Warum nutzt ihr pfsense und nicht eine andere Software?



  • Moin moin,

    ich komme gerade frisch in den Bereich der Netzwerktechnik und Firewalls rein und bin somit noch ein blutiger (dummer) Anfänger - so viel Vorweg. Ich versuche "das Produkt" pfsense zu verstehen und mir stellt sich bei so einer Situation immer schnell die Frage: "Wieso sollte ich Produkt X nutzen und nicht Produkt Y?"

    Und hier würde mich die Meinungen und Erfahrung der Profis interessieren. Wieso nutzt ihr pfsense? Und wie seid ihr dazu kommen? Immerhin gibt es genug Alternativen wie IPFire oder IPCop gibt es ja. Wieso nun gerade pfsense?

    Mir geht es hier gerade um eure persönlichen Erfahrungen und nicht irgendwelcher Feature-Vergleiche von Google. Immerhin nutzt ihr pfsense ja als (vermutlich) freiwillig gewähltes Werkzeug :)


  • LAYER 8 Moderator

    Ich bin zwar bei solchen Themen immer etwas skeptisch, aber solang das nicht in einen Bashing/Werbe-Thread ausartet ;)

    Mir persönlich kann ich dazu sagen: weil pf.

    Ich komme von vor ~20 Jahren von OpenBSD, die Jungs, die PF mal eben neu geschrieben haben, weil der Entwickler des alten Filters IPF ihre Patches nicht annahm. PF wurde somit neu geschnitzt und auf Gegebenheiten angepasst. Da gehörte auch VRRP dazu, das Redundanzprotokoll, welches zwar ISO Standard ist, aber Cisco patentrechtlich geschützt hatte. Das saß ebenfalls quer, weshalb man zu PF dazu gleich noch CARP als offene Alternative dazu gebaut hatte. (versimplifiziert)

    Seit damals habe ich den Charme von PF und CARP schätzen gelernt. Zu der Zeit gabs Linux basierend noch so krude Dinger wie IPChains und selbst IPFilter finde ich persönlich alles andere als "schön" weder syntaktisch noch zu administrieren. Sicher gibt es obendrüber gute Frontends/Wrapper (Früher mal Shorewall und Co.) aber ich frage mich dann immer "warum". Warum muss ich über meine Filter Engine noch ein CLI/Frontend stülpen, weil es ansonsten häßlich zu bedienen ist. PF Regeln kann man fast schon als englischen Satz lesen und versteht was es tut. IPTables/Netfilter etc. … nunja. ;)

    Wichtiger war mir aber CARP, denn damit war wirklich ein HA möglich, das nicht nur simples Host-Failover (mit Heartbeat o.ä.) realisiert, sondern das ganze dazu viel schneller tracken konnte, Probleme mit schwenkenden IPs und ARP Caches nicht hatte (da CARP eine virtuelle MAC bereitstellt) und dazu noch States synchronisieren konnte. Fiel also FW A aus und B übernahm, waren alle States noch da und der Kunde bekam nichts davon mit. So muss das aussehen.

    pfSense war beim Start als Fork von M0n0wall im Spiel, was ich sehr charmant fand, da man es auf relativ kleine Geräte (embedded Devices wie WRAP, ALIX etc.) werfen konnte und damit ein Security Device, das den Umfang von vielen/allen SoHo Routern damals gesprengt hatte. Administrierbarkeit war aber ein hard-selling-point, deshalb war das Attraktive von m0n0wall die nette GUI. Allerdings setze m0n0wall auf FreeBSD statt OpenBSD und IPF auf. In einer Seminararbeit während des Studiums habe ich deshalb damals schon ein Miniatur-OpenBSD gebaut (sowas, was heute nanoBSD wäre nur auf OpenBSD Basis) und auf WRAPs und Soekris Devices deployed. Anschließend PF/CARP drauf und vollredundante Firewall fertig. Später dachte ich selbst drüber nach, eine UI wie M0n0wall zu kreieren oder auch die m0n0wall zu forken, da kamen mir dann aber die pfSense Gründer zuvor (Scott, Chris) und was sie seither aus dem Projekt gemacht haben, übertrifft das, was ich mir vorstellen konnte bei weitem.

    Deshalb immer "Fan" dieser Lösung geblieben. Zudem ist bspw. Free- oder OpenBSD sehr häufig die Basis von Security Lösungen. GeNUA bspw. baut mit den GenuGates große vollredundante Firewall Lösungen für Bund und Länder, und das mit CC-EAL Zertifizierung. Basis ist OpenBSD und PF.
    Junipers JunOS läuft wie man beim Booten unschwer sieht auf FreeBSD und selbst bei Ciscos ist nicht alles das eigene Cisco-IOS, sondern einige Devices laufen auch auf BSD Basis (ASA...).

    Sieht man sich dann aber Leistung, Preis und Support an, stellt sich einem auch im Firmenumfeld dann mal die Frage: Warum soll ich bspw. Juniper 20k Euro für eine Firewall abdrücken, die mir trouble macht anstatt für ~8k gleich 2 Hardwarekisten mit Power zu kaufen und dort pfSense draufzuwerfen? Denn seit pfSense auch selbst Support anbietet (auch wenn einige wegen Kommerzialisierung schreien), ist das für Firmenbosse ein schlagendes Argument. Plötzlich sind diese Bastel-OpenSource-Lösungen ganz possierliche Geld-Sparmaßnahmen. Und da man ja off. Support hat, gibts auf einmal auch keine Diskussion mehr, dass das dann ja niemand mehr warten kann o.ä.

    Wenns nach mir geht, würde ich auch Free- oder OpenBSD Kisten nackt nehmen und die Software drauf bauen ;) aber mit der Oberfläche kann man dann auch vielen nicht so versierten Anwendern die Kiste in die Hand geben und trotzdem geht nicht(so) viel schief ;)

    So, dass mal meine kurze Sicht darauf ;)



  • Hi,
    nun, ich werde das nicht ganz so ausarten lassen wie @JeGr …. ;)
    ...aber meinen Develey möchte ich hierzu auch mal abgeben.
    Vorweg, ich komme nicht aus der IT-Branche, als ich meinen beruflichen Weg begonnen habe, da hätte man für die Unterbringung eines heutigen PC´s, noch ein ganzes Klassenzimmer gebraucht.
    Ich habe vor einigen Jahren mit dem Beginn meiner Netzwerkelei auf eine Routerfirewall Namens Netgear gesetzt.
    Es sollte was richtiges sein, hat auch richtig Geld gekostet und bin damit in Sachen Stabilität voll auf die Nase gefallen.
    Vielleicht habe ich auch nur ein Montagsgerät erwischt. Die vielen Threads im Internet, diese Marke betreffend, sprechen aber wohl eine andere Sprache.
    Nun, so bin ich dann bei der Suche nach einer stabilen Alternative, (Fritzbox hat jeder, fehlte mir die Herausforderung) hier auf eine super Anleitung zum Aufbau eines Eigenbau-Routers mit einem ALIX-Board gekommen…
    http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
    Diese Tutorial ist schon einige Zeit im Netz und wird wohl auch ständig weiter entwickelt.
    Das dies nicht in 5 Minuten zusammen geklickt ist und ich wohl noch einiges dazu lernen musste, war mir klar.
    Zu Gute kam mir wohl auch die Tatsache, das ich seit Jahren mit Windows nichts mehr am Hut habe und auf die Linux-Schiene (Debian) ausgewichen bin.
    Allein die Tatsache, das man dadurch einmal hinter die Kulisse der pfSense schauen kann, hat mir schon sehr geholfen.
    Die Möglichkeiten der Konfiguration der pf sind schon beeindruckend.
    Auch wenn mittlerweile vier Interfaces aktiv sind und 3 OpenVPN-Tunnel auf dem kleinen ALIX laufen, so sind die  Möglichkeiten noch lange nicht ausgeschöpft.
    Danke an dieser Stelle noch mal an alle, die an diesem Projekt mitarbeiten.
    Gruß orcape



  • Moin,

    ich habe das vertrauen in die Routerhersteller ein wenig verloren, habe nach einen D-Link Di 604 einen Fli4L und anschließend verschiedene Fritzboxen benutzt, dank KD habe ich jetzt eine Zwangsfritzbox.
    Die Probleme der Fritzboxen ging ja durch sämtliche Medien, erschwerend kam bei mir noch KD dazu.
    KD kann meine Box komplett "fern warten" das habe ich nach einem Update gemerkt wo meine Portweiterleitungen plötzlich gelöscht waren  >:(. Vor einiger Zeit bekam ich auf der Arbeit eine Firebox 750e geschenkt, die Anleitungen um darauf pfSense zu installieren erschienen mir gut verständlich, also ging es irgendwann los. Irgendwann lief die Kiste und alle funktionalen Erweiterungen konnte ich, danke der Doku und der Hilfe hier,  relativ zügig umsetzten. Somit war es nur noch ein kleiner Schritt auch zu Hause zuzuschlagen: APU gekauft pfSense installiert, jetzt kann KD zwar immer noch an meiner Fritzbox frickeln, aber sie kommen nicht mehr ins LAN, siehe IP-Cop: "The Bad Packets Stop Here". ;D
    Weiterhin habe ich Geräte isoliert, die X-Box vom Junior kommt zwar raus in die weite Welt, aber im Lan hat sie nichts zu suchen. Genauso Junior2 TV, so ein Schnüffel TV von LG …

    Eigentlich sollte es IP-Cop werden aber die Anleitungen haben mich umgestimmt

    -teddy



  • Hi,

    ich nutze pfSense zurzeit nur beruflich. Für mich waren vor einigen Jahren die entscheidenden Features, die man bei anderen Firewalls nicht unbedingt findet:

    • Redundanz zweier Systeme mit ständigem States-Sync.

    • Quellbasiertes Routing

    • Sichere VPN

    • Sehr große Leistungsbandbreite, von Embedded Systemen bis performanter Server-Hardware. Ich habe Nezte mit unterschiedlichen Anforderungen zu betreuen.

    • Über zusätzliche Packages sehr individuell anpassbar, ohne dass das System von vornherein überladen ist.

    • Open Source. Das steht hier nicht für gratis, sondern für quelloffenen Code. Dadurch kann der Hersteller keine Hintertürchen verstecken wie bspw. Cisco.

    Zuletzt habe ich mir vor eineinhalb Jahren einige andere Lösungen näher angesehen, die Wahl fiel aber auch hier wieder auf pfSense.
    Ich bin mit dem System sehr zufrieden. Es hat einen außergewöhnlichen Funktionsumfang und umfangreiche Einstellungsmöglichkeiten und mit der riesigen Leistungsbandbreite wird sie nahezu allen Anforderungen gerecht.

    Keine Frage, dass es auch Tücken gibt, aber dazu gibt es ja dieses tolle Forum.  :)

    Grüße


  • LAYER 8 Moderator

    nun, ich werde das nicht ganz so ausarten lassen wie @JeGr …. ;)

    aber... ich ... öhm... hey. So lang wars gar nicht geplant... :)

    Jens



  • aber… ich ... öhm... hey. So lang wars gar nicht geplant...

    ….soll ja auch kein Vorwurf sein, eher ein kleiner Scherz am Rande. ;D
    Gruß orcape



  • Ich beschäftige mir erst seit relativ kurzer Zeit mit pfSense. Zunächst war ich auf der Suche nach einem vernünftigen Proxy mit Authentifizierung via LDAP und Filtermöglichkeit. Ich habe also erstmal nur Squid /Squidguard installiert. Mittlerweile läuft auch OpenVPN und ich habe Redundanz mit CARP. Trotzdem kratze ich noch an der Oberfläche herum.

