mylord
Goto Top

OpnSense oder pfSense vs VyOS

Hallo Zusammen,

vor ein paar Jahren hatte ich pfSense bei mir am Laufen. Inzwischen habe ich es durch OpnSense ersetzt. Sowohl zu Hause, im Office und auch im RZ. Allerdings habe ich auch ein paar Ubiquiti Router, die ja auf VyOS basieren. Oder deren OS ist ein Form von VyOS. Und ja, ich weiß, dass viele gerne mit der Konsole arbeiten statt mit einer GUI. Allerdings frage ich mich im Moment, wie man eine Firewall ohne GUI administrieren kann. Okay, Konfigurieren kann man die problemlos. Aber das ist ja nicht alles.

Es fängt ja schon beim Debugging der Firewall-Regeln an. Oder Logging oder auch einfach nur um den Live Traffic zu sehen. Mich würde deshalb tatsächlich mal interessieren, wo der genaue Use Case von VyOS ist. Ja, irgendwo wo man Performance bei wenig Ressourcen benötigt: Ja, bin voll dabei. Aber sonst?

Content-ID: 667866

Url: https://administrator.de/contentid/667866

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

godlie
godlie 04.09.2024 aktualisiert um 11:46:20 Uhr
Goto Top
Hallo,

wenn dir das KlickyBunti von Ubiquiti gefällt, dann nutz es, kostet Speicher und Rechenzeit, eine FW kann man auch rein auf der CLI verwalten, ist zwar nicht so schön, aber mit einer Hand voll Shellscripts, bekommt man das auch recht Bunt und Informativ.

Zur eig. Frage: es gibt keinen Grund Sinn VyOS zu verwenden.
150631
150631 04.09.2024 um 12:42:54 Uhr
Goto Top
Ist VyOS nicht auch schon Geschichte im Hause UBNT?

Die Frage ist doch was willst du machen?

Ich weiß z.b von Cloudflare, die haben auch keine GUI so wie du dir das vorstellst. Aber dort sitzen auch sehr spezialisierte Fachleute.
C.R.S.
C.R.S. 04.09.2024 um 20:13:20 Uhr
Goto Top
Hallo,

es ist zunächst eine Entscheidung zwischen Linux- und FreeBSD-Basis, mit allen Implikationen für Routing, Performance und Hardware-Unterstützung.

CLI vs. GUI fällt vor allem dann fürs CLI aus, wenn man mehrere administrieren muss. Dann schaut man Logs und Traffic nicht mehr unbedingt auf dem Router an, sondern auf den externen Systemen dafür. Kann man prinzipiell aber auch auf dem CLI anzeigen.

Bezüglich der realisierbaren Funktionen herrscht annähernd Waffengleichheit. Auskonfiguriert mit HA, FRR, Suricata etc. ist VyOS aber deutlich stabiler.

Die Frage ist also eher, wie weit pfSense/OpnSense in komplexeren Umgebungen tragen, bevor man sich zu Tode klickt oder an der Fragilität verzweifelt.

Grüße
Richard
myLord
myLord 05.09.2024 um 12:04:16 Uhr
Goto Top
Und wie fällt man die Entscheidung zwischen Linux und FreeBSD? Ja, Hardware ist der eine Punkt. Aber meist läuft doch alles auf allem. Ein wichtiger Punkt scheint bei einigen in einer Multi-WAN Umgebung das reply-to Feature zu sein, was nur bei pfSense vorhanden ist.

Was würde man denn nehmen, wenn man mehrere VyOS Router im Einsatz hat, um dann an einer zentralen Stelle einen Überblick über die Logs und den Traffic zu haben? SNMP ist da IMHO zu sehr eingeschränkt.
C.R.S.
C.R.S. 06.09.2024 um 13:10:27 Uhr
Goto Top
Zitat von @myLord:

Und wie fällt man die Entscheidung zwischen Linux und FreeBSD? Ja, Hardware ist der eine Punkt. Aber meist läuft doch alles auf allem. Ein wichtiger Punkt scheint bei einigen in einer Multi-WAN Umgebung das reply-to Feature zu sein, was nur bei pfSense vorhanden ist.

Kann man nicht sagen, dass alles auf allem läuft, z.B. SR-IOV. Es reicht ja für einen professionellen Einsatz nicht, wenn es "läuft". Ein Netzadapter mag in Linux und FreeBSD gleichermaßen unterstützt werden, aber die Unterstützung hat jeweils eine Historie, ist mehr oder minder gut.
Wenn reply-to benötigt wird, ist das natürlich auch ein Faktor. Wobei ich meine, dass mit VyOS dasselbe erreichbar ist, bzw. der Mechanismus unter Linux mit zwei Default-Routes nicht nötig ist. Bin mir nicht sicher.

Im Prinzip kannst Du alles, was Netgate bewogen hat, neben pfSense TNSR aufzubauen, auf das ursprüngliche VyOS übertragen. Inzwischen ist VyOS funktional deutlich erweitert und damit auch Alternative zu pfSense/OpnSense, was für TNSR nicht gilt. Durch diese Entwicklung halte ich VyOS für ein ziemlich attraktives Paket. Firmenpolitisch steht es natürlich unter einem ähnlichen Damoklesschwert wie pfSense.

Was würde man denn nehmen, wenn man mehrere VyOS Router im Einsatz hat, um dann an einer zentralen Stelle einen Überblick über die Logs und den Traffic zu haben? SNMP ist da IMHO zu sehr eingeschränkt.

Syslog und softflowd decken das ab, auch mit pfSense ist das möglich. Als Zielsysteme eignen sich alle, die hier regelmäßig in Bezug auf Logging und Netzwerkmonitoring diskutiert werden. Ich bevorzuge Splunk für alles. Enterprise Free dürfte für ein paar Firewalls auch ausreichen.