Die Totalausfälle produzieren?
Da stimmt doch was Grundsätzliches nicht.

Einsatz 24/7 taugliche Hardware aus dem DC-Bereich? Consumerhardware hat hier nichts verloren.
Desaster Recovery Konzept, Applikations- & Datenbackups, Metadaten/DB-Backups, Medienbruch, Notfallhandbuch?
Businesskritische Anwendungen laufen auf Open-Source-Systemen? BSI-Kompendium Checks?

Es kann absolut nichts passieren, wenn man sich an die Grundregeln hält.

Aktuell hat meiner Meinung nach pfSense durch die Unterstützung stromsparender ARM CPUs und durch pfBlockerNG die Nase vorn.

Von der Bedienung her für Anfänger??.
pfsense leicht zu kapieren und übersichtlich?
ich überlege meine Netzwerkstruktur zu ändern und ev. Eine Firewall zu installiern. Muss mein Vorhaben mal posten.
vielleicht kannst du mir da mit der Topologie helfen

Wie definierst du Anfänger?
Ich hab gestern kurz in die Dokus geschaut da ich an den Systemen nicht uninteressiert bin - und das Thema danach ad acta gelegt.

Mit einem Guide bekommt man natürlich eine lauffähige Konfig für den Standard umgesetzt, aber bei allen Rahmenbedingungen die vom Guide abweichen läuft man in die Falle es a) nicht zu laufen zu bekommen oder b) nicht sicher um zusetzten.

Es gibt so viele Wechselwirkungen/ Zusammenhänge die man als echter Anfänger gar nicht überblickt. Einen Nachmittag einlesen reicht da nicht, wenn man keinen IT-Netzwerk-Background hat.

Ich bleib vorerst bei der Fritzbox als zentralen Netzknoten und pack Zusatzdienste in Dockercontainer (pihole, vpn)

Ich würde dazu raten, zu Beginn die Firewall einfach mal zwischen WLAN AP / Switch und Router als zusätzliches Gerät einzubinden. Somit kannst du problemlos probieren ohne dir Gedanken über eine geringere Sicherheit zu machen (denn der Router ist ja nach wie vor der "Übergabepunkt" und agiert genauso wie ohne Firewall).

pfSense und OPNsense ist vermutlich ein Glaubenskrieg, zu Sophos kann ich nicht viel sagen. Ich finde aber den Open-Source Aspekt irgendwie wertvoll. Je mehr Leute die öffentlichen Lösungen nutzen, desto besser und bekannter werden sie und desto besser wird auch die Dokumentation.

Kauf dir einfach mal eine Appliance (irgendeine Hardware mit x86, bspw. APU4 oder andere) und installiere dir mal OPNsense oder pfSense. Dann kannst du mit einfachen Regeln starten und IPS / IDS ausprobieren. Das würde ich erstmal ein paar Wochen / Monate laufen lassen und optimieren, bevor ich nächste Schritte unternehmen würde.

Um ein Gefühl zu bekommen, ob dir pfSense oder OPNsense eher liegt kannst du beides mal in einer VM installieren und dich durch die GUI klicken.

Ich bezweifle, dass eine ausgelagerte Dockerumgebung weniger komplex ist.
Die Themen sind doch gar nicht so schwer.

Die Themen geht man nach und nach an.
Beginn ist Festlegung was sind meine WAN / LAN Ports, was ist default Gateway, welche Art Internet, DNS, DHCP für interne Subnetze und erst danach geht es weiter.

Mmmh, PfSense wird ja weiter kommerzialisiert. Wie sich das mit der Community-Edition weiterentwickelt ist nicht absehbar (siehe Ankündigungen im PfSense-Forum). Auch die im Administrator-Forum sind skeptisch wie das dort weiter geht.

Ich denke die OPNSense wird daher mittelfristig die bessere Lösung sein.

Grundsätzlich gibt es keine einfache Firewall, da ist immer ein gewisses Netzwerk Know-How gefragt. Ohne tendiere ich auch für mich persönlich zur Fritzbox mit einem L3-Router und Nutzung der ACLs zur Policierung des Traffics.

Es gibt doch auch FW Lösungen zwischen der Komplexität von OPNSense und FB.
Wie sieht es z.B. mit dem hier oft gelobten USG aus?
Von den Möglichkeiten vermutlich vergleichbar mit OPNSense, aber ist die Bedienung auch genauso komplex?

Generell nutzen viele Produkte, egal ob kommerziell oder nicht, irgendein Linux-Derivat und untergeordnete Funktionen. Hierauf wird dann ein Webinterface erstellt, welcher mehr oder weniger ins Detail geht. Je „einfacher“ ein Produkt zu bedienen ist, desto mehr wird wegabstrahiert. Geschweige denn, dass man bei proprietären Lösungen stets auf das Gutdünken des Herstellers angewiesen ist. Letztlich ist es ein Abwägen zwischen Komfort und Flexibilität.

Komplex sind alle, einfach aber auch....

Layer-8 ist entscheidend ob der Nutzbarkeit

Ich persönlich finde Ubiquiti von der Bedienung her schrecklich. Die GUI ist, für manche Dinge auch nicht ausreichend, zumindest war es mal so, zum Beispiel Linkaggregation. Da muss man dann doch über das CLI gehen.

Habe mich auch relativ lange mit Mikrotik beschäftigt, kann alles, wenn man weiß wie es geht. Auf Dauer und zum Warten ist es mir dann doch irgendwie zu komplex.

Die Frage ist ja auch wie wird Firewall definiert. Redet man nur von Stateful oder auch Intrusiondetection usw.. Wird Intrusiondetection im Privathaus wirklich benötigt oder ist sinnvoll mehr User-Awereness zu schaffen für was klicke ich an, wie benutze ich die Internetsuche etc..

Einen Basisschutz hat man ja schon mit einer Stateful Firewall, PiHole und einem L3-Router mit VLAN und ACL, was darf wohin. Die Videostation und KNX werden nur lokal ohne Internetzugang auf einem L3-Switch betrieben.

Ich war auch lange auf dem komplizierten Weg alles haben zu wollen, nur irgendwann habe ich Nutzen gegen Aufwand abgewägt und bin bei der oben genannten Lösung gelandet. Dazu werden lokale Festplatten und die Daten der Cloud verschlüsselt mit Cryptomator. Mehr Aufwand möchte ich im Moment nicht betreiben.

Da bin ich absolut dabei.

Klar will es jeder irgendwie sicher haben, weil jeder der sich etwas damit beschäftigt eben weis da da viel Unsicherheit in der IP-Welt ist.

Und weil es wegen der Geschwindigkeit der sich ändernden "Bedrohungsszenarien" eh absolut unmöglich ist, sich als interessierter Laie eine ordentliche Absicherung zu bauen halte ich das im einfachen Privathaushalt in Eigenleistung für vollkommen unnötig. weil was heute gerade mal sicher gebaut ist ist es in einem Jahr ganz bestimmt nicht mehr. und wer will sich wegen ein paar Lichtschalter und einer Fotosammlung im monatlichen Zyklus wieder mit der Anlage beschäftigen und prüfen ob denn alle Sicherheitseinstellungen noch sinnvoll sind es irgendwo Hinweise auf dringend notwendige FW-Updates gab usw.

ich mag die Expertise derjenigen die sowas beruflich tun hier gerne lesen aber als selbermachender Laie, braucht man sich wohl über die tiefen Details keine Gedanken machen. Und solange das alles nur Software ist, ja mei dann nimmt man sich eben heute die eine FW-Version mit dem UI was man versteht und wenn es irgendwann mal nicht mehr kostenfrei usw. ist dann eben eine andere. Einmal hinstellen und dann laufen lassen geht doch eh nicht bei all den Lösungen die hier beschrieben sind sich selbst hinzubauen / zu optimieren.

pfSense Plus wird closed source und wird sich von der community edition weg bewegen, das ist allerdings ein Argument dagegen.
Ich werde die pfBlockerNG Jungs anhauen und sie fragen, was sie davon halten. Bisher weigerten sie sich, eine Version für OPNsense raus zu bringen, aber das mischt natürlich die Karten neu.

Wie verhält sich das mit OPNsense Pro? Das ist doch ebenfalls die kommerzielle Version davon.
Wie weit ist die von der offenen Version weg?

Das trifft für mich genauso zu. Mal unabhängig von den ganzen berechtigten Punkten der Pros und Cons es muss ja auch noch Zeit für das KNX überbleiben, da hat man ja eigentlich schon genug zu tun mit Optimierungen, Anpassungen, Erweiterungen und der Visu.

das ist ein bisschen wirr. Was wäre denn ein Router ohne L3? Und wozu dann der L3 Switch, der somit eigentlich auch schon Router ist?

bezüglich Einschränkungen USG: das fängt schon beim geoblocking an, das nur für eine begrenzte Anzahl an Ländern möglich ist. Wobei, geht das überhaupt beim USG oder erst UDM?