Pfsense vs LANCOM Firewall für 10 User

illusionfactory
Goto Top
Hallo, zusammen,

wir haben im Moment eine pfsense Firewall. Weil die ein befreundeter Nebenberuf-Admin betreut, der das super macht, aber nicht immer verfügbar ist (Bundeswehr-Auslandseinsätze), überlegen wir, auf eine LANCOM Lösung des Unternehmens zu wechseln, was inzwischen den Rest unserer Infrastruktur betreut.

Uns wurde angeboten: LANCOM R&S Unified Firewall für 4.000 netto plus 2.500 Einrichtung. Ab dem 4. Jahr fallen 1.300 im Jahr für Content-Filter-Updates an.

Ich bin ein Freund professioneller Lösungen und würde die Kohle ausklinken, aber nur, wenn es wirklich sinnvoll ist. Wir sind eine Marketing-Agentur mit 10 Mitarbeitern.

Reichen die Informationen aus, um eine Meinung kund zu tun? face-smile
Danke!
Martin

Content-Key: 2837937042

Url: https://administrator.de/contentid/2837937042

Ausgedruckt am: 02.07.2022 um 16:07 Uhr

Mitglied: LeReseau
LeReseau 19.05.2022 aktualisiert um 11:05:45 Uhr
Goto Top
Als IT Profi hier im Forum weisst du auch selber das eine pfSense/OPNsense auf einem APU3 oder APU4 diese Anforderungen auch mit links wuppt für ein Zehntel des Preises. Die Einrichtung für 10 User ist in max. 1 Stunde erledigt.
Im Lancom werkelt ja auch nur ein Linux. Nur eben dann mit Dienstleistung. face-wink
Es ist deshalb keine technische Entscheidung sondern eine rein kaufmännische und da weiß niemand was dort deine Kriterien sind? Inhalte und Anforderungen fehlen hioer völlig! face-sad
Wenn da "Profi" Lösungen das einzige Kriterium für dich sind haue die 6,5k raus und gut ist. Als Firewall "Profi" ist aber, andersrum gesehen, Lancom nun nicht gerade bekannt in dem Bereich sondern eher ein Exot ohne lange Erfahrungen.
Wenn, dann solltest du dich besser bei Fortinet, Palo Alto, Cisco FW3000, Watchguard und den anderen üblichen Verdächtigen umsehen. Die können das meist besser.
Mitglied: unbelanglos
unbelanglos 19.05.2022 um 10:24:17 Uhr
Goto Top
1300 im Monat?

Die Lancom Variante hat mehr Potential. Ob die Leistung auch auf die Straße kommt, kann man so nicht beurteilen
Mitglied: IllusionFACTORY
IllusionFACTORY 19.05.2022 um 10:29:21 Uhr
Goto Top
Zitat von @unbelanglos:

1300 im Monat?

Die Lancom Variante hat mehr Potential. Ob die Leistung auch auf die Straße kommt, kann man so nicht beurteilen

Sorry, im Jahr, korrigiere ich

Wie könnte man das beurteilen, ob die Leistung "auf die Straße kommt"?
Mitglied: unbelanglos
unbelanglos 19.05.2022 um 10:31:46 Uhr
Goto Top
Das hängt vom Setup und ständiger Pflege ab. Wer macht dauerhaft die Analyse?
Mitglied: IllusionFACTORY
IllusionFACTORY 19.05.2022 um 10:33:31 Uhr
Goto Top
Zitat von @unbelanglos:

Das hängt vom Setup und ständiger Pflege ab. Wer macht dauerhaft die Analyse?

Der Dienstleister, das ist im Angebot enthalten.
Mitglied: NordicMike
NordicMike 19.05.2022 aktualisiert um 10:36:50 Uhr
Goto Top
pfSense richtet man einmal ein und es läuft soweit, statisch (mal von bestimmten Erweiterungen abzusehen, die ich jetzt nicht recherchiert habe)

Es wäre zu prüfen was Lancom an Mehrwert bietet, das über eine statischen Einstellungen hinaus geht. z.B.

