pmacke
Goto Top

Empfehlungen für Client-to-Site VPN-Lösung

Hallo zusammen,

ich bin tätig in einer Stadtverwaltung und wir nutzen derzeit Sophos SSL VPN auf unseren mobilen Arbeitsplätzen (Windows Notebooks).

Leider sind wir mit der aktuellen Lösung nicht wirklich zufrieden.
Hier ein paar Gründe:
-> Performance nicht wirklich gut. Teilweise extreme Probleme mit Zugriffszeiten
-> Teilweise recht instabil. User fliegen trotz stabiler Internetverbindung unregelmäßig raus.
-> Probiert Facebook/Twitter etc. zu erreichen, bevor ein Verbindungsaufbau möglich ist. Dieser Check lässt sich nur per cli deaktivieren

Wir sind nun auf der Suche nach einer vernünftigen "Enterprise"-VPN Lösung. Eine selbstgebaute Frickel-Lösung kommt nicht in Betracht, da wir das ganze im Anschluss auditieren lassen müssen.

Unsere Anforderungen sind zunächst einmal folgende:
-> Anmeldung per AD-Credentials (on-Prem AD, kein Azure AD vorhanden und auch zunächst nicht vorgesehen)
-> Generell sollte alles Host-on-Prem sein. Ob VM oder Hardware-Appliance ist erstmal egal.
-> ca. 50 Endgeräte zum Start. Bis zu 500 im Endausbau
-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
-> Zentrale Verwaltung des VPNs inkl. Client-Configs
-> Split-Tunneling wird nicht benötigt, wir müssen sowieso den ganzen Traffic durch den Tunnel jagen.
-> Performant und stabil sollte es natürlich sein.

Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.

Danke im Voraus!

Content-ID: 7688766473

Url: https://administrator.de/forum/empfehlungen-fuer-client-to-site-vpn-loesung-7688766473.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 29.06.2023 um 17:11:16 Uhr
Goto Top
Moin,

erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.

Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.

Du wirst um einen Dienstleister nicht herum kommen.

Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.

Gruß
Spirit
PMacke
PMacke 29.06.2023 um 17:25:23 Uhr
Goto Top
Zitat von @Spirit-of-Eli:


erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
Als Firewall sind wir mit Sophos recht zufrieden. Weiß nur leider nicht wie. Es fängt ja schon damit an, dass der "Sophos Connect" Client nicht wirklich toll funktioniert. Aktuell läuft auf der FW auch noch UTM, mit SFOS gibts soweit ich weiß beim Thema VPN auch nichts neues.


Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.

Das VPN-Gateway muss doch nicht unbedingt eine FW sein oder? Gibts denn keine VPN-Gateways die ich in eine DMZ "stellen" kann? Ich hab mir z.B. schonmal Forti in der Online-Demo angeschaut. Beim Thema VPN sah das aber fast genauso wie Sophos aus.

Du wirst um einen Dienstleister nicht herum kommen.
Befürchte ich auch. Dennoch würden wir es gerne zunächst auf eigene Faust probieren. Im Notfall dann mit Dienstleister.


Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Könnte gut passieren. Hab mir zum Beispiel NCP angeschaut, was deutlich über der Grenze lag. (Budget/Ausschreibung)

Die ZTNA Lösung von Sophos hab ich mir auch schon angeschaut, aber da kommt man ja über ein Azure AD nicht drumrum.
chiefteddy
chiefteddy 29.06.2023 um 18:02:47 Uhr
Goto Top
Ich habe Sophos als komplettes Paket im Einsatz (FW mit XG, VPN, Endpoint Security)
VPN sowohl als Site2Site mit RED als auch Client2Site mit SophosConnect.

Deine Probleme kann ich nicht bestätigen.

2 Bemerkungen:
- UTM ist ja als Betriebssystem schon etwas angestaubt. Die HW wird es dann ja auch sein. Mittlerweile ist man bei der HW bei XGS, also 2 Generationen weiter! Bei SFOS steht Vers. 20 in den Startlöchern.

- VPN ist sehr leistungshungrig. 50 parallel Tunnel sind nun nicht gerade wenig, 500 schon gar nicht!
Ist die HW der UTM dafür ausgelegt? Nebenbei macht sie ja auch noch FW und Mail.

Das bestehende Problem schon mal genauer analysiert?
Alle anderen kochen auch nur mit Wasser und beim VPN meist mit dem gleichen.

Jürgen
PMacke
PMacke 29.06.2023 um 18:36:02 Uhr
Goto Top
Zitat von @chiefteddy:

Ich habe Sophos als komplettes Paket im Einsatz (FW mit XG, VPN, Endpoint Security)
VPN sowohl als Site2Site mit RED als auch Client2Site mit SophosConnect.

Deine Probleme kann ich nicht bestätigen.

2 Bemerkungen:
- UTM ist ja als Betriebssystem schon etwas angestaubt. Die HW wird es dann ja auch sein. Mittlerweile ist man bei der HW bei XGS, also 2 Generationen weiter! Bei SFOS steht Vers. 20 in den Startlöchern.
Haben ne XG450. Also grundsätzlich erstmal nicht ganz schlecht.


- VPN ist sehr leistungshungrig. 50 parallel Tunnel sind nun nicht gerade wenig, 500 schon gar nicht!
Ist die HW der UTM dafür ausgelegt? Nebenbei macht sie ja auch noch FW und Mail.
Meinte damit die Anzahl aller Clients. Die Anzahl der gleichzeitigen Verbindungen ist geringer.

Das bestehende Problem schon mal genauer analysiert?
Alle anderen kochen auch nur mit Wasser und beim VPN meist mit dem gleichen.
Weiß nicht so recht womit ich starten soll. Kann es ggf. mit IPS zu tun haben?

Dennoch ändert es nichts daran, dass Sophos Connect doof ist. Erstmal dieser Connectivity Check Mist. Zudem geht beim Update von Sophos Connect bei ca. 50% der Clients der Dienst kaputt. Der Sophos Connect Dienst lässt sich dann nicht mehr starten, weder automatisch noch per Hand. Als Lösung habe ich bisher nur neuinstallieren gefunden. Das ist schon sehr unbefriedigend.
Dani
Dani 29.06.2023 um 18:59:21 Uhr
Goto Top
Moin,
-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
Hier solltest du klären, welche Art von TOTP du nutzen darfst. Ich weiß nämlich je nach Bundesland und zuständige IT Verband gibt es hier klare Richtlinien. Die Frage ist, ob es solche bei euch gibt und ob ihr dem Verband angehört und damit auch die Policy umsetzen müsst.

-> ca. 50 Endgeräte zum Start. Bis zu 500 im Endausbau
Bei der Größe würde ich dedizierte VPN Konzentratoren in Kombination mit Load Balancer beschaffen, welche in einem extra VLAN in der DMZ stehen. Weil aus meiner Sicht hast schon das Design der Infrastruktur Einfluss auf die Performance hat bei der Dimension. Das was du da vor hast, ist nicht ohne.

Die Frontend Firewall würde ich Firewall sein lassen und nicht mehr. Denn das Volumen an Datenverkehr bei 100 oder 300 gleichzeitigen Sitzungen hat es in sich. Die soll sich auf das Regelwerk konzentrieren. Hier könnte man in der Tat gründlich überlegen, ob man Split-DNS in Kombination mit Produkten wie Zscaler realisiert. Somit geht nur noch der relevante Traffic durch das VPN. Normaler Internetverkehr geht direkt über die Internetleitung des Nutzers. Somit gehen auch Laufzeiten und Latenzen von Paketen deutlich zurück.

Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.
Cisco VPN Konzentrator + VPN Client + SMAL via AD FS + OTP per Hardware Token.


Gruß,
Dani
Vision2015
Vision2015 29.06.2023 um 19:20:20 Uhr
Goto Top
moin...
Zitat von @PMacke:

Zitat von @Spirit-of-Eli:


erstmal gilt es zu klären, ob ihr bei einer Sophos als FW bleiben wollt.
Wenn ja, macht es eher Sinn die Probleme aus der Welt zu schaffen.
Als Firewall sind wir mit Sophos recht zufrieden. Weiß nur leider nicht wie. Es fängt ja schon damit an, dass der "Sophos Connect" Client nicht wirklich toll funktioniert. Aktuell läuft auf der FW auch noch UTM, mit SFOS gibts soweit ich weiß beim Thema VPN auch nichts neues.
also ich persönlich halte nix von der Sophos, allerdings weiß ich, das ding rennt, wenn es ordentlich eingerichtet wurde!
was sollen wir unter "Sophos Connect" Client nicht wirklich toll funktioniert. eigentlich verstehen?
kannst du uns mal genauer sagen, was nicht so wirklich toll funktioniert?
gibbet logs zu den Fehlern?


Wenn nein, welcher NextGen FW Herste3 kommt denn in Betracht? Du willst das ganze ja auditieren lassen.

Das VPN-Gateway muss doch nicht unbedingt eine FW sein oder? Gibts denn keine VPN-Gateways die ich in eine DMZ "stellen" kann? Ich hab mir z.B. schonmal Forti in der Online-Demo angeschaut. Beim Thema VPN sah das aber fast genauso wie Sophos aus.
Optik ist sowas von nixsagend...

Du wirst um einen Dienstleister nicht herum kommen.
Befürchte ich auch. Dennoch würden wir es gerne zunächst auf eigene Faust probieren. Im Notfall dann mit Dienstleister.
hast du mal einen Dienstleister gefragt, und eure VPN lösung prüfen lassen?


Des weiteren kann ich mir nicht vorstellen, das du diese Geschichte ohne Ausschreibung realisieren können wirst. Daher hast du noch wirklich freie Hand bei welcher Lösung du landen wirst.
Könnte gut passieren. Hab mir zum Beispiel NCP angeschaut, was deutlich über der Grenze lag. (Budget/Ausschreibung)

Die ZTNA Lösung von Sophos hab ich mir auch schon angeschaut, aber da kommt man ja über ein Azure AD nicht drumrum.

Frank
chiefteddy
chiefteddy 29.06.2023 um 19:24:35 Uhr
Goto Top
Dennoch ändert es nichts daran, dass Sophos Connect doof ist. Erstmal dieser Connectivity Check Mist.

???

Ich installiere den Client, importiere die jeweilige User-Konfiguration, klicke auf "Verbinden", gebe die Zugangsdaten ein (kann man abspeichern) --> rödel, rödel --> Verbindung steht
Das kann der User im Prinzip auch allein, da alles im User-Portal der FW zum Download liegt.

Update von Sophos Connect bei ca. 50% der Clients der Dienst kaputt. Der Sophos Connect Dienst lässt sich dann
nicht mehr starten, weder automatisch noch per Hand. Als Lösung habe ich bisher nur neuinstallieren gefunden.

Ist mir in den letzten 2,5 Jahre (so lange nutze ich das VPN) noch nie passiert. Das leidige Corona-HomeOffice war der Auslöser für Nutzung der Client2Site-VPNs (ca. 10 Laptops damit ausgestattet, Internetzugang 20MB sym. , 1-2 parallele Tunnel)

Haben ne XG450. Also grundsätzlich erstmal nicht ganz schlecht.

XG hat einen SSL-Durchsatz von max. 770MBit/s. Was gibt denn euer Internet-Anschluss so her?

Weiß nicht so recht womit ich starten soll. Kann es ggf. mit IPS zu tun haben?

Die Grundschulung für die XG-Firewall dauert 4 Tage. Absolviert? Oder nur "Learning by Doing"?

Jürgen

PS: Eine XG hat SFOS (aktuell als v19.xx) als Betriebssystem und nicht UTM ( aktuell v9.xx)!
PMacke
PMacke 29.06.2023 um 21:07:37 Uhr
Goto Top
Zitat von @Dani:

-> 2FA muss möglich sein. TOTP würde grundsätzlich ausreichen
Hier solltest du klären, welche Art von TOTP du nutzen darfst. Ich weiß nämlich je nach Bundesland und zuständige IT Verband gibt es hier klare Richtlinien. Die Frage ist, ob es solche bei euch gibt und ob ihr dem Verband angehört und damit auch die Policy umsetzen müsst.
Was meinst du mit "Art von TOTP"?

Die Frontend Firewall würde ich Firewall sein lassen und nicht mehr. Denn das Volumen an Datenverkehr bei 100 oder 300 gleichzeitigen Sitzungen hat es in sich. Die soll sich auf das Regelwerk konzentrieren. Hier könnte man in der Tat gründlich überlegen, ob man Split-DNS in Kombination mit Produkten wie Zscaler realisiert. Somit geht nur noch der relevante Traffic durch das VPN. Normaler Internetverkehr geht direkt über die Internetleitung des Nutzers. Somit gehen auch Laufzeiten und Latenzen von Paketen deutlich zurück.
Ist bei uns leider nicht erlaubt. Der gesamte Internettraffic muss über den Proxy unseres kommunalen IT-Dienstleisters.

Ich bin nun auf der Suche nach Empfehlungen für Produkte, mit denen ihr gute Erfahrungen macht / gemacht habt.
Cisco VPN Konzentrator + VPN Client + SMAL via AD FS + OTP per Hardware Token.
Danke dafür! Schaue ich mir morgen mal in Ruhe an.
PMacke
PMacke 29.06.2023 um 21:19:04 Uhr
Goto Top
Zitat von @Vision2015:
was sollen wir unter "Sophos Connect" Client nicht wirklich toll funktioniert. eigentlich verstehen?
kannst du uns mal genauer sagen, was nicht so wirklich toll funktioniert?

-> Der Windows Dienst geht teilweise beim Update des Programms kaputt. Hierbei wird lediglich die neuere msi per Softwareverteilung silent drüber installiert. Da sollte dar Sophos Connect Service nicht von kaputt gehen.
Die Logs der FW hab ich gerade nicht ganz im Kopf. Ich meine es ging in diese Richtung: https://support.sophos.com/support/s/article/KB-000038126?language=en_US

gibbet logs zu den Fehlern?
-> https://community.sophos.com/sophos-xg-firewall/f/discussions/111452/sop ...
Genau das Problem betrifft uns. Bei uns muss, wie gesagt, alles durch den Proxy. Deshalb haben wir die Windows Firewall so konfiguriert, dass man ohne VPN-Verbindung lediglich den VPN-Tunnel aufbauen kann. Dementsprechend kann vorher keine IP von Facebook, Twitter etc. erreicht werden. Der Sophos Connect Client sagt dann, dass er mit dem Verbindungsaufbau wartet, bis er eine Internetverbindung erkennt. Das ganze kann man leider nur per CLI deaktivieren. Das muss dann für jeden User und Gerät passieren.

Optik ist sowas von nixsagend...
Meinte damit, dass die Einstellungsmöglichkeiten gleich aussahen. Gut am Ende ist beides OpenVPN.

Du wirst um einen Dienstleister nicht herum kommen.
Befürchte ich auch. Dennoch würden wir es gerne zunächst auf eigene Faust probieren. Im Notfall dann mit Dienstleister.
hast du mal einen Dienstleister gefragt, und eure VPN lösung prüfen lassen?
Nein, aber aus den o.g. Gründen würden wir Sophos in Bezug auf VPN ja sowieso gerne ablösen.
PMacke
PMacke 29.06.2023 um 21:26:29 Uhr
Goto Top
Zitat von @chiefteddy:
Ich installiere den Client, importiere die jeweilige User-Konfiguration, klicke auf "Verbinden", gebe die Zugangsdaten ein (kann man abspeichern) --> rödel, rödel --> Verbindung steht
Das kann der User im Prinzip auch allein, da alles im User-Portal der FW zum Download liegt.
Grundsätzlich ja, siehe meinen letzten Kommentar. Problem liegt daran, dass wir ohne VPN so gut wie nix an Traffic erlauben.

Update von Sophos Connect bei ca. 50% der Clients der Dienst kaputt. Der Sophos Connect Dienst lässt sich dann
nicht mehr starten, weder automatisch noch per Hand. Als Lösung habe ich bisher nur neuinstallieren gefunden.

Ist mir in den letzten 2,5 Jahre (so lange nutze ich das VPN) noch nie passiert. Das leidige Corona-HomeOffice war der Auslöser für Nutzung der Client2Site-VPNs (ca. 10 Laptops damit ausgestattet, Internetzugang 20MB sym. , 1-2 parallele Tunnel)
Ich hab zwei mal über unsere Softwareverteilung den Client per silent install aktualisiert und es sind immer Clients "kaputt" gegangen. Sollte bei einer MSI doch normalerweise nicht passieren.

Haben ne XG450. Also grundsätzlich erstmal nicht ganz schlecht.

XG hat einen SSL-Durchsatz von max. 770MBit/s. Was gibt denn euer Internet-Anschluss so her?
1G symmetrisch


Weiß nicht so recht womit ich starten soll. Kann es ggf. mit IPS zu tun haben?

Die Grundschulung für die XG-Firewall dauert 4 Tage. Absolviert? Oder nur "Learning by Doing"?
Ist bei mir tatsächlich Learning by Doing. Taugt die Grundschulung was? Dadurch das ich das komplette Firewall-Regelwerk und VLAN-Konzept im letzten Jahr erarbeitet/implementiert habe, fühle ich mich eigentlich recht wohl.

PS: Eine XG hat SFOS (aktuell als v19.xx) als Betriebssystem und nicht UTM ( aktuell v9.xx)!
Ne, ist wirklich so. Wir haben 2x XG 450 (intern) mit SFOS und 2x XG 450 (extern) mit UTM. Auf der Hardware steht auch XG 450 drauf, im Webinterface (UTM) wird dann aber SG 450 angezeigt. Wieso das gemacht wurde, weiß ich auch nicht - War vor meiner Zeit. Die Kiste wurde aber vom DL so eingerichtet.
Dani
Dani 29.06.2023 um 21:30:43 Uhr
Goto Top
Moin,
Was meinst du mit "Art von TOTP"?
E-Mail, SMS, App oder eben Hardware Tokens.


Gruß,
Dani
Spirit-of-Eli
Spirit-of-Eli 29.06.2023 um 21:47:11 Uhr
Goto Top
Wenn Sophos tatsächlich zu Facebook usw. Kontakt aufnimmt ist der Hersteller im Business Bereich nicht mehr tragbar.
PMacke
PMacke 29.06.2023 um 21:53:07 Uhr
Goto Top
Zitat von @Dani:

Moin,
Was meinst du mit "Art von TOTP"?
E-Mail, SMS, App oder eben Hardware Tokens.


Gruß,
Dani

Aktuell nutzen wir App-Tokens. Das war im Audit kein Problem. Wir streben aber einen Mix aus Hardware und App an.
ni.sch
ni.sch 29.06.2023 aktualisiert um 22:00:30 Uhr
Goto Top
Der OpenVPN-Client von Securepoint soll mit Sophos tatsächlich öfters etwas besser laufen, warum auch immer.

Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.

Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."

Ob das in eurer Umgebung klappt, kannst du nur versuchen.
Spirit-of-Eli
Spirit-of-Eli 29.06.2023 um 22:01:27 Uhr
Goto Top
Zitat von @ni.sch:

Der OpenVPN-Client von Securepoint soll mit Sophos tatsächlich öfters etwas besser laufen, warum auch immer.

