pfSense / Fortinet / Sophos und co. Eure Empfehlung für Heimnetz?

[OsiMosi]

Hallo zusammen

Brauche euren Rat im Punkto Firewall. Gerade in die neue Bude mit Glasfaser gezogen, notgedrungen die Fritze von Vodafone genommen, aber der Umbau soll natürlich bald folgen. Bislang hatte ich die pfSense einmal auf ner APU im Einsatz (war von der Performance bei mir Mist) und einmal auf einer Netgate 4100 (lief super). Ich möchte allerdings mal etwas über den Tellerrand hinausschauen und ggf. von der pfSense weg. Die UI´s der Fortinet Geräte sowie von Sophos gefallen mir irgendwie beide. Klar, das ist absolut nicht ausschlaggebend, aber in einer angenehmen Umgebung arbeitet es sich einfach besser.

Meine Anforderungen sind der ganz normale Home Lab Kram, VPN´s, VLAN usw. und sofort. Mir ist wichtig, das ich ein solides Gerät "einmal" kaufe und damit lange Freude habe, es also einfach zuverlässig seinen Dienst tut. Thema Lizenzen ist da natürlich so ne Sache.

Klar je nach Modell (FortiGate 60F, Sophos XG 106) das ganze für ein Heimnetz / Home Lab etwas "over the top", aber damit komme ich klar

 

[Mojo1987]

Unifi Dream Maschine.
Für den Heimbereich fallen doch Sophos und Forti allein der Lizenzierung wegen weg. Kommt man da als Privatmann überhaupt ohne weiteres dran?

 

[madmax2010]

Ich bin da doc eher Fan von pfSense /opensense
Sophos und Fortinet hatten in den letzten Jahren die deutlich übleren Luecken
Sophos ein paar von dem Kaliber: https://www.heise.de/news/Hotfix-ruestet-Firewalls-und-Router-von-Sophos-gegen-Attacken-4986665.html
Fortinet hatte noch mehr
https://arstechnica.com/security/20...d-20000-fortinet-vpns-dutch-spy-service-says/
https://www.heise.de/news/FortiNet-...in-FortiOS-und-anderen-Produkten-9529075.html

Damit hatten beide u.a vor kurzem Luecken die erlaubten noch vor der Authentifizierung Code auszuführen.
Tu dir das nicht an.
Oder kauf dir was nettes von Unifi wenn du daran lange Freude haben willst


Fortigate und Sophos kauft man wegen Compliance

Ergänzung (8. September 2024)

Oh dear..
https://www.fortiguard.com/psirt/FG-IR-24-015
https://www.fortiguard.com/psirt/FG-IR-24-029

 

[holdes]

Sophos könnte man als Home Edition kostenfrei als VM oder auf Hardware nutzen, einzige Beschränkung meines Wissens nach max 6GB RAM und 4 Cores werden genutzt - reicht für privat dicke wenn man nicht gerade 10 Jahre alte Plattformen nutzt.

Wenn man doch etwas schönes kaufen möchte wäre ich aber auch bei Unifi. Je nach Geldbörse gibts da schöne Dinge. SSL Inspection aber leider nur bei den neuen ganz teuren Geräten.

 

[chr1zZo]

Ich hab lange Sophos gehusselt, inkl. aller Schulungen und Zertifizierungen. Meine Mom hat damals von mir eine XGS Desktop bekommen. Nun läuft ja die Lizenz aus, immer ein teurer Spass

Ich selber habe mich daher mit pfsense (Netgate als fertige Lösung) und opnsense beschäftigt. Beides lässt sich auch auf MiniPcs installieren oder halt Proxmox usw., ansonsten bieten beide auch fertige Lösungen an.

Für die ganz einfachen Anwender, ist Ubiquiti Dream Maschine was feines. Wenn du aber noch mehr die Hand darüber willst, geht das eben nur bei pfsense und opnsense, da Dream Maschine dir halt was fertiges hinzaubert, und du da nix erweitern kannst (Addon), was eben bei pfsense und opsense sehr vielfaltig ist dank Community und co.

Du magst zwar das UI von Sophos gesehen haben, aber ich kann dir sagen, für einen "Neuling" ist Sophos durchaus herausfordernd (Gerade was Portforwarding betrifft und die die Regeln, da kann man sich schnell verhauen) und bringt eben nur alle Features mit Lizenz (teuer) mit. Die Home Edition ist eine sehr abgespeckte Variante! Da bringt pfsense und opnsense wesentlich mehr Features mit sich!

Eine pfsense wie du sie schon hast, bringt auch mehr Features als eine Unifi!

Ich bevorzuge aktuell opnsense!

 

[holdes]

Die Home Variante von Sophos ist nicht abgespeckt außer die genannten Hardware Limitierungen. Das 50 IP Adressen Limit von Früher gibt es ebenfalls schon lange nicht mehr. Sofern man halbwegs aktuelle Hardware nutzt ist die Leistungsmäßig den fertigen Appliances teilweise meilenweit überlegen und eben ohne Lizenzgebühr. Darf man natürlich nicht gewerblich einsetzen.

Hier Lizenz-Screenshot aus aktuellster Version in der Home Edition:

 

[qiller]

Ich schmeiß mal als Alternativ-Firewalldistributionen noch OpenWRT und IPFire in die Runde.

 

[Scirca]

+1 für das Zeug von Ubiquit, geiles Zeug

 

[DonConto]

Wenn du maximale Flexibilität willst, würde ich pfSense/OPNSense nehmen. Wenn es einfach nur laufen soll, kannst du auch irgendwas von Unifi nehmen. Von Sachen wie Forti/Sophos würde ich die Finger lassen. Wüsste nicht was für die spricht.

Ich selbst fahre seit Jahren OPNSense. Hab vor 15 Jahren oder so mal mit IPFire angefangen, bin dann mangels (vernünftiger) VLAN Unterstützung zu pfsense gewechselt und jetzt seit einigen Jahren bei OPNSense. Hab bis dato nichts besseres gefunden. Heutige Mini-PCs reichen von der Performance locker aus.

 

[OsiMosi]

Wenn man die Beiträge hier so ließt, dann sollte wohl bei meiner pfSense auf Netgate Hardware bleiben Da kenne ich mich aus, habe Erfahrung mit dem System und war zuletzt sehr zufrieden. Und weitere Features kann man da eben über Plugins einbinden.

 

[holdes]

Genau, wenn das bisher gereicht hat, wird es das auch weiterhin. Die Sophos speziell ist eher interessant wenn man zuhause zB einen Mailserver betreibt wegen der Antispam Engine und Web Application Firewall (Reverse Proxy).

Will man „nur“ seinen Anschluss absichern, wird es jede der bisher genannten vernünftig erledigen.

 

[OsiMosi]

Einen Mailserver hatte ich bislang (noch) nicht in Planung. Mir gehts primär darum das Heimnetz zu separieren und gegen allen möglichen (standardmäßigen) Kram zu sichern. Bin mir nur gerade nicht mehr sicher ob die Netgate 4100 nicht etwas "over the top" war und ich nicht ggf. diesmal auf eine 2100 setze. APU kommt für mich nicht in Frage. ONT von Vodafone liegt bei mir unten, geht dann übers Patchfeld per LAN nach oben (da läge dann auch die pfSense).

 

[holdes]

Naja die Teile sind im Verhältnis zu ihrer Hardware allesamt extremst überteuert. Egal ob da Sophos, Forti, Palo oder was anderes drauf steht. Da man so gut wie alle Appliances auch als VM oder ISO Image bekommt das auf diverser Hardware läuft kann man bei Performancebedarf auch gut einen Mini PC oder einen 1HE Mini PC (mit Desktop CPU) als Appliance selbst basteln. Da kommt man zumindest was die Leistung im Verhältnis angeht meistens günstiger weg.

Die Netgate setzen keine X86 CPUs ein und sind recht Stromsparend aber auch durch das entsprechende Modell nicht gerade sonderlich leistungsstark.

Falls man sowieso einen Hypervisor einsetzen sollte dessen Host 24/7 läuft könnte man das auch direkt komplett virtuell abwickeln, ist dann die günstigste Lösung von allen.

Ich hab hier noch eine Sophos XG230 rumliegen. Die war schon für ihre Hardware absolut krass zu teuer (2 Core Celeron, knapp 2000 € damals). Dort hab ich eine neue CPU reingepackt und die Sophos Home aufgespielt, so kann man das Teil durchaus halbwegs vernünftig nutzen.

 

[M-X]

OPNsense wenn du die volle Flexibilität willst. Iwas von Ubiquiti wenn du was zwischen OPNsense und Fritzbox willst was fancy aussieht. Bedenke aber das Ubiquiti erst spaß macht wenn man mehr als eine Komponente hat.

Ich würde zu OPNsense raten, einarbeiten muss man sich da aber definitiv weil vieles per default auch einfach nicht geht bis man es selber konfiguriert hat.

 

[OsiMosi]

Iwas von Ubiquiti

Von denen habe ich hier 2 APs hängen, das reicht mir

Ich würde zu OPNsense raten

Das hatte ich mir definitiv auch mal auf die Liste geschrieben, ist sicherlich nicht verkehrt sich das vorab nochmals deutlich intensiver anzusehen.

Naja die Teile sind im Verhältnis zu ihrer Hardware allesamt extremst überteuert.

Da muss ich dir allerdings Recht geben. Bin zwar wirklich ein Freund dieser Lösungen, aber Preis/Leistung ist da natürlich nicht so pralle wie beim Eigenbau. Ich mache mich da nochmals schlau und update dann hier mit meinen Ideen.

 

[holdes]

Da man abgesehen von Ubiquiti die Sachen als VM alle ausprobieren kann, würde ich es vermutlich genauso mal tun. Da kannst du ja nachsehen (unabhängig der Hardware) was dir zusagt oder ob du beim schon genannten bleiben willst. Unifi wäre für mich persönlich da raus wenn man nicht >1k€ in die Hand nehmen will aufgrund der fehlenden SSL Inspection Möglichkeit bei den einfachen Geräten.

 

[OsiMosi]

Im Homelab / Heimnetz hat man ja meisten: Stromsparend, Klein, Leise. Lautstärke wäre bei mir egal, da absorbiert. Bei den meisten Lösungen die ich gefunden habe, sind pfSense / OPNsense gleichermaßen kompatibel bzw. angeführt. Nachdem ich jetzt mal per VBox rumprobiert habe, ist OPNsense auf jeden Fall auch nicht verkehrt bzw auch Community offener was Plugins und co anbelangt. Mit dem UI komme ich ebenfalls super klar. Ich denke aber dass das am Ende eher die Feinheiten sind, da es sowieso richtung pfSense / OPNsense geht.

Zur Hardware an dieser Stelle vielleicht nochmal:

• pfSense/OPNsense
• Meistens nicht mehr als 5 Nutzer
• Bandbreite des Anschlusses soll voll ausgereizt werden (Down:500 Mbit/s Up:100 Mbit/s) mit Luft nach oben für eine 1Gbit-Leitung
• IPSec & OpenVPN gerne schnell ( >= 100Mbit, AES-NI)
• IPS/IDS (Deshalb ist etwas Leistung nötig)

Was ich da bislang so gefunden habe:

Protectli Vault Pro VP2410 (Bei den Preisen kann ich mir gleich was von Netgate selbst holen )
Micro Firewall Appliance
Ali-Express Version: Intel N100 Firewall Computer der 12. Generation
Generell: IPU System


Natürlich gäbe es auch noch die Möglichkeit die ganze Nummer als VMs auf Proxmox und co zu betreiben. Da ich mir für die APs keine Dream-machine / UniFi Network Controller usw. zulegen will, gäbe es da ja dann auch die Möglichkeit das virtuell zu lösen (so habe ich es gelesen). pfSense / OPNsense physisch wäre mir aber lieber. So könnte man ggf. neben dem Standalone Gerät für pfSense / OPNsense einen kleinen Heimserver (Proxmox) mit reinbasteln (für solche Geschichten). Da hatte ich an die Ebay Kisten ala
Dell Precision / OptiPlex gedacht, die werden einem ja nachgeworfen.

 

[qiller]

Weiß nicht, was OPNSense da als IDS verwendet (Surricata?), aber das kann je nach Regelset und bei hohen Datenraten schon ordentlich Leistung ziehen. Mal 2 Screens von 2 IPFires:

Intel Atom C3558, 2x4GB Dualchannel @14,4MB/s DL

Intel Core i3-8100, 2x4GB Dualchannel @36,3MB/s DL

Bin mittlerweile eher ein Freund von kleinen Intel i3 4-Kern Desktopsystemen für Firewalls. Mit passenden UEFI-Settings kann man da auch den Verbrauch ordentlich drücken und hat bei richtig schnellen Anschlüssen keine Performanceprobleme. Den N100 konnte ich mir mal als Desktop Office System anschauen und fand den sehr träge. Ka obs letztendlich am Single-Channel oder niedrigen Baseclock von 800MHz lag, aber wenn man andere Systemreaktionen gewöhnt ist, merkt man die Trägheit recht schnell. Ob das auch auf Firewallsysteme übertragbar ist, kann ich aber nicht sagen. Durchaus möglich, dass die CPU da taugt.

 

[holdes]

Meiner Erfahrung nach sind die X86 bisher bei den Diensten und AES inkls. IPS/IDS deutlich stärker und du hast mehr Freiheiten bei der Auswahl an Software. Die Netgate sind da leider mit recht kleinen ARM CPUs ausgestattet und da wirds mit Wirespeed für wenig Geld eigentlich ummöglich.

Edit: Ach da war jemand schneller . Ja das ist genau was ich meine, kommt dann noch VPN mit AES ala IPSec dazu wirds relativ dünn.

 

[OsiMosi]

Leistung kann man ja bekanntlich nie genug haben und das mir das Mopped bei der ersten Beanspruchung direkt in die Knie geht ist ja dann auch nicht wirklich Sinn der Übung. Vom N100 hatte ich bislang auch durch YT relativ viel gutes gehört, aber wie hier schon erwähnt wurde, wirds da wahrscheinlich sehr eng.