Werden Blackgelistete IPs aktualisiert?
Wird der Sandboxmodus des Antivirus stets aktuell gehalten?
Was gäbe es noch an dynamischen Diensten, wo das Lancom Team im Hintergrund Leistung erbringen könnte?
(Ausser Firmware Updates, um bekannt gewordene Sicherheitslücken zu schließen, das passiert ja bei pfSense auch)
Mitglied: unbelanglos
unbelanglos 19.05.2022 um 10:38:30 Uhr
Goto Top
Und hier weiß niemand über die Inhalte und Anforderungen
Mitglied: ChriBo
ChriBo 19.05.2022 um 11:11:03 Uhr
Goto Top
Hi,
ich bin zwar ein "Fan" von pfSense, empfehle dir aber: nimm die Lösung eures Diensleisters.
Er kennt sich (hoffentlich) damit aus, hat den Kontakt zu Lancom etc.
-
Die Preiskalkulation des Dienstleisters scheint mir aber etwas zu hoch bzw. auch nicht komplett:
grob gegoogelt:
LANCOM R&S Unified Firewall UF-160 (wahrscheinlich Basic Lizenz) ca 600.-
Content Filter: 130€ / Jahr für 10 User.
Einrichtung und Montage:
4 Std. Bedarfsanalyse, Pflichtenheft, Lastenheft
1 Std. Anfahrt+ Montage
1 Std Grundeinrichtung
1 Std sonstiges
1 Std Einrichtung der Fernwartung + Doku
= 8 Std. je 100€ = 800€
ggf. kommen dann noch VPNs dazu = 2 bis 4 Std. = 200€ -400€
Macht 1000€ bis 1200€ für die Einrichtung.
Was fehlt: Monatliche Kosten für Monitoring und Wartung inkl. Updates etc.
Kosten für Regeländerungen etc.

Meine Empfehlung: Laßt euch mal von einem anderen Lancom Partner ein Vergleichsangebot erstellen.

Gruß
CH
Mitglied: altmetaller
altmetaller 19.05.2022 um 13:35:48 Uhr
Goto Top
Hallo,

also - ich würde lieber in eine Administration der pfSense-Firewall investieren.

Und 1300 Euro im Monat für Content-Updates - huh! Starke Hausnummer. Ist der Vertriebler mit einem massivgoldenen Rolls-Royce (mit handgeschliffenen Kristallscheinwerfern) vorgefahren? face-smile

Ernsthaft: Wenn Du es "ordentlich" machen willst, schreibst Du deine Erwartungen auf ein Blatt Papier und holst Dir Angebote von Systemhäusern. Und zwar unabhängig von der Technologie...

Gruß,
Jörg
Mitglied: IllusionFACTORY
IllusionFACTORY 19.05.2022 um 14:10:18 Uhr
Goto Top
Zitat von @ChriBo:

Meine Empfehlung: Laßt euch mal von einem anderen Lancom Partner ein Vergleichsangebot erstellen.

Gruß
CH


Zitat von @altmetaller:

Hallo,

also - ich würde lieber in eine Administration der pfSense-Firewall investieren.

Und 1300 Euro im Monat für Content-Updates - huh! Starke Hausnummer. Ist der Vertriebler mit einem massivgoldenen Rolls-Royce (mit handgeschliffenen Kristallscheinwerfern) vorgefahren? face-smile

Ernsthaft: Wenn Du es "ordentlich" machen willst, schreibst Du deine Erwartungen auf ein Blatt Papier und holst Dir Angebote von Systemhäusern. Und zwar unabhängig von der Technologie...

Wir haben schon eine gute Zusammenarbeit mit unserem Systemhaus, und wir wollen wenn alles aus einer Hand haben. Die Lösung muss aber zu uns passen von der Dimensionierung her.

"Pro Monat" war ein Tippfehler meinerseits und musste "Pro Jahr" heißen. habe ich geändert.
Mitglied: Looser27
Looser27 19.05.2022 um 14:57:37 Uhr
Goto Top
Moin,

Ich kenne beide Lösungen und würde die Lancom UTM jederzeit im professionellen Umfeld verwenden. Wenn Du Dich da einarbeiten, brauchst Du keinen weiteren Support bis auf die Lizenzverlängerungen.
Einrichten ist in ca 2h gemacht.
Danach rennt die einfach nur.

Gruß Looser

P.S.: Wenn Du Hilfe beim Einrichten brauchst, einfach wieder melden face-wink
Mitglied: altmetaller
altmetaller 19.05.2022 um 16:31:49 Uhr
Goto Top
Hallo,

O.K. - 1300 im Jahr ist natürlich schon 'ne andere Hausnummer.

Was soll der „Content Filter“ denn filtern? Eure eigene Werbung? face-smile

Gruß,
Jörg
Mitglied: IllusionFACTORY
IllusionFACTORY 19.05.2022 um 16:35:25 Uhr
Goto Top
Zitat von @altmetaller:

Hallo,

O.K. - 1300 im Jahr ist natürlich schon 'ne andere Hausnummer.

Was soll der „Content Filter“ denn filtern? Eure eigene Werbung? face-smile

face-smile

Laut Dienstleister erkennt er Malware und Zero Day Exploits und so ein Zeug
Mitglied: Looser27
Looser27 19.05.2022 um 16:38:33 Uhr
Goto Top
Das ist nicht nur der Contentfilter, sondern auch noch die integrierte AV- Software und IPS/IDS Updates.
Mitglied: Dobby
Dobby 19.05.2022 um 19:29:32 Uhr
Goto Top
Hallo,

LANCOM R&S Unified Firewall für 4.000 netto
Das ist eine UTM und je nach dem was die bietet ist das mehr oder weniger passend, wichtig ist der Durchsatz den
Ihr dort noch haben müsst oder wollt wenn das alles (AV, IDS, Proxy, Content und Spamfilter) eingeschaltet ist.

plus 2.500 Einrichtung. Ab dem 4. Jahr fallen 1.300 im Jahr für Content-Filter-Updates an.
Die müssen sich auch weiterbilden und das regelmäßig. Und je nachdem was dort alles vereinbart wurde
ist man dann eben auch mit mehr oder eben weniger Geld (Kosten) dabei.

Ich bin ein Freund professioneller Lösungen und würde die Kohle ausklinken, aber nur, wenn es wirklich sinnvoll
ist.
Was verliert Ihr wann und was kostet das dann alles?
- Spam herausfiltern
- AV Scan der eMails
- Proxy aufsetzen und pflegen
- Contentfilter pflegen

Was kostet einer von Euch die Stunde? Was eine Woche, was sind Eure Abgabetermine und was der Regress
und/oder Schadensersatz? Falls so etwas zum Tragen käme.

Wir sind eine Marketing-Agentur mit 10 Mitarbeitern.
Was ist Euer Umsatz bzw. die Einnahmen, Euer guter Ruf ist wie viel Wert und/oder Eure Präsenz am Markt
bei den Kunde oder, oder, oder, oder.........

Wenn Euer "Laden" läuft und Ihr das erbringen könnt bzw. das so braucht würde ich das mittels LANCOM
machen wollen, aber wenn das stark an Eurem Bedarf vorbeigeht ist das auch wieder so eine Sache.

Dobby
Mitglied: Dobby
Dobby 21.05.2022 um 23:29:05 Uhr
Goto Top
wir haben im Moment eine pfsense Firewall.
Welche Hardware und was für ein Internetzugang (MBit/s) denn.

Verglichen mit einer LACOM UTM für ~1600 € plus 3 Jahre Subscriptions zu ~2300 € macht all in all ~3900 €
und an der Hardware gemessen plus dem Durchsatz. Hier mal vergleichbare Alternative mit pfSense.

