IDS/IPS har pfSense og OPNSense også.
--
6700K|Maximus VIII Extreme|32GB RAM Gainward2080ti-GS|PG279Q Samsung960 PRO 512GB|Samsung 850 PRO 512GB Samsung860 QVO 2TB|Corsair AX860i

#0, jeg vil mene pfsense kan noget mere end ubiquiti, så jeg vil gå efter pfsense. Jeg har selv begge i mit setup. Dog en mindre ubiquiti router til intern lan og så en virtualiseret pfsense (esxi) som edge router. Som IDS/IPS kan jeg anbefale Snort. Så i gang med et lille itx build med 2 netkort, så er du godt kørende :)
--
Gæstebruger, opret dit eget login og få din egen signatur.

#2 dvs. at man kører fra modem -> pfSense -> router? Min plan er at køre nogle VLAN, disse vil jeg jo så gerne have forskelligt ind i pfSense. Er det muligt via en router, når pfSense kun har 1 output?
--
Google er din ven

pfSense er din router!
--
Den som ler sidst, tænker langsomst!

Og Pfsense kan have det antal "outputs" som du mere eller mindre ønsker. Jeg har selv 3 NIC's (WAN, LAN, DMZ)
--

Jeg har arbejdet med begge og en stor mængde at andet netværksgrej. Både USG og Pfsense er et fint valg. ingen er desværre object basseret hvilket kan være lidt belastende hvis man har store og komplekse regler, her er sophos, palo alto, Cisco asa osv et helt step ud over. Fordelen ved USG'en er jo det er samlet i et interface som faktisk er utroligt godt lavet. konfigurationsumligheder er meget begrænset men den klarer jobbet for de fleste Pfsense virker rigtigt fint og til den avancerede bruger og det er stort set en plugin til alt, lige som pihole/snort/ osv. det er derfor ikke til at ignorere at pfsense har et uendeligt antal muligheder, men er desvære bare ufattelig rodet med mange regler og services hvilket også er en af årsagerne til det er forked til opensense /hvis spørgsmålet istedet var: Skal jeg købe en USG eller en server til forskellige opensource firewalls,? Så er det så mange flere muligheder i selvbyg hardwaren. dog skal du være god til at købe noget ordenligt grej og ikke bare købe et consumer board fra asus gigabyte, køb et ordenligt supermicroboard med intel nics. Jeg har f.eks lige testet et gigabyte board med i7 og 16gb ram med onboard nics, netværks trafikken stutter, smider jeg ekstra intel nics i så er det intet, Hvis du skal have toppen af poppen som er gratis (homelicense), så byg din egen firewall med Sophos UTM det er gratis og helt fantastisk.
--
"Always bear in mind that your own resolution to succeed, is more important than any other one thing."

#3, mit setup ser således ud: ISProuter(NAT) --> Pfsense(NAT) --> Ubiquiti(NAT) Så har i realiteten 3 router/firewalls i mit setup. Routeren for ISP kan sættes i Brigemode, men en ekstra firewall skader ikke. Pfsense køre på ESXi host, har 2 billige realtek netkort - køre min 1Gbit forbindelse fint. Bruges som DMZ. Har delt det op i flere VLAN's alt efter funktionalitet: mail, pentest, streaming. Ubiquiti indeholder mit private net og bruger også VLAN her for at segmentere ring. Eksempelvis, fileserver, backup og iot enheder. Her bruger jeg objekt baseret firewall regler for at sikre der ikke er adgang til de forskellige lag. Bruger gerne med green, yellow og red. Har før kørt en pfsense på et billigt itx board til 800,- med pentium processor og 2 onboard nics. Kørte super godt. Eneste minus var den var passivt kølet og blev varm. Så lidt aktivt køling til dit build vil jeg anbefale. Du kan også virtualisere den, så har du større valgfrihed og lettere at tage backup af og lave restores når du nørder rundt :)
--
Gæstebruger, opret dit eget login og få din egen signatur.

#7 jeg har selv et J1900Q board som er passivt kølet, hvilket ikke er et problem. Det kommer nok meget an på case og hvor det befinder sig i huset/lejligheden. Er der egentligt nogle der har prøvet OpenSense og kan komme med nogle pros og cons i forhold til at vælge PfSense? Sry for at hijacke tråden men tænker det er meget relevant for OP.
--

Hvis du beslutter dig for en Ubiquiti løsning, så vent lidt, der er nye enheder på vej, som er en del hurtigere end tidligere. De har lanceret en UDM-Pro (Unifi Dream Machine Pro) på deres beta store, som kan lave IDS/IPS op til 5 Gbps og der er rygter om, at de også snart vil lancere en opgradering af USG og USG-Pro.
--

#9 Det var dælme også på tide de for disse opgraderet. Og som folk også skriver på deres forum, se at få nogle 10Gbe switche ud, samt AX wifi
--

#9 Det her ændrer jo alt. :) - https://store.ui.com[...] Det her er ultimativt det som jeg har efterspurgt siden dag 1 med unifi. En kraftig router med indbygget controller til at håndtere flere ap'er uden at skulle være en "mobile only" og konsumer vendt enhed som deres mesh linje desværre er. desværre har de lige glemt den sidste feature der ville gøre den til et mit drømme nemlig poe på switch porte..
--
"Always bear in mind that your own resolution to succeed, is more important than any other one thing."
--

Sidst redigeret 08-11-2019 22:07

#11 Yeah det er også pro version af denne, som jeg venter på umiddelbart.
--
Google er din ven