IPFire oder nicht?

Hallo liebe Leserinnen und Leser,

in diesem Beitrag möchte ich um eure Meinungen und Gedanken zur Distribution IPFire 2.x und einer dafür erhältlichen Hardware-Appliance bitten.

IST-Zustand

Vereinfachte Struktur des betrachteten Netzwerks

Es existiert ein einfaches Heimnetzwerk, welches über eine Vodafone ConnectBox mit dem Internet verbunden ist. Die Firewall der ConnectBox ist aktiviert und es sind aktuell keinerlei eingehende Verbindungen zugelassen.

Im LAN existieren eine Vielzahl unterschiedlicher Geräte, wie z.B. Access-Points, Pi-Hole, PCs, Laptops, PV-Anlage, Netzwerkdrucker, etc. pp.

SOLL-Zustand

Das bestehende Heimnetzwerk soll in verschiedene Netzwerkzonen unterteilt werden können, welche durch eine Firewall voneinander getrennt sind. Es soll eine Möglichkeit zur VPN-Einwahl geschaffen werden, um von außerhalb des Netzwerks auf Dienste im Heimnetzwerk zugreifen zu können. Der vorhandene Kabelrouter soll nicht ersetzt werden.

Vereinfachte Netzwerkstruktur mit IPFire

Bei der Internet-Recherche bin ich auf IPFire gestoßen, für welche ich als ehemaliger IPCop-Nutzer eine gewisse Sympathie hege. Zudem habe ich mit der IPFire Mini Appliance (EU) ein Gerät im Blick, welches am Aufstellungsort eine gute Figur machen sollte. Mir ist dabei wichtig, dass das Gerät möglichst sparsam bei der Energieaufnahme ist und passiv gekühlt wird, damit im Betrieb keine Geräusche verursacht werden.

Ich möchte die IPFire als Paketfilter, OpenVPN-Gateway und ggf. IPS nutzen.

Ihr seid gefragt

Bevor ich nun ca. 450 Euro investiere, möchte ich die Chance nutzen und nach euren Erfahrungen mit IPFire und den verfügbaren Appliances fragen.

Habt ihr IPFire genutzt oder nutzt sie noch? Seid ihr damit zufrieden, oder würdet ihr zu einer Alternative raten? Wenn Alternative, welche und warum?

Worauf betreibt ihr IPFire? Auf einer Appliance wie der oben verlinkten, einem Raspberry Pi, in einer VM oder auf etwas ganz anderem? Lasst es mich gerne wissen, warum ihr euch für welche Lösung entschieden habt.

Falls ihr jetzt die Hände über dem Kopf zusammenschlagt und ruft: „Nein alles, nur das nicht!“ Dann bin ich natürlich umso mehr an eurer Erfahrung interessiert.

Bitte nutzt die Kommentare oder schreibt mir an „ipfire (aett) my-it-brain (Punkt) de“, wenn ihr eure Gedanken mit mir teilen möchtet.

Quellen und weiterführende Links

35 Gedanken zu „IPFire oder nicht?

  1. thoys

    Hi,
    ich komme aus dem Bildungsbereich und linuxmuster.net-Bereich :-)
    Die Lösung ist irgendwann von ipcop/ipfire zu opn sense gewechselt. Laut dieser Anleitung (überhaupt nicht fundiert, sondern nur eine Suchmaschine gefragt) https://www.thomas-krenn.com/de/tkmag/wp-content/uploads/2017/04/20170503-webinar-les-network.pdf
    kann opn sense einfach mehr.
    Vielleicht lohnt es sich ja auch für dich die anzuschauen. In den Schulen wechseln natürlich alle zu SOPHOS was aber prprietär ist. Und, da du ja schreibst, dass du von ipcop kommst…. ich wollte es nur einmal erwähnen.

    Hat dein Gerät mehrere rj45 Schnittstellen oder nutzt du gemanagte Switche?
    Schöne Grüße Thoys

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo thoys,
      vielen Dank für deinen Kommentar.

      Das Gerät, welches ich ins Auge gefasst habe, besitzt mehrere RJ-45-Schnittstellen, die flexibel konfiguriert werden können. Darüber hinaus plane ich den Einsatz von Switches mit VLAN-Funktionalität. Ein solches Modell teste ich gerade in meinem Netzwerk.

      SOPHOS oder etwas anderes proprietäres kommt für den vorgesehenen Einsatzzweck nicht infrage. Es geht um ein Heimnetzwerk und ich möchte mit der verwendeten Lösung auch spielen und daran lernen können. OpenSense schaue ich mir aber auch nocheinmal näher an.

      Antworten
    2. Peter

      Hi Thoys,
      nur mal so am Rande, weil Du Sophos erwähnt hast. Super Hardware für pfSense/OPNSense.
      Sophos UTM 110/120 REV.5 mit IPFire, läuft problemlos. Ich habe mich aber nicht wirklich darauf eingearbeitet, sondern das Teil wieder bei EBay verkauft. Wegen fehlender Crypto Unterstützung der CPU, kein pfSense möglich, was eigentlich die bessere Wahl ist. Zumindest kenne ich die pfSense aus dem FF.
      Ich habe mir für gerade mal knapp 30 € eine Sophos SG 105 gekauft, mit pfSense geflasht und damit eine APU2C4 ersetzt, die nur 3 physische Schnittstellen aufweist.
      Die Sophos hat eine Atom-CPU mit Crypto Unterstützung. Ab SG 105-SG135 sollte alles funktionieren und bei SG 125/135 hat man sogar 8 physiche Schnittstellen.
      Gruß Peter
      .

      Antworten
  2. Snoopy

    Hallo,

    Ich habe 2013 vom IPCop zu IPFire gewechselt und dabei ein sehr ähnliches Setup gehabt. Als HW habe ich eine APU verwendet. Ich war sehr lange zufrieden mit IPFire und es hat das gemacht, was es soll.
    Allerdings ist die Entwicklung aus meiner Sicht etwas in das stocken geraten und es gab dann doch den einen oder anderen Fehler. Auch ist die Community leider nicht das was ich mir wünschen würde.
    Das war für mich dann der Grund vor knapp einem Jahr zu OPNsense zu wechseln. Dabei habe ich auch gleich die HW gewechselt, so dass ich jetzt eine IPU662 einsetze (https://www.ipu-system.de/produkte/ipu662.html).
    Ja was soll ich sgen? Der Umstieg war doch mit etwas lernaufwand verbunden, da bei der OPNsense das eine oder andere anders gemacht wird. Aber ich muss sagen, es hat sich gelohnt. Es gibt regelm. Updates und die Community ist wirklich super und hilfsbereit.
    Also ich bereue es überhaupt nicht von IPFire zu OPNsense gewechselt zu haben.

    Gruß
    Snoopy

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Snoopy,
      vielen Dank für deinen Kommentar und besonders für den Link zu den IPU-Systemen.

      Du schreibst, dass die IPFire-Entwicklung aus deiner Sicht ins Stocken geraten ist. Kannst du das etwas weiter ausführen? Kommen keine neuen Funktionen mehr oder werden Fehler in bestehenden Funktionen nur langsam bis gar nicht behoben?

      Wie würdest du die IPFire-Community in drei Adjektiven beschreiben? Mich interessieren auch diese subjektiven Eindrücke, da man über die Community meist nichts in den Datenblättern lesen kann. ;-)

      Viele Grüße
      Jörg

      Antworten
    2. kadajawi

      Naja, ich weiß nicht. Ich nutze jetzt eine Weile OPNsense… regelmäßig geht etwas kaputt, und die Entwickler glänzen mit einer beeindruckenden Arroganz. Überlege daher, zu IPFire oder etwas anderem zu wechseln… wenn ich sowieso schon einmal neu aufsetzen muss. Und ich finde wenn man so liest gibt es immer wieder Leute die genug von OPNsense haben und bei pfSense & Co. glücklich wurden.

      Antworten
  3. thw

    Hallo,
    Ich würde dir einen MikroTik RouterBOARD hEX S [1] empfehlen (ca. 80€ [2]) und darauf OpenWRT flashen. Ich habe das kleine Teil an einem 1GBit Fiber Anschluss. Ich habe immer über 920MBit UP und Down. An OpenWRT [3] muss man sich etwas gewöhnen aber ich kann nicht klagen. Preis Leistung stimmt einfach.
    Gruss

    [1] https://mikrotik.com/product/hex_s
    [2] https://www.computerbase.de/preisvergleich/mikrotik-routerboard-hex-s-rb760igs-a1923211.html
    [3] https://openwrt.org

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo thw,
      Auch dir danke für deinen Kommentar und die Hardwareempfehlung. Ich freue mich immer, wenn ich neue passivgekühlte Mini-Plattformen kennenlerne.

