micha1980
Goto Top

ARISTA Firewall (V17.0.0) und VPN (30 Tage Testverions)

Moin zusammen,

ich benötige mal wieder euer Schwarmwissen :D


Wir spielen in der Firma mit dem Gedanken unsere Kerio Firewall (aufgrund verschiedener Probleme, die Kerio bisher nicht in den Griff bekommen hat) durch eine von ARISTA (Version 17.0.0) zu ersetzen, nur habe ich es bisher bei der 30 Tage Testversion nicht hinbekommen, dass eine VPN funktioniert. Werder über „Wireguard“ noch „open VPN“ weiß jemand, ob das in der 30 Tage Version gar nicht funktioniert oder ist noch irgendwo eine Einstellung, die ich vornehmen müsste? Restliches Internet funktioniert alles fehlerfrei..

Die Hardware steht in unserem Testsystem hinter einer FritzBox (hier ist die Firewall als „Exposed Host“ eingerichtet).


Herzlichen Dank für eure Hilfe.

LG

Micha

Content-Key: 3202575606

Url: https://administrator.de/contentid/3202575606

Printed on: July 17, 2024 at 20:07 o'clock

Member: aqui
aqui Feb 01, 2024 updated at 08:06:10 (UTC)
Goto Top
Die entsprechenden Tutorials dazu hast du alle gelesen und umgesetzt?? 🤔
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
Was beim Betrieb in einer Router Kaskade zu beachten ist kannst du HIER nachlesen.

Um was für ein VPN geht es? Client oder oder Site to Site?
Wenn Client, warum dann nicht ein IKEv2 VPN womit du problemlos die so oder so vorhanden onboard VPN Clients in jedem Endgerät nutzen kannst ohne auf den Endgeräten frickeln zu müssen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gleiches gilt für L2TP als VPN Protokoll:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mal abgesehen davon das billige Consumer Router nicht in eine Firma gehören könntest du alternativ doch auch die Fritzbox benutzen. Sie ist ja immerhin ein VPN Router und erlaubt auch den Zugang mit IPsec und auch Wireguard VPNs.

Gibt halt viele Wege nach Rom...
Member: Micha1980
Micha1980 Feb 01, 2024 updated at 10:43:52 (UTC)
Goto Top
Zitat von @aqui:

Die entsprechenden Tutorials dazu hast du alle gelesen und umgesetzt?? 🤔
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
Was beim Betrieb in einer Router Kaskade zu beachten ist kannst du HIER nachlesen.

Um was für ein VPN geht es? Client oder oder Site to Site?
Wenn Client, warum dann nicht ein IKEv2 VPN womit du problemlos die so oder so vorhanden onboard VPN Clients in jedem Endgerät nutzen kannst ohne auf den Endgeräten frickeln zu müssen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gleiches gilt für L2TP als VPN Protokoll:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mal abgesehen davon das billige Consumer Router nicht in eine Firma gehören könntest du alternativ doch auch die Fritzbox benutzen. Sie ist ja immerhin ein VPN Router und erlaubt auch den Zugang mit IPsec und auch Wireguard VPNs.

Gibt halt viele Wege nach Rom...

Moin,

ja diese Einstellungen sind angewandt worden, leider ohne Erfolg.

Die FritzBox alleine ist halt nicht optimal, dass diese eine VPN erstellen kann weiß ich, ist aber nicht zielführend.

VPN Client ist gewünscht (Site to Site wird nur im Einzelfall benötigt)

Wir wollen halt jetzt auch nicht für einen Test mehrere Firewalls einkaufen, um dann diese zu probieren... daher fanden wir ARISTA mit 30 Tagen zum Testen nicht uninteressant und auch die Oberfläche ist nicht so schlimm

