[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Opnsense:
- "sichereres" OS: HardenedBSD
- moderne GUI
- wireguard schon eingebaut (pfsense bald auch), Zerotier auch
- häufige Updates
- schon länger stabil auf BSD 12 Basis
- mehr IDS/IPS Möglichkeiten: suricata, mailtrail, Sensei
- ...?

Pfsense:
- pfblockerNG (!!)
- bessere IDS/suricata Einbindung (Darstellung der alerts)
- wohl größere Nutzerbasis
- ...?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Docs helfen im ersten Link sind eher was für jemanden der von irgendwas auf pfSense umsteigt als für blutige Grünschnäbel. Falls wer solche Tutorials kennt, keine Scheu. Nur her damit :)

Was "vs." angeht sehe ich die Langsamkeit mit Updates teils als Vorteil. Schon alleine, wenn man sich anschaut was mit FreeBSD alles los war zwischen 12.0 und 12.3, muss man das nicht gleich zeitnah mitnehmen. 2.5 fängt dann imho auch mit 12.3 an.
pfBlockerNG soll aber wohl das Killerupgrade sein :) und wertet die Soft für die meisten Anwender ums Doppelte auf ;)

Unter System->Package Manager->Available Packages ist Suricata sehr wohl zu finden?
Oder auch:
 
Ja, das stimmt. Meiste mach ich mittlerweile eh ueber die Searchbar.
 
Nutze seit mehreren Jahren pfsense bei verschiedenen on-prem Installationen und bin eigentlich auch total zufrieden. Wobei mir der neue Weg seitens Netgate nicht wirklich zusagt. Naja, mal abwarten und Tee Trinken. Evtl. muss ich doch mal opensense testen. Wobei der pfblockerNG doch ein wichtiger Faktor ist.

TNSR klingt auf den ersten Blick auch interessant. Nur schreckt mich dieser Punkt an der kostenlosen homelab Edition ab:
Access to available newer versions of Home+Lab requires a new registration and installation, or upgrade to TNSR Business to enable in-place updates without having to reinstall the software. Upgrade not required for continued use of Home+Lab, see the TNSR FAQ and TNSR documentation for more details.
 
Wenn ich heute neu mit einer Firewall im privaten Anfangen würde, würde ich pfsense nicht mehr anpacken sondern direkt OPNsense nehmen. Die Entwicklungsgeschwindigkeit ist seit TNSR ein Witz wie man an Version 2.5 sieht und mit der Spaltung zwischen Community und Business wird die CE-Version sicherlich nicht besser entwickeln. Die Vorteile wurden teilweise schon mehrfach genannt:
  • Schnellere Entwicklung
  • Aktuelleres OS bzw. allgemein aktuellere Software im Unterbau
  • Nicht so toxische Community, wenn man mal das Produkt kritisch hinterfragt oder vergleicht
Ich werde meine pfsense wohl bald auch in Rente schicken und auf OPNsense umsteigen. Solang man nicht irgendein Feature aus pfsense dringend benötigt, dann würde ich pfsense nicht mehr nutzen bzw. damit anfangen.

Um pfblockerng zu ersetzen werde ich vermutlich ein dediziertes PiHole mit unbound nutzen müssen, welche die DNS Filterung macht. IP-Block-Listen kann man ja auch über OPNsense importieren. Aber dann hat man auch einen soliden Ersatz für pfblockerng.
 
Sophos als Alternative im Home sieht hier keiner als Option? Gibt's hier eigentlich auch einen Sammelthread zu? :-)
 
Sophos als Alternative im Home sieht hier keiner als Option? Gibt's hier eigentlich auch einen Sammelthread zu? :-)
Nutze ich (noch). Aber die UTM wird wohl seit längerem nicht mehr wirklich gepflegt / weiterentwickelt (?), wohl nur noch die Sophos XG (Gibt es auch als Home), die ich aber fürchterlich in der Usability etc. finde. Rest ist Cloud etc. - Immer ein Geschmäckle mit Backdoors.
Werde wohl die nächsten Monate bis zum Sommer auch mal auf OPNsense wechseln (Bin seit Herbst dran, aber leide an schwerer Fauleritis).

Sammler gibt es btw. auch: https://www.hardwareluxx.de/community/threads/sophos-utm-sammelthread.955058/
 
Du gehst meiner Meinung nach zu sehr davon aus, dass die Plus-Version irgendwann kostenlos verfügbar sein wird. In meinen Augen ist das etwas zu optimistisch aber das wird man noch sehen. Meine Prognose wäre folgende:
  • pfsense CE stirbt über kurz oder lang, da es genug Community-Projekte gibt und der Source-Code vom Web-Interface echt zum kotzen ist und komplett neu gemacht werden müsste
  • pfsense Plus wird stetig weiterentwickelt, da man hiermit nun wieder mehr Geld verdienen kann
  • pfsense Plus wird nie in einer nennenswerten Version kostenlos verfügbar sein, maximal hart gegängelt (z.B. maximale Anzahl an Geräten, Geschwindigkeit etc.)
Meiner Meinung nach hat der Unternehmen kein Interesse an einer Community-Version, weil diese kein Geld bringt. Wieso sollte man dann eine kostenfreie Version raus bringen?

In der aktuellen pfsense-Version müssen sie etwas kostenfreies rausbringen, weil es halt OS ist und sie nicht die Möglichkeit haben, hier härter durchzugreifen. Daher ja der Cut.
 
Für die, die kein Geld ausgeben wollen, gibt es ja genug andere aktive(re) Projekte. Sei es nun Closed oder Open Source (OPNsense, Sophos, IPFire usw.). Man muss ja nicht zwanghaft an pfsense festhalten
 

Weniger Gefrickel, besseres UI, kein root, schlanker von Ressourcen her. Update via Webiface sind so offensichtlichsten Vorteile.

Waren viele skeptisch, aber nen Container ist schnell aufgesetzt und ausprobiert.
 
@oNyX`: Dumme Frage bzgl. AdGuard ohne nun zu weit ins Offtopic zu gehen: Kann ich problemlos von Hand DNS-Rewrites platzieren? Habe z.B. einige Domains die ich intern anders auflösen möchte als extern. Die habe ich in meinem internen unbound manuell überschrieben.
 
Ich würde:
1. Den adguard oder pihole als Standard DNS Server per DHCP verteilen
2. Als upstream DNS Server in adguard/pihole den unbound eintragen

PS in jedem Falle scheint adguard DNS rewrites zu ermöglichen, gibt jedenfalls GUI dafür.
 
Zuletzt bearbeitet:
Es gibt einen neuen Blog Post, der die Veränderungen mit pfSense+ genauer beschreibt. Demnach wird man weg von php und hin zu einem GUI in Go gehen und, um eine bessere Modularität zu erzielen, eine Middleware basierend auf Clixon einsetzen, welche man so auch schon bei TNSR einsetzt. Basis bleibt damit wenig überraschend FreeBSD.
TNSR hat derzeit noch gar keine GUI, da kann man höchstens den HTTP-Server für die REST-Schnittstelle zu Clixon aktivieren. Glaube auch nicht, das Netgate ein Frontend in Go entwickeln wird, das wird garantiert nur im Backend eingesetzt werden, mit node.js/React Frontend in JavaScript. Aber auch das ist eine Verbesserung von PHP.

Die Angst, pfSense+ würde kostenpflichtig werden, wird einem jedenfalls genommen:
and we plan to make the licensing of pfSense Plus completely free for home, hobby, and lab use.
Also dasselbe Prinzip (nicht ganz) wie bei TNSR, free for home, hobby und lab use ohne Commercial Einsatz.
 
Schade. Dachte wenn sie sich schon so aufstellen, dann nehmen sie Rust und nicht Go. Aber ok. Der Einstieg in Rust ist am Anfang halt ungleich mühsamer. Dafür nachhaltig...

Rust ist mittlerweile ein Sicherheitsmerkmal :) Das hätte dem pfSense-Projekt ausgezeichnet gestanden.
 
Schade. Dachte wenn sie sich schon so aufstellen, dann nehmen sie Rust und nicht Go. Aber ok. Der Einstieg in Rust ist am Anfang halt ungleich mühsamer. Dafür nachhaltig...

Rust ist mittlerweile ein Sicherheitsmerkmal :) Das hätte dem pfSense-Projekt ausgezeichnet gestanden.
Wo hängt Golang da hinterher ? Kenne Rust nicht, kenne aber Golang.
 
Natürlich ist Rust sicher auch eine tolle, neue Programmiersprache.
Golang ist jedoch ebenfalls extrem beliebt und hat einige, interessante Konzepte.
Es ist auch nicht Alles aus Gold und glänzt, was aus fefe's Mund kommt.
Gerade sein dauerhaftes Cisco-Gebashe nervt irgendwann nur noch, ja wir wissens, Cisco ist kacke,...
Hinter Golang steckt Google, eine Tech-Größe, die eher weniger durch Pfusch, altmodische Ideen oder Dogmata bekannt ist.
Wobei Google natürlich auch nicht immer Glanznummern hervorgebracht hat...
 
Wo hängt Golang da hinterher ? Kenne Rust nicht, kenne aber Golang.

Ich möchte nur kurz Klugscheißen und darauf hinweisen, dass die Sprache "Go" heißt und die Domain nur deswegen "Golang" heißt, weil "Go" nicht verfügbar war und es um eine programming language handelt.
Beitrag automatisch zusammengeführt:


Und was willst du damit nun sagen/mitteilen?
 
@Shuterfly
Was wolltest du fragen? Bei mir sind die femininen Züge ziemlich unterentwickelt weswegen ich mich mit dem ganzen unterschwelligen oder rhetorischen Mumpitz meist recht schwer tue.

@sch4kal
Dein Argument war, es kommt ja von Googel?
Wenn es extrem beliebt ist müsste ich auf der Platte irgendwas in Go haben. Bin mir grad unsicher ;)
 
@sch4kal
Dein Argument war, es kommt ja von Googel?
Wenn es extrem beliebt ist müsste ich auf der Platte irgendwas in Go haben. Bin mir grad unsicher ;)
Geh nochmal in dich und hinterfrage einfach deine ursprüngliche Aussage „Rust ist sicherer als Go, warum haben die Netgate Devs nicht besser Rust genommen“ was eben einfach quatsch ist. Eine Sprache ist nie per se sicher, das sagt dir jeder fähige Entwickler. Das hängt zum größten Teil nämlich vom Code ab, den der Dev da runter programmiert. Man kann auch sicheren C Code schreiben, genau so wie unsicheren Java oder Rust Code. Nur weil ich Rust verwende, heißt das nicht automatisch, der Code wäre sicher. Das sagt übrigens auch fefe in einem deiner zitierten Links. Im Umkehrschluss gilt auch, nur weil Netgate lieber Go verwendet, muss das nicht schlechter oder besser sein als Rust.
 
@Shuterfly
Was wolltest du fragen? Bei mir sind die femininen Züge ziemlich unterentwickelt weswegen ich mich mit dem ganzen unterschwelligen oder rhetorischen Mumpitz meist recht schwer tue.
Okay, ich formuliere es für dich aus: Was willst du uns mit diesen Links nun sagen? Spiegeln diese deine Meinung wieder? Willst du auf irgendwas spezielles darin hinweisen? Willst du Werbung für fefe machen? Stimmst du ihm zu? Redest du nur sein Zeug nach?

Ein bisschen mehr Kontext wäre schön als einfach nur einen Link bzw. drei zu posten.

Persönliche Meinung: Nur weil Herr von Leitner sich nun zu Rust äußert und seine persönlichen Probleme damit mitteilt, muss es ja nicht sein, dass es auch deine Probleme sind. Gerade weil der Mann einen Hang zu Übertreibungen, Polemik und Engstirnigkeit hat. Immerhin will er ja mit seinem Blog auch irgendwo unterhalten. Daher wäre mehr Kontext hilfreich, weswegen du genau die Links postest ;)
 
Zuletzt bearbeitet:
Okay, ich formuliere es für dich aus: Was willst du uns mit diesen Links nun sagen? Spiegeln diese deine Meinung wieder? Willst du auf irgendwas spezielles darin hinweisen? Willst du Werbung für fefe machen? Stimmst du ihm zu? Redest du nur sein Zeug nach?

Ein bisschen mehr Kontext wäre schön als einfach nur einen Link bzw. drei zu posten.
Das lese, aber auch sehe ich es oft selbst ein, daß man irgendetwas dazu schreiben sollte, weil Leute keinen eindeutigen Kontext hinter einem Link finden. Das ist oft so, daß dies auch wirklich stimmt. Genauso oft passiert aber, daß man eine andere Meinung hat, den Kontext schon sehr wohl verstanden hat, aber da irgendwas dran nicht gefällt, man das als Stilmittel in die Diskussion reinbringt, um einen scharfen Ball dem Gegenüber zu spielen. Die einzig richtige und kontextbezogene :) Frage dazu lautet: Sind wir hier alle nicht viel zu klug für solche Gauklertricks?

Daß es dabei fefe getroffen hat lag am Fall. Einerseits beschreibt der erste Link sehr gut die Natur der Sache, andererseits erzählen die beiden folgenden Links, daß nie alles einfach nur Gold ist. Aus dem gleichen Munde. Nur das hat meine schnelle Wahl entschieden. Wie oben aber, könnte man sich objektiverweise aber auch das selbst denken. Es liegt halt an der Einstellung und ob man sich beim Überlegen nicht nur zu gern selbst im Weg steht.

@sch4kal
Nein. so einfach ist das mit dem O-Ton nicht. Rust ist nicht sicherer. Es ist damit einfacher bzw. weniger mühsam sicherer zu werden. Das ist alles. Wenn ich aber einfach nur ein Verfechter wäre, hätte ich die 2 anderen Links wohl ausgelassen ;)
 
Da wir hier aber ohnehin nur über eine neue Management-Oberfläche sprechen, ist es für den Enduser ohnehin irrelevant, ob das nun in PHP, JavaScript, Rust, Golang, TCL/TK oder direkt in Assembler geschrieben ist.
Die eigentlich sicherheitsrelevante Software darunter ändert sich nicht, pfSense wird weiterhin pf verwenden, weiterhin FreeBSD als Basis nutzen, weiterhin Strongswan für IPSec, Unbound als Standard DNS usw.
 
Demgegenüber, ist dein letzter Beitrag natürlich zu 100% richtig.

Ah so. Kurze Durchsage von neben an: Wenn man da nichts selbst hinterher hineinprimmelt, gibt es kein sudo auf einer pfSense Kiste.

Für OPN hoffe ich, daß sie ebenfalls nicht so blöde waren...
Wie das mit der IPFire Distri ist weiß ich grad nicht... >:-)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh