[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
@fdiskc2000
Naja... Die RAM-Menge alleine als Angabe ist denke ich nicht SO wichtig. CPU und Datenträger sind interessanter ;) Wobei, ehrlich gesagt, im Idle tun sich bei den CPU-Modellen einer Platform leider nicht so die Welten.
Ob ein System mit einer 45W CPU im idle ist oder mit einer 80W, sieht man zu allermeist nicht am Verbrauch.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
R210II ;) Ohne "II" ist das in der Tat schon kleinwenig betagt. Grad was Energieeffizienz angeht.


Darum ging es ja nicht. Ein Unterschied von 3.75x (45 zu 12) kommt da trotzdem wohl kaum bei raus oder? Und die Lüfter, wie gesagt, mit einem 1220Lv2 und einer WDgreen SSD, kann man auf "minimal" stellen. Kann man auch beim T20, aber dann eben lässt sich der Unterschied mit/ohne Lüfter an der Steckdose nur mit >100€ Equipment messen.


Ah... Schön. Du hast bestimmt geschaut was sie aus der Steckdose zog (?) :)

Was er aus der Steckdose zog kann ich Dir leider nicht sagen, aber bei 5 Systemen an der USV (bevor die zu mir gewandert sind) lag die Last laut USV bei gut 400W - alle waren mit 1HDD, 4x2GB RAM und CPU ausgerüstet - im 24/7 Dauerlauf mit W7 als Systeme in der Produktionsüberwachung... - daher auch sicher nicht auf Energieoptimiert oder "low"
 
Ich persönlich finde die Sophos UTM wesentlich ergonomischer in der Bedienung. Die Beschränkung auf 50 IP-Adressen (V4 und V6 zählen "doppelt") ist in Enthusiasten-Kreisen lästig, wenngleich Umgehung möglich ist.
IPFire teste ich derzeit, die ist auf Linux basierend. In der GUI ist das auch sehr simpel gehalten und m.E. "einfacher" zu bedienen als Pf/opn.
Bei Opn erkauft man sich ein deutlich professionelleres System durch Anfänger-untaugliche Komplexität.
Für einen Anfänger mit <25 Geräten ist mE. Sophos UTM die bessere Wahl.
 
Was hältst denn von dem UTM "Nachfolger"? Der ist ja nicht auf 50 Geräte begrenzt.

Ich werde die Tage nochmal einen neuen Versuch mit der Opensense auf meiner ZOTAC machen.
 
@fdiskc2000
Naja... Die RAM-Menge alleine als Angabe ist denke ich nicht SO wichtig. CPU und Datenträger sind interessanter ;) Wobei, ehrlich gesagt, im Idle tun sich bei den CPU-Modellen einer Platform leider nicht so die Welten.
Ob ein System mit einer 45W CPU im idle ist oder mit einer 80W, sieht man zu allermeist nicht am Verbrauch.
Stimmt soweit. Ging auch eher darum das 4 Riegel etwas mehr brauchen als nur 2. Sonst steckt ein E3-1265L v2 drin und nur eine SATA-SSD. Nachträglich kam noch eine X520 dazu, die ist in den 25 Watt eben nicht drin.

@fdiskc2000 bist du dir da sicher? Verwendetes Messgeraet?

Selbst nen Desktop Ivy mit gutem Board und Undervolting hat man kaum unter 20W bekommen, erst ab Haswell wurde es besser.

Der R210II hat kein sonderlich effizientes Netzteil, dazu Deltas, Serverhardware, IPMI etc... Dell selbst gibt mit nem Sandy 43W an, und der Verbrauch von Sandy auf Ivy war kaum anders.

Quelle: https://www.dell.com/downloads/glob...ii_1p_e3-1240_250w_energy_star_data_sheet.pdf
Ne natürlich bin ich mir nicht sicher. Was für eine Frage. :wall: War an einem AVM DECT 200 glaube ich heissen die. Habe die Kiste vor Jahren eben selbst gebraucht für wenig Geld gekauft und mache mir da jetzt wegen 10W auch nicht ins Höschen die man vll. mit neuerer Hardware sparen könnte. Zumal man ja erstmal die neuen Kosten wieder drinhaben muss bevor sich das überhaupt lohnt.
 
persönlich finde die Sophos UTM wesentlich ergonomischer in der Bedienung.

Persönlich sehe ich sowas nicht als Schuh. Einarbetien muss man sich eh erstmal. Dann weiß man wo was ist. Andererseits inteessiert mich Sophos schon sei etlichen Jahren nicht mehr. Deswegen https://blog.fefe.de/?ts=ae66c700
Das interessiert mich nicht die Bohne, daß es um Antivir und nicht UTM geht. Das ist die gleiche Firma mit der gleichen Entwicklerkultur.
Für mich is das schon ein Unding sowas überhaupt in Betracht zu ziehen

Ergonomie… Ja. Das is mit das wichtigste bei security. Und Vertrauen. Viel Vertrauen ist wohl auch sehr wichtig.

Für einen Anfänger mit <25 Geräten ist mE. Sophos UTM die bessere Wahl.
Sophos ist nur eine Wahl, wenn man 3 Tage davor seinen allerersten PC das allererste Mal gestartet hat.