LG
Micha
Member: aqui
aqui Feb 01, 2024 updated at 11:31:57 (UTC)
Goto Top
leider ohne Erfolg.
Da hilft dann wohl nur nochmals das Handbuch lesen oder den Hersteller kontaktieren!
Die FritzBox alleine ist halt nicht optimal
Das ist schon das Problem an sich denn eine Consumer Plaste Box hat in einem Firmennetzwerk nichts zu suchen. Allein DAS ist schon nicht zielführend. Aber egal...
nicht für einen Test mehrere Firewalls einkaufen, um dann diese zu probieren...
Zumindestens pfSense oder OPNsense sind frei, supporten im Handumdrehen mit ein paar Mausklicks im GUI ALLE bekannten VPN Protokolle und sind in 10 Minuten auf einer alten PC Hardware oder als VM aufgesetzt um damit zu testen und Firewall Erfahrungen bzw. Look and Feel zu sammeln. Und das gänzlich OHNE irgendwelchen Zeitlimits. Was will man also mehr??
Wenn man mit Fritzboxen arbeitet ist eine der beiden Firewalls eine durchaus ernstzunehmende Lösung die dich auch mit keinerlei Herstellerfesseln belegt. Einfacher gehts nicht mehr.
Entscheidet man sich dafür gibt es professionelle HW auf der man diese betreiben kann.
https://www.ipu-system.de
Member: Micha1980
Micha1980 Feb 01, 2024 at 14:04:31 (UTC)
Goto Top
Zitat von @aqui:

leider ohne Erfolg.
Da hilft dann wohl nur nochmals das Handbuch lesen oder den Hersteller kontaktieren!
Die FritzBox alleine ist halt nicht optimal
Das ist schon das Problem an sich denn eine Consumer Plaste Box hat in einem Firmennetzwerk nichts zu suchen. Allein DAS ist schon nicht zielführend. Aber egal...
nicht für einen Test mehrere Firewalls einkaufen, um dann diese zu probieren...
Zumindestens pfSense oder OPNsense sind frei, supporten im Handumdrehen mit ein paar Mausklicks im GUI ALLE bekannten VPN Protokolle und sind in 10 Minuten auf einer alten PC Hardware oder als VM aufgesetzt um damit zu testen und Firewall Erfahrungen bzw. Look and Feel zu sammeln. Und das gänzlich OHNE irgendwelchen Zeitlimits. Was will man also mehr??
Wenn man mit Fritzboxen arbeitet ist eine der beiden Firewalls eine durchaus ernstzunehmende Lösung die dich auch mit keinerlei Herstellerfesseln belegt. Einfacher gehts nicht mehr.
Entscheidet man sich dafür gibt es professionelle HW auf der man diese betreiben kann.
https://www.ipu-system.de

Wie schon geschrieben, nutzen wir bisher KERIO Firewall (was bei Thema VPN auch super ist), aber eben leider verschiedenen Probleme hat, die NICHT so mega sind...

Und daher wollen wir ja eben eine andere Testen... Nur wenn bei der anderen zwar alles geht aber das Einrichten der VPN nicht so gut läuft ist es schlecht, da wir dieses ja auf Dauer nicht nur bei uns zum laufen haben wollen, sondern eben auch bei vielen Kunden (und die meisten sind Kleinere Kunden und haben als Router nunmal die Fritte). Wie immer muss dass halt auch bedacht werden...
Member: aqui
aqui Feb 01, 2024 updated at 15:59:16 (UTC)
Goto Top
aber das Einrichten der VPN nicht so gut läuft ist es schlecht
Bei einer pfSense oder OPNsense ist das zumindestens mit 5 Mausklicks in 10 Minuten up and running.
Auch mit einer Fritte und einer Site 2 Site Kundenkopplung ist das eine Lachnummer und ebenso mit jeder beliebigen Kunden Fritzbox in 10 Minuten erledigt. Guckst du dazu hier:
pfSense o. OPNsense VPN mit Fritzbox
Member: Micha1980
Micha1980 Feb 02, 2024 at 06:55:54 (UTC)
Goto Top
Zitat von @aqui:

