Moechte mir einen 2.5 GB Router mit Firewall auf Open Source Basis bauen.
Das ganze soll auf Basis von ProtectLi Hardware laufen. Genauer gesagt auf diesem hier.



Als BSD basierte Firewall und Router Software schwanke ich zwischen OPNSense und PFSense.

Gibt es hier irgendwelche Meinungen zu beiden Systemen?

Cheers

Hab persönlich nur mit OPNSense Erfahrungen sammeln können, hatte wir 2 Jahre in der Firma im Einsatz.
Wurde allerdings vor ca. 3 Jahren von Ubiquiti abgelöst.

Mit deiner Überschrift findest du im Netz aber relativ viele Vergleiche, hier einen von einem sehr Kompetenten YouTuber was das Thema Netzwerk angeht

Ich persönlich bin hier ein größerer Freund von OPNSense. PFSense habe ich selbst im Einsatz, habe bisher die Umstellung gescheut weils halt läuft.

Prinzipiell extrem ähnlich, das eine ist halt komplett OpenSource, das andere ist ein kommerzielles Produkt mit einer kostenlosen Version. Im Endeffekt basieren beide auf der gleichen Basis und haben eine etwas andere Richtung genommen. Aber die Verwandtschaft ist immernoch zu erkennen.

Ich kann auch nur als OPNSense User berichten, das läuft bei mir zu Hause und im Büro jeweils virtualisiert und seit Jahren ohne Probleme.

Hatte mich damals für OPNSense entschieden weil ich die Oberfläche etwas übersichtlicher fand, zwischenzeitlich bin ich auf Grund der stiefmütterlichen Behandlung des Open-Source-Gedankens von netgate rückwirkend auch ideologisch ganz zufrieden mit der Entscheidung.

Meiner persönlichen Einschätzung nach macht es für den Hausgebrauch wahrscheinlich keine großen Unterschiede welches der Systeme du verwendest. Die laufen beide stabil, sind sehr wartungsarm, basieren auf FreeBSD und haben eine hilfsbereite Community.

Wir verwenden im Büro die folgenden Features, und das klappt sehr gut:

* OpenVPN Server – mit 11 Clients die sich von Remote, Client-to-Site ins Firmennetz verbinden
* Dauerhafter IPSec Tunnel von OPNSense in ein Kundennetzwerk, so dass ein bestimmtes Segment für uns auch "lokal" verfügbar ist

Von Ubiquity moechte ich gerade weg, da anscheinend die Edge Serie eingestellt wurde die jetzt auch auf den Mesh Zug aufspringen. Damit kann ich mich nicht anfreunden.
Den Youtube Channel kenne ich. Hat mir auch schon ziemlich in der Meinungsbildung weitergeholfen.

Tendiere momentan auch mehr zu PFSense. Bin aber noch nicht ganz sicher.

Von Synology gibt es einen neuen Router RT6600ax mit 2.5G, Firewall, Threat Prevention, VPN Plus usw. Zumindest als Alternative zu Ubiquity.

Danke aber ich benoetige nur einen Router und Firewall. Wifi ist abgedeckt. Insofern ist der RT6600ax overkill.

Danke auch an DAM_J, MYBEACHPREACHER und MICHEEE fuer die Tips.

Wir setzen seit Jahren bei uns und bei Kunden fast ausschliesslich PfSense auf eigener Hardware oder virtualisiert ein. Die Dinger laufen robust und zuverlässig (mit Ausnahme des doofen Bugs beim Swap in v2.5.2) und sind recht easy in der Wartung. OPNsense hat ein paar Vorteile ggü. PfSense, z.B. häufiger Updates, was man aber auch als lästig empfinden kann , jedoch etwas komplexer.
Mit den Unifi-Firewalls konnte ich mich nie anfreunden, für mein Dafürhalten viel zu unübersichtlich und überladen.

Danke mistamilla

Hab mich mit Edge nie beschäftigt, nutze / verkaufe / installiere nun seit Jahren UniFi und bin damit ziemlich happy. xxxSense kann dan OpenSource und Plugins garantiert sehr viel mehr, aber was UniFi kann reicht uns und meinen Kunden zu 99% aus.

Ich nutze PfSense seit Jahren und blieb mit der APU2C4 Box nun bei 2.4.4-p2 auch ohne höher zu gehen auf FreeBSD 12.2 (PfSens 2.5.x).

