dabinaw

Securepoint UTM

Hallo zusammen,

wir sind auf der Suche nach einer neuen Firewall Lösung, die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet.

Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?
Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673168

Url: https://administrator.de/forum/firewall-utm-sicherheit-loesungen-673168.html

Ausgedruckt am: 25.06.2025 um 16:06 Uhr

Avoton
Avoton 03.06.2025 um 18:17:37 Uhr
Goto Top
Moin,

Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?

Wir setzen Securepoint ebenfalls ein (inhouse wie bei Kunden) und sind sehr zufrieden damit.

Hier hat aber jeder seinen eigenen Lieblingshersteller.

Hast du genauere Fragen zur Securepoint?

Gruß,
Avoton
nachgefragt
nachgefragt 03.06.2025, aktualisiert am 04.06.2025 um 07:09:03 Uhr
Goto Top
OPNsense (Business Edition), absolute Empfehlung!
Wir waren viele Jahre bei Sophos, zu viele Jahre, als jahrelanger Sophos Kunde kann ich nur abraten, zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)

OPNsense
  • Kannst du kostenlos testen, auch im Heimnetz bestehen lassen, da es eine Community Edition bietet: https://docs.opnsense.org/releases.html
  • Ist von der Hardware unabhängig, d.h. du kannst anfangs einen (alten) PC, Server,... nutzen, je nach Anspruch individuell Schnittstellen(karten) hinzufügen.

OPNsense: Die Open Source Firewall auf einen Blick
kostenlose Beratung: https://www.thomas-krenn.com/de/leistungen/beratung.html
Thomas Krenn ist auch von Sophos nach OPNsense: https://www.youtube.com/watch?v=y9A00tM4H58


Der Leistungsumfang lässt sich modular erweitern, z.B. ZenArmor ("next gen" Firewall):
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html

Den Gateway kann man aber auch auslagern, Baracuda, Proofpoint,... bieten hier einige Optionen,.

WAC z.B. hänge ich an der Endpoint Protection auf, denn externe Nutzer (außerhalb der Firewall) wären sonst ohne diese Option unterwegs.
Dani
Dani 03.06.2025 um 22:28:20 Uhr
Goto Top
Moin,
wir sind auf der Suche nach einer neuen Firewall Lösung
ihr sucht keine Firewall, ihr sucht eine Eierlegende Wollmilchsau ala UTM.

die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet
Wie hoch sind denn bei WWW Proxy, E-Mail Security und WAF eure Ansprüche? In der Regel haben dedizierte Produkte größtenteils höheren Funktionsumfang. Was darin liegt, dass der Fokus des Herstellers auf dem Produkt liegt und in der Regel Ahnung hat. Bei UTMs ist oftmals auf Basis Funktionen beschränkt und/oder halb gar implementiert.

Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Von welchen Durchsätzen spreche wir denn für die Firewall, für den Proxy, für E-Mail, für WAF, für VPN, etc? 10Mbit/s, 400Mbit/, 2Gbit/s?


Gruß,
Dani
Dabinaw
Dabinaw 04.06.2025 um 07:26:58 Uhr
Goto Top
Hast du genauere Fragen zur Securepoint?

Gibt es bei den Features wie Firewall, Proxy, Reverse Proxy (veröffentlichen E-Mail Server) Einschränkungen die euch beim Einsatz aufgefallen?
Ist das Reporting (z.B. Statistiken) und Monitoring (z.B. Live-View) brauchbar?
Habt ihr auch die Mail-Security im Einsatz? Wenn ja als Cloud Lösung oder als Appliance? Ist die Lösung in Verbindung mit einem Exchange Sever brauchbar?
Ist der Support in Ordnung?

hr sucht keine Firewall, ihr sucht eine Eierlegende Wollmilchsau ala UTM.
Ja, eigentlich schon, wenn nichts gravierendes dagegenspricht. Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden. Wenn es eine in Deutschland hergestellte, ich gehe davon aus, sichere und gut zu administrierende UTM gibt, die meine benötigten Features abbilden kann, dann ist es eine Option, die ich evaluieren möchte.

