Router Firewall gesucht
Hallo zusammen,
ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren blutdrucksteigernden Lancoms im Einsatz. Diese möchten wir gern loswerden.
Für ein recht spontanes Projekt haben wir einen LTE Router benötigt. Wir haben dafür den RUTX11 genommen. An sich ein guter Router mir einer coolen Verwaltung via Cloud, jedoch lahmt der mit 50-55Mbit/s etwas bei der VPN-Performance mit AES256. Problem ist hier das Betriebsystem, das benutzt nur einen Core für vpn crypto anstatt 4... Der Rest passt ziemlich genau auf unsere Anforderungen.
Hier mal unsere Anforderungen:
- Router oder Firewall
- Gigabit Lan-Ports
- Gigabit Port für WAN (DSL Modem nicht unbedingt notwendig)
- vlan fähig
- QoS
- WAN/LTE Failover
- ipsec ikev2 mit aes256 -> Mindestens 100mbit durchsatz gleichzeitig in beide Richtungen
- cool wäre auf ein sfp einschub für wan
Spitze wäre auch ein Cloud Management / Remotezugriff um solche Sachen wie lanconfig zu vermeiden.
Ich dachte ich poste das hier einmal und frage mal rum was ihr so in euren Landschaften im Einsatz habt. Evtl. kennt ja jemand die eierlegende Wollmilchsau.
ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren blutdrucksteigernden Lancoms im Einsatz. Diese möchten wir gern loswerden.
Für ein recht spontanes Projekt haben wir einen LTE Router benötigt. Wir haben dafür den RUTX11 genommen. An sich ein guter Router mir einer coolen Verwaltung via Cloud, jedoch lahmt der mit 50-55Mbit/s etwas bei der VPN-Performance mit AES256. Problem ist hier das Betriebsystem, das benutzt nur einen Core für vpn crypto anstatt 4... Der Rest passt ziemlich genau auf unsere Anforderungen.
Hier mal unsere Anforderungen:
- Router oder Firewall
- Gigabit Lan-Ports
- Gigabit Port für WAN (DSL Modem nicht unbedingt notwendig)
- vlan fähig
- QoS
- WAN/LTE Failover
- ipsec ikev2 mit aes256 -> Mindestens 100mbit durchsatz gleichzeitig in beide Richtungen
- cool wäre auf ein sfp einschub für wan
Spitze wäre auch ein Cloud Management / Remotezugriff um solche Sachen wie lanconfig zu vermeiden.
Ich dachte ich poste das hier einmal und frage mal rum was ihr so in euren Landschaften im Einsatz habt. Evtl. kennt ja jemand die eierlegende Wollmilchsau.
11 Antworten
- LÖSUNG aqui schreibt am 16.01.2021 um 12:05:55 Uhr
- LÖSUNG tikayevent schreibt am 16.01.2021 um 13:18:24 Uhr
- LÖSUNG HamBam schreibt am 16.01.2021 um 13:40:09 Uhr
- LÖSUNG tikayevent schreibt am 16.01.2021 um 13:46:02 Uhr
- LÖSUNG HamBam schreibt am 16.01.2021 um 13:40:09 Uhr
- LÖSUNG em-pie schreibt am 16.01.2021 um 14:44:40 Uhr
- LÖSUNG HamBam schreibt am 16.01.2021 um 15:31:56 Uhr
- LÖSUNG em-pie schreibt am 16.01.2021 um 18:16:13 Uhr
- LÖSUNG HamBam schreibt am 18.01.2021 um 18:27:43 Uhr
- LÖSUNG aqui schreibt am 18.01.2021 um 21:23:37 Uhr
- LÖSUNG HamBam schreibt am 18.01.2021 um 18:27:43 Uhr
- LÖSUNG em-pie schreibt am 16.01.2021 um 18:16:13 Uhr
- LÖSUNG HamBam schreibt am 16.01.2021 um 15:31:56 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 16.01.2021 um 16:29:08 Uhr
- LÖSUNG em-pie schreibt am 16.01.2021 um 18:17:19 Uhr
LÖSUNG 16.01.2021, aktualisiert um 15:36 Uhr
Spitze wäre auch ein Cloud Management / Remotezugriff
Bei einem Router der vertrauliche Daten überträgt in die Cloud ?? Ein NoGo. Aber nur zu ! Cisco Meraki oder UBQT ist dein bester Freund wenn du gerne am Fliegenfänger hängen willst:https://meraki.cisco.com/de-de/products/security-sd-wan/
Ansonsten die üblichen Verdächtigen...
Cisco 926-4P oder 1112-8P
https://administrator.de/tutorial/cisco-880-890-isr-router-konfiguration ...
Mikrotik Router:
https://mikrotik.com/products/group/ethernet-routers
pfSense Firewall auf APU Hardware:
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...
Generell führen solche "Empfehlungs" Threads zu nichts weil sie immer nur persönliche Vorlieben widerspiegeln und niemals wirkliche Fakten. Man kann Hardware niemals vollständig vom Anwendungsumfeld trennen. Üblicherweise ist man als Laie hinterher immer verwirrter als vorher.
