uridium69
Goto Top

Firewall mit 10 Gbit

Hallo zusammen

Ich habe eiin Upgrade erhalten auf meinem Glasfaseranschluss von 1 GB auf 10 GB, soweit so gut, leider ist meine Fortigate E60 Firewall nicht in der Lage 10 Gbit zu verarbeiten. Ich habe 2 PCs welche ich via einem 10 GBit Switch angeschlossen habe an die FW, und beide verfügen ebenfalls über die notwendige Hardware, also einer zusätzlichen 10 Gbit Netzwerkkarte. Welche Firewall wäre den 10 Gbit tauglich so das man 1 10 Gbit Wan und einen 10 Gbit Lan Anschluss hätte und es nicht gleich in die tausende von Euros geht? Am liebsten wieder von Fortinet aber soweit ich gesehen habe fangen die Preise für solche bei über 10'000 Euronen an.

Content-ID: 668744

Url: https://administrator.de/forum/firewall-mit-10-gbit-668744.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Crusher79
Crusher79 13.10.2024 um 16:26:18 Uhr
Goto Top
Hallo, wüsste auch geade keine.

Am günstigsten wäre es selber eine zu bauen. PC, OPNsense und 10 Gbit Netzwerkkarte.

PC oder Mini PC

https://store.minisforum.de/products/ms-01

Sowas in der Art. Denke alles andere sprengt den Rahmen!

LAN ist nur 2.5. Aber 2x SFP+ daneneben. Denke so in dei Richtung könnte es nur was werden.
ipzipzap
ipzipzap 13.10.2024 um 16:27:36 Uhr
Goto Top
Hi,

OPNsense oder eine Sophos Home License mit einer Appliance von Deciso oder Scope7/Landitec:

https://landitec.shop/shop?search=&order=list_price+asc&attrib=& ...

Da wirst Du dann auch nicht arm, mußt aber von Fortinet auf OPNsense umschulen.

Im Business-Firewall-Bereich würde mir wie schon erwähnt dann nur noch die Free- bzw. Home-Version von Sophos einfallen, installiert auf einer der oben genannten Appliances, aber auch da mußt Du umlernen. Wobei ich von der neuen Sophos nach der UTM aber eher Abstand halten würde.

cu
ipzipzap
anteNope
anteNope 13.10.2024 aktualisiert um 17:45:21 Uhr
Goto Top
Nabend,
Unifi UDM-Pro mit IDS/IPS aktiviert, schafft ~3,5 GBit/s. Ohne wohl >9 GBit/s. (ca. 400 €)
Unifi UDM-Pro-Max mit IDS/IPS aktiviert, schafft ~5 GBit/s. Ohne wohl ~10 GBit/s (ca. 600 €)
Unifi EFG mit IDS/IPS aktiviert, schafft ~12,5 GBit/s. Ohne wohl ~25 GBit/s (ca. 2300 €)
Spirit-of-Eli
Spirit-of-Eli 13.10.2024 um 18:04:07 Uhr
Goto Top
Also, ne Forti für 10G Throughput mit allen Features kostet min 150k €. Ohne eine 600F würde das nix werden.

Die Frage ist halt die Anforderung.
StefanKittel
StefanKittel 13.10.2024 aktualisiert um 21:44:00 Uhr
Goto Top
Moin,
wenn Dir ein Router reicht dann ein +1 für ne pfsense oder opnsense.
Und wenn Ihr Hyper-V oder VMWare einsetzt und die Hardware 10GBit kann, könnt Ihr kostenfrei einen 10GBit VM-Router erhalten.

Bzw. internen Router und dann von dort zum WAN zur aktuellen Firewall.

Ich bin der Meinung, dass eine pf/opn-Sense nicht mit einer NG-Firewall mit subscription gegenhalten kann.
Das muss aber jeder selber wissen.

Stefan
Vision2015
Vision2015 13.10.2024 um 19:57:54 Uhr
Goto Top
Moin...

also mit der Netgate 6100, Netgate 8200, Netgate 8300 machst du nix falsch!
oder mit NRG Systems IPU624S System bist du auch gut dabei!

