Umstieg von LANCOM Routern?
Hallo Zusammen!
Im Moment bin ich im Prozess neue Router bzw. Firewall-Systeme für unsere IT-Landschaft zu suchen. Als "hauptsächlich" alleine arbeitender Administrator betreue ich mehrere Schulen mit jeweils ca. 40-60 Mitarbeitenden oder Lehrkräften pro Schule. Bisher sind bei uns Router der Marke LANCOM im Einsatz, die vor längerer Zeit von meinen Vorgängern beschafft wurden. Diese Router stehen allerdings bald vor dem Supportende.
Bisher habe ich mit den LANCOMs die Erfahrung gemacht, dass diese generell sehr stabil laufen, allerdings wirkt die Software auf mich ein wenig veraltet. Ich habe mir testweise eines der neueren Modelle beschafft und auch hier festgestellt, dass sich dort, besonders im Bezug auf Firewallsoftware, auch nicht wirklich viel getan hat, weshalb ich einem erneuten Kauf von LANCOM Routern ein wenig skeptisch gegeüber stehe.
Ich selber bin ein großer Fan von Open-Source Lösungen und habe aus verschiedenen Quellen gehört, dass die eigenstangefertige Hardware von OPNsense sehr gut funktionieren soll. Mit OPNsense bin ich bereits ziemlich gut vertraut bin, allerdings kenne ich OPNsense nur als selbst gehostete Lösung. Ein Punkt bei der Entscheidung ist u.a dass es eine "Enterprise"-Lösung ist für die man sich entscheidet, wofür OPNsense als meist selbst-gehostete open-source Lösung, meinen Erfahrungen, nach gerne belächelt wird.
Meine Frage nun: Hat jemand Erfahrungen mit einem Umstieg von LANCOM Routern? Vielleicht zu einer Open-Source Lösung wie OPNsense, PfSense oder evtl. auch einem anderen Bussinesshersteller den Er/Sie empfehlen kann? Tue ich LANCOM vielleicht auch unrecht und jemand kann weiterhin positives über die Geräte berichten?
In jedem Fall freue ich mich über eure Rückmeldungen!
Viele Grüße
S
Im Moment bin ich im Prozess neue Router bzw. Firewall-Systeme für unsere IT-Landschaft zu suchen. Als "hauptsächlich" alleine arbeitender Administrator betreue ich mehrere Schulen mit jeweils ca. 40-60 Mitarbeitenden oder Lehrkräften pro Schule. Bisher sind bei uns Router der Marke LANCOM im Einsatz, die vor längerer Zeit von meinen Vorgängern beschafft wurden. Diese Router stehen allerdings bald vor dem Supportende.
Bisher habe ich mit den LANCOMs die Erfahrung gemacht, dass diese generell sehr stabil laufen, allerdings wirkt die Software auf mich ein wenig veraltet. Ich habe mir testweise eines der neueren Modelle beschafft und auch hier festgestellt, dass sich dort, besonders im Bezug auf Firewallsoftware, auch nicht wirklich viel getan hat, weshalb ich einem erneuten Kauf von LANCOM Routern ein wenig skeptisch gegeüber stehe.
Ich selber bin ein großer Fan von Open-Source Lösungen und habe aus verschiedenen Quellen gehört, dass die eigenstangefertige Hardware von OPNsense sehr gut funktionieren soll. Mit OPNsense bin ich bereits ziemlich gut vertraut bin, allerdings kenne ich OPNsense nur als selbst gehostete Lösung. Ein Punkt bei der Entscheidung ist u.a dass es eine "Enterprise"-Lösung ist für die man sich entscheidet, wofür OPNsense als meist selbst-gehostete open-source Lösung, meinen Erfahrungen, nach gerne belächelt wird.
Meine Frage nun: Hat jemand Erfahrungen mit einem Umstieg von LANCOM Routern? Vielleicht zu einer Open-Source Lösung wie OPNsense, PfSense oder evtl. auch einem anderen Bussinesshersteller den Er/Sie empfehlen kann? Tue ich LANCOM vielleicht auch unrecht und jemand kann weiterhin positives über die Geräte berichten?
In jedem Fall freue ich mich über eure Rückmeldungen!
Viele Grüße
S
Please also mark the comments that contributed to the solution of the article
Content-ID: 669359
Url: https://administrator.de/contentid/669359
Printed on: December 5, 2024 at 16:12 o'clock
17 Comments
Latest comment
Ich glaube die Frage ist, ob der Router wirklich was routen soll oder nicht.
