Firewall RouterOS vs PFSense vs IPFire

[steppi]

Hallo Zusammen,

wie vlt. der ein oder andere schon gesehen hat, statte ich gerade mein EFH mit neuer Netzwerktechnik aus.
Ursprünglich war geplant ein DSL-Modem (Drytek Vigor xxx), eine PCEngines APU und einen Switch zu verwenden.
Auf die PCEngines sollte IPFire oder PFSense und dazu in einer VM ein PiHole (läuft heute schon).

Nun war die Anforderung an den Switch etwas spezieller, so dass kaum sinnvolle Lösungen übrig geblieben sind und nun der Kauf eines MikroTik "Cloud Router Switch" (was für ein Name) mit Level 5 Lizenz in betracht kommt.
Ein Kollege aus unserer Backbone-Abteilung hat mir gerade mal das RouterOS ein wenig gezeigt und dabei sind wir natürlich auch auf die Features gekommen.
Der MikroTik ist der einzige Switch der bezahlbar alle Features erfüllt, die ich erwartet hatte preislich aber schon etwas über dem wo die Reise für ein Einzelgerät hingehen sollte.
Jetzt kam es eben dazu, dass der Kollege sagte ich könnte mir mit dem Ding die PCEngines sparen und alles im MikroTik abbilden, da er auch umfassend Firewall-Optionen, VPN, PPPoE usw. unterstützt. Damit wäre er vom Preis her und wahrscheinlichen Folgekosten wieder sehr interessant!


Jetzt zur eigentlichen Frage:
Kann die RouterOS Firewall mit PFSense/ IPfire mithalten bzw. ist die für den Hausgebrauch tauglich/ ausreichend?
Bewusst ist mir, dass der Switch bzw. das RouterOS sicher deutlich weniger Updates erhält als PFsense oder IPfire, wobei ich noch überlege wie entscheident das am Ende ist?

 

[up.whatever]

Die RouterOS Firewall ist im wesentlichen ein Standard Linux IPtables.
Warum sind dir "viele" Updates wichtig? Was soll denn oft aktualisiert werden? Die RouterOS Releases mit Changelog und Veröffentlichungsdatum findest du auf der Mikrotik Webseite. Wenn es halbwegs stabil sein soll rate ich dringend zum long-term Branch.

Btw: Die "Cloud Router Switch" Serie ist als Layer 2 Switch ausgelegt. Alles was über die CPU läuft (Routing, Firewall, VPN, etc) ist darauf unglaublich langsam.

 

[KurzGedacht]

Ich würde OPNSense statt Pfsense empfehlen. Mehr Updates, modernes UI.
Ob RouterOS ausreicht hängt von deinen Wünschen ab. OPNSense ist definitiv "mächtiger".

 

[^R4iD]

wie wärs mit Sophos UTM? Für den Heimgebrauch kostenfrei..

 

[Groug]

Bewusst ist mir, dass der Switch bzw. das RouterOS sicher deutlich weniger Updates erhält als PFsense oder IPfire, wobei ich noch überlege wie entscheident das am Ende ist?

Eher nicht, RouterOS bekommt häufiger Updates.
Was willst du denn damit machen und wie viele Ports brauchst du?

 

[Blubmann1337]

Das was @^R4iD frägt. Sophos UTM oder XG Home läuft eigentlich richtig gut.

 

[xxkeef25]

Würde auch die OPNsense empfehlen. Durch die packages welche man installieren kann lässt sich damit viel machen. Hatten in meinem alten Unternehmen RADIUS mithilfe des freeradius packages umgesetzt.

 

[Raijin]

Just in case: Die Cloud Router Switches - zumindest einige Modelle - können zwar auch mit RouterOS bespielt werden, aber sie können einen Router nicht vollständig ersetzen. Das schreibt MikroTik irgendwo auch selbst, aber ich bin gerade zu faul, danach zu suchen. Selbst habe ich damit zwar noch keine Erfahrungen gesammelt. aber wenn man im www etwas recherchiert, findet man zahlreiche Meldungen, die sich darum drehen, dass die Anwender von der Routing-Performance eher enttäuscht sind. Die Dinger sind nun mal Switches und das ist auch deren Hauptaufgabe. Wenn man dort RouterOS aufspielt - davon hast du ja bis dato zwar nicht konkret gesprochen, aber ich erwähne es vorsichtshalber - dann sollte es sich eher um leichte Routing-Szenarien handeln.


*edit
Es mag sein, dass das eine oder andere Modell evtl. doch genug Dampf unter der Haube hat, da fehlt mir aktuell der Überblick. Ich empfehle daher, selbst mal etwas nach Real-Life-Anwendungsfällen zu suchen, um ein Gefühl für die zu erwartende Performance zu bekommen.

 

[cloudman]

Sophos UTM scheint aber nicht wirklich weiter entwickelt zu werden.
XG Home Edition habe ich noch nicht ausprobiert

OpnSense und PfSense sind beide gut.
Opnsense sieht besser aus . Wirklich große Unterschiede finde ich als "nicht Profi" keine wirklichen.
Bei pfsense gibt es das pfBlocker Package das ähnliche Features wie pihole bietet.
Wie genau die Weiterentwicklung der pfSense Community Edition aussieht ist im Moment etwas schwamming

IPFire : kann das Teil immer noch kein IPv6?

Ich hab letzten Monat bei Banggood dieses Teil gekauft (gabs allerdings für 180€ im Angebot)
https://www.banggood.com/XSK-NUC-In...6GHz-to-2_24GHz-Pfsense-AES-NI-p-1620981.html
Es ist die gleiche Hardware die Protectli anbietet (https://protectli.com/product/fw4b/)

Pfsense läuft gut darauf (4 Intel NICs kein RealTek)

 

[steppi]

Danke erstmal für die Vielen schnellen Antworten.

Zunächst vlt. nochmal zur Übersicht, es handelt es sich um dieses Modell:
https://mikrotik.com/product/crs328_24p_4s_rm
MikroTik rät hier nicht unbedingt vom RouterOS ab zumindest hab ich hier nichts dazu gelesen und Standard bootet er wohl auch eher RouterOS.

Erstmal warum dieser Switch?

• 16 Ports
• PoE
• Vlans/ Trunking
• 4xSFP mit bis zu 10Gbit/s (und bezahlbaren Kupfer/ RJ45 Gbics direkt vom Hersteller) bzw. überhaupt 10G-Ports

Firewall soll das typische tun

• Traffic und Ports analysieren und blockieren
• verschiedene Netze etablieren und trennen
• WebProxy/ DNS-Filtering usw. (aktuell nur PiHole aktiv in einem Container)
• Routing zwischen den Netzen
• VPN

Wie gesagt die primäre Idee war PCEngines mit PFSense/ IpFire + Switch. (an einem sinnvollen, bezahlbaren Switch scheitert es gerade und da kam der MikroTik um die Ecke)

Wegen Updates hatte ich mich an IPFire orientiert, da wird das System regelmäßig gehärtet, Performance optimiert, neue Features beigelegt und eben jegliche Lücken schnell geschlossen.

 

[Raijin]

Wenn du dir mal MikroTiks eigene Testergebnisse anschaust und vergleichst, wird klar, dass der CRS328 verglichen mit dem hEX S bzw. den hAP ac² ziemlich blass aussieht. Man beachte auch, dass der CRS328 nur eine SingleCore CPU hat, während die anderen beiden Dual- bzw. QuadCore auffahren.

Ich will das Gerät nicht schlechtreden, aber in einem Multi-VLAN-Setup mit regem Traffic hin und her, Firewall, NAT und was weiß ich noch alles, würde ich definitiv auf einen Router setzen und nicht auf einen Switch, der auch ein bischen routen kann. Es kommt natürlich auf deine Ansprüche an, ich wollte nur darauf hinweisen, dass ein Haken bei "Routing" nicht gleichbedeutend ist mit "Router".

 

[steppi]

@Raijin,
Da hast du natürlich recht, wie gesagt war der Plan ja eh ein Anderer!
Bei der verzweifelten Suche nach einem passenden Switch, gehe ich wohl langsam dazu über mir die "Funde schön zureden". Daher aber auch hier nochmal der Thread speziell dazu.
Als Switch wäre das sicherlich immernoch ein super Gerät, aber ~450€ + nochmal 150€ für die APU + AP der dann auch noch fehlt, da wirds fürs kleine Heimnetz schon ziemlich abgehoben und etwas viel Liebe zur Technik. ^^

 

[Raijin]

Das was dein Setup teuer macht ist 10 GbE. Mit einem "kleine(n) Heimnetz" hat das auch nur noch wenig zu tun. 10 GbE ist nach wie vor für private Zwecke eher von mäßiger Bedeutung. Einige hier im Forum haben ein NAS - in der Regel dann ein Eigenbau - das sie mit 10 Gbit/s anbinden und auch entsprechend flottem Speicher ausgestattet haben. 16 Port (smart) managed PoE-Switches gibt es ab ca. 200 €.

 

[steppi]

Ja ich weiß das ist mir soweit bekannt, die 2,5Gbit Kupfer bzw. 10Gbit sind auch das Hauptproblem beim Switch. Entweder haben die Switches nur 8-10 Ports oder wenn es mal einen mit 4x SFP+ gibt (10G) kosten die Gbics ein Vermögen, sofern es diese überhaupt vom Hersteller gibt und man nicht die Nachbauten aus China kaufen muss mit ungewisser Kompatibilität.
Ich wollte die 2,5Gbit (2x) am PC und 2,5Gbit (2x) am NAS nicht liegen lassen. Zumal der Rechner mit SSD-RAID0 läuft und das NAS mit SSD Cache. Eventuell später mal noch Wifi 6 APs.

 

[Groug]

Nicht nur die 10G sondern auch das die 24 1GBits/s Ports alle POE haben und der 500W Output hat.

 

[Kiso]

Edit:

Ich bin für die Variante Mikrotik SwOS und APU Board mit pfsense/opnsense.

Du kannst aber nicht erwarten, dass die Firewall 10GBit/s Durchsatz hat. Dafür braucht es schon reichlich CPU Power. (und entsprechende Schnittstellen)

Wenn du sowieso nicht allzu viel Traffic zwischen den Netzen hast, dann tut's auch RouterOS auf dem Switch. Im Datenblatt steht ja der zu erwartenden Durchsatz.

 

[Raijin]

In dem anderen Thread wurde ja schon viel gesagt.

Ah, ok. Es gibt also mehrere Threads zu dem und/oder anderen Aspekten des Themas, die natürlich nicht verlinkt sind. Jetzt posten wir also munter alles doppelt und dreifach?

Als Switch wäre das sicherlich immernoch ein super Gerät, aber ~450€ + nochmal 150€ für die APU + AP der dann auch noch fehlt, da wirds fürs kleine Heimnetz schon ziemlich abgehoben und etwas viel Liebe zur Technik.

Wahrscheinlich steht das dann in einem der anderen Threads, aber wie hoch ist denn dein Budget? Ich meine, 450+150+AP (letzteres zB ein cAP AC für ~60€) sind 660€. Das finde ich jetzt nicht weltbewegend viel, wenn du solche Ansprüche stellst wie 10 GbE. Wenn das dein Budget sprengt, musst du definitiv an den Eckdaten schrauben und zB 10 GbE fliegt raus. Gegebenenfalls kann man das NAS ja auch direkt mit dem PC verbinden, - zwei Schnittstellen vorausgesetzt - und dann braucht man keinen Switch mit 10 GbE.

PoE ist auch so eine Sache. Auch da weiß ich natürlich nicht was in dem/den anderen Thread(s) bereits besprochen wurde, aber je nach Anzahl an PoE-Endgeräten kann ein PoE-Switch sinnvoll sein oder eben auch nicht. Ich habe mich seinerzeit explizit dagegen entschieden, weil ich nur 2 UAPs von Ubiquiti als einzige PoE-Endgeräte habe und 24er Switches mit PoE selten weniger als 12 PoE-Ports haben, tendenziell eher alle 24. Das wiederum läuft dann auf dicke Netzteile hinaus (300 Watt und mehr), was natürlich vollkommener Unfug ist, wenn man nur 2 APs mit jeweils großzügig gerechneten 12 Watt hat. Da tun es auch die mitgelieferten PoE-Injektoren.


Es ist alles eine Frage des Anspruchs. Wenn deine "Haben-Wollen" Liste lang ist und teure Features enthält, dann darf das Budget eben auch nicht zu knapp bemessen sein. Andererseits muss man sich auch überlegen ob man die Features auch nutzt oder überhaupt nutzen kann. So bringt beispielsweise eine Firewall mit pfSense, o.ä. keinerlei Sicherheit per Definition mit, sondern die Sicherheit einer Firewall entsteht durch die fachgerechte Konfiguration. Wenn man hier so im Forum häufig mal liest, dass jemand seinen PC als exposed host eingerichtet hat, weil er sonst Spiel xy nicht spielen kann, dann aber von "Sicherheit mit pfSense" spricht, stellen sich mir die Nackenhaare auf.

 

[steppi]

@Kiso
Mit der FW ist soweit klar/ bewusst. ;-)
Der Durchsatz, den hatte ich wirklich nicht auf dem Schirm stimmt, aber hier ging es rein erstmal um die Software im Vergleich eben zu PFSense/ IpFire.

@Raijin
ja es gibt einen anderen Thread, den ich im ersten Satz angedeutet habe. Dieser ging aber rein um die Hardware, war/ ist zum Zeitpunkt der Threaderstellung nicht abgeschlossen und besonders sollte es dort rein um die Hardware gehen, dagegen hier um den reinen Vergleich der Software. (auch wenns etwas gedriftet ist)
Und nein wir posten nicht dreifach, zumindest versuch ich es hier in der Softwareschiene zu behalten, zumal das bisher sehr gut funktioniert hat.

Rest ist soweit klar und bin ich voll bei dir.
Auch wenns jetzt nicht hier hin gehört, das Budget ist schon "flexibel", für ein kleines Heimnetz möchte ich es aber auch nicht übertreiben.

Nachdem was vor der Diskussion aufgekommen ist, ist das RouterOS als FW jedenfalls so gut wie vom Tisch und mehr wollte ich hier nicht erreichen. (eine Entscheidung zu treffen, ob die RouterOS FW eine passende Lösung wäre)

Eventuell werde ich RouterOS am WE mal in eine FW setzen und mir die Möglichkeiten selbst ansehen. Den Hinweis hatte ich noch bekommen, dass man die Software offiziell bekommt und einige Tage im Trail testen kann.

 

[steppi]

So Switch ist erstmal ein MikroTik geworden. ;-)
Wenn der "gesichtet" und getestet ist kommt dann entweder die PCEngines APU2E4 dazu oder ein Protecli Vault-4 FW4B. Danach ist die Entscheidung zwischen IPFire und OpnSense, wahrscheinlich abhängig von der Hardware die ich nehme.

 

[steppi]

Ich bin jetzt dazu über gegangen OpnSense und IPFire erstmal virtuell einzurichten und mir beide genau anzusehen. Wenn der Switch morgen kommt kann ich dann auch mit VLANs alles soweit bereitstellen, dass ich die FW "produktiv" einsetzen kann und mit der VM mich vernünftig an die benötigen Features rantasten kann. Wenn ich dann mein Featureset und meine Anforderungen kenne, kann ich danach die passende Hardware auswählen. Jetzt geht es erstmal darum ob IPFire oder OpnSense.