Router: Appliance oder virtualisieren?

mossox
Goto Top
Guten Tag zusammen,

Wir suchen für unser < 10 köpfiges Team gerade nach einem neuen Router und einer (integrierten) Firewall.
Erfahrung besteht mit Mikrotik und deren rOS aus dem Heimbereich.

Daneben habe ich mir einen Überblick verschafft über opnSense.

Da noch ein leistungsfähiges aber sehr energiesparendes Mini-Blech da ist, kam die Überlegung, zu virtualisieren.

Meine Beobachtung ist, dass die Hersteller von Routern und Firewallprodukten in den letzten Jahren eher in Richtung Softwareentwicklung gegangen sind.
Dass sie Ihre Produkte mit Hardware verkaufen (müssen), ist das notwendige Übel.

Derzeit kommen noch Lancom-Produkte bei uns zum Einsatz.
Hierfür haben wir keinen Support, so dass Änderungen gleich welcher Art immer Stunden/Tage der Recherche durch Dokumentationen und Foren mit sich gebracht haben.

Deshalb stellt sich mir die erste Frage: Hardware oder virtuell?
Dann erst die Frage, welcher Hersteller/welches konkrete Produkt.

Ich freue mich auch Eure Meinungen.

Content-Key: 2706414239

Url: https://administrator.de/contentid/2706414239

Ausgedruckt am: 04.07.2022 um 00:07 Uhr

Mitglied: em-pie
em-pie 06.05.2022 um 17:20:09 Uhr
Goto Top
Moin,

Ich bin persönlich der Meinung, dass eine Firewall/ UTM nicht Virtualisierung werden sollte, sondern einzig auf ein eigenes Blech finden muss.

Virtualisierung mache ich ja in aller Regel nur, um die Hardware mit anderen Komponenten zu teilen.
Für mein Verständnis sollte eine FW sich die Hardware nicht mit anderen teilen. Kann jemand aus der VM der Firewall oder des anderen Systems ausbrechen (unwahrscheinlich aber möglich) wäre das schlecht. Bei einer HW Appliance ziehe ich im Zweifel dem Stromstecker.


Das ist aber meine persönlichen Sicht…
Mitglied: unbelanglos
unbelanglos 06.05.2022 um 17:39:42 Uhr
Goto Top
Welcher LANCOM stellt den so hohe Anforderungen an den Admin? Was macht ihr "kompliziertes"?

Sicher, dass die Administration eines Mikrotik oder xyzSense dann gut von der Hand geht?

Ich würde vermutlich zur VM tendieren, aber über den Rahmen in den die Router-FW-Kombi soll, weiß ich leider nichts.
Mitglied: ChriBo
ChriBo 06.05.2022 um 18:07:33 Uhr
Goto Top
Hi,
meine Empfehlung:
Blech oder Virtualisierung ? -> Blech

welcher Hersteller ?: keine Ahnung was ihr benötigt.

Du solltest folgende Fragen beantworten, dann kann dir besser weitergeholfen werden.
was soll die Firewall / der Router machen ?
z.B. : nur ausgehendens NAT mit ein paar Regeln zum Surfen und für Mail; DMZ mit eingehenden Regeln; mehrere interne Netze; VPN Endpoint Client oder Site to Site etc.
welcher Durchsatz ist gewünscht, welche WAN Anbindung ist vorhanden ?
100/20 vDSL bis 10G Fibre symetrisch
welches Wissen ist vorhanden um den Router/die Firewall einzurichten und zu betreiben ?

Meine Empfehlung wäre ggf.:
pfSense oder
Cisco Router oder ASA oder
Lancom

Gruß
CH
Mitglied: mossox
mossox 06.05.2022 um 20:00:36 Uhr
Goto Top
Naja, wir haben m.E. keine "speziellen" Anforderungen.

Am Internet hängen wir mit einer asymmetrischen Glasfaser-Leitung (100/20) eines kommunalen Anbieters.
Der hat uns freundlicherweise das SFP-Patchfeld und einen Router (?) zur Verfügung gestellt, der als Kaskade vor unserem Lancom-Router hängt. Keine Ahnung, ob das sinnvoll ist. Anders hätten wir die Glasfaserleitung halt nicht ins Netzwerk bekommen. Der 1781VA hat ja keine SFP.

Klar brauchen wir NAT für insgesamt 10 User und VPN für 2-3 User im Home-Office.
Gewünscht sind wohl Client-to-Site als auch Site-to-Site.

Die Frage kam eigentlich daher, weil ich das Netz (endlich!) segmentieren will mit VLANs, mit der VPN-Performance nicht zufrieden bin und wissen will, ob und wie mein Netz geschützt vor Angriffen.

Bei der derzeitigen Konfiguration der FW im Lancom vertraue ich darauf, dass die dort bei der Einrichtung vor x Jahren gemachten Einstellungen richtig sind. Blicken tue ich das nicht !

Im Lancom-Universum fühle ich mich - schlicht gesprochen - nicht wohl.

Ich sehe unsere IT und unsere Sicherheit als Grundlage unserer geschäftlichen Existenz.
Ich muss einfach wissen, was da wie läuft und ob wir "safe" sind. Diese Verantwortung trage nur ich alleine und die kann und will ich nicht auf wen anders übertragen.
Man muss ja nachts ruhig schlafen können.

Deshalb müssen Plattform und Software so gewählt werden, dass ich weiß was da wie funktioniert und wieso.

Zudem "ärgert" mich das Kostenmodell bei Lancom.
Alleine die Tatsache, dass (wenn man es Plug'n'Use will) für jeden VPN-Nutzer deren nativer Client lizensiert werden muss, regt mich auf.

Dazu kommen weitere lizenzpflichtige Module wie der Internet-Paketfilter (Nutzen sei dahingestellt), Hot-Spot, etc.

Mikrotik bietet m.E. ein wesentlich besseres Preis-Leistungsverhältnis.
Und eben die Tatsache, dass ich im Eigenstudium hierfür bereits gefühlt tausende von Stunden investiert habe.
Mitglied: unbelanglos
unbelanglos 06.05.2022 um 21:11:02 Uhr
Goto Top
Der Router des Provider terminiert die Faser und verhält sich wie? Wie ein Router/NATer? Oder als Netzabschluss mit IP(s)?

Hast du ein L3 Switch der für dich erstmal routet mit default route auf den ISP Router/LANCOM oder wie ist das Setup?

100/20 am am WAN sind jetzt wirklich nicht das Problem, was Performance angeht.
Mitglied: Tezzla
Tezzla 06.05.2022 um 21:28:57 Uhr
Goto Top
Unser Ansatz:

Das Klärwerk filtert den Mist, bevor das Zeuch über den Host zur VM darf face-smile

VG
Mitglied: mossox
mossox 06.05.2022 um 21:52:00 Uhr
Goto Top
Wir haben ein Subnetz vom Provider bekommen, von daher denke ich, dass der Netzabschluss mit IPs terminiert wird.
Denn na'ten tut ja der Lancom. Doppelt geht nicht denke ich?!

Switch ist ein Lancom GS-1326. Kein L3 denke ich.

Ja, im Lancom Router ist eine Default Route auf das Gerät des Providers eingerichtet.
Mitglied: StefanKittel
StefanKittel 06.05.2022 um 22:45:15 Uhr
Goto Top
Moin,

kommt wie immer drauf an face-smile

Durch virtualisieren bekommst Du quasi zum Nulltarif eine PFSense-Firewall mit XEON-CPU, ECC RAM und 10GBit Netzwerk auf einer hochverfügbaren Basis.

Die Sicherheit bei einem getrennten Gerät ist schlicht höher.

Stefan
Mitglied: mossox
mossox 07.05.2022 um 09:52:29 Uhr
Goto Top
Moin,

richtig - das bringt es auf den Punkt.

Wobei ich auch erstmal eine Multi-NIC nachrüsten müsste.
Vorhanden sind nur 2x shared und 1x Mgmt (IPMI).
Mitglied: Deepsys
Deepsys 07.05.2022 aktualisiert um 10:16:04 Uhr
Goto Top
Hallo,

ich sehe es auch wie einige andere Kollegen, Firewall in Hardware.
Da kommen wir auch zu dem Punkt, kauf dir keinen Router mit ein bisschen Firewall, kauf dir eine Firewall!
Routen und VLANs können sie alle, und dann noch ein managebarer Switch der auch VLANs kann und fertig.

Bei den Firewalls stehen die üblichen Verdächtigen für kleine Firmen im Raum:
Fortinet, Sophos, Watchguard, ... oder die freien
Wenn du nicht mit Lancom klarkommst, dann lass es.

Raten würde ich dir aber eher zu einem Hersteller der dir auch Support anbietet. Oder direkt ein Systemhaus das sich drum kümmert.

EDIT:
Ach ja, ja viele Firewallhersteller machen aktuell viel in Software, aber nicht weil Firewall durch sind, sondern weil nur ein gesamt Konzept aktuell mehr Sicherheit verspricht. Firewall sind eben ein Teil davon. Darum bitte nicht denken, mit einer Firewall ist alles gut.

Viele Grüße,
Deepsys
Mitglied: C.R.S.
C.R.S. 07.05.2022 um 13:29:20 Uhr
Goto Top
Hi,

Meine Beobachtung ist, dass die Hersteller von Routern und Firewallprodukten in den letzten Jahren eher in Richtung Softwareentwicklung gegangen sind.
Dass sie Ihre Produkte mit Hardware verkaufen (müssen), ist das notwendige Übel.

da ich sehr viel mit virtualisierten Firewalls im Cloud-Umfeld arbeite, sehe ich das etwas anders. Eher hat in beiderlei Hinsicht die Qualität abgenommen. Hardware-Entwicklung und Lieferketten sind in der Regel gestreckter und schlechter kontrolliert als früher (auch bei sog. "IT-Security mage in Germany"), getestet wird die Software aber immer noch vornehmlich auf den eigenen Appliances. Mit Virtualisierung ist man mehr auf sich allein gestellt, denn schuld ist natürlich immer der Unterbau und nie das Firewall-Update.

Mir ist nicht klar, wo du nun virtualisieren willst. Ausschließlich Firewalls auf dem energiesparenden Mini-Blech, das noch da ist? Vertretbar, aber dann würde ich auf die virtuelle Redundanz verzichten und eine pf/OpnSense direkt darauf installieren.
Oder Firewalls zusätzlich zu anderen Lasten auf einem vorhandenen Host? Einen solchen Host würde ich nicht derart exponieren (Interface am fremden Gerät und Internet). Eine Möglichkeit in dem Fall wäre, den Lancom als NAT-Router und Perimeter-Firewall zu belassen, aber auf eine überschaubare minimale Konfiguration dafür zu reduzieren (z.B. eingehend blockieren, ausgehend erlauben). Virtualisiert kannst du dahinter einen Firewall-Cluster ohne NAT aufsetzen, der die eigentliche Netzwerksegmentierung regelt. In einem Transit-Netz verwendet der Cluster den Lancom als Gateway bzw. bekommt Port-Weiterleitungen für VPN.

Grüße
Richard
Mitglied: unbelanglos
unbelanglos 07.05.2022 um 14:15:18 Uhr
Goto Top
Zitat von @mossox:

Wir haben ein Subnetz vom Provider bekommen, von daher denke ich, dass der Netzabschluss mit IPs terminiert wird.
Denn na'ten tut ja der Lancom. Doppelt geht nicht denke ich?!

Switch ist ein Lancom GS-1326. Kein L3 denke ich.

Ja, im Lancom Router ist eine Default Route auf das Gerät des Providers eingerichtet.


Mit Terminierung war gemeint, hast du einen passiven Abschluss, also Faser mit Buchse oder liefert der ISP einen aktiven Abschluss?

Doppel -NAT geht, aber bei Verwendung eines öffentlichen Subnetzes, ist das mindestens fraglich.

Wie äußern sich die Probleme mit dem VPN jetzt in Detail und welche Lösung wird eingesetzt? VPN von Lancom?
Mitglied: mossox
mossox 07.05.2022 um 14:30:15 Uhr
Goto Top
Vielen Dank schon mal, dass Ihr Euch da so mit reindenkt face-smile.

@Richard: Ja, die Struktur des Setups sollte in jedem Fall auch überdacht werden!

Also die Glasfaser wird auf ein Patchfeld aufgelegt und von dort mit SFP mit dem Netzabschlussgerät (Router?) des Anbieters verbunden. Wenn ich mich nicht täusche ist das ein ungelabeltes Gerät von Cisco.

Ich werde am Montag mal ein Foto machen, das wird Aufklärung bringen.
Mitglied: unbelanglos
unbelanglos 07.05.2022 um 14:35:00 Uhr
Goto Top
Das SFP heißt wir und von wem kam der Router?
Mitglied: mossox
mossox 07.05.2022 um 15:23:29 Uhr
Goto Top
Router, Glasfaser und SFP wurde alles komplett durch den Anbieter bei uns installiert.
Damals wurde alles ins bestehende Netzwerk (Lancom-Router, Switch) eingepflanzt.
Mitglied: aqui
aqui 07.05.2022 um 16:28:51 Uhr
Goto Top
ist das ein ungelabeltes Gerät von Cisco.
Gibts bei Cisco nicht...
Mitglied: mossox
mossox 09.05.2022 um 15:02:49 Uhr
Goto Top
So, hier ein Foto vom Aufbau.
snipaste_2022-05-09_15-00-35
Mitglied: aqui
Lösung aqui 09.05.2022 aktualisiert um 15:30:42 Uhr
Goto Top
Wie zu erwarten... Der ist nicht "ungelabelt" sondern ein stinknormaler Cisco 891 ISR Router.
Alle weiteren Infos und Details zu Cisco ISR Routern beschreibt das hiesige Cisco Tutorial.
Je nachdem ob der ein öffentliches Subnetz vom ISP bereitstellt oder nicht ist es dann eine Router Kaskade oder eben nicht.
Um das beurteilen zu können müsste man die WAN IP Adresse des Lancom kennen mit der er an den Cisco in Kaskade angeschlossen ist.
  • Private RFC 1918 IP = Router Kaskade mit doppeltem NAT und Firewalling
  • Öffentliche IP = kein NAT
Einfache Logik! face-wink
Mitglied: mossox
mossox 11.05.2022 um 16:25:30 Uhr
Goto Top
Back again...

Also uns wird ein öffentliches Subnetz zur Verfügung gestellt.
Die WAN IP-Adresse des ist im Lancom auf dem ETH-Port (IP-Parameter) hinterlegt.
Das Standard-Gateway ist m.E. die Adresse des Cisco/Netzabschlussgeräts.

Also ist es eine Kaskade = doppeltes NAT?!

Da fällt mir grade in den AGBs des Anbieters auf:

"Der Kunde hat keinen Anspruch auf ein von ihm bevorzugtes Netzabschlussgerät".
Haben wir nicht die sog. "Router-Freiheit" ?

Mich stört daran, dass nach Aussage des Vertriebs keine (eigene) Firewall anstelle von deren Equipment eingesetzt werden darf.

Und überhaupt... die Kaskade ist doch überflüssig! Oder nicht? Ich bin immer ein Freund von "simplify your life". Weniger Geräte = weniger Komplexität, weniger Fehlerquellen...

Denn eigentlich wollen wir den LANCOM durch eine pfSense auf einem IPU-Board ersetzen.
Müsste die pfSense dann mit denselben Parametern eingerichtet werden, wie der LANCOM in jetzigem Zustand?
snipaste_2022-05-11_16-16-54
Mitglied: aqui
aqui 12.05.2022 um 10:41:19 Uhr
Goto Top
Also ist es eine Kaskade = doppeltes NAT?!
Eine Kaskade ja, aber kein NAT. Das der Cisco ein öffentliches IP Subnetz liefert ist das ganz normales transparentes Routing.
die Kaskade ist doch überflüssig! Oder nicht?
Theoretisch ja. Du könntest eine Firewall direkt am ISP Anschluss betreiben und hättest das öffentliche Subnetz dann als DMZ an der Firewall. Man bräuchte letztlich nur ein Gerät. Es ist auch etwas unüblich das ISP da noch Router hinstellen. Üblicherwiese wird heutzutage ein kleiner L2 Switch dort plaziert der direkten Zugriff auf den ISP Router liefert. Der Kunde ist kann dann mit seine Equipment seine eigenen Netze selber routen.
Ich bin immer ein Freund von "simplify your life".
Würde in dem Falle auch Sinn machen.
Müsste die pfSense dann mit denselben Parametern eingerichtet werden, wie der LANCOM in jetzigem Zustand?
Ja.
Sie könnte auch mit 3 Interfaces den Cisco und Lancom komplett ersetzen. WAN, DMZ, LAN
Mitglied: mossox
mossox 12.05.2022 um 11:12:17 Uhr
Goto Top
4 Danke, aqui!

Ich bin jetzt mal gespannt:

Wir machen ein Upgrade auf 250/50 und dann soll ein neues Netzabschlussgerät geleifert werden.
„Sie brauchen zwei Höheneinheiten in Ihrem Rack“, hieß es.

Was zum Henken soll das sein??

Die pfSense oder OPNSense kommt auf jeden Fall.
Muss mich nur noch entscheiden, welche von beiden.
Mitglied: StefanKittel
StefanKittel 12.05.2022 um 11:29:21 Uhr
Goto Top
Zitat von @mossox:
„Sie brauchen zwei Höheneinheiten in Ihrem Rack“, hieß es.
Was zum Henken soll das sein??

Das ist doch schon mal Nett. Im Ernst.
Kunde A (300MBit symetrisch)
Bei einem Kunden bestanden die darauf einen 8HE 19" Schrank zu liefern obwohl im aktuellen Schrank mit USV noch genug Platz war. In den Schrank kam dann ein Switch, 1HE, 19", halbe Breite mit Verlängerung und der Rest ist leer.

Alternativ bei Kunde B (300MBit symetrisch)
Ein ETX-203AX Desktop Dings (LWL auf RJ45) mit einem 19" Cisco Switch (1xRJ45 in und 1xRJ45 out).

Stefan