aber das Einrichten der VPN nicht so gut läuft ist es schlecht
Bei einer pfSense oder OPNsense ist das zumindestens mit 5 Mausklicks in 10 Minuten up and running.
Auch mit einer Fritte und einer Site 2 Site Kundenkopplung ist das eine Lachnummer und ebenso mit jeder beliebigen Kunden Fritzbox in 10 Minuten erledigt. Guckst du dazu hier:
pfSense o. OPNsense VPN mit Fritzbox

sorry, das ist aber nicht das um was es geht... wir suchen eine Alternative zur Kerio Firewall (ja die haben ein recht gutes System an VPN On board) und die am besten (wie eben es Arista ja angeblich anbietet), auch wieder da mit integriert ist... nur eben funktioniert es bisher nicht... Ich finde es ja wirklich Top, dass Du hier am Anfang die Anleitungen gepostet hast... (die ich extra noch mal Schritt für Schritt durch bin, um Fehler auszuschließen), aber es ist eben nicht das Ziel... Kann auch sein, dass wir, wenn ARISTA nicht so geht wie wir es brauchen, uns eben eine weitere Anschauen müssen...
Member: aqui
aqui Feb 02, 2024 updated at 08:50:20 (UTC)
Goto Top
ja die haben ein recht gutes System an VPN On board
Der Einwand ist unverständlich und unklar. face-sad
pfSense und OPNsense als Beispiel haben auch ALLE bekannten VPN Protokolle onboard! Wo ist jetzt hier der Punkt?
Wenn ein funktionierendes VPN auf einer Firewall was man in 5 Minuten mit jedem beliebigen Endgerät sei es als Client oder Site2Site einrichten kann nicht dein Ziel ist was ist es denn? Dann ist dein Thread hier recht missverständlich formuliert da man deine wahre Intention nicht kennt. Aber egal...
Member: Micha1980
Micha1980 Feb 02, 2024 at 11:10:10 (UTC)
Goto Top
Es geht um die integrierten Funktionen bei der ARISTA Firewall...
Member: aqui
aqui Feb 02, 2024 updated at 13:50:26 (UTC)
Goto Top
Nochwas ein Tip, weil du oben Wireguard und Fritzboxen erwähntest.
Eine Wireguard VPN Verbundung eines "klassischen" WG Endgerätes mit einer Fritzbox ist nicht ganz trivial. Der Grund dafür ist die nicht Standard konforme Wireguard Implementation von AVM auf den Fritzboxen. Das kann auch ein Grund für ein Scheitern sein zumindestens wenn man Fritzboxen an eine klassische Wireguard fähige Firewall adaptieren möchte und ein paar Setup Tricks dafür nicht beachtet.
Ein hiesiges Tutorial beschreibt dieses spezifische Thema.

Es ist in jedem Falle sinnvoller hier im Firmenumfeld immer IPsec zu verwenden was in der Regel mit Fritzboxen deutlich unkomplizierter ist in gemischten Umgebungen. Das gleiche gilt auch für Client VPNs die mit IKEv2 oder auch L2TP onboard Clients erheblich einfacher zu handhaben sind im Firmenumfeld. Ein wichtiges FW Feature auf das man bei einer Neubeschaffung achten sollte!
Member: ThePinky777
ThePinky777 Feb 02, 2024 at 14:18:53 (UTC)
Goto Top
schon mal versucht die Internetleitung direkt zu koppeln mit der Firewall.

Also Fritzbox nicht auf Routing Modus zu betreiben sondern im Portforwarding Modus (oder wie das auch heisst, ist schon paar jahre her sorry).
Also direkt zur Firewall weiterleiten, damit verhält sich die Firewall als ob sie direkt am Internet ist.
Und dann wird auch nix zwischen drin von der Fritzbox geblockt oder so (theoretisch).
Dann kannste auch im Firewall log eventuell was sehen wenn was geblockt wird...

Könnte ja die Ursache sein face-smile
Member: aqui
aqui Feb 25, 2024 at 12:02:38 (UTC)
Goto Top
Wenn es das denn nun war:
How can I mark a post as solved?