Supermicro SuperServer E300-9D-8CN8TP ~1.800 €

16GB - DDR4 - 2666MHz - RDIMM ~220 €

WD Blue NVME ~90 €

Compex WLE200NX a/b/g/n miniPCI Express Karte WLAN N Karte ~30 €

Pigtails und Antennen ~15 €
___________________________________

~2400 € für Hardware (aber mit WLAN Option!)
- pfSense (firewall)
- Snort (IDS/IPS)
- Squid proxy (http proxy)
- SquidGuard (Internetfilter)
- ClamAV (AV)
- CaptivePortal mit Voucher System (WLAN HotSpot)
- pfBlockerNG (geo and IP blocking)
- apcupsd (USV)
- OpenVPN/WireGuard (VPN)


pfSense+ Plus Softwere Lizenzen 399 € (proff. support) oder 799 € (enterprise support) pro Jahr
Snort rules 399 € (per Sensor und Jahr)
DNSBL Spamhaus xyz ??? (pfBlockerNG)
DNSBL iblocklist ~10 € (pfBlockerNG)

Plus Einrichtung und eventuell Bücher Kurse und, oder,.......
Gute Bücher sind auf dem Markt und bei Amazon kann man je nach dem wie viele man sich kauft
mit 200 € - 300 € rechnen. Wenn man sich denn selber einarbeiten möchte und oder Zeit dazu hat.

_____________________________________

~810 € - 1210 € pro Jahr für Software, Subscriptions und Support je nach Level


Vergleich:
1600 € zu 2400 € ist die Hardware
810 € - 1210 € zu 1300 € Jährlich für Lizenzen und Support

Ok fairer weise sollte man sagen dass es sich bei der Hardware um eine vergleichbare handelt.
Sieht jetzt gar nicht mal soooo schlecht aus mit der LANCOM Lösung, oder?

Dobby
Mitglied: carg
carg 22.05.2022 um 17:22:53 Uhr
Goto Top
Hi,
der Durchsatz wäre wichtig.
Für 4k€ bekommt man ~2 x Fortigate 60F mit 3 Jahren UTP
Da haste dann gleich auch ein Cluster, falls eine ausfallen sollte.
2.5k Einrichtung ist auch happig wie ich finde ....

Wichtig wäre auch, wie werden Anpassung an das Regelwerk verrechnet. Da sollte man auch drauf achten.

VG
Mitglied: Dobby
Dobby 22.05.2022 um 20:00:42 Uhr
Goto Top
Für 4k€ bekommt man ~2 x Fortigate 60F mit 3 Jahren UTP
Das sind aber keine 10 GBit/s Ports dran!

Supermicro SuperServer E300-9A-16CN8TP
16-Core C3958
4 x 1 GBit/s
4 x 10 GBe

~1500 € mal zwei gleich ~3000 €
Auch ein Cluster, aber pfSense und auch wieder mit 4 x 10 GBe.

2.5k Einrichtung ist auch happig wie ich finde ....
~300 € für Bücher und ~300 € für Hardware (zum Üben) und dann in etwa ~5 € für eine Stunde
und dann ein oder zwei Jahre üben, ausprobieren, lernen und, und, und, und.......

Da sind 2.5k schon viel, aber wenn man dann noch Trainings und Schulungen mitmacht und immer
auf dem neuesten Stand ist, dann eben auch wieder nicht.

- Squid, SquidGuard und ClamAV installieren, einrichten und fine tunen und auf den Bedarf des
Unternehmens einstellen, ist eben etwas anderes, als nur installieren.

- Snort installieren und Rules anpassen, und regelmäßig auswerten ist auch nicht nur einmal set it up
and forget it.

- CaptivePortal mit Vouchersystem und FreeRadius nebst Zertifikaten ist auch für nur 10 Mitarbeiter die
alle ein Smartphone ein Tablet einen PC und von Zuhause via VPN zugreifen.
10 mal WLAN Smartphone
10 mal WLAN Tablet und/oder Laptop
10 mal VPN

- pfBlockerNG einrichten und die Listen aktuell halten und dort auch eventuell noch Lizenzen lösen und dann
die Listen dort anlegen und sind garantiert auch ein oder zwei Stunden, je nachdem was und wieviel eingerichtet
wird ist das hier auch nicht soooo schnell erledigt und kostet auch mehr oder minder sein Geld, nur sein System-
haus ist dann eben auch wieder schneller vor Ort und kann auch schneller intervenieren.