@fdiskc2000 bist du dir da sicher? Verwendetes Messgeraet?

Selbst nen Desktop Ivy mit gutem Board und Undervolting hat man kaum unter 20W bekommen, erst ab Haswell wurde es besser.

Der R210II hat kein sonderlich effizientes Netzteil, dazu Deltas, Serverhardware, IPMI etc... Dell selbst gibt mit nem Sandy 43W an, und der Verbrauch von Sandy auf Ivy war kaum anders.

Quelle: https://www.dell.com/downloads/glob...ii_1p_e3-1240_250w_energy_star_data_sheet.pdf
Uuhmm. Ist das jetzt mit 115V, mit 230V oder ein Schnitt aus beiden Testläufen? Sonst wäre das ja immerhin etwas aus 80plus und 80plus bronze. Und man weiß bis Titanium offiziell nicht wie das bei 10% Last aussieht. Dell gibt's offen an.
'kein sonderlich effizientes" transportiert keine verwertbare Information...
 
Zuletzt bearbeitet:
@fdiskc2000 war kein Angriff weicht nur extrem ab (off. Dell Specs/Reddit Userbase), haette ja auch nen 0815 Supermarktmessgerät sein können das in Lowload Bereich Schrott misst.

@Uhrzeit frag den Dell Support 75-85% (bei nur 250W) ist jedenfalls nicht sonderlich Effizient.
 
Zur Kommentierung von Uhrzeit nur folgendes: Eine simple (ufw, Fritzbox usw.) Firewall mit guten Regeln ist besser als eine umfangreiche und schlecht eingerichtete. Ich würde in meinem Betrieb jedenfalls keine Einrichtung von Uhrzeit-Trollen vornehmen lassen, die offensichtlich keine Ahnung haben. Eine gewisse Offenheit gegenüber eigener Unkenntnis fehlt jedenfalls.

@fard dwalling: tatsächlich noch nicht angeschaut. Mein IT-Leiter hält die XG für schlechter als die alte UTM. Die UTM hat den Nachteil des alten Kernels (=veralteter/ineffizienter Hardwaresupport), läuft aber in meinen Szenarien ohnehin immer in VMs. Würde die IP-Grenze nicht vorgeschaltete Proxies oder gar andere Maßnahmen erfordern, würde ich bei ihr bleiben.
Vor einigen Jahren war ich noch Anhänger von Fortinet, insbesondere wegen des nützlichen Clients, bin aber wegen etlicher blue-screens und anderer Windows-Komplikationen davon weg. Die usability und die Sicherheit fand ich eigentlich recht gut.
 
Zuletzt bearbeitet:
@all
Apropos. Was sagt ihr dazu? 🤪

Zur Kommentierung von Uhrzeit nur folgendes: Eine simple (ufw, Fritzbox usw.) Firewall mit guten Regeln ist besser
Eine Fritzbox, ist/hat keine Firewall.
"Doch NAT als Sicherheitsmerkmal zu bezeichnen ist falsch, irreführend und fahrlässig."

Mit der Simplifizierung ;) sollte man aufpassen. Bei zu viel Ergonomie ist Skepsis der Mittel der Wahl. Sachen die jeder Depp direkt schnallt sind auch hinter den GUIs primär eben für solche gemacht.

Ich würde in meinem Betrieb jedenfalls keine Einrichtung von Uhrzeit-Trollen vornehmen lassen, die offensichtlich keine Ahnung haben.Deinem Betrieb? Wir beide leben eben in zwei verschiedenen Welten. Bei mir auf der Erde sieht man das Thema wohl anders als auf Melmac.

Betriebliche Praxis ist sowieso anders. Das ist bei uns auf der Erde genauso. Man nimmt eine Lösung die teuer genug ist und verkauft sie dem Oberen als eine der besten auf dem Markt und sowas müssen wir auch unbedingt haben. Wenn dieser Crap dann auseinanderfliegt, dann hat man ja nichts falsch gemacht, weil bei soviel Ergonomie kann man sich auch kaum verklicken. Man aht nichts falsch gemacht. Der Hersteller war es.
Man selbst muss für nichts gerade stehen.
Der Typ der den Wurm erst ins Unternehmen eingeschleust hat tut auch weiterhin seine Pflicht: "Selbstverständlich. Ich werde sofort deren Support kontaktieren und zusammenstauchen." 👍Guter Mann. Meist sind es aber gleich mehrere Mittäter die sich dann gegenseitig decken und so ihr Überleben sichern. In Fachsprache "betriebliche Bandenbildung" genannt.
Ich muss aber zugeben, daß wir auf dem Job ebenfalls einige Austausch-Fachkräfte von Melmac haben. Ich löse das wie die anderen erdlinge hier auch. Ich arbeite um sie herum. Leider ist das Ende des Austauschprogramms noch nicht absehbar.

Vor einigen Jahren war ich noch Anhänger von Fortinet, insbesondere wegen des nützlichen Clients, bin aber wegen etlicher blue-screens und anderer Windows-Komplikationen davon weg.
PERFEKT. Warum wundert mich das nicht?
Aber hej, es gab dann einen Patch. Dann ist nun wieder alles gut. Da sind nur Profis am Werk. Wenn ANDERE einen Fehler finden, fixen sie das dann. Macht euch keine Sorgen. Habt Vertrauen.

