USG, pfSense, Mikrotik oder Sophos?

[h00bi]

Hallo zusammen,

ich nutze seit einigen Jahren privat nur Fritzboxen, davor war ich großer IPCop Fan.
Nun möchte ich aber wieder eine etwas professionellere Lösung haben, bin mir aber unschlüssig was das richtige Produkt wäre.
Beruflich arbeite ich mit Fortigate Produkten, die sind mir für zuhause als Hobby aber definitiv zu teuer. Spontan kommen mir USG, pfSense, Mikrotik oder Sophos in den Sinn.

Ich hätte gerne:
Dual-WAN mit getrenntem Routing und failover muss möglich sein
simpler VPN Client, dessen Installer Paket man vorkonfigurieren kann
echte Firewall, auch für ausgehenden Traffic
1Gbit/s WAN Durchsatz wäre schon, mind. aber 500Mbit/s
HA-Failover mit zweitem Gerät sollte optional möglich sein

Sind o.g. Features im semi-professionellen Bereich mittlerweile machbar und falls ja, welches Produkt wäre hier geeignet?

 

[Masamune2]

Genauer kenne ich von den Lösungen die du genannt hast jetzt nur die pfsense/opnsense und Sophos SG/XG aber die erfüllen alle deine Punkte.
USG lohnt sich halt wenn man auch den Rest von Ubiquiti hat, dann hat man die ultimative vereinte Oberfläche. Sophos SG hat ein super einfach zu bedienendes Webinterface und läuft deshalb auch bei mir zuhause als Firewall. Die neuere Sophos XG macht einiges anders und geht vom Security Konzept eher in Richtung Fortigate. Hier hast du z.B. auch in der Policy wo die Firewallregeln konfiguriert werden die Security als Profile.
Mikrotik hatte ich bisher leider noch nicht in den Fingern.

 

[Kerasto]

Sophos XG 135 mit 4G-Modul.

+ Failover
+ HA
+ kostenloser VPN-Client, welchen Du vorkonfigurieren kannst

 

[Lawnmower]

Kanns nur von pfSense sagen: Deine Punkte werden m.W.n. alle erfüllt, beim VPN Client kannst z.B. OpenVPN verwenden.
Der Durchsatz ist von der Hardware abhängig, ich selber habe ein Shuttle DS77U geholt (mit dem Celeron und 4 GB RAM) weil der 2 Intel NICs hat (Realtek machen scheins Probleme), passiv gekühlt ist und für den Dauereinsatz freigegeben ist. Die 1 Gbit/s kriege ich problemlos hin.

 

[brainDotExe]

MikroTik sollte alles bieten, musst du aber teils manuell konfigurieren.
Dual WAN zum Beispiel.

WAN Durchsatz hängt natürlich immer von der Anzahl der Firewall Regeln ab.
https://mikrotik.com/product/RB750Gr3#fndtn-testresults

 

[konkretor]

Ich werfe noch https://opnsense.org/ dazu gibt es diverse plugins

https://github.com/opnsense/plugins



Bei VPN kannst du sogar softether drauf haben, dann kannst du auch sstp machen. Dann brauchen die Windows büchsen nicht mal nen Client installieren.


Hardware gibts auch genug für opnsense

 

[Pupp3tm4st3r]

Also für Dual WAN und alles nutze ich hier Endian in der Community Edition - hat auch nen VPN Client an Board und auch S2S VPN wäre möglich.

 

[gaym0r]

Der Durchsatz ist von der Hardware abhängig, ich selber habe ein Shuttle DS77U geholt (mit dem Celeron und 4 GB RAM) weil der 2 Intel NICs hat (Realtek machen scheins Probleme),

Und wie will man mit 2 NICs das Szenario vom OP abbilden?

Ich würde mir ebenfalls die OPNsense Lösung anschauen, die kann alles was du brauchst und noch mehr - und kostet vorallem nichts. Da kann man sich z.B. auch Wireguard VPN einrichten.[/QUOTE]

 

[d2boxSteve]

@gaym0r : Das geht sogar mit nur einem NIC:

VLAN2 = Wan1
VLAN3 = Wan2
VLAN4 = Internes Netz
VLAN5 ...

:=)

 

[Sithys]

hier stand quark

 

[lodex]

Etwas Offtopic:
@gaym0r und @konkretor
Ich arbeite seit einigen Jahren beruflich und privat mit pfSense und habe mir das opnsense Projekt nie genauer angeschaut, weil ich bislang den Sinn für den Anwender nicht sehen kann. Was sind, eurer Meinung nach, Gründe opnsense einzusetzen?

 

[Lawnmower]

Und wie will man mit 2 NICs das Szenario vom OP abbilden?

Ich habe nie behauptet dass mein Szenario zu 100% zu dem des TE passt. Ich habe nur geschrieben was ich gemacht habe.

 

[Raijin]

Das USG würde ich nur empfehlen, wenn eh schon ein UniFi-Setup vorhanden ist und man den Router gerne auch mit UniFi steuern möchte. Für sich genommen ist das USG aber dem EdgeRouter-Lite (identische Hardware, anderes Board-Layout, kein UniFi, eigene GUI) unterlegen.

Ein ERL (EdgeRouter-Lite) schafft 1 Gbit/s WAN bidirektional, ein ER-X (hat 5 Interfaces) hingegen nur 500 Mbit/s.


Eigentlich sind alle deine Vorschläge in Ordnung, es kommt nicht zuletzt auf die persönliche Präferenz an. Ich setze beruflich und privat EdgeRouter ein, andere MikroTiks oder eben pfSense, etc. Bei letzterem kommt es eben auf die Hardware an, auf der man es laufen lässt. Setups mit 1 LAN-Port halte ich für unsinnig, wenn man nicht an bestehende Hardware gebunden ist. Man kann alles mit einem Interface und VLANs machen, aber je mehr VLANs auf dem Interface laufen und je mehr Traffic zwischen ihnen hin und her geht, umso mehr drückt das auf die Performance. So wie ich es verstehe steht ja eine Neuanschaffung im Raume und dann sollte es auch Hardware mit min. 2, wenn nicht sogar 3+ Interfaces sein (zB WAN/LAN/Gast). Alles andere wäre als wenn man sich vor dem 100 Meter Sprint absichtlich ins Knie schießt.

*edit

simpler VPN Client, dessen Installer Paket man vorkonfigurieren kann

Was genau meinst du damit? VPN ist nicht gleich VPN. Der Client richtet sich nach dem Server. Bei EdgeRouter/USG ist IPsec eher zu empfehlen als OpenVPN. Letzteres ist vergleichsweise CPU-lastig und Single-Core-only. Deswegen läuft OpenVPN auf embedded CPUs eher mäßig. IPsec hingegen lässt sich von der Technologie her besser auf externe Hardware auslagern (zB Crypto-Chips) und ist in solchen Fällen meist deutlich schneller. Zum Vergleich: OpenVPN auf einem ERL wird so ~10-20 Mbit/s schaffen, IPsec 60-100 Mbit/s. Wenn OpenVPN für dich also relevant ist, solltest du eher nicht zu einem EdgeRouter/USG greifen. pfSense kann man beispielsweise auf einem Mini-itx-PC laufen lassen, dessen CPU jeden embedded Router in Grund und Boden VPNnen wird.

 

[konkretor]

Hier stehen die Gründe wieso ich opnsense besser finde

https://techcorner.max-it.de/wiki/OPNsense_vs._pfSense_-_Im_Vergleich

Hauptsächlich die Lizenz. Kann auch direkt auf GitHub ein issue aufmachen oder Feature requests einstellen

 

[Raijin]

Ein interessanter Vergleich. Ich nutze selbst weder pfSense aktiv noch OPNsense. Die reine Vergleichstabelle ist daher nur in Teilen nachvollziehbar - so kann ich mangels Anwendererfahrung zB nicht beurteilen inwiefern Plugins überhaupt wünschenswert, sinnvoll oder gar notwendig sind. Ein entscheidender Part des Vergleichs liegt in meinen Augen in diesen beiden Sätzen:

Abgesehen von der GUI sind beide Firewall-Systeme fast identisch. Das Entscheidungskriterium liegt einerseits in der Philosophie, die dahinter steht (OPNsense ist frei und soll es bleiben, pfSense geht mehr in Richtung der kommerziellen Distribution) und andererseits bei den verfügbaren Plugins.

Das heißt rein von der Kernfunktionalität (Firewall) kann man nichts "falsch" machen. Es ist wohl eher eine Frage des Geschmacks mit (zunehmender?) Tendenz zu OPNsense? Vielleicht ansatzweise vergleichbar mit OpenOffice vs. LibreOffice?

Ich glaub ich sollte mir damit mal ne VM zum Testen basteln

 

[Masamune2]

Ich hatte und habe auch noch bei einigen Kunden beide im Einsatz und ja, im Kern sind es die selben Systeme. OpnSense wird vom Gefühl her aktuell sehr viel aktivier gepflegt als die pfsense, in der Zeit in der pfsense ein Update rausbringt sind es bei opnSense zehn. Die Weboberfläche ist bei OpnSense neu strukturiert worden sodass man erst mal nicht mehr alles findet wenn man pfsense gewohnt ist, wenn man aber mal eine zeit lang damit gearbeitet hat finde ich die OpnSense besser.
Bei den Plugins liegt OpnSense auch ganz klar vorne.

 

[gaym0r]

@lodurson

Verschiedene Gründe.
- Lizenz
- Regelmäßigere Updates
- Kein Zwang nach AES-NI
- Die Entwickler von pfSense sind mit die schlimmsten in der Open-Source Welt (dass sie nie auf die Community gehört haben und relativ engstirnig waren was neuerungen angeht ("haben wir schon immer so gemacht, bleibt so") ist das eine (das hat sich übrigens geändert seitdem OPNsense verfügbar ist, plötzlich gibt es nämlich direkte Konkurrenz), aber was sie für Geschütze aufgefahren haben um OPNsense zu diskreditieren ist unter aller Sau und hat mich letztendlich dazu bewogen PfSense den Rücken zu kehren.

 

[h00bi]

Regelmäßige Updates halte ich für Unsinn.
Updates sollten gemacht werden wenn es was neues oder was zu fixen gibt und nicht um eine Regelmäßigkeit einzuhalten.
Vielleicht kapiert das MS irgendwann auch mal.

Bis hier hin schon mal besten Dank für euer Feedback.
Die HA Option wäre ja echt nice to have, kommt aber ziemlich teuer. Muss mal überlegen ob es mir das wert ist.

 

[Masamune2]

Es gibt IMMER etwas zu fixen. Wenn man sich die Release Notes der OpnSense anschaut werden mit jeden Update zahlreiche Probleme behoben oder Verbesserungen hinzugefügt. Nur weil die pfsense diese Updates nicht macht heißt das nicht das diese Fixes da nicht auch sinnvoll wären.

 

[dtee]

IPFire gibt es auch noch ;-)