Absolut nicht. Im Gegenteil, ich spreche aus Erfahrung.

Dabei meine ich gar nicht primär die regelmäßigen Security-Patches. Da sind wir uns ja einig, das die zeitnah gemacht werden müssen. Und die laufen tatsächlich überwiegend problemlos.

Ich hab da eher das "Gesamtsystem" im Sinn. Da gibt es einfach unzählige Abhängigkeiten, die der ein oder andere Profi vielleicht sofort überblickt, aber wir sprechen von einer Netzwerkinstallation im EFH, da ist nicht jeder Profi. Auch nicht jeder der technik-affine ist und mehr als eine Fritzbox hat/will. Ich bin sicher auch so einer. Fritz ist mir zu wenig, IT allgemein ist schon mein Gebiet, aber ich bin kein Netzwerkprofi.
Kleines Beispiel: Ich hab bisher nur IPV4 aktiv, wollte mal zusätzlich IPV6 aktivieren. Gut, muss man im EFH nicht zwangsweise haben. Aber da kommt natürlich auch die Neugierde dazu. Also IPV6 erst mal am Router aktiviert. Kurzer Blick auf einen Client hat gezeigt, dass der sich ne gültige IPV6 Adresse geschnappt hat. Erst mal so belassen. Am nächsten Tag konnten die Kinder im HomeSchooling nicht mehr auf ihre Daten zugreifen. Der Server hatte zwar auch eine gültige IP, aber er macht auch DNS und da hat irgendwas noch nicht geklappt. Hab V6 dann erst mal wieder abgedreht.

Sicher, selbst schuld, aber ich wollte damit die Komplexität aufzeigen, die eben schnell dazu führt, dass eine kleine Schraube dazu führt, das ein großes Teil runter fällt. Und manchmal ist man ja zu Änderungen gezwungen, sei es HW-Defekt oder HW-Upgrade oder SW-Änderung, da keine Wartung mehr etc. pp.

pfSense

Das geht nur schief, wenn man a) zu lange nichts macht und b) zu viel auf eine Kiste packt.

sollte das heute nicht eher OPNsense heißen?

schön wäre es

das letzte 3cx Update hat mein Telefon lahm gelegt, Unifi hat regelmäßig fehlerhafte Updates, bei Windows 7 hat uns mal ein Update alle HP Business PCs lahm gelegt, ...

Wieso? OPNsense hat kein pfBlockerNG, daher heißt das heute immer noch eher pfSense, wemn man genau das braucht.

Ja gibt wohl keinen eindeutigen Gewinner. Einige der Features lassen sich nachbilden und opnsense hat dafür HardenedBSD

Ich habe die letzen Seiten grob überflogen und dabei einen Aspekt nicht gesehen: "Wartung". Je komplexer die Struktur, umso wartungsaufwändiger. Den Aufwand für regelmäßige Updates, das Anpassen der Konfiguration bei neuen oder ersetzen Geräten, etc.... sollte man bedenken und fest einplanen.

Man sollte auch bedenken, dass diese Tätigkeiten nicht nur dann anfallen, wenn man grade Bock auf IT-Verwaltung hat, sondern dann wenn's nötig ist und das ist oft wenn es einem am wenigsten in den Kram passt. Falls mal was nicht läuft, hängt auch ganz schnell der Haussegen schief. Auch sollte man bedenken, was passiert wenn man z.B. mal krankheitsbedingt ausfällt. Wer pflegt dann das System?

PS: Ich schreibe das gerade aus dem Eindruck, dass ich am Wochende einen Nachmittag damit verbracht habe meinen etwas vernachlässigten Netzwerk-Server (Openmediavault, pihole, Plex, VPN, Backup-Dienst) zu aktualisieren. Das ist echt nicht viel, ich habs gut dokumentiert, aber trotzdem: irgendwas geht dann doch immer schief.

Hm, das sehe ich anders. Ob man HardenedBSD unbedingt braucht bei dem vorhandenen Funktionsumfang? Bestimmte pfBlocker-Features für einen zentralen Rettungsschirm funktionieren nicht so wirklich in OPNsense. Bevor ich mir das zurecht stückeln muss, verwende ich doch lieber das Original.

Das lässt sich doch gar nicht 1:1 vergleichen. Sophos ist halt vielmehr ein „it just works“ System und da Zeit Geld ist, hat das schon seinen Reiz. Es hängt wie so oft auch davon ab, in welchen Admin Kreisen du dich bewegst. Für beide gibt es Fanlager.

ursprünglich ging es aber mal um ein Konzept für ein läppisches EFH mit einem Fokus auf Sicherheit. Da hätte ich gerne ein Beispiel für eine ordnungsgemäße FB Installation, auf die es einen erfolgreichen Angriff gab.

—> wenn man nicht so viel Zeit investieren will, fährt man mit den einfachen Consumer Lösungen auch schon recht gut

Aus den genannten und noch vielen anderen Gründen haben wir geschäftlich und privat alles in die Cloud verlegt...

NSA und Co sind mir Wurscht.