Ah warte noch kurz: Backdoor in SSH? Wie konnte das nur... Machen wir selbstverständlich auch weg!

[...] und die Sicherheit fand ich eigentlich recht gut.
Natürlich hast du das. Du bist eben Specialist und wenn Specialists etwas gut finden, dann ist das eben gut. Nicht auf die Trolle reinfallen, Leute.

Eine gewisse Offenheit gegenüber eigener Unkenntnis fehlt jedenfalls.
Habt Vertrauen...
 
Zuletzt bearbeitet:
:hmm: - Jedes ungepatchte System ist ein Sicherheitsrisiko.

Und auch der Beitrag im Heiseforum bzgl. der Zyxel/Sense... *gähn*

"nur per Console"... das ist sowas von altbackene Denkweise.
Klar ist es schön, wenn man das per Console machen kann, aber wenn man für den Kollegen ne GUI bekommt, damit der das noch versteht, was man da alles einrichtet, is doch ok.

Wäre auch schön, wenn wir hier nicht so weit vom Thema abschweifen und bei den *sense bleiben, macht doch sonst nen eigenen Thread auf.
--
Hat wer ne Art Fullmesh-VPN mit ner *sense am laufen?
Bin grad am überlegen, das mit meinen Geschwistern aufziehn, weil zumindest bei mir und noch einem Bruder ne Piwigo-Instanz läuft, die ja netterweise auch Bildsync kann.
 
Wie ist das eigentlich mit dem WLAN?
Sollte dies ebenfalls mit in der PFsense sein, oder lieber einzeln lassen.

Meine konkrete aktuelle Konfiguration ist nämlich folgende:
TAE

Speedport Pro Plus: Dieser stellt nur das Internet. WLAN etc. sind komplett deaktiviert. Leider bin ich auf den Router angewiesen, da LTE als Boost genutzt wird.

Fritzbox 7490: WLAN, Netzwerkeinstellungen etc. wird alles über die Fritzbox gemacht.

Mikrotik CSS326-24G-2S+

Endgeräte

Ich würde gerne anstelle der Fritzbox eine richtige Firewall einsetzen und das Netzwerk überwachen. Wie würde das mit dem WLAN gelöst? Sollte an die Firewall ein extra Access Point oder lieber eine All in One Lösung?
 
Ich wuerde immer dazu raten das WLAN mit gesonderter HW aufzuspannen, wenn man sich ne richtige FW bastelt.
 
Einziger wirklicher Grund für den Ersatz der Fritze wäre mE, dass die kein SQM (smart Queue Management, hilft gegen bufferbloat und latency spikes aka "lags") kann.

DNS adblocking kann man ja ganz einfach mit SaaS lösen, zB über NextDNS.io.
 
Falls das nicht auffiel: Ich hab hier keine Vorschläge für Alternativen zu Senses gemacht.

:hmm: - Jedes ungepatchte System ist ein Sicherheitsrisiko.
(Lachkrampf) An dir sind die Punchlines leider völlig vorbeigegangen. Vielleicht... irgendwie... einfacher (?) ausformuliert:
Es ging nicht darum, ob man ein Auto mit Defekten am Bremssystem reparieren sollte, sondern wie oft welche Defekte bei bestimmten Fahrzeugen auftreten und wie schnell man Ersatzteile bekommen kann. Jetzt besser?
Deine Einstellung als Fahrzeughalter, daß wenn konstruktionsbedingt immer wieder mal Bremsscheiben brechen und Bremsklötze sich auflösen, man halt nicht viel Palaver machen sollte, sondern es einfach reparieren, ist imho schon einmalig. Die meisten würden die Automarke wechseln. Und den Hersteller ggf. verklagen... Passiert in der Softwarebranche leider VIEL ZU SELTEN.

Ich schätze das ist ein kognitives Problem (bzw. eher, Drama) Schwierigkeiten auf das zu reduzieren was man am einfachsten zu erklären in der Lage ist. Das wird der Sache leider meist nicht ansatzweise gerecht. Die bessere Lösung ist schon eher sich der Meinung erstmal zu enthalten. Imho.
Auch in dem Beitrag im Heiseforum ging es eigentlich nicht primär um console-only Bedienung. Richtig?

Ok. Dann lasst uns mal wieder dem reinen Topic folgen. Randthemen bringen wohl nicht viel ein...
 
Zuletzt bearbeitet:
Das mit dem Auto ist aber zu einfach dargestellt... - Wenn sich der Unterbau ändert kannst halt auch nix dafür, wenn die Teile dann nicht mehr passen, obwohl Du die immer gleich hergestellt hast.

Aber ich weiß schon, mit Linux wär das nicht passiert...
 
