16
Suche linuxbasiertes Firewall-OS
Guten Tag,
die letzten Wochen habe ich einige Betriebssysteme testen können, leider bin ich immer wieder auf immense Bugs oder Einschränkungen getroffen. Die Suche nach einer ordentlichen Lösung ist scheinbar schwieriger als anfangs erwartet. Hier mal die Anforderungen:
- typische Firewall (Portweiterleitung, etc...)
- erweiterte NAT-Konfiguration ( SNAT Masqerading, SNAT auf virtuelle IP, DNAT auf virtuelle oder externe IP)
- Gruppierung von Netzen, Clients, Ports und Protokollen
- Policy-Routing
- Unterstützung von ESP und AH
- Traffic-Shaping und QoS
- typische Netzwerkeinstellungen (DNS, DHCP und NTP-Server)
- VPN (IPSEC und OpenVPN, ambesten mit AES-NI)
- allgemeiner Shell-Zugriff (am besten per SSH)
- Backup (am besten automatisierbar)
- Multi-WAN und HA-Support
- einfache Bedienung (möglichst alle obengenannten Sachen sollten in einer Oberfläche konfigurierbar sein)
Derzeit wird ein normales Debian mit Webmin verwendet, da aber das bisherige Gateway ersetzt werden soll, suche ich nach einer alternativen Software-Lösung.
Meine bisherigen Erfahrungen:
OPNsense - läuft stabil und schöne Oberfläche... aber... hat scheinbar einen komischen Bug, wenn man versucht eine SSH-Verbindung über die WAN herzustellen, dann sendet er die Pakete nicht direkt an den Client sondern an sein Standard-Gateway. Desweiteren ist die Menü-Führung wenig intuitiv. Manche Menü´s wirken überladen und sind vollgestoppft mit Informationen, teilweise kam es mir so vor das man manche relevante Einstellungen permanent auf anderen Seite suchen musste, was extrem nervt.
Pfsense - SSH über WAN wunderbar möglich, läuft soweit auch ganz gut. Aber wie schon bei OPNsense grausige Menü-Führung und Bedienung. Ich habe etliche Stunden versucht ein ordentliches DNAT zu erzeugen, bei dem es mir einfach nicht gelang mit einer diversen IP einen Client im LAN mit einer anderen IP anzusprechen. Problem war meistens, das der Client dann nicht mehr mit seiner LAN-IP antwortete. Was ziemlich blöd ist, dieses bidirektionale DNAT lies sich auch irgendwie nicht abstellen. Vielleicht weiß da einer mehr?
IPFire - Läuft stabil, einfache Menüführung, hervorragendes Monitoring aber leider nur x86. Desweiteren kann man viele Leistungsmerkmale der Linux-Firewall garnicht in der Oberfläche darstellen, weil dies scheinbar nie vorgesehen war. War bis dahin eigentlich mein Favorit.
ClearOS Community - Sehr übersichtlich... aber... nur 10 User in der Community und ein ziemlich windiges Lizenz-Modell. Ist mir teilweise auch zu übersichtlich und abgespeckt gewesen. Jeden Mist musste man über den Market erst installieren. Bis auf das MULTI-WAN, waren die meisten Funktionen sehr eingeschränt.
Also, nun zur eigentlichen Frage:
Kennt jemand Alternativen zu den obengenannten Derivaten die meine Anforderungen ordentlich abdecken? Oder, kann man das auch mit den genannten abdecken und ich sehe einfach nicht die Funktionen?
Danke im Voraus.
Gruß
die letzten Wochen habe ich einige Betriebssysteme testen können, leider bin ich immer wieder auf immense Bugs oder Einschränkungen getroffen. Die Suche nach einer ordentlichen Lösung ist scheinbar schwieriger als anfangs erwartet. Hier mal die Anforderungen:
- typische Firewall (Portweiterleitung, etc...)
- erweiterte NAT-Konfiguration ( SNAT Masqerading, SNAT auf virtuelle IP, DNAT auf virtuelle oder externe IP)
- Gruppierung von Netzen, Clients, Ports und Protokollen
- Policy-Routing
- Unterstützung von ESP und AH
- Traffic-Shaping und QoS
- typische Netzwerkeinstellungen (DNS, DHCP und NTP-Server)
- VPN (IPSEC und OpenVPN, ambesten mit AES-NI)
- allgemeiner Shell-Zugriff (am besten per SSH)
- Backup (am besten automatisierbar)
- Multi-WAN und HA-Support
- einfache Bedienung (möglichst alle obengenannten Sachen sollten in einer Oberfläche konfigurierbar sein)
Derzeit wird ein normales Debian mit Webmin verwendet, da aber das bisherige Gateway ersetzt werden soll, suche ich nach einer alternativen Software-Lösung.
Meine bisherigen Erfahrungen:
OPNsense - läuft stabil und schöne Oberfläche... aber... hat scheinbar einen komischen Bug, wenn man versucht eine SSH-Verbindung über die WAN herzustellen, dann sendet er die Pakete nicht direkt an den Client sondern an sein Standard-Gateway. Desweiteren ist die Menü-Führung wenig intuitiv. Manche Menü´s wirken überladen und sind vollgestoppft mit Informationen, teilweise kam es mir so vor das man manche relevante Einstellungen permanent auf anderen Seite suchen musste, was extrem nervt.
Pfsense - SSH über WAN wunderbar möglich, läuft soweit auch ganz gut. Aber wie schon bei OPNsense grausige Menü-Führung und Bedienung. Ich habe etliche Stunden versucht ein ordentliches DNAT zu erzeugen, bei dem es mir einfach nicht gelang mit einer diversen IP einen Client im LAN mit einer anderen IP anzusprechen. Problem war meistens, das der Client dann nicht mehr mit seiner LAN-IP antwortete. Was ziemlich blöd ist, dieses bidirektionale DNAT lies sich auch irgendwie nicht abstellen. Vielleicht weiß da einer mehr?
IPFire - Läuft stabil, einfache Menüführung, hervorragendes Monitoring aber leider nur x86. Desweiteren kann man viele Leistungsmerkmale der Linux-Firewall garnicht in der Oberfläche darstellen, weil dies scheinbar nie vorgesehen war. War bis dahin eigentlich mein Favorit.
ClearOS Community - Sehr übersichtlich... aber... nur 10 User in der Community und ein ziemlich windiges Lizenz-Modell. Ist mir teilweise auch zu übersichtlich und abgespeckt gewesen. Jeden Mist musste man über den Market erst installieren. Bis auf das MULTI-WAN, waren die meisten Funktionen sehr eingeschränt.
Also, nun zur eigentlichen Frage:
Kennt jemand Alternativen zu den obengenannten Derivaten die meine Anforderungen ordentlich abdecken? Oder, kann man das auch mit den genannten abdecken und ich sehe einfach nicht die Funktionen?
Danke im Voraus.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279777
Url: https://administrator.de/contentid/279777
Printed on: April 24, 2024 at 15:04 o'clock
16 Comments
Latest comment
Hallo Fenris,
was willst du denn bezahlen? Oder für Lau? In dem Fall musst du dann ggf. Zeit investieren.
Grüße
was willst du denn bezahlen? Oder für Lau? In dem Fall musst du dann ggf. Zeit investieren.
Grüße
Naja ich dachte eher für Lau... ich meine OPNsense oder PFsense haben ja nicht die schlechtesten Ansätze, leider an einigen Ecken unfertig. Das Geld will ich lieber in ordentliche Hardware investieren, anstatt in teuere Software, die im Endeffekt nichts weiter macht außer ein Frontend für iptables bereitzustellen.
Zitat von @Fenris14:
Naja ich dachte eher für Lau... ich meine OPNsense oder PFsense haben ja nicht die schlechtesten Ansätze, leider an
einigen Ecken unfertig. Das Geld will ich lieber in ordentliche Hardware investieren, anstatt in teuere Software, die im Endeffekt
nichts weiter macht außer ein Frontend für iptables bereitzustellen.
Naja ich dachte eher für Lau... ich meine OPNsense oder PFsense haben ja nicht die schlechtesten Ansätze, leider an
einigen Ecken unfertig. Das Geld will ich lieber in ordentliche Hardware investieren, anstatt in teuere Software, die im Endeffekt
nichts weiter macht außer ein Frontend für iptables bereitzustellen.
wie gesagt, dann musst du damit leben. wobei die Softwarentwicklung da schon etwas mehr macht und meist hast du damit einhergehend auch gut assemblierte SW.
Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung und Umsetzung der VPN-Verwaltung... das würde ich mir wünschen.
Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der meisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der meisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Zitat von @Fenris14:
Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung und Umsetzung der VPN-Verwaltung... das
würde ich mir wünschen.
Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der meisten Distributionen nicht
abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung und Umsetzung der VPN-Verwaltung... das
würde ich mir wünschen.
Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der meisten Distributionen nicht
abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Wie gesagt, Hopp oder Topp und das ist dann auch der Preis für die Lizenz - nebenbei auch noch die eine oder andere Supporttätigkeit, die du eben dann nicht erbringen musst und in Summe sind die Lizenzen dann auch nicht mehr so teuer.
Aber wie schon bei OPNsense grausige Menü-Führung und Bedienung.
Das ist wohl rein persönlich bedingt. M.E. kann man eine Menüführung nicht viel übersichtlicher machen....Ich habe etliche Stunden versucht ein ordentliches DNAT zu erzeugen
Mmmhhh...wenn man weiss was man macht dann dauert das real ca. 30 Sekunden. War hier mit ca. 5 Mausklicks im Handumdrehen erledigt.Dieser Punkt ist ca. 0.000x% der Kunktionalität und kannst du wohl nicht wirklich Ernst meinen ?!
Problem war meistens, das der Client dann nicht mehr mit seiner LAN-IP antwortete
Ist hier im Live Betrieb mit der 2.2.2 und 2.2.3 noch niemals aufgetreten. Vermutlich ein Fehler in deiner Konfig ?!dieses bidirektionale DNAT lies sich auch irgendwie nicht abstellen.
Doch, kann man in den Advanced Interface Settings deaktivieren. Ist auch so oder so im Default außer auf dem WAN Port nirgendwo aktiviert.In deiner obigen Liste fehlt noch die Endian Firewall:
http://www.endian.com/community/overview/
Zitat von @aqui:
> Aber wie schon bei OPNsense grausige Menü-Führung und Bedienung.
Das ist wohl rein persönlich bedingt. M.E. kann man eine Menüführung nicht viel übersichtlicher machen....
> Ich habe etliche Stunden versucht ein ordentliches DNAT zu erzeugen
Mmmhhh...wenn man weiss was man macht dann dauert das real ca. 30 Sekunden. War hier mit ca. 5 Mausklicks im Handumdrehen
erledigt.
Dieser Punkt ist ca. 0.000x% der Kunktionalität und kannst du wohl nicht wirklich Ernst meinen ?!
> Problem war meistens, das der Client dann nicht mehr mit seiner LAN-IP antwortete
Ist hier im Live Betrieb mit der 2.2.2 und 2.2.3 noch niemals aufgetreten. Vermutlich ein Fehler in deiner Konfig ?!
> dieses bidirektionale DNAT lies sich auch irgendwie nicht abstellen.
Doch, kann man in den Advanced Interface Settings deaktivieren. Ist auch so oder so im Default außer auf dem WAN Port
nirgendwo aktiviert.
In deiner obigen Liste fehlt noch die Endian Firewall:
http://www.endian.com/community/overview/
> Aber wie schon bei OPNsense grausige Menü-Führung und Bedienung.
Das ist wohl rein persönlich bedingt. M.E. kann man eine Menüführung nicht viel übersichtlicher machen....
> Ich habe etliche Stunden versucht ein ordentliches DNAT zu erzeugen
Mmmhhh...wenn man weiss was man macht dann dauert das real ca. 30 Sekunden. War hier mit ca. 5 Mausklicks im Handumdrehen
erledigt.
Dieser Punkt ist ca. 0.000x% der Kunktionalität und kannst du wohl nicht wirklich Ernst meinen ?!
> Problem war meistens, das der Client dann nicht mehr mit seiner LAN-IP antwortete
Ist hier im Live Betrieb mit der 2.2.2 und 2.2.3 noch niemals aufgetreten. Vermutlich ein Fehler in deiner Konfig ?!
> dieses bidirektionale DNAT lies sich auch irgendwie nicht abstellen.
Doch, kann man in den Advanced Interface Settings deaktivieren. Ist auch so oder so im Default außer auf dem WAN Port
nirgendwo aktiviert.
In deiner obigen Liste fehlt noch die Endian Firewall:
http://www.endian.com/community/overview/
Naja die Probleme bei der Konfiguration mit Pfsense, gehen bei mir wohl mit der für mich komischen Menüführung einher. Bei Webmin sind das wahrscheinlich noch weniger Klicks, darum geht es nicht. Natürlich meine ich das Ernst... wie gesagt die Probleme begründen sich hauptsächlich darauf das ich die Oberfläche weder von OPNsense noch von Pfsense so richtig verstehe. Mir ist durchaus bewusst, dass sich die Entwickler was dabei gedacht haben, aber mir erschließt es sich einfach nicht. Die Strukturierung und Eindeutigkeit fehlt einfach.
Ein einfacher PortForward ist kein Problem. Aber solche Spezialfälle wie DNAT...
Schon alleine die zich Verweise auf andere Konfigurations-Seiten... einfach nervig.
Endian habe ich noch nicht testen können.
Moin,
wenn dir das alles nicht passt, denn geh doch plain auf die Kommandzeile, hindert dich ja keiner daran es direkt mit IPTables abzufackeln, dann hast du alle Möglichkeiten die dir die Firewall bietet.
Und jetzt sag nicht, das dir das dann auch wieder zu umständlich ist
Konzepte muss man sich halt manchmal durch erlesen erarbeiten, das ist überall so.
Gruß jodel32
wenn dir das alles nicht passt, denn geh doch plain auf die Kommandzeile, hindert dich ja keiner daran es direkt mit IPTables abzufackeln, dann hast du alle Möglichkeiten die dir die Firewall bietet.
Und jetzt sag nicht, das dir das dann auch wieder zu umständlich ist
Konzepte muss man sich halt manchmal durch erlesen erarbeiten, das ist überall so.Gruß jodel32
@aqui: So ich habe jetzt nochmals bei pfSense ein DNAT konfiguriert...
Unter "Virtual IP´s" bei Firewall: 20.x.x.x
Dann bei "NAT" im Reiter "1:1": WAN - External IP 20.x.x.x - Internal IP 10.x.x.x
Unter "Rules" im Reiter "WAN": Protocol Any - Destination 10.x.x.x
Somit kann ich erstmal die 10.x.x.x mit der 20.x.x.x von außen erreichen. Somit sollte aber, so wie du zumindest behauptest, per default das bidrektionale NAT nicht funktionieren. Wenn ich jetzt aber mit der 10.x.x.x die 30.x.x.x anpinge, wird im tcpdump statt der 10.x.x.x die 20.x.x.x gezeigt.
Desweiteren kann ich keine "Advanced Interface Seetings" bei pfSense finden. Wo bitte sollen diese zufinden sein? Welche Option genau?
Unter "Virtual IP´s" bei Firewall: 20.x.x.x
Dann bei "NAT" im Reiter "1:1": WAN - External IP 20.x.x.x - Internal IP 10.x.x.x
Unter "Rules" im Reiter "WAN": Protocol Any - Destination 10.x.x.x
Somit kann ich erstmal die 10.x.x.x mit der 20.x.x.x von außen erreichen. Somit sollte aber, so wie du zumindest behauptest, per default das bidrektionale NAT nicht funktionieren. Wenn ich jetzt aber mit der 10.x.x.x die 30.x.x.x anpinge, wird im tcpdump statt der 10.x.x.x die 20.x.x.x gezeigt.
Desweiteren kann ich keine "Advanced Interface Seetings" bei pfSense finden. Wo bitte sollen diese zufinden sein? Welche Option genau?
Probleme begründen sich hauptsächlich darauf das ich die Oberfläche weder von OPNsense noch von Pfsense so richtig verstehe.
Mal ganz ehrlich wenn du diese einfache Logik und Syntax nicht verstehst, dann hast du aber ein generelles Problem !Alle Firewall GUIs sind mehr oder minder so ausgelegt und wenn man ehrlich ist dann ist deine Einstellung auch nicht wirklich nachvollziehbar.
Jeder Netzwerker der nur minimal was von inbound und outbound Paket Flows versteht kann sich das ohne größere Probleme intuitiv erschliessen.
Und für den der es nicht kann gibt es entsprechende Literatur dazu die einem das in ruhiger Minute auf der Couch beipuhlt:
http://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
Sorry, aber deine Einstellung ist schon recht speziell dazu...
https://doc.pfsense.org/index.php/Outbound_NAT
DNAT ist ja Destination NAT also die Ziel IP soll umgesetzt werden. Am WAN Port passiert das erstmal schon per Default wenn du es nicht deaktiviert hast. Hier muss dann erstmal gar nichts zusätzlich konfiguriert werden.
Anders sieht es aus wenn du das DNAT nur speziell für ein einzelnes IP Pärchen machen willst oder einen einzelnen Host. Dann machst du das über eine FW Rule und Policy Filtering in den Advanced Options der FW Regel. Das war damit gemeint.
Funktioniert hier im Test auf einer ALIX pfSense mit 2.2.3 fehlerlos.
Was genau willst du denn erreichen ? Vielleicht sollten wir das erstmal explizit vorher klären ?
Wie Aqui verlinkt hat, Stichwort Outbound NAT, findest du in der Firewall Section...
denn per Default wird alles was aus dem LAN kommt am WAN geNATet, also brauchst du dort eine Außnahme für deinen Client.
denn per Default wird alles was aus dem LAN kommt am WAN geNATet, also brauchst du dort eine Außnahme für deinen Client.
Hallo zusammen,
fenris14 ich weiß jetzt fast nicht wie ich es ausdrücken soll und wie ich anfangen soll,
ich lehne mich jetzt einfach mal etwas weiter aus dem Fenster und sage es einfach frei
heraus, zumindest so wie es sich für mich darstellt.
Ich weiß wirklich nicht wie alt Du bist, aber wenn es Dir peinlich ist das Du nicht so viel
von diesen Sachen verstehst und noch etwas jünger bist dann macht das hier niemandem
etwas aus, nur wenn Du meinst das Du hier so tun musst als wenn Du richtig dicke Ahnung
von der Materie hast und dann merkt man in wirklich jedem Satz das dort nicht viel Substanz
hinter ist, ist dass das wirkliche Problem und man blamiert sich noch viel mehr und die Hilfe ist
dann auch nicht mehr dahingehend das was sie für Dich hätte sein können. Denk mal bitte darüber
nach und frag einfach heraus was Dich interessiert.
auf FreeBSD basieren und aufbauen? Linux ist nicht BSD weder NetBSD, noch OpenBSD bzw.
FreeBSD! Ok?
von pfSense und nicht mehr und nicht weniger.
ok, nicht jeder will mit der 0815 PC Engines APU "abrauschen", obwohl sie gut ist.
"Show Stopper" hat und des weiteren das es überhaupt eine Community Version davon gibt.
Ihr Geld wert und verpetzt Dich dann auch noch hinterrücks, oder?
und wo bitte ist das im Einsatz, privat oder in einem Betrieb?
basiert auf CentOS das schon gehärtet daher kommt. Eventuell wäre noch LEAF eine Möglichkeit.
Linux basierend:
fli4l
IPCop
IPFire
Openwall (GNU/Linux)
ZeroShell
SmoothWall
Sophos UTM
Untangle UTM
Endian Firewall
BSD basierende Firewalls:
mOnOwall (EoL)
pfSense
OPNSense
OpenBSD & pf (ohne GUI)
Router Projekte
Linux oder BSD)
BSD:
OpenBSD & OpenBGPD
OpenBSD & Quagga
Vyatta
Linux:
DD-WRT
OpenWRT
Tomato
RouterOS
Da ist genug Software vorhanden und woher sollen wir wissen was Du
für gut befindest und was Dir liegt und was Du intuitiv oder toll findest?
Installiere Dir einfach alles nach und nach in eine VM auf Deinem PC und dann
kauf Dir einfach eine Dual Port oder Quad Port NIC damit auch genug Ports zur
Verfügung stehen, die NIC kann man später in der Firewall weiter verwenden.
bzw. einer DMZ stehen und geht ab wie Sau!
und die Leistung von pfSense gibt es nicht! Nicht in einem der oben genannten Systeme.
Konfiguration in einem Webinterface sowie einem CLI vorzunehmen und diese Betriebssysteme
bringen eben gleich Ihr eigenes CLI mit, was ist daran jetzt so schlimm?
Es liegt einfach daran das Du eventuell nicht nur das simple Basic Setup brauchst oder möchtest
sondern ans Eingemachte gehen möchtest, das aber ist meist nicht im Webinterface zu finden.
Gruß
Dobby
fenris14 ich weiß jetzt fast nicht wie ich es ausdrücken soll und wie ich anfangen soll,
ich lehne mich jetzt einfach mal etwas weiter aus dem Fenster und sage es einfach frei
heraus, zumindest so wie es sich für mich darstellt.
Ich weiß wirklich nicht wie alt Du bist, aber wenn es Dir peinlich ist das Du nicht so viel
von diesen Sachen verstehst und noch etwas jünger bist dann macht das hier niemandem
etwas aus, nur wenn Du meinst das Du hier so tun musst als wenn Du richtig dicke Ahnung
von der Materie hast und dann merkt man in wirklich jedem Satz das dort nicht viel Substanz
hinter ist, ist dass das wirkliche Problem und man blamiert sich noch viel mehr und die Hilfe ist
dann auch nicht mehr dahingehend das was sie für Dich hätte sein können. Denk mal bitte darüber
nach und frag einfach heraus was Dich interessiert.
Suche linuxbasiertes Firewall-OS
ok das mag sei nur erzähl mal bitte warum Du dann auf pfSense und OPNSense kommst dieauf FreeBSD basieren und aufbauen? Linux ist nicht BSD weder NetBSD, noch OpenBSD bzw.
FreeBSD! Ok?
Naja ich dachte eher für Lau... ich meine OPNsense oder PFsense haben ja nicht die schlechtesten
Ansätze, leider an einigen Ecken unfertig.
Also ich denke pfSense ist weder unfertig noch Linux basierend. und OPNSense ist ein ForkAnsätze, leider an einigen Ecken unfertig.
von pfSense und nicht mehr und nicht weniger.
Das Geld will ich lieber in ordentliche Hardware investieren, anstatt in teuere Software,
die im Endeffekt nichts weiter macht außer ein Frontend für iptables bereitzustellen.
pf (Packet Filter) ist kein billiger IPTables Abklatsch. Ok das mit der Hardware ist schondie im Endeffekt nichts weiter macht außer ein Frontend für iptables bereitzustellen.
ok, nicht jeder will mit der 0815 PC Engines APU "abrauschen", obwohl sie gut ist.
ClearOS Community - Sehr übersichtlich... aber... nur 10 User in der Community und ein ziemlich
windiges Lizenz-Modell.
Ich persönlich sehe in ClearOS einen echten "Shooting Star" der das Zeug zu einem richtigenwindiges Lizenz-Modell.
"Show Stopper" hat und des weiteren das es überhaupt eine Community Version davon gibt.
Ist mir teilweise auch zu übersichtlich und abgespeckt gewesen.
Zu übersichtlich! Wie geht das denn? Wir spielen hier nicht "fang die Maus!"Jeden Mist musste man über den Market erst installieren. Bis auf das MULTI-WAN,
waren die meisten Funktionen sehr eingeschränt.
Hmmm, und jede MickyMaus APP aus dem APP Shop für 3 € - 5 € ist natürlich dickewaren die meisten Funktionen sehr eingeschränt.
Ihr Geld wert und verpetzt Dich dann auch noch hinterrücks, oder?
Kennt jemand Alternativen zu den obengenannten Derivaten die meine Anforderungen ordentlich
abdecken?
Mehrere.abdecken?
Oder, kann man das auch mit den genannten abdecken und ich sehe einfach nicht
die Funktionen?
Würde ich eher sagen wollen.die Funktionen?
Derzeit wird ein normales Debian mit Webmin verwendet,
Nicht gehärtet, nicht gerade bekannt dafür alles "up to date" zu halten,und wo bitte ist das im Einsatz, privat oder in einem Betrieb?
da aber das bisherige Gateway ersetzt werden soll, suche ich nach einer alternativen Software-Lösung.
Eine richtige Gateway-Lösung wäre hier wirklich nur ClearOS (früher ClarkOS), so wie ich das sehe, diebasiert auf CentOS das schon gehärtet daher kommt. Eventuell wäre noch LEAF eine Möglichkeit.
Linux basierend:
fli4l
IPCop
IPFire
Openwall (GNU/Linux)
ZeroShell
SmoothWall
Sophos UTM
Untangle UTM
Endian Firewall
BSD basierende Firewalls:
mOnOwall (EoL)
pfSense
OPNSense
OpenBSD & pf (ohne GUI)
Router Projekte
Linux oder BSD)BSD:
OpenBSD & OpenBGPD
OpenBSD & Quagga
Vyatta
Linux:
DD-WRT
OpenWRT
Tomato
RouterOS
Da ist genug Software vorhanden und woher sollen wir wissen was Du
für gut befindest und was Dir liegt und was Du intuitiv oder toll findest?
Installiere Dir einfach alles nach und nach in eine VM auf Deinem PC und dann
kauf Dir einfach eine Dual Port oder Quad Port NIC damit auch genug Ports zur
Verfügung stehen, die NIC kann man später in der Firewall weiter verwenden.
Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung
und Umsetzung der VPN-Verwaltung... das würde ich mir wünschen.
Schau Dir mal CentOS und SoftEtherVPN an, das kann auch als VPN Server in derund Umsetzung der VPN-Verwaltung... das würde ich mir wünschen.
bzw. einer DMZ stehen und geht ab wie Sau!
Schon alleine die zich Verweise auf andere Konfigurations-Seiten... einfach nervig.
Ich weiß nicht ganz genau ob Du das jetzt verstehst, aber die Oberfläche einer AVM FBund die Leistung von pfSense gibt es nicht! Nicht in einem der oben genannten Systeme.
Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der
meisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Auf sehr vielen Routern und Firewall sowie Switchen gibt es fast immer die Möglichkeit diemeisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Konfiguration in einem Webinterface sowie einem CLI vorzunehmen und diese Betriebssysteme
bringen eben gleich Ihr eigenes CLI mit, was ist daran jetzt so schlimm?
Es liegt einfach daran das Du eventuell nicht nur das simple Basic Setup brauchst oder möchtest
sondern ans Eingemachte gehen möchtest, das aber ist meist nicht im Webinterface zu finden.
Gruß
Dobby
1Zitat von @108012:
Hallo zusammen,
Hallo zusammen,
Hallo
fenris14 ich weiß jetzt fast nicht wie ich es ausdrücken soll und wie ich anfangen soll,
ich lehne mich jetzt einfach mal etwas weiter aus dem Fenster und sage es einfach frei
heraus, zumindest so wie es sich für mich darstellt.
ich lehne mich jetzt einfach mal etwas weiter aus dem Fenster und sage es einfach frei
heraus, zumindest so wie es sich für mich darstellt.
Dann mach mal...
Ich weiß wirklich nicht wie alt Du bist, aber wenn es Dir peinlich ist das Du nicht so viel
von diesen Sachen verstehst und noch etwas jünger bist dann macht das hier niemandem
etwas aus, nur wenn Du meinst das Du hier so tun musst als wenn Du richtig dicke Ahnung
von der Materie hast und dann merkt man in wirklich jedem Satz das dort nicht viel Substanz
hinter ist, ist dass das wirkliche Problem und man blamiert sich noch viel mehr und die Hilfe ist
dann auch nicht mehr dahingehend das was sie für Dich hätte sein können. Denk mal bitte darüber
nach und frag einfach heraus was Dich interessiert.
von diesen Sachen verstehst und noch etwas jünger bist dann macht das hier niemandem
etwas aus, nur wenn Du meinst das Du hier so tun musst als wenn Du richtig dicke Ahnung
von der Materie hast und dann merkt man in wirklich jedem Satz das dort nicht viel Substanz
hinter ist, ist dass das wirkliche Problem und man blamiert sich noch viel mehr und die Hilfe ist
dann auch nicht mehr dahingehend das was sie für Dich hätte sein können. Denk mal bitte darüber
nach und frag einfach heraus was Dich interessiert.
Zeige mir bitte wo ich auf "dicke Hose" gemacht oder "dicke Ahnung" suggeriert habe...
Desweiteren kommt es darauf an was man als "Jung" betrachtet. Aber darauf werde ich mich nicht weiter beziehen. Wenn man es auf Erfahrung in der Branche bezieht, würde ich tatsächlich sagen, dass es der Erfahrungswert noch nicht all zu groß ist, was widerum der Zeit geschuldet ist. Ich kann aber behaupten das ich in einigen wenigen Jahren viel gelernt habe.
Substanz - nun gut könnte man so auslegen... ich komm eher aus der Windows-Welt und bin über VMware bei Linux/Unix gelandet. War für mich ein echter Kultur-Schock. Das ich mich mit pfSense oder OPnsense erst seit ungefähr einer Woche beschäftige und dann nicht gleich mit geballtem Wissen daher komme, sollte klar sein. Auch denke ich kommen viele geschriebene Sachen auch falsch rüber, da das Thema umfangreich ist, vergisst man hin und wieder dinge die man eigentlich in die Frage mit hinein beziehen wollte. Auch wird es damit zu tun haben das ich nicht gerade wert auf "schön" geschriebene Texte und Formulierungen lege.
> Suche linuxbasiertes Firewall-OS
ok das mag sei nur erzähl mal bitte warum Du dann auf pfSense und OPNSense kommst die
auf FreeBSD basieren und aufbauen? Linux ist nicht BSD weder NetBSD, noch OpenBSD bzw.
FreeBSD! Ok?
ok das mag sei nur erzähl mal bitte warum Du dann auf pfSense und OPNSense kommst die
auf FreeBSD basieren und aufbauen? Linux ist nicht BSD weder NetBSD, noch OpenBSD bzw.
FreeBSD! Ok?
Was ist daran verkehrt? Mir ist durchaus bewusst das es sich bei pfSense/OPNsense um FreeBSD-Systeme handelt.
Die obige Liste mit meinen Tests ist schematisch die zeitliche Anordnung wie und was ich zu erst getestet habe (könnt ihr natürlich nicht wissen). Wie man sieht war es erst BSD und dann später Linux. Ipfire war sozusagen mein erstes Linux-System das ich gestestet habe. Danach ein nächstes Linux-System, ClearOS, das sogar ein Red Hat-basierendes System ist.... meine Anfrage ist dahingehend eigentlich richtig, da ich tatsächlich ein linux-basierendes System haben möchte, nachdem ich mit BSD-Basierenden "schlechte" Erfahrungen gemacht habe... wie ich schrieb, wegen der Bedienung und der Syntax... dass das natürlich nicht richtig oder garnicht im Text rüber kommt, ist mein Fehler.
> Naja ich dachte eher für Lau... ich meine OPNsense oder PFsense haben ja nicht die schlechtesten
> Ansätze, leider an einigen Ecken unfertig.
Also ich denke pfSense ist weder unfertig noch Linux basierend. und OPNSense ist ein Fork
von pfSense und nicht mehr und nicht weniger.
> Ansätze, leider an einigen Ecken unfertig.
Also ich denke pfSense ist weder unfertig noch Linux basierend. und OPNSense ist ein Fork
von pfSense und nicht mehr und nicht weniger.
Vielleicht hätte ich hier eher das "unfertig" auf OPNsense beziehen sollen. OK.
Was ist jetzt mit dem Hinweis das OPNsense ein Fork ist? Dies ändert leider nichts daran, dass bei OPNsense noch viele Sachen zu machen sind... Darstellungsfehler in der Oberfläche, der von mir obengenannte "Bug" oder fehlende Funktionen gegenüber pfSense. Ein Fork muss ja nicht schlechter sein.
> Das Geld will ich lieber in ordentliche Hardware investieren, anstatt in teuere Software,
> die im Endeffekt nichts weiter macht außer ein Frontend für iptables bereitzustellen.
pf (Packet Filter) ist kein billiger IPTables Abklatsch. Ok das mit der Hardware ist schon
ok, nicht jeder will mit der 0815 PC Engines APU "abrauschen", obwohl sie gut ist.
Hätte ich "pf" gemeint, hätte ich dies auch geschrieben. Hier war tatsächlich auch iptables gemeint.
> ClearOS Community - Sehr übersichtlich... aber... nur 10 User in der Community und ein ziemlich
> windiges Lizenz-Modell.
Ich persönlich sehe in ClearOS einen echten "Shooting Star" der das Zeug zu einem richtigen
"Show Stopper" hat und des weiteren das es überhaupt eine Community Version davon gibt.
Mag ja sein, dennoch finde ich das Lizenz-Modell nicht gerade schön... 1. weil es Geld kostet und 2. was macht es soviel besser als vergleichbare Systeme? (außer eventuell besserer Support)
Komisch finde ich auch das man für einige Standard-Funktionen Pakete kaufen muss, die bei anderen Systemen fester Bestandteil sind.
Schön und gut das eine Community-Edtion bereitgestellt wird, sicherlich interessant für kleine Unternehmen, aber ist man größer wird es schwierig.
> Ist mir teilweise auch zu übersichtlich und abgespeckt gewesen.
Zu übersichtlich! Wie geht das denn? Wir spielen hier nicht "fang die Maus!"
Zu übersichtlich! Wie geht das denn? Wir spielen hier nicht "fang die Maus!"
Naja damit war gemeint, dass es ziemlich abgespeckt wirkt und scheinbar auch ist. Ist dann halt für kleine Unternehmen gedacht. Wobei ich hier nur für die Community-Edition sprechen kann, wie das bei der Professional aussieht kann ich nicht sagen.
> Jeden Mist musste man über den Market erst installieren. Bis auf das MULTI-WAN,
> waren die meisten Funktionen sehr eingeschränt.
Hmmm, und jede MickyMaus APP aus dem APP Shop für 3 € - 5 € ist natürlich dicke
Ihr Geld wert und verpetzt Dich dann auch noch hinterrücks, oder?
> waren die meisten Funktionen sehr eingeschränt.
Hmmm, und jede MickyMaus APP aus dem APP Shop für 3 € - 5 € ist natürlich dicke
Ihr Geld wert und verpetzt Dich dann auch noch hinterrücks, oder?
Bitte um Erklärung...
Einige Apps waren deutlich teurer als "3€ - 5€".
> Kennt jemand Alternativen zu den obengenannten Derivaten die meine Anforderungen ordentlich
> abdecken?
Mehrere.
Das ist ja schön.
> Oder, kann man das auch mit den genannten abdecken und ich sehe einfach nicht
> die Funktionen?
Würde ich eher sagen wollen.
Da ist ja gut. Erleuchte mich. Man kann ja immer was erlernen.
> Derzeit wird ein normales Debian mit Webmin verwendet,
Nicht gehärtet, nicht gerade bekannt dafür alles "up to date" zu halten,
und wo bitte ist das im Einsatz, privat oder in einem Betrieb?
Ich weiß, deshalb soll es ja auch ersetzt werden. Tatsächlich wird es so in einem Betrieb verwendet. Aber nur um die Firewall zu konfigurieren, den dass ist dort deutlicher umgesetzt, als ich es bisher gesehen habe.
> da aber das bisherige Gateway ersetzt werden soll, suche ich nach einer alternativen Software-Lösung.
Eine richtige Gateway-Lösung wäre hier wirklich nur ClearOS (früher ClarkOS), so wie ich das sehe, die
basiert auf CentOS das schon gehärtet daher kommt. Eventuell wäre noch LEAF eine Möglichkeit.
Linux basierend:
fli4l
IPCop
IPFire
Openwall (GNU/Linux)
ZeroShell
SmoothWall
Sophos UTM
Untangle UTM
Endian Firewall
BSD basierende Firewalls:
mOnOwall (EoL)
pfSense
OPNSense
OpenBSD & pf (ohne GUI)
Router ProjekteLinux oder BSD)
BSD:
OpenBSD & OpenBGPD
OpenBSD & Quagga
Vyatta
Linux:
DD-WRT
OpenWRT
Tomato
RouterOS
Eine richtige Gateway-Lösung wäre hier wirklich nur ClearOS (früher ClarkOS), so wie ich das sehe, die
basiert auf CentOS das schon gehärtet daher kommt. Eventuell wäre noch LEAF eine Möglichkeit.
Linux basierend:
fli4l
IPCop
IPFire
Openwall (GNU/Linux)
ZeroShell
SmoothWall
Sophos UTM
Untangle UTM
Endian Firewall
BSD basierende Firewalls:
mOnOwall (EoL)
pfSense
OPNSense
OpenBSD & pf (ohne GUI)
Router Projekte
Linux oder BSD)BSD:
OpenBSD & OpenBGPD
OpenBSD & Quagga
Vyatta
Linux:
DD-WRT
OpenWRT
Tomato
RouterOS
Danke. Das ist dochmal eine schöne Übersicht.
Da ist genug Software vorhanden und woher sollen wir wissen was Du
für gut befindest und was Dir liegt und was Du intuitiv oder toll findest?
Kann man natürlich so stehen lassen. Aber Hinweis hätte folgender Satz gegeben: "Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung und Umsetzung der VPN-Verwaltung."
Ist zwar keine Pflicht das durchzulesen, aber man kann nicht sagen das es nicht da steht.
Installiere Dir einfach alles nach und nach in eine VM auf Deinem PC und dann
kauf Dir einfach eine Dual Port oder Quad Port NIC damit auch genug Ports zur
Verfügung stehen, die NIC kann man später in der Firewall weiter verwenden.
Hardware ist bereits vorhanden. Software-Test´s werden natürlich je nach Zeit durchgeführt.
> Von der Firewall-Bedienung her wie Webmin nur mit einer ordentlichen Gruppierung
> und Umsetzung der VPN-Verwaltung... das würde ich mir wünschen.
Schau Dir mal CentOS und SoftEtherVPN an, das kann auch als VPN Server in der
bzw. einer DMZ stehen und geht ab wie Sau!
> und Umsetzung der VPN-Verwaltung... das würde ich mir wünschen.
Schau Dir mal CentOS und SoftEtherVPN an, das kann auch als VPN Server in der
bzw. einer DMZ stehen und geht ab wie Sau!
Danke für den Tipp. Werde ich mir aufjedenfall mal anschauen.
> Schon alleine die zich Verweise auf andere Konfigurations-Seiten... einfach nervig.
Ich weiß nicht ganz genau ob Du das jetzt verstehst, aber die Oberfläche einer AVM FB
und die Leistung von pfSense gibt es nicht! Nicht in einem der oben genannten Systeme.
Natürlich verstehe ich das, aber schön wäre es trotzdem. Es muss ja nicht mal die Oberfläche von AVM FB sein. Bei der Bedienung der Firewall-Funktionen, würde mir schon die Eingabemaske von Webmin genügen... nur um mal ein Beispiel zu nennen.
> Was mich halt stört ist, das teilweise einfache Firewall-Optionen in den Oberflächen der
> meisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Auf sehr vielen Routern und Firewall sowie Switchen gibt es fast immer die Möglichkeit die
Konfiguration in einem Webinterface sowie einem CLI vorzunehmen und diese Betriebssysteme
bringen eben gleich Ihr eigenes CLI mit, was ist daran jetzt so schlimm?
> meisten Distributionen nicht abgebildet werden. Somit muss man dann meisten wieder in die Shell.
Auf sehr vielen Routern und Firewall sowie Switchen gibt es fast immer die Möglichkeit die
Konfiguration in einem Webinterface sowie einem CLI vorzunehmen und diese Betriebssysteme
bringen eben gleich Ihr eigenes CLI mit, was ist daran jetzt so schlimm?
Das ist nicht schlimm... habe ich ja auch garnicht geschrieben. Es geht nur darum, dass man aus bequemlichkeit am liebsten alles auf einer GUI machen würde, aber bei vielen Derivaten muss man bei Spezial-Fällen (meistens noch nicht mal das) auf die Shell.
Es liegt einfach daran das Du eventuell nicht nur das simple Basic Setup brauchst oder möchtest
sondern ans Eingemachte gehen möchtest, das aber ist meist nicht im Webinterface zu finden.
sondern ans Eingemachte gehen möchtest, das aber ist meist nicht im Webinterface zu finden.
Kann natürlich sein, das ich ins "Eingemachte" gehen möchte... das ist ja auch indirekt meine Frage gewesen. Es hätte ja durchaus sein können, das ich in der Oberfläche verschiedene Dinge übersehen habe, somit weiß ich nun... das ich um die shell nicht drum herum komme.
Um mal vereinfacht mein Problem zusammenzufassen: Wenig Zeit und sich störend an der Oberfläche.
Das hat auch nichts damit zu tun das ich die Syntax oder Logik nicht verstehe, wie @aqui geschrieben hat. Ich bin nun mal andere Systeme gewohnt und ich hatte einfach gedacht (in meiner naiven Art) das es eventuell dahingehend ähnliche Alternativen gibt. Scheinbar nicht.
Gruß
Dobby
Dobby
Gruß
@114757: Um mal zu verdeutlichen wie es mit Webmin aufgebaut ist...
Unter Packet-Filtering eine Accept-Regel erstellen für das jeweile Netz
Source address or Network - Equals - 10.x.x.x/24 (natürlich Protokoll und Schnittstelle auswählen)
und dann unter NAT eine DNAT-Regel erstellen...
IPs and Ports for DNAT - x IP Range - interne IP
Destination address or network - Equals - 10.x.x.x
Fertig... natürlich könnte man auch hier direkt in der DNAT-Regel konfigurieren ob dies bidirektional durchgeführt werden soll. Was aber per default ausgeschaltet ist.
Da gibt es beispielsweise keine direkten Outbound-Kategorien.
Ich werd mir mal anschauen wie das mit der Ausnahme funktioniert.
Nun, da du vermutlich unter Firewall > NAT > Outbound auf Automatisch gestellt hast wird auch alles was am WAN wieder rausgeht geNATet. Um das zu umgehen musst du auf "Manual Outbound" stellen und deinen Host für den kein NAT gemacht werden soll eine Ausnahme erstellen:
Achtung : Wie immer first match wins !
Achtung : Wie immer first match wins !
1
Habe jetzt mal diese Regel erstellt. Nachdem ich mit diesem Client aus dem LAN über die WAN-Schnittschnelle pinge, antwortet er immer noch mit der virtuellen IP.
Edit: Ok... wenn ich über die WAN-Schnittstelle ping funktioniert es wie gewünscht. Funktioniert das auf dem selben Weg auch wenn ich aus dem LAN nach außen pinge?
Edit: Ok... wenn ich über die WAN-Schnittstelle ping funktioniert es wie gewünscht. Funktioniert das auf dem selben Weg auch wenn ich aus dem LAN nach außen pinge?
Zitat von @Fenris14:
Edit: Ok... wenn ich über die WAN-Schnittstelle ping funktioniert es wie gewünscht. Funktioniert das auf dem selben Weg auch wenn ich aus dem LAN nach außen pinge?
Klar, wenn man für einen Client definiert das für ihn kein SRC-NAT gemacht werden soll dann gehen seine Pakete mit seiner LAN IP raus. Dir sollte dann aber schon klar sein auf der WAN Seite eine entsprechende Route existieren muss damit die Pakete auch wieder zum Client zurück fließen können.Edit: Ok... wenn ich über die WAN-Schnittstelle ping funktioniert es wie gewünscht. Funktioniert das auf dem selben Weg auch wenn ich aus dem LAN nach außen pinge?
Das sind simpelste Routing-Grundlagen und Firewallunabhängig immer gleich ...Diese solltest du dir zuerst aneignen bevor du mit zig Firewalls hantierst. Denn ohne diese Grundlagen kommst du mit keiner Firewall sehr weit.
