van de IPSEC-verbindingen optimaal was ingesteld, afgestemd op de mogelijkheden van de klantrouter. Dit stelde ons in staat om een goede balans te vinden tussen beveiliging en compatibiliteit.

Uitgebreid testen

Tijdens de migratie stuitten we op verschillende uitdagingen die een grondige analyse en aanpassingen vereisten. Een van de eerste obstakels was de overstap van route-based naar policy-based VPN. Hierdoor werkten enkele netwerkroutes niet meer zoals ze op het Juniper-platform functioneerden. Dit probleem hebben we opgelost door extra fase 2-tunnels toe te voegen, waardoor de routing correct werd afgehandeld.

Daarnaast ontdekten we dat OPNsense dynamisch request-ID’s (reqid) toewijst aan fase 2-tunnels. Dit leidde soms tot overlap tijdens het vernieuwen van tunnels (rekeying), waardoor een van de verbindingen na een rekey-moment niet meer functioneerde. Volgens de documentatie zouden reqid’s incrementeel moeten worden verhoogd, maar dit bleek niet altijd betrouwbaar te werken. Na uitgebreid testen en troubleshooting hebben we de oplossing gevonden in het statisch toewijzen van reqid’s per tunnel.

Een ander probleem ontstond bij keying retries. Standaard stopt OPNsense na één mislukte poging met het opnieuw opzetten van de tunnel. Dit was problematisch in situaties waarin een verbinding werd opgezet met een router met een instabiele internetverbinding. Door de instelling te wijzigen naar onbeperkt herproberen, konden we dit probleem ondervangen en de verbindingen betrouwbaarder maken.

We merkten ook dat IPSEC-tunnels bij Juniper automatisch opnieuw werden opgezet na routeronderhoud, terwijl dit bij OPNsense niet standaard het geval was. Om dit op te lossen, hebben we in de fase 1-configuratie een Dead Peer Detection delay toegevoegd en in de fase 2-configuratie de start-, sluit- en DPD-acties aangepast. Hierdoor herstellen de tunnels nu automatisch na onderhoud.

Tot slot ontdekten we dat het via de OPNsense GUI niet mogelijk was om een specifieke fase 2-tunnel opnieuw op te starten. Dit bleek echter wel mogelijk via de CLI met behulp van swanctl. Hoewel dit geen dagelijkse beheeractie is, was het waardevolle kennis voor uitzonderlijke situaties, bijvoorbeeld bij instabiele internetverbindingen bij klanten.

Eenvoud in beheer
Na implementatie bleek OPNsense niet alleen stabiel en veilig, maar ook eenvoudiger te beheren. De bovengenoemde uitdagingen toonden de verschillen in configuratie en beheer tussen Juniper en OPNsense. Met grondig onderzoek en aanpassingen hebben we een stabiele en werkbare oplossing weten te realiseren. Daarnaast heeft het geholpen operationele kosten te verlagen en tegelijkertijd de flexibiliteit voor onze opdrachtgever te vergroten.

Migreren van Juniper naar OPNsense vraagt om een zorgvuldige voorbereiding, maar levert uiteindelijk aanzienlijke voordelen op. Door een testomgeving in te richten en de verschillen tussen de platforms te begrijpen, kun je de overgang soepel laten verlopen.

Wil je meer weten over onze aanpak? Neem contact met ons op!