Ab und zu nahm ich mir den Wechsel zu OPNSense auch vor aus ähnlichen Gründen wie von user micheee erwähnt und startete die Migration. Leider bekam ich nie die Performance hin, welche ich unter PfSense hatte was womöglich an den NICs der APU-Box und dem OpenSSL ab 1.1.1 und höher liegt. Ich hatte jeweils eine Woche Trouble Shoting mit anderem BIOS, anderen VPN's, Forendiskussionen etc. Gleiches auch mit PfSense 2.5.x. Ich ging immer wieder zurück, da ich max. 75% an Durchsatz ggü. der PfSense 2.4.4-p2 nicht akzeptierte - an der Prozessor Load z.B. lag es nicht. Bei Konfigurationsänderungen machte ich auch die Erfahrung unter OPNSense öfters neu starten zu müssen, was PfSense im Gegensatz für meine Dienste nicht erforderte. Die PfSense läuft immer mit zwei bis drei verschiedenen VPNs (OpenVPN) gleichzeitig. Mit Squid und pfBlockerNG-devel als Ad Blocker is das Paket stabil und läuft ohne Probleme seit Jahren. Wenn mehr Durchsatz benötigt (200Mbit/s Leitung momentan) wird, muss auch andere Hardware für den gleichen Zweck her, dann wäre OPNSense wieder einen neuen Versuch wert auch wegen der nativen WireGuard Implementation...evtl. wurde das auch wieder in Pf implementiert, hier bin ich nicht mehr auf dem neuestem Stand.

Wireguard war mal im einem PfSense 2.5er-Release drin, lief aber nur sehr buggy und wurde dann beim nächsten Patch wieder entfernt. Nun ist es als separates Package installierbar, aber immer noch als «Experimental» taxiert.
Wireguard bei OPNsense ist da schon viel weiter.

Super, danke das hilft sehr!

Wüsste jetzt nicht, was gegen OPNsense spricht, nutze das seit einigen Jahren und sowohl die kleineren Updates als auch die halbjährlichen Upgrades machen keine Probleme.

Auch der Datendurchsatz bei VPN ist mittlerweile völlig i.O., vorausgesetzt man nutzt auch möglichst aktuelle Hardware.

Einen Blick Wert ist sicher auch die neue 840er / 850er Serie von Deciso:





Bei PFsense war lange das Thema "Werbeblocker" etwas besser implementiert (pfBlockerNG), aber dies gibt es jetzt bei OPNsense mittlerweile sowohl bei BIND als auch mit UnboundDNS (also blacklists inkl. whitelisting-Option).

Und wer mag, stülpt dann halt noch zusätzlich Squid drüber …

Du hast Dir die Antwort selber gegeben, sofern das ein Kriterium ist:

Sowohl pfSense wie auch OPNsense basieren auf BSD und sind daher langsamer als Linux-Lösungen. Auf weniger leistungsstarker Hardware soll *Sense sogar erheblich langsamer sein, was Durchsatz angeht (z.B. die APU-Boxen).

"BSD also limits the maximum throughput per connection. Single connection on OPNSense will not utilize full capacity of multi-core CPU. (this is often not important unless you have a gigabit internet connection)."

"BSD also limits the maximum throughput per connection. A single connection on OPNSense will not utilize the full capacity of multi-core CPU. (this is often not important unless you have a gigabit internet connection)"
https://teklager.se/en/best-free-linux-router-firewall-software-2019/
Das ist von 2019 aber meines Wissens nach immer noch aktuell.

Gerade PPPoE scheint davon betroffen zu sein, weswegen man im Internet User findet, die sich vor OPNsense eine OpenWRT-Box für PPPoE setzt.

Weitere Nachteile: BSD kann kein Cake sondern "nur" das ältere Fq_Codel und ist beim Stromverbrauch auch etwas schlechter.

Je nach dem was man machen möchte kann IPFire die bessere Wahl sein.
https://www.ipfire.org/

Es kommt halt darauf an... IPFire kann weniger als *sense und ist z.B. in bestimmten Dingen limitiert (wird sich erst mit IPFire 3.x ändern). Wenn man aber mit seinem Vorhaben durch IPFire nicht eingeschränkt wird, sollte man das nicht von vorneherein ausschließen, da es die bessere Wahl sein kann.

Ich habe auf meine komplette Ubiquiti-Hardware (= 2 x AccessPoints + 1 x Edgerouter) schon vor langer Zeit OpenWrt aufgespielt. Das hat sich als richtig erwiesen, da Ubiquiti mehrfach negativ aufgefallen ist:
Beispiel: https://www.golem.de/news/netzwerke-ubiquiti-router-sammeln-auch-ohne-einwilligung-weiter-daten-2103-154971.html

Ich vermisse nichts! Und mit meinen AccessPoints geht durch OpenWrt auch WPA3, das Ubiquiti per FIrmware-Update nicht angeboten hat (kann sein, dass es mittlerweile geht - ich bin da jedenfalls raus).

Das ist jetzt auch schon fast 1 1/2 Jahre her. Finde leider nichts zur Auflösung in dem Artikel...
WPA3 kann UBI schon seit einiger Zeit, wie sinnvoll das in einem Mischnetzwerk ist weiß ich allerdings nicht. Da ich noch keinen Kunden hatte dessen Geräte ALLE WPA3 unterstützen ist mir dies auch noch nicht ganz ersichtlich.

dass die EdgeRouter EOL sein sollen, ist ein geruecht (es gibt irgendwo in deren foren ein offizielles statement zum thema). dass sie hingegen weltweit allesamt nicht lieferbar sind, stimmt. ich bin extrem happy mit den dingern, preis-leistung ist mMn unschlagbar. bis jetzt noch kein einziges problem im betrieb (sind sicher 20 stueck unter meiner fuchtel). fuer mich ein musskriterium: VPN mittels L2TP over IPsec (weil sich macOS/iOS und Windows ohne zusaetzliche software damit verbinden koennen). und ebendieses protokoll ist mit pfSense/OPNsense einigermassen eine PITA... das GUI bei den EdgeRoutern ist fuer die tonne, ich mache da inzwischen eh quasi alles in der kommandozeile. und ja, es gab mal einen aufstand wegen nach-hause-telefonieren. das ist inzwischen jedoch (wie es sein soll) als opt-in implementiert. und sollten sie mir eines tages tatsaechlich auf den keks gehen: das naechst-verwandte waere dann VyOS (wie EdgeOS auch ein fork von Vyatta). kommt dann aber gleich ganz ohne GUI:

Ubiquiti ist mehrfach negativ aufgefallen. Davor gab es auch schon die ein oder andere "Aktion" von Ubiquiti.
Daher hat diese Firma bei mir einen schlechten Stand, selbst wenn das Thema zwischenzeitlich geklärt sein sollte.
Für meine Hardware wurde damals kein entsprechendes Update von Ubiquiti angeboten. Mag sein, dass es mittlerweile, nach Monaten oder gar Jahren, entsprechende Firmwares gibt.
OK, wenn dem wirklich so sein sollte.
Dennoch wenn ein Hersteller mehrfach versucht den Anwendern so etwas unterzuschieben, ist nicht OK.

Die Edge-Serie war meines Wissens von dem nach-hause-telefonieren auch nie betroffen, sondern UniFi-Geräte.
OS ist sicherlich gut. Ein Grund für OpenWrt beim EdgeRouter war, neben dem Vertrauensverlust auch, dass ich nicht mit zu vielen unterschiedlichen Systemen hantieren wollte.

noch zur hardware: ich habe auch ein PROTECTLI in meinem fuhrpark (allerdings fuer ESXi). kann ich empfehlen, sehr schoenes kistchen:
ansonsten meist PC Engines APU2

die hardware von Deciso faende ich eigentlich auch sehr lecker. die aufgerufenen preise jedoch finde ich etwas "aua"...

doch, einen kleinen aufruhr gab es eben auch mal bei den EdgeRoutern. genau deswegen habe ich mich dann auf die suche nach alternativen gemacht und bin am ende bei VyOS gelandet. leider ist es etwas muehsam/schwierig an die offiziellen ISOs zu kommen. die easy verfuegbaren Rolling Release ISOs moechte ich eben lieber nicht fuer produktiv eingesetzte systeme verwenden.

Viele der Kisten haben leider recht alte "CPUs". APU2 ist schon uralt.

Ich selber habe auch ein Protectli und zwar ein FW4B. Allerdings nicht von Protectli selber. Protectli kauft i.d.R. auch nur die Hardware woanders ein. Ich habe aber deren coreboot auf meine Hardware gefasht
Es kann auch Sinn machen die Netzteile bei manchen der Kistchen gegen höherwertige zu tauschen, hinsichtlich Stromverbrauch (und ggf. auch Sicherheit, falls man aus China etwas importiert).
Für den ambitionierten Hausgebrauch dann eher DEC750: https://shop.opnsense.com/dec700-series-opnsense-desktop-security-appliance/
Deutlich besser beim Stromverbrauch. Der verbaute Embedded Ryzen ist allerdings meines Wissens aus der älteren V1000 Reihe.
Zudem hält sich Deciso hinsichtlich Firmware-Updates bedeckt.
Also ich habe auf meiner IPFire Squidguard (+ Suricata als IPS) laufen. IMHO gibt es keine wirklich guten und gepflegten freien Filterlisten dafür. Shalla ist eingestellt und hat mich auch nicht vom Hocker gehauen.
Vielleicht wäre Mikrotik auch etwas für Dich. Ich selber habe keine Erfahrung damit.

logo, habe das BIOS natuerlich auch durch coreboot ersetzt

wer, wie MikroTik halt eben einige male, zu oft im heise security newsticker oder meinem Twitter-feed negativ auffaelt, hat es schwer einen platz in meinem oder einem von mir betreuten netz fuss zu fassen. deshalb: leider nein, nix MikroTik.

Da ich Daumen runter für meinen Post um 17 Uhr aus mir nicht nachvollziehbaren Gründen erhalten habe:

"Might I ask why you are using an OpenWRT device in front of Opnsense?"
"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
> https://forum.opnsense.org/index.php?topic=26328.msg127044#msg127044

"I recently upgraded my Internet connection to 1 Gbit/s down - 300 Mbit/s up. Unfortunately, I found out the hard way that my ISP requires the use of PPPoE protocol, and that OPNsense/pfSense (and, in general, FreeBSD) can only use a single CPU core to handle PPPoE connections, which severely limits my ability to use the full bandwidth.
It has come to my attention that OpenWRT (Linux-based) performs much better with PPPoE, as it is able to use multiple cores.
I was wondering if it would be possible to use an OpenWRT device to establish the PPPoE connection and then put it into bridge mode, passing all of the traffic to my main firewall (OPNsense), which would then be able to use multiple cores for firewalling and routing. (Actually, the setup I wanted to try is a little bit more complex - with both OpenWRT and OPNsense virtualised on the same Proxmox host, but I believe that this should not be the issue here, and it's probably out of the scope of my main concern)"
> https://www.reddit.com/r/OPNsenseFirewall/comments/ohq8xm/help_with_opnsense_performance_using_pppoe_and/

"I've seen now more threads similar to this. I should have done more research before spending money and effort.
So it seems like I've made a mistake chosing APU as low power with *BSD.
Sigh. So my search for low power and good featureset for up to 1 gbps routing will need to continue."
> https://forum.opnsense.org/index.php?topic=23491.0

"However, there are currently two areas of concern:

Single stream performance is worse, and this is a known problem for FreeBSD kernels. For a single stream (e.g. uploads/downloads to/from a local fileserver), OPNsense (both physical on the APU4d4 and virtual on a power efficient server CPU) is limited to about half the maximum Ethernet throughput. This may or may not be relevant to your use case.
When IPsec is active - even if the relevant traffic is not part of the IPsec policy - throughput is decreased by nearly 1/3. This seems like a real performance issue / bug in the FreeBSD/HardenedBSD kernel. I will need to try with VTI based IPsec routing to see if the in-kernel policy matching is a problem.
These tests intentionally deactivated some of the interesting OPNsense features such as traffic analysis with samplicate/flowd_aggregate. Enabling them will again cost around 150-200Mbps throughput on the APU4d4, stacked on top of the performance drop of IPsec if all are enabled."
> https://www.mayrhofer.eu.org/post/firewall-throughput-opnsense-openwrt/

... und da gibt es jede Menge weiterer Postings, wenn man sucht (habe leider keine Bookmarks erstellt, als ich über entsprechende Postings immer gestolpert bin).