Ist überhaupt nicht zu einfach dargestellt. Der Unterbau in der Analogie ändert sich ja nicht. Du hast es fertig, der Code ist Müll (oder seine Reviews halt) und du hast dann im Feld BESCHÄMENDE Probleme damit.
Und dann tauchen Leute auf und meinen, sie fanden die Sicherheit gut. Weil wohl die GUI viele wichtige Schlagwörter bezüglich Sicherheit enthält. Verstehste? Ok. Endlich. Cool :)

Wireguard v1 war jetzt bei pfSense übrigens genauso eine Nummer. Da hast du aber eben die Chance, daß sich das jemand überhaupt anschauen KANN und viele unangenehme Fragen stellt. Wenns Müll ist. Und die schnelle Einsicht des Erstellers, soetwas direkt wieder zu kicken.
Dasist jetzt nichts löbliches was da ablief, aber wenigstens lässt sich das was security des Produktes angeht, doch noch auf der Pro-Seite platzieren.

Die Senses laufen nicht auf Linux 😜
 
Zuletzt bearbeitet:
@all
Apropos. Was sagt ihr dazu? 🤪


Eine Fritzbox, ist/hat keine Firewall.
"Doch NAT als Sicherheitsmerkmal zu bezeichnen ist falsch, irreführend und fahrlässig."

Mit der Simplifizierung ;) sollte man aufpassen. Bei zu viel Ergonomie ist Skepsis der Mittel der Wahl. Sachen die jeder Depp direkt schnallt sind auch hinter den GUIs primär eben für solche gemacht.



Betriebliche Praxis ist sowieso anders. Das ist bei uns auf der Erde genauso. Man nimmt eine Lösung die teuer genug ist und verkauft sie dem Oberen als eine der besten auf dem Markt und sowas müssen wir auch unbedingt haben. Wenn dieser Crap dann auseinanderfliegt, dann hat man ja nichts falsch gemacht, weil bei soviel Ergonomie kann man sich auch kaum verklicken. Man aht nichts falsch gemacht. Der Hersteller war es.
Man selbst muss für nichts gerade stehen.
Der Typ der den Wurm erst ins Unternehmen eingeschleust hat tut auch weiterhin seine Pflicht: "Selbstverständlich. Ich werde sofort deren Support kontaktieren und zusammenstauchen." 👍Guter Mann. Meist sind es aber gleich mehrere Mittäter die sich dann gegenseitig decken und so ihr Überleben sichern. In Fachsprache "betriebliche Bandenbildung" genannt.
Ich muss aber zugeben, daß wir auf dem Job ebenfalls einige Austausch-Fachkräfte von Melmac haben. Ich löse das wie die anderen erdlinge hier auch. Ich arbeite um sie herum. Leider ist das Ende des Austauschprogramms noch nicht absehbar.


PERFEKT. Warum wundert mich das nicht?
Aber hej, es gab dann einen Patch. Dann ist nun wieder alles gut. Da sind nur Profis am Werk. Wenn ANDERE einen Fehler finden, fixen sie das dann. Macht euch keine Sorgen. Habt Vertrauen.

Ah warte noch kurz: Backdoor in SSH? Wie konnte das nur... Machen wir selbstverständlich auch weg!


Natürlich hast du das. Du bist eben Specialist und wenn Specialists etwas gut finden, dann ist das eben gut. Nicht auf die Trolle reinfallen, Leute.


Habt Vertrauen...
Schau dich in der großen Industrie mal um, du wirst selten selbstgefrickelte Boxen mit Linux als Router/FW finden, und selbst Fertigboxen mit pfSense drauf sind extrem selten. Fortinet/Checkpoint/Sophos/Paloalto/ASAs/... siehst du dagegen in gefühlt 99 % der Industrie. Kann man doof finden, ist aber halt so. Jedenfalls steckt so eine Fortigate 60F deinen R210II mit pfSense leistungstechnisch sowas von in die Tasche, bei geringerem Verbrauch. Nebenbei läuft FortiOS in aller Regel ohne Probleme, nicht so wie pf/OPNSense. Ob in den aktuellen FortiOS Sicherheitslücken stecken :unsure:, bestimmt ! Auch in FOSS schleichen sich des öfteren Sicherheitslücken ein. Den meisten Geschäftskunden ist es jedenfalls wichtiger, ein funktionierendes und wartungsarmes System zu haben, als eine FOSS-Lösung die eventuell weniger Sicherheitslücken hat. Eine FW ist auch immer nur ein Mittel zum Schutz, neben Anderen.
 
Schau dich in der großen Industrie mal um, du wirst selten selbstgefrickelte Boxen mit Linux als Router/FW finden
Ähh... Die sind auch "selbstgefrickelt". Von denen, die sie Herstellen und der "großen Industrie" verkaufen. Ich hab genau beschrieben warum man sowas einkauft und werde das jetzt nicht wiederholen. Auch wenn du das in deinen Thesen nicht berücksichtigen mochtest, verändert das nicht die Realität.
"Große Industrie" macht auch Office365. Machst du auch Office365 daheim? Etwas, wofür - wenn wir mal in anderen Zeiten leben würden - das Bundeswirtschaftsministerium jede Firma verklagen müsste?
"Große Industrie" hat auch, bis auf VW, für ihre vertraulichen Emails s/mime genutzt. Ich hab GPG (PGP) genutzt. Bis s/mime explodierte (Efail). Betraf mich nicht. Nichtmal das bezglich GPG betraf mich. Ich hab eben nicht gemacht was "große Industrie" tat. Übrigens hängt Efail zu 50% mit der Schlampigkeit der Emailclients, die von anderer großer Industrie selbstgefrickelt wurden.

Ich schaue mich sehr wohl in der "großen Industrie" um. Fortlaufend. Ihr Tun und die sich da ggf. ausbreitenden Trends waren mir immer eine sichere Warnung.

und selbst Fertigboxen mit pfSense drauf sind extrem selten. Fortinet/Checkpoint/Sophos/Paloalto/ASAs/... siehst du dagegen in gefühlt 99 % der Industrie.
Sehe davor. Ich schrieb bereits warum.

Kann man doof finden, ist aber halt so. Jedenfalls steckt so eine Fortigate 60F deinen R210II mit pfSense leistungstechnisch sowas von in die Tasche, bei geringerem Verbrauch.
Wenn man eine spezielle Box nimmt, kann man sie mit einer solchen von Netgate vergleichen. Einerseits. Andererseits (*) verwirrt es mich grad bisschen, daß du zu implizieren versuchst, Sicherheit hätte irgendeinen direkten Bezug zu Watt und MIPS.

Nebenbei läuft FortiOS in aller Regel ohne Probleme, nicht so wie pf/OPNSense. Ob in den aktuellen FortiOS Sicherheitslücken stecken :unsure:, bestimmt ! Auch in FOSS schleichen sich des öfteren Sicherheitslücken ein. Den meisten Geschäftskunden ist es jedenfalls wichtiger, ein funktionierendes und wartungsarmes System zu haben, als eine FOSS-Lösung die eventuell weniger Sicherheitslücken hat. Eine FW ist auch immer nur ein Mittel zum Schutz, neben Anderen.
Was von kognitiver Dissonanz gehört? Was anderes fällt mir jetzt leider nicht ein. Wieviele beschämende Schlagzeilen muss man auftreiben, damit sie in deiner Welt relevant werden? Und was interessiert das überhaupt Leute die kognitiv fit sind?
(die wissen übrigens auch was sinnfreie Fullquotes für Faule sind...)

Nochmal. Was "Geschäftskunden" und "große Industrie" tun, interessiert mich nicht. Ich hab meine Rübe nicht nur für die Frisur und ich nutze sie auch beruflich nicht dafür, nur um meinen A... aus der Schusslinie zu halten.

Wenn du drauf stehst was "große Industrie" und "Geschäftskunden" machen, dann lade mal 2 Leute von euch von der Ablaufoptimierung, zum Grillen ein. Die sollen dann nebenbei mit deiner Lebensgefährtin (ich bin mal so offen mich auf Feminin festzulegen...) durchdiskutieren wie sie die Bude sauber macht und dazu viele gute Vorschläge machen.
Das was sie dir dann erzählt, wenn sie weg sind - falls du da noch lebst - ist exakt das was ich davon halte, daheim etwas von dem zu machen was "große Industrie" tut.
Wenn in deinem Arbeitsumfeld es solche nicht gibt, weil du z.B. in einem Designstudio arbeitest oder wie der andere hier in einem EDV-Elfenbeinturm der Unverantwortung, dann weißt du überhaupt nicht wovon du sprichst. Wie schon bei (*) selbst angedeutet.

Haben wir den Sch... jetzt durch? Von mir aus kann es ruhig mit Senses weitergehen. Es findet sich bestimmt ein Thread wo ihr all die Vorzüge der Schlangenöl-Produzenten bejubeln könnt. Ja? Super. Danke euch.

Habt Vertrauen...
 
Zuletzt bearbeitet:
Ähh... Die sind auch "selbstgefrickelt".
Ja, ganz sicher. Auch die Co-Prozessoren auf dem Ding sind in Silicon selbst gefrickelt.
Von denen, die sie Herstellen und der "großen Industrie" verkaufen. Ich hab genau beschrieben warum man sowas einkauft und werde das jetzt nicht wiederholen. Auch wenn du das in deinen Thesen nicht berücksichtigen mochtest, verändert das nicht die Realität.
Und dir scheint nur ein valider Gesichtspunkt bei einer FW einzufallen: Sicherheit. Und genau das tut die breite Masse der Industrie eben nicht. Da ist Sicherheit ein Aspekt, kein alleiniger Entscheidungsgrund für oder wider einer Lösung.
"Große Industrie" macht auch Office365. Machst du auch Office365 daheim? Etwas, wofür - wenn wir mal in anderen Zeiten leben würden - das Bundeswirtschaftsministerium jede Firma verklagen müsste?
Große Industrie macht auch überall SAP, da kannst du dich jetzt auch drüber echauffieren, weils ein in sich geschlossenes System ist. Ändert nix an der Tatsache, das es wohl dafür keine FOSS-Alternative gibt.
....oh halt stimmt, hab ja vergessen, nur du hast die Weisheit mit Löffeln gefressen und die verantwortlichen Personen in der Industrie leiden alle an kognitiver Dissonanz.
"Große Industrie" hat auch, bis auf VW, für ihre vertraulichen Emails s/mime genutzt. Ich hab GPG (PGP) genutzt. Bis s/mime explodierte (Efail). Betraf mich nicht. Nichtmal das bezglich GPG betraf mich. Ich hab eben nicht gemacht was "große Industrie" tat. Übrigens hängt Efail zu 50% mit der Schlampigkeit der Emailclients, die von anderer großer Industrie selbstgefrickelt wurden.
1.) EFail funktioniert nur, wenn ich es als Angreifer schaffe, eigenen HTML-Code in die verschlüsselte (HTML-)Email zu schleusen:
Dazu muss ich a.) den Datenverkehr live abhören können oder b.) mich in die Email-Infrastruktur infiltrieren können, um dann eine bereits empfangene, verschlüsselte Mail erneut an den Adressat zu senden, in der Hoffnung, der Mitarbeiter öffnet die Email erneut UND klickt auf meine präparierte URL. Abgesehen davon, das sich bei S/MIME auch in der Zwischenzeit der Schlüssel geändert haben kann, da ploppen dann sofort rote Warnlämpchen auf, wenn eine Mail mit einem Key der auf der CRL encrypted wird.
Beim Angriff auf den CBC-Betriebsmodus von S/MIME kannst du übrigens keine Signatur fälschen, höchstens löschen, wo wir wieder bei den roten Warnlämpchen wären.

