avm fritz box vs opnsense

[muc_marius]

servus,

vielleicht ist es ja eine blöde frage, aber ich würde gerne eure ansichten dazu hören:

derzeit betreibe ich die reihenfolge

inet - cablemodem - opnsense - fritzbox - (alle geräte)

dh die fritzbox übernimmt dhcp, fw (also eher: filter für erlauben ausgehender kommunikation usw., quasi wie als wenn opnsense nicht vorgeschaltet wäre), opnsense selbst nur IPS und einige ganz wenige rules um bspw vpn durchzulassen.

ich habe also die sicherheit der millionenfach eingesetzten, von der presse und den usern "überwachten" fritz box. ein fehler darin würde vermutlich zügig auffallen PLUS der vorgeschalteten opnsense mit IPS usw.

wenn ich jetzt die reihenfolge ändere auf

inet - cablemodem - opnsense - (alle geräte, inkl. fritzbox)

dh die fritzbox kümmert sich nur noch als router um ähhh wlan? und alles andere mache ich über opnsense.

stelle ich mir die frage: bin ich jetzt besser / schlechter dran
- was die sicherheit angeht (opnsense nutzerzahl sicher weit unter fritz box, dafür mehr profis?)
- was die usability angeht (ich kann bei opnsense mehr falsch machen, da komplexer und ggf. nicht alles so funktioniert, wie ich denke usw.)

klar ist, ich kann bei der opnsense viel mehr eingreifen, steuern, überwachen usw. als es mit der fritz box geht. aber vllt mache ich einen kleinen fehler, und dann ist meine security im keller.

warum dann die frage? weil ich eigentlich tatsächlich die bessere und feingranularere steuerung nutzen möchte, bspw. sollen bestimmte geräte nur bestimmte adressräume im inet ansprechen dürfen usw. vielleicht sind das ja kanonen auf spatzen, aber ich würde gerne mal darüber diskutieren.

ich danke euch vorab für vielfältige ansichten & expertisen!

vg!

[monstermania]

stelle ich mir die frage: bin ich jetzt besser / schlechter dran
- was die sicherheit angeht (opnsense nutzerzahl sicher weit unter fritz box, dafür mehr profis?)
- was die usability angeht (ich kann bei opnsense mehr falsch machen, da komplexer und ggf. nicht alles so funktioniert, wie ich denke usw.)

Also zunächst mal solltest Du für Dich die grundsätzliche Frage beantworten, ob Du Dir die saubere/sichere Konfiguration einer Firewall zutraust. 
Wenn ja, reicht eine FW (z.B. OPNsense) vollkommen aus! 
Mich würde es sogar stören, wenn etwas nicht wie erwünscht funktioniert und ich dann jedes mal erstmal in 2 Systemen nach dem Problem suchen müsste... 

Die Frage, ob ein Bug nun in einer Opensource-Lösung oder einer Closed-Source-Lösung schneller/besser gefunden wird, ist mehr hy­po­the­tisch. Es gab in der Vergangenheit so einige Bugs in den Fritz!-Boxen, die erst gefixt wurden als es eh schon zu spät war... 
Wahrscheinlich kommt es eh weitaus häufiger vor, dass Jemand auf Grund von Konfigurationsfehlern/schlampigen Updates gehackt wird, als das eine konkrete Sicherheitslücke in der FW genutzt wird.

Ich verlass mich zu Hause auf jedem Fall ausschließlich auf meine OPNsense. Und hier in der Firma haben wir auch nur unsere 1 kommerzielle FW.

Gruß
Dirk

[JeGr]

> ich habe also die sicherheit der millionenfach eingesetzten, von der presse und den usern "überwachten" fritz box. ein fehler darin würde vermutlich zügig auffallen PLUS der vorgeschalteten opnsense mit IPS usw.

Sicherheit? Das ist eher das Prinzip, dass du "schätzt", dass AVM und ihre Userbasis "too big to fail" sind. Was nicht der Fall ist. Die FB war schon mehrfach genau wie andere Anbieter von Problemen und Bugs in der Firmware betroffen. Ja, auf einer positiven Note muss man erwähnen, dass sie dann recht schnell beim Beheben waren (oft, aber nicht immer). Trotzdem ist dein Satz schon ziemlich zynisch, einerseits von "sicher durch Millionenfache Nutzung" zu reden, andererseits aber eine closed source Lösung zu haben, in die keiner reinschauen kann und die häufig für/an/von anderen Firmen angepasst wird/werden kann. Es gibt schon einen Grund, warum Providerboxen nervig sind, weil die ständig noch in die offizielle Firmware reinpieseln müssen ("Anpassungen an ihr Netzwerk vornehmen..."). Und das ist dann sicherer, nur weil AVM, 1&1, UM/KD etc. tonnenweise von den Boxen weiterverkaufen und die Firmware vermurksen?

Man versteht: der letzte Absatz war absichtlich etwas überspitzt ausgedrückt, ist aber trotzdem wahr. Die Firmware der Fritzboxen ist nicht immer identisch und gleich, da können Hersteller und Reseller/ISP selbst noch Anpassungen und - im dümmsten Fall auch - Backdoors reinbasteln, wenn sie woll(t)en. Und es gab nicht umsonst mehrere Wellen, als bspw. solche Sachen kamen wie "FB von Reseller schaltet Möglichkeit ab, WLAN selbst zu konfigurieren und nur nach Gebühr wieder an". Sowas hat dann mehr Vertrauen verdient als eine Software die auf einer freien Platform einsehbar ist, wie die Sensen oder auch andere Projekte wie IPFire etc. etc.?

Gerade in Setups, in denen die FB als quasi Modem erwünscht/erzwungen ist (Kabelanschluß oder ISP mit VoIP) stelle ich hintendran eine Sense mit NAT. Ja Doppel-NAT, böse böse, aber einem Gerät des Providers, das mir nicht wirklich gehört und dessen Integrität ich nicht verifizieren kann, muss ich beim Firewalling/Security planen eigentlich als untrusted ansehen und entsprechend wie Internet oder zumindest offenes Netz/DMZ behandeln. Vertrauen kann ich nur dem, was ich selbst unter meiner Kontrolle habe. Eine FB ist das - zumindest in den allermeisten Fällen - nicht.

Im Setup des OP steht die FB nun zwar hinter der Sense, da frage ich mich allerdings dann eher, was sie da - außer WLAN - eigentlich sinnvolles macht. Der Filter der FB ist lachhaft, da nicht konfigurierbar - es wird einfach von innen alles erlaubt und extern geblockt bzw. weitergeleitet was konfiguriert ist. Zumindest hofft man das, denn nachsehen kann man nichts. Abgehend kann man zwar ein wenig QoS bzw. Filtering nach irgendwelchen Seiten/Regeln/Filterblöcken vornehmen, das könnte die Sense aber nun auch - und QoS macht am WAN/Modem direkt mehr Sinn als vorher schon. VPN? Kann die Fritte eh nur IPSec und das auch nicht wirklich schön. NAS? Eher nicht. Dafür gibts Boxen die das um Längen besser beherrschen.

Was bleibt als sinnvolle Nutzung (das ist MHO und subjektiv!):
* WLAN
* Heimautomatisierung bzw. Steuerung von DLAN Krams
* Telefonie
* evtl. Druckserver

Alles andere können die Sensen selbst und meist besser als jede Fritzbox.
Wenn man WiFi bspw. noch über einen - wesentlich günstigeren - UniFi AP (oder was ähnliches) löst, hat man zudem noch eine WLAN Lösung die mind. so gut ist wie die Fritzbox und deutlich flexibler und leistungsfähiger konfiguriert werden kann (Radius-based VLANs, MultiSSID, Portal schon im AP, Multi-APs etc. etc.). Sprich: wenn man sie nicht für die Telefonie unbedingt behalten mag, gibt es eigentlich genug (bessere) Alternativen oder Lösungen zu heimischen Problemen

Grüße

[muc_marius]

Hallo,

vielen Dank für die ausführlichen Kommentare.

mir war der gedankengang wichtig, daß
- die wahrscheinlichkeit für die erkennung eines problems / fehlers bei der fritz box m.e. höher ist, da sie schlichtweg stark verbreitet ist
- daraus resultieren dann weitere dinge, wie bspw. eine stärkere kontrolle, bspw. nehmen sich fachleute / presse das zu eigen und führen untersuchungen durch auf die sicherheit usw.
- das passiert m.e. bei der opnsense nicht in dem masse, wie bei der fritz box, weil das interesse der allgemeinheit fehlt (wozu bspw sollte eine fachzeitschrift das mit den gleichen mitteln testen, wenn es keine signifikante anzahl an usern unter den lesern gibt ...)

das hat m.e. auch nichts mit "too big to fail" zu tun (ganz andere "strategie"), sondern einfach mit der (vermutlich!) viel höheren wahrscheinlichkeit, daß ein latentes problem auch erkannt wird.

ich stimme natürlich voll und ganz zu, daß die fritz box als closed source keine einblicke zulässt. die vereinfachte verwaltung hat im umkehrschluss alle damit verbundenen nachteile, wie schlechte einsicht durch den admin, prüfbarkeit des verhaltens usw.

letztlich läuft es am ende darauf hinaus: lasse ich die fritzbox machen und hoffe das probleme / fehler am markt schnell erkannt werden oder nehme ich das ganz selbst in die hand und setze mit opnsense auf eine professionelle lösung, die aber dann auch mehr einsatz von mir fordert.

das ist für mich immer noch die grübelfrage... ich hätte schon gerne viel mehr kontrolle, bspw. wohin funkt mein nas (wenn es überhaupt darf) und was davon will ich überhaupt zulassen usw. man könnte aber auch sagen: das ist paranoid, wozu solche gedanken machen. ich tue das aber tendentiell, daher kam der anlass zu diesem post.

vg

[monstermania]

mir war der gedankengang wichtig, daß
- die wahrscheinlichkeit für die erkennung eines problems / fehlers bei der fritz box m.e. höher ist, da sie schlichtweg stark verbreitet ist
- daraus resultieren dann weitere dinge, wie bspw. eine stärkere kontrolle, bspw. nehmen sich fachleute / presse das zu eigen und führen untersuchungen durch auf die sicherheit usw.
- das passiert m.e. bei der opnsense nicht in dem masse, wie bei der fritz box, weil das interesse der allgemeinheit fehlt (wozu bspw sollte eine fachzeitschrift das mit den gleichen mitteln testen, wenn es keine signifikante anzahl an usern unter den lesern gibt ...)

Und genau das ist Dein Denkfehler! 
Gerade durch die große Verbreitung der Fritz!-Boxen stellen Sie für Hacker/Kriminelle ein besonders lohnendes Angriffsziel dar!
Du brauchst ja nur mal nach Sicherheitslücken in Fritzbox zu googeln und findest zig Einträge dazu. Und dann siehst Du eben auch, dass zumeist die Fehler eben nicht von Fachleuten/Sicherheitsexperten/AVM gefunden wurden, sondern zunächst aktiv von Kriminellen genutzt wurden um User zu schädigen (z.B. Umleitung von VoIP). Ok, AVM hat dann zumeist zügig reagiert und Updates zur Verfügung gestellt.

Zeige mal einen Fall auf, wo tausende von OPNsense/pfsense-Systemen gehackt wurden! So wenige sind das nämlich auch nicht.
Ja, es gibt immer wieder Sicherheitslücken die im Code gefunden werden. Nur werden diese dann i.d.R. auch sehr schnell behoben, oder aber öffentlich gemacht! Dann hat man zumindest die Möglichkeit sich gegen den Angriffsvektor zu schützen, bis ein Update verfügbar ist.

Gruß
Dirk

[JeGr]

Genau!

> Gerade durch die große Verbreitung der Fritz!-Boxen stellen Sie für Hacker/Kriminelle ein besonders lohnendes Angriffsziel dar!

Das ist der Punkt, ähnlich wie Windows und später Mac. Mit der größeren Verbreitung von MacOS und iOS und der Verschmelzung der beiden sind die Apple-Geräte plötzlich aus einer (großen) Nische zum Mainstream geworden - was man auch bemerkt hat an der steigenden Anzahl von Bugs/Hacks und Lücken die plötzlich gemeldet wurden.

> - die wahrscheinlichkeit für die erkennung eines problems / fehlers bei der fritz box m.e. höher ist, da sie schlichtweg stark verbreitet ist

Nope. Genau wie Dirk sagt, ein Denkfehler. Wie viele Bugs in großen Produkten bis heute schlummern ist schlicht unbekannt. Es wird auch keiner wirklich herausfinden, da der Code nicht offen ist, sondern eher darüber stolpern oder gezielt bei Versuchen aufgedeckt werden. Im Gegensatz dazu _kann_ das bei OS wesentlich schneller gehen. Auch da gibts Leichen im Keller, natürlich. Und man hat ja bspw. an OpenSSL und Co gesehen, dass es auch einiges gab, was da lang geschlafen hat. Aber man hat es gefunden und konnte es schnell verifizieren und beheben. Bei AVM, MS und Co. ist man auf den Hersteller angewiesen und wenn der sich weigert (AVM bspw. beim WiFi Bugfixing mit dem Kommentar: betrifft uns nicht/nur marginal) schaut man doof - oder wartet einen ganzen Monat(!) bis zum nächsten Patchday.

> - daraus resultieren dann weitere dinge, wie bspw. eine stärkere kontrolle, bspw. nehmen sich fachleute / presse das zu eigen und führen untersuchungen durch auf die sicherheit usw.

Ebenso ein Trugschluß. Nur weil ein Produkt stark verbreitet ist, wird sich nicht ständig ein gratis-Pentester finden, der alle paar Wochen/Monate sagt "Jetzt schauen wir mal ob wir Bugs finden". Bei OS Projekten gibt es dafür aber andere Alternativen, denn hier muss ich ggf. so oft gar nicht neu nachschauen, weil ich eine öffentliche Commit Historie habe und sehe, was verändert wurde. pfSense wurde bspw. mit 2.3.1 mal komplett vom Code durchleuchtet. Das kann bei OPNsense sicher auch mal gemacht passieren und dann gibts die typische Reaktion: Bericht an den Hersteller, entsprechende Reaktionszeiten und dann in einem sensible Release Zeitraum (man gibt dem Hersteller ein wenig Zeit, die Bugfixes zu machen und zu testen) wird das ganze veröffentlicht.
Es ist ja einerseits schön, dass AVM recht häufig recht schnell reagiert. Bugfixes o.ä. in die Release Notes zu schreiben ohne Details o.ä. sagt dir aber dann nicht, wie wichtig der Bug für dich war. Und bei einem Gerät, was deine Schnittstelle zwischen "böse" und "gut" ist - rein als Netz-Betrachtung - finde ich das schon relevant.

> - das passiert m.e. bei der opnsense nicht in dem masse, wie bei der fritz box, weil das interesse der allgemeinheit fehlt (wozu bspw sollte eine fachzeitschrift das mit den gleichen mitteln testen, wenn es keine signifikante anzahl an usern unter den lesern gibt ...)

Welche Zeitschrift/Zeitung/kommerzielle Entität nimmt sich die Zeit und Mühe <irgendein> Produkt <einfach so> und ggf. <ständig> auf irgendwelche Bugs zu prüfen oder zu "hacken"? Das kostet Zeit, Ressourcen und Personenaufwand. Wenn eine Firma nicht direkt darauf spezialisiert ist, genau das zu tun und damit Geld zu verdienen (Bughunter egal ob Black- oder Whitehats) dann wird das niemand aus reiner Herzensgüte tun. Und nur weil irgendwelche Online oder Offline Blätter über irgendwelche Probleme hinterher schreiben, haben die selbst kaum bis gar nichts dazu getan, das ganze aufzudecken. Was sollten sie auch? Dass in einem Magazin professionelle Pentester sitzen ist kaum anzunehmen, schon allein weil das eine ganze Reihe an rechtlichen Geschichten mit sich bringt.
Welche Fachzeitschrift hat denn aktiv schon Produkte auf geheime/versteckte/unbekannte Fehler abgeklopft und geprüft? Berichten ja, sicher. Aber aktiv gesucht? Das läuft meist bei entsprechenden Konferenzen, Conventions oder eben durch entsprechende Firmen. Aber die meisten prüfen hinterher nur irgendwelche Infos von Informanten oder anderen Quellen eben nach und schauen, ob sie das reproduzieren können.

Da kann ich die Logik nicht wirklich nachvollziehen

[theq86]

Eine FB kommt mir nicht mehr an die Front. Wie schon gesagt hat sie oft providerspezifische Konfigurationen und Einschränkungen. Das geht weiter bis zur möglichen Fernsteuerung durch zB TR069.
Die Filter sind nicht einstellbar, wenn es sie denn überhaupt gibt und sich die FB nicht nur auf das Vorhandensein von NAT stützt.

Dann hat sie noch haufenweise Zeug, das viele nicht brauchen. Smart Home. NAS Funktionalität via USB, Media Server usw. Das Ding ist einfach nur vollgebloatet.

Und für Menschen mit dem nötigen Hintergrundwissen ist sie einfach nich konfigurierbar genug.

Meine FB ist bis auf VoIP kastriert. Hätte ich eine schönere Alternative PBX inkl. DECT Station würde die FB komplett verbannt werden.

Ich will sie um Gottes Willen nicht schlechter reden als sie ist, aber sobald wir uns in Gefilden wie OPNsense bewegen hat sie an sich in nem Netzwerk nichts mehr verloren.

[JeGr]

> Ich will sie um Gottes Willen nicht schlechter reden als sie ist, aber sobald wir uns in Gefilden wie OPNsense bewegen hat sie an sich in nem Netzwerk nichts mehr verloren.

Ich glaube das ist wirklich der wichtigste Punkt Sie hat sicherlich ihre Daseinsberechtigung und ist zudem kein schlechtes Gerät - da gibt es wirkliche schwarze Schafe - aber sie ist nunmal ein Router. Ein Gateway. Aber KEINE Firewall. Den Anspruch hat sich auch nicht wirklich vertreten, aber gerade die "Möglichkeit" irgendwelche Filterlisten ausgehend oder Forwardings inbound zu machen lässt das in vielen Köpfen als "Oh: Firewall!" aufploppen. Ist es aber nicht. Und allein die fehlende Möglichkeit den intern genutzten Filter (wenn überhaupt aber ich mutmaße mal, dass IPtables da schon läuft allein wegen Masquerading) überhaupt zu konfigurieren ist schon ein großes KO Kriterium.

[mike69]

Eine FB kommt mir nicht mehr an die Front.
Dann hat sie noch haufenweise Zeug, das viele nicht brauchen. Smart Home. NAS Funktionalität via USB, Media Server usw. Das Ding ist einfach nur vollgebloatet.

Und für Menschen mit dem nötigen Hintergrundwissen ist sie einfach nich konfigurierbar genug.

Meine FB ist bis auf VoIP kastriert. Hätte ich eine schönere Alternative PBX inkl. DECT Station würde die FB komplett verbannt werden.

Full ACK. Fungiert nur noch für VoIP und als WLAN-Hotspot im EG.

Zum Thema Telefonanlage, wäre das nichts für dich?
 https://www.idealo.de/preisvergleich/OffersOfProduct/2769274_-n510-ip-pro-gigaset.html

[theq86]

Tatsächlich habe ich schon ein Auge auf die N510 geworfen. Es gibt sie auch für ca. 240€ im Bundle mit 2 x SL750H Pro. Die Telefone liegen gut in der Hand und da würde ich mein Fritz Fon nicht vermissen, dessen x-Zusatzfunktionen ich eh nicht brauche.

Ich werds mir auf jeden Fall zulegen und dann mal berichten.

[theq86]

Ich habe den Gigaset Support mal angeschrieben - eigentlich wollte ich nur wissen welchen PoE Standard die N510 unterstützt. Ich habe allerdings nicht erwartet mit der völligen Textbaustein-Ignoranz konfrontiert zu werden. (Warum eigentlich nicht? Ich glaube manchmal einfach noch zu viel an die Menschheit)

Also habe ich einen Textbaustein erhalten in dem meine Frage natürlich völlig außer Acht gelassen wurde.
Stattdessen wurde mir mitgeteilt, dass die N510 keine komplette Telefonanlage ist und nicht direkt hinter einem Router betrieben werden kann. Selbst wenn man sich eine Asterisk hinstellt ist der Funktionsumfang laut Gigaset zumindest eingeschränkt.

[rantwolf]

Moin.
PoE können die nicht.
Ich hab einmal ein C610IP und dann noch eine GoBox100A.
Effektiv alles das gleiche, nur daß das N510IP drei gleichzeitige Gespräche kann.
Und man kann es direkt hinter einer Sense betreiben. Egal ob mit oder ohne PBX.

[NicholasRush]

Ich habe den Gigaset Support mal angeschrieben - eigentlich wollte ich nur wissen welchen PoE Standard die N510 unterstützt. Ich habe allerdings nicht erwartet mit der völligen Textbaustein-Ignoranz konfrontiert zu werden. (Warum eigentlich nicht? Ich glaube manchmal einfach noch zu viel an die Menschheit)

Also habe ich einen Textbaustein erhalten in dem meine Frage natürlich völlig außer Acht gelassen wurde.
Stattdessen wurde mir mitgeteilt, dass die N510 keine komplette Telefonanlage ist und nicht direkt hinter einem Router betrieben werden kann. Selbst wenn man sich eine Asterisk hinstellt ist der Funktionsumfang laut Gigaset zumindest eingeschränkt.

Genau deshalb, habe ich mich damals auch nicht für Gigaset DECT, sondern Yealink entschieden. https://www.yealink.com/products_81.html

Läuft bei mir immernoch einwandfrei mit Asterisk, inkl. LDAP Telefonbuch.

[Emma2]

Jetzt will ich aber auch mal "eine Lanze brechen" für die Fritzbox  .

Ich betreibe sie HINTER meiner opnSense, allerdings ebenfalls nur als WLAN-Hotspot sowie als "VoIP-Gerät" - NICHT als "zusätzliche" Firewall.
An der FB habe ich ein altes analoges Telefon angeschlossen, ein C5 (DECT-Fritzfon) sowie meine Auerswald Compact 4410 (ISDN-Telefonanlage). Das alles funktioniert ganz tadellos.

Mit anderen Worten: ja, die Profis hier (zu denen ich ganz eindeutig NICHT gehöre!) haben natürlich recht, dass man hinter der opn keine zusätzliche Firewall braucht, weil das kein Mehr an Sicherheit bringt, sondern nur ein Mehr an Verwaltungsaufwand; aber fürs WLAN, ggf. als Media-Server und als "Gateway" für nicht VoIP-fähige Telefonanlagen (sogar ISDN), funktioniert die Box ganz vorzüglich... finde ich.

[NicholasRush]

Jetzt will ich aber auch mal "eine Lanze brechen" für die Fritzbox  .

Ich betreibe sie HINTER meiner opnSense, allerdings ebenfalls nur als WLAN-Hotspot sowie als "VoIP-Gerät" - NICHT als "zusätzliche" Firewall.
An der FB habe ich ein altes analoges Telefon angeschlossen, ein C5 (DECT-Fritzfon) sowie meine Auerswald Compact 4410 (ISDN-Telefonanlage). Das alles funktioniert ganz tadellos.

Mit anderen Worten: ja, die Profis hier (zu denen ich ganz eindeutig NICHT gehöre!) haben natürlich recht, dass man hinter der opn keine zusätzliche Firewall braucht, weil das kein Mehr an Sicherheit bringt, sondern nur ein Mehr an Verwaltungsaufwand; aber fürs WLAN, ggf. als Media-Server und als "Gateway" für nicht VoIP-fähige Telefonanlagen (sogar ISDN), funktioniert die Box ganz vorzüglich... finde ich.

Ich habe hier noch eine DeTeWe Varix 14/200 welche die FritzBox wohl nicht mag, als billigen SIP=> Gateway taugt die Box in dem Falle bei mir auch nicht, da obwohl in der FB für ISDN die Stromsparfunktion abgeschaltet ist, immer die Synchronisation verloren geht und die Telefone der Anlage so nicht erreichbar sind. Die FritzBox wiederrum meldet sich per SIP an meiner Asterisk TK-Anlage an. Ist mehr so eine Spielerei mit ISDN. Und da ich die Analogen Ausgänge der DeTeWe Anlage noch brauche und zumindest hier etwas Zuverlässigkeit benötige, habe ich FB jetzt dafür auch "entsorgt" und mir in der Bucht einen Cisco 2900 Router gekauft mit SIP => ISDN Erweiterungsboard. Das läuft jetzt genauso zuverlässig wie mein ISDN Anschluss von der Telekom damals.