Frank
Spirit-of-Eli
Spirit-of-Eli 13.10.2024 um 20:56:10 Uhr
Goto Top
Also nur ne FW ohne nextGen Features geht auch. Klar.
stefaan
stefaan 14.10.2024 um 00:19:47 Uhr
Goto Top
Servus,

"ich" und "2 PCs" hört sich jetzt einmal nach "zuhause" an. Hast du zu Hause eine aktive FortiGuard Lizenz für die Next generation bla-bla-Features? Sonst ist die Fortigate nur eine reine Packerlschupfmaschine wie ein günstiger Mikrotik-Router, nur mit bunterer GUI aber ohne Support (den braucht man für Firmware auf regulärem Weg, weil da ab und zu kleine und größere Fehler entdeckt werden, siehe Link unten von voriger Woche).
Einen Mikrotik CCR2004 für 10G mit SFP+-Ports bekommt man um ca. €450, Hardware für eine *sense wird wohl ähnlich viel kosten.
Ansonsten bist du mit einer FortiGate 200G (bei vollem NextGen-Zeugs keine 10G) bis einer 600F im Preisbereich von €20.000-€100.000 (für 3 Jahre) voll dabei.

Historisch bedingt habe ich in zwei Netzwerken zwei kleine 40F und ich mag die Geräte, dort werden aber die lizenzierten Features aktiv eingesetzt. Für zu Hause reicht mir ein kleiner Mikrotik.

https://www.heise.de/news/Kritische-Fortinet-Sicherheitsluecke-wird-ange ...

Stefan
nachgefragt
nachgefragt 14.10.2024 um 07:29:21 Uhr
Goto Top
+1 für OPNsense
Von der Hardware bist du unabhängig, d.h. wenn du eine 10GE Karte reinpackst, hast du deine Schnittstellen. Da gibt es auch keine Beschränkungen wie bei Sophos (z.B. 4 cores and 6 GB of RAM).

Wenn deine endpoint protection (noch) keine "next gen" Funktionen hat, findet man auch Plugins oder Module wie Zenarmor. https://shop.opnsense.com/product-categorie/software_and_licenses/
sk
sk 14.10.2024 um 09:55:37 Uhr
Goto Top
Zitat von @stefaan:
Ansonsten bist du mit einer FortiGate 200G (bei vollem NextGen-Zeugs keine 10G) bis einer 600F im Preisbereich von €20.000-€100.000 (für 3 Jahre) voll dabei.

Sofern nur reines Packetfiltering bis Layer 4 gewünscht wäre, würde auch eine FG-90G genügen.

Gruß
sk
ukulele-7
ukulele-7 14.10.2024 um 10:19:46 Uhr
Goto Top
Ich klinke mich hier einfach mal ein, suche auch grade FW Hardware für ein pfsense-Projekt. Es sollte ein komplettes Gehäuse sein und keine weiteren Maßnahmen erfordern (wie bei schlechter Kühlung z.B.). Als CPU soll N100 gut sein, habe ich gelesen.... Auf dem Gerät soll Routing + Firewall + Captive Portal + RADIUS laufen. Der Anschluss macht nur 600 MBit aber im Gebäude kommt eventuell auch Glasfaser zum Einsatz daher würde ich sagen SFP+ am Router schadet zumindest nicht.

Auf Amazon wird man ja mit MNBOXCONET als Marke zugespamt, taugen die Dinger was? Hat vielleicht jemand eine konkrete Hardware-Empfehlung?
StefanKittel
StefanKittel 14.10.2024 um 10:34:28 Uhr
Goto Top
Hallo,

ich habe hier gerade einige kleinere Projekte mit einem MS01 durchgeführt.
https://store.minisforum.de/products/ms-01

Deutlich mehr Leistung aals ein N100.

Stefan
ukulele-7
ukulele-7 14.10.2024 um 10:48:03 Uhr
Goto Top
Zitat von @StefanKittel:

ich habe hier gerade einige kleinere Projekte mit einem MS01 durchgeführt.
https://store.minisforum.de/products/ms-01

Deutlich mehr Leistung aals ein N100.
Die Hardware sieht nett aus, kostet aber auch mehr. Muss man sich da über einen höheren Stromverbrauch Gedanken machen oder sind die Dinger im mehr oder weniger Idle mittlerweile genügsam?

Allerdings weiß ich nicht, ob ich da kaufen kann. Bekomme ich da eine Rechnung? Ist da Vorsteuer enthalten? Ich finde keine Angaben über den Verkäufer, nur das in der EU "kein Zoll" anfällt.
StefanKittel
StefanKittel 14.10.2024 aktualisiert um 12:28:30 Uhr
Goto Top
Gibts bei Amazon mit Rechnung.
https://amzn.to/3ZZ3F6X (Partner-Link)

Der Stromverbrauch ist je nach CPU, NIC und Auslastung vergleichbar mit einem kleinem PC.
Ich habes aber nicht gemessen.

Stefan
ukulele-7
ukulele-7 14.10.2024 aktualisiert um 15:21:36 Uhr
Goto Top
Da tun sich ganz schöne Abgründe auf...

