Sophos UTM virtuell vs. FritzBox 7490 Hardware
Hallo @ all,
aktuell habe ich eine Fritzbox 7490 (DSL 25Mbit) im Einsatz und versorge über LAN / WLAN meine private Infrastruktur. Es sind ca. 20 Geräte. Darunter ist auch ein selbstgebautes NAS (Supermicro Board, Atom 2750 / 32GB, 4x 1Gbit) auf dem ein ESXi 6 free läuft. Auf diesem wiederum einige VMs zum spielen sowie ein Baikal Server (Cal / Carddav) der auch nach draussen über die Fritzbox (DynDNS) gereicht wird.
Nun bekomme ich in einem Monat FTTH mit 200Mbit. Hier war meine Überlegung das dort eventuell die FritzBox zu langsam sein könnte auch wenn sie nur noch im LAN Modus nach dem Glasfasermodem betrieben wird. Mein Gedanke war hier auf den ESXi virtuell eine Sophos UTM VM zu machen und von der besseren Filterung, Administration und den deutlich besseren Möglichkeiten zu profitieren.
Die UTM dort dann über die 4 Netzwerkkarten und den ESXi zu verwalten und von dem normalen Netz zu trennen. Hat jemand Erfahrung bei der Virtualisierung der Sophos UTM. Welche Leistung könnte dort im normalen Betrieb verbraucht werden? Der Atom wird ja auch noch für andere Sachen als nur für die UTM benötigt. Hier sollte also noch Leistung übrig bleiben. Die Fritzbox hat ja auch nicht so einen riesigen Prozessor und agiert trotzdem als Firewall.
Ob es jetzt sicherheitstechnisch "schlimmer" ist eine Fritzbox zu besitzen oder ein UTM mit einem ESXi (direkt) am Netz hängen zu haben weiss ich auch noch nicht.
Ich suche hier eher nach Gedanken zur Sache als konkrete Lösungen. Ich möchte mir explizit auch keine neue Technik anschaffen als ich eh schon habe.
LG
aktuell habe ich eine Fritzbox 7490 (DSL 25Mbit) im Einsatz und versorge über LAN / WLAN meine private Infrastruktur. Es sind ca. 20 Geräte. Darunter ist auch ein selbstgebautes NAS (Supermicro Board, Atom 2750 / 32GB, 4x 1Gbit) auf dem ein ESXi 6 free läuft. Auf diesem wiederum einige VMs zum spielen sowie ein Baikal Server (Cal / Carddav) der auch nach draussen über die Fritzbox (DynDNS) gereicht wird.
Nun bekomme ich in einem Monat FTTH mit 200Mbit. Hier war meine Überlegung das dort eventuell die FritzBox zu langsam sein könnte auch wenn sie nur noch im LAN Modus nach dem Glasfasermodem betrieben wird. Mein Gedanke war hier auf den ESXi virtuell eine Sophos UTM VM zu machen und von der besseren Filterung, Administration und den deutlich besseren Möglichkeiten zu profitieren.
Die UTM dort dann über die 4 Netzwerkkarten und den ESXi zu verwalten und von dem normalen Netz zu trennen. Hat jemand Erfahrung bei der Virtualisierung der Sophos UTM. Welche Leistung könnte dort im normalen Betrieb verbraucht werden? Der Atom wird ja auch noch für andere Sachen als nur für die UTM benötigt. Hier sollte also noch Leistung übrig bleiben. Die Fritzbox hat ja auch nicht so einen riesigen Prozessor und agiert trotzdem als Firewall.
Ob es jetzt sicherheitstechnisch "schlimmer" ist eine Fritzbox zu besitzen oder ein UTM mit einem ESXi (direkt) am Netz hängen zu haben weiss ich auch noch nicht.
Ich suche hier eher nach Gedanken zur Sache als konkrete Lösungen. Ich möchte mir explizit auch keine neue Technik anschaffen als ich eh schon habe.
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320167
Url: https://administrator.de/contentid/320167
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
26 Kommentare
Neuester Kommentar
Eine Firewall bleibt eine Firewall und die virtualisiert ein verantwortungsvoller Admin nicht, sei es auch noch so verlockend.
Gruß
Gruß
Hallo,
Ob da deine 7490 noch mitspielt?
Gruß,
Peter
Ob da deine 7490 noch mitspielt?
Mein Gedanke war hier auf den ESXi virtuell eine Sophos UTM VM zu machen
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.Hat jemand Erfahrung bei der Virtualisierung der Sophos UTM.
Eindeutige Antwort: Ja, und nicht nur ich. Zum Testen OK und für wagemutige im Pravatbereich auch noch OK. Im Firmenumfeld immer von abzuraten eine Firwall Virtuell zu betreiben. Wird aber trotzdem hier und da gemacht. Bei deinen Sammelsurium auf dein ESXi - lass es. Der ist jetzt schon überlastet. Es gibt keine Blech-Sophose mehr welche nur mit einer Atom 2750 bestückt sind. Warum? Weil mehr Leistung benötigt wird- und wie bekommt man die? Richtig - richtige CPUs verwenden und RAM (viel RAM) und schnelle HDDs usw. Je nach was du auf einer Sophos einstellst was die tun soll, brechen auch Maschinen mit 4 Kernen und aktuelle Xeon CPUs zusammen bzw. dein Traffic geht drastisch in die knie. Hier zu sehen welchen Durchsatz ein Blech-Sophose noch machen. https://www.sophos.com/de-de/products/unified-threat-management/tech-spe ... Und die Specs dazu https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-sg-seri ... Aber aktuelle SSDs, i3 und höherwertige CPUs sind es schon. Selbst da wird keine Atom mehr verwendet...Welche Leistung könnte dort im normalen Betrieb verbraucht werden?
Leistung in Watt oder was?Der Atom wird ja auch noch für andere Sachen als nur für die UTM benötigt.
Du sagst es selbst. Wenn di deinen 200 MBit/s wirklich nutzen willst dann auf einer eigenen Box wo du gern dein ESXi machen kannst. Aber 4 GB RAM, ein aktueller i5 4 Kerner, eine SSD sollte das schon haben und hganz wichtig, die NICs sollten keine Billigteile vom Wühltsich sein, eher Intel Server NICs....Ob es jetzt sicherheitstechnisch "schlimmer" ist eine Fritzbox zu besitzen oder ein UTM mit einem ESXi (direkt) am Netz hängen zu haben weiss ich auch noch nicht.
Naja, eine FritzBox zu besitzen ist nicht schlimm wenn diese nicht mein Internet regelt Eine UTM am Netz ist nicht sicherheitskritisch. Die Frage stellt sich eher nach der Konfiguration. Du kannst eine UTM selbstverständlich so Konfigurieren das nicht nur eine Sicherheitslücke sich auftutIch möchte mir explizit auch keine neue Technik anschaffen als ich eh schon habe.
Dann wird es nichts mit deiner Spielwiese, oder du vergisst das du eine 200 MBit/s Leitung hast und begnügst dich damit was je nach Konfiguration einer UTM noch hinten rauskommt. Wenn eingehend nichts erlaubt ist (auch kein Portforwarding) und ausgehend auch jeder alles darf dann wirst du schon deine 200 MBit/s Download bekommen. Aber sobald du anfängst ein Regelwerk zu definieren, musst du damit leben oder halt doch Leistungsfähigere Hardware nutzen. Auch ein ESXi macht langsame CPUs nicht schneller. Gruß,
Peter
Schon mal drüber nachgedacht, wie das so ist, wenn man alles auf virutellen umgebungen laufen hat mit virutellen Switches etc., da macht es natürlich total viel sinn, eine Appliance dazwischen zu hängen. Abgesehen davon, wenn es keinen Markt insbesondere bei Sophos geben würde, warum kannst du es dann bei AWS mieten, bzw. schon seit Jahren lizenzen für virtuelle Umgebungen kaufen?
Zitat von @Kuemmel:
Ein Hersteller macht nun mal eben alles um seine Produkte an den Mann zu bringen. Trotzdem sollte eine FW immer physisch betrieben werden. Die Vorteile überwiegen da einfach. Google mal danach. Vielleicht siehst du es dann ein!
Wenn du der Meinung bist ;) Dann musst du mir nur mal verraten, wie du z.B. eine Fidelis beim Großkonzern mit 150.000 Geräten hintendran direkt auf der Applaince Hardware betreibst, ohne Load-Balancing, Failover, Wartung und so weiter?Ein Hersteller macht nun mal eben alles um seine Produkte an den Mann zu bringen. Trotzdem sollte eine FW immer physisch betrieben werden. Die Vorteile überwiegen da einfach. Google mal danach. Vielleicht siehst du es dann ein!
Das würde mich jetzt mal brennend interessieren wie du sowas löst. Insbesondere wenn du mit VLANs arbeitets und eine Hardware Appliance alleine von der Anzahl Netzwerkports und deren Druchsatz nicht mehr rausreicht.
Zitat von @Pjordorf:
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.
Da bin ich anderer Meinung Selbst mein Atom C2550 (4 statt 8 Cores) packt meinen symmetrischen GBit-Anschluss mit links.
Zitat von @STRUBartacus:
Da bin ich anderer Meinung Selbst mein Atom C2550 (4 statt 8 Cores) packt meinen symmetrischen GBit-Anschluss mit links.
Zitat von @Pjordorf:
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.
Verwirf den Gedanken. Dein Blech ist nicht leistungsfähig genug. da dürfte deine 7490 noch besser tuckern.
Da bin ich anderer Meinung Selbst mein Atom C2550 (4 statt 8 Cores) packt meinen symmetrischen GBit-Anschluss mit links.
Aber garantiert nicht, wenn Du noch ein halbes Dutzend aktive VMs bedienen mußt.
lks.
Zitat von @photographix:
Hallo struband,
ist dieser dort dann voll ausgelastet? Ich hab auch persönlich keine Angst das ich den Atom mit dem Durchsatz zu stehen bringe. War mir lediglich bei "Firewallaufgaben" nicht sicher was dort an Leistung abgezogen wird.
Hallo struband,
ist dieser dort dann voll ausgelastet? Ich hab auch persönlich keine Angst das ich den Atom mit dem Durchsatz zu stehen bringe. War mir lediglich bei "Firewallaufgaben" nicht sicher was dort an Leistung abgezogen wird.
Einfache paketfilter bekonmt man auf höheren Durchsatz. Sobald aber komplexeres dpi oder content-filter genutzt wird, bist Du mit einem atom meist schnell an der Leistungsgrenze.
Aber ich würde Dir zu einem einfachen 30-60€-mikrotik raten. Wenn Du die FB bei ebay vertickerst, bekommst Du sogar einen sehr guten besseren mikrotik ider ein pc-engines-board dafür.
Du kannst ja trotzdem noch mit der Sophos spielen, aber ich würde deine virtualisierunskiste nicht mit dem nackten Arsch ins internet hängen.
lks.
Ich habe ein ähnliches Problem, ich bekomme (irgendwann in den nächsten 12 Monaten) auch FTTH und werde mit 100/10 anfangen. Aktuell habe ich eine FB 7390. Diese soll lt. Recherchen im Internet ca. 200 Mbit Gesamtgeschwindigkeit packen. Die 7490 denke ich wird mehr Power haben, starte doch erst mal mit der und guck was bei rumkommt. Wenn Dir am Ende 10-20 Mbit fehlen kannst Du Dir ja überlegen ob es Dir das Geld wert ist was anderes anzuschaffen.
Zitat von @Avaatar:
Wenn Dir am Ende 10-20 Mbit fehlen kannst Du Dir ja überlegen ob es Dir das Geld wert ist was anderes anzuschaffen.
Wenn Dir am Ende 10-20 Mbit fehlen kannst Du Dir ja überlegen ob es Dir das Geld wert ist was anderes anzuschaffen.
Mit einem MikroTik hEX (RB750Gr3), von denen er mindestens zwei zum Preis einer gebrauchten FB 7490 bekommt müß man nicht lange überlegen.
lks
Ich war jetzt mal neugierig und bin u.a. hierauf gestoßen:
https://www.computerbase.de/forum/showthread.php?t=1292465
Das VDSL Modem schafft nur 100 Mbit aber das braucht man bei FTTH ja nicht. Das reine Routing etc. schafft die FB locker mehr, hilfreich ist der Hinweis wegen dem Lan Port:
Der Lan Port steht per Default auf Eco, d.h. bei 100 Mbit gedrosselt. Das muss man noch umstellen.
https://www.computerbase.de/forum/showthread.php?t=1292465
Das VDSL Modem schafft nur 100 Mbit aber das braucht man bei FTTH ja nicht. Das reine Routing etc. schafft die FB locker mehr, hilfreich ist der Hinweis wegen dem Lan Port:
Der Lan Port steht per Default auf Eco, d.h. bei 100 Mbit gedrosselt. Das muss man noch umstellen.
Zitat von @photographix:
Während die Fritzbox aber VoIP Telefonie, DECT und WLAN hat ist der hEX "nur" eine Firewall.
Modelle mit integriertem WLAN sind nur unwesentlich teurer.Während die Fritzbox aber VoIP Telefonie, DECT und WLAN hat ist der hEX "nur" eine Firewall.
Einen VOIP Server auf dem Mikrotik kannst du ebenfalls nachrüsten mit einer VM auf dem Mikrotik in der ein Asterisk in einem OpenWRT läuft! Habe ich hier schon Jahre einwandfrei laufen
Was glaubst Du, warum ich gesagt habe, daß er für einegebrauchste 7490 2 neue Mikrotiks bekommt. (*wink wink mit zaunpfahl*)
lks