photographix
Goto Top

Sophos UTM virtuell vs. FritzBox 7490 Hardware

Hallo @ all,

aktuell habe ich eine Fritzbox 7490 (DSL 25Mbit) im Einsatz und versorge über LAN / WLAN meine private Infrastruktur. Es sind ca. 20 Geräte. Darunter ist auch ein selbstgebautes NAS (Supermicro Board, Atom 2750 / 32GB, 4x 1Gbit) auf dem ein ESXi 6 free läuft. Auf diesem wiederum einige VMs zum spielen sowie ein Baikal Server (Cal / Carddav) der auch nach draussen über die Fritzbox (DynDNS) gereicht wird.

Nun bekomme ich in einem Monat FTTH mit 200Mbit. Hier war meine Überlegung das dort eventuell die FritzBox zu langsam sein könnte auch wenn sie nur noch im LAN Modus nach dem Glasfasermodem betrieben wird. Mein Gedanke war hier auf den ESXi virtuell eine Sophos UTM VM zu machen und von der besseren Filterung, Administration und den deutlich besseren Möglichkeiten zu profitieren.

Die UTM dort dann über die 4 Netzwerkkarten und den ESXi zu verwalten und von dem normalen Netz zu trennen. Hat jemand Erfahrung bei der Virtualisierung der Sophos UTM. Welche Leistung könnte dort im normalen Betrieb verbraucht werden? Der Atom wird ja auch noch für andere Sachen als nur für die UTM benötigt. Hier sollte also noch Leistung übrig bleiben. Die Fritzbox hat ja auch nicht so einen riesigen Prozessor und agiert trotzdem als Firewall.

Ob es jetzt sicherheitstechnisch "schlimmer" ist eine Fritzbox zu besitzen oder ein UTM mit einem ESXi (direkt) am Netz hängen zu haben weiss ich auch noch nicht.

Ich suche hier eher nach Gedanken zur Sache als konkrete Lösungen. Ich möchte mir explizit auch keine neue Technik anschaffen als ich eh schon habe.


LG

Content-Key: 320167

Url: https://administrator.de/contentid/320167

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: 131381
Lösung 131381 06.11.2016 aktualisiert um 16:18:55 Uhr
Goto Top
Eine Firewall bleibt eine Firewall und die virtualisiert ein verantwortungsvoller Admin nicht, sei es auch noch so verlockend.

Gruß
Mitglied: SeaStorm
SeaStorm 06.11.2016 um 17:46:58 Uhr
Goto Top
Hi

Schiess dir doch in der Bucht eine utm110/120. Bekommt man da als gebrauchtes Gerät für ca 120€. Habe ich mir auch geholt. Da kann man auch die Home Lizenz installieren(muss man ein Verzeichnis davor löschen) und dann löppt das
Mitglied: Pjordorf
Pjordorf 06.11.2016 um 18:02:17 Uhr
Goto Top
Hallo,

Zitat von @photographix:
Nun bekomme ich in einem Monat FTTH mit 200Mbit.
Ob da deine 7490 noch mitspielt?

Mein Gedanke war hier auf den ESXi virtuell eine Sophos UTM VM zu machen
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.

Hat jemand Erfahrung bei der Virtualisierung der Sophos UTM.
Eindeutige Antwort: Ja, und nicht nur ich. Zum Testen OK und für wagemutige im Pravatbereich auch noch OK. Im Firmenumfeld immer von abzuraten eine Firwall Virtuell zu betreiben. Wird aber trotzdem hier und da gemacht. Bei deinen Sammelsurium auf dein ESXi - lass es. Der ist jetzt schon überlastet. Es gibt keine Blech-Sophose mehr welche nur mit einer Atom 2750 bestückt sind. Warum? Weil mehr Leistung benötigt wird- und wie bekommt man die? Richtig - richtige CPUs verwenden und RAM (viel RAM) und schnelle HDDs usw. Je nach was du auf einer Sophos einstellst was die tun soll, brechen auch Maschinen mit 4 Kernen und aktuelle Xeon CPUs zusammen bzw. dein Traffic geht drastisch in die knie. Hier zu sehen welchen Durchsatz ein Blech-Sophose noch machen. https://www.sophos.com/de-de/products/unified-threat-management/tech-spe ... Und die Specs dazu https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-sg-seri ... Aber aktuelle SSDs, i3 und höherwertige CPUs sind es schon. Selbst da wird keine Atom mehr verwendet...

Welche Leistung könnte dort im normalen Betrieb verbraucht werden?
Leistung in Watt oder was?

Der Atom wird ja auch noch für andere Sachen als nur für die UTM benötigt.
Du sagst es selbst. Wenn di deinen 200 MBit/s wirklich nutzen willst dann auf einer eigenen Box wo du gern dein ESXi machen kannst. Aber 4 GB RAM, ein aktueller i5 4 Kerner, eine SSD sollte das schon haben und hganz wichtig, die NICs sollten keine Billigteile vom Wühltsich sein, eher Intel Server NICs....

Ob es jetzt sicherheitstechnisch "schlimmer" ist eine Fritzbox zu besitzen oder ein UTM mit einem ESXi (direkt) am Netz hängen zu haben weiss ich auch noch nicht.
Naja, eine FritzBox zu besitzen ist nicht schlimm wenn diese nicht mein Internet regelt face-smile Eine UTM am Netz ist nicht sicherheitskritisch. Die Frage stellt sich eher nach der Konfiguration. Du kannst eine UTM selbstverständlich so Konfigurieren das nicht nur eine Sicherheitslücke sich auftutface-smile

Ich möchte mir explizit auch keine neue Technik anschaffen als ich eh schon habe.
Dann wird es nichts mit deiner Spielwiese, oder du vergisst das du eine 200 MBit/s Leitung hast und begnügst dich damit was je nach Konfiguration einer UTM noch hinten rauskommt. Wenn eingehend nichts erlaubt ist (auch kein Portforwarding) und ausgehend auch jeder alles darf dann wirst du schon deine 200 MBit/s Download bekommen. Aber sobald du anfängst ein Regelwerk zu definieren, musst du damit leben oder halt doch Leistungsfähigere Hardware nutzen. Auch ein ESXi macht langsame CPUs nicht schneller. face-smile

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.11.2016 um 18:03:24 Uhr
Goto Top
Moin,

Nimm einen Microtik-Router. Oder eine Sophos auf einem Alix-Board.

lks
Mitglied: Kuemmel
Kuemmel 06.11.2016 um 19:07:00 Uhr
Goto Top
Hi,

auch im privaten Umfeld würde ich eine Firewall niemals virtualisieren wollen. Hast du dir mal die ALIX-/APU-Boards von pcengines angesehen?

Gruß
Kümmel
Mitglied: mr.pat.bateman
mr.pat.bateman 06.11.2016 um 20:01:22 Uhr
Goto Top
Das würde ich so aber nicht stehen lassen...

Es gibt zig Szenarien, wo man die virtualisiert.
Mitglied: Kuemmel
Kuemmel 06.11.2016 um 20:15:42 Uhr
Goto Top
Okay! Schieß los! Ich bin interessiert!
Mitglied: SeaStorm
SeaStorm 06.11.2016 um 20:28:27 Uhr
Goto Top
Test und Spielwiese face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.11.2016 um 20:37:15 Uhr
Goto Top
Zitat von @Kuemmel:

Okay! Schieß los! Ich bin interessiert!

Honeypots. face-smile

lks
Mitglied: Kuemmel
Kuemmel 06.11.2016 um 20:39:51 Uhr
Goto Top
Ich bin sogar gar nicht so, mir reicht schon ein Beispiel anstatt "zig".
Mitglied: mr.pat.bateman
mr.pat.bateman 06.11.2016 um 20:40:16 Uhr
Goto Top
Zitat von @Kuemmel:

Okay! Schieß los! Ich bin interessiert!
Schon mal drüber nachgedacht, wie das so ist, wenn man alles auf virutellen umgebungen laufen hat mit virutellen Switches etc., da macht es natürlich total viel sinn, eine Appliance dazwischen zu hängen. Abgesehen davon, wenn es keinen Markt insbesondere bei Sophos geben würde, warum kannst du es dann bei AWS mieten, bzw. schon seit Jahren lizenzen für virtuelle Umgebungen kaufen?
Mitglied: Kuemmel
Kuemmel 06.11.2016 um 20:46:56 Uhr
Goto Top
Ein Hersteller macht nun mal eben alles um seine Produkte an den Mann zu bringen. Trotzdem sollte eine FW immer physisch betrieben werden. Die Vorteile überwiegen da einfach. Google mal danach. Vielleicht siehst du es dann ein! face-smile
Mitglied: mr.pat.bateman
mr.pat.bateman 06.11.2016 um 20:59:05 Uhr
Goto Top
Zitat von @Kuemmel:

Ein Hersteller macht nun mal eben alles um seine Produkte an den Mann zu bringen. Trotzdem sollte eine FW immer physisch betrieben werden. Die Vorteile überwiegen da einfach. Google mal danach. Vielleicht siehst du es dann ein! face-smile
Wenn du der Meinung bist ;) Dann musst du mir nur mal verraten, wie du z.B. eine Fidelis beim Großkonzern mit 150.000 Geräten hintendran direkt auf der Applaince Hardware betreibst, ohne Load-Balancing, Failover, Wartung und so weiter?
Das würde mich jetzt mal brennend interessieren wie du sowas löst. Insbesondere wenn du mit VLANs arbeitets und eine Hardware Appliance alleine von der Anzahl Netzwerkports und deren Druchsatz nicht mehr rausreicht.
Mitglied: photographix
photographix 06.11.2016 um 21:13:51 Uhr
Goto Top
OK danke euch allen für die Denkanstöße.
Ich werde alles so lassen wie es ist und nicht virtualisieren.
Neue Technik wollte ich mir wie gesagt nicht anschaffen - auch wenn das mehr "Pro" wäre.
Aber das ist nicht mein Ziel gewesen.

LG
Mitglied: STRUBartacus
STRUBartacus 06.11.2016 aktualisiert um 21:46:51 Uhr
Goto Top
Zitat von @Pjordorf:
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.

Da bin ich anderer Meinung face-wink Selbst mein Atom C2550 (4 statt 8 Cores) packt meinen symmetrischen GBit-Anschluss mit links.
Mitglied: photographix
photographix 06.11.2016 um 21:55:50 Uhr
Goto Top
Hallo struband,
ist dieser dort dann voll ausgelastet? Ich hab auch persönlich keine Angst das ich den Atom mit dem Durchsatz zu stehen bringe. War mir lediglich bei "Firewallaufgaben" nicht sicher was dort an Leistung abgezogen wird.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2016 um 03:11:51 Uhr
Goto Top
Zitat von @STRUBartacus:

Zitat von @Pjordorf:
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.

Da bin ich anderer Meinung face-wink Selbst mein Atom C2550 (4 statt 8 Cores) packt meinen symmetrischen GBit-Anschluss mit links.

Aber garantiert nicht, wenn Du noch ein halbes Dutzend aktive VMs bedienen mußt.

lks.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2016 um 03:20:41 Uhr
Goto Top
Zitat von @photographix:

Hallo struband,
ist dieser dort dann voll ausgelastet? Ich hab auch persönlich keine Angst das ich den Atom mit dem Durchsatz zu stehen bringe. War mir lediglich bei "Firewallaufgaben" nicht sicher was dort an Leistung abgezogen wird.

Einfache paketfilter bekonmt man auf höheren Durchsatz. Sobald aber komplexeres dpi oder content-filter genutzt wird, bist Du mit einem atom meist schnell an der Leistungsgrenze.

Aber ich würde Dir zu einem einfachen 30-60€-mikrotik raten. Wenn Du die FB bei ebay vertickerst, bekommst Du sogar einen sehr guten besseren mikrotik ider ein pc-engines-board dafür.

Du kannst ja trotzdem noch mit der Sophos spielen, aber ich würde deine virtualisierunskiste nicht mit dem nackten Arsch ins internet hängen.

lks.
Mitglied: Avaatar
Avaatar 07.11.2016 um 07:17:02 Uhr
Goto Top
Ich habe ein ähnliches Problem, ich bekomme (irgendwann in den nächsten 12 Monaten) auch FTTH und werde mit 100/10 anfangen. Aktuell habe ich eine FB 7390. Diese soll lt. Recherchen im Internet ca. 200 Mbit Gesamtgeschwindigkeit packen. Die 7490 denke ich wird mehr Power haben, starte doch erst mal mit der und guck was bei rumkommt. Wenn Dir am Ende 10-20 Mbit fehlen kannst Du Dir ja überlegen ob es Dir das Geld wert ist was anderes anzuschaffen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2016 um 08:02:58 Uhr
Goto Top
Zitat von @Avaatar:

Wenn Dir am Ende 10-20 Mbit fehlen kannst Du Dir ja überlegen ob es Dir das Geld wert ist was anderes anzuschaffen.

Mit einem MikroTik hEX (RB750Gr3), von denen er mindestens zwei zum Preis einer gebrauchten FB 7490 bekommt müß man nicht lange überlegen.

lks
Mitglied: Avaatar
Avaatar 07.11.2016 um 08:09:00 Uhr
Goto Top
Das stimmt aber die FB 7490 hat er ja schon zu Hause.
Mitglied: aqui
aqui 07.11.2016 um 08:14:52 Uhr
Goto Top
...die schafft aber nur mit ach und krach wenn überhaupt eine Paket Forwarding Rate von 200 Mbit mit NAT. Sprich also bei FTTH ist so oder so was anderes fällig.
Mitglied: photographix
photographix 07.11.2016 um 08:22:09 Uhr
Goto Top
Während die Fritzbox aber VoIP Telefonie, DECT und WLAN hat ist der hEX "nur" eine Firewall. Dafür natürlich viel besser! Ich müsste also noch anbauen um zu mindestens WLAN wieder zu bekommen. Die Fritzbox hätte ich ja in diesem theoretischen Konstrukt verkauft.

Das Router OS ist schon cool, es hat auch sehr viele Möglichkeiten. Aber im Gesamtpaket weniger als ich momentan mit der FritzBox habe.
Mitglied: Avaatar
Avaatar 07.11.2016 um 08:26:12 Uhr
Goto Top
Ich war jetzt mal neugierig und bin u.a. hierauf gestoßen:
https://www.computerbase.de/forum/showthread.php?t=1292465

Das VDSL Modem schafft nur 100 Mbit aber das braucht man bei FTTH ja nicht. Das reine Routing etc. schafft die FB locker mehr, hilfreich ist der Hinweis wegen dem Lan Port:
Der Lan Port steht per Default auf Eco, d.h. bei 100 Mbit gedrosselt. Das muss man noch umstellen.
Mitglied: 131381
131381 07.11.2016 aktualisiert um 08:28:39 Uhr
Goto Top
Zitat von @photographix:

Während die Fritzbox aber VoIP Telefonie, DECT und WLAN hat ist der hEX "nur" eine Firewall.
Modelle mit integriertem WLAN sind nur unwesentlich teurer.
Einen VOIP Server auf dem Mikrotik kannst du ebenfalls nachrüsten mit einer VM auf dem Mikrotik in der ein Asterisk in einem OpenWRT läuft! Habe ich hier schon Jahre einwandfrei laufen face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2016 um 08:34:50 Uhr
Goto Top
Zitat von @Avaatar:

Das stimmt aber die FB 7490 hat er ja schon zu Hause.

Was glaubst Du, warum ich gesagt habe, daß er für einegebrauchste 7490 2 neue Mikrotiks bekommt. (*wink wink mit zaunpfahl*)

lks