LÖSUNG 16.01.2021 um 13:18 Uhr
Aktuell haben wir da diese silbernen, bei Administratoren blutdrucksteigernden Lancoms im Einsatz.
Dann sind die Administratoren aber unbrauchbar, wenn die aus einer entsprechenden Schulung nicht das nötige Wissen mitnehmen und anwenden können.Spitze wäre auch ein Cloud Management / Remotezugriff um solche Sachen wie lanconfig zu vermeiden.
Mit der LANCOM Management Cloud hat LANCOM das alles im Programm.Gibt aber auch WEBconfig und die Kommandozeile.
Cisco hat es mit Meraki, für die richtigen Ciscos bräuchtest du dann sicher PRIME
Bintec hat es auch im Programm, aber vermutlich wird hier die VPN-Performance nicht erreicht.
Eine Fortigate 60E oder 60F, hier müsste LTE aber über einen USB-Stick nachgerüstet werden.
LÖSUNG 16.01.2021 um 13:40 Uhr
Die 60F wäre sicherlich eine Überlegung wert. Wir haben ohnehin schon eine Fortigate und Fortimail am Hauptstandort im Einsatz. Mit gefällt die LTE Lösung mittels USB.. Wir brauchen nicht bei jedem Außenstandort LTE. Wahrscheinlich kann man später auch 5G Sticks da anstecken. Man wäre also für ähnlich viel Geld wie bei Lancom viel flexiebler.
LÖSUNG 16.01.2021, aktualisiert um 13:47 Uhr
LÖSUNG 16.01.2021, aktualisiert um 14:45 Uhr
Moin,
mal eine blöde Frage, aber was ist bei euch im Headquarter für eine Firewall im Einsatz?
Edit: Hab's überlesen: Ihr nutzt Fortinet
Mal folgendes Konstrukt:
Wenn dort 'ne Sophos UTM oder XG steht, würde ich in den Außenstandorten 'ne Sophos RED mit einem 4G/ LTE-Modul hinstellen aufstellen und alle ans Central-Management bzw. UTM Manager anbinden.
Sophos RED: https://www.sophos.com/de-de/products/unified-threat-management/add-ons. ...
Sophos Central: https://www.sophos.com/de-de/products/sophos-central.aspx
Gruß
em-pie
mal eine blöde Frage, aber was ist bei euch im Headquarter für eine Firewall im Einsatz?
Edit: Hab's überlesen: Ihr nutzt Fortinet
Mal folgendes Konstrukt:
Wenn dort 'ne Sophos UTM oder XG steht, würde ich in den Außenstandorten 'ne Sophos RED mit einem 4G/ LTE-Modul hinstellen aufstellen und alle ans Central-Management bzw. UTM Manager anbinden.
Sophos RED: https://www.sophos.com/de-de/products/unified-threat-management/add-ons. ...
Sophos Central: https://www.sophos.com/de-de/products/sophos-central.aspx
Gruß
em-pie
LÖSUNG 16.01.2021 um 15:31 Uhr
Das Sophos / Fortigate Thema haben wir Firmenintern schon mehrfach rauf und runter diskutiert. Nachdem wir und dazu noch von externen Leuten beraten lassen haben und auch die ein oder andere Teststellung hatte, haben wir uns für die Fortigate entschieden.
Die Sophos UTM ist ohnehin altbacken und wird nicht mehr wirklich weiterentwickelt. Die Sophos XG ist das einzig sinnvolle, jedoch haben wir und gegen die entschieden.
Die Sophos UTM ist ohnehin altbacken und wird nicht mehr wirklich weiterentwickelt. Die Sophos XG ist das einzig sinnvolle, jedoch haben wir und gegen die entschieden.
LÖSUNG 16.01.2021, aktualisiert um 16:29 Uhr
LÖSUNG 16.01.2021 um 18:16 Uhr
OK.
Vorteil mit den REDs ist, dass, wenn die im Außenstandort mal defekt ist, schickst du direkt von Sophos ne neue hin und trägst die ID bei dir ein. Hat die Kiste WAN-Zugang, zieht die sich die Config und gut.
Das ANschließen können auch Laien vor Ort, da die Kabel 1:1 getauscht werden können...
B2T
Fortinet hat aber auch ein zentrales Management:
https://www.fortinet.com/de/products/management/fortimanager
Baut doch darauf auf, bevor ihr hier zig weitere Hersteller ins Boot holt...
Vorteil mit den REDs ist, dass, wenn die im Außenstandort mal defekt ist, schickst du direkt von Sophos ne neue hin und trägst die ID bei dir ein. Hat die Kiste WAN-Zugang, zieht die sich die Config und gut.
Das ANschließen können auch Laien vor Ort, da die Kabel 1:1 getauscht werden können...
B2T
Fortinet hat aber auch ein zentrales Management:
https://www.fortinet.com/de/products/management/fortimanager
Baut doch darauf auf, bevor ihr hier zig weitere Hersteller ins Boot holt...
LÖSUNG 16.01.2021 um 18:17 Uhr
jupp, siehe hier:
https://administrator.de/knowledge/ubiquiti-gehackt-passwortaenderung-ra ...
LÖSUNG 18.01.2021 um 18:27 Uhr
LÖSUNG 18.01.2021 um 21:23 Uhr