capsob
Goto Top

Welche kostenlose Firewall verwendet ihr?

Hallo Leute,

wollte mal die alte Hardware-Firewall von Sophos austauschen, da Lizenz-Renewal + neue Hardware nicht gerade günstig ist.
Nun habe ich mal geschaut, was es so in der OpenSource-Welt gibt. Fündig wurde ich bei z.B. IPCop, IPFire, OPNsense, Endian, usw.

Wir brauchen halt..
- klassische Firewall-Dienste
- versch. Zonen (Intranet, WLAN intern, Gäste WLAN, DMZ)
- "Roadwarrior" VPN (möglichst einfach zu konfigurieren)
- Site-to-Site VPN (möglichst einfach zu konfigurieren)
- Idealerweise funkt das Gäste-WLAN mit Voucher-Codes
- Nicht Hardware-Hungrig

Was setzt ihr ein, bzw. was könnt ihr so empfehlen?

mfg,
cap.

Content-ID: 311486

Url: https://administrator.de/forum/welche-kostenlose-firewall-verwendet-ihr-311486.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

michi1983
michi1983 02.08.2016 um 12:00:47 Uhr
Goto Top
Hallo,

ich verwende dafür (wie wahrscheinlich mehrere hier) eine PfSense auf einem Alix APU Board.

Gruß
119944
119944 02.08.2016 um 12:53:28 Uhr
Goto Top
Moin,

ich persönlich tendiere ebenfalls zu PfSense, da dort die meisten Funktionen enthalten sind und es einfach absolut stabil läuft.
Wobei viele kommerzielle Firewalls mit "Application Detection", "DNS-Sinkhole", "Sandboxing" und einigen anderen Diensten mehr Funktionen bieten als die kostenlosen.

Hier mal Meine Meinung zu deinen Vorschlägen:
IPCop
  • letztes Update vor 1,5 Jahren
  • Projekt ist tot

IPFire
  • stabile Firewall
  • kein Multi-WAN
  • nur 4 Zonen(VLANS)
  • kein bonding
  • nicht vor V3 brauchbar

OPNsense
  • basiert auf FreeBSD 10.3
  • Fork von PfSense
  • Bugs wurden als nicht zu lösen abgetan und später vom PfSense Team gefixt und in FreeBSD implementiert
  • in einem alten "stable" Release waren alle VLANs broken

Endian
  • keine Erfahrungen vorhanden

VG
Val
capsob
capsob 02.08.2016 um 14:31:53 Uhr
Goto Top
OK - die Mehrheit (bisher) scheint wohl zur PFSense zu tendieren - und dank der großen Tutorial Sammlung ist auch ein gutes Nachschlagewerk vorhanden face-smile Vorallem auch diese ALIX APUs scheinen recht interessant zu sein face-smile

Ich schaus mir mal an! Danke erstmal!
ChriBo
ChriBo 02.08.2016 um 15:58:42 Uhr
Goto Top
Hallo,
schau dir auch mal OPNsense an.
Ich bin selber Fan von pfSense (und Vorgänger) und wir haben einige Systeme im Einsatz.
Aber:
Im Moment würde ich die pfSense nicht mehr für Neueinsteiger empfehlen.
Gefühlt schwächeln alle Versionen der pfSense seit der Übernahme durch Netgate: mit jeder Version werden einige Bugs behoben, aber dafür neue Fehler eingebaut.
Inwieweit pfSense noch eine Zukunft hat ist ungewiss, da Chris Büchler ("der Kopf" hinter pfSense ) das Projekt bzw. Netgate verläßt, bzw. schon verlassen hat.
Egal für welche Distribution du dich entscheidest, nehme x64 Hardware (wichtig), z.B. ein APU board.

Gruß
C
certifiedit.net
Lösung certifiedit.net 02.08.2016 um 20:09:51 Uhr
Goto Top
Hi Cap,

logisch ist die Sophos nicht gerade günstig. Meiner Meinung nach (gut, offen gesprochen, ich vertreibe diese auch) lohnt sich der Preis auf die Dauer gesehen.

Schon alleine anhand der Fehler, die hier im Forum in letzter Zeit wegen Updates aufliefen. Ganz abgesehen vom besseren Handling und damit direkt effektiveren Einrichtung.

Wenn du nochmal drüber nachdenken solltest darfst du dich gerne bei Fragen zu Sophos UTMs/SGs an mich wenden.

Schönen Abend,

Christian
Looser27
Looser27 02.08.2016 um 21:34:19 Uhr
Goto Top
Wenn es keine Open Source sein muss kann ich noch gateprotect empfehlen. Deutsche GUI und super Support aus Hamburg.

Gruß

Looser
117471
117471 03.08.2016 um 10:32:03 Uhr
Goto Top
Hallo,

wir verwenden IPCop. Der ist zugegebenermaßen etwas betagt und die Entwicklung verläuft schleppend - was aber auch daran liegt, dass das Projekt weitestgehend abgeschlossen ist. Die Aussage, dass das Projekt "tot" ist, ist übrigens unwahr.

Momentan testen wir auch pfSense, halten uns mit dem Roll-Out aufgrund der aktuellen Community-Entwicklung zurück. Zumal die pfSense einige Inkompatiblitäten hat, die "aus Prinzip" nicht beseitigt werden (z.B. im Umgang mit .local Domains im Zusammenhang mit dem DNS Resolver).

Gruß,
Jörg
aqui
aqui 03.08.2016 um 11:40:47 Uhr
Goto Top
im Umgang mit .local Domains im Zusammenhang mit dem DNS Resolver
Da verhalten sie sich absolut standardkonform. Das Problem sind hier unwissende Winblows Admins, die weiterhin die IANA reservierte .local Domain intern verwenden.
Diese TLD ist aber weltweit dem mDNS Protokoll fest zugewiesen, also Protokollstandard:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Wer den Fehler macht diese TLD intern zu verwenden hat also selber Schuld, denn da liegt der Fehler nicht an der pfSense sondern zwischen den Kopfhörern.
.intern oder .lokal ist da immer die sinnvollere Alternative.
Dani
Dani 03.08.2016 um 11:43:53 Uhr
Goto Top
@aqui
Das Problem sind hier unwissende Winblows Admins, die weiterhin die IANA reservierte .local Domain intern verwenden.
Verursacher bzw. Auslöser ist meiner Ansicht nach Microsoft selbst. Denn diese haben jahrelang in Schulungen bzw später in KB-Artikeln als Best Practice ".local" empfohlen. Gott sei Dank wurde das in den letzten Jahren revidiert.... aber es ist in vielen Köpfen noch verankert. Des Weiteren ist ein Domain Rename meist mit Geld und Zeit verbunden.


Gruß,
Dani
aqui
aqui 03.08.2016 um 11:46:24 Uhr
Goto Top
So direkt wollte ich es nicht sagen aber du hast absolut Recht ! So wie IBM in seinen Handbüchern immer IANA IPs hatte statt RFC 1918....
aber es ist in vielen Köpfen noch verankert.
Leider...wie man es ja an den gefühlten 5 Threads pro Tag hier im Forum zu dem Thema erdulden muss....
117471
117471 03.08.2016 um 14:03:15 Uhr
Goto Top
Hallo,

unterscheide "Empfehlungen" und "verbindliche Standards!.

Anzumerken wäre auch, dass die .local Domains dermaßen grundlegend bei der Installation so verbindlich festgelegt werden, dass man sie eigentlich nicht mehr systemkonform los wird (siehe z.B. die ganzen Domäns, die von einem SBS-Server gegründet und verwaltet werden).

Letztendlich ist es aber auch wirklich egal. Fakt ist, dass es solche Strukturen nun mal gibt. Und Fakt ist auch, dass nahezu jedes Gerät damit um kann und dass die pfSense als eines der wenigen Projekte die "sture Ausnahme" bildet.

Aber ich denke, das gehört hier wirklich nicht hin.

Wenn Community und Entwickler eine gewisse Durchdringung wünschen, dann passen sie sich halt an die Gegebenheiten an. Ansonsten kämpfen sie halt den Rest aller Tage um ihre Daseinsberechtigung. Es gibt ja glücklicherweise ausreichend Alternativen. Fakt ist nun mal, dass der IPCop zu wesentlich mehr Strukturen kompatibel ist, die ich "im Feld" vorfinde. Und wenn sich meine Aufgabe (und Bezahlung!) nur auf die Firewall reduziert, kann ich mich kaum anders entscheiden face-smile

Gruß,
Jörg
aqui
aqui 03.08.2016 um 14:53:55 Uhr
Goto Top
mDNS ist weltweit ein verbindlicher Standard !
bei der Installation so verbindlich festgelegt werden, dass man sie eigentlich nicht mehr systemkonform los wird
Ändert aber nichts an der Tatsache das sie falsch sind und MS das falsch dokumentiert hat. Siehe die Ausführungen vom Kollegen @Dani
Übrigens wenn man es richtig macht geht auch die pfSense absolut sauber damit um face-wink
117471
117471 03.08.2016 um 15:13:38 Uhr
Goto Top
Hallo,

grundsätzlich bin ich ja bei Dir.

Aber, wie gesagt - es gibt nun mal zahlreiche Produkte die das können und für eine entsprechende Durchdringung (die sich auch monetär auszahlt, siehe z.B. Gold-Mitgliedschaften und die Appliances), muss man halt auch mal über den Schatten springen und sein Produkt an den Bedarf anpassen.

Wie gesagt - technisch gesehen habt Ihr da vollends Recht und "eigentlich" ist es auch ganz gut, wenn man auf die Standards pocht. Ich habe einfach mal die Brille eines Produktmanagers aufgesetzt - manchmal steht der Idealismus halt dem Erfolg im Weg.

Für "die Geschichte mit den .local Domains" habe ich wie gesagt einen Workaround gebastelt.

Eine von einem SBS-Server erstellte und betriebene .local Domain z.B. auf .lokal oder .kneipe umzubauen, halte ich für exorbitant aufwändig. Und ich glaube sogar, dass der 2012r2 Essentials ebenfalls .local zwingend vorgibt... face-sad

Gruß,
Jörg
sharbich
sharbich 03.08.2016 um 16:19:28 Uhr
Goto Top
Hallo Ihr Lieben,

was ist denn mit der Router Software "OpenWrt"? Diese hat auch eine Firewall und vieles mehr . . .

Das beste ist, dass selbst der "mcproxy" Dienst mehrere Upstream Interface's unterstützt. Allerdings ist der Build Process sehr komplex.

Gruß,
Stefan
Mulli79
Lösung Mulli79 22.08.2016 um 07:36:43 Uhr
Goto Top
Hallo Cap,

wir setzen schon seit einigen Jahren pfSense ein und evaluieren gerade OPNsense für einen möglichen wechseln. Der Hauptgrund ist der angenehmere Gedanke, dass dieser Fork von pfSense in Niederlande/ Europa sitzt. Ich habe die Entwickler vergangenes Jahr auf der Messe itsa getroffen (sehr nette leute). OPNsense hat sich rasant entwickelt und ich glaube daran, dass die Kollegen den pfSense Leuten das Leben schwer machen werdenface-smile. Es ist trotzdem richtig, dass pfSense aktuell die umfangreichere Lösung bietet. Die OPNsense Leute bieten unter anderem eigene Hardware "Designed and Made in The Netherlands" (so die Aussage von deren Webseite) mit pfSense oder OPNsense Vorinstallation an. Siehe Link zum Shop: https://www.applianceshop.eu/?___store=de

Bei der Hardware Wahl habe ich mich allerdings auf den deutschen Lieferanten eingelassen. Die bieten verschiedene FW Lösungen auf Ihrer Hardware vorinstalliert an. Bis jetzt hatte ich keine Probleme. Habe einige APU's und zwei 19" Maschinen dort gekauft. Hier auch der Link zum deutschen Lieferanten: https://www.landitec.com/products/open-source-appliance-solutions

Viele Grüße
Mulli79