Επιλογές hardware για Firewall/UTM

[fadasma]

Δεν μισοδουλεύει βρε.. εγώ παλεύω να κάνω import με πατέντες ...

Από ότι φαίνεται το timeline είναι Ιανουάριος για την 24.1, με βλέπω να βάζω τη beta αν την βρω κάπου βέβαια....
NEXT RELEASE 24.1 - January 2024
https://opnsense.org/about/road-map/

Έχει βγει και η RC1 που είναι σχεδόν η τελική έκδοση αλλά καλύτερα να περιμένεις.
https://forum.opnsense.org/index.php?topic=38214.0

[BlueChris]

Έχει βγει και η RC1 που είναι σχεδόν η τελική έκδοση αλλά καλύτερα να περιμένεις.
https://forum.opnsense.org/index.php?topic=38214.0

!!!!! ώπα!!! θα την μπουμπουνήσω αργότερα τι λες τώρα μου αρέσει να ζω επικίνδυνα

- - - Updated - - -

Ok την έβαλα και δεν αλλάζει κατι.. ναι μου εμφανίστηκε το KEA DHCP (New) αλλά δεν έχει κάποιο import νέο ή κάτι άλλο περίεργο μέσα αλλά ρε παιδιά τι είδα?? όλη την ημέρα χτες κοίταγα στο DHCPv4 στο leases αν πέρασαν τα leases που έκανα restore... και δεν τα έχει εκεί.. τα έχει στο DHCPv4 στο lan που θες κάτω κάτω στο DHCP Static Mappings for this interface..... είμαι Φλωρινιώτης τέλος...
Του βασικού Lan τα έχει εκεί.. οπότε γυρίζω στην 23.7 και προχωράω με τα υπόλοιπα vlan να κάνω restore....

[ChriZ]

Ok την έβαλα και δεν αλλάζει κατι.. ναι μου εμφανίστηκε το KEA DHCP (New) αλλά δεν έχει κάποιο import νέο ή κάτι άλλο περίεργο μέσα αλλά ρε παιδιά τι είδα?? όλη την ημέρα χτες κοίταγα στο DHCPv4 στο leases αν πέρασαν τα leases που έκανα restore... και δεν τα έχει εκεί.. τα έχει στο DHCPv4 στο lan που θες κάτω κάτω στο DHCP Static Mappings for this interface..... είμαι Φλωρινιώτης τέλος...

[fadasma]

Εβαλα χθες το zenarmor στο opnsense με τη βάση elasticsearch που είναι πιο γρήγορη (αλλά θέλει πολλή μνήμη).
Καλό φαίνεται αλλά αν έχεις τη free έκδοση, κόβουν σημαντικά security features.. και η επι πληρωμή έκδοση είναι ακριβούτσικη 100€/χρονο. Πιστεύετε αξίζει να τη βάλει κάποιος στο σπίτι;

[BlueChris]

Εβαλα χθες το zenarmor στο opnsense με τη βάση elasticsearch που είναι πιο γρήγορη (αλλά θέλει πολλή μνήμη).
Καλό φαίνεται αλλά αν έχεις τη free έκδοση, κόβουν σημαντικά security features.. και η επι πληρωμή έκδοση είναι ακριβούτσικη 100€/χρονο. Πιστεύετε αξίζει να τη βάλει κάποιος στο σπίτι;

Δεν ξέρω... το σκέφτομαι και εγώ... πάντως μου βγαίνει ποιο ακριβό στο σπίτι και ποιο φτηνό στη δουλειά σε σχέση με το Untangle. 50 δίνω για το Untangle την Home ενώ το Zenarmor θέλει 100 και στη δουλειά για 50 χρήστες δίνω 1000€ στην Untangle ενώ το Zenarmor θέλει 836€.

Αν θες μια σωστή λύση με έλεγχο πάντως για μένα είναι μονόδρομος να το πάρει κάποιος.

Εν το μεταξύ έχω φάει τρελή ήττα με το OpnSense σπίτι με Multiwan και πολλαπλά vLans.... πολύ απλά αν έχω ενεργό το Multiwan με grouping των wans, χάνω το Intervlan routing. Μόνο αν έχω 1 wan στο local lan(μαζί και τα vlan) ή έχω default στο gateway στο firewall βλέπει το ένα το άλλο... έχω κουτουλήσει μιλάμε....

[Oav051]

Δεν ξέρω... το σκέφτομαι και εγώ... πάντως μου βγαίνει ποιο ακριβό στο σπίτι και ποιο φτηνό στη δουλειά σε σχέση με το Untangle. 50 δίνω για το Untangle την Home ενώ το Zenarmor θέλει 100 και στη δουλειά για 50 χρήστες δίνω 1000€ στην Untangle ενώ το Zenarmor θέλει 836€.

Αν θες μια σωστή λύση με έλεγχο πάντως για μένα είναι μονόδρομος να το πάρει κάποιος.

Εν το μεταξύ έχω φάει τρελή ήττα με το OpnSense σπίτι με Multiwan και πολλαπλά vLans.... πολύ απλά αν έχω ενεργό το Multiwan με grouping των wans, χάνω το Intervlan routing. Μόνο αν έχω 1 wan στο local lan(μαζί και τα vlan) ή έχω default στο gateway στο firewall βλέπει το ένα το άλλο... έχω κουτουλήσει μιλάμε....

Στο ειπα και χθες το εχω πει και παλια. με το multiwan στο opensense ειχα τρελο θεμα , ειδικα με routing. με το pfsense κανενα. (ισος δεν εκανα κατι καλα εγω) αλλα αντι του zen και adblocker , δες τε και το pfgblocker (pfsense)

[BlueChris]

Στο ειπα και χθες το εχω πει και παλια. με το multiwan στο opensense ειχα τρελο θεμα , ειδικα με routing. με το pfsense κανενα. (ισος δεν εκανα κατι καλα εγω) αλλα αντι του zen και adblocker , δες τε και το pfgblocker (pfsense)

Ναι τέλος... στήνω PFSense τώρα που μιλάμε...

[fadasma]

Δεν έχω βάλει ακόμα multiwan group στο opnsense αλλά ισχύει οτι στο pfsense παίζει πολύ καλά.
Το pfgblocker (pfsense) δίνει community blocklists, υποτίθεται οτι το zen που είναι επι πληρωμή είναι καλύτερο. Μακάρι να το έδιναν με μισές συσκευές και μισή τιμή.

[BlueChris]

Δεν έχω βάλει ακόμα multiwan group στο opnsense αλλά ισχύει οτι στο pfsense παίζει πολύ καλά.
Το pfgblocker (pfsense) δίνει community blocklists, υποτίθεται οτι το zen που είναι επι πληρωμή είναι καλύτερο. Μακάρι να το έδιναν με μισές συσκευές και μισή τιμή.

Δεν έχει πρόβλημα το Multiwan του, παίζει λαμπάδα... απλά αν βάλεις vLan τότε τέλος... ότι και να κάνεις δεν βλέπει κανένας κανέναν μεταξύ των vLan με ελεύθερα στο firewall να βλέπουν όλοι όλους. Με το που λες βγες ίντερνετ από το τάδε wan όλα καλά....

Μιλάμε για χοντρό bug τώρα όχι αστεία.

Δεν ξέρω μπορεί να του φταίει πως με 2 κάρτες δικτύου φέρνω τα πάντα...
Η 1η έχει το Lan και τα 3 vlan σαν tagged
η 2η φέρνει όλα τα Wan σαν Tagged το καθένα στο vlan του...
Παίζει να πρέπει να κάνω μια κάρτα στο esxi για κάθε vlan οπότε να μπουν στο opnsense συνολικά 7 κάρτες δικτύου... θα το δοκιμάσω και αυτό εύκολο είναι. Μπορεί να φταίει και ο driver της VMWare ... δεν έχω baremetal pc με Intel κάρτες αυτή τη στιγμή να το τσεκάρω χωρίς VM αλλά δεν θα είχε βουίξει ο τόπος αν είχε τόσο θέμα??

Τώρα στο PFSense μου λείπουν κάποια πραγματάκια σε σχέση με το OpnSense αλλά και από τα 2 *sense μου λείπουν πααααρα πολλά σε σχέση με το Untangle ασχέτως αν είναι καλύτερα σε ρυθμίσεις στη λεπτομέρεια.

Ίσως καταλήξω να κάνω double nat... να πάρουν τα PFSense/Opnsense μόνο το multiwan κομμάτι και το Wireguard και μπροστά να είναι το Untangle... Όπως είμαι δλδ κάνω απλά τα port forward που θέλω από το *sense στο Untangle και τέλος....οπότε έτσι μπορώ να μείνω και με το Opnsense γιατί δεν θα του βάλω τα vlan... δεν έχει λόγο να τα δει...

[Oav051]

Δεν έχει πρόβλημα το Multiwan του, παίζει λαμπάδα... απλά αν βάλεις vLan τότε τέλος... ότι και να κάνεις δεν βλέπει κανένας κανέναν μεταξύ των vLan με ελεύθερα στο firewall να βλέπουν όλοι όλους. Με το που λες βγες ίντερνετ από το τάδε wan όλα καλά....

Μιλάμε για χοντρό bug τώρα όχι αστεία.

Δεν ξέρω μπορεί να του φταίει πως με 2 κάρτες δικτύου φέρνω τα πάντα...
Η 1η έχει το Lan και τα 3 vlan σαν tagged
η 2η φέρνει όλα τα Wan σαν Tagged το καθένα στο vlan του...
Παίζει να πρέπει να κάνω μια κάρτα στο esxi για κάθε vlan οπότε να μπουν στο opnsense συνολικά 7 κάρτες δικτύου... θα το δοκιμάσω και αυτό εύκολο είναι. Μπορεί να φταίει και ο driver της VMWare ... δεν έχω baremetal pc με Intel κάρτες αυτή τη στιγμή να το τσεκάρω χωρίς VM αλλά δεν θα είχε βουίξει ο τόπος αν είχε τόσο θέμα??

Τώρα στο PFSense μου λείπουν κάποια πραγματάκια σε σχέση με το OpnSense αλλά και από τα 2 *sense μου λείπουν πααααρα πολλά σε σχέση με το Untangle ασχέτως αν είναι καλύτερα σε ρυθμίσεις στη λεπτομέρεια.

Ίσως καταλήξω να κάνω double nat... να πάρουν τα PFSense/Opnsense μόνο το multiwan κομμάτι και το Wireguard και μπροστά να είναι το Untangle... Όπως είμαι δλδ κάνω απλά τα port forward που θέλω από το *sense στο Untangle και τέλος....οπότε έτσι μπορώ να μείνω και με το Opnsense γιατί δεν θα του βάλω τα vlan... δεν έχει λόγο να τα δει...

Σα βγεις στον πηγαιμό για την Ιθάκη

[ChriZ]

Νταξ, είπα να δοκιμάσω το opnsense, αλλά με αυτά που διαβάζω δεν θα πάρω μάλλον..
Στο XG που έχω, που είναι κατά βάση commercial, η home δωρεάν έκδοση δεν έχει τέτοια limitations για το application control και το web filtering
O μόνος περιορισμός που έχει είναι ότι μπορείς να χρησιμοποιήσεις μαξ 6GB Ram και 4cores.. A, και το γεγονός ότι η home έκδοση δεν έχει ενεργό το AES-NI, οπότε στα s2s υπάρχει θέμα (ανάλογα και τη CPU βέβαια, εμένα ο Celeron N3350 που έχει το appliance (barracuda F12) γονατίζει στα 30Μbps, με e3-1230 v3 που είχα κάνει τεστ δεν τον ένοιαζε και πολύ). Βέβαια στην παρούσα φάση, το upload μου τις καλές μέρες δεν ξεπερνάει τα 4,5Mbit με το speedbooster και επιπλέον το VPN το ρίχνω στην άλλη γραμμή που το upload είναι 1, oπότε δεν σκοτίζομαι και ιδιαίτερα. Επιπλέον είχαν πει ότι μάλλον θα ενεργοποιήσουν τη δυνατότητα εκμεταλλευσης του AES-NI και στη free έκδοση (αλλά κρατάω μικρό καλάθι)
MultiWan όλα καλά, intervlan traffic όλα ΟΚ..
Το μόνο που με ξενερώνει λίγο είναι ότι δεν έχει QoS ανά interface (ή τουλάχιστον τόσο εύκολα όσο κάποια άλλα, ή μπορεί εγώ να κάνω κάτι λάθος..)

Pfsense που το είχα δοκιμάσει (έχω και ένα με plus, δεν ξέρω αν συνεχίζει να ισχύει μετά τις τελευταίες αλλαγές στην πολιτική τους), μου έλειπαν πολύ οι εύκολες δυνατότητες app/web filtering
Δεν ξέρω πόσο έχει εξελιχτεί το pfblocker ng και αν είναι πιο βατό, αλλά πριν από μερικά χρόνια θυμάμαι ήταν λίγο σπαζοκεφαλιά (???)

[fadasma]

Σε λίγες μέρες βγαίνει το Opnsense 24.1 που θα έχει BSD 14 και θα είναι άλλος κόσμος. Αξίζει να περιμένει όποιος θέλει να το βάλει για πρώτη φορά.

[riddle3]

Παίζει να πρέπει να κάνω μια κάρτα στο esxi για κάθε vlan οπότε να μπουν στο opnsense συνολικά 7 κάρτες δικτύου... θα το δοκιμάσω και αυτό εύκολο είναι.

Εδώ σε χάνω λίγο, πιθανώς γιατί έχω καιρό να δουλέψω *sense.
Δεν μπορείς να κάνεις με vlan notations το ίδιο πράγμα; Δηλαδή eth0.100, eth0.200, κλπ ;
Όποτε από το trunk σου κατεβαίνουν όλα τα vlan αλλά το κάθε virtual interface πρακτικά είναι untagged ότι αφορά το opnsense.
Δηλαδή δημιουργείς virtual interfaces που ανήκουν σε μια physical nic (άσχετα που είναι και αυτή virtual από το esxi).


Double nat ούτε στους εχθρούς μας.

[ChriZ]

Ναι ρε συ, εντάξει έλεος.. Έχεις διαφορετικό physical NIC για κάθε κάρτα;
Στο firewall 5 vLAN έχω, όλα σε ένα interface και μετά trunk (in Cisco terms) το port του core switch που είναι μπροστά

[BlueChris]

Εδώ σε χάνω λίγο, πιθανώς γιατί έχω καιρό να δουλέψω *sense.
Δεν μπορείς να κάνεις με vlan notations το ίδιο πράγμα; Δηλαδή eth0.100, eth0.200, κλπ ;
Όποτε από το trunk σου κατεβαίνουν όλα τα vlan αλλά το κάθε virtual interface πρακτικά είναι untagged ότι αφορά το opnsense.
Δηλαδή δημιουργείς virtual interfaces που ανήκουν σε μια physical nic (άσχετα που είναι και αυτή virtual από το esxi).


Double nat ούτε στους εχθρούς μας.

Ναι ρε συ, εντάξει έλεος.. Έχεις διαφορετικό physical NIC για κάθε κάρτα;
Στο firewall 5 vLAN έχω, όλα σε ένα interface και μετά trunk (in Cisco terms) το port του core switch που είναι μπροστά

Παιδιά κάνει ότι λετε και μέχρι σήμερα σε ότι firewall είχα δοκιμάσει με μια κάρτα το είχα ναι πολλαπλα vlan και όλα καλά.
Οκ τελευταίο βάζω 2 κάρτες και ξεχωρίζω Lan με Wan.

Αλλο αυτό όμως και άλλο αυτό που κάνει το OpnSense το οποίο δεν λειτουργεί. Από ότι έψαξα υπάρχει ευαισθησία στο freebsd που στο pfsense το έχουν λύσει και παίζει. Όσο για την 24.1 θα ξανακάνω update στην beta να δω αν το κάνει και εκει.
Σε Debian πάντως τέτοια έργα δεν υπάρχουν.