Dobby
Mitglied: IllusionFACTORY
IllusionFACTORY 23.05.2022 um 09:13:02 Uhr
Goto Top
Danke an Euch alle für das umfangreiche Feedback.
Mitglied: LeReseau
LeReseau 23.05.2022 um 10:56:52 Uhr
Goto Top
Bitte auch nicht vergessen dann deinen Thread hier als erledigt zu markieren!!
https://administrator.de/faq/32
Mitglied: binBash86
binBash86 24.05.2022 um 15:30:56 Uhr
Goto Top
Ich würde Ihnen zu der LANCOM raten, weil Sie wollen sich ganz sicher nicht selbst mit dem PFSENSE kram in der Tiefe beschäftigen. Was ich den Dienstleister aber an Ihrer Stelle fragen würde. Ist er wirklich bis in die Tiefe vertraut mit den RS Firewalls ? Weil die sind noch nicht wirklich beliebt unter den Partnern, das weiß ich zufällig als Platinum Partner bei LANCOM und Lancom Expert.
Mitglied: altmetaller
altmetaller 24.05.2022 um 17:23:48 Uhr
Goto Top
Hallo,

Zitat von @binBash86:

Weil die sind noch nicht wirklich beliebt unter den Partnern, das weiß ich zufällig als Platinum Partner bei LANCOM und Lancom Expert.

...was sicher auch erklärt, warum Du LANCOM empfiehlst.

Ich persönlich halte von LANCOM-Routern nicht so viel. Die Geräte sind in Relation zur (technischen) Leistung extrem teuer. Es fallen Lizenzgebühren für Dinge an, die "selbstverständlich enthalten" sind - wie zum Beispiel zusätzliche VPN-Kanäle.

Die Konfiguration und Handhabung der Router ist durch die unübersichtliche Oberfläche aufwändig und beinhaltet eigentlich immer eine Abhängigkeit zu einem externen Spezialisten.

Eine Skalierbarkeit wie z.B. die Installation des Betriebssystems auf performantere Hardware ist nicht möglich. Ebenfalls problematisch sind z.B. automatisierte Datensicherungen.

Gruß,
Jörg
Mitglied: Looser27
Looser27 24.05.2022 um 18:21:08 Uhr
Goto Top
Die R&S UTM sind schon gut. Vor allem auch selber zu konfigurieren. Die Doku ist verständlich und auch ohne den Support zu bemühen kommt man damit klar.
Der Preis für die Einrichtung der oben genannt wurde ist allerdings frech....ich brauche keine 2 Manntage für die Teile...
Mitglied: binBash86
binBash86 25.05.2022 um 09:14:49 Uhr
Goto Top
Wo sonst bekommt man teilweise über 5 Jahre oder mehr Jahre Firmwareupdates, ohne einen Cent zusätzlich zu bezahlen ? LANCOM hat einfach nur ein anderes Modell als andere Hersteller. Der Punkt mit den VPN Kanälen, das stimmt, der stört mich auch, insbesondere die exorbitant teuren VPN-Client-Lizenzen. Alles in allem, aber immer noch die besten deutschen Router-Produkte auf dem Markt.
Mitglied: goscho
goscho 25.05.2022 um 09:46:35 Uhr
Goto Top
Moin
Zitat von @altmetaller:
Ich persönlich halte von LANCOM-Routern nicht so viel. Die Geräte sind in Relation zur (technischen) Leistung extrem teuer.
im Verhältnis zu welchen anderen Routern, Fritzboxen?
Es fallen Lizenzgebühren für Dinge an, die "selbstverständlich enthalten" sind - wie zum Beispiel zusätzliche VPN-Kanäle.
So teuer sind die Extra-Kanäle gar nicht.
Den sehr teuren, weil zugekauften, VPN-Client von Lancom muss man nicht nutzen.
Bei sehr vielen Kunden setze ich den kostenfreien Shrew Soft VPN-Clienten ein.
Die Konfiguration und Handhabung der Router ist durch die unübersichtliche Oberfläche aufwändig und beinhaltet eigentlich immer eine Abhängigkeit zu einem externen Spezialisten.
Ich halte mich jetzt nicht für einen Spezialisten bei den Lancom-Geräten, aber mit Lanconfig komme ich ganz gut zurecht. Dazu gibt es Tools wie den Lantracer und den Lanmonitor.
Ist natürlich anspruchsvoller, da die Geräte oft Featuremonster sind. Du kannst die Geräte aber auch über den Webbrowser oder die SSH-Konsole konfigurieren.
Eine Skalierbarkeit wie z.B. die Installation des Betriebssystems auf performantere Hardware ist nicht möglich. Ebenfalls problematisch sind z.B. automatisierte Datensicherungen.
Die Datensicherung eines Routers macht man idR dann, wenn eine Änderung ansteht oder gemacht wurde.
Schau dir mal "Quickrollback" in Lanconfig an. Einfacher geht automatische Datensicherung nicht!

Fazit: Man kann ja negativ zu dem einen oder anderen Hersteller stehen. Lancom gehört aber zweifelsfrei zu den besten Router-Herstellern fürs Business. Das die Geräte keine Schnäppchen sind, ist richtig.
Wie es @binBash86 schon erklärte, bekommt man mindestens 5 Jahre kostenfreie Firmwareupdates, oft mit neuen Funktionen.
Mitglied: altmetaller
altmetaller 25.05.2022 um 12:57:18 Uhr
Goto Top
Hallo,

Zitat von @goscho:

im Verhältnis zu welchen anderen Routern, Fritzboxen?

Naja, schau' dich mal um, was Du für 500 Euro "an Hardware" bekommst, wenn Du Grafikleistung und den Festplattenspeicher vernachlässigen kannst und - sagen wir mal - mit 8GB RAM locker hinkommst.

So teuer sind die Extra-Kanäle gar nicht.

Exorbitant teuer, sogar. Und - was noch erschwerend hinzu kommt: Ich hatte durchaus schon Router, die ein grundsätzliches Limit hatten und sich maximal bis 20 (oder waren es 25?) VPN-Tunnel "aufbohren" ließen.

Den sehr teuren, weil zugekauften, VPN-Client von Lancom muss man nicht nutzen.

Und wenn, dann nutzt man lieber das Original (von Shrewsoft?).

Bei sehr vielen Kunden setze ich den kostenfreien Shrew Soft VPN-Clienten ein.

Ah, da steht 's ja face-smile

Ist natürlich anspruchsvoller, da die Geräte oft Featuremonster sind.

Korrekt. Zumal es m.W. keine Möglichkeit gibt, die Geräte sinnvoll skaliert zu kaufen. Für SIP, Printserver usw. gibt es bessere Lösungen.

Die Datensicherung eines Routers macht man idR dann, wenn eine Änderung ansteht oder gemacht wurde.

Nicht unbedingt. Die LOG-Dateien können u.U. auch relevant werden. Z.B. dann, wenn Angriffe über einen gewissen Zeitraum gefahren werden und der Angreifer irgendwann anfängt, Spuren zu verwischen face-wink

Schau dir mal "Quickrollback" in Lanconfig an. Einfacher geht automatische Datensicherung nicht!

Jein, die ist nicht vollständig! Von einem LANCOM-Spezialisten habe ich mal seinerzeit den Tipp bekommen, die Konfiguration als Scriptdatei zu sichern und da soll nun wirklich alles "drinstehen".

Lancom gehört aber zweifelsfrei zu den besten Router-Herstellern fürs Business.

Ja. Aber dennoch gibt es m.Ea. bessere Lösungen für das gleiche Geld face-smile

Gruß,
Jörg
Mitglied: NordicMike
NordicMike 25.05.2022 um 13:04:23 Uhr
Goto Top
den besten Router-Herstellern fürs Business

dennoch gibt es m.Ea. bessere Lösungen

Naja, kommt auf die Anforderungen an. Wenn sich einer auskennt, bekommt er es mit einem kleinst-Rechner auch zum laufen. Wenn man sich nicht auskennt, ist ein fertiges Produkt mit Full-Support die bessere Wahl. Man kann es so also nicht pauschalisieren was gut oder besser ist.
Mitglied: binBash86
binBash86 25.05.2022 um 13:08:44 Uhr
Goto Top
Dazu noch eine Anmerkung. Die Script Datei enthält die für die Konfig erforderlichen Befehle, während die Config-Sicherung ein Image der Konfig enthält. Beide sind vollständig, aber die Scriptsicherung tut es oft besser, wegen verschiedenen Firmwareständen usw