14
Sophos Firewall Austausch - dual Firewall Betrieb für WLAN möglich?
Hallo zusammen,
ich plane eine Sophos XG gegen eine Watchguard Firewall auzutauschen.
Es ist für eine recht kleine Umgebung mit ca. 10 PC Arbeitsplätzen. An dem Standort sind auch von Sophos AccessPoints installiert, welche über die Sophos Firewall konfiguriert sind.
Ich nehme an das Sophos ein geschlossenes System ist, dass die Sophos APs genau für die Sophos Firewalls abgestimmt sind.
Daher ist meine Frage: Kann ich grundlegend die neue Watchguard Firewall für den Internetzugang und die VPN Site2Site Anbindung zum Hauptstandort gegen die Sophos XG Firewall ersetzen und die Sophos FW einfach an einen LAN Port an der Watchguard anschliessen und entsprechend in den rule policies sagen, dass der WLAN Traffic von den Sophos APs über die Sophos XG einfach an die Watchguard durchgeleitet wird?
Oder denkt ihr ist das technisch ein Porblem, wenn man zwei Firewalls im Netz betreibt auch wenn die Sophos dann nur rein für das WLAN da wäre?
Mittelfristig sind auch neue AccessPoints geplant, das wäre dann nur eine temporäre Lösung.
Danke vorab für eure TIps und gruss
staybb
ich plane eine Sophos XG gegen eine Watchguard Firewall auzutauschen.
Es ist für eine recht kleine Umgebung mit ca. 10 PC Arbeitsplätzen. An dem Standort sind auch von Sophos AccessPoints installiert, welche über die Sophos Firewall konfiguriert sind.
Ich nehme an das Sophos ein geschlossenes System ist, dass die Sophos APs genau für die Sophos Firewalls abgestimmt sind.
Daher ist meine Frage: Kann ich grundlegend die neue Watchguard Firewall für den Internetzugang und die VPN Site2Site Anbindung zum Hauptstandort gegen die Sophos XG Firewall ersetzen und die Sophos FW einfach an einen LAN Port an der Watchguard anschliessen und entsprechend in den rule policies sagen, dass der WLAN Traffic von den Sophos APs über die Sophos XG einfach an die Watchguard durchgeleitet wird?
Oder denkt ihr ist das technisch ein Porblem, wenn man zwei Firewalls im Netz betreibt auch wenn die Sophos dann nur rein für das WLAN da wäre?
Mittelfristig sind auch neue AccessPoints geplant, das wäre dann nur eine temporäre Lösung.
Danke vorab für eure TIps und gruss
staybb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23788779208
Url: https://administrator.de/contentid/23788779208
Printed on: June 20, 2024 at 11:06 o'clock
14 Comments
Latest comment
Moin,
Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.
Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.
Aber warum wollt ihr die XGS loswerden?
Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.
Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.
Aber warum wollt ihr die XGS loswerden?
Aber warum wollt ihr die XGS loswerden?
Das würde mich auch sehr interessieren, vor allem auch noch gegen Watchguard.
Hallo,
Zu iel Geld , Keine Ahnung, Schönere Farben, Schicjere GUI, Watchguard hat einen längeren Namen als Sophos, Sophos kennt kein Mensch und nur IDTenTee(ID1oT) können die zum laufen bringen, bei watchguard reicht schon ein DAU,Gründe gibt es mannigfaltige...
Gruss,
Peter
Zu iel Geld , Keine Ahnung, Schönere Farben, Schicjere GUI, Watchguard hat einen längeren Namen als Sophos, Sophos kennt kein Mensch und nur IDTenTee(ID1oT) können die zum laufen bringen, bei watchguard reicht schon ein DAU,Gründe gibt es mannigfaltige...
Gruss,
Peter
Ja, das geht. Gerne Kontakt.
Kann ich verstehen, die Lizenzkosten sind mal eben um 100% gestiegen. OPNsense oder PFsense solltest du auch mal anschauen.
OPNsense Starthilfe
OPNsense Starthilfe
Zitat von @staybb:
Ich nehme an das Sophos ein geschlossenes System ist, dass die Sophos APs genau für die Sophos Firewalls abgestimmt sind.
Ja, da die sind dann Elektroschrott.
Daher ist meine Frage: Kann ich grundlegend die neue Watchguard Firewall für den Internetzugang und die VPN Site2Site Anbindung zum Hauptstandort gegen die Sophos XG Firewall ersetzen und die Sophos FW einfach an einen LAN Port an der Watchguard anschliessen und entsprechend in den rule policies sagen, dass der WLAN Traffic von den Sophos APs über die Sophos XG einfach an die Watchguard durchgeleitet wird?
Ja.
Oder denkt ihr ist das technisch ein Porblem, wenn man zwei Firewalls im Netz betreibt auch wenn die Sophos dann nur rein für das WLAN da wäre?
Nein, da gibt es keine Probleme
Mittelfristig sind auch neue AccessPoints geplant, das wäre dann nur eine temporäre Lösung.
Also als temporäre Dauerlösung
Danke vorab für eure TIps und gruss
Es gibt auch sehr atraktive Upgradeangebote für den Wechsel XG/XGS.
Moin @nachgefragt,
wie kommst du darauf?
Ich habe in letzter Zeit von grösseren Preissteigerungen bei Sophos noch nichts gehört.
Oder meinst du die vom letzten Jahr, die aber bei weitem nicht bei 100% lagen.
Und ja, so gut wie alle haben in letzter Zeit, insbesondere in den letzten beiden Jahren, zum teil sehr kräftig am Preis geschraubt und nicht nur Sophos. 😔
Gruss Alex
Kann ich verstehen, die Lizenzkosten sind mal eben um 100% gestiegen.
wie kommst du darauf?
Ich habe in letzter Zeit von grösseren Preissteigerungen bei Sophos noch nichts gehört.
Oder meinst du die vom letzten Jahr, die aber bei weitem nicht bei 100% lagen.
Und ja, so gut wie alle haben in letzter Zeit, insbesondere in den letzten beiden Jahren, zum teil sehr kräftig am Preis geschraubt und nicht nur Sophos. 😔
Gruss Alex
Moin @mbehrens,
die guten Ablöseangebote gibt es auch genauso bei einem Wechsel von Watchguard zu Sophos. 🙃
Gruss Alex
Es gibt auch sehr atraktive Upgradeangebote für den Wechsel XG/XGS.
die guten Ablöseangebote gibt es auch genauso bei einem Wechsel von Watchguard zu Sophos. 🙃
Gruss Alex
Hatte nach 36 Monate die Lizenz verlängern müssen, 103% teurer geworden.
Argument: "Wen Sie immer 36 Monate kaufen, bekommen sie die jährliche Preiserhöhung gar nicht mit, deswegen wirkt es jetzt so viel."
Ich soll das Doppelte zahlen, bekomme aber keinen echten Mehrwert. Das nennt man wie nochmal?
Argument: "Wen Sie immer 36 Monate kaufen, bekommen sie die jährliche Preiserhöhung gar nicht mit, deswegen wirkt es jetzt so viel."
Ich soll das Doppelte zahlen, bekomme aber keinen echten Mehrwert. Das nennt man wie nochmal?
Zitat von @em-pie:
Moin,
Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.
Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.
Aber warum wollt ihr die XGS loswerden?
Moin,
Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.
Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.
Aber warum wollt ihr die XGS loswerden?
Moin,
danke für die Info und auch alle anderen, dann werde ich die Sophos erstmal noch dazwischen hängen, bis auch neue APs geplant sind.
Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).
Die XG war an dem Nebenstandort schon immer im Einsatz und wird jetzt quasi vereinheitlicht auf WatchGuard.
gruss staybb
Hallo,
Gruss,
Peter
Zitat von @staybb:
Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).
Sicher das es an der Sophos liegt, nicht an den Einstellungen oder am Provider?Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).
Gruss,
Peter
1
Moin @staybb,
OK, das kann ich gut nachvollziehen.
Das wiederum, hat nichts mit der Sophos XG selbst zu tun, sondern eher mit der Konfiguration des VPN's selbst oder mit dem ISP.
Ausserdem sollten sich solche Probleme, bei aktivierter DPD (Dead-Peer-Detection) eigentlich selber heilen.
Gruss Alex
Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat
OK, das kann ich gut nachvollziehen.
und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).
Das wiederum, hat nichts mit der Sophos XG selbst zu tun, sondern eher mit der Konfiguration des VPN's selbst oder mit dem ISP.
Ausserdem sollten sich solche Probleme, bei aktivierter DPD (Dead-Peer-Detection) eigentlich selber heilen.
Gruss Alex
Moin,
ich habe am Freitag Abend die Sophos gegen die Watchguard getauscht und es hat alles funktioniert soweit.
Nun hab ich die Sophos an der Watchguard an einen Lan Port angehängt und die Sophos hat nur die LAN IP Adresse 10.x.x.1 und diese hängt am LAN Port an der Watchguard mit der konfigurierten IP 10.x.x.2
Jetzt ist es leider so, das die Sophos APs das Gateway der Sophos nutzen und diese nicht in das Internet rauskönnen.
Das Produktive LAN hat auch wiederum eine andere IP Range auf der Watchguard. Wie müsste ich den die Sophos konfigurieren das die WLAN Clients die über die Sophos APs verbunden sind wieder ins Internet rauskönnen?
Kann ich auf der Sophos irgendeine Gateway "Weiterleitung" konfigurieren, so dass der ganze Traffic an dieses Gateway der Watchguard weitergeleitet wird?
Danke vorab für eure Hilfe, ich kann auch morgen ein Netzwerkschema zur Veranschaulichung hier senden
ich habe am Freitag Abend die Sophos gegen die Watchguard getauscht und es hat alles funktioniert soweit.
Nun hab ich die Sophos an der Watchguard an einen Lan Port angehängt und die Sophos hat nur die LAN IP Adresse 10.x.x.1 und diese hängt am LAN Port an der Watchguard mit der konfigurierten IP 10.x.x.2
Jetzt ist es leider so, das die Sophos APs das Gateway der Sophos nutzen und diese nicht in das Internet rauskönnen.
Das Produktive LAN hat auch wiederum eine andere IP Range auf der Watchguard. Wie müsste ich den die Sophos konfigurieren das die WLAN Clients die über die Sophos APs verbunden sind wieder ins Internet rauskönnen?
Kann ich auf der Sophos irgendeine Gateway "Weiterleitung" konfigurieren, so dass der ganze Traffic an dieses Gateway der Watchguard weitergeleitet wird?
Danke vorab für eure Hilfe, ich kann auch morgen ein Netzwerkschema zur Veranschaulichung hier senden
Wie müsste ich den die Sophos konfigurieren das die WLAN Clients die über die Sophos APs verbunden sind wieder ins Internet rauskönnen?
Also entweder, eine Route in der Sophos setzen, die auf die Watchguard zeigt (Firewall-Regeln dran denken) sowie eine Rückroute auf der Watchguard einrichten.Wo ich mir gerade nicht sicher bin, ob du in das getunnelte Wifi-Netz auch ein LAN-Vlan rein mappen kannst… falls das so ist, dann im DHCP-Scope, auf der Sophos einfach das Gateway auf eine IP der WG setzen.