Wenn ein Angreifer in deiner Mailinfrastruktur gelangt ist, hätte ich als Unternehmen aber ganz andere Sorgen als "oh nein, die Angreifer könnten jetzt Efail benutzen um S/MIME Emails zu entschlüsseln... ,
Und wie du bereits selbst feststellen konntest, betraf Efail nicht nur S/MIME, sondern auf PGP, und, was ja laut dir nie hätte passieren dürfen, Thunderbird als FOSS.

Übrigens: es soll tatsächlich Mailfilter in Unternehmen geben, die sich auch S/MIME Content vorher anschauen können.
Ich schaue mich sehr wohl in der "großen Industrie" um. Fortlaufend. Ihr Tun und die sich da ggf. ausbreitenden Trends waren mir immer eine sichere Warnung.
Ja dann.
Wenn man eine spezielle Box nimmt, kann man sie mit einer solchen von Netgate vergleichen.
Nur, das Netgate keine solche spezielle Box hat. Das ist normale ARM/x86 Hardware.
Einerseits. Andererseits (*) verwirrt es mich grad bisschen, daß du zu implizieren versuchst, Sicherheit hätte irgendeinen direkten Bezug zu Watt und MIPS.
Nein, ich weise dich auf deine einseitige Argumentation hin. Sicherheit über alles Andere.
Was von kognitiver Dissonanz gehört? Was anderes fällt mir jetzt leider nicht ein. Wieviele beschämende Schlagzeilen muss man auftreiben, damit sie in deiner Welt relevant werden? Und was interessiert das überhaupt Leute die kognitiv fit sind?
Klar, dazu noch ein bisschen Würze von fefe und deine Weltsicht wäre bestätigt. Wer kauft noch Cisco, was ? ;)
(die wissen übrigens auch was sinnfreie Fullquotes für Faule sind...)
Sorry, zu mehr hab ich mich bei dir einfach nicht hingerissen gefühlt.
Nochmal. Was "Geschäftskunden" und "große Industrie" tun, interessiert mich nicht.
Stimmt, die sind ja alle nicht auf deinem kognitiven Level.
Ich hab meine Rübe nicht nur für die Frisur und ich nutze sie auch beruflich nicht dafür, nur um meinen A... aus der Schusslinie zu halten.
Das ist für mich der Quote des Tages. :d

Haben wir den Sch... jetzt durch? Von mir aus kann es ruhig mit Senses weitergehen. Es findet sich bestimmt ein Thread wo ihr all die Vorzüge der Schlangenöl-Produzenten bejubeln könnt. Ja? Super. Danke euch.
Ja, ich suhle mich jetzt in meinem Elfenbeinturm der Unverantwortung, zusammen mit den Schlangenöl-Herstellern.
Habt Vertrauen...
In wen oder was ?
 
Und dir scheint nur ein valider Gesichtspunkt bei einer FW einzufallen: Sicherheit. Und genau das tut die breite Masse der Industrie eben nicht. Da ist Sicherheit ein Aspekt, kein alleiniger Entscheidungsgrund für oder wider einer Lösung.
Ohne hier alles wieder aufzubröseln: Ich hab da wohl einen anderen Fokus. Wenn ich von einer Sicherheitslösung spreche, da, wo ich der Alleinentscheider bin, dann ist von 5 Punkten welche die Lösung haben sollte, valide Sicherheit Punkt 1, Punkt 2 und Punkt 3.
Ich weiß was die Industrie alles veranstaltet. Ich bin ein Teil davon.