Wenn er nichts routet reicht ein Modem und dahinter dann eine aktuelle Firewall.
Firewall wäre dann Geschmacks- und Kostenfrage.
Ich kenn die LanComs nur als eierlegende Wollmilchsau , die mich zu viel Zeit kosten, weil ich deren Funktionen gar nicht benötige.
Und bei einer Schule würde ich dann noch mal ganz genaus schauen, was man verwenden darf.
glaub der Webfilter vom Lancom ist da wenig zeitgemäss.
Wenn er nichts routet reicht ein Modem und dahinter dann eine aktuelle Firewall.
Firewall wäre dann Geschmacks- und Kostenfrage.
Ich kenn die LanComs nur als eierlegende Wollmilchsau , die mich zu viel Zeit kosten, weil ich deren Funktionen gar nicht benötige.
Und bei einer Schule würde ich dann noch mal ganz genaus schauen, was man verwenden darf.
glaub der Webfilter vom Lancom ist da wenig zeitgemäss.
Hallo,
hab auch noch eine kleine Umgebung mit einem Lancom, also ohne richtige Firewall. Ich mag das Lancom Interface nicht, das ist aber subjektiv. Der LANCOM Advanced VPN Client (V6) läuft nicht so stabil, wie meine OPNsense Testumgebung mit OpenVPN.
OPNsense Business Edition + Zenarmor Free, wird optional erweitert mit Business oder SSE.
Wenn das belächelt wird, da bin ich dabei. Wenn ich sehe was OPNsense + Zenarmor schon lizenzkostenfrei anbieten, dann zaubert mir das tatsächlich ein Lächeln ins Gesicht.
Ein Ansatz von Thomas Krenn: https://www.youtube.com/watch?v=y9A00tM4H58
Was mir geht noch im Kopf umgeht, ist ein Ansatz den (kleinen alten) "Core Switch" gegen die Firewall zu tauschen, d.h. diese muss eine entsprechende Anzahl von Schnittstellen mitbringen. Ein Server mit ausreichend Schnittstellen (und noch Platz für die Zukunft) + Wartung, verglichen mit einer einer UF-760, warum nicht.
hab auch noch eine kleine Umgebung mit einem Lancom, also ohne richtige Firewall. Ich mag das Lancom Interface nicht, das ist aber subjektiv. Der LANCOM Advanced VPN Client (V6) läuft nicht so stabil, wie meine OPNsense Testumgebung mit OpenVPN.
OPNsense Business Edition + Zenarmor Free, wird optional erweitert mit Business oder SSE.
Wenn das belächelt wird, da bin ich dabei. Wenn ich sehe was OPNsense + Zenarmor schon lizenzkostenfrei anbieten, dann zaubert mir das tatsächlich ein Lächeln ins Gesicht.
Ein Ansatz von Thomas Krenn: https://www.youtube.com/watch?v=y9A00tM4H58
Was mir geht noch im Kopf umgeht, ist ein Ansatz den (kleinen alten) "Core Switch" gegen die Firewall zu tauschen, d.h. diese muss eine entsprechende Anzahl von Schnittstellen mitbringen. Ein Server mit ausreichend Schnittstellen (und noch Platz für die Zukunft) + Wartung, verglichen mit einer einer UF-760, warum nicht.
Die paar wenigen Schulen die ich kenne haben bisher meist keine VLANs oder maximal 2-3 (Verwaltung, Schule, Gäste z.B. ).
Beachte, dass Verwaltung und Schülernetz häufig getrennt werden muss.
Da reicht eine OpnSense meist locker aus, die benötigte Bandbreite ist üblicherweise gering.
Reverse-Proxy, VPN, DPI... Braucht man das wirklich im Schulbetrieb?
Das einzige Problem: Manchmal wird das BPjM Modul gefordert, das kann die Sense (natürlich) nicht, weil das was rein deutsches ist. <br>
In der Praxis dürfte die allermeisten Schulen dürfte aber der integrierte DNS-Filter DNSBL völlig ausreichen. Wenn irgendwas nicht erreichbar ist, nutzen die Schüler eben ihr Handy, haben ja inzwischen die meisten mit dickem Datenvolumen.
Beachte, dass Verwaltung und Schülernetz häufig getrennt werden muss.
Da reicht eine OpnSense meist locker aus, die benötigte Bandbreite ist üblicherweise gering.
Reverse-Proxy, VPN, DPI... Braucht man das wirklich im Schulbetