16
Welche kostenlose Firewall verwendet ihr?
Hallo Leute,
wollte mal die alte Hardware-Firewall von Sophos austauschen, da Lizenz-Renewal + neue Hardware nicht gerade günstig ist.
Nun habe ich mal geschaut, was es so in der OpenSource-Welt gibt. Fündig wurde ich bei z.B. IPCop, IPFire, OPNsense, Endian, usw.
Wir brauchen halt..
- klassische Firewall-Dienste
- versch. Zonen (Intranet, WLAN intern, Gäste WLAN, DMZ)
- "Roadwarrior" VPN (möglichst einfach zu konfigurieren)
- Site-to-Site VPN (möglichst einfach zu konfigurieren)
- Idealerweise funkt das Gäste-WLAN mit Voucher-Codes
- Nicht Hardware-Hungrig
Was setzt ihr ein, bzw. was könnt ihr so empfehlen?
mfg,
cap.
wollte mal die alte Hardware-Firewall von Sophos austauschen, da Lizenz-Renewal + neue Hardware nicht gerade günstig ist.
Nun habe ich mal geschaut, was es so in der OpenSource-Welt gibt. Fündig wurde ich bei z.B. IPCop, IPFire, OPNsense, Endian, usw.
Wir brauchen halt..
- klassische Firewall-Dienste
- versch. Zonen (Intranet, WLAN intern, Gäste WLAN, DMZ)
- "Roadwarrior" VPN (möglichst einfach zu konfigurieren)
- Site-to-Site VPN (möglichst einfach zu konfigurieren)
- Idealerweise funkt das Gäste-WLAN mit Voucher-Codes
- Nicht Hardware-Hungrig
Was setzt ihr ein, bzw. was könnt ihr so empfehlen?
mfg,
cap.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 311486
Url: https://administrator.de/contentid/311486
Printed on: April 23, 2024 at 05:04 o'clock
16 Comments
Latest comment
Hallo,
ich verwende dafür (wie wahrscheinlich mehrere hier) eine PfSense auf einem Alix APU Board.
Gruß
ich verwende dafür (wie wahrscheinlich mehrere hier) eine PfSense auf einem Alix APU Board.
Gruß
1
Ebenso:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Voucher:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
Roadwarrior und VPN:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
VLAN, Zones:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Voucher:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
Roadwarrior und VPN:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
VLAN, Zones:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Moin,
ich persönlich tendiere ebenfalls zu PfSense, da dort die meisten Funktionen enthalten sind und es einfach absolut stabil läuft.
Wobei viele kommerzielle Firewalls mit "Application Detection", "DNS-Sinkhole", "Sandboxing" und einigen anderen Diensten mehr Funktionen bieten als die kostenlosen.
Hier mal Meine Meinung zu deinen Vorschlägen:
IPCop
IPFire
OPNsense
Endian
VG
Val
ich persönlich tendiere ebenfalls zu PfSense, da dort die meisten Funktionen enthalten sind und es einfach absolut stabil läuft.
Wobei viele kommerzielle Firewalls mit "Application Detection", "DNS-Sinkhole", "Sandboxing" und einigen anderen Diensten mehr Funktionen bieten als die kostenlosen.
Hier mal Meine Meinung zu deinen Vorschlägen:
IPCop
- letztes Update vor 1,5 Jahren
- Projekt ist tot
IPFire
- stabile Firewall
- kein Multi-WAN
- nur 4 Zonen(VLANS)
- kein bonding
- nicht vor V3 brauchbar
OPNsense
- basiert auf FreeBSD 10.3
- Fork von PfSense
- Bugs wurden als nicht zu lösen abgetan und später vom PfSense Team gefixt und in FreeBSD implementiert
- in einem alten "stable" Release waren alle VLANs broken
Endian
- keine Erfahrungen vorhanden
VG
Val
1
OK - die Mehrheit (bisher) scheint wohl zur PFSense zu tendieren - und dank der großen Tutorial Sammlung ist auch ein gutes Nachschlagewerk vorhanden 
Vorallem auch diese ALIX APUs scheinen recht interessant zu sein
Ich schaus mir mal an! Danke erstmal!
Vorallem auch diese ALIX APUs scheinen recht interessant zu sein Ich schaus mir mal an! Danke erstmal!
Hallo,
schau dir auch mal OPNsense an.
Ich bin selber Fan von pfSense (und Vorgänger) und wir haben einige Systeme im Einsatz.
Aber:
Im Moment würde ich die pfSense nicht mehr für Neueinsteiger empfehlen.
Gefühlt schwächeln alle Versionen der pfSense seit der Übernahme durch Netgate: mit jeder Version werden einige Bugs behoben, aber dafür neue Fehler eingebaut.
