Empfehlungen für Client-to-Site VPN-Lösung
Hallo zusammen,
ich bin tätig in einer Stadtverwaltung und wir nutzen derzeit Sophos SSL VPN auf unseren mobilen Arbeitsplätzen (Windows Notebooks).
Leider sind wir mit der aktuellen Lösung nicht wirklich zufrieden.
Hier ein paar Gründe:
-> Performance nicht wirklich gut. Teilweise extreme Probleme mit Zugriffszeiten
-> Teilweise recht instabil. User fliegen trotz stabiler Internetverbindung unregelmäßig raus.
-> Probiert Facebook/Twitter etc. zu erreichen, bevor ein Verbindungsaufbau möglich ist. Dieser Check lässt sich nur per cli deaktivieren
Wir sind nun auf der Suche nach einer vernünftigen "Enterprise"-VPN Lösung. Eine selbstgebaute Frickel-Lösung kommt nicht in Betracht, da wir das ganze im Anschluss auditieren lassen müssen.
Unsere Anforderungen sind zunächst einmal folgende:
-> Anmeldung per AD-Credentials (on-Prem AD, kein Azure AD vorhanden und auch zunächst nicht vorgesehen)
-> Generell sollte alles Host-on-Prem sein. Ob VM oder Hardware-Appliance ist erstmal egal.
-> ca. 50 Endgeräte zum Start. Bis zu 500 im Endausbau
-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
-> Zentrale Verwaltung des VPNs inkl. Client-Configs
-> Split-Tunneling wird nicht benötigt, wir müssen sowieso den ganzen Traffic durch den Tunnel jagen.
-> Performant und stabil sollte es natürlich sein.
Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.
Danke im Voraus!
ich bin tätig in einer Stadtverwaltung und wir nutzen derzeit Sophos SSL VPN auf unseren mobilen Arbeitsplätzen (Windows Notebooks).
Leider sind wir mit der aktuellen Lösung nicht wirklich zufrieden.
Hier ein paar Gründe:
-> Performance nicht wirklich gut. Teilweise extreme Probleme mit Zugriffszeiten
-> Teilweise recht instabil. User fliegen trotz stabiler Internetverbindung unregelmäßig raus.
-> Probiert Facebook/Twitter etc. zu erreichen, bevor ein Verbindungsaufbau möglich ist. Dieser Check lässt sich nur per cli deaktivieren
Wir sind nun auf der Suche nach einer vernünftigen "Enterprise"-VPN Lösung. Eine selbstgebaute Frickel-Lösung kommt nicht in Betracht, da wir das ganze im Anschluss auditieren lassen müssen.
Unsere Anforderungen sind zunächst einmal folgende:
-> Anmeldung per AD-Credentials (on-Prem AD, kein Azure AD vorhanden und auch zunächst nicht vorgesehen)
-> Generell sollte alles Host-on-Prem sein. Ob VM oder Hardware-Appliance ist erstmal egal.
-> ca. 50 Endgeräte zum Start. Bis zu 500 im Endausbau
-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
-> Zentrale Verwaltung des VPNs inkl. Client-Configs
-> Split-Tunneling wird nicht benötigt, wir müssen sowieso den ganzen Traffic durch den Tunnel jagen.
-> Performant und stabil sollte es natürlich sein.
Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.
Danke im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7688766473
Url: https://administrator.de/forum/empfehlungen-fuer-client-to-site-vpn-loesung-7688766473.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
20 Kommentare
Neuester Kommentar
Moin,
erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.
Du wirst um einen Dienstleister nicht herum kommen.
Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Gruß
Spirit
erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.
Du wirst um einen Dienstleister nicht herum kommen.
Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Gruß
Spirit
Ich habe Sophos als komplettes Paket im Einsatz (FW mit XG, VPN, Endpoint Security)
VPN sowohl als Site2Site mit RED als auch Client2Site mit SophosConnect.
Deine Probleme kann ich nicht bestätigen.
2 Bemerkungen:
- UTM ist ja als Betriebssystem schon etwas angestaubt. Die HW wird es dann ja auch sein. Mittlerweile ist man bei der HW bei XGS, also 2 Generationen weiter! Bei SFOS steht Vers. 20 in den Startlöchern.
- VPN ist sehr leistungshungrig. 50 parallel Tunnel sind nun nicht gerade wenig, 500 schon gar nicht!
Ist die HW der UTM dafür ausgelegt? Nebenbei macht sie ja auch noch FW und Mail.
Das bestehende Problem schon mal genauer analysiert?
Alle anderen kochen auch nur mit Wasser und beim VPN meist mit dem gleichen.
Jürgen
VPN sowohl als Site2Site mit RED als auch Client2Site mit SophosConnect.
Deine Probleme kann ich nicht bestätigen.
2 Bemerkungen:
- UTM ist ja als Betriebssystem schon etwas angestaubt. Die HW wird es dann ja auch sein. Mittlerweile ist man bei der HW bei XGS, also 2 Generationen weiter! Bei SFOS steht Vers. 20 in den Startlöchern.
- VPN ist sehr leistungshungrig. 50 parallel Tunnel sind nun nicht gerade wenig, 500 schon gar nicht!
Ist die HW der UTM dafür ausgelegt? Nebenbei macht sie ja auch noch FW und Mail.
Das bestehende Problem schon mal genauer analysiert?
Alle anderen kochen auch nur mit Wasser und beim VPN meist mit dem gleichen.
Jürgen
Moin,
Die Frontend Firewall würde ich Firewall sein lassen und nicht mehr. Denn das Volumen an Datenverkehr bei 100 oder 300 gleichzeitigen Sitzungen hat es in sich. Die soll sich auf das Regelwerk konzentrieren. Hier könnte man in der Tat gründlich überlegen, ob man Split-DNS in Kombination mit Produkten wie Zscaler realisiert. Somit geht nur noch der relevante Traffic durch das VPN. Normaler Internetverkehr geht direkt über die Internetleitung des Nutzers. Somit gehen auch Laufzeiten und Latenzen von Paketen deutlich zurück.
Gruß,
Dani
-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
Hier solltest du klären, welche Art von TOTP du nutzen darfst. Ich weiß nämlich je nach Bundesland und zuständige IT Verband gibt es hier klare Richtlinien. Die Frage ist, ob es solche bei euch gibt und ob ihr dem Verband angehört und damit auch die Policy umsetzen müsst.-> ca. 50 Endgeräte zum Start. Bis zu 500 im Endausbau
Bei der Größe würde ich dedizierte VPN Konzentratoren in Kombination mit Load Balancer beschaffen, welche in einem extra VLAN in der DMZ stehen. Weil aus meiner Sicht hast schon das Design der Infrastruktur Einfluss auf die Performance hat bei der Dimension. Das was du da vor hast, ist nicht ohne.Die Frontend Firewall würde ich Firewall sein lassen und nicht mehr. Denn das Volumen an Datenverkehr bei 100 oder 300 gleichzeitigen Sitzungen hat es in sich. Die soll sich auf das Regelwerk konzentrieren. Hier könnte man in der Tat gründlich überlegen, ob man Split-DNS in Kombination mit Produkten wie Zscaler realisiert. Somit geht nur noch der relevante Traffic durch das VPN. Normaler Internetverkehr geht direkt über die Internetleitung des Nutzers. Somit gehen auch Laufzeiten und Latenzen von Paketen deutlich zurück.
Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.
Cisco VPN Konzentrator + VPN Client + SMAL via AD FS + OTP per Hardware Token.Gruß,
Dani
moin...
was sollen wir unter "Sophos Connect" Client nicht wirklich toll funktioniert. eigentlich verstehen?
kannst du uns mal genauer sagen, was nicht so wirklich toll funktioniert?
gibbet logs zu den Fehlern?
Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.
Das VPN-Gateway muss doch nicht unbedingt eine FW sein oder? Gibts denn keine VPN-Gateways die ich in eine DMZ "stellen" kann? Ich hab mir z.B. schonmal Forti in der Online-Demo angeschaut. Beim Thema VPN sah das aber fast genauso wie Sophos aus.
Optik ist sowas von nixsagend...
hast du mal einen Dienstleister gefragt, und eure VPN lösung prüfen lassen?
Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Könnte gut passieren. Hab mir zum Beispiel NCP angeschaut, was deutlich über der Grenze lag. (Budget/Ausschreibung)
Die ZTNA Lösung von Sophos hab ich mir auch schon angeschaut, aber da kommt man ja über ein Azure AD nicht drumrum.
Frank
Zitat von @PMacke:
also ich persönlich halte nix von der Sophos, allerdings weiß ich, das ding rennt, wenn es ordentlich eingerichtet wurde!erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
Als Firewall sind wir mit Sophos recht zufrieden. Weiß nur leider nicht wie. Es fängt ja schon damit an, dass der "Sophos Connect" Client nicht wirklich toll funktioniert. Aktuell läuft auf der FW auch noch UTM, mit SFOS gibts soweit ich weiß beim Thema VPN auch nichts neues.Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
was sollen wir unter "Sophos Connect" Client nicht wirklich toll funktioniert. eigentlich verstehen?
kannst du uns mal genauer sagen, was nicht so wirklich toll funktioniert?
gibbet logs zu den Fehlern?
Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.
Du wirst um einen Dienstleister nicht herum kommen.
Befürchte ich auch. Dennoch würden wir es gerne zunächst auf eigene Faust probieren. Im Notfall dann mit Dienstleister.Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Die ZTNA Lösung von Sophos hab ich mir auch schon angeschaut, aber da kommt man ja über ein Azure AD nicht drumrum.
Frank
Dennoch ändert es nichts daran, dass Sophos Connect doof ist. Erstmal dieser Connectivity Check Mist.
???
Ich installiere den Client, importiere die jeweilige User-Konfiguration, klicke auf "Verbinden", gebe die Zugangsdaten ein (kann man abspeichern) --> rödel, rödel --> Verbindung steht
Das kann der User im Prinzip auch allein, da alles im User-Portal der FW zum Download liegt.
Update von Sophos Connect bei ca. 50% der Clients der Dienst kaputt. Der Sophos Connect Dienst lässt sich dann
nicht mehr starten, weder automatisch noch per Hand. Als Lösung habe ich bisher nur neuinstallieren gefunden.
nicht mehr starten, weder automatisch noch per Hand. Als Lösung habe ich bisher nur neuinstallieren gefunden.
Ist mir in den letzten 2,5 Jahre (so lange nutze ich das VPN) noch nie passiert. Das leidige Corona-HomeOffice war der Auslöser für Nutzung der Client2Site-VPNs (ca. 10 Laptops damit ausgestattet, Internetzugang 20MB sym. , 1-2 parallele Tunnel)
Haben ne XG450. Also grundsätzlich erstmal nicht ganz schlecht.
XG hat einen SSL-Durchsatz von max. 770MBit/s. Was gibt denn euer Internet-Anschluss so her?
Weiß nicht so recht womit ich starten soll. Kann es ggf. mit IPS zu tun haben?
Die Grundschulung für die XG-Firewall dauert 4 Tage. Absolviert? Oder nur "Learning by Doing"?
Jürgen
PS: Eine XG hat SFOS (aktuell als v19.xx) als Betriebssystem und nicht UTM ( aktuell v9.xx)!
Der OpenVPN-Client von Securepoint soll mit Sophos tatsächlich öfters etwas besser laufen, warum auch immer.
Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.
Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."
Ob das in eurer Umgebung klappt, kannst du nur versuchen.
Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.
Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."
Ob das in eurer Umgebung klappt, kannst du nur versuchen.
Zitat von @ni.sch:
Der OpenVPN-Client von Securepoint soll mit Sophos tatsächlich öfters etwas besser laufen, warum auch immer.
Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.
Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."
Ob das in eurer Umgebung klappt, kannst du nur versuchen.
Der OpenVPN-Client von Securepoint soll mit Sophos tatsächlich öfters etwas besser laufen, warum auch immer.
Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.
Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."
Ob das in eurer Umgebung klappt, kannst du nur versuchen.
Da kannst auch gleich den offiziellen OVPN Client nutzen.
Nichts anderes ist der Sophos Kram ja.
Ich verstehe zwar nicht ganz genau was du damit sagen möchtest aber ja, beide Clients (Sophos und Securepoint) basieren - glaube ich - auf dem OVPN-Client. Trotzdem gab es einen praktischen Unterschied in der Funktion bei dem Kunden und auch in meiner jetzigen Umgebung war zu Beginn meiner Tätigkeit der SP-Client an einer Sophos (wohlgemerkt noch UTM/SG) stabiler als der von Sophos.
Moin,
Möchtest du mal das Bundesland und den Namen des dazugehörigen IT Verbands nennen? Dann ist es etwas einfacher konkret zu werden.
Gruß,
Dani
Aktuell nutzen wir App-Tokens. Das war im Audit kein Problem. Wir streben aber einen Mix aus Hardware und App an.
die Frage ist doch, was euer IT Verband an Richtlinien hat. Meines Wissens nach ist die Priorität ganz klar definiert. In der Regel sind die Policies größtenteils schärfer wie ein Audit. Wobei du noch nicht erläutert hast, um welche Art und Typ von Audit es sich handelt. Denn es ist doch nur logisch, wenn alle Mitglieder mögliche Türen ins Netzwerk Gleichmaßen schützen. Anderenfalls ist doch früher oder später ein kleiner oder großer Sicherheitsvorfall vorprogrammiert.Möchtest du mal das Bundesland und den Namen des dazugehörigen IT Verbands nennen? Dann ist es etwas einfacher konkret zu werden.
Gruß,
Dani