Bestätigte mir auch mal ein Admin von Stadtwerken, zu welchen einer der Kunden eines ehemaligen AGs von mir eine Verbindung aufbauen sollte.

Der Sophos-Client (noch die Ampel) wollte ums Verrecken die Verbindung nicht herstellen, der Client von Securepoint ging sofort... Zitat vom anderen Admin "Jaja, kennen wir. Wir nutzen mit unserer Sophos auch häufig den Client von Securepoint."

Ob das in eurer Umgebung klappt, kannst du nur versuchen.

Da kannst auch gleich den offiziellen OVPN Client nutzen.
Nichts anderes ist der Sophos Kram ja.
ni.sch
ni.sch 29.06.2023 um 22:15:41 Uhr
Goto Top
Ich verstehe zwar nicht ganz genau was du damit sagen möchtest face-smile aber ja, beide Clients (Sophos und Securepoint) basieren - glaube ich - auf dem OVPN-Client. Trotzdem gab es einen praktischen Unterschied in der Funktion bei dem Kunden und auch in meiner jetzigen Umgebung war zu Beginn meiner Tätigkeit der SP-Client an einer Sophos (wohlgemerkt noch UTM/SG) stabiler als der von Sophos.
Dani
Dani 29.06.2023 um 22:49:38 Uhr
Goto Top
Moin,
Aktuell nutzen wir App-Tokens. Das war im Audit kein Problem. Wir streben aber einen Mix aus Hardware und App an.
die Frage ist doch, was euer IT Verband an Richtlinien hat. Meines Wissens nach ist die Priorität ganz klar definiert. In der Regel sind die Policies größtenteils schärfer wie ein Audit. Wobei du noch nicht erläutert hast, um welche Art und Typ von Audit es sich handelt. Denn es ist doch nur logisch, wenn alle Mitglieder mögliche Türen ins Netzwerk Gleichmaßen schützen. Anderenfalls ist doch früher oder später ein kleiner oder großer Sicherheitsvorfall vorprogrammiert.

Möchtest du mal das Bundesland und den Namen des dazugehörigen IT Verbands nennen? Dann ist es etwas einfacher konkret zu werden.


Gruß,
Dani
PMacke
PMacke 30.06.2023 um 08:23:10 Uhr
Goto Top
Zitat von @Dani:

Moin,
Aktuell nutzen wir App-Tokens. Das war im Audit kein Problem. Wir streben aber einen Mix aus Hardware und App an.
die Frage ist doch, was euer IT Verband an Richtlinien hat. Meines Wissens nach ist die Priorität ganz klar definiert. In der Regel sind die Policies größtenteils schärfer wie ein Audit. Wobei du noch nicht erläutert hast, um welche Art und Typ von Audit es sich handelt. Denn es ist doch nur logisch, wenn alle Mitglieder mögliche Türen ins Netzwerk Gleichmaßen schützen. Anderenfalls ist doch früher oder später ein kleiner oder großer Sicherheitsvorfall vorprogrammiert.

Möchtest du mal das Bundesland und den Namen des dazugehörigen IT Verbands nennen? Dann ist es etwas einfacher konkret zu werden.


Gruß,
Dani

Der Audit der jetzigen VPN Lösung wurde nach den Richtlinien des Verbands durchgeführt. Da war TOTP mit App kein Problem. Hardware-Token wäre noch besser, denke ich. Von daher gibt's eigentlich in die Richtung keine Probleme.
Dani
Dani 30.06.2023 um 10:44:47 Uhr
Goto Top
Moin,
Wir sind nun auf der Suche nach einer vernünftigen "Enterprise"-VPN Lösung. Eine selbstgebaute Frickel-Lösung kommt nicht in Betracht, da wir das ganze im Anschluss auditieren lassen müssen.
müssen die Lösungen EAL4+ zertifiziert sein?!


Gruß,
Dani
PMacke
PMacke 30.06.2023 um 12:01:47 Uhr
Goto Top
Zitat von @Dani:
müssen die Lösungen EAL4+ zertifiziert sein?!
Nein.