uhli90
Goto Top

Kerio Control Hardware Was und Wie

Hallo liebe Kollegen,

ich plane demnächst "Kerio Control" in mein Repertoire auf zu nehmen und wollte mich einfach mal schlau machen wie Ihr es einsetz oder welche Hardware ihr nutz.

Würdet ihr es auf einer Hyyper-V oder einer VMWare-Umgebung einsetzen?


Also ich stelle mir folgendes vor:

Hardware: Fujitsu MX130 S2 mit einer zusätzlichen Netzwerkkarte

dort spiele ich einen Hyper-V 2012 R2 Server auf und installiere dort das Kerio Control. Fertig!


Aber der MX130 S2 ist wahrscheinlich etwas übertrieben, da er auch noch mit einer weiteren Netzwerkkarte ausgestattet werden muss. Also was würdet ihr machen?

Gruß der Uhli

Content-ID: 248310

Url: https://administrator.de/contentid/248310

Printed on: October 9, 2024 at 23:10 o'clock

108012
Solution 108012 Sep 04, 2014, updated at Dec 30, 2014 at 17:36:24 (UTC)
Goto Top
Hallo,

ich plane demnächst "Kerio Control" in mein Repertoire auf zu nehmen
Als was oder wie sollte das denn aufgenommen werden?
Als Ersatz für eine Firewall oder gar eine zusätzliche Firewall?

und wollte mich einfach mal schlau machen wie Ihr es einsetz oder welche Hardware ihr nutz.
Da man bei Kerio auf Sophos setzt könnte ich mit auch eine kleine Sophos UTM vorstellen,
denn die benutzt auch den selben AV Schutz und bringt noch HA Fähigkeit und auch einen
Kontentefilter mit dazu.

Würdet ihr es auf einer Hyyper-V oder einer VMWare-Umgebung einsetzen?
Gar keine von beiden, denn eine Firewall sollte nicht in einer VM "stehen".

Also ich stelle mir folgendes vor:
Hardware: Fujitsu MX130 S2
ca. ~500 €

mit einer zusätzlichen Netzwerkkarte
Intel Server Netzwerkadapter ca. ~250 €

dort spiele ich einen Hyper-V 2012 R2 Server auf und
installiere dort das Kerio Control. Fertig!
Braucht man da nicht auch noch Lizenzen für?

Also dann lieber eine pfSense auf einen kleinen Server der auch noch aufzurüsten ist und
dort dann mittels Squid, SquidGuard und Snort nebst ClamAV eventuell besser wegkommen.

Aber der MX130 S2 ist wahrscheinlich etwas übertrieben, da er auch noch mit
einer weiteren Netzwerkkarte ausgestattet werden muss.
Dann kommen noch einmal ca. ~250 € dazu und dann lohnt sich doch auch schon
ein Blick auf eine kleine Sophos UTM, oder? Denn ca. ~280 € jährliche Gebühren
kommen auch noch dazu!

Also was würdet ihr machen?
  • kleine Sophos UTM kaufen
  • Barracuda NG Firewall
  • Netgear UTM25 oder UTM50 anschauen

  • MikroTik CCR Router und eine transparenten Squid - AV & Snort Proxy dahinter

  • Endian
  • Smoothwall
  • pfSense auf kleinen Server
  • ClearOS einmal anschauen, die kann man auch mittels Plugins aufrüsten
Kostelose und kostenpflichtige!

Gruß
Dobby
hijacker99
hijacker99 Sep 04, 2014 at 18:11:36 (UTC)
Goto Top
Ich kenne Kerio Control. Lass de Finger davon! VM geh gar nicht als Firewall, jedenfalls meine Meinung. Und hardwaremässig grottenschlechte Unterstützung von Hardware. Ich setze auf die IPCop, da habe ich, zusammen mit dem Proxy paktisch alles abgedeckt. Und wenn ich eine einfache ContentFilterung brauche, nehme ich OpenDNS.
schloegel-edv
Solution schloegel-edv Dec 30, 2014 updated at 17:36:11 (UTC)
Goto Top
Besser spät, als nie face-smile :

Also, ich kann mich den Ausführungen von @hijacker99 überhaupt nicht anschließen.

Ich verwende in meinem Repertoire schon lange Kerio Control und habe nur positive Erfahrungen machen können. Auch was die Erkennung von Hardware betrifft.

Die Firewall ist recht anspruchslos, was die Hardware betrifft. Aber das steht ja auch auf der Herstellerseite. Sie ist gerade für kleine "Allrounder", wie mich, der nicht bei jedem Produkt bis ins letzte Detail den "Durchblick" hat, wunderbar zu administrieren. Es gibt tollen Support dafür und man kann sehr viel damit machen. Darauf will ich aber gar nicht eingehen. (Übrigens mit dabei genial einfache VPN Lösung! - ohne Zusatzkosten.)

Selbstverständlich zahlt der Kunde dafür einen jährlichen Obulus, der aber meiner Meinung nach verschmerzbar ist. Er bekommt dafür auch regelmäßige Updates. Die Jungs sind absolut rührig.

Was die Hardware betrifft, kannst Du zB. Intelboards nehmen, wie das D2500CC, (was es aber kauf noch gibt) in Verbindung mit Mini-ITX Gehäusen. Auch geht sowas: Gigabyte GA-C1037UN-EU. Du kannst auch Bundles mit ALIX Board nehmen, hier gibt es sogar 3 LAN Anschlüssen. Die Hardware lässt sich unkompliziert schnell austauschen. Im Grunde mit jedem PC, den Du rumstehen hast, falls wirklich mal was ausfällt. CD rein, installieren, LAN konfigurieren, Restore deiner Konfiguration und weiter gehts es, bis Dein eigentliches System wieder funktioniert.

Wie alle vor mit gesagt haben, nicht virtualisieren!

Aber auch die von @108012 genannte Variante pfsense oder m0n0wall lässt sich alternativ mit noch weniger Hardwarerecourcen betreiben. Dies kostenfrei, allerdings ohne Support im Hintergrund und du musst wissen, an welchen Rädchen du stellen musst. Allerdings gibt es auch wunderbare To-Do`s im Netz. Habe das mehrfach erfolgreich als öffentlichen Hotspot eingesetzt. Bei Fragen zu Control einfach fragen.
hijacker99
hijacker99 Jan 13, 2015 at 17:52:21 (UTC)
Goto Top
Jaja, Firewalls auf Basis von Consumer Hardware. Das ist doch genau das, was wir wollen!! Wir haben diverse Atom-Rack-Systeme auf Basis von Supermicro, verbaut sind Intel i350AM2 Chipsets. Das ist absolut verbreitet. Die werden nicht unterstützt. Und wie willst Du Content-Scanning, AD Authenifizierung usw. fahren mit einem Gerät auf ALIX-Basis? Die haben, soweit ich weiss, eine CPU mit 800 MHz und 256 MB RAM. Das reicht nie und nimmer, auch nur ansatzweise eine anständige Performance zu fahren. Schon gar nicht im Zeitalter von 100MBit + Leitungen!

Deine Kunden tun mir leid, die werden ja viel zu viel Geld für eine schlussendlich schwache Internetperformance zahlen. Und am Ende geht dann sicher immer die Frage an Dich: "Warum zahle ich im Betrieb ein paar hundert Euro und habe die zig-Fach schlechtere Performance als zu Hause"... Gell, diese Fragen hörst Du immer. Aber Du denkst dann, warum Performance, wenn es auch gemütlich geht. Sagst dann, dass die Mitarbeiter eh nur Sch***dreck ansurfen und nur herumblödeln wenn die Performance gut ist. Dass es also gut ist, wenn die Inet-Leitung (notabene wegen einer viel zu schwachen Hardware) im Loch unten bleibt.
Uhli90
Uhli90 Jan 13, 2015 at 18:13:17 (UTC)
Goto Top
@hijacker99 Ich weiß ja nicht mit was für Netzwerkgrößen du arbeitest, bei mir liegt es meist zwischen 1-10 Clients. Da hatte ich noch keine spürbaren Einbußen. Zudem ist ein beliebtes Argument wenn's dann doch mal langsamer ist: Sicherheit oder Geschwindigkeit?!

Gruß vom Uhli90
schloegel-edv
Solution schloegel-edv Jan 13, 2015 updated at 18:26:43 (UTC)
Goto Top
@hijacker99 oh Mann... Du bist auch so einer, mit dem keiner spielen will...

Nein, meine Kunden sind mir leider seit zwei Jahrzehnten treu verbunden. Hier gehts um KMU´s und nicht um Großkonzerne. Aber mach weiter Dein Zeugs. Es gibt ja wunderbarerweise für alle Töpfe Körner, die da reinfallen können.

Ach, und lies bitte zukünftig vorher die technischen Daten.Für alle anderen: die Performance passt.
hijacker99
Solution hijacker99 Jan 14, 2015, updated at Jan 15, 2015 at 18:48:15 (UTC)
Goto Top
Me too! Alles KMU, keine Grosskonzerne. Aber die Kunden sind es sich gewohnt, dass die Inet-Leitung schnell sein muss, auch mit Content-Filterung. Es kommt halt drauf an, was man alles aktiviert. Fact ist, dass Kerio Control seine "Stärken" im Bereich der AD-Authentifzierung mit Protokollierung und Content-Filterung ausspielen kann. Wenn denn die Hardware, die ich einsetzen möchte mitspielen würde face-wink

Für Firewalls, wo keine AD-Authentifierung benötigt wird, empfehle ich andere Lösungen, ganz klar.

z.B. PCEngines APU Board mit IPCop, pfsense oder IPFire. APU ist die Nachfolgeplattform der ALIX und um einiges schneller. Solltest Du Dir mal reinziehen.
schloegel-edv
schloegel-edv Jan 15, 2015 updated at 21:48:31 (UTC)
Goto Top
Mir ist das hier schnell genug. http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-AMD-APU1D4 ...
Ansonsten kann man ja auch noch kleinere Rechner von HP oder FSC einsetzen. Die gibts sicher auch nit i5 oder 7 und ellenlager Garantie.

Ich konnte bisher nicht feststellen, daß es langsam läuft.

Pfsene hatte ich ja auch schon benannt. Aber für Kerio spricht auch eine wunderbare VPN Lösung, die hauseigen ist und im Preis inklusive.