Firewalls - was sind eure Erfahrungen/Empfehlungen

Servus liebe Mitnerds,

ich würde mich zuhause gerne nochmal dem Thema Firewall annehmen.

Aktuell läuft bei mir die USG-3P als "Firewall" (nur Werkseinstellungen).

Aber ich bin am überlegen dass ganze doch gegen eine andere Firewall zu tauschen und würde nun mal gerne eure Meinung/Erfahrungen dazu hören.

Welche Systeme benutzt ihr? (opensense/pfsense/Sophos XG Home Edition/etc.)

Warum nutzt ihr die Systeme bzw. was hat euch überzeugt?

Welche Hardware würdet Ihr mir empfehlen ? (Aktuell ist unser Internetzugang über Starlink und liegt so bei 100-170 Mbits, würde aber gerne schon Hardware nehmen die auch nachher mit ner Gigabitleitung klarkommt)

Lasst ihr eure Netzwerkeinstellungen auch über die Firewall laufen oder regelt das weiterhin der Unifi Controller? (Also unterschiedliche Netze/VLAN´s etc.)

Wie gut konntet ihr mit dem System VPN umsetzen?

Ich hab zwar noch kein NAS oder ähnliches was ich zwingend von außen erreichen müsste aber was nicht ist kann ja noch werden

Solltet ihr noch mehr Informationen zu meinem aktuellen Netzwerkstand brauchen einfach bescheid sagen dann liefer ich nach.

PS:

Hab mir gestern schon mal die Sophos XG Home Edition aufm Hyper-V installiert und will mich da heute mal ein bisschen umschauen

Sophos ist sehr gut, aber auch recht komplex in der Konfiguration

- Nachteil, die HomeEdition ist auf 50 IP-Adressen limitiert, da würde mir z.b. nicht reichen, die hat man schnell zusammen ( zumindest was das mal so ).

- Vollversion von Sophos ist für Hausgebrauch uninteressant, weil zu teuer.

Alternative:

- Lüfterloser PC mit mind. 2 LAN-Interfacen, besser 4.

- PFSense

oder

- OPNSense

IPFire war früher mal ziemlich beliebt, wie da der aktuelle Stand ist, weiss ich nicht.

Ich hab den passende PC hier schon stehen, teste aber gerade noch Proxmox auf dem Gerät, danach kommt PFSense oder OPNSense drauf, da bin ich noch unentschlossen - beide können VPN, das ist dann Geschmackssache. Etwas Knowhow zur Konfiguration braucht man für alle Firewall-Systeme.

Ich hab mir als Ziel gesetzt, 2022 ohne UDMPro zu beginnen.

Danke für das Feedback bisher.

Geplant war eh die Firewall als Virtuelle Maschine auf nem Minipc/Server laufen zu lassen.

War am überlegen dass ganze mit nem NUC zu realisieren aber da scheitert es dann der Anzahl der LAN Anschlüsse.

Wollte somit halt 2 Fliegen mit einer Klappe schlagen da ich eh gerne noch ne kleine Virtualisierungsspielwiese haben wollte

aber ich denke mal so muss ich es dann auf 2 Systeme auftrennen.

Zitat von KJL

War am überlegen dass ganze mit nem NUC zu realisieren aber da scheitert es dann der Anzahl der LAN Anschlüsse.

Wollte somit halt 2 Fliegen mit einer Klappe schlagen da ich eh gerne noch ne kleine Virtualisierungsspielwiese haben wollte aber ich denke mal so muss ich es dann auf 2 Systeme auftrennen.

Ich hab das auch erst überlegt, PfSense unter Proxmox laufen zu lassen, aber da ich einen 1GBit Internetzugang habe, würde ich mir damit schnell einen Flaschenhals einbauen.

Ich hatte zum teste den MiniPC mit CoreI7 bestellt um Proxmox drauf testen, Vorteil der hat 8 GBit Lan-Ports, dummerweise haben die mir den falschen Rechner geschickt mit Core i5, aber egal für PfSense reicht der locker.

Mein Proxmox läuft derzeit auf 2 IntelNUC mit i5 und je 16 GB Ram, aktuell reicht das noch aber ich wollte da noch mehr mit machen. Daher die Überlegung, den MiniPC den ich jetzt habe nochmal zu bestellen mit 32 GB RAM ( mehr geht nicht ) und da Proxmox drauf zu packen oder einen gebrauchten Server zu kaufen mit 64GB Ram und Aufrüstmöglichkeit.

Das ist preislich auf gleichem Level.

Zitat von RenWin

.......

Warum Pfsense:

- sie ist kostenlos

- einige Firmen arbeiten damit und die Community ist riesig

- es gibt ein Haufen geprüfter Erweiterungen

- man kann eigentlich alles damit realisieren für lau

Alles anzeigen

Obwohl kostenlos ist die PfSense ein professionelles Produkt, welches von der Firma Netgate entwickelt wird und auf deren Hardware-Firewalls als Appliance läuft und die sind richtig gut, vor allem preislich interessant.

Ich finde gerade die Möglichkeiten, das System zu erweitern grandios, mal eben WireGuard oder einen HAProxy installieren geht in wenigen Minuten und vor allem, es funktioniert auch.

Zitat von Stobli

Hallo, was haltet ihr davon vor der UDM-Pro eine pfsense zu betreiben für mehr sicherheit ?

Ich würde dann die PPoE einwahl der pfsense übergeben und die UDM-Pro auf LAN umstellen.

Macht das ganze Sinn ?

Um die letzte Frage zu beantowrten: in meinen Augen nicht.

Alleine von den Firewall, VLan, VPN und DHCP-Funktionen ist die PfSense der UDM um Längen überlegen, da macht eine zusätzliche Instanz eher mehr Probleme als sie mehr Sicherheit bringt.

Zitat von Stobli

OK dann schmeis ich mal meinen zweiten gedanken in den Raum.

- UDM Pro weg

- pfsense hin und den Unifi Controller auf den Proxmox

Gibt es hier wichtige Punkte zu beachten ?

Kann das Backup der UDM einfach in den Controller eingespielt werden ?

Alles anzeigen

Ist genau der Weg den ich auch gehen werden.

Backup: ich habs ausprobieren, hat mehrfach nicht funktioniert, nach dem Einspielen des Backups auf dem Linux-Controller konnte ich mich nicht mehr anmelden - kein einziger Account funktionierte und auch ein PW-Reset war nicht möglich.

Ich hab das verworfen und die wichtigen Sachen nun manuell eingerichtet ( Netze, WLan, VLan ), den Rest wird am Ende eh die PfSense verwalten.

Ich werde dann AP's und Switche aus der UDM löschen und neu am Controller anmelden und die Ports zuweisen.

Das ist schneller erledigt als wenn ich mich noch weiter mit dem Backup rumärgere.

Zitat von Stobli

Was natürlich doof ist das man dann wieder 2 Webif hat.

Das nehme ich gern ein Kauf um die UDM los zu werden, zumal am Netzwerk macht man in der Regel nicht viel.

Danke für das Feedback. Ich werde es dann wie Tuxtom angehen und die USG gegen ne pfsense austauschen. Muss nur mal schauen wie ich die vernünftig konfiguriere dass nachher nur das VLAN durchgereicht wird.

War eh als Urlaubsprojekt angesetzt und ich hab unsere alte Watchguard XTM 535 von der Firma mitgenommen und schon entsprechend umgebaut

Zitat von RenWin

Ich arbeite beruflich mit Securepoint Firewalls. Privat mit Pfsense und habe auch schon Erfahrungen mit Sophos UTM / XG und Lancom UTM.

Alles in allem empfehle ich für den Hausgebrauch als nicht Tekki die USG zu behalten. Wenn jedoch Probleme bestehen, welche überwiegen

und für eine Firewall sprechen dann PFsense.

Warum Pfsense:

- sie ist kostenlos

- einige Firmen arbeiten damit und die Community ist riesig

- es gibt ein Haufen geprüfter Erweiterungen

- man kann eigentlich alles damit realisieren für lau

Warum nicht OpenSense:

- ganz ehrlich warum nicht. (Ist mir jedoch tatsächlich etwas zu modern)

Warum kein Sophos?

- Ich möchte eine Firewall nicht die NSA in meinem Haus (Die Aussage könnte von Trump kommen faktisch und ohne Belege aber meine Meinung)

Warum sollte ich eine Firewall virtualisieren?

- Ausfallsicherheit bei z.B. Clusterbetrieb (Proxmox, Hyper-V, VSphere (er weniger da zu teuer für Privat))

- Einfache Wiederherstellung

- Einfache Backupmöglichkeit

- viel günstigere Möglichkeit Bandbreiten zu realisieren (Firewall Appliances mit z.B. 10Gbit Ports sind deutlich teurer als eine 10Gbit Netzwerkkarte)

Warum sollte ich eine Firewall nicht virtualisieren?

- Weil ich eine Firma bin, welche mit großen Bandbreiten und sowieso einem Firewall-Cluster arbeitet

Mein Fazit:

Heimanwender = Firewall auf dem Heimserver noch immer die beste und günstigste Wahl

(Wenn was dagegen spricht, belehrt mich etwas besseren, jedoch nicht ohne Argumentation oder dokumentieren Fakten)

Alles anzeigen

Mit Securepoint hatte ich im Praktikum zu tun und fand es bis auf ein paar Kleinigkeiten echt angenehm damit zu arbeiten. Aber richtige Firewalls mit Subskription für den Privatanwender sind echt überdimensioniert. Außer man kommt kostengünstig dran

Sophos hat ich im letzten Job öfters mit zu tun gehabt, die sind gut aber für den Privatnutzer eher nicht zu empfehlen, wiel einfach viel zu überladen.

Wir haben die auch nur Kunden verkauft, die unbedingt Sophos haben wollen.

Wir haben sonst nur Juniper eingesetzt, die Hardware ist günstig, extrem robust, setzt bei der Konfiguration aber sehr viel KnowHow voraus - das ist nichts mit Klicki-Bunti, aller nur per Kommandline.

Zitat von Tuxtom007

Sophos hat ich im letzten Job öfters mit zu tun gehabt, die sind gut aber für den Privatnutzer eher nicht zu empfehlen, wiel einfach viel zu überladen.

Wir haben die auch nur Kunden verkauft, die unbedingt Sophos haben wollen.

Wir haben sonst nur Juniper eingesetzt, die Hardware ist günstig, extrem robust, setzt bei der Konfiguration aber sehr viel KnowHow voraus - das ist nichts mit Klicki-Bunti, aller nur per Kommandline.

Okay, ich fand die XG halt vom Design her sehr gut gemacht deswegen hatte ich mir ne kostenlose Lizenz besorgt und bisschen mit rumprobiert.

Juniper hab ich bisher noch nicht gesehen deswegen kann ich da wenig zu sagen aber wie gesagt Subscriptions kaufen macht halt keinen Sinn als Privatanwender. Und wenn ich schön höre CLI only ist das einfach nicht meins.

Ich mach gerne spezifischere Einstellungen mit der CLI oder wenn ich mal nem Problem tiefer nachvollziehen will aber heutzutage nur noch auf CLI zu setzen ist meines erachtens nach Festhalten an überholten Standards. Dass früher nur CLI genutzt wurde ist klar weil die Systeme noch nicht leistungsfähig genug für eine GUI waren aber über den Punkt sind wir mittlerweile technisch weit hinaus. Deswegen spricht meines erachtens nach nichts mehr gegen eine GUI wenn Sie denn sauber programmiert ist und ich genau die gleichen Einstellmöglichkeiten habe.

Aber bei dem Thema scheiden sich ja auch wieder die Geister