Επιλογές hardware για Firewall/UTM

[BlueChris]

το εβαλα στα Flex XG επιτελους δουλεουν οι ASUS 10g με marvel (aquantia)

Να σου πω, αυτά τα παιχνίδια της Asus δεν είναι σοβαρές κάρτες.. μπορείς πολύ φτηνά να πάρεις 10Gbit κάρτα που να είναι σοβαρή και να τελειώνεις.
Οποιαδήποτε κάρτα 10GB για σέρβερ θα κάνεις τη δουλειά σου πολύ καλύτερα.
Πχ Broadcom 57406

[megahead13]

Εδώ και μερικές μέρες (καμιά βδομάδα ίσως) το έχω γυρίσει από pfSense σε Opnsense. Πολύ ικανοποιημένος μέχρι στιγμής.

Μου αρέσει η δουλειά που έχουν κάνει με το Unbound, ενώ και με το dnscrypt-proxy plugin έχω DoH. Πέταξα έτσι το AdGuard (που και αυτό υπάρχει ως plugin) που είχα στο pfSense.

Μέχρι στιγμής δεν είμαι σίγουρος για το Zenarmor. Καλό είναι πάντως. Για μελλοντικά θέλω να παίξω με Suricata, Crowdsec και Nginx reverse proxy (όλα πάνω στο Opnsense).

Η μετάβαση από pfSense σε Opnsense ήταν πολύ εύκολη. Σε πολύ λίγο χρόνο συνήθισα το διαφορετικό WebUI. Γενικά οι τύποι έχουν κάνει πολύ καλή δουλειά

[fadasma]

Εδώ και μερικές μέρες (καμιά βδομάδα ίσως) το έχω γυρίσει από pfSense σε Opnsense. Πολύ ικανοποιημένος μέχρι στιγμής.

Μου αρέσει η δουλειά που έχουν κάνει με το Unbound, ενώ και με το dnscrypt-proxy plugin έχω DoH. Πέταξα έτσι το AdGuard (που και αυτό υπάρχει ως plugin) που είχα στο pfSense.

Με τον unbound κάνεις τα πάντα. Υποστηρίζει DoT και δε χρειάζεσαι το dnscrypt proxy. Επίσης με το RPZ του φορτώνεις λίστες για ad block και επειδή τις φορτώνει στην cache, δεν έχεις κανένα performance penalty όσο μεγάλη κι αν είναι η λίστα.
Εμένα αυτό που με κρατάει στο pfsense είναι τα boot environments.

[megahead13]

Με τον unbound κάνεις τα πάντα. Υποστηρίζει DoT και δε χρειάζεσαι το dnscrypt proxy. Επίσης με το RPZ του φορτώνεις λίστες για ad block και επειδή τις φορτώνει στην cache, δεν έχεις κανένα performance penalty όσο μεγάλη κι αν είναι η λίστα.
Εμένα αυτό που με κρατάει στο pfsense είναι τα boot environments.

Το ξέρω ότι το Unbound υποστηρίζει DoT. Δεν υποστηρίζει όμως DoH, το οποίο και προτιμώ (port 443 ). Κι εκεί παίζει μπάλα το DNSCrypt το οποίο έχει κι αυτό adblock με DNSBL. Βέβαια με uBlock στο browser και Quad9 και NextDNS κι αυτό μάλλον ψιλοάχρηστο είναι, αλλά το ενεργοποιώ (κατά αντιστοιχία του AdGuard που είχα στο pfSense) και ας είναι πλεονασμός (έτσι κι αλλιώς δεν παρατηρώ καθυστερήσεις στα DNS lookups, ταχύτητα είναι). Το άλλο που μου αρέσει στο DNSCrypt είναι ο τρόπος που κάνει load balancing τους DNS servers/forwarders που του ρυθμίζεις (μετράει συνεχώς latency σε κάθε query αν καταλαβαίνω καλά).

Ο τρόπος που το έχω είναι Unbound για το εσωτερικό δίκτυο και DNSCrypt με DoH για το Internet (έτσι το είχα και στο pfSense με Unbound/AdGuard). Αν και θα μπορούσα να πήγαινα DNSCrypt για όλα, αλλά με βολεύει έτσι (το Unbound μέσα από το Opnsense φτιάχνει όλες τις ζώνες και PTR records για όλους τους hosts μου χωρίς πολλά πολλά). Επίσης το Unbound είναι φυσικά default στο Opnsense, ενώ το DNSCrypt είναι plugin από την κοινότητα, οπότε αν σπάσει κάτι, πολύ εύκολα το γυρνάω σε Unbound με DoT

Γενικά, αυτό το setup φαίνεται να δουλεύει πολύ καλά, σε αντίθεση με το pfBlockerNG/DNSBL του pfSense που μου δημιουργούσε συνεχώς προβλήματα με σελίδες να μην κάνουν σωστά resolve, να μου κόβει legit σελίδες, κτλ. Βέβαια πάντα υπάρχει το ενδεχόμενο PEBCAK, αλλά τότε είχα βαρεθεί να το ψάξω παραπάνω, έριξα ένα AdGuard πάνω στο pfSense και ησύχασα

[kiriakk]

Εδώ και μερικές μέρες (καμιά βδομάδα ίσως) το έχω γυρίσει από pfSense σε Opnsense. Πολύ ικανοποιημένος μέχρι στιγμής.

Μου αρέσει η δουλειά που έχουν κάνει με το Unbound, ενώ και με το dnscrypt-proxy plugin έχω DoH. Πέταξα έτσι το AdGuard (που και αυτό υπάρχει ως plugin) που είχα στο pfSense.

Μέχρι στιγμής δεν είμαι σίγουρος για το Zenarmor. Καλό είναι πάντως. Για μελλοντικά θέλω να παίξω με Suricata, Crowdsec και Nginx reverse proxy (όλα πάνω στο Opnsense).

Η μετάβαση από pfSense σε Opnsense ήταν πολύ εύκολη. Σε πολύ λίγο χρόνο συνήθισα το διαφορετικό WebUI. Γενικά οι τύποι έχουν κάνει πολύ καλή δουλειά

με την ευκαιρία, το έχει συγκρίνει κανείς με Sophos XG (το έχω για 4-5 χρόνια) για χρήση σε home/SMB περιβάλλον;

[BlueChris]

με την ευκαιρία, το έχει συγκρίνει κανείς με Sophos XG (το έχω για 4-5 χρόνια) για χρήση σε home/SMB περιβάλλον;

To sophos το είχα στο νου μου μια εποχή αλλά όλο τους χακαραν και έβγαζε cve συνέχεια και δεν ασχολήθηκα αλλά μου άρεσε να πω την αλήθεια.

[fadasma]

το έχει συγκρίνει κανείς με Sophos XG

Είναι πολύ λιτό σε features, μου θυμίζει τους linksys ρουτερς του 1990. Σου δίνει τα βασικά dhcp, dns cache κλπ αλλά αν δεις τις επιλογές που έχεις στο pfsense/opnsense είναι 50 χρόνια μπροστά σε σχέση με αυτό.

[Oav051]

Το bonding (load balance και fail over) που κάνει το pfsense είναι απλά φανταστικό . Το qos αρκετά καλό. Όσον αφορά το pfblocker.... ok. Δουλεύει αλλά πραγματικά θέλει αρκετό διάβασμα. Το κομμάτι ειδικά του snapshoting στο OS εμένα προσωπικά με κάνει να μη θέλω να δοκιμάσω κάτι άλλο. Στο παρελθόν όταν έψαχνα να αλλάξω τα checkpoint είδα και opnsense το οποίο άτυπα είναι σχεδόν το ίδιο με το pfsense (fork) αλλά το bonding ουδέποτε δεν μου δουλεψε

[megahead13]

Το bonding (load balance και fail over) που κάνει το pfsense είναι απλά φανταστικό . Το qos αρκετά καλό. Όσον αφορά το pfblocker.... ok. Δουλεύει αλλά πραγματικά θέλει αρκετό διάβασμα. Το κομμάτι ειδικά του snapshoting στο OS εμένα προσωπικά με κάνει να μη θέλω να δοκιμάσω κάτι άλλο. Στο παρελθόν όταν έψαχνα να αλλάξω τα checkpoint είδα και opnsense το οποίο άτυπα είναι σχεδόν το ίδιο με το pfsense (fork) αλλά το bonding ουδέποτε δεν μου δουλεψε

Δεν είναι λογικό αυτό. LACP, load balance, failover, round robin, κτλ είναι πράγματα που δουλεύουν στο *nix εδώ και δεκαετίες. Ποτέ δεν είχα πρόβλημα με οποιαδήποτε λειτουργικό (BSD, Linux ή ακόμα και windoze). To μόνο που μπορώ να σκεφτώ είναι να υπήρχε mismatch στον hash αλγόριθμο (αν μιλάμε για LACP ή απλό LAGG) μεταξύ switch και firewall. Αλλά για load balance, failover, round robin από τη μεριά των switch απλές access (ή trunk) πόρτες χρειάζονται χωρίς κάποιο bond.

[Oav051]

Δεν είναι λογικό αυτό. LACP, load balance, failover, round robin, κτλ είναι πράγματα που δουλεύουν στο *nix εδώ και δεκαετίες. Ποτέ δεν είχα πρόβλημα με οποιαδήποτε λειτουργικό (BSD, Linux ή ακόμα και windoze). To μόνο που μπορώ να σκεφτώ είναι να υπήρχε mismatch στον hash αλγόριθμο (αν μιλάμε για LACP ή απλό LAGG) μεταξύ switch και firewall. Αλλά για load balance, failover, round robin από τη μεριά των switch απλές access (ή trunk) πόρτες χρειάζονται χωρίς κάποιο bond.

Παρεξήγηση μάλλον μιας και δεν αναφέρομαι L2 αλλά L3 στο και συγκεκριμένα στο multiwan

[fadasma]

Δεν είναι λογικό αυτό. LACP, load balance, failover, round robin, κτλ είναι πράγματα που δουλεύουν στο *nix εδώ και δεκαετίες. Ποτέ δεν είχα πρόβλημα με οποιαδήποτε λειτουργικό (BSD, Linux ή ακόμα και windoze). To μόνο που μπορώ να σκεφτώ είναι να υπήρχε mismatch στον hash αλγόριθμο (αν μιλάμε για LACP ή απλό LAGG) μεταξύ switch και firewall. Αλλά για load balance, failover, round robin από τη μεριά των switch απλές access (ή trunk) πόρτες χρειάζονται χωρίς κάποιο bond.

Στο θέμα του load balancing έχει κάνει μια τρομερή υλοποίηση το pfsense και βγάζει κάθε client από την ίδια γραμμή και οχι μια από τη μια και μια από την άλλη. Αυτό έχει ως αποτέλεσμα ο client να έχει την ίδια εξωτερική ip χωρίς να του χαλάει το connection.
Με άλλα λόγια, ο client πχ 100 αν τύχει να βγει από τη γραμμή 2, θα συνεχίσει σε αυτή τη γραμμή σαν να μην υπάρχει load balance άρα η τράπεζα που θα συνδεθεί θα βλέπει πάντα την ίδια ip και οχι τυχαία.

[ChriZ]

Είναι πολύ λιτό σε features, μου θυμίζει τους linksys ρουτερς του 1990. Σου δίνει τα βασικά dhcp, dns cache κλπ αλλά αν δεις τις επιλογές που έχεις στο pfsense/opnsense είναι 50 χρόνια μπροστά σε σχέση με αυτό.

To sophos XG σου θυμίζει linksys routers του '90; Καμία σχεση, εκτός και αν αναφέρεσαι μόνο στο κομμάτι του DNS.

[Oav051]

Στο θέμα του load balancing έχει κάνει μια τρομερή υλοποίηση το pfsense και βγάζει κάθε client από την ίδια γραμμή και οχι μια από τη μια και μια από την άλλη. Αυτό έχει ως αποτέλεσμα ο client να έχει την ίδια εξωτερική ip χωρίς να του χαλάει το connection.
Με άλλα λόγια, ο client πχ 100 αν τύχει να βγει από τη γραμμή 2, θα συνεχίσει σε αυτή τη γραμμή σαν να μην υπάρχει load balance άρα η τράπεζα που θα συνδεθεί θα βλέπει πάντα την ίδια ip και οχι τυχαία.

καλημερα,

εαν αναφερεσαι στο sticky connection , το εχει και το opnsense by default enabled ενω το pfsense οχι.

[megahead13]

Σχετικά με multiwan σε pfSense/Opnsense δεν έχω άποψη μια και δεν είναι κάτι που έχω δοκιμάσει (αν κι έχω βρει ένα 4G router και κάποια στιγμή θα το κουμπώσω να δω πως παίζει το failover).

[BlueChris]

Έστησα ένα PC ενός φίλου/συναδέλφου (HP Prodesk G3) με esxi το οποίο θα πάρει πάνω όλο το σπίτι του.. (Firewall, Home Assistant, PiHole, FreePBX, 2 winVM κλπ).
Ε το πλάνο ήταν να πάρει το Home Licence του Untangle (50€) ή να παίξει με την βασική άδεια... η βασική άδεια όμως δεν έχει το Multi Wan μέσα οπότε πάει στην Home Pro που κοστίζει 150€.
Εννοείται ότι είναι σχετικά πολλά... οπότε από εχτές το πρωί προσπαθώ και σε pfsense και opnsense να κάνω τα παρακάτω καταλήγοντας με opnsense τώρα.

1. Multi Wan (VDSL+5G) --> Sexfull
2. 4 x Vlan Εσωτερικά (LocalLan,Security,Wifi,Guest)---> Sexfull
3. Failover ---> δεν έχω βρει άκρη ακόμα πως να έχω ταυτόχρονα και Multiwan... UnSexfull
4. OpenVpn Client to Work ---> Sexfull (χρωστάω να μου στείλει το subbnet του στο μαγαζί)
5. Redirect DNS queries to PiHole (block 853port, filter τα DoH με λίστα klp) --- Sexfull
6. Relay to MS DHCP Server---> Sexfull
7. QoS ----> αυτό παλεύω τώρα....

Οκ δεν είμαι δυστυχισμένος με το αποτέλεσμα (αν τελειώσω και ποτέ).. αλλά ρε παιδί μου, πολύ δουλειά και απίστευτος χρόνος ..... 250000 χιλιάδες τικ και τικ και τικ... ειλικρινά θα του πληρώσω εγώ τα 150€ για το Untangle Home Pro...μιλάμε στο Untangle θα είχα τελειώσει σε 10 λεπτά και δεν είναι ότι το ξέρω.. είναι πως τα μισά στα κάνει μόνο του σχεδόν...

Σας θαυμάζω ειλικρινά