Inwieweit pfSense noch eine Zukunft hat ist ungewiss, da Chris Büchler ("der Kopf" hinter pfSense ) das Projekt bzw. Netgate verläßt, bzw. schon verlassen hat.
Egal für welche Distribution du dich entscheidest, nehme x64 Hardware (wichtig), z.B. ein APU board.
Gruß
C
schau dir auch mal OPNsense an.
Ich bin selber Fan von pfSense (und Vorgänger) und wir haben einige Systeme im Einsatz.
Aber:
Im Moment würde ich die pfSense nicht mehr für Neueinsteiger empfehlen.
Gefühlt schwächeln alle Versionen der pfSense seit der Übernahme durch Netgate: mit jeder Version werden einige Bugs behoben, aber dafür neue Fehler eingebaut.
Inwieweit pfSense noch eine Zukunft hat ist ungewiss, da Chris Büchler ("der Kopf" hinter pfSense ) das Projekt bzw. Netgate verläßt, bzw. schon verlassen hat.
Egal für welche Distribution du dich entscheidest, nehme x64 Hardware (wichtig), z.B. ein APU board.
Gruß
C
Hi Cap,
logisch ist die Sophos nicht gerade günstig. Meiner Meinung nach (gut, offen gesprochen, ich vertreibe diese auch) lohnt sich der Preis auf die Dauer gesehen.
Schon alleine anhand der Fehler, die hier im Forum in letzter Zeit wegen Updates aufliefen. Ganz abgesehen vom besseren Handling und damit direkt effektiveren Einrichtung.
Wenn du nochmal drüber nachdenken solltest darfst du dich gerne bei Fragen zu Sophos UTMs/SGs an mich wenden.
Schönen Abend,
Christian
logisch ist die Sophos nicht gerade günstig. Meiner Meinung nach (gut, offen gesprochen, ich vertreibe diese auch) lohnt sich der Preis auf die Dauer gesehen.
Schon alleine anhand der Fehler, die hier im Forum in letzter Zeit wegen Updates aufliefen. Ganz abgesehen vom besseren Handling und damit direkt effektiveren Einrichtung.
Wenn du nochmal drüber nachdenken solltest darfst du dich gerne bei Fragen zu Sophos UTMs/SGs an mich wenden.
Schönen Abend,
Christian
Wenn es keine Open Source sein muss kann ich noch gateprotect empfehlen. Deutsche GUI und super Support aus Hamburg.
Gruß
Looser
Gruß
Looser
Hallo,
wir verwenden IPCop. Der ist zugegebenermaßen etwas betagt und die Entwicklung verläuft schleppend - was aber auch daran liegt, dass das Projekt weitestgehend abgeschlossen ist. Die Aussage, dass das Projekt "tot" ist, ist übrigens unwahr.
Momentan testen wir auch pfSense, halten uns mit dem Roll-Out aufgrund der aktuellen Community-Entwicklung zurück. Zumal die pfSense einige Inkompatiblitäten hat, die "aus Prinzip" nicht beseitigt werden (z.B. im Umgang mit .local Domains im Zusammenhang mit dem DNS Resolver).
Gruß,
Jörg
wir verwenden IPCop. Der ist zugegebenermaßen etwas betagt und die Entwicklung verläuft schleppend - was aber auch daran liegt, dass das Projekt weitestgehend abgeschlossen ist. Die Aussage, dass das Projekt "tot" ist, ist übrigens unwahr.
Momentan testen wir auch pfSense, halten uns mit dem Roll-Out aufgrund der aktuellen Community-Entwicklung zurück. Zumal die pfSense einige Inkompatiblitäten hat, die "aus Prinzip" nicht beseitigt werden (z.B. im Umgang mit .local Domains im Zusammenhang mit dem DNS Resolver).
Gruß,
Jörg
im Umgang mit .local Domains im Zusammenhang mit dem DNS Resolver
Da verhalten sie sich absolut standardkonform. Das Problem sind hier unwissende Winblows Admins, die weiterhin die IANA reservierte .local Domain intern verwenden.Diese TLD ist aber weltweit dem mDNS Protokoll fest zugewiesen, also Protokollstandard:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Wer den Fehler macht diese TLD intern zu verwenden hat also selber Schuld, denn da liegt der Fehler nicht an der pfSense sondern zwischen den Kopfhörern.
.intern oder .lokal ist da immer die sinnvollere Alternative.
@aqui
Gruß,
Dani
Das Problem sind hier unwissende Winblows Admins, die weiterhin die IANA reservierte .local Domain intern verwenden.