Wie hoch sind denn bei WWW Proxy, E-Mail Security und WAF eure Ansprüche?
Wir haben momentan eine Sophos UTM und setzen die Features wie Network Protection, Email Protection, Web Protection, Webserver Protection ein, und die gleichen/ähnlichen Funktionen sollten es bei einer neune Lösung auch geben.
nachgefragt
nachgefragt 04.06.2025 aktualisiert um 09:19:39 Uhr
Goto Top
Zitat von @Dabinaw:
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Für OPNsense findest du Dienstleister in Deutschland bei denen du einen Wartungsvertrag abschließen kannst, wenn du diese Sicherheit brauchst. Natürlich auch für die Inbetriebnahme, ein vor Ort Dienstleister ist nicht zwingend notwendig, je nach Eigenleistung.

Es klingt wie der Klassiker, d.h. ein VLAN konzeptioniertes Netzwerk scheint es nicht zu sein, wenn bei 200 Arbeitsplätzen die UTM noch performant genug ist.

Wir haben momentan eine Sophos UTM
Hatte ich auch, die steht noch bis 06/2026 im Support. Jedoch, wenn's um den Funktionsumfang geht ist das beste was man machen kann, OPNsense auf die UTM zu installieren (ja, das geht).

Email Protection
Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.

Webserver Protection
Das sollte eine (gute) Endpoint Protection inkludiert haben. Sonst auch:
https://docs.opnsense.org/vendor/deciso/opnwaf.html
https://www.zenarmor.com/docs/network-security-tutorials/how-to-configur ...

Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Avoton
Avoton 04.06.2025 um 11:28:57 Uhr
Goto Top
Gibt es bei den Features wie Firewall, Proxy, Reverse Proxy (veröffentlichen E-Mail Server) Einschränkungen die euch beim Einsatz aufgefallen?

Nein, ich wüsste jetzt keine. Wir haben aber keine On Prem Exchanges dahinter, sondern (wenn) einen Tobit David.

Ist das Reporting (z.B. Statistiken) und Monitoring (z.B. Live-View) brauchbar?

Die Live View finde ich bei der OpnSense tatsächlich besser, ist aber nur ne Gewöhnungssache. Im Securepoint Log findet man auch alles.

Habt ihr auch die Mail-Security im Einsatz? Wenn ja als Cloud Lösung oder als Appliance? Ist die Lösung in Verbindung mit einem Exchange Sever brauchbar?

Wir haben sowohl den Mailschutz an Bord der Appliance als auch die separate Mail Security im Einsatz, beides funktioniert m.M. nach sehr gut. Zu On Prem Exchanges Servern kann ich dir wie gesagt keine Erfahrungswerte geben, wüsste aber auch nicht, warum es sich da anders verhalten sollte.

Ist der Support in Ordnung?

Der ist nicht nur in Ordnung, der ist richtig gut. Bedenke aber, dass den Support nur Securepoint Partner bekommen, keine Endkunden.

Gruß,
Avoton
dertowa
dertowa 04.06.2025 um 13:15:46 Uhr
Goto Top
Securepoint UTM RC300 läuft hier.
Funktioniert zuverlässig, hat ein paar Eigenheiten die man kennenlernt und die Konfiguration ist mal einfacher als eine OPNsense und mal deutlich unlogischer.

Du brauchst für die Securepoint eine Lizenz, sonst wird das Ding zum Briefbeschwerer, den Support für Endkunden hat Securepoint vor Jahren eingestellt, seitdem läuft alles über Partner oder das Securepoint Communityforum.
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.
Eine RC300 bspw. muss ich für 150 (glaube ich) lizenzieren, auch wenn ich letztlich nur 50 Leute dahinter habe.

Wir nutzen den Spamfilter in Verbindung mit Exchange Online, auch da muss man einige Dinge beachten, läuft aber grundsätzlich.

Grüße
ToWa
Dabinaw
Dabinaw 04.06.2025 aktualisiert um 14:58:20 Uhr
Goto Top
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.

D.h., du hast z.B. 50 User mit 50 Endgeräten und benötigst deshalb eine Lizenz von 100 "Devices"?

Ein paar Fragen habe ich dann noch, wenn ich schon mal erfahrene Securepoint User habe face-wink

Gibt es bei dem SPAM-Filter einen regelmäßigen Spamreport an die User?
Eine VPN-Einwahl über die Securepoint geht über IPsec und SSL?
Wie oft kommen Firmwareupdates/Sicherheitspatche heraus und lassen diese sich gut installieren?
Der Hot-Standby-Cluster ist ok?
Eine AD-Anbindung (Gruppen, Benutzerkonten, Computerkonten Replikation) ist möglich, um Rechte/Rollen zu vergeben?

Wenn ich auf der Securepointseite auf Partnersuche gehe, finde ich ja nicht wirklich große (oder mir nur unbekannte) Player.

Danke schon mal für die vielen Hinweise .
Avoton
Avoton 04.06.2025 um 19:07:53 Uhr
Goto Top
D.h., du hast z.B. 50 User mit 50 Endgeräten und benötigst deshalb eine Lizenz von 100 "Devices"?

Nein, hat @dertowa etwas missverständlich ausgedrückt, Securepoint macht es aber auch nicht besser 😅
Die Appliances haben eine maximale empfohlene Userzahl. Du lizenzierst die Appliance, wie viele User da dran hängen, ist dem Ding egal.

Gibt es bei dem SPAM-Filter einen regelmäßigen Spamreport an die User?

Kannst du konfigurieren, ja.

Eine VPN-Einwahl über die Securepoint geht über IPsec und SSL?

Ja, und Wireguard.

Wie oft kommen Firmwareupdates/Sicherheitspatche heraus und lassen diese sich gut installieren?

Die kommen, wenn Bedarf ist. Installation ist sehr einfach und bisher ist noch nie was schief gegangen.

Der Hot-Standby-Cluster ist ok?

Hab ich Freitag erst noch aufgebaut. Funktioniert sehr gut.

Eine AD-Anbindung (Gruppen, Benutzerkonten, Computerkonten Replikation) ist möglich, um Rechte/Rollen zu vergeben?

Ich meine ja, hab ich aber bisher noch nicht verwendet.

Gruß,
Avoton
Dani
Dani 04.06.2025 um 19:27:07 Uhr
Goto Top
Moin,
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Klar, so eine WAF oder IDS/IPS administrieren sich in der Regel von alleine. Ist ja nicht so, dass sich die Gefahrenlage jeden Tag/Woche ändert. Logs ausgewertet und Regeln angepasst werden müssen. Entsprechend auf für CVEs für Anwendungen, welche veröffentlicht worden sind, Workarounds implementiert werden sollten bis der Hersteller einen Patch bereitstellt.

Wenn es eine in Deutschland hergestellte, ich gehe davon aus, sichere und gut zu administrierende UTM gibt, die meine benötigten Features abbilden kann, dann ist es eine Option, die ich evaluieren möchte.
Sag Bescheid, wenn du fündig geworden bist. Schau dir die CVEs der letzten 12 Monate für die einschlägige Firewall Hersteller an. Da wird dir relativ schnell warm ums Herz... Gerade die welche meinen alles über eine WebUI zu realisieren.

Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Schon alle auf Hinblick der steigenden Gefahrenlage und einem 2 stufigen Sicherheitsarchitektur. Es ist so viel in den letzten Jahren passiert. Aber es gibt wohl immer noch Verantwortliche, die es nicht verstehen oder meinen, dass es sie nicht erwischt.

Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen. Komm mir bitte nicht mit dem lieben Geld. Ein Malware Befall wird euch deutlich mehr Kosten + möglicher Schadenszahlungen + Imageverlust.

Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist? OWA ist damit auch offline.