      Für welche Zwecke setzt du OpenWRT ein? Ich habe diese Distribution für den geplanten Einsatzzweck bisher nicht berücksichtigt, da mir die Konzentration auf Paketfilter, VPN und IDS fehlt. Es ist für mich eher eine Distribution, welche enorm viele Embedded Devices unterstützt und den Fokus eher auf Routing, Switching und WLAN legt.

      Ich will nicht abstreiten, dass man eine Firewall damit bauen kann, aber es scheint nicht der Fokus der Distribution zu sein.

      Antworten
      1. thw

        Hallo

        Mein Einsatz war bzw. ist der Ersatz meiner alten Fritzbox. WLAN brauche ich nicht (Unifi), Firewall ist integriert (nftables), VPN mache ich mit Wireguard und IDS habe ich keines. VLAN’s habe ich direkt auf dem integrierten Switch aktiv. Sehe da jetzt keinen Unterschied zu Pfsense ausser es ist halt Linux!

        Gruss

        Antworten
  4. oelauge

    Hallo,

    für das exakt gleiche Zielbild wird bei uns ein Switch eingesetzt, um die einzelnen Netzwerke per VLAN aufzuteilen. Als Firewall werkelt ein APU-Set (https://www.pcengines.ch) mit PFSense. Mir persönlich gefällt die Konfigurationsstruktur bei PFSense besser als bei OPNSense.

    Eine OpenVPN-Verbindung wird über den Provider-Router (bei mir eine Fritzbox) an PFSense weiter gereicht und dieser vermittelt die Verbindung in das entsprechende VLAN.

    Antworten
  5. Tom

    Hi,

    benutze seit Jahren die IpFire auf einer APU2C4 (darauf baut auch wahrscheinlich die o.g. Appliance auf).

    Habe mein Netzwerk in die drei Zonen aufgeteilt (Rot/Grün/Orange) und bisher ohne VLANs.
    Sie läuft stabil, es gibt regelmäßige Updates, größtenteils Systempflege.
    Ich denke, dass sie an der IpFire Version 3 arbeiten, weiß aber nicht wie weit das ist.

    Bisher gab es 3 Fehler, die mich etwas beschäftigt haben.
    Ich finde die Ländersperre gut.
    Die GUI ist etwas altmodisch – da gefällt mir die OPNSense an der Stelle besser.
    IpV6 wird nicht unterstützt. Wireguard geht auch irgendwie, das lasse ich aber nicht auf der IpFire laufen. Ich finde die Definition der Firewallregeln sehr angenehm.

    Es gib auf dem Kuketz-Blog eine Artikelserie zur Ipfire :
    https://www.kuketz-blog.de/hardware-und-netzwerkaufbau-ipfire-teil1/

    Ich überlege mal die OPNSense auszuprobieren.
    Dann evtl. auf so einem Gerät :
    https://de.aliexpress.com/item/1005004360072281.html

    OPNSense unterstützt die i-225-V, kann da auch mehr RAM und eine NVMe einbauen.

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Tom,
      vielen Dank für deinen Kommentar. Über eine Version 3 habe ich bisher noch nichts gelesen. Hast du zufällig eine Quelle dazu? Oder ist das noch reine Spekulation?

      Viele Grüße
      Jörg

      Antworten
  6. slange-dev

    Moin, ich kann auch nur empfehlen NICHT IPFire zu nehmen sondern OpnSense.

    Ich betreibe eine OpnSense auf einem alten Desktop Rechner mit einem „Intel(R) Celeron(R) CPU G1840 @ 2.80GHz (2 cores, 2 threads) und mit 16 GB Ram, 120 GB SSD und 2x 1000Mb NetworkCard“.

    Da alle IPUs für meine Ansprüche zu wenig Leistung haben, habe ich einen Desktop PC genommen.

    Der ganze Spaß verbraucht bei mir ca. 100 Watt Strom, je nachdem welche Services in der OpnSense aktiviert sind/werden.

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo,
      ich entnehme deinem Kommentar, dass die OPNSense deine Anforderungen gut erfüllt. Hast du denn negative Erfahrungen mit einer IPFire gemacht? Ich frage nach, da du das „NICHT“ so betont hast.

      Viele Grüße
      Jörg

      Antworten
      1. Peter

        Hi Jörg,
        es gibt Hardware technisch Unterschiede, die z.B. einer IPFire gegenüber pfSense/OPNSense den Vorzug geben. Eine fehlende Crypto-Unterstützung der CPU, z.B..
        Mit IPFire habe ich aber wenig Erfahrung. Mein Wissen beschränkt sich eher auf die pfSense und DD-WRT/OpenWRT.
        Wobei letzteres eigentlich nur für WLAN-Router/AP’s interessant ist.
        OpenWRT hat wohl die einfachere Iptables-Konfiguration. DD-WRT ist für Iptables richtig Handarbeit angesagt.
        Jeder hat so seine Vorlieben und nicht jede Hardware spielt bei jeder Firmware mit, da reicht schon ein Versionsunterschied ein und des selben Routers.
        Gruß Peter

        Antworten
  7. Boll

    Hallo,
    ich habe IPFire kurzzeitig auf separater Hardware betrieben (ZOTAC ZBOX nano CI321) – hinter einer als Gateway agierenden Fritzbox. Testweise habe ich in IPFire VMs eingerichtet, z.B. um das parallel laufende pihole zu ersetzen. Insgesamt lief das System aus meiner Sicht stabil und zufriedenstellend. Was mich störte, war, dass die Hardware neben dem einen Ethernet-Port für „Rot“ nur einen weiteren für „GRÜN“ hat. Wenn mehrere Geräte per Kabel verbunden werden sollen, braucht es einen (stromverbrauchenden) Switch. Daher bin ich mit anderer Hardware (FritzBox) zu OpenWrt gewechselt.

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Boll,
      die Hardware, die ich im Auge habe, verfügt über vier Ports. Damit ist es möglich zwei Ports im Bridge-Mode in der Zone Green zu betreiben. Damit kann ich mir an dieser Stelle einen separaten Switch sparen.

      Danke für deinen Kommentar. Schön zu wissen, dass du vom Schnittstellenproblem abgesehen mit IPFire zufrieden warst.

      Gruß
      Jörg

      Antworten
  8. Scheubi

    Hallo
    Ich nutze seit einigen Jahren die IPFire, zur Zeit IPFire 2.27 (x86_64) – Core-Update 172, auf einem Intel(R) Core(TM) i3-6100T CPU @ 3.20GHz. Das Gerät ist ein Shuttle Inc. DH170 mit 16 GB Mermory, 256 GB SSD, zwei 1 GB RJ-45-Schnittstellen und einem Lüfter.
    Für die DMZ Anschlüsse verwende ich USB to LAN Adapter.
    IPS/IDS läuft mit Talos VTR Regelsatz und etlichen IP Adress Blocklisten, sowie DNS-Proxy, DHCP, Web-Proxy. Kein VPN. Die Systemresourcen reichen bei weitem und die 25W CPU kommt nie an den Anschlag.
    Es besteht die Möglichkeit verschiedene Pakfire-Repository auszuwählen. (testing, unstable und stable)
    Bis vor 3 Monaten war ich sehr zufrieden, dann aber, bei der Einführung der IP Adress Blocklisten, funktionierten die USB to LAN Adapter nicht mehr nach einem Update der stable Version. Das Problem lag zwar in der Kernelversion und wurde im testing sehr schnell behoben, aber so etwas hätte im unstable erkannt werden sollen.
    Sonst bin ich sehr zufrieden mit der Software.

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Scheubi,
      du schreibst, dass es bei einem Update der Stable-Version zu einem Problem gekommen ist. Handelte es sich dabei um ein Major-Release-Update oder ein Hotfix-, Bugfix-Update?

      Viele Grüße
      Jörg

      Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Thomas,
      schließt du dich den übrigen Empfehlungen hinsichtlich OPNsense an, weil du damit zufrieden bist, oder weil du es im Vergleich zu IPFire im speziellen besser findest? Hast du auch praktische Erfahrungen mit IPFire und ziehst OPNsense deshalb im direkten Vergleich vor?

      Gruß
      Jörg

      Antworten
      1. Thomas Butz

        Außerhalb vom Studium leider nichts mehr mit IPFire gemacht, aber OPNSense würde ich das Label „battle proven“ verpassen. Beruflich an X Stellen im Einsatz und es hat die beste Eigenschaft die Technik haben kann: langweilig

        Antworten
  9. nyaaumi

    Für Zuhause würde ich immer OpenWRT nehmen. Router plus Modem, kaum Stromverbrauch und ausreichend für alle Spielereien.

    Fürs Unternehmen gerne immer OpnSense.

    Antworten
  10. Berndt

    Hallo,
    mein Favorit ist OPNsense. Hab hier von fli4l über ipcop, ipfire, monowall, pfsense und openwrt alles durch und habe seit 2017 OPNsense am laufen. Erst auf APU4 Boards und seit Anfang 2020 als VM unter Proxmox.
    Die mehr oder weniger vorkonfigurierten Firewalls wie ipcop, ipfire oder openwrt sind mir zu unflexiebel, z.B. wenn mehr Schnittstellen gebraucht werden als rot,grün,blau hergeben oder wie bei openwrt die Vorgaben der Zonen und LAN/WLAN-Bridge, wenn man das so nicht haben will, artet das immer in Arbeit aus.
    Was OPNsense kann und alles was du für Installation und Einrichten brauchst findest du im sehr guten Handbuch dazu auf https://docs.opnsense.org/
    Gruß Berndt

    Antworten
  11. Toto

    Ich bin vor vielen Jahren von IPFire auf OPNsense gewechselt. Die Entwicklung von IPFire steckt fest, man arbeitet seit mehr als 10 Jahren an der 3.0, bisher leider ohne Ergebnis. Die aktuelle Version von IPFire kann kein IPv6.

    Grüße

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Toto,
      auch dir vielen Dank für deinen Kommentar.

      Dann habe ich mich in dem Blogpost, welchen Tom weiter oben gepostet hat, tatsächlich nicht verguckt und die 3.0-alpha1 ist tatsächlich schon 10 Jahre her. Danke für die Bestätigung.

      Gruß
      Jörg

      Antworten
  12. Finn

    Moin Jörg, ich nutze IPFire seit vielen Jahren und bin sehr zufrieden damit (mit APU4C4 Board). Leider ist es richtig, es fehlt an einigen modernen Features. Trotzdem bin ich noch sehr zufrieden, allerdings stieß ich mit meiner neuen 500 MBit/s Leitung an die Grenzen (IPFire übernimmt die Einwahl). Der maximale Downloadspeed betrug 230 MBit/s.

    Ich habe folgende Zeilen in die /etc/sysconfig/firewall.local eingefügt (unter start), damit erreiche ich immerhin 450 MBit/s:

    echo „f“ > /sys/class/net/red0/queues/rx-0/rps_cpus
    echo „f“ > /sys/class/net/red0/queues/rx-1/rps_cpus

    echo „f“ > /sys/class/net/eth2/queues/rx-0/rps_cpus
    echo „f“ > /sys/class/net/eth2/queues/rx-1/rps_cpus

    echo „f“ > /sys/class/net/eth3/queues/rx-0/rps_cpus
    echo „f“ > /sys/class/net/eth3/queues/rx-1/rps_cpu

    echo „f“ > /sys/class/net/ppp0/queues/rx-0/rps_cpus

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Finn,
      hab auch du vielen Dank für deinen Kommentar. Gut zu wissen, dass es beim Speed eine Grenze gibt.

      Ich bin inzwischen dem Vorschlag von Ralph gefolgt und nutze Tailscale (EN, basiert auf Wireguard). Für meine Anforderungen komme ich mit dem kostenlosen Angebot zurecht. Mir gefällt daran die einfache Einrichtung, die hinreichend gute Dokumentation und die richtig guten Artikel wie z.B. How NAT traversal works.

      Damit ist jedoch nicht ausgeschlossen, dass ich mir irgendwann doch noch eine andere Lösung beschaffe. Dann schaue ich jedoch vermutlich nochmal genauer auf https://opnsense.org.

      Viele Grüße
      Jörg

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert