wusa88
Goto Top

Neuer Router-Firewall im Business Bereich

Hallo zusammen,

wir sind gerade am Überlegen, wie wir unsere bestehende Infrastruktur umstellen sollen.
Aktuell werden Zyxel USG eingesetzt. Diese, da schon in die Jahre gekommen, sollen ersetzt werden.

Wir haben mehrere Zyxel im Einsatz, mit verschiedenen WAN IPs.
Auch verschiedene Netze hinter den Zyxel.

Anforderung haben wir nicht allzu viele.
Es sollen verschiedene Netze verwaltet werden. In Summe zwischen 6-10 Stück.
Teilweise voneinander getrennt.
VLAN ist aktuell nicht im Einsatz, sollte aber mit der Umstrukturierung kommen.

IPSec und SSL VPN haben wir im Einsatz.

Was schön wäre, wenn wir alles von einer Firma hätten.
Router/Firewall, Switch und AccessPoint. Wäre nur schön, aber kein absolutes Muss.

Was für Infos werden noch benötigt?

Wir sind uns unschlüssig, welche Hardware eingesetzt werden soll.
Zyxel ist teilweise umständlich zu Konfigurieren. Wir haben allerdings auch keine Erfahrung mit anderen Systemen.
Haben den Bestand so übernommen.

Danke

Content-ID: 6639598255

Url: https://administrator.de/forum/neuer-router-firewall-im-business-bereich-6639598255.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

michi1983
michi1983 04.04.2023 um 16:17:58 Uhr
Goto Top
Hallo,

Was schön wäre, wenn wir alles von einer Firma hätten.
Router/Firewall, Switch und AccessPoint. Wäre nur schön, aber kein absolutes Muss.
Und von welchem Hersteller habt ihr für Router, Switch und APs im Einsatz?

Gruß
wusa88
wusa88 04.04.2023 um 16:23:07 Uhr
Goto Top
Bisher Zyxel also Router/Firewall,

Switche haben wir unterschiedliche im Einsatz. Dlink, Zyxel, HP

Und AccessPoints von Zyxel und Netgear.
Mr-Gustav
Mr-Gustav 04.04.2023 um 16:24:54 Uhr
Goto Top
Was wollt Ihr denn genau machen ?
Wie viele VPN Tunnel gibt´s ? Home Office User, wie viele ?
Welchen Durchsatz soll die Firewall bringen ?
Hängen da noch Server hinter welche nach extern bereitgestellt werden ?

Anhand deiner Beschreibung geht´s vom billig Baumarkt Router bis hin zu einer Cisco ASA ( Firepower ) oder Juniper Firewall.
Wollt Ihr auch Webfilter / Application Filter / Reverse proxy etc. haben ?
Von wie vielen Usern reden wir ?
Welches Zyxel Modell wird derzeit eingesetzt ? Wenn Ihr mit Zyxel zufrieden seit warum wechseln ?

Andernfalls würde ich ggf. in die richtung schon vorhandener Hersteller gehen. Heißt wenn ihr z.b. Cisco Switches habt dann entsprechend ggf. eine Cisco Firewall........
Da aber nicht wirklich klar ist was Ihr / Du vorhast geht das wie gesagt von einer reinen Firewall , VPN Gateway bis hin zum kompletten Security Gateway mit allem bla und blubb. Preis natürlich auch von Tretroller bis Porsche oder Airbus 320 oder 380
michi1983
michi1983 04.04.2023 um 16:27:15 Uhr
Goto Top
Zitat von @wusa88:

Bisher Zyxel also Router/Firewall,

Switche haben wir unterschiedliche im Einsatz. Dlink, Zyxel, HP

Und AccessPoints von Zyxel und Netgear.

Na wenn ihr zufrieden seid und keine weiteren Anforderungen habt, dann stelle doch alles auf Zyxel um, dann hast du doch dein Wunschsezenario.
haggard
haggard 04.04.2023 um 16:28:23 Uhr
Goto Top
Alles von einer Firma, da fällt mir nur Lancom ein, wenn ihr neu kaufen wollt.

Ansonsten Router und APs von Sophos, und Switche von HP, wäre so meine erste Wahl für das 'Szenario'.

Vorausgesetzt das ihr komplett neue Hardware einsetzen wollt.
wusa88
wusa88 04.04.2023 um 16:37:07 Uhr
Goto Top
VPN Tunnel gibt ca. 45-50 Stück.
Home Office User sind wechselnd, aber ich denke das sind min. 30.

Durchsatz kann ich wirklich nicht sagen, bzw, kann ich absolut nicht einschätzen.
Aktuell haben wir 2 Netze die komplett zusammengeschaltet sind, und alles über den Router läuft. Hier denke ich läuft die meiste Last.

Hängen da noch Server hinter welche nach extern bereitgestellt werden ?

Ja unser CRM System ist im Haus gehostet das ohne VPN bereitgestellt wird. User ca. 100 aber nicht gleichzeitig.

Wollt Ihr auch Webfilter / Application Filter / Reverse proxy etc. haben ?
Aus meiner jetzigen Sicht: Nein brauchen wir nicht.

Aktuell werden Zyxel USG 110 eingesetzt. EOL von diesem Produkt ist 2024 wenn ich das richtig im Kopf habe.
Da wir aktuell mit der Konfig nicht soo gut zurecht kommen, dachten wir an einen Wechsel.

Daher die Frage: Was wie wo ;)

Ich mache das ganze auch nicht alleine, und wir uns intern oft beraten aber nicht wissen in welche Richtung es gehen soll, dachte ich, ich frage einfach mal hier.
wusa88
wusa88 04.04.2023 um 16:39:09 Uhr
Goto Top
Zitat von @haggard:

Alles von einer Firma, da fällt mir nur Lancom ein, wenn ihr neu kaufen wollt.

Lancom hatten wir gar nicht auf dem Schirm.
Es stand die Frage im Raum ob wir uns Ubiquiti antun sollen. Da bin ich aber nciht begeistert.
Mikrotik ist für meinen Kollegen wegen dem Aufwand nichts.

Cisco, HP, usw. haben wir keinerlei Erfahrung. Kosten wissen wir daher auch nicht wirklich was da auf uns zukommen würde.
commodity
commodity 04.04.2023 um 16:58:16 Uhr
Goto Top
Ist schwierig, solch eine Frage ohne konkretisierte Anforderungen zu beantworten. So kann im Prinzip jeder nur seine "Lieblinge" nennen.
Die Ausstattung ist eine Frage der Vorlieben, des Geldbeutels und der persönlichen Erfahrung.
Kein Netzwerkequipment taugt etwas, das man nicht in den Basics im Schlaf bedienen kann.

Ich persönlich finde auch, gutes Netzwerkequipment ist solide (also keine Billigheimer) zeigt mir möglichst in Echtzeit, was im Netz los ist, ist leistungsfähig (also auch auf dem GUI nicht von Anfang an träge) und zu teuer sollte es auch nicht sein, sonst zahlt der Kunde mehr fürs Material als für die Dienstleistung (oder hat danach keine Lust mehr).
Mikrotik ist für meinen Kollegen wegen dem Aufwand nichts.
Das kann eigentlich nur von jemandem kommen, der mit Netzwerkverwaltung nicht viel am Hut hat. In der IT ist Evolution alles. Manch einer verschläft sie.
ob wir uns Ubiquiti antun sollen. Da bin ich aber nciht begeistert.
So geht es mir auch. Der Kollege findet es aber bestimmt "schick" face-wink

Wenn ich Mikrotik ausschließen müsste, würde ich am Perimeter auf eine Sense setzen und dahinter Cisco CBS legen.

Viele Grüße, commodity
haggard
haggard 04.04.2023 um 17:02:12 Uhr
Goto Top
HP Switche habt ihr doch im Einsatz.
Von daher sollte das reichen um zumindestens die Netze weiterhin zu konfigurieren.
Firewalls gibt es wie Mr-Gustav sagt viele.
Allerdings sind diese mehr oder weniger komplex zu konfigurieren (kein Vergleich mit einem Home Router wie eine Fritzbox).
Auch Sophos ist teilweise sehr komlex je nachdem was man machen will, hat halt den Vorteil das die Firewall die eigenen APs mit steuert und somit die Einstellungen etwas komfortabler sind.