Die Chinesen fluten den Markt mit Markennamen wie
CWWK (ehemalig), MNBOXCONET, ROUAFWIT, HUNSN = alles das selbe Gerät. Alles unaussprechlich, um uns zu verwirren.

Ich tendiere dazu einfach die 100 Euro mehr in die Hand zu nehmen und den NS-01 auf Amazon zu kaufen. TDP ist zwar deutlich höher und eigentlich brauche ich die Leistung nicht (glaube ich zumindest) aber am Ende ist der Verbrauch != TDP, ich glaube da liegt gar nicht soviel dazwischen. Nur passiv gekühlt geht vermutlich nicht mit der CPU face-smile

PS: Müsste es eine Server M.2 sein unter pfsense?
em-pie
em-pie 14.10.2024 aktualisiert um 17:22:43 Uhr
Goto Top
@ukulele-7
Ich klinke mich hier einfach mal ein, suche auch grade FW Hardware für ein pfsense-Projekt. Es sollte ein komplettes Gehäuse sein und keine weiteren Maßnahmen erfordern (wie bei schlechter Kühlung z.B.)

Wie wäre es mit einer gebrauchten XG125/ XGS 135 (jeweils rev3)
https://www.ebay.de/itm/186662991402?_skw=sophos+XG+210&itmmeta=01JA ...

und für SFP+ (später) dann nen FlexiPort dazu...
Vision2015
Vision2015 14.10.2024 um 17:51:46 Uhr
Goto Top
Moin...


Zitat von @ukulele-7:

Da tun sich ganz schöne Abgründe auf...

Die Chinesen fluten den Markt mit Markennamen wie
CWWK (ehemalig), MNBOXCONET, ROUAFWIT, HUNSN = alles das selbe Gerät. Alles unaussprechlich, um uns zu verwirren.
jo... face-smile

Ich tendiere dazu einfach die 100 Euro mehr in die Hand zu nehmen und den NS-01 auf Amazon zu kaufen. TDP ist zwar deutlich höher und eigentlich brauche ich die Leistung nicht (glaube ich zumindest) aber am Ende ist der Verbrauch != TDP, ich glaube da liegt gar nicht soviel dazwischen. Nur passiv gekühlt geht vermutlich nicht mit der CPU face-smile

PS: Müsste es eine Server M.2 sein unter pfsense?
nein... geht aber face-smile

wie ich schon weiter oben geschrieben habe...
also mit der Netgate 6100, Netgate 8200, Netgate 8300 machst du nix falsch!
oder mit NRG Systems IPU624S System bist du auch gut dabei!
NRG Systems IPU624S System
da machste nix falsch mit!
Frank
DerMaddin
DerMaddin 15.10.2024 um 08:39:31 Uhr
Goto Top
Moin,

Warum nicht einen Router verwenden? Im preisrahmen wäre z.B. TP-Link Omada ER8411 mit zwei SFP+ 10G WAN/LAN Ports. Preis um die ~€430. Da brauchst du dann auch keine *sense zusammen bauen und installieren.
ukulele-7
ukulele-7 15.10.2024 um 09:24:05 Uhr
Goto Top
Zitat von @DerMaddin:

Warum nicht einen Router verwenden? Im preisrahmen wäre z.B. TP-Link Omada ER8411 mit zwei SFP+ 10G WAN/LAN Ports. Preis um die ~€430. Da brauchst du dann auch keine *sense zusammen bauen und installieren.
Ich hatte mich hier nur eingeklinkt, weil ich auch grade eine Hardware suche. In meinem Projekt will ich pfsense aus diversen Gründen verwenden, unter anderem, um mich damit überhaupt mal vertraut zu machen. Hardware habe ich jetzt auch bestellt, zur Konfiguration hatte ich hier einen eigenen Thread:
Möglichkeiten eines Captive Portals und Netzsegmentierung

Dein Vorschlag ist vielleicht etwas für den OP @uridium69 , ich halte mich jetzt raus face-smile
kuwakz01
kuwakz01 21.10.2024 um 10:29:06 Uhr
Goto Top
@stefaan
Firewall mit 10 Gbit

Nachdem Du Fortinets kennst: wir ärgern uns gerade sehr über Sophos (hatte ich damals beschafft wegen deren guter Integration/Unterstützung von macOS). Die Kommunikation und Roadmap von denen ist gelinde gesagt fragwürdig bis unverschämt. Aktuell überlegen wir auf eine Fortinet umzusteigen. Allerdings weiß ich nicht wie leicht (oder eben schwer) bei denen die Administration ist. Ich will Keon Studium beginnen nur um das Teil zu administrieren. Wie sind Deine Erfahrungen mit dem OS und dem Service bzw. gesamten Kundenorientierung bei Fortinet?
stefaan
stefaan 22.10.2024 aktualisiert um 14:08:36 Uhr
Goto Top
Servus,

ich kenne Sophos nicht, meine Empfindung ist aber, dass Sophos hier öfters empfohlen, aber auch verteufelt wird/wurde. Ich kann nicht beurteilen, ob die hier gelegentlich geposteten Probleme auf Anwenderfehler oder das Produkt zurückzuführen sind.

Die grundlegenden Einstellungen (mehrere Netze, Routing, Regeln, teils DHCP und DNS, ...) hätte ich zu allen mir bekannten Produkten (*sense, Mikrotik) sehr ähnlich gesehen und waren ohne Fortinet-Vorkenntnisse schnell machbar.
Für die "Spezialfunktionen" (Content/App-Filter, Reporting, AD-Verbindung, VPN, 2FA, ...) musst du dir überlegen, was gefordert ist. Dann ggf. schauen, ob und wie diese Funktionen unterstützt und lizensiert wird, Doku/Community ist umfangreich.

Kontakt mit dem Support hatte ich noch nie, ist aber während der Lizenzlaufzeit (inzwischen 24x7) inkludiert.
Positiv kann ich erwähnen, dass es bei EOS/EOL eines Produkts gute Trade-in-Aktionen gibt (neues Gerät mit 3-Jahres-Bundle in etwa gleich teuer wie die Lizenzverlängerung eines alten Geräts um weitere 3 Jahre).

FortiOS will in letzter Zeit öfters aktualisiert werden, da können aber andere Hersteller auch mithalten, was das eine oder andere Loch in der Software betrifft. Updates laufen unauffällig.

Edit: Ich bewege mich bei meinem Umfeld mit Entry bis Midl-Level-Geräten. Wie es bei HA-Clustern im High-End-Level ausschaut, kann ich nicht beurteilen.

Stefan
anteNope
anteNope 22.10.2024 um 14:15:49 Uhr
Goto Top
Also ich habe bei einem gerade übernommenen Kunden Sophos komplett rausgeworfen. Die waren sehr unzufrieden mit dem Gesamtkonstrukt.

Die Firewall hatte häufig Verbindungsabbrüche gegenüber der Glasfaser, teils sogar mehrfach an einem Tag. Laut Sophos ein bekanntes Problem, dass in quasi allen Produkten (alt, neu, ...) vorhanden ist. Gibt wohl auch keine Anstände das zu ändern ...

Virenschutz soll wohl extrem restriktiv sein. Bekommt man quasi jeden Tag einen Anruf, dass Website xyz nicht funktioniert. Wird besonders irre, wenn die Leute Geschäftspartner außerhalb der EU haben (China, Taiwan, usw.).
DerMaddin
DerMaddin 22.10.2024 um 14:38:03 Uhr
Goto Top
Zitat von @anteNope:

Also ich habe bei einem gerade übernommenen Kunden Sophos komplett rausgeworfen. Die waren sehr unzufrieden mit dem Gesamtkonstrukt.

Die Firewall hatte häufig Verbindungsabbrüche gegenüber der Glasfaser, teils sogar mehrfach an einem Tag. Laut Sophos ein bekanntes Problem, dass in quasi allen Produkten (alt, neu, ...) vorhanden ist. Gibt wohl auch keine Anstände das zu ändern ...

Virenschutz soll wohl extrem restriktiv sein. Bekommt man quasi jeden Tag einen Anruf, dass Website xyz nicht funktioniert. Wird besonders irre, wenn die Leute Geschäftspartner außerhalb der EU haben (China, Taiwan, usw.).

Aha. Okay. Ich habe einiges an Sophos Produkten im Einsatz an verschiedenen CPE und ISPs. Glasfaser, LTE, DSL. Merkwürdig, dass ich in den letzten 3.5 Jahren, wo ich das mache, keinen Ausfall verzeichnet habe, wo die Ursache auf der Sophos Seite war. Aber sicher kannst du uns einen entsprechende Fakten liefern in denen Sophos diesen Zustand wiedergibt?

Virenschutz restriktiv? Was bedeutet das? Klar muss es restriktiv sein, sonst würde ein System kompromittiert werden oder hast du hier was anderes gemeint im Zusammenhang mit deinem Folgesatz mit den Websites? Dies hat null mit Virenschutz zu tun, sondern mit einem Web/Contentfilter. Sind die Richtlinien ###e konfiguriert, dann kann das passieren. Schuld ist der Admin, der das gemacht hat und nicht Sophos.
aqui
aqui 22.10.2024 aktualisiert um 15:07:32 Uhr
Goto Top
https://www.heise.de/select/ct/2024/21/2420512372669788063
Macht mit OPNsense und pfSense eine gute Figur bei 10Gig. Supportet auch direkt GPON FTTH Module in den SFP Slots.
anteNope
anteNope 22.10.2024 aktualisiert um 15:55:12 Uhr
Goto Top
Aber sicher kannst du uns einen entsprechende Fakten liefern in denen Sophos diesen Zustand wiedergibt?
Nö kann ich nicht; kannst aber gerne mal bei deren Support anrufen und nachfragen wie es um das Problem mit den Genexis-Modems steht. Mir wurde vor 2 Monaten noch gesagt, dass selbst neue Produkte betroffen sein ...

Sehr wohl kann ich aber das Fehlerbild erläutern:
  • Zwei Kunden bei dem ISP mit Sophos = haben immer wieder Probleme, Sophos muss neugestartet werden, ca. 0,5-1x pro Woche, manchmal aber auch mehrfach am Tag)
  • Diverse weitere Kunden bei dem ISP (gleicher Ort) mit Fritz!Box, Ubiquiti, ... = keine Probleme
  • Bei einem der beiden Kunden ist die Sophos nun ausgetauscht worden = seither keine Probleme mehr

¯\_(ツ)_/¯
kuwakz01
kuwakz01 22.10.2024 um 15:52:19 Uhr
Goto Top
1.000 Dank für Deine extrem sachliche und offene und konstruktive Bewertung. Tatsächlich ist unsere Unzufriedenheit mit Sophos eher organisatorischer Natur. Upgrades sind in Ordnung. Aber Produkte werden m.E. viel zu schnell EOL gesetzt und angekündigte Funktionen nicht umgesetzt oder dann entgegen einer Ankündigung nur in der Cloud-Version angeboten. Das ist maximal nervig und Du kannst auf keine Aussage von Sophos vertrauen. Take it or leave it. Das finde ich gerade im Sicherheitskontext nicht wirklich haltbar. Was uns dagegen wirklich stört: manche Regeln verändern sich bzw. greifen nicht "gleichmäßig": es kann sein, dass das Regelwerk nach einem Neustart anders reagiert als zuvor. Ist zwar extrem selten. Aber dennoch ärgerlich.

Die unten aufgeführten Kritikpunkte kann ich auch nicht nachvollziehen. Verbindungsabbrüche hatten wir eigentlich noch nie (wir haben aber auch nicht Glas sondern zwei eher lahme Kupferleitungen). Das mit en Webseiten ist klar der Web-Blocker und das ist Konfigsache. Da sehe ich überhaupt gar kein Problem. Ich würde das eher auf Unvermögen der Admins zurückführen.

Das mit dem geliebt/gehasst kommt mir sehr bekannt vor. Wir haben oft gehört dieses oder jenes wäre kein professionelles Gerät. Die Aussagen kommen immer von Consultants die das Gerät wenig kennen und deren Vorlieben auf anderen Devices liegen. Das finde ich wiederum extrem unprofessionell. Fü uns waren wie gesagt die verschiedenen clients z.B. für EPP, VPN usw. gerade in der macOS-Welt wichtig. Da konnte zum damaligen Zeitpunkt im Gesamtpaket des Ökosystems kaum einer Mithalten. Deshalb fiel die Entscheidung zugunsten von Sophos.

Hattest Du mal Preisvergleiche angestellt? Oder anders gefragt: weshalb hattet Ihr Euch konkret für Fortinet entschieden? Um ehrlich zu sein: wir orientieren uns häufig am Gartner Magic Quadranten oder ähnlichen Tools. Aber echte Erfahrung ist m.E. durch gar nichts zu ersetzen.

Wir nutzen tatsächlich folgende Sophos-Tools:
  • Endpoint Protection
  • Webfilter
  • Firewall/Zero Trust Network
  • Virenschutz
  • Web-Application Firewall
  • Mail-Gateway (zentrale Verschlüsselung und Viren-/Malware-Schutz)
  • WLAN/Gäste-WLAN
  • VPN
  • 2FA für alle notwendigen Authentifizierungen
  • Integrationen in AD, Cisco-Switch und -Netzwerkauthentifizierungen (ISE), u.a.

Dabei ist das auch alles eher Entry-Level/Mid-Range (30 Mitarbeiter und rund 10 Server). Der Zonen-Übergreifende Verkehr wird ebenfalls aufgebrochen und abgesichert. Heißt: auch durch den internen Verkehr entsteht Last. Ist das mit Deinen Anforderungen vergleichbar? Wo liegst Du mit den laufenden Lizenzkosten? (Gerade hier finde ich, das Sophos anfängt wenig vertrauenswürdig zu sein, das die Preise nach Gutdünken angehoben werden).
DerMaddin
DerMaddin 22.10.2024 um 16:31:04 Uhr
Goto Top
Zitat von @anteNope:

Aber sicher kannst du uns einen entsprechende Fakten liefern in denen Sophos diesen Zustand wiedergibt?
Nö kann ich nicht; kannst aber gerne mal bei deren Support anrufen und nachfragen wie es um das Problem mit den Genexis-Modems steht. Mir wurde vor 2 Monaten noch gesagt, dass selbst neue Produkte betroffen sein ...

Sehr wohl kann ich aber das Fehlerbild erläutern:
  • Zwei Kunden bei dem ISP mit Sophos = haben immer wieder Probleme, Sophos muss neugestartet werden, ca. 0,5-1x pro Woche, manchmal aber auch mehrfach am Tag)
  • Diverse weitere Kunden bei dem ISP (gleicher Ort) mit Fritz!Box, Ubiquiti, ... = keine Probleme
  • Bei einem der beiden Kunden ist die Sophos nun ausgetauscht worden = seither keine Probleme mehr

¯\_(ツ)_/¯

Ahh... ja klar, dann MUSS es ja ein Sophos Problem sein. Was genau hat das "Problem" eigentlich mit Glasfaser zu tun, wenn da Genexis Modems als CPE verwendet werden? Die Glasfaser ist nur das Medium, das Modem der Endpunkt mit Ethernet. Klar worauf ich hinaus will?
anteNope
anteNope 22.10.2024 um 20:16:01 Uhr
Goto Top
Klar worauf ich hinaus will?
Ja und du möchtest scheinbar gerne Haarspalterei betreiben. Fakt ist die kommen laut eigener Aussage von Sophos mit den Genexis (neu, alt, egal) nicht klar. Die (Trommelwirbel) exklusiv bei Glasfaser-Anschlüssen zu finden sind, oder? 🧐

Also in unserer Ecke sind die DER Standard für Glasfaseranschlüsse (egal ob privat oder geschäftlich). Klar, kannst auch direkt aufs Glas gehen, aber dann zicken die Anbieter bei Problemen wie der letzte Bronko oder lassen direkt den Telefonhörer fallen.
DerMaddin
DerMaddin 23.10.2024 um 07:58:23 Uhr
Goto Top
Fakt ist die kommen laut eigener Aussage von Sophos mit den Genexis (neu, alt, egal) nicht klar. Die (Trommelwirbel) exklusiv bei Glasfaser-Anschlüssen zu finden sind, oder?

Und auch Fakt ist, dass mit genau den Genexis CPE bei mir alles bestens funktioniert. Zwei alt und einer neu. Entschuldige mein Unwissen aber wo kann ich das nachlesen diese "Aussage von Sophos"? Ich finde kein KB, kein Cummunity Eintrag und auch das WWW zeigt mir keine eindeutigen Antworten.

Nach deiner Aussage, müssten unsere XGS und SG massiv Probleme haben. Dies kann ich aber nicht bestätigen.
anteNope
anteNope 23.10.2024 um 08:19:35 Uhr
Goto Top
Zitat von @anteNope:
... gerne mal bei deren Support anrufen und nachfragen wie es um das Problem mit den Genexis-Modems steht

Ich hatte dazu auch nichts gefunden und deshalb den Support bemüht. Da kam dann zunächst der Tipp: "manchmal hilft es einen Switch zwischen Genexis und Firewall zu setzen". Hat aber auch keine Besserung gebracht. Ist wohl schon länger bekannt und irgendwann zieht man dann halt weiter ...

sophos

Klar, kann natürlich auch am ISP liegen (immerhin sind beide Kunden bei dem), aber das sieht aktuell ganz stark nicht danach aus. Die Genexis wird es wohl auch nicht sein, denn die haben zig durchgetauscht. Sind mittlerweile jeweils beim 3. oder 4. Gerät angelangt. Und die "alten" Genexis laufen nun bei anderen Kunden problemfrei.
nachgefragt
nachgefragt 23.10.2024 aktualisiert um 09:54:35 Uhr
Goto Top
OFF TOPIC

@anteNope
"Sophos affin" bzw. betriebsblind war ich auch sehr lange, daher kann ich nachvollziehen wenn jemand noch die Fahne hochhält bei denen die Lizenzkosten nicht aus der eigenen Tasche kommen (oder man damit Geld verdient).

Als langjähriger Sophos (früher Astaro) Nutzer kann ich bestätigen: Der Herstellersupport ist total Banane, die Lizenzkosten extrem teuer geworden und es ist sehr SEHR zeitintensiv im Problemfall sich mit dem Herstellersupport rumzuschlagen.
Sophos = schlechter Support muss nicht billig sein!

@kuwakz01
Du kannst auf keine Aussage von Sophos vertrauen.
Da stimme ich zu, auch der Umgang mit Bestandskunden ist extrem miserabel.

Seit 2020 gab es jährlich eine Erhöhung der Lizenzkosten um 33%, wer das Dreijahrespaket kaufte hatte also 2023 eine Erhöhung um 100%, z.B. AUCH für alte SG-Firewalls, in denen es 0% Neuerungen gab, 0% Mehrwert. Kunden hatten es in der Corona Zeit sowieso schon schwer und wurden von Sophos ordentlich zur Kasse gebeten.

Jeder Kunde finanziert offensichtlich das Sophos Universum, nicht mehr den individuellen Einsatz. Mit der kürzlichen Übernahme von Secureworks hoffe ich nicht auf Verbesserung der Systematik.

Endpoint Protection
Ich setze wieder auf verschiedene Hersteller und trenne Hardware Firewall und Endpoint Protection.

Webfilter, WAF, App Control, Content Control, Firewall, Country Block, VPN,...
OPNsense + Zenarmor Free (siehe Features) könnte an Ansatz sein den es zu prüfen gilt.
siehe Features: https://www.zenarmor.com/plans

PS: OPNsense + Plugin steht kostenlos zur Verfügung, d.h. ein Mini PC als Testumgebung ist völlig ausreichend. Wenn's gefällt kann man es per Backup/Restore auf "größere" Hardware umziehen.
DerMaddin
DerMaddin 23.10.2024 um 09:28:48 Uhr
Goto Top
@nachgefragt danke für deinen unqualifizierten Kommentar der sich immer gleich liest: Sophos ist teuer, Sophos ist doof, Sophos ist "whatever u name it"... von "Sophos affin" nun zu einem Anti-Sophos-Kreuzzügler geworden, der auf der Suche ist nach Beiträgen die "Sophos" enthalten und dann deinen Frust immer wieder auf Neue allen präsentieren.

Preiserhöhungen gab es bei anderen Security-Anbietern, z.B. Fortinet, auch in der gleichen Größenordnung. Du pickst dir hier ein Beispiel raus und denkst, dass es die anderen nicht gleich gemacht haben?

Kleines Beispiel: ~2020 hat eine Forti 80F mit 3 Jahres UTP ca. €2200 gekostet. Heute kostet die UTP Verlängerung um 3 Jahre mindestens €2700, also OHNE die Firewall. Mit Hardware (80F) kostet es mindestens €4200.


@anteNope die Ursachen mögen vielfältig gewesen sein. Ich kann bisher nur von keinen größeren Problemen berichten. Keine Ausfälle der Verbindungen, Hardware oder Software. Support war auch bisher nicht schlechter als von anderen Netzwerk/Security Anbietern.
em-pie
em-pie 23.10.2024 aktualisiert um 13:24:09 Uhr
Goto Top
@nachgefragt
Als langjähriger Sophos (früher Astaro) Nutzer kann ich bestätigen: Der Herstellersupport ist total Banane, die Lizenzkosten extrem teuer geworden und es ist sehr SEHR zeitintensiv im Problemfall sich mit dem Herstellersupport rumzuschlagen.
Sophos = schlechter Support muss nicht billig sein!
An der Stelle beschleicht mit immer mehr das Gefühl, dass nicht Sophos das Problem ist, sondern der Kunde.
@LucarToni hat versucht, außerhalb eines Supportfalls sich mit dir auszutaschen. Ein schlechter Support würde hergehen und sagen: "Was solls, der eine Kunde mehr oder weniger macht den Braten auch nicht fett."
Und Herstellersupport heisst bei großen Unternehmen nicht "Im muss eine S2S-VPN-Verbindung aufbauen - hilf mir.". Das machen dann die Partner/ Dienstleister. Der Hersteller kümmert sich eher im Themen wie "Ohh... nach einem Firmwareupdate ist das HA-Cluster aufgebrochen - schauen wir uns an. Bitte einmal die LogFiles zukommen lassen." Das ist bei IBM, HPE, Dell & Co. nicht anders.
Und IT ist nun mal teuer geworden - auch was die Stundensätze betrifft- Je nach Region bewegt man sich da schon mal bei 130-170€ / h