Bei dir fehlt mir bisher überhaupt die Begründung, warum man sich diesen Zwängen, Abhängigkeiten und der Anfälligkeit, auch daheim ausliefern sollte. Du bist jetzt, wahrscheinlich weil beruflich im Geiste verbunden und mitfühlend, für jemanden eingesprungen und brichst eine Lanze nach der anderen, ohne einer wirklich realen Notwendigkeit. Das ist hier kein Thread für Mittelständler die eruieren möchten, ob sie lieber auf Sophos oder Checkpoint setzen sollten und wieviel sie vor allem der Support kostet...
Ich verstehe ehrlich gesagt deswegen deine Beweggründe noch nicht ganz. Für wen oder was genau hast du die ganzen Lanzen bisher verbraucht? Das betrifft uns alles hier überhaupt nicht (?) ZUM GLÜCK. Wenigstens bist du aber halt nicht derjenige der hier mit diesen schrägen Ideen ankam.

Große Industrie macht auch überall SAP, da kannst du dich jetzt auch drüber echauffieren, weils ein in sich geschlossenes System ist. Ändert nix an der Tatsache, das es wohl dafür keine FOSS-Alternative gibt.
Auf dem Niveau können wir leider keine Diskussion führen. Ich bin mir aber auch nicht sicher, ob du extra drumherum manövriest oder es dir nicht möglich ist dem Thema vernünftig zu folgen. Ich frisch das mal EINMAL auf an der Stelle:
Es ging überhaupt nicht darum was die Industrie nutzt, sondern um den Versuch/Vorschlag, von da aus ähnliches in die heimische Infrastruktur zu verpflanzen. Mir ist es eben unverständlich warum man sich auf so dornige Wege freiwillig aufmachen sollte.
Mit von mir ausgeführten Problemen, ohne wirkliche Ahnung (!) und auch ohne jede Not. Da es weit sicherere Lösungen fürs daheim gibt, ohne sich derartigem ausliefern zu müssen.

Kirche im Dorf und so.

p.s.:
Klar, dazu noch ein bisschen Würze von fefe und deine Weltsicht wäre bestätigt. Wer kauft noch Cisco, was ? ;)
Top! :d Guter Mann ;)

In wen oder was ?
In den Märchenonkel und seinen Kanistern Schlangenöl.
 
Zuletzt bearbeitet:
Ich würde gerne anstelle der Fritzbox eine richtige Firewall einsetzen und das Netzwerk überwachen.
Wo ich deine... Serverlandschaft ;) nun sah.

Bisschen teurer, aber feststellbar leistungsfähiger wäre noch ein R220, statt R210II. Statt in den R210II dickere CPUs zu packen (ich meine das Board spackt mit E3-1265L v2 und sonst war da bei Intel nicht viel mit real effizient), das billigste R220 Angebot suchen ohne auf die CPU zu schauen und dann nen schnicken E3-1240Lv3 drauf (25W).
Zieht unter Last bisschen mehr als ein 1220Lv2, aber dafür zieht die Platform (Board) minimal weniger, was sich fast ausgleicht. Demgegenüber aber ordentlich leistungsfähiger als ein R210II/1220Lv2.

Erstmal zwar umschauen, aber ich meine es gibt schon länger keine Probleme mit irgendwelchen Inkompatibilitäten.
 
Zuletzt bearbeitet:
Aktuell wird der R210II mit einem E3 1220 betrieben.
Der sollte erstmal genügend Reserven haben.
Ich werde das ganze ein wenig beobachten und evtl dann die CPU wechseln.

Aktuell ist es eher die Lautstärke die mich stört :d :d Noctua-Lüfter sind schon bestellt.
 
Wenn da nur Sense drauf läuft ist der hier mit dem 1220Lv2 nahezu lautlos, wenn man im Bios alles auf "minimal" stellt. Noctuas gehen aber natürlich auch. Ich glaub AGTech (?) hat auf YT eine simple Anleitung wie man die Lüfterkurve umändert. Sonst meckert die Kiste, daß die Drehzahlen der Lüfter nicht passen.

Sorry ich hab auch wohl kurz nicht aufgepasst. Dachte du hast noch keinen R2xx.
 
@Uhrzeit
Ich hab die Lüfter schon im pfSense angepasst, aber lautlos ist leider etwas anderes. Ich denke der Lüfter vom Netzteil ist relativ laut. Zumindest "hört" es sich so an.

Ist es eigentlich bei pfSense möglich zwei VPN-Verbindungen aufzubauen und diese bestimmten IPs zuzuordnen?
Als Beispiel:
1. OpenVPN für meine Endgeräte (Handy/Tablet/Laptop) um sie im virtuellen Netzwerk zu sehen und untereinander kommunizieren lassen.
2. Ein bestimmten Docker (hat eine eigne IP per br0) auf dem Server per NordVPN oder ähnliche Anbieter ausstatten. Unabhängig von der anderen VPN-Verbindung.

Gruß
 
Zu 1: Stehe ich gerade auf dem Schlauch. OpenVPN wieso aufsetzen, um sie dann im virtuellen Netzwerk zu sehen? Von innerhalb? Oder von außerhalb eingewählt?
Zu 2: JA, du kannst auswählen, über welches Interface der Traffic von diesem Gerät gehen soll. Firewall-Regel für die zugewiesene IP des Gerätes entsprechend einrichten und das NordVPN Gateway auswählen. Schon geht sämtlichern Traffic über das VPN. Nur noch eine Floating Rule (tagged) schaffen für den Fall, dass die VPN Verbindung mal abreißt und kein Traffic nach draußen durchsickern soll.