Gruß,
Dani
nachgefragt
nachgefragt 04.06.2025 aktualisiert um 20:02:11 Uhr
Goto Top
Zitat von @Dani:
Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen.
Was möchtest du uns erzählen?
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist?
Die E-Mails ist in dem Fall noch im Postfach/Inbox, wenn diese nicht zum Mailserver überstellt wurden.
https://help.proofpoint.com/Proofpoint_Essentials/Email_Security/Adminis ...
OWA ist damit auch offline.
OWA rockt: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/202 ...
Ich hab's längst aus.
CloudIstSoToll
CloudIstSoToll 05.06.2025 aktualisiert um 17:35:46 Uhr
Goto Top
Die Frage nach einer geeigneten UTM Lösung nach Abkündig der "UTM" hat mich auch länger umgetrieben.

Am Ende des Tages bin ich bei der XGS gelandet, Gründe:

  • gutes Preis-/Leistungsverhältnis
  • bei HA aktiv/passiv muss nur der aktive Knoten lizenziert werden
  • DPI erheblich leistungsfähiger und stressfreier als Web Proxy mit TLS Entschlüsselung
  • was ich gar nicht auf der Rechnung hatte: Antispam und WAF tatsächlich brauchbar, Exchange geht sogar mit Pre-Auth
  • 3rd party threat feeds -> sinnvolle Ergänzung
  • Let's Encrypt Implementierung
  • VPN mit OTP bereits built in
  • Live Logging mittlerweile wirklich brauchbar
  • bisher läuft alles sehr stabil, HA + Multiwan machen einen runden Eindruck

Was hatte ich im Vorfeld evaluiert?

  • Securepoint - nur kurz, war vor 2J keine Option (Gründe fallen mir gerade nicht ein)
  • Fortigate: einfach zu teuer im SMB Umfeld und nicht wirklich "UTM"- die wollen alles separat über andere Produkte verkaufen (z.B. Antispam + WAF), VPN Client kostete extra (pro User)
  • OpnSense: das erscheint mir eher als Baustelle, wenn man nach einer Rundum-Lösung sucht. Dafür habe ich keine Zeit. Damit bekommt man keine integrierte Sicherheitslösung mit NDR/0-Day Schutz und DPI ohne höhere Aufwände und Kosten hin. 3rd Party Integration für brauchbaren Webschutz etc. kostet extra, da bin ich kostenmäßig vom Xstream Bundle nicht weit weg. HA ist auch so eine Sache, erfordert 3 öffentliche IPs und ist auch in der Konfiguration nicht ganz ohne.

So mein Eindruck nach gut 1,5J Evaluieren, selbst umsteigen und erste komplexere Kundenprojekte.
Es ist nicht alles Gold, was glänzt, es gibt teils haarsträubende Eigenschaften oder Fragestellungen bei der Konfiguration (Gruppenmanagement, Spam-Quarantäne, lahmes Webfrontend).

Aber bisher bin ich für die Einsatzszenarien recht zufrieden und sicherheitstechnisch, sowohl was eingehende als auch ausgehende Verbindungen betrifft, lässt sich eine Menge herausholen und das war ein wichtiger Punkt bei der Auswahl.
nachgefragt
nachgefragt 05.06.2025 aktualisiert um 18:06:30 Uhr
Goto Top
Zitat von @CloudIstSoToll:
OpnSense: das erscheint mir eher als Baustelle
Da bist du leider schlecht informiert, kann ich dir sagen, als jemand, der jahrelang Sophos hatte und statt 80.000€ für Sophos, dann doch ein OPNsense Cluster laufen hat, für einen Bruchteil der Kosten.

Wenn OPNsense nicht funktioniert hätte, dann wäre ich... funktioniert aber, einwandrei face-smile

Ein paar Standort mit Sophos werden ebenso noch gegen OPNsense getauscht, wer wirklich den Blick in beide Welten kann, kann sich sicherlich ein besseres Urteil erlauben.
CloudIstSoToll
CloudIstSoToll 05.06.2025 aktualisiert um 18:06:33 Uhr
Goto Top
mir erschien eine Integration von Antispam, VPN mit OTP, WAF und Webschutz mit DPI alles andere als trivial. Das alles zu implementieren erschien mir als größeres Unterfangen und nicht als integrierte Lösung aus einer Hand mit Support durch einen Anbieter, von den Folgekosten für Webschutz u.a. ganz zu schweigen.

Außerdem war es keine Option, bei jedem Kunden drei öffentliche IPs für HA bereitzustellen.
nachgefragt
nachgefragt 05.06.2025 aktualisiert um 18:21:03 Uhr
Goto Top
Zitat von @CloudIstSoToll:
mir erschien eine Integration von Antispam, VPN mit OTP, WAF und Webschutz mit DPI alles andere als trivial.
Ich muss gestehen, gewisse Themen regelt die Endpoint Protection perfect, daher braucht es die Firewall nicht übernehmen.

Wie sollen externe Mitarbeiter, die nicht über die Firewall aus deren Home Office kommen, z.B. mit WAF versorgt werden. Das wäre ein Rückschritt, wenn diese nach dem VPN Aufbau den gesamten Traffic über VPN beziehen, Split Tunneling ist Standard. Also übernimmt es die installierte Endpoint Protection direkt auf dem Client, dass funktioniert einwandfrei.

Aber VPN ist kein Hexenwerk, man hat sogar mehr Auswahl: https://docs.opnsense.org/manual/vpnet.html

Folgekosten
Ich habe für die Umsetzung der OPNsense weniger bezahlt, als den Sophos DL für das "Sizing". Die OPNsense Community ist auf Zack, d.h. ich brauche auch weniger Dienstleistung.

Ich las hier im Forum, der mega Vorteil der Sophos XGS ist die Kombination mit der Endpoint Protection, soviel zum Thema Folgekosten.

Außerdem war es keine Option, bei jedem Kunden drei öffentliche IPs für HA bereitzustellen.
Du bist wirklich schlecht informiert, Stichwort: CARP
https://docs.opnsense.org/manual/how-tos/carp.html
CloudIstSoToll
CloudIstSoToll 05.06.2025 aktualisiert um 18:39:28 Uhr
Goto Top
muss jeder selbst wissen, ich für meinen Teil und meine Systemhauskollegen sehen es ähnlich: etwas größere Funktionalität (eben UTM) und Support aus einer Hand waren und sind ein Thema. Endpoint Protection zus. ist natürlich nice und sinnvoll, aber am zentralen Übergabepunkt (eben das Internet), möchte ich doch gerne sehen und möglichst zeitnah Response bekommen, wenn etwas aus der Reihe läuft.

Das geht m.E. nur über eine integrierte Lösung und nicht mit x-Addons verschiedener Anbieter, die ihrerseits Folgekosten produzieren, aber am Ende, wenn etwas nicht funktioniert meinen, dass sie mit dem restlichen Produkt nichts zu tun haben (wollen). Wie gesagt, mit Zenarmor war ich dann schon beim Preis des Xstream Bundles, bekam aber mehr als nur Web Protection.

Herz der Unternehmen sind das RZ und die lokalen Computer vor Ort und beides muss gut geschützt sein. Im Idealfall haben die externen User VPN Clients nur Citrix/RDP Zugriff, so die Konstellation bei vielen Kunden. Ansonsten bekommen Sie einen gemanagten Client.

Nicht falsch verstehen, ich habe keinen Vertrag mit Sophos, Forti oder OpnSense, war nur auf der Suche nach einer Lösung für mein Geschäftsmodell (was sich zum Glück mit einigen Partnern deckt) und wollte meine Erfahrungen zu dieser Frage hier darlegen.

Edit: wie soll HA beim WAN Interface ohne drei öffentliche IPs mit CARP denn funktionieren? Wie machst Du das bei Kunden, die nur eine oder 4 verfügbare haben (und die für andere Zwecke nutzen wollen)?
nachgefragt
nachgefragt 05.06.2025 aktualisiert um 18:52:35 Uhr
Goto Top
Zitat von @CloudIstSoToll:
ich für meinen Teil und meine Systemhauskollegen sehen
... müssen die Software verkaufen, die (viel) Geld einbringt. Eine OPNsense Business Edition, welche 10€/Monat kostet, und nicht mal notwendig ist, finanziert das Systemhaus nicht. Hardware + Lizenzen + Dienstleistung, so macht man als Sophos Händer Geld. Citrix, VMware, M365,... ist sicher euer Portfolio face-wink

Ist ja nicht verwerflich, aber auch nicht das Beste für den bzw. jeden Kunden. Ich habe erstmal lieber über 60.000€ mehr in meinem Budget, statt in deiner Kasse face-wink

wie soll HA beim WAN Interface ohne drei öffentliche IPs mit CARP denn funktionieren?
Such die einen OPNsense Dienstleister der es dir zeigt, wenn du die Doku nicht studieren möchtest face-smile

EDIT
Ich muss mich korregieren: Bei Sophos fande ich es mehr als verwerflich, deren Bestandskunden 200% Lizenzkosten abzurechnen bei 0% Neuerungen.
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)

Ich bin für Leben und Leben lassen, aber manche kämpf(t) um's Überleben und ersticken an Lizenzkosten, weil diese schlecht beraten werden.
CloudIstSoToll
CloudIstSoToll 05.06.2025 aktualisiert um 19:21:04 Uhr
Goto Top
->->wie soll HA beim WAN Interface ohne drei öffentliche IPs mit CARP denn funktionieren?
->Such die einen OPNsense Dienstleister der es dir zeigt, wenn du die Doku nicht studieren möchtest

Erkläre es mir und den anderen doch einfach. Wie funktioniert es auf der WAN Seite mit einer öffentlichen IP? Kann es überhaupt funktionieren?

Du hast hier Gelegenheit, die positiven Seiten der OpnSense zu beschreiben, ab einem gewissen Punkt benötigt man dann schon auch belastbare Belege.
nachgefragt
nachgefragt 05.06.2025 aktualisiert um 21:23:38 Uhr
Goto Top
Zitat von @CloudIstSoToll:
Wie funktioniert es auf der WAN Seite mit einer öffentlichen IP? Kann es überhaupt funktionieren?
Lass es dir von einem OPNsense Dienstleister erklären, der richtet dir die die Firewall ein, danach kannst du das Wesentliche selbst machen. Ich hatte oben schon genannt, wo du kostenlose Beratung findest. Bei Sophos muss man das Sizing des Dienstleisters zahlen.

Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Es ist keine Schande sich erfahrende OPNsense Dienstleister zu holen, die die Steine schneller ins Rollen bringen und die Ersteinrichtung vornehmen. Vor allem wenn man viele unterschiedliche Tätigkeitsfelder hat und nicht in jedes Detail absinken kann. Die Ersteinrichtung/Konzept steht sicherlich min. 5 Jahre, eher länger. Gut erklärt und dokumentiert, kann man ab dann das Ruder in die Hand nehmen.

Du hast hier Gelegenheit, die positiven Seiten der OpnSense zu beschreiben, ab einem gewissen Punkt benötigt man dann schon auch belastbare Belege.
Belastbare Belege? Ich glaub du bist auf der falschen Plattform. Ich kann die zwei Rechnungen von Sophos geben, 36 Monate auseinanderliegend, plötzlich 200% Lizenzkosten, 0% Neuerungen.

PS: Hier tauschen Administratoren ihre Erfahrungen aus, idealerweise keine Reseller.
Dabinaw
Dabinaw 06.06.2025 um 06:20:26 Uhr
Goto Top
Um noch mal auf das Thema zurückzukommen face-wink
Kann mir jemand einen guten SecurePoint Partner nennen.
CloudIstSoToll
CloudIstSoToll 06.06.2025 aktualisiert um 09:50:50 Uhr
Goto Top
"PS: Hier tauschen Administratoren ihre Erfahrungen aus, idealerweise keine Reseller."
Dito. Andernfalls könntest Du uns doch mal erhellen, wie CARP auf der WAN Seite mit nur einer öffentlichen IP gehen soll, oder?