Verursacher bzw. Auslöser ist meiner Ansicht nach Microsoft selbst. Denn diese haben jahrelang in Schulungen bzw später in KB-Artikeln als Best Practice ".local" empfohlen. Gott sei Dank wurde das in den letzten Jahren revidiert.... aber es ist in vielen Köpfen noch verankert. Des Weiteren ist ein Domain Rename meist mit Geld und Zeit verbunden.Gruß,
Dani
So direkt wollte ich es nicht sagen aber du hast absolut Recht ! So wie IBM in seinen Handbüchern immer IANA IPs hatte statt RFC 1918....
aber es ist in vielen Köpfen noch verankert.
Leider...wie man es ja an den gefühlten 5 Threads pro Tag hier im Forum zu dem Thema erdulden muss....
Hallo,
unterscheide "Empfehlungen" und "verbindliche Standards!.
Anzumerken wäre auch, dass die .local Domains dermaßen grundlegend bei der Installation so verbindlich festgelegt werden, dass man sie eigentlich nicht mehr systemkonform los wird (siehe z.B. die ganzen Domäns, die von einem SBS-Server gegründet und verwaltet werden).
Letztendlich ist es aber auch wirklich egal. Fakt ist, dass es solche Strukturen nun mal gibt. Und Fakt ist auch, dass nahezu jedes Gerät damit um kann und dass die pfSense als eines der wenigen Projekte die "sture Ausnahme" bildet.
Aber ich denke, das gehört hier wirklich nicht hin.
Wenn Community und Entwickler eine gewisse Durchdringung wünschen, dann passen sie sich halt an die Gegebenheiten an. Ansonsten kämpfen sie halt den Rest aller Tage um ihre Daseinsberechtigung. Es gibt ja glücklicherweise ausreichend Alternativen. Fakt ist nun mal, dass der IPCop zu wesentlich mehr Strukturen kompatibel ist, die ich "im Feld" vorfinde. Und wenn sich meine Aufgabe (und Bezahlung!) nur auf die Firewall reduziert, kann ich mich kaum anders entscheiden
Gruß,
Jörg
unterscheide "Empfehlungen" und "verbindliche Standards!.
Anzumerken wäre auch, dass die .local Domains dermaßen grundlegend bei der Installation so verbindlich festgelegt werden, dass man sie eigentlich nicht mehr systemkonform los wird (siehe z.B. die ganzen Domäns, die von einem SBS-Server gegründet und verwaltet werden).
Letztendlich ist es aber auch wirklich egal. Fakt ist, dass es solche Strukturen nun mal gibt. Und Fakt ist auch, dass nahezu jedes Gerät damit um kann und dass die pfSense als eines der wenigen Projekte die "sture Ausnahme" bildet.
Aber ich denke, das gehört hier wirklich nicht hin.
Wenn Community und Entwickler eine gewisse Durchdringung wünschen, dann passen sie sich halt an die Gegebenheiten an. Ansonsten kämpfen sie halt den Rest aller Tage um ihre Daseinsberechtigung. Es gibt ja glücklicherweise ausreichend Alternativen. Fakt ist nun mal, dass der IPCop zu wesentlich mehr Strukturen kompatibel ist, die ich "im Feld" vorfinde. Und wenn sich meine Aufgabe (und Bezahlung!) nur auf die Firewall reduziert, kann ich mich kaum anders entscheiden
Gruß,
Jörg
mDNS ist weltweit ein verbindlicher Standard !
Übrigens wenn man es richtig macht geht auch die pfSense absolut sauber damit um
bei der Installation so verbindlich festgelegt werden, dass man sie eigentlich nicht mehr systemkonform los wird
Ändert aber nichts an der Tatsache das sie falsch sind und MS das falsch dokumentiert hat. Siehe die Ausführungen vom Kollegen @DaniÜbrigens wenn man es richtig macht geht auch die pfSense absolut sauber damit um
Hallo,
grundsätzlich bin ich ja bei Dir.
Aber, wie gesagt - es gibt nun mal zahlreiche Produkte die das können und für eine entsprechende Durchdringung (die sich auch monetär auszahlt, siehe z.B. Gold-Mitgliedschaften und die Appliances), muss man halt auch mal über den Schatten springen und sein Produkt an den Bedarf anpassen.
Wie gesagt - technisch gesehen habt Ihr da vollends Recht und "eigentlich" ist es auch ganz gut, wenn man auf die Standards pocht. Ich habe einfach mal die Brille eines Produktmanagers aufgesetzt - manchmal steht der Idealismus halt dem Erfolg im Weg.
Für "die Geschichte mit den .local Domains" habe ich wie gesagt einen Workaround gebastelt.
Eine von einem SBS-Server erstellte und betriebene .local Domain z.B. auf .lokal oder .kneipe umzubauen, halte ich für exorbitant aufwändig. Und ich glaube sogar, dass der 2012r2 Essentials ebenfalls .local zwingend vorgibt...
Gruß,
Jörg
grundsätzlich bin ich ja bei Dir.
Aber, wie gesagt - es gibt nun mal zahlreiche Produkte die das können und für eine entsprechende Durchdringung (die sich auch monetär auszahlt, siehe z.B. Gold-Mitgliedschaften und die Appliances), muss man halt auch mal über den Schatten springen und sein Produkt an den Bedarf anpassen.
Wie gesagt - technisch gesehen habt Ihr da vollends Recht und "eigentlich" ist es auch ganz gut, wenn man auf die Standards pocht. Ich habe einfach mal die Brille eines Produktmanagers aufgesetzt - manchmal steht der Idealismus halt dem Erfolg im Weg.
Für "die Geschichte mit den .local Domains" habe ich wie gesagt einen Workaround gebastelt.
Eine von einem SBS-Server erstellte und betriebene .local Domain z.B. auf .lokal oder .kneipe umzubauen, halte ich für exorbitant aufwändig. Und ich glaube sogar, dass der 2012r2 Essentials ebenfalls .local zwingend vorgibt...
Gruß,
Jörg
Hallo Ihr Lieben,
was ist denn mit der Router Software "OpenWrt"? Diese hat auch eine Firewall und vieles mehr . . .
Das beste ist, dass selbst der "mcproxy" Dienst mehrere Upstream Interface's unterstützt. Allerdings ist der Build Process sehr komplex.
Gruß,
Stefan
was ist denn mit der Router Software "OpenWrt"? Diese hat auch eine Firewall und vieles mehr . . .
Das beste ist, dass selbst der "mcproxy" Dienst mehrere Upstream Interface's unterstützt. Allerdings ist der Build Process sehr komplex.
Gruß,
Stefan
Hallo Cap,
wir setzen schon seit einigen Jahren pfSense ein und evaluieren gerade OPNsense für einen möglichen wechseln. Der Hauptgrund ist der angenehmere Gedanke, dass dieser Fork von pfSense in Niederlande/ Europa sitzt. Ich habe die Entwickler vergangenes Jahr auf der Messe itsa getroffen (sehr nette leute). OPNsense hat sich rasant entwickelt und ich glaube daran, dass die Kollegen den pfSense Leuten das Leben schwer machen werden. Es ist trotzdem richtig, dass pfSense aktuell die umfangreichere Lösung bietet. Die OPNsense Leute bieten unter anderem eigene Hardware "Designed and Made in The Netherlands" (so die Aussage von deren Webseite) mit pfSense oder OPNsense Vorinstallation an. Siehe Link zum Shop: https://www.applianceshop.eu/?___store=de
Bei der Hardware Wahl habe ich mich allerdings auf den deutschen Lieferanten eingelassen. Die bieten verschiedene FW Lösungen auf Ihrer Hardware vorinstalliert an. Bis jetzt hatte ich keine Probleme. Habe einige APU's und zwei 19" Maschinen dort gekauft. Hier auch der Link zum deutschen Lieferanten: https://www.landitec.com/products/open-source-appliance-solutions
Viele Grüße
Mulli79
wir setzen schon seit einigen Jahren pfSense ein und evaluieren gerade OPNsense für einen möglichen wechseln. Der Hauptgrund ist der angenehmere Gedanke, dass dieser Fork von pfSense in Niederlande/ Europa sitzt. Ich habe die Entwickler vergangenes Jahr auf der Messe itsa getroffen (sehr nette leute). OPNsense hat sich rasant entwickelt und ich glaube daran, dass die Kollegen den pfSense Leuten das Leben schwer machen werden
. Es ist trotzdem richtig, dass pfSense aktuell die umfangreichere Lösung bietet. Die OPNsense Leute bieten unter anderem eigene Hardware "Designed and Made in The Netherlands" (so die Aussage von deren Webseite) mit pfSense oder OPNsense Vorinstallation an. Siehe Link zum Shop: https://www.applianceshop.eu/?___store=deBei der Hardware Wahl habe ich mich allerdings auf den deutschen Lieferanten eingelassen. Die bieten verschiedene FW Lösungen auf Ihrer Hardware vorinstalliert an. Bis jetzt hatte ich keine Probleme. Habe einige APU's und zwei 19" Maschinen dort gekauft. Hier auch der Link zum deutschen Lieferanten: https://www.landitec.com/products/open-source-appliance-solutions
Viele Grüße
Mulli79
