Etwas ermutigt von Lars möchte ich euch eine Artikelreihe vorstellen, die ganz gut zum aktellen VPN Thema im Blog passt. Ich schreibe seit einiger Zeit auf meiner Seite zu Themen die mich bewegen oder interessieren und versuche so der Open Source Community durch mein Wissen etwas zurück zu geben. Natürlich bin ich nicht perfekt und lerne immer noch dazu, aber ich glaube, das der ein oder andere Artikel durchaus nützlich sein könnte
Ich hab ExpressVPN genutzt, aber das geht natürlich mit jeden anderen Provider des Vertrauens. Ein VPN benutze ich selber nur recht sporadisch zu Test- und Auditzwecken, daher hab ich da nicht so den riesen Anspruch. Egal.
Auch wenn der @marzl einen sehr ausgeprägten Fetisch mit der pfSense hat (ich bevorzuge eher Gateprotect als Hardware-Lösung von Rhode & Schwarz) finde ich die Tuts etc. auf seiner Site doch sehr fundiert!
Warum nicht so etwas als Serie mit implementieren - ist doch ne gute Idee…
Danke. Zu meinem Fetisch stehe ich
Die pfSense ist daher ein Objekt der Begierde, da sie recht schnell von jedem genutzt werden kann und richtig stabil (FreeBSD) läuft. Gateprotect, Watchguard oder Sophos kann das natürlich auch, aber teilweise nicht ganz so einfach und übersichtlich wie in meiner geliebten pfSense.
OpenSense wäre noch eine Alternative, die aber im prof. Feld noch nicht (zumindest bei mir) „angekommen“ ist. Wird aber auch probiert. Sieht gut aus.
OpenSense wird aufgrund aktueller Ereignisse auf jeden Fall kommen. Ich bau grad meine FW um… nur soviel: die Lizenzpolitik von Netgate ist grundsätzlich im Ansatz erstmal korrekt (niemand sollte in eigenem Namen eine pfSense anbieten oder vertreiben), aber hier sind sie übers Ziel hinausgeschossen: Die sehen unter „Commercial Distribution“ sogar den reinen Support und Hilfestellung für Kunden, die eine eigene pfSense aufgebaut haben und um Hilfe fragen, insb. dann wenn man Partner ist oder sein möchte. Verrückt und für mich definitv ein Raustreiber.
Ich hab die pfSense vor drei Jahren mehrmals noch verkauft an die Uni Köln (Entwicklung / Forschung Windenergie) und an eine holländische Firma, die mit denen Offshore-Testwindparks aufgebaut haben!
5x Blechkiste vor Ort lokal
5x auf VPS
Wir hatten bei Windstärke 12 damals etwas Probleme, bei dem Netzwerk und der gewünschten Topologie.
Warum auch immer: Mein Chef war bei Netgate auch Partner und wir haben den Support (ohne SLA Einschränkung) über Wochen auf trab gehalten und zusätzlich die Uni und die Holländer ebenfalls !
Die Endabrechnungen vom Einkauf und auch vom Verkauf sind alle über mich gelaufen - ich hab da, glaube ich, nicht einmal Netgate-Support druff gesehen?!!!
Ich meine auch das private Partner (ohne Businessvertrag) beim Support immer freundlich an den Community-Support weitergereicht wurden…
Es kann natürlich sein, dass Netgateheutzutage nicht mehr auf private Entwickler und Beta-Tester angewiesen sind, da das Produkt lange etabliert ist - und aktuell holt man sich über den Support die ganzen Aussenstände wieder zurück!?
SIND SCHON GUTE BETRÄGE…ALLERDINGS MITTELFELD!
Bei Veeam bezahlt du solche Beträge im Quartal (je nach Produktmenge und Netzwerk) bzw. wenn du jemanden dort die Hand schüttelst
Im Gegensatz dazu fand ich den Support bei Gateprotect besser geregelt Man hat Support-Verträge abgeschlossen, dem Kunden mit auf die Rechnung gesetzt und konnte 24/7 dort ein Ticket aufmachen und hatte meistens nach 30-90 Minuten einen Ing. am Rohr!
Die Beiträge auf dem Bild sind PRO Gerät. Hast du 10 davon, zahlste 10 mal.
Das find ich schon recht sportlich, hier muss man aber fairerweise anmerken welche Zielgruppe das ganze anspricht: Große Firmen die auch bei einem Ausfall oder Fehler schnell entsprechende Verluste fahren. Da gelten eh nochmal andere Spielregeln. Aber die normale Bude, die etwas mehr möchte als eine Fritzbox halt hergibt, bekommt von den Beträgen Ausschlag
Die pfSense ist schon sehr geil, auch hoch ins prof Umfeld voll konkurrenzfähig und ich setze sie gerne ein. Das Problem ist, das man NUR mit der Netgate Hardware eine kommerziell einsetzbare pfSense Lizenz erhält. Das ist sehr Schade und in EU auch nicht wirklich hilfreich, da es die Hardware auch nur in US gibt und entsprechend importiert werden muss. Biste Wiederveräufer kommt der ganze CE, ElektroG, Zoll, VerpackV, Garantie Kram obendrauf.
Leider ist die kleinste SG-1100 eine APU2 komplett unterlegen aber teurer. Die 5100 kommt dem schon näher. Ich hab die gefragt ob man auch einzlene Software Lizenzen kaufen kann. Nehmt mein Geld ich möchte euch bezahlen. Nope, geht nicht. Werde Partner oder lass es. Als Partner DARFST du aber nur noch Netgate Hardware verticken. Sorry, was soll ich damit anfangen?
So, der dritte und vierte Teil wurden nun fertig gestellt.
pfSense ® mit ExpressVPN TEIL3: Komplettes Routing
In diesem Teil geht es darum, ein ganzes lokales Netz über das VPN zu schicken und zu verhindern das nichts mehr über den normalen Internetzugang fließt.
OMV kann, meine ich, virtuelle Maschinen bereitstellen. Es ist hier eher ein Thema der Performance und der Netzwerkschnittstellen. Idealerweise gibt es eine WAN und eine LAN Schnittstelle, sonst läuft ja alle über eines. Mit FreeNAS und einer zusätzlichen Netzwerkkarte ging das super. Denk aber daran, das VPN schon viel Leistung benötigt und auch gerne durch Hardware AES beschleunigt werden möchte.
Da die USB-Version ja ein Live-System ist, wird dementsprechend sehr viel an Verarbeitung ins RAM ausgelagert und könnte somit dort den Flaschenhals bilden.
Desweiteren kann ich @marzl nur Recht geben, dass VPN eine ziemlich Performance - lastige Angelegenheit ist, alleine schon durchs ständige Verschlüsseln / Entschlüsseln. Müßte man im Zweifel einfach mal durchtesten!
OMV für den RasPi kann Docker bereitstellen… Für echte VM´s ist der RasPi zu schwach in der Leistung, denk ich mal. Kann aber sein, dass die Server- u. Desktop-Versionen von OMV VM unterstützen.
Mittlerweile unterstützt BSD ja auch ARM Boards, deshalb dacht ich, dass es eine pfSense-Version speziell für RasPi gibt. Der RasPi 4 is ja mittlerweile so potent, dass man problemlos eine zweite LAN Netzwerkschnittstelle anschließen kann.
Mit OpenVPN kann man ja problemlos einen RasPi als VPN-Server nutzen. Also an der Perfomance ansich scheiterts eigentlich nich… Aber OK, pfSense ist ja dann schon wieder eine höhere Liga.
Negativ: amd64 only.
Auch opnSense kann offizielle nur i386 oder amd64, aber es wird an arm64 gearbeitet:
https://forum.opnsense.org/index.php?topic=12186.msg55801#msg55801
Was ich dabei nicht so ganz kapiere:
freeBSD gilt doch seit den Versionen 11.x als „stable“ für die arm64-Struktur. pfSense ist seit fast drei Jahren bei der entsprechenden Umsetzung dabei…warum das bisher so eine große Problematik beinhaltet, will mir nicht ganz klar werden! Vielleicht ist das von Netgate einfach auch nur so gewollt ?!
@d0m1ng0
Klar kann der RasPi mitlerweile als VPN-Dienstleister problemlos genutzt werden! Aber zumeist nur als „Einzelanwendung“. Da die pfSense als komplette Firewall-Applikation noch einige weitere Funktionen mitbringt, die Ressourcen des Pi von vorne rein benutzen, kann es natürlich schnell knapp werden bei der Pi-Hardware…
So wird es sein. Das Betriebsystem ist eine Sache, aber die Paketierung darauf eine andere. Wie ich oben schon angemekt hatte: Im Pro Sektor will Netgate die eigenen Kisten verkaufen… Ich denke auch das is eine künstliche Limitierung, von daher finde ich es gut , das opnSense da schon was in Petto zum probieren hat. ARM64 Hardware mit 2 LAN Schnittstellen gibt es teils richtig günstig!
Als Nischenprodukt würde ich pfSense nicht betiteln. Außer man hält Firewalls für ein Nischenprodukt an sich!
pfSense (Netgate) ist aber einer der wenigen Vertreter, die ein solches Produkt sowohl als kostenpflichtiges komplettes Hardware-Produkt, aber auch als offene Software-Lösung kostenfrei anbieten! Da eine Firewall immer dem Eigenschutz dient und der allgemeinen Verbindungssicherheit eines jeden Anschluß, würde ich dies nie als Nischenprodukt ansehen!
Firewall sind allgemein leider etwas unterbewertet und viele sind ja der Meinung das ein Fritzbox völlig ausreicht.
Das aber eine Firewall genau bestimmen kann was nicht nur rein, sondern auch raus geht (in Pro Sektor sehr üblich!), dazu die Kontrolle über das Netzwerk hält und die VPNs vernünftig gestaltet und ggf durch Werbeblocker/Virenscanner noch Zusatzfeatures netzweit zur Verfügung stellt, wird leider oft übersehen. In Zeiten wie diesen aber nicht zu verachten und sollte immer prominenter im Sicherheitsbewusstsein werden. jm2c
finde ich die Tuts etc. auf seiner Site doch sehr fundiert!
!
