DOMANDA Consiglio nuovo software UTM

[peg87]

Buongiorno a tutti,
Vorrei un consiglio per sostituire il mio UTM untangle.
Ho avuto un problema con il rinnovo della licenza ed ora me ne stanno proponendo una che ha un limite di 50 dispositivi collegati che per me sono pochi.
Vorrei qualcosa che venge venduto come software senza l'hardware perchè ho già il mio mini pc.
Vorrei qualcosa che nasca come UTM non che possa diventarlo aggiungendo moduli.
Le cose più importanti che cerco sono:
WEB filter
Blocco pubblicità
IPS
QOS
Application control
Controllo della banda
OpenVPN/wireguard/tunnel VPN/ ecc...
Grfici e reportistica per eventuale troubleshooting.
Mi sono guardato un po' in giro me tutti vendono delle appliance e non ho visto nessuno che offrisse solo il software.
Sapete auitarmi?

Update.
Premesso che non conosco il costo, ho provato il sistema sophos in una demo.
Personalmente non mi ha fatto impazzire. IL web filter è piùttosto limitato, e non ho trovato OpenVPN o una Cosa che mi permetta di accedere alla mia rete da remoto. Quindi mi sento di bocciarlo.

 

[PippoGold]

ClearOS ? ma basta anche un OpenWrt per fare quanto chiedi.

 

[peg87]

Sei sicuro? Perché openwrt mi sembrava un semplice router/firewall, nulla a che vedere con un UTM. Non uso openwrt da almeno 8 anni ma la sua strada mi sembra ben definita. Magari sbaglio.

Cioè su un forum inglese si faceva il confronto tra untangle e pfsense e c'è una frase che mi è rimasta impressa.
Untagle è un UTM che diablitando moduli diventa un firewall.
Pfsense è un firewall che abilitando moduli diventa un UTM.

Ecco vorrei qualcosa che nasca come utm, non che lo diventi.

Poi mi sembra che manchi l'application control e tutta la parte di reportistica. Cioè sapere quali client stanno usando banda e quali sono stati i servizi più esosi o i siti più visitati è importante per me. Considerate che quando va bene vado a 25Mb/s in down quindi gestire bene la banda e fare un po' di analisi per me è importante. Poi ho letto che ci sono 3000 pacchetti installabili... Non vorrei testare 10 pacchetti che fanno la stessa cosa, ne vorrei uno unico e che la faccia bene.

 

[r3dl4nce]

Personalmente credo che tu sia troppo abituato all'attuale prodotto e non abbia voglia di sbatterti di provare e cambiare, PfSense come in un'altra discussione avevo detto può fare tutto o in parte le cose che vuoi, magari affiancandogli altri strumenti, ma non ti interessa perdere tempo e imparare un prodotto diverso.
La soluzione migliore è pagare uello che ti viene richiesto e utilizzare lo strumento con il quale sei a tuo agio.

 

[peg87]

Guarda sicuramente 5 anni fanno abituare, non lo nego, però qui non sto facendo un discorso di interfaccia ma di funzionalità. Sbattermi e provare ok ma non voglio passare un mese a fare dei test. Ho famiglia e lavoro. Se mi facessero l'elenco di pacchetti da installare (già testati e di comprovata affidabilità) provo subito.

Se non ricorodo male, a proposito di pfsense, sei stato proprio tu a dirmi che installando avrei perso diverse funzionalità.
Di software prima di untangle ne ho provati parecchi e quello è stato il primo ad avermi veramente convinto. In particolare il web filter era molto valido.

 

[r3dl4nce]

pfsense ha squid + squidguard come proxy e web filter

Packages — Cache / Proxy — Configuring the SquidGuard Package | pfSense Documentation

docs.netgate.com

ancora meglio un pi.hole a parte

Ci sono i pacchetti per snort e suricata per fare da IDS e IPS

Per monitorare la banda ci sono vari metodi Bandwidthd, Darkstat, ecc
https://docs.netgate.com/pfsense/en/latest/monitoring/graphs/bandwidth-usage.html

Openvpn e wireguard supportati nativamente

e così via....

 

[PippoGold]

Sei sicuro? Perché openwrt mi sembrava un semplice router/firewall, nulla a che vedere con un UTM. Non uso openwrt da almeno 8 anni ma la sua strada mi sembra ben definita. Magari sbaglio.

Cioè su un forum inglese si faceva il confronto tra untangle e pfsense e c'è una frase che mi è rimasta impressa.
Untagle è un UTM che diablitando moduli diventa un firewall.
Pfsense è un firewall che abilitando moduli diventa un UTM.

Ecco vorrei qualcosa che nasca come utm, non che lo diventi.

Poi mi sembra che manchi l'application control e tutta la parte di reportistica. Cioè sapere quali client stanno usando banda e quali sono stati i servizi più esosi o i siti più visitati è importante per me. Considerate che quando va bene vado a 25Mb/s in down quindi gestire bene la banda e fare un po' di analisi per me è importante. Poi ho letto che ci sono 3000 pacchetti installabili... Non vorrei testare 10 pacchetti che fanno la stessa cosa, ne vorrei uno unico e che la faccia bene.

Se non ricordo male sei in ambito casalingo pertanto proponevo prodotti Open Source. Ci sono dei prodotti aziendali costosi. Non ho citato Pfsense e derivati perché l’avevi già cassato in una discussione precedente. OpenWrt+qualche pacchetto (es. Netdata, Ad blocking, ecc ) fa quello che chiedi. Ma dipende da quanti “gingilli” grafici cerchi.
Ogni cambio di software porta con sé dei pro e dei contro. Se non hai tempo di provare e non vuoi mollare un millimetro rispetto alle caratteristiche di Untangle non ti resta che Untangle + licenza.

Per curiosità come lo usi Untagle, connesso Lan-Wan ad un modem operatore? connesso in PPPoE?

 

[peg87]

Si, untangle è connesso con un modem (non del gestore) in bridge e connessione pppoe. E si sono in ambito casalingo ma sono uno smanettone.
Non è che non mi voglia spostare da untangle, è che con quello mi sono trovavo bene,quindi vorrei qualcosa che sia simile in termini di funzioni.
Come grafica come ho detto vorrei vedere la banda in up e down per client (o come ora per 10 più attivi), i siti visitati, quali applicazioni hanno richiesto più dati (prime video, YouTube, netflix, spotify, Windows update, file sharing ecc.). Quest'ultima feature mi sembra mancare sia in pfsense che opnwrt, correggetemi se sbaglio.
Se c'è da pagare una licenza non è un problema, ero disposto a pagare 200€ per 5 anni di untagle e sono disposto a spenderli anche per altro. Come ho detto ho già il mio hardware che è un mini pc con processore i7 5500u, quindi vorrei solo il software. Tra openwrt e pfsense che differenze ci sono?
A lavoro usiamo checkpoint e mi sembra valido, ma non so se facciano anche versioni per installazioni su pc o vm, soprattutto non ho idea di quanto possa costare.

 

[PippoGold]

Si, untangle è connesso con un modem (non del gestore) in bridge e connessione pppoe. E si sono in ambito casalingo ma sono uno smanettone.

L’ottimizzazione della banda, QoS, ecc. per ridurre il bufferbloat ha senso se sei connesso in PPPoE (throughput) al modem operatore. In bridge perde di valore perché interponi, tra provider e host finale, due buffer con due code di pacchetti. Il modem e Untagle. Su un buffer puoi intervenire (quella gestito da Untagle) ma nulla puoi fare sulla coda di pacchetti che si annidano nel modem operatore. Pertanto in bridge ottimizzi la coda che “ti passa il convento” (modem) e che ti fa comunque da collo di bottiglia.

Non è che non mi voglia spostare da untangle, è che con quello mi sono trovavo bene,quindi vorrei qualcosa che sia simile in termini di funzioni.
Come grafica come ho detto vorrei vedere la banda in up e down per client (o come ora per 10 più attivi), i siti visitati, quali applicazioni hanno richiesto più dati (prime video, YouTube, netflix, spotify, Windows update, file sharing ecc.). Quest'ultima feature mi sembra mancare sia in pfsense che opnwrt, correggetemi se sbaglio.

Si, penso anche io che questa funzionalità manchi ad entrambe. Oggettivante, a parte per l’analisi, non so bene cosa possa servire nella pratica una funzionalità così soprattutto in ambito Home. Un QoS serio deve “arrangiarsi” in autonomia a gestire le code di pacchetti ed essere flessibile ad adattarsi a nuove esigenze continuamente.

Se c'è da pagare una licenza non è un problema, ero disposto a pagare 200€ per 5 anni di untagle e sono disposto a spenderli anche per altro. Come ho detto ho già il mio hardware che è un mini pc con processore i7 5500u, quindi vorrei solo il software. Tra openwrt e pfsense che differenze ci sono?

Nascono per ambiti diversi ma in realtà sono molto simili. Entrambe girano su x86. Pfsense è ottimizzato per gli x86 mentre Openwrt è ottimizzato per i dispositivi embedded. Openwrt è l’unica alternativa GPL e completamente Open source a Pfsense.
In realtà per avere il top da tutti i punti di vista andrebbero usati insieme e non in alternativa. OpenWRT è progettato anche per essere un potente access point /router wireless. Pfsense è forse migliore sugli instradamenti.
Ma sono solo opinioni mie. Perché se cerchi su google Pfsense vs Openwrt trovi che ognuno ha idee diverse.

A lavoro usiamo checkpoint e mi sembra valido, ma non so se facciano anche versioni per installazioni su pc o vm, soprattutto non ho idea di quanto possa costare.

Non lo conosco.

 

[peg87]

Scusa mi sono espresso male, la mia connessione tra modem e router è impostata in PPPoE. Brige mode è come veniva chiamato una volta questo collegamento da parte del modem.

leggendo le opinioni su opnewrt e pfsense, spesso ho letto che è meglio passare a opnsense rispetto a PFsense, opinioni in merito?

Riguardo l'application cotroll è molto utile con il QoS. Per esempio posso dire di dare priorità a netflix oppure di toglierla agli aggiornamenti di windows, dare priorità o limiti alla banda dedicata per edonkey o steam ecc. personalmente non lo trovo inutile

 

[PippoGold]

Scusa mi sono espresso male, la mia connessione tra modem e router è impostata in PPPoE. Brige mode è come veniva chiamato una volta questo collegamento da parte del modem.

leggendo le opinioni su opnewrt e pfsense, spesso ho letto che è meglio passare a opnsense rispetto a PFsense, opinioni in merito?

Riguardo l'application cotroll è molto utile con il QoS. Per esempio posso dire di dare priorità a netflix oppure di toglierla agli aggiornamenti di windows, dare priorità o limiti alla banda dedicata per edonkey o steam ecc. personalmente non lo trovo inutile

La priorità dei pacchetti è basico QoS ormai superato. Tu la fai ad alto livello nella GUI di Untangle ma un router decente lo fa a basso livello analizzando i datagrammi. Da mo’ infatti qualsiasi router è impostato per dare la priorità al Voip, Streaming e mettere in coda i download, ecc. Un po’ come la caldaia spegne temporaneamente il riscaldamento quando stiamo facendo la doccia. Questo è il minimo sindacabile.

La differenza la fa una gestione integrata di tutte le componenti:
- QoS priozzazione dei pacchetti
- AQM gestione delle lunghezze della coda
- Assenza di limiti rigidi sulla banda per i vari host, interfacce, ecc
- ecc.
Nel tempo si è capito infatti che applicando solo una di queste componenti si possono peggiorare le cose.
Tutte queste componenti, quando sono gestite assieme, prendono il nome di SQM (Smart Queue Management).
SQM non ha bisogno di impostazioni complesse perché è un algoritmo intelligente. Ti consiglio di verificare se puoi installarlo su Untangle perché è l'unico che fa una reale differenza soprattutto per te che hai una banda limitata. Il pacchetto si chiama SQM Cake (una ottimizzazione di SQM fq_codel). Imposti solo la banda e il tipo di linea (Link Layer Adaptation) in questa maniera stabilisci una policing per il traffico, evitando packet-loss e ritrasmissioni.

Opnsense è un fork di pfSense con una GUI più semplice e completa.

 

[peg87]

Come ho già detto, Untangle è un sistema chiuso, non permette l'installazione di pacchetti che non siano i loro.
In ogni caso ho provato opnsense e personalmente non mi ci sono trovato molto.
Ho entrambi i sistemi su macchina virtuale proxmox
Per provarlo ho cercato di ricreare la mia struttura di rete attuale. Cioè rete principale e 2 vlan.
Sulla rete principale ho disabilitato il DHCP per evitare che andasse in conflitto con quello di untangle, mentre sulle VLAN lo ho lasciato attivo. Ovviamente ho disabilitato i dhcp delle VLAN su untangle. I due firewall sono in parallelo.
Su opensense:
Ho creato 2 vlan con tag 10 e 20
Porta parent quella della LAN
Le ho assegnate al sistema e definito indirizzi
Ho poi abilitato il dhcp su queste interfacce
Bene
provo a collegarmi a una di queste VLAN e non funziona nulla!
Il dhcp non funziona, se metto ip statico non va comunque e se provo a pingare l'ip dell'interfaccia non è raggiungibile.

Oltre aquesto ho provato a cercare dei pacchetti per squid e un IPS ma non ho trovato nulla (forse ho sbagliato il posto dove cercare)

 

[r3dl4nce]

opnsense lo conosco poco, conosco meglio pfsense, ma visto che il problema ce l'hai su macchina virtuale, hai verificato che le vlan siano passate alla macchina virtuale? Su proxmox mi sembra sul bridge ci sia un'opzione tipo vlan aware o qualcosa di simile

 

[peg87]

Buonasera a tutti, riprendo questo vecchio thread perchè alla fine sono rimasto con untangle fino a poco fa. Lo avrei continuato ad ad usare, ma Arista ha eliminato le versioni home. Visto che la licenza scade tra poco stavo provando altro.
Ho provato Sophos e me lo stavo facendo piacere, tuttavia sono passato alla Fibra e attraverso il firewall non arrivo nemmeno a 500MB con tutto spento.
Sul forum di sophos mi hanno spiegato che il problema potrebbe essere snort che è single thread e vista la limitazione di 4 Core sulla versione gratuita ho questo calo prestazionale...tuttavia la discussione è ancora a aperta.
Se collegato direttamente al modem, con 2 pc con speed test in contemporanea, in down arrivo ad 1.6Gb ( ho connettività, 2.5/1Gb).
Il firewall è installato su una VM che ha porte da 2.5Gb quindi vorrei sfruttare a pieno la banda disponibile.
Prima che arrivasse la fibra, ho provato opnsense con zenarmor, ma la versione free del plugin è troppo limitata e 10€ al mese sono troppi (non sono sicuro nemmeno che li valga perchè dal mio test sembrava molto limitato); fino a 50€ all'anno li pagherei senza problemi.
Non ho amato nemmeno opnsense, mi è sembrato inutilmente macchinoso creare delle VLAN)

Detto questo vorrei provare altro. Qualcosa che abbia tutte le funzioni richieste all'inizio (tranne il discorso di VPN ) perchè uso Talescale, e che non rallenti la connettività.
Ribadisco che mi piacerebbe un software che racchiuda già tutto.

 

[r3dl4nce]

WEB filter
Blocco pubblicità

phole o adguard home

IPS
QOS
Application control
Controllo della banda
OpenVPN/wireguard/tunnel VPN/ ecc...
Grfici e reportistica per eventuale troubleshooting.

opnsense con il servizio intrusion detection attivo (basato su suricata) e wireguard per la vpn

Ho provato Sophos e me lo stavo facendo piacere, tuttavia sono passato alla Fibra e attraverso il firewall non arrivo nemmeno a 500MB con tutto spento.
Sul forum di sophos mi hanno spiegato che il problema potrebbe essere snort che è single thread e vista la limitazione di 4 Core sulla versione gratuita ho questo calo prestazionale...tuttavia la discussione è ancora a aperta.

se vuoi usare IPS quindi packet inspection ti serve una CPU notevole, non basta un SBC