Es geht nicht, so zumindest meine Recherchen damals und auch die Aussagen zu einem Fall mit pfsense, wo HA implementiert werden sollte. Es ging nicht, konzeptionell nicht möglich bzw. nur mit nicht unterstützten Workarounds und Einschränkungen (vulgo: Bastelkram).

Also bitte bei den Fakten bleiben und nicht Behauptungen auftellen. Wenn Du meinst es ginge, dann bitte Details liefern - es ist ja schließlich ein Verkaufsargument.

Auf Preisdiskussion müssen wir uns hier nicht einlassen, wenn wir Äpfel mit Birnen vergleichen. Für den Zweck eines 40-MA Büros jedenfalls lag ich am Ende gleichauf mit Zenarmor + OpnSense HA vs XGS HA mit Xstream Bundle und Mail Protection, dann fehlten aber noch viele Features bei der OpnSense und es wäre auch keine integrierte Lösung mit ganzheitlichem Ansatz gewesen, sondern zusammengewürfelt.

Auch die Kosten ab Jahr 4 aufwärts waren vergleichbar und insgesamt waren die Kosten pro Jahr für Subscription praktisch vernachlässigbar, im Gegensatz zu Fortigate vor allem.
nachgefragt
nachgefragt 06.06.2025 aktualisiert um 11:35:51 Uhr
Goto Top
Zitat von @Dabinaw:
Kann mir jemand einen guten SecurePoint Partner nennen.
Ich glaube gut ist relativ, je nach Erwartung. Ein Systemhaus hat gute und weniger gute Leute, daher wird man es wohl nicht pauschalisieren können. Kann z.B. sein, dass du auf örtliche Nähe wert legst.
https://www.securepoint.de/fuer-unternehmen/partner-suche


Zitat von @CloudIstSoToll:
Wenn Du meinst es ginge, dann bitte Details liefern - es ist ja schließlich ein Verkaufsargument.
Ich weiß nicht wie ich dir helfen kann, ist dir klar: ich verkaufe OPNsense NICHT, ich nutze sie. Ich habe über 60.000€ mehr Budget, weil ich nicht bei Sophos geblieben bin. Ich habe mir einen Dienstleister zu Hilfe geholt, der hat die Firewall schneller in Betrieb genommen, als man bei Sophos das Sizing durchführt.

Zenarmor + OpnSense HA vs XGS HA mit Xstream Bundle und Mail Protection
Das man OPNsense modular erweitern kann ist super, da sind wie uns einig, aber MUSS man unbedingt ZenArmor haben?
  • Nö, man kann auch die CE Version nutzen.
  • Als Unternehmen empfiehlt sich die BE Version, kostet 10€/Monat.
  • Wer viele Features nutzt, ob diese sinnvoll sind sei mal dahingestellt, muss auch jemanden abstellen der sich Tag für Tag darum kümmert. Bei OPNsense läuft einfach, ich muss nicht ständig irgendwas machen. Klar, ich könnte die ganzen Features aktivieren, allein IPS füllt Wochen.

Ein Systemhaus zielt natürlich auf einen Servicevertrag ab, man verdient eben regelmäßig an Beratung + Hardware + Lizenzen + regelmäßig (notwendige) Dienstleister,...
Und auch die Sophos Lizenzierung war mal kundenfreundlicher paketiert, heute zahlt man quasi alles, z.B. ob ich WAC möchte oder nicht, kostet dennoch den vollen Preis.
CloudIstSoToll
CloudIstSoToll 06.06.2025 um 12:00:08 Uhr
Goto Top
IPS füllt keine Wochen, sondern es sind drei Klicks mit etwas Erfahrung. Aber das ist nur Beiwerk, interessanter sind URL/IP Blacklist Einbindung, NDR und DPI, wenn es um erweiterte Sicherheit geht und alles zusammengenommen möchte ich aus einem Paket mit Support, denn eine integrierte Sicherheitslösung ist mehr als die Summe der Einzelteile.

Du hast Deine Meinung, ich meine und die war aus Sicht der Implementierung und Kosten/Nutzen Analyse, nicht eines Resellers und damit sollten wir das Thema jetzt auch so belassen.
nachgefragt
nachgefragt 06.06.2025 um 12:08:46 Uhr
Goto Top
Ich denke auch, wir sind uns einig:
Mit OPNsense starten, wenn's nichts ist, dann das 4-5fache an Sophos zahlen. War auch mein Gedanke, glücklicherweise macht OPNsense was es soll (und mehr als die gute alte Sophos UTM).

Hab ein schönes Wochenende!
CloudIstSoToll
CloudIstSoToll 06.06.2025 aktualisiert um 12:22:23 Uhr
Goto Top
in meinem Beispiel gab es Preisparität, um es noch mal klarzustellen. Äpfel-Birnen.
Ich denke auch, 1000€/Jahr für 40 User und Abdeckung von WAF für Webservices (OWASP), Pre-Authentication für Exchange, Webschutz, TLS 1.3 Deep Inspection, Kategorie- und Applicationfilter, Antispam, VPN mit OTP ist mehr als fair. IPS erwähne ich jetzt gar nicht, da nettes Beiwerk aber unbedeutend.

Was Du meinst, wäre der Vergleich mit Fortigate und da wäre noch nicht mal alles dabei.
nachgefragt
nachgefragt 06.06.2025 um 16:39:47 Uhr
Goto Top
Zitat von @CloudIstSoToll:
Du hast Deine Meinung, ich meine
Ich habe einfach Erfahrungswerte, jahrelang von Sophos, und nun auch OPNsense, aus Kundensicht und Admin.
Du bist Vertriebspartner/Reseller, verdienst damit also deine Brötchen, das Vertriebs-blabla ist mir bekannt. Bei Sophos muss der Kuchen durch viele Instanzen geteilt werden, jeder will mitverdienen, "es wird eben alles teurer" für den Kunden.

1000€/Jahr für 40 User
Bei Sophos kommen ordenliche Kosten/Folgekosten hinzu:
'+ Sizing, + Ersteinrichtung, + Wartungsvertrag, + sicherlich muss der Sophos Partner/Dienstleister ab und an einen Blick drauf werfen (ab 150€/h).
'+ regelmäßige Lizenzkostenerhöhung sehr wahrscheinlich (in meinem Fall auf 200% Lizenzkosten nach 36 Monaten bei 0% Neuerungen)

OPNsense mit 120€ im Jahr, egal ob 40 oder 400 User. Bei 40 Usern reicht eine kleine (alte) Kiste, einfach mit einer weiteren Netzwerkkarte versehen, für den Anfang. Eine zweite davon als cold standby statt Cluster, der Restore aus dem Backup dauert keine 5 Minuten. Man kann auch die kostenlose CE Version nehmen.

Und wenn's es doch eine "next gen" Firewall sein soll, mit ZenArmor ergänzen: https://www.zenarmor.com/plans
Allerdings sollte man seine Endpoint Protection prüfen, ob man da nicht auch ansetzt, weil besser/günstiger oder sogar schon vorhanden.
CloudIstSoToll
CloudIstSoToll 10.06.2025 aktualisiert um 17:39:09 Uhr
Goto Top
Wenn Du meinst.

Ich bin in erster Linie Dienstleister, Reselling interessiert mich nicht, denn davon kann man im kleinen Umfang nicht leben. Mir geht es um Lösungen und Verantwortung und eine zusammegewürfelte Box ist keine integrierte Lösung mit einem Supportkanal, sondern das führt nur zum Pingpong mit unterschiedlichen Anbietern im Supportfall - entweder, weil es gekracht hat, oder weil schlicht Dinge nicht vernünftig zusammenarbeiten. Vergleichbar ist der Multi-Cloudansatz: die reinste Katastrophe mit hohen Folgekosten. Anstatt das "Beste aus mehreren Welten" bekommt man eine auf die 12 mit hohen Kosten, so sieht es doch in Wirklichkeit aus.

Alles weitere steht im Text und jeder muss und mag das für sich bewerten, nachrechnen kann auch jeder selbst.