Und wenn man dann noch weitere Dienste, wie IPS, VPN, etc. nutzen möchte, wird die Performance auch nicht besser.
OK. Danke. Das wusste ich nicht. Zudem ist dieses RouterOS vermutlich wieder speziell.

ja, wenn vom ISP PPPoE vorausgesetzt wird, kann es schwierig werden. hatte ich auch schon, die problematik. die EdgeRouter koennen problemlos 1 Gb/s via PPPoE, sogar das kleinste modell ER-X. bei meinen vor laengerer zeit mit VyOS durchgefuehrten tests konnte ich via PPPoE auch nicht die volle bandbreite ausschoepfen. ich konnte zum glueck wechseln, also weg von PPPoE.

Es gibt offenbar auch abseits PPPoE Performance-Nachteile gegenüber Linux.

Zu dem Edge-Router: Die packen die Performance, wenn Hardware Offloading genutzt wird. Wenn man aber etwas wie Cake (OpenWrt) nutzen möchte, muss das auf der CPU laufen und die bricht dann ein (zumindest die kleineren Modelle).
Mein Edge-Router wird nicht mehr als Router sondern Switch mit OpenWrt genutzt.

Ja, man bekommt 'günstigere' Hardware oder aber für das selbe Geld 'mehr Leistung' bei anderen Anbietern.

Aber ich persönlich unterstütze Deciso gern (und empfehle das auch immer wieder) aus einem ganz einfachen Grund: Sie sind die Haupt-Sponsoren von OPNsense und mit dem Kauf von Deciso-Hardware unterstützt man somit auch das Open Source Projekt.

Und die 840er / 850er mag ich halt vor allem, da sie bei sehr guter Leistung trotzdem komplett lüfterlos laufen.

Nicht in jeder Umgebung ist ein (schallisolierter) Netzwerkschrank vorhanden, oftmals steht der Router ja direkt beim Modem bzw. Internet-Anschluss im Flur oder gar Wohnzimmer etc.

Und da ist so ein "silent" Gerät einfach etwas sehr angenehmes.

Und das Thema Stromverbrauch ist Dir egal? Finde 40 bis 45 Watt für daheim schon sportlich. Daher habe ich oben auf DEC750 (15 Watt) verwiesen.

Auf reddit gibt es einen Thead (finde den leider nicht mehr), in dem sich zurecht User fragen, wie das Thema Firmwareupdate bei Deciso gehandhabt wird. Dazu findet man nämlich nichts. Und das ist schon fraglich... bzw. spricht nicht gerade für Deciso.

Habe zu Deciso einen guten Draht, bezüglich Firmware-Updates muss man da einfach nur mal nachfragen …

Die sind halt leider etwas 'schlampig' was die Pflege Ihrer Webseite (wie auch des Shops) betrifft.

Aber das ist wie gesagt kein Thema, der Support reagiert schnell und kompetent.

Was den Stromverbrauch angeht: Entweder man bekommt einen wirklich ordentlichen Datendurchsatz bei VPN etc. – oder aber man nutzt ein Gerät, was zwar weniger Energie verbraucht, dann aber eben auch weniger Leistung (Datendurchsatz) schafft …

Mag sein, dass das mit Linux statt BSD als Basis 'besser' ist, aber damit habe ich mich bisher nicht weiter auseinander gesetzt.

Ein DEC740/750 wird auch nicht gerade langsam sein, verbraucht aber erheblich weniger Strom... daher aus meiner Sicht i.d.R. klar der 840er / 850er Serie vorzuziehen (bei Nutzung daheim).

Besser ist relativ. Bei der Performance und dem Stromverbrauch offenbar ja (sofern man das Thema nicht mit Hardware erschlägt). Bei fertig Distributionen für Firewall nicht unbedingt, da IPFire 2.x im Featureset beschränkt ist und OpenWrt zwar auf x86 läuft aber eher für Embedded-Devices gemacht ist (z.B. Updates). Deswegen muss man aus meiner Sicht schauen, was für den jeweiligen Use-Case und der zur verfügung stehenden Hardware besser passt.

Hier kann man die 750 auch gut vergleichen mit der 850:





Da sieht man ziemlich schnell, dass die 850 fast in allen Bereichen mehr oder weniger "doppelt so schnell" ist.

