staybb
Goto Top

Sophos Firewall Austausch - dual Firewall Betrieb für WLAN möglich?

Hallo zusammen,

ich plane eine Sophos XG gegen eine Watchguard Firewall auzutauschen.

Es ist für eine recht kleine Umgebung mit ca. 10 PC Arbeitsplätzen. An dem Standort sind auch von Sophos AccessPoints installiert, welche über die Sophos Firewall konfiguriert sind.
Ich nehme an das Sophos ein geschlossenes System ist, dass die Sophos APs genau für die Sophos Firewalls abgestimmt sind.

Daher ist meine Frage: Kann ich grundlegend die neue Watchguard Firewall für den Internetzugang und die VPN Site2Site Anbindung zum Hauptstandort gegen die Sophos XG Firewall ersetzen und die Sophos FW einfach an einen LAN Port an der Watchguard anschliessen und entsprechend in den rule policies sagen, dass der WLAN Traffic von den Sophos APs über die Sophos XG einfach an die Watchguard durchgeleitet wird?

Oder denkt ihr ist das technisch ein Porblem, wenn man zwei Firewalls im Netz betreibt auch wenn die Sophos dann nur rein für das WLAN da wäre?

Mittelfristig sind auch neue AccessPoints geplant, das wäre dann nur eine temporäre Lösung.

Danke vorab für eure TIps und gruss
staybb

Content-ID: 23788779208

Url: https://administrator.de/forum/sophos-firewall-austausch-dual-firewall-betrieb-fuer-wlan-moeglich-23788779208.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

em-pie
em-pie 31.05.2024 um 17:24:26 Uhr
Goto Top
Moin,

Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.

Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.

Aber warum wollt ihr die XGS loswerden?
MysticFoxDE
MysticFoxDE 31.05.2024 um 20:43:22 Uhr
Goto Top
Aber warum wollt ihr die XGS loswerden?

Das würde mich auch sehr interessieren, vor allem auch noch gegen Watchguard.
Pjordorf
Pjordorf 31.05.2024 um 21:21:33 Uhr
Goto Top
Hallo,

Zitat von @em-pie:
Aber warum wollt ihr die XGS loswerden?
Zu iel Geld , Keine Ahnung, Schönere Farben, Schicjere GUI, Watchguard hat einen längeren Namen als Sophos, Sophos kennt kein Mensch und nur IDTenTee(ID1oT) können die zum laufen bringen, bei watchguard reicht schon ein DAU,Gründe gibt es mannigfaltige...face-smile

Gruss,
Peter
Mystery-at-min
Mystery-at-min 31.05.2024 um 22:23:34 Uhr
Goto Top
Ja, das geht. Gerne Kontakt.
nachgefragt
nachgefragt 31.05.2024 um 22:39:25 Uhr
Goto Top
Zitat von @staybb:
ich plane eine Sophos XG gegen eine Watchguard Firewall auzutauschen.
Kann ich verstehen, die Lizenzkosten sind mal eben um 100% gestiegen. OPNsense oder PFsense solltest du auch mal anschauen.
OPNsense Starthilfe
mbehrens
mbehrens 31.05.2024 um 23:45:38 Uhr
Goto Top
Zitat von @staybb:

Ich nehme an das Sophos ein geschlossenes System ist, dass die Sophos APs genau für die Sophos Firewalls abgestimmt sind.

Ja, da die sind dann Elektroschrott.

Daher ist meine Frage: Kann ich grundlegend die neue Watchguard Firewall für den Internetzugang und die VPN Site2Site Anbindung zum Hauptstandort gegen die Sophos XG Firewall ersetzen und die Sophos FW einfach an einen LAN Port an der Watchguard anschliessen und entsprechend in den rule policies sagen, dass der WLAN Traffic von den Sophos APs über die Sophos XG einfach an die Watchguard durchgeleitet wird?

Ja.

Oder denkt ihr ist das technisch ein Porblem, wenn man zwei Firewalls im Netz betreibt auch wenn die Sophos dann nur rein für das WLAN da wäre?

Nein, da gibt es keine Probleme

Mittelfristig sind auch neue AccessPoints geplant, das wäre dann nur eine temporäre Lösung.

Also als temporäre Dauerlösung face-wink

Danke vorab für eure TIps und gruss

Es gibt auch sehr atraktive Upgradeangebote für den Wechsel XG/XGS.
MysticFoxDE
MysticFoxDE 01.06.2024 um 07:12:56 Uhr
Goto Top
Moin @nachgefragt,

Kann ich verstehen, die Lizenzkosten sind mal eben um 100% gestiegen.

wie kommst du darauf?
Ich habe in letzter Zeit von grösseren Preissteigerungen bei Sophos noch nichts gehört.
Oder meinst du die vom letzten Jahr, die aber bei weitem nicht bei 100% lagen.
Und ja, so gut wie alle haben in letzter Zeit, insbesondere in den letzten beiden Jahren, zum teil sehr kräftig am Preis geschraubt und nicht nur Sophos. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 01.06.2024 um 07:16:03 Uhr
Goto Top
Moin @mbehrens,

Es gibt auch sehr atraktive Upgradeangebote für den Wechsel XG/XGS.

die guten Ablöseangebote gibt es auch genauso bei einem Wechsel von Watchguard zu Sophos. 🙃

Gruss Alex
nachgefragt
nachgefragt 01.06.2024 um 10:42:52 Uhr
Goto Top
Zitat von @MysticFoxDE:
wie kommst du darauf?
Hatte nach 36 Monate die Lizenz verlängern müssen, 103% teurer geworden.

Argument: "Wen Sie immer 36 Monate kaufen, bekommen sie die jährliche Preiserhöhung gar nicht mit, deswegen wirkt es jetzt so viel."

Ich soll das Doppelte zahlen, bekomme aber keinen echten Mehrwert. Das nennt man wie nochmal?
staybb
staybb 03.06.2024 um 10:34:41 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Zum einen: ja, die Sophos APs laufen nur innerhalb der der Sophos.

Ansonsten:
XG in das Netz normal einbinden und im DHCP-Server für die AP-Clients die Watchguard als Default-GW setzen.
Dann Managed die XG die APs, der Tragfic geht aber zur Watchguard.

Aber warum wollt ihr die XGS loswerden?

Moin,

danke für die Info und auch alle anderen, dann werde ich die Sophos erstmal noch dazwischen hängen, bis auch neue APs geplant sind.

Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).

Die XG war an dem Nebenstandort schon immer im Einsatz und wird jetzt quasi vereinheitlicht auf WatchGuard.

gruss staybb
Pjordorf
Pjordorf 03.06.2024 um 11:20:46 Uhr
Goto Top
Hallo,

Zitat von @staybb:
Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).
Sicher das es an der Sophos liegt, nicht an den Einstellungen oder am Provider?

Gruss,
Peter
MysticFoxDE
MysticFoxDE 03.06.2024 um 21:41:09 Uhr
Goto Top
Moin @staybb,

Der Grund für den Wechsel zu WatchGuard ist, da der Hauptstandort auch WatchGuards im Einsatz hat

OK, das kann ich gut nachvollziehen.

und das Site2Site VPN von Watchguard vom Hauptstandort zum Nebenstandort zur Sophos nicht so stabil läuft (2x pro Monat gibt es immer wieder disconnects zu den Hosts im Tunnel).

Das wiederum, hat nichts mit der Sophos XG selbst zu tun, sondern eher mit der Konfiguration des VPN's selbst oder mit dem ISP.

Ausserdem sollten sich solche Probleme, bei aktivierter DPD (Dead-Peer-Detection) eigentlich selber heilen.

Gruss Alex
staybb
staybb 09.06.2024 um 21:14:46 Uhr
Goto Top
Moin,

ich habe am Freitag Abend die Sophos gegen die Watchguard getauscht und es hat alles funktioniert soweit.

Nun hab ich die Sophos an der Watchguard an einen Lan Port angehängt und die Sophos hat nur die LAN IP Adresse 10.x.x.1 und diese hängt am LAN Port an der Watchguard mit der konfigurierten IP 10.x.x.2

Jetzt ist es leider so, das die Sophos APs das Gateway der Sophos nutzen und diese nicht in das Internet rauskönnen.

Das Produktive LAN hat auch wiederum eine andere IP Range auf der Watchguard. Wie müsste ich den die Sophos konfigurieren das die WLAN Clients die über die Sophos APs verbunden sind wieder ins Internet rauskönnen?

Kann ich auf der Sophos irgendeine Gateway "Weiterleitung" konfigurieren, so dass der ganze Traffic an dieses Gateway der Watchguard weitergeleitet wird?

Danke vorab für eure Hilfe, ich kann auch morgen ein Netzwerkschema zur Veranschaulichung hier senden
em-pie
em-pie 09.06.2024 um 21:31:21 Uhr
Goto Top
Wie müsste ich den die Sophos konfigurieren das die WLAN Clients die über die Sophos APs verbunden sind wieder ins Internet rauskönnen?
Also entweder, eine Route in der Sophos setzen, die auf die Watchguard zeigt (Firewall-Regeln dran denken) sowie eine Rückroute auf der Watchguard einrichten.

Wo ich mir gerade nicht sicher bin, ob du in das getunnelte Wifi-Netz auch ein LAN-Vlan rein mappen kannst… falls das so ist, dann im DHCP-Scope, auf der Sophos einfach das Gateway auf eine IP der WG setzen.