Und solange du nicht beschreibst (kann ja allgemein bleiben), was der Hintergrund für deinen Unmut ist, wären viele hier dankbar, wenn du aufhören würdest, Sophos ohne haltbare Gründe schlecht zu reden. Denn so ist das keine Benutzererfahrung. Bisher sagst du IMMER nur: "Sophos ist sche!ße, alles viel zu teuer und support bekommt man auch nicht". Ich stelle mich ja auch nicht auf die Straße und behaupte ohne Begründung, dass Gardena oder irgendeine andere Marke) kacke, völlig überteuert und das Geld nicht wert ist. Da muss dann schon mehr kommen.

Danke.

Mal meine Erfahrung
Am Rande: wir hatten bisher nur einmal einen "krassen" Anstieg von rund ~33%: 2021 auf 2022 (2x SG230 inkl. FullGuard) von 2019 auf 2021 waren es gerade mal 27€ (1%) und von 2022 auf 2023 0€. Hier haben wir uns aber für einen Umstieg auf die XGS entschieden, nachdem wir 10 Jahre eine SG hatten (inkl. 1x Hardwaretausch: UTM220 auf SG230).
Support verlief immer Problemlos:
  • Appliance defekt: zwei Tage später lag eine neue "vor der Tür".
  • C2S-SSL-VPN-Tunnel brickte die halbe UTM bei einem bestimmten User immer - Support hat LogFiles bekommen, ausgewertet und ein paar Tage später lief es wieder stabil. Bis dahin half es, die UTM aus der gesicherten Config wiederherzustellen und den User erst einmal keine VPN-Verbindung aufbauen zu lassen (war auch nicht zwingend erforderlich)
Bei allen anderen (Config) Themen half unser Dienstleister - der unsere Umgebung auch viel besser kennt denn Sophos selbst.


Edit: Sorry fürs OT
anteNope
anteNope 29.10.2024 aktualisiert um 11:53:15 Uhr
Goto Top
Zitat von @DerMaddin:
@anteNope die Ursachen mögen vielfältig gewesen sein. Ich kann bisher nur von keinen größeren Problemen berichten. Keine Ausfälle der Verbindungen, Hardware oder Software. Support war auch bisher nicht schlechter als von anderen Netzwerk/Security Anbietern.

Sei glücklich, dass es nicht so aussieht 😭

clipboard_10-29-2024_02

Bei dem Anschluss bei dem die Sophos gegen eine UDM getauscht wurde, sieht es so seither aus

clipboard_10-29-2024_03
kuwakz01
kuwakz01 04.11.2024 um 11:51:09 Uhr
Goto Top
@em-pie Du weißt auch, dass die Sophos nirgendwo entwickelt wird wo nur ansatzweise diese Stundensätze gezahlt werden. Ich vermute mal das gilt für viele Unternehmen. Ich sehe es tatsächlich eher so, dass es eine totale Unsitte geworden ist, Kunden in Software-Abhängigkeiten mit Abomodellen zu führen und dann immer wieder den Preis anzuziehen. Das ist sicherlich nicht eine spezifische Hersteller-Erfahrung sondern das erlebt man bei allen Herstellern. Es ist ein Grund weshalb ich Abomodelle grundsätzlich zutiefst verabscheue. Ich verstehe den Wunsch nach einem planbaren Cashflow. Aber so wird der Kunde erpresst und Preise können in nahezu beliebiger Höhe gesteigert werden.

Für mich ist dabei wichtig WELCHER Hersteller das tatsächlich macht. Eigentlich wäre es richtig cool, eine Art Preisvergleich zu haben, der die Kostenanpassungen/-entwicklungen pro Hersteller darstellt. Was die Security-Hersteller aktuell machen liegt nicht in gestiegenen Kosten begründet, sondern in einer gestiegenen Bedrohungslage und der größeren Bereitschaft potenzieller Kunden tatsächlich Geld in die Hand zu nehmen. Aber ich bin bei @DerMaddin das ist nicht auf einen Hersteller zu beziehen, ich denke die Anbieter ticken gerade generell so.

Um so wichtiger wäre es zu wissen, ob sich ein Hersteller hierbei durch eine klare, gut strukturierte Roadmap und große Planbarkeit bei Produkt und Preis hervortut. Tatsächlich ist es für uns aktuell ein schwer zu überblickender Markt. Denn letztlich musst Du mit einer Firewall eine Zeit lang gearbeitet haben um sie wirklich beurteilen zu können.