Nur der Verbrauch in Watt steigt halt leider um das 3-fache (15 Watt vs. 45 Watt) …

Für zu hause ist die 740 oder 750 sicher völlig ausreichend, keine Frage.

Die PPPoE-Problematik bei PfSense kann ich aus eigener Erfahrung leider voll bestätigen. Wir verwenden wenn immer möglich IP-Passthrough. Es gibt hier in der CH nur wenige Provider, welche mit PfSense (APU2) problemlos via PPPoE ansprechbar sind (VTX z.B.).

Die Links schaue ich mir gar nicht erst an, da ich gar nicht in Frage stelle dass ein AMD EPYC schneller sein wird. Aber:
Baucht man das, insbesondere daheim? Das sollte man sich immer fragen. Weil sinnlos fette Hardware hinstellen, halte ich nicht für zielführend.
Ja eben. Und mir persönlich wäre das viel zu viel, weswegen ich da überhaupt nicht mehr weiterschaue. Die Firewall soll möglichst wenig Strom verbrauchen. Unter 15 Watt (besser noch unter 10 Watt). Hinzu kommt noch der andere IT-Krempel, der auch Strom fordert.
Auch deswegen hatte ich geschrieben, dass ich abhängig vom Use-Case und der zur Verfügung stehenden Hardware auch eine Linux-Lösung in Betracht ziehen würde, weil das Feature-Set ggf. von IPFire auch reicht und man damit insbesondere auf schwachbürstiger Hardware mehr Performance erzielen kann.
Darum geht es hier im Thread, nehme ich an.
Wie man oben in meinem Posting sieht, gibt es Leute, die eine OpenWrt-Box für PPPoE vor die OPNsene hängen, um das Problem zu umgehen.
Fehlendes Multithreading scheint aber auch in anderen Bereichen abseits PPPoE bei BSD bzw. *sense zu gebene und sich negativ bemerkbar zu machen bzw. den Durchsatz zu drücken. Wo und an welchen Stellen es haken kann, weiß ich aber auch nicht im Detail. Ich selber wollte ursprünglich auch OPNsense nutzen und bin dann eher durch Zufall an IPFire hängen geblieben. Sofern ich die Zeit finde, möchte ich mir aber auch OPNsense mal auf eigener Hardware anschauen (weil es halt Vorteile in anderen Bereichen hat).

Fuer den Hausgebrauch ist dieser hier wahrscheinlich schon vollkommen ausreichend und wurde von vielen auch auf Kompatibilitaet von PFSense getestet.




Idle unter 5 Watt

@FlyingSloth: Meist ja. Kommt halt darauf an, was man wirklcih genau macht (Durchsatz, welche Dienste, etc.).
- Es kann Sinn machen, die mitgelieferten Netzteile gegen bessere Netzteile auszutauschen (insbesondere wenn man in China bestellt - Sicherheit und Effizienz).
- Ich finde coreboot gut. coreboot bekommt man leider abseits Protectli (bzw. baugleicher Geräte) nur schwer.

unbedingt!

Ich nutze seit Jahren pfSense. Weil es einfach stabil läuft und wenig Probleme macht. Als OPNSense auftauchte, testete ich beide und fand heraus, dass sich Vor- und Nachteile in der Waage halten. pfSense lief auf dem APU-Board flotter als OPNSense, auch das GUI von pFSense verbraucht weniger Resourcen und reagierte flotter, während das GUI von OPNSense etwas "schöner" ist. Das ist aber kein Entscheidungsmerkmal für mich. Die fehlende Unterstützung eines bestimmten LTE-Modems brachte dann das endgültige Aus für OPNSense. Vor kurzem bin ich vom in die Jahre gekommenen APU-Board auf eine leistungsstärkere Protectli Appliance umgestiegen. Konfiguration importiert und Suricata Passlist bzw. pfBlockerNG DNSBL Whitelist zurückkopiert - läuft wieder. Das ist das schöne an pfSense/OPNSense: Unabhängigkeit vom Hardware-Hersteller. Ansonsten würde ich sagen dass beide - pfSense und OPNSense ihren Job gut machen. pfsense beschränkt sich meinem Gefühl nach auf die Kernaufgaben, OPNSense möchte eher die eierlegende Wollmichsau sein.