m.a.r.k
06.07.2015, aktualisiert um 10:43:29 Uhr
view3077
view19
0
Goto Top

Firewall "Draytek Vigor 3900" für einen kleinen Betrieb?

gelöstFrageFirewallSicherheit
Hallo zusammen,

ich bin auf der Suche nach einer neuen Firewall auf die "Draytek Vigor 3900" gestoßen. Da diese auch ein Multi-WAN bietet wäre sie sehr gut geeignet. Nur konnte ich nun leider keine Testergebnisse zu dieser Firewall finden. Hat von euch schon einer Erfahrung mit dieser Firewall gemacht?
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 276546

Url: https://administrator.de/forum/firewall-draytek-vigor-3900-fuer-einen-kleinen-betrieb-276546.html

Ausgedruckt am: 10.04.2025 um 18:04 Uhr

19 Kommentare
Neuester Kommentar
Goto Top
119944
Lösung 119944 06.07.2015 aktualisiert um 10:43:29 Uhr
Goto Top
Moin,

Ja hier haben wir so ein tolles Gerät...
Auch wenn einige hier eine andere Meinung zu DrayTek haben kann ich von den Teilen nur abraten!

Als erstes braucht der Router (wie auch der 2920 davor) mindestens einmal die Woche einen Reboot um keine Verbindungsabbrüche oder sonstige Störungen aufzuweisen.

Hier mal einige Probleme die der Router häufig hat:
  • VPN Site-to-Site Verbindung wird aufgebaut, jedoch kein Traffic darüber geroutet (häufig)
  • WAN Verbindung wird trotz deaktiviertem Failover auf andere Leitung umgeschalten (selten)
  • VPN Verbindungen werden bei umschalten (siehe Punkt 2) mit der falschen Leitung versucht aufzubauen obwohl z.B. WAN 3 gewählt ist wird mit WAN 2 verbunden was natürlich nicht funktionieren kann (selten)
  • VOIP hat nur einseitige Sprachübertragung trotz Portweiterleitung der SIP und RTP Ports (selten)

Alle diese Probleme lassen sich meist mit einem Reboot des Geräts beheben oder im Falle der VPN Verbindung durch komplettes deaktivieren der Verbindung sowie erneutes aktivieren.
Außerdem finde ich die Konfiguration der Firewallregeln im Vergleich zu einer Sophos oder PfSense Firewall um einiges komplizierter

Empfehlen würde ich dir für das Geld lieber eine aktuelle Sophos SG1XX oder PfSense Firewall.
Was sind denn deine Anforderungen?

VG
Val
heart2
108012
Lösung 108012 06.07.2015 aktualisiert um 10:58:13 Uhr
Goto Top
Hallo,

ich bin auf der Suche nach einer neuen Firewall auf die "Draytek Vigor 3900" gestoßen.
Das ist ein VPN Konzentrator der massiv und viele VPN Verbindungen handhaben kann.

Da diese auch ein Multi-WAN bietet wäre sie sehr gut geeignet.
Wie viele WAN Anschlüsse hast Du denn?

Nur konnte ich nun leider keine Testergebnisse zu dieser Firewall finden.
Hat von euch schon einer Erfahrung mit dieser Firewall gemacht?
Gemischte, einige sagen sie kommen nicht damit klar, wiederum andere das dieses gerät viele
Macken hat und wiederum andere behaupten steif und fest dass das Gerät einsame Spitze ist.

Klar es gibt auch noch andere Lösungen die sehr performant sind und mit denen sich das alles
lösen lässt, in manchen Fällen sogar besser als mit fertigen Geräten und "closed source" Firmware
nur ist dann meist die Lernkurve auch so hoch das es mitunter schon wieder Geld für Schulungen
verschlingt und man sich nicht immer selber bzw. alleine und schnell aus einem Schlamassel ziehen
kann. Ist aber auch alles Ansichtssache.

Alles in allem der Vigor3900 ruft bei mir gemischte Gefühle hervor!

Alternativen:
Netgear SRX5308
Draytek 3200
LACOM 1781EF+
MikroTik CCR1036-8G-4S

UTMs:
ZyWALL USG 300
Sophos UTM 220

Eigenbau:
Netgate 1U pfSense ~1300 €
(Fix und fertig pfSense)

Supermicro Xeon D-1540 Platform ~1000 €
Barebone dazu ~150 €
(10 GBit/s Ready)

pfSense auf C2758 Basis ~800 €
LAN NIC ~80 €


Gruß
Dobby
heart1
M.A.R.K
M.A.R.K 06.07.2015 um 10:45:14 Uhr
Goto Top
Danke für die schnelle Antwort. Ich werde mir mal die beiden anderen Systeme anschauen.