Du kannst also spezifisch für jede vergebene IP (sprich, jedes Endgerät im Netzwerk) auswählen, über welches Interface der Traffic laufen soll.
Source immer das gewünschte Gerät mit seiner IP auswählen -> Gateway, das gewünschte Interface auswählen, über welches der Traffic laufen soll.
 

Anhänge

  • PFSense.JPG
    PFSense.JPG
    30,1 KB · Aufrufe: 77
1. War ein wenig undeutlich ausgedrückt.
Aktuell benutze ich Nginx Proxy Manager (NPM) um von außerhalb auf den Server zuzugreifen. Dafür muss ich auch einige Ports öffnen damit ich darauf zugreifen kann. Es sind Docker wie z.B. Nextcloud etc.
Ich habe gedacht, dass wenn ich das ganze per VPN löse, ich mir den NPM sparen kann. Es geht dabei um meine/unsere mobilen Endgeräte.
Wenn ich jetzt ein VPN-Server (OpenVPN) auf der pfSense einrichte und dann die Logindaten auf den Geräten einrichte befinde ich mich ja theoretisch im Netz und benötige dadurch den NPM nicht mehr.
Ich könnte doch dann auf die Dienste per lokaler IP zugreifen wie z.B. 192.168.X.X für Nextcloud oder 192.168.Y.Y für was anderes.

Oder habe ich hier gerade einen totalen Denkfehler?

2. Okay, d. h. ich muss "lediglich" NordVPN einrichten und diese mit der lokalen IP diesen bestimmten Dockers routen und der gesammte Traffic von diesem Docker geht quasi über den VPN-Anbieter und der Rest vom Server über den Internetanbieter. Richtig?

Danke für die Hilfe :)
 
1. War ein wenig undeutlich ausgedrückt.
Aktuell benutze ich Nginx Proxy Manager (NPM) um von außerhalb auf den Server zuzugreifen. Dafür muss ich auch einige Ports öffnen damit ich darauf zugreifen kann. Es sind Docker wie z.B. Nextcloud etc.
Ich habe gedacht, dass wenn ich das ganze per VPN löse, ich mir den NPM sparen kann. Es geht dabei um meine/unsere mobilen Endgeräte.
Wenn ich jetzt ein VPN-Server (OpenVPN) auf der pfSense einrichte und dann die Logindaten auf den Geräten einrichte befinde ich mich ja theoretisch im Netz und benötige dadurch den NPM nicht mehr.
Ich könnte doch dann auf die Dienste per lokaler IP zugreifen wie z.B. 192.168.X.X für Nextcloud oder 192.168.Y.Y für was anderes.

Oder habe ich hier gerade einen totalen Denkfehler?

2. Okay, d. h. ich muss "lediglich" NordVPN einrichten und diese mit der lokalen IP diesen bestimmten Dockers routen und der gesammte Traffic von diesem Docker geht quasi über den VPN-Anbieter und der Rest vom Server über den Internetanbieter. Richtig?

Danke für die Hilfe :)
Zu 1: Bin mit Docker, NGINX & co. nicht vertraut. Aber du kannst per VPN auf alle Geräte im lokalen Netz zugreifen, du könntest sogar sämtlichen Traffic darüber leiten (denn verbunden kannst du entweder nur lokalen Traffic zu deinem Heimnetzwerk darüberleiten und der restliche Traffic geht so über den aktuellen Anschluss rüber. Oder Traffic für dein Heimnetzwerk UND den restlichen Traffic darüber leiten). Ansonsten einfach VPN -> Wizards und einmal VPN einrichten und schauen, ob du alles erreichst, was du dir vorstellst.

Zu 2: Genau. NordVPN hat sogar eine Anleitung extra für PFSense zur Verfügung gestellt: https://support.nordvpn.com/Connectivity/Router/1620787982/pfSense-2-4-5-setup-with-NordVPN.htm
Einfach so einrichten und die Firewall-Regeln so anpassen, dass das gewünschte Ergebnis erzielt wird (sprich, in dem Fall: Nur der Traffic von deinem Docker über VPN geht, der Rest über das normale WAN Interface).
 
Grundsätzlich können alle Geräte miteinander kommunizieren, egal wie sie mit der pfSense verbunden sind, also über ein reguläres Interface, VLAN oder VPN etc., solange es Regeln erlauben.
Der Vollständigkeit/Klarheit halber: Default-mäßig erlauben die *senses das _nicht_ (default deny).
 
Hatte das auch immer so, habe das aber mal geloggt und da wollten gegen den Killswitch rennende Verbindungen nicht aufhören, selbst als die VPN-Verbindung wieder stand... realisiere dies daher inzwischen anders (Skip rules when gateway is down).
Skip rules heißt in dem Fall, dass der Traffic ungefiltert durchgeht?
Ich hab noch nen kleines Script drin, welches regelmäßig pingt, ob die VPN Verbindung noch steht. Wenn nicht -> VPN Adapter neu starten -> Kein Erfolg -> PFSense neu starten

Das geht dann so lange in die Schleife, bis wieder eine VPN Verbindung steht.
Hat Pro & Contra, aber läuft zuverlässig.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh