Macht eine OpenSense mit Zenarmor Sinn um die Kinder besser zu schützen?

[Doktor]

Hallo in die Runde,

ich bin am überlegen, ob ich mir ein mein Netzwerk eine OpenSense reinbastel. Warum: Meine Kinder bewegen sich immer mehr selbstständig im Internet, und ich dachte mir, etwas mehr Sicherheit wäre da nicht schlecht..gerade im Zusammenspiel mit Zenarmor.
Ich verwendet hier ein Netzwerk:
Vodafone 1 GBit <-> Fritzbox (statisches Routing) <-> Unifi Gateway Ultra (ohne NAT) <-> Rest des Netzwerk mit ca. 50 Devices, Unraid, Proxmox Server etc.

Nur wäre mal meine ersten Fragen:

• Bring das einen Mehrwert wie ich es mir wünsche: Mehr Schutz für die Kinder (da Zenarmor z. B. "böse" Seiten zeitnah sperrt etc?
• Ich müsste die OpenSense wohl zwischen Fritzbox und Unifi Gateway Ultra bringen. Funktioniert das gescheit in diesem Szenario mit Unifi? Ich hätte dann Fritzbox <-> OpenSense <--> Unifi Gateway Ultra. Macht das so Sinn? Gerade im Hinblick, dass das Unifi Gateway ja auch schon so ein wenig "Firewall" macht.
• Wie stark würde das auf die Performance gehen..hätte da ja noch einen Hop mehr drin

Bevor ich mich weiter mit dem Thema weiter befasse, würde mich erst mal Euer Feedback interessieren?

Gruß
Doktor

[Zapad]

um ganz klar zu sein, keine Firewall kann Kinder Schützen.... und kein Filter.
Es fängt doch schon bei Youtube magst du das Blockeren? oder Whatsapp...oder sonstige Chats und Messengers?

Sicher die ganz Bösen Buben mag die FireHol Liste, Zenarmor oder auch Adguard/Pihole bremsen,
aber nicht aufhalten.

Klar kannst du Die OPNSense zwischen schalten und was weg filtern, und es gehört jede menge Zeit um die Filter effektiv
zu machen, meine Frau kann dir Lieder davon Singen.... ;)

[Doktor]

Mir ist klar, dass man den Kindern schon Internet-Kompetenz beibringen muss. Das ganze soll nur unterstützend sein...und da ich sowieso immer von Zuhause arbeite, kann man schon etwas Zeit investiern  ;)
Ich interpretiere mal in Deinen Post mit rein: Du machst das und scheinst es auch für Sinnvoll zu halten...

[maclinuxfree]

AdGuardHome macht das schon ganz gut. Dann nur noch DNS außer Firewall blocken.

[Doktor]

AdGuard Home habe ich auf meinem Proxmox schon am laufen...

[Zapad]

@Doktor
Richtig, aber ich habe auch Spass daran immer wieder neue Regeln zu erfinden um wieder mal was zu fangen/blocken.

Als erstes würde ich mal Opnsense mit Adguard (ok schon da Gut) probieren und nach lecks suchen und abdichten, danach
mal schauen ob ein Transparent Proxy und/oder Zenarmor Sinn macht.

Für die Kids würde ich separates Vlan erstellen.

Schau mal bei der HW nach Routing Performance, denn je mehr Regeln du hast desto mehr Power wird deine FW brauchen.

Als bsp. ich nutze Minipc Core i7 mit 2,5 Gbe Anschlüssen, 16GB Ram und 256 ssd.
Das muss aber nicht für Jedermann was sein, man könnte Ruhig kleinere Brötchen backen zb. Core i3 oder i5.

[Doktor]

Das ist dann die nächste Frage: was benötigt man für eine Hardware. Ich habe hier ein Proxmox und ein Unraid laufen mit jeweils unter 10 Watt verbrauch im Idle. Ich möchte mir jetzt ungerne so ein Stromschlucker hinstellen.
Es gibt ja viele China-Mini-PCs. Die sehen erst mal ganz gut aus. Doch ich befürchte, dass Updates für Bios etc. eher nicht existieren, oder?
Bei der CPU schwanke ich zwischen N100, N305 und einem i3. Was benötigt man an Rechenpower für Opensense mit ggf. Zenarmor? Mein Netzwerk ist hauptsächlich intern 1 Gbit und ein paar 2,5 Gbit. Nach extern 1 Gbit.
Ebenso an Ram: 8, 16 GB?
256 GB reichen für Logs und Co? Weil mehr Services möchte ich auf der Firewall dann nicht laufen lassen wollen.

[Zapad]

also Zenarmor haut schon mal richtig auf CPU rein, vor allem du müsstest auf jede Offload Möglichkeit verzichten und
kannst in der freien Version nur WAN fitern soweit ich weiss....

[Doktor]

also Zenarmor haut schon mal richtig auf CPU rein, vor allem du müsstest auf jede Offload Möglichkeit verzichten und
kannst in der freien Version nur WAN fitern soweit ich weiss....

D.h. was genau? Reicht ein N100? Muss es ein N305 sein? Oder gar ein i3?
Wie viel RAM? Was hast Du für eine Hardware?

[Zapad]

ob ein N100 dafür reicht kann ich nicht sagen...
Ram>16gb würde definitiv reichen.

mein Core i7 lief mit ca. 15-20% Auslastung.... normal 1-2% ohne besondere Last....

Meine HW habe ich oben gepostet, ich habe aber mit Überhang gekauft für Allerlei Experimente.

[lewald]

Meine Erfahrung: Ein n100 dürfte knapp reichen, aber nur, wenn er mit mehr als 6 W betrieben wird. Ich habe so einen mit Proxmox und Opnsense/Zenarmor als VM drauf. Da sind dann noch gut 860 Mbit (clientseitig) über Vodafone mit Fritzbox drin.

Ich würde dir empfehlen, dir zunächst zu überlegen, was genau du sichern möchtest. Ich denke, es geht vor allem um Inhalte. Zenarmor ist da durchaus gut. Aber mit der freien Version kommst du da nicht weit. Für das Thema gehen auch Adguard und Pihole gut. Dafür brauchst du allerdings nicht zwingend OPNsense. Du hast ja schon ein Unifi Ultra.

Wenn es neben Inhaltsfilterung auch noch um Netzwerksicherheit gehen soll, dann kommt das Thema VLAN ins Spiel.

PS: Wenn eine OPNsense ins Spiel kommt würde ich das Unifi Ultra rausschmeißen.

[Doktor]

Meine Erfahrung: Ein n100 dürfte knapp reichen, aber nur, wenn er mit mehr als 6 W betrieben wird. Ich habe so einen mit Proxmox und Opnsense/Zenarmor als VM drauf. Da sind dann noch gut 860 Mbit (clientseitig) über Vodafone mit Fritzbox drin.

Ich würde dir empfehlen, dir zunächst zu überlegen, was genau du sichern möchtest. Ich denke, es geht vor allem um Inhalte. Zenarmor ist da durchaus gut. Aber mit der freien Version kommst du da nicht weit. Für das Thema gehen auch Adguard und Pihole gut. Dafür brauchst du allerdings nicht zwingend OPNsense. Du hast ja schon ein Unifi Ultra.

Wenn es neben Inhaltsfilterung auch noch um Netzwerksicherheit gehen soll, dann kommt das Thema VLAN ins Spiel.

PS: Wenn eine OPNsense ins Spiel kommt würde ich das Unifi Ultra rausschmeißen.

Und genau das würde mich mal im Detail interessieren:

• Was ist der Mehrwert von OpenSense + Zenarmor (99$/Jahr) gegenüber Unifi + AdGuard was ich jetzt schon im Einsatz habe?
• VLANs habe ich auch jetzt im Einsatz. Was könnte da OpenSense noch zusätzlich an Mehrwert bringenß
• Wäre es vielleicht sinnvoll, OpenSense als transparente Firewall von das Unifi Gateway Ultra zu platzieren? Könnte man dann noch immer den ganzen Netzverkehr analysieren und ggf. über Grafana ausgeben?

Ich freuemich auf Euer Feedback.

[Zapad]

Hm.... irgendwie bin ich fast der Einzige poster... egal.

Ich hatte mal Draytek 3910 10Gbe Flagschiff... und nachdem ich es durchgepfückt hatte gegen OPNSense getauscht...
und Draytek hatte viel mehr drin als die 100$ Ubiquiti

Die Möglichkeiten habe ich bis heute noch nicht ausgeschöpft, man kann hier wirklich ausgefuchstes anstellen, und sollte was nicht so passen, kann man ja Feature nachfragen, versuch das mal bei proprietären Herstellern.

Du hast doch VM Umgebung? was kostet es zu testen?

[Doktor]

Du hast doch VM Umgebung? was kostet es zu testen?

Klar..ich kann mir da mal eine OpenSense installieren...aber meine Fragen von oben kann ich da nicht so richtig klären.
Und irgendwie habe ich im Forum auch nur Beiträge gefunden, bei dem die Leute ein UniFi GW gegen OpenSense getauscht haben...

[lewald]

Du hast doch VM Umgebung? was kostet es zu testen?

Klar..ich kann mir da mal eine OpenSense installieren...aber meine Fragen von oben kann ich da nicht so richtig klären.
Und irgendwie habe ich im Forum auch nur Beiträge gefunden, bei dem die Leute ein UniFi GW gegen OpenSense getauscht haben...

Nun weil es wenig Sinn ergibt beides zu betreiben. OPNsense ist eben ein freier Ersatz für solche Lösungen mit vielen Möglichkeiten. Sie kann DHCP - Sie kann VLan - Sie kann Reserve Proxy (mindesents drei verschiedene). Sie kann Firewall. Und so weiter und so weiter.