    Was mit an pfSense - neben der Stabilität - besonders gefällt, ist die Möglichkeit, sich sein System genau auf seine Bedürfnisse hin zu konfigurieren.



  • Ich hab nach einem Router gesucht, der mehr als ein Soho Router kann.
    Ich selbst bin Netzwerk Admin in einem großen IT Unternehmen, von daher bin ich etwas Anspruchsvoller was Netzwerk Geräte angeht.
    Dazu kommt noch der Preis, was nicht unerheblich ist, wenn man gewisse Router Features benötigt.

    Ich hatte jahre lang Lancom Router zu Hause in Betrieb. Die Dinger sind gut, aber nicht gerade billig, besonders wenn man mehr als 5 VPN Tunnel aufbauen will.

    Deswegen habe ich mich nach Alternativen umgeschaut und bin auf zwei Lösungen gestoßen, IPFire und PFsense.
    Beide haben ihre Stärken und Schwächen, letztendlich hat mir die Logik von PFsense eher zugesagt und mich dafür entschieden.


  • LAYER 8 Moderator

    Die Dinger sind gut, aber nicht gerade billig, besonders wenn man mehr als 5 VPN Tunnel aufbauen will.

    Das trifft auf viele Hersteller zu, dass gerade advanced Features wie VPN Verbindungen/Tunnel oder auch HA/Failover oder MultiWAN dort gern als PowerPlay Features genutzt werden um extra Geld zu verdienen mit Dingen, die das Gerät eigentlich Basis-technisch schon könnte. Hat mich immer sehr genervt, gerade was VPN angeht, wenn man sowas zu Hause, Homeoffice oder als Labor aufbauen möchte. Und selbst HA oder MultiWAN ist heute nicht mehr soo obskur, wo Internet Zugriff eben nicht mehr so ohne weiteres Ausfallen darf (siehe VoIP).

    Und wenn man dann mal so eine Cisco ASA zerlegt und sieht, dass die kleinste im Endeffekt nichts anderes ist wie ein ALIX Board mit CF Karte und Cisco IOS-artiger Oberfläche, dann wurmt einen der Preis schon richtig (gleiches gilt für die großen ASAs damals, das war 1:1 ein HP G6/7/8 Server und hinter der geschlossenen 3,5" Floppy Frontblende eine CF karte rangelötet).

    Da denkt man sich dann: Sorry das kann ich auch billiger selbst bauen :D



  • Hab meine IT-Karriere vor 10 Jahren mit m0n0wall gestartet und bin wegen der umfangreichen Funktionen zu pfS. Wegen des Funktionsumfangs auch heute noch da geblieben, ich kenne das System recht gut und kann nur wenig negatives berichten.

    Klar, es gibt auch nervige Dinge - die gibts bei Kaufsystemen aber umso mehr und dort wird nicht so fleißig aktualisiert.

    Letztlich ist da Forum hier auch eine schier unerfschöpfliche Quelle des Wissens; ein für mich sehr wichtiger Faktor für Produktionssysteme.



  • Gute Frage, aber ich habe mittlerweile schon einige "professionelle" Firewalls und andere Dinge gesehen.
    Die Kunden zahlen viel viel Geld fuer eine Hardware mit Software. Dazu Lizenzen und so weiter.
    Das ist alles schoen und gut, aber ich finde es unnoetig. Wenn ich mir z.B. eine Watchguard anschaue, habe ich auch eine WebGUI ueber die ich Einstellungen mache.
    Die Logfiles sind fluechtig, (zumindest waren sie es mal) und wenn die Firma waechst, kaufe ich das naechste Teil.
    Wieder viel Geld weg.
    Ich habe jetzt Hardware fuer 600 Euro und koennte damit auch GigBit verarbeiten. Zusaetzliche Kosten? Keine….
    Und vermutlich 40 VPN Tunnel, Countryblock etc. pp.
    Der Kunde stellt 10 Leute ein? Egal, Maschinchen packt das schon.
    Alles in Allem ein super Produkt und steht vielen Firewalls in nichts nach.

    Dazu kann ich z.B. einzelne Pakete einfach nicht mit installieren. Wenn ich einen externen Proxy habe z.B. Bei anderen Firewalls habe ich das dabei und einfach nicht aktiviert. Ist aber trotzdem drauf und bringt komplexitaet.
    Und wenn $Admin moechte, kann er auch 10 Boxen hinstellen, bei der jede nur eine Aufgabe hat...

    Dazu kann ich Authentifikationen und Captive Portal machen, es gibt aber auch alles....
    Wenn jetzt noch eine WAN Beschleunigung eingebaut wird, ist das noch besser...

    Und Hardware Ersatz kann man den Kunden auch schnell bieten. Fuer 5 Kunden, welche die gleiche Hardware haben, kaufe ich eine extra.
    Ab 15 Kunden brauche ich keine mehr auf Lager haben.
    Speichererweiterung moeglich, groessere Platte, alles kein Kostenfaktor. Bei anderen Herstellern ist man gleich zig tausende los.
    8)

    Das hat Zukunft!


  • LAYER 8 Moderator

    Wenn jetzt noch eine WAN Beschleunigung eingebaut wird, ist das noch besser…

    Wuah blos nicht. Ich kenne KEINE, die auch nur ansatzweise wirklich funktioniert und nicht nur eine dicke Mogelpackung ist.



  • @JeGr:

    Wenn jetzt noch eine WAN Beschleunigung eingebaut wird, ist das noch besser…

    Wuah blos nicht. Ich kenne KEINE, die auch nur ansatzweise wirklich funktioniert und nicht nur eine dicke Mogelpackung ist.

    Ich verstehe Deine Aussage nicht! Der Marktfuehrer funktioniert sehr gut!


  • LAYER 8 Moderator

    Ich verstehe Deine Aussage nicht! Der Marktfuehrer funktioniert sehr gut!

    Ich kenne keinen Marktführer, leider bislang nur Pseudo Kisten, die nichts anderes als dicke Proxies/Caches in Hardware-Server verpackt sind, und in vielen Szenarien genausoviel Probleme aufwerfen, wie sie lösen wollen.
    Wir hatten bei Citrix schon Teile von Riverbed, die sollten DE->US Verbindungen "beschleunigen". Aha. Soso. DE HQ und US HQ sind beide mit 1GBit/s angebunden und sollen dann mit so nem Teil schneller sein als das was physikalisch möglich ist? Sagt zumindest der Verkäufer und Vertriebler? Sorry, aber BS kann ich einfacher kochen ;)

    Aber vielleicht gibts ja Zauberstellen wo es tatsächlich funktionert… :)



  • Ja, weil:

    Preis / Leistung ist wirklich sehr gut!
    Keine Folgekosten (Lizenzen, Service-Verträge)

    Nach Einarbeitung VERSTEHE ich was die Kisten machen und kann ALLES nach meinen Vorstellungen einrichten. Meißtens gibt es mehrere Wege und es wird nichts künstlich eingeschränkt.
    Hilfe im Forum ist am Ende nicht schlechter als die kostenpflichtige Hotline der "großen" Hersteller… da sitzen leider auch echt teilweise Pfeifen!

    gruß



  • Hallo,

    ich nutze verschiedene Systeme an verschiedenen Stellen für unterschiedliche Aufgaben und auch
    zu unterschiedlichen Zwecken, also nicht nur und ausschließlich pfSense.

    • OpenBSD + BGPD

    • Quagga

    • RouterOS

    • OpenWRT

    • DD-WRT

    • pfSense

    • ClearOS

    • ZeroShell

    • IPFire


Log in to reply