VG
Mark
aqui
aqui 06.07.2015 um 11:14:18 Uhr
Goto Top
Oder die pfSense für ca. 200 Euro:
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
M.A.R.K
M.A.R.K 06.07.2015 um 11:25:39 Uhr
Goto Top
Danke Dobby für die schnelle Antwort.

An der bisherigen Firewall (gateProtect GPA250) habe ich 3 WAN Anschlüsse. 2x DSL1000 (Telekom) und 1x SkyDSL 22.000 (getInternet)

Ich werde mir deine Alternativen noch anschauen.

VG
Mark
aqui
aqui 06.07.2015 aktualisiert um 12:08:09 Uhr
Goto Top
An der bisherigen Firewall (gateProtect GPA250) habe ich 3 WAN Anschlüsse. 2x DSL1000 (Telekom) und 1x SkyDSL 22.000 (getInternet)
Macht die ein aktives Load Balancing mit Failover zwischen diesen WAN Ports ?
119944
119944 06.07.2015 um 14:22:07 Uhr
Goto Top
Aus aktuellem Anlass:
Der 3900 lässt seit heute keine Client VPN Verbindungen zu...

Ich glaub ich hau das Ding heute Abend weg :D

VG
Val
aqui
aqui 06.07.2015 um 14:53:30 Uhr
Goto Top
Hast du's mal mit der aktuellsten Firmware versucht ?
108012
108012 06.07.2015 aktualisiert um 15:14:32 Uhr
Goto Top
Ich glaub ich hau das Ding heute Abend weg :D
Merke Dir aber bitte genau wohin! face-wink

An der bisherigen Firewall (gateProtect GPA250) habe ich 3 WAN Anschlüsse.
2x DSL1000 (Telekom) und 1x SkyDSL 22.000 (getInternet)
Und nun die Masterfrage wo ist denn nun der vierte WAN Anschluss?

LACOM 1781EF+
MikroTik CCR1036-8G-4S

und

pfSense auf C2758 Basis ~800 €
LAN NIC ~80 €
2 x 4 GB ECC RAM
1 mSATA DOM

Die anderen pfSense sind zu "schwer" also zu groß,
das lass mal lieber sein die sind dann auch zu teuer.

Gruß
Dobby
119944
119944 06.07.2015 aktualisiert um 15:54:07 Uhr
Goto Top
Zitat von @aqui:

Hast du's mal mit der aktuellsten Firmware versucht ?
Seit Version 1.0.5 wird es mit jeder Version mal besser oder schlechter.
Sind zur Zeit noch auf 1.0.8.2 (hatte bisher am wenigstens Fehler) und heute abend werd ich mal 1.0.9.1 testen.

Mal sehen wies danach aussieht...

Zitat von @108012:

Merke Dir aber bitte genau wohin! face-wink
Interesse? face-wink

VG
Val
108012
108012 06.07.2015 um 17:54:01 Uhr
Goto Top
Interesse?
Das war als Scherz gemeint? Geld kann ich dafür zur Zeit keines ausgeben.
Oder falls Du Ihn weg wirfst für umme

Gruß
Dobby
119944
119944 06.07.2015 um 18:38:49 Uhr
Goto Top
Zitat von @108012:
Das war als Scherz gemeint?
Ja face-wink

Update ist drauf mal sehen wie er sich verhält.
Lustig, dass DrayTek für mehrere Dienste neustart Buttons integriert hat...

VG
Val
Looser27
Looser27 07.07.2015 um 12:12:26 Uhr
Goto Top
Zitat von @aqui:

> An der bisherigen Firewall (gateProtect GPA250) habe ich 3 WAN Anschlüsse. 2x DSL1000 (Telekom) und 1x SkyDSL 22.000
(getInternet)
Macht die ein aktives Load Balancing mit Failover zwischen diesen WAN Ports ?

Die Software sollte das können. Man kann in den neueren Versionen den einzelnen WAN-Ports Prioritäten zuweisen oder sie als Back-Up-Leitung definieren.

Gruß

Looser
beidermachtvongreyscull
beidermachtvongreyscull 07.07.2015 um 12:16:54 Uhr
Goto Top
Zitat von @aqui:

Oder die pfSense für ca. 200 Euro:
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...

Die ist knuffig, aber die scheint keinen Hardware-Crypto-Chip drauf zu haben.
Das hieße, der Geode-Prozessor hat die Verschlüsselungslast zu tragen.

Ich hab das Schmuckstück zu Hause im Einsatz und kanns nur empfehlen.
M.A.R.K
M.A.R.K 07.07.2015 um 13:35:57 Uhr
Goto Top
Hallo aqui,

das SkyDSL ist erst seit 5 Tagen vorhanden und mit Load Balancing auf der Box eingerichtet. Wenn es stabil läuft, sollen die beiden DSL-Leitungen nur noch als Failover dienen.
119944
119944 07.07.2015 um 16:37:54 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:
Die ist knuffig, aber die scheint keinen Hardware-Crypto-Chip drauf zu haben.
Das hieße, der Geode-Prozessor hat die Verschlüsselungslast zu tragen.
Die Box mit APU1D hat sicherlich keinen Geode mehr drauf sondern die neue APU face-wink

VG
Val
108012
108012 07.07.2015 um 19:42:58 Uhr
Goto Top
Die ist knuffig, aber die scheint keinen Hardware-Crypto-Chip drauf zu haben.
Genau so ist es auch, keine Hardwareunterstützung für VPN.

Das hieße, der Geode-Prozessor hat die Verschlüsselungslast zu tragen.
Ich denke in der APU ist ein AMD E40 oder?

Ich hab das Schmuckstück zu Hause im Einsatz und kanns nur empfehlen.
Dafür reicht es mitunter, je nach Anspruch und Verbindung locker aus.

LACOM 1781EF+
Hardwareunterstützung

MikroTik CCR1036-8G-4S
Hardwareunterstützung

pfSense auf C2758 Basis ~800 €
AES-NI & Intel QAT

Gruß
Dobby
beidermachtvongreyscull
beidermachtvongreyscull 09.07.2015 um 11:03:07 Uhr
Goto Top
Zitat von @108012:

> Die ist knuffig, aber die scheint keinen Hardware-Crypto-Chip drauf zu haben.
Genau so ist es auch, keine Hardwareunterstützung für VPN.
Dafür kann man den günstig nachkaufen: http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html

> Das hieße, der Geode-Prozessor hat die Verschlüsselungslast zu tragen.
Ich denke in der APU ist ein AMD E40 oder?
Bei mir steckt ein Geode auf dem Board. Wäre aber möglich. Einer der Vorredner hat schon erwähnt, dass auf dem besagten Modell keiner drauf ist.
> Ich hab das Schmuckstück zu Hause im Einsatz und kanns nur empfehlen.
Dafür reicht es mitunter, je nach Anspruch und Verbindung locker aus.
Mit Verschlüsselungschip kannst Du wesentlich mehr draus machen.

> LACOM 1781EF+
Hardwareunterstützung

> MikroTik CCR1036-8G-4S
Hardwareunterstützung

> pfSense auf C2758 Basis ~800 €
AES-NI & Intel QAT

Für Geld bekommst Du alles. Die sind nicht schlecht. Ich liebe einfach Selbstgebautes.
108012
108012 09.07.2015 um 13:18:58 Uhr
Goto Top
@aqui hat einen Link eingefügt, und unter dem wird eine
Alix APU als Komplettpaket für ~200 € angeboten, fertig.

Dafür kann man den günstig nachkaufen:
http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html
Die APU hat aber nur miniPCIe Steckplätze und keine miniPCI Steckplätze.

Für Geld bekommst Du alles. Die sind nicht schlecht. Ich liebe einfach Selbstgebautes.
pfSense auf C2758 Basis ~800 €
AES-NI & Intel QAT

Das ist ein Selbstbau!!!!
Supermicro C2758 Board

Und die waren auch alle so beschrieben!

Eigenbau:
Netgate 1U pfSense ~1300 €
(Fix und fertig pfSense)

Supermicro Xeon D-1540 Platform ~1000 €
Barebone dazu ~150 €
(10 GBit/s Ready)

pfSense auf C2758 Basis ~800 €
LAN NIC ~80 €

Gruß
Dobby
gelöstFrageFirewallSicherheit
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 55 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 36 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 12 KommentareludibubiKein Zugriff über RDP auf Win11-Rechner. Anmeldung nicht möglichludibubi - 12 Kommentare