Lancom als deutscher Hersteller bietet alles an (Router, Firewall, VPN Gateway, WLAN AP und WLAN Controller) nicht gerade der günstigste Hersteller, dafür komplett Deutsch und sehr guter Support.
Vorteil kann evtl. die Lancom Cloud Management Engine sein, da hier viele vorgefertigte Skripte schon bereitgestellt werden die die Konfiguration erleichtern und man auch von aussen relativ einfach ein Gerät "fernwarten" kann.
chiefteddy
chiefteddy 04.04.2023 um 17:28:32 Uhr
Goto Top
Hallo,
auch Sophos hat alles im Angebot: Firewall, VPN-Router für Außenstellen, Switche und APs.
Über die Switche kann ich nichts sagen, den Rest haben wir im Einsatz.
Das zentralisierte Management - auch der Außenstellen - über die Cloud ist natürlich sehr arbeitserleichternd.

Jürgen
commodity
commodity 04.04.2023 um 17:54:23 Uhr
Goto Top
Bei diesen All-In-One-"Lösungen" geht es vor allem um dies:
Den Verkauf von Subscriptions und die Bindung an ein Ökosystem.

Zur Qualität solcher Lösungen ist hier schon alles gesagt:
Neue Hardware von Sophos - Managed Switches

Viele Grüße, commodity
aqui
aqui 04.04.2023 aktualisiert um 18:11:13 Uhr
Goto Top
Cisco 926-4P oder Cisco 1100.
Kommen beide mit einer Zonen basierten SPI Firewall daher.
Cisco Tutorial
chiefteddy
chiefteddy 04.04.2023 um 19:03:09 Uhr
Goto Top
Hallo @commodity,

darum sind meine Switche ja auch nicht von Sophos. face-wink

Jürgen
commodity
commodity 04.04.2023 um 21:06:05 Uhr
Goto Top
+1
wusa88
wusa88 05.04.2023 um 07:48:24 Uhr
Goto Top
Zitat von @commodity:
Mikrotik ist für meinen Kollegen wegen dem Aufwand nichts.
Das kann eigentlich nur von jemandem kommen, der mit Netzwerkverwaltung nicht viel am Hut hat. In der IT ist Evolution alles. Manch einer verschläft sie.
Ich muss aber ehrlich gesagt auch gestehen, dass ich mir nicht sicher war, ob Mikrotik so tief in Business Firmen drin ist. Ich selbst nutze es bei mir Privat und lese auch viel über Mikrotik, aber ob die Voll Business fähig sind, war mir neu.
ob wir uns Ubiquiti antun sollen. Da bin ich aber nciht begeistert.
So geht es mir auch. Der Kollege findet es aber bestimmt "schick" face-wink
Genau

Zitat von @chiefteddy:

Hallo,
auch Sophos hat alles im Angebot: Firewall, VPN-Router für Außenstellen, Switche und APs.
Ich habe mir über einen Business Partner im Unternehmen sagen lassen, dass Sophos an sich super sein soll. Aber alles mögliche Lizensiert werden muss. Das macht es dann doch schon wieder etwas unattraktiv.
commodity
commodity 05.04.2023 um 09:25:11 Uhr
Goto Top
ob die Voll Business fähig sind, war mir neu.
lks hat oben dazu schon das Zutreffende gesagt. Ein Blick auf die Produktpalette sagt doch alles. Wäre mir neu, dass 100G-Router in Privathaushalten stehen. Oder einfach im MT-Forum mitlesen, wer da was macht. Wäre mir auch neu, dass Zyxel oder Ubiquiti Geräte in diesem Segment anbieten.

Wenn Du mit "voll Business fähig" aber einen Herstellersupport mit Subscription meinst, der sich 24/7 um Dich kümmert und VO-Tausch macht, ist Mikrotik nichts. Und mit einem Kollegen, der Klickibunti-Fan ist - auch nichts.

Für mich zählen Zuverlässigkeit, Leistung, Transparenz, Preis. face-smile Tauschen kann ich selbst face-big-smile

Viele Grüße, commodity
Starmanager
Starmanager 05.04.2023 um 14:32:03 Uhr
Goto Top
Fortinet. Damit hat man eine gute Firewall-Loesung und kostenlose Vpn-Clients und 2FA gibt es gegen Aufpreis. Preislich im gruenen Bereich.
Mr-Gustav
Mr-Gustav 05.04.2023 um 16:00:35 Uhr
Goto Top
Bei Zyxel bleiben ?
Die anderen Firewall müssen auch lizenziert werden und benötigen für jeden Mist
eine Lizenz.
Was gefällt dir denn an Zyxel nicht ?
wusa88
wusa88 05.04.2023 um 16:27:54 Uhr
Goto Top
Ein Thema was ich nicht verstehe, warum muss man bei Zyxel das Routing und die Firewall separat einstellen?
Das kenn ich auch anders.

Aktuell schreiben wir alle Anforderungen auf und schauen wo die Reise hingehen soll.
Momentan da keine Entscheidung getroffen werden kann, sieht es so aus, als würden wir zunächst bei Zyxel bleiben.
Mr-Gustav
Mr-Gustav 06.04.2023 um 11:40:33 Uhr
Goto Top
Nun ich vertrete ja die die Meinung das wenn man sich an ein System bzw. die GUI gewöhnt hat und diese beherrscht das man dann entspr. auch bei bleiben sollte.
Ausnahmen sind hier allerdings dann die Fälle wo sich ein oder einige Szenarien eben nicht mehr mit dem alten Hersteller abwickeln lassen. Dann muss man natürlich eine Alternative suchen.
Unterm Strich muss ich mittlerweile sowieso jeden Furz den eine Firewall kann extra bezahlen oder jeden User extra je nach Geschäftsmodell.
Das man eine Firewall kauf und die dann ohne Zusatzkosten auskommt ist derzeit fast unmöglich. Ausgenommen natürlich die Geräte die reines Portfiltering usw. machen. Wenn ich da dann eine Blacklist Check oder Webproxy oder oder oder haben will dann muss natürlich bezahlt werden denn es hat sich ja jemand hingesetzt und hat eine Liste erstellt in der dann z.b. die aktuellen IP´s der Botnetz Server drinne stehen oder eben die gefährlichen Seite welche nicht geöffnet werden sollen bzw. durch die FW geblockt werden sollen.

Alternativ kannst du dir ja mal die Cisco ASA ansehen wenn es rein um Firewall und IPSec S2S und Client VPN geht.
Je nach Modell können die dann auch was mehr.

Firewalls welche ich einsetzte bzw. verwalte ( Firma / Nebengewerbe / Privat:
Cisco ASA ( nur Verwaltung )
Sophos ( komplett inkl Installation und Einrichtung )
Zyxel USG / Zywall ( IPSec Client Zugangspunkt für Remote Netz/ Standort )
Barracuda ( nur Verwaltung auf Arbeit - wie die Cisco ASA´s )
Citrix Netscaler ( wird abgelöst )
F5 Big IP Edge ( Firewallfunktion / Rev. Proxy / VPN Endpoint für WEB VPN und VPN Client )
Juniper ( nur damit gespielt ) -
Juniper SA4500 ( EoL und eigentlich auch keine richtige Firewall

und dann wären da noch die ein oder andere PFsense/Opensense im HA Modus. Hierfür gabs/gibts Kombi Gehäuse wo zwei APU Board rein passen und ich hab dann auf 1 HE ein Minicluster aus zwei Firewalls



Hersteller mit denen ich zufrieden war:

Cisco ASA / Cisco ASA Firepower ( 5515? / 5525 / 5545 / 5585 )
Sophos ( in Hardware als auch als reine Software auf eigener Hardware )
Barracuda ( Modell F380 und F80 )
Zyxel USG oder Zywall ( hier aber nur als VPN Client für die Standortanbindung

+++Hersteller die mir nicht ins Haus kommen@@. @@
Securepoint
Sonicwall ( pers Gründe ) - Sind die mittlerweile nicht von DELL gekauft ?


Was ich mir bisher nur angesehn und für "gut" befunden habe

Fortinet
Watchguard
Juniper SRX und SSG
commodity
commodity 06.04.2023 aktualisiert um 12:37:43 Uhr
Goto Top
+++Hersteller die mir nicht ins Haus kommen@@. @@
Securepoint
face-big-smile Ja, es gibt Dinge, die muss man sich nicht antun.

Viele Grüße, commodity
Mr-Gustav
Mr-Gustav 06.04.2023 um 15:43:35 Uhr
Goto Top
weis ich jetzt auch face-sad
Alleine das der Reverse Proxy kein SNI kann. Das kann jeder FW mit Reverse Proxy´. Lauf dem Support ist das so nicht vorgesehn weil das nicht so viele leute machen ...... Das Führt dann zu lustigen entweder/oder Entscheidungen.
Nextcloud oder OWA per Reverse Proxy.

Wobei ich mal sage das es durchaus üblich ist mehr als 1 Webseite per Rev.Proxy zu verteilen.
Alleine wenn ich da OWA,Nextcloud,MDM und ggf. Citrix Gateway denke .....
Und das UI ist nach dem Update noch grottiger geworden als es vorher war. IPSec Einrichten ist auf dem Ding ebenfalls ein Krampf. Und OSPF / RIP kann man garnicht per GUI einrichten. Das geht nur rudimentär über die CLI.
Logs und Livelog ist auch nicht der Knaller. Da gibts deutlich bessere Lösung wie z.b. von Sophos und Co.
commodity
commodity 06.04.2023 um 17:00:46 Uhr
Goto Top
Das Reverse-Proxy Problem kannte ich noch nicht. Ich habe nur eine "geerbt" und der Kollege, der die verbaut hat meinte, der Kunde wollte was haben und der Distributor hat das angeboten. Eingerichtet wurde nichts. Genau der Usecase für das Gerät. Ein Blender. Nichts zum Arbeiten.
Die "Freuden" mit IPsec und Logs sind auch meine und das CLI ist mir auch aufgestoßen. Und die träge Oberfläche (ist nur ein Black Dwarf). OpenVPN kann sie aber immerhin recht ordentlich. face-smile

Viele Grüße, commodity
Mr-Gustav
Mr-Gustav 06.04.2023 um 17:09:20 Uhr
Goto Top
Open VPN geht in der Tat ganz flott. Site 2 Site über OVPN geht auch.
Zielgruppe sind wohl eher selbsternannte Admins face-smile
Die Dinger werden meistens von Wortmann hergestellt ( also die PC´s ) und dann
meistens über Wortmann bzw. über die an Wortmann angeschlossenen Servicepartner /
IT Unternehmen vertrieben und verkauft. Was hatte ich schon meinen Spaß mit der Hotline face-smile
Und das bezieht sich jetzt nicht nur auf die Firewall sondern auch auf den Securepoint AV. Da sind mir
genau so einige Dinge aufgestoßen wie bei der Firewall. Ich werde übrigens das Gefühl nicht los das die
irgendwie mit Wortmann zusammenhängen und oder anderweitig verbandelt sind.
Wortmann setzt die Firewalls ja auch als VPN Gateway für die IAAS Server Hosting Sachen ein. Da treffe
ich regelmäßig auf die Dinger in Virtuell. Cloud made in Deutschland
commodity
commodity 06.04.2023 um 17:14:32 Uhr
Goto Top
face-big-smile
Ich habe letztens mal wieder Securepoint AV auf einem Client entfernt. Nachdem dann der Defender hochkam, gab es erstmal mehrere Malwarefunde. Installation der Malware in 2021. Das Ding hat 2 Jahre nichts gemerkt...

Viele Grüße, commodity
Mr-Gustav
Mr-Gustav 11.04.2023 um 07:54:20 Uhr
Goto Top
Ja bin auch dabei den Defenter for Endpoint über all zu Installieren. Wir bezahlen´s ja mit den MS365 E3 und MS365 Prem. schließlich mit und dann sollte man doppelte Kosten vermeiden.
Umstellen tut sowohl mein Haupt AG bei dem ich angestellt bin als auch die eine größere Firma mit 150MA die ich betreue.
Bei der 150Ma Firma komm ich beim Securepoint AV nicht mal auf die Konsole des AV weil das nur der Partner bzw. Reseller von Securepoint darf ( angeblich ). Das finde ich zum Kotzen ! Dann muss alles über den DL laufen und der Rechnet im 5 Min Takt ab face-smile
Aber das gibts dann nicht mehr. Ich denke aber das ist das Goodie was die für die DL bieten welche die Lizenzen verkaufen/vermieten


Bei meinem Haupt AG gibts hingegen von GDATA eine Konsole. Aber GDATA ist zu teuer geworden also fliegts raus.
Defender ist ja nicht mehr so schlecht.