hambam
Goto Top

Router Firewall gesucht

Hallo zusammen,

ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren blutdrucksteigernden Lancoms im Einsatz. Diese möchten wir gern loswerden.

Für ein recht spontanes Projekt haben wir einen LTE Router benötigt. Wir haben dafür den RUTX11 genommen. An sich ein guter Router mir einer coolen Verwaltung via Cloud, jedoch lahmt der mit 50-55Mbit/s etwas bei der VPN-Performance mit AES256. Problem ist hier das Betriebsystem, das benutzt nur einen Core für vpn crypto anstatt 4... Der Rest passt ziemlich genau auf unsere Anforderungen.

Hier mal unsere Anforderungen:
- Router oder Firewall
- Gigabit Lan-Ports
- Gigabit Port für WAN (DSL Modem nicht unbedingt notwendig)
- vlan fähig
- QoS
- WAN/LTE Failover
- ipsec ikev2 mit aes256 -> Mindestens 100mbit durchsatz gleichzeitig in beide Richtungen
- cool wäre auf ein sfp einschub für wan

Spitze wäre auch ein Cloud Management / Remotezugriff um solche Sachen wie lanconfig zu vermeiden.

Ich dachte ich poste das hier einmal und frage mal rum was ihr so in euren Landschaften im Einsatz habt. Evtl. kennt ja jemand die eierlegende Wollmilchsau.

Content-ID: 640995

Url: https://administrator.de/contentid/640995

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

aqui
aqui 16.01.2021 aktualisiert um 15:36:04 Uhr
Goto Top
Spitze wäre auch ein Cloud Management / Remotezugriff
Bei einem Router der vertrauliche Daten überträgt in die Cloud ?? Ein NoGo. Aber nur zu ! Cisco Meraki oder UBQT ist dein bester Freund wenn du gerne am Fliegenfänger hängen willst:
https://meraki.cisco.com/de-de/products/security-sd-wan/
Ansonsten die üblichen Verdächtigen...
Cisco 926-4P oder 1112-8P
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mikrotik Router:
https://mikrotik.com/products/group/ethernet-routers
pfSense Firewall auf APU Hardware:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Generell führen solche "Empfehlungs" Threads zu nichts weil sie immer nur persönliche Vorlieben widerspiegeln und niemals wirkliche Fakten. Man kann Hardware niemals vollständig vom Anwendungsumfeld trennen. Üblicherweise ist man als Laie hinterher immer verwirrter als vorher.
tikayevent
tikayevent 16.01.2021 um 13:18:24 Uhr
Goto Top
Aktuell haben wir da diese silbernen, bei Administratoren blutdrucksteigernden Lancoms im Einsatz.
Dann sind die Administratoren aber unbrauchbar, wenn die aus einer entsprechenden Schulung nicht das nötige Wissen mitnehmen und anwenden können.

Spitze wäre auch ein Cloud Management / Remotezugriff um solche Sachen wie lanconfig zu vermeiden.
Mit der LANCOM Management Cloud hat LANCOM das alles im Programm.
Gibt aber auch WEBconfig und die Kommandozeile.

Cisco hat es mit Meraki, für die richtigen Ciscos bräuchtest du dann sicher PRIME

Bintec hat es auch im Programm, aber vermutlich wird hier die VPN-Performance nicht erreicht.

Eine Fortigate 60E oder 60F, hier müsste LTE aber über einen USB-Stick nachgerüstet werden.
HamBam
HamBam 16.01.2021 um 13:40:09 Uhr
Goto Top
Die 60F wäre sicherlich eine Überlegung wert. Wir haben ohnehin schon eine Fortigate und Fortimail am Hauptstandort im Einsatz. Mit gefällt die LTE Lösung mittels USB.. Wir brauchen nicht bei jedem Außenstandort LTE. Wahrscheinlich kann man später auch 5G Sticks da anstecken. Man wäre also für ähnlich viel Geld wie bei Lancom viel flexiebler.
tikayevent
tikayevent 16.01.2021 aktualisiert um 13:47:12 Uhr
Goto Top
Bei Fortinet zahlt man aber für Updates Geld und das nicht wenig, egal ob man die UTM-Funktionen nutzt oder nicht, mit UTM-Funktionen wirds nur teurer.
Und für 500€ bekomm ich LANCOM mit LTE, bei FortiNet noch nicht mal die reine Hardware.
em-pie
em-pie 16.01.2021 aktualisiert um 14:45:53 Uhr
Goto Top
Moin,

mal eine blöde Frage, aber was ist bei euch im Headquarter für eine Firewall im Einsatz?
Edit: Hab's überlesen: Ihr nutzt Fortinet

Mal folgendes Konstrukt:
Wenn dort 'ne Sophos UTM oder XG steht, würde ich in den Außenstandorten 'ne Sophos RED mit einem 4G/ LTE-Modul hinstellen aufstellen und alle ans Central-Management bzw. UTM Manager anbinden.

Sophos RED: https://www.sophos.com/de-de/products/unified-threat-management/add-ons. ...
Sophos Central: https://www.sophos.com/de-de/products/sophos-central.aspx


Gruß
em-pie
HamBam
HamBam 16.01.2021 um 15:31:56 Uhr
Goto Top
Das Sophos / Fortigate Thema haben wir Firmenintern schon mehrfach rauf und runter diskutiert. Nachdem wir und dazu noch von externen Leuten beraten lassen haben und auch die ein oder andere Teststellung hatte, haben wir uns für die Fortigate entschieden.

Die Sophos UTM ist ohnehin altbacken und wird nicht mehr wirklich weiterentwickelt. Die Sophos XG ist das einzig sinnvolle, jedoch haben wir und gegen die entschieden.
Lochkartenstanzer
Lochkartenstanzer 16.01.2021 aktualisiert um 16:29:59 Uhr
Goto Top
Zitat von @HamBam:

... Verwaltung via Cloud ...

Der größte sicherheitstechnische Unsinn, den es gibt.

Für Remotezugriff reicht ssh und VPN.

lks
em-pie
em-pie 16.01.2021 um 18:16:13 Uhr
Goto Top
OK.

Vorteil mit den REDs ist, dass, wenn die im Außenstandort mal defekt ist, schickst du direkt von Sophos ne neue hin und trägst die ID bei dir ein. Hat die Kiste WAN-Zugang, zieht die sich die Config und gut.
Das ANschließen können auch Laien vor Ort, da die Kabel 1:1 getauscht werden können...


B2T
Fortinet hat aber auch ein zentrales Management:
https://www.fortinet.com/de/products/management/fortimanager

Baut doch darauf auf, bevor ihr hier zig weitere Hersteller ins Boot holt...
em-pie
em-pie 16.01.2021 um 18:17:19 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Zitat von @HamBam:
... Verwaltung via Cloud ...
Der größte sicherheitstechnische Unsinn, den es gibt.

jupp, siehe hier:
Ubiquiti gehackt - Passwortänderung ratsam!
HamBam
HamBam 18.01.2021 um 18:27:43 Uhr
Goto Top
Ich denke wir werden bei Fortinet bleiben. Die Anforderungen werden alle erfüllt und wir haben nicht unzählige Hersteller an Board.
Wir werden wohl die FG 40F nehmen.
aqui
aqui 18.01.2021 um 21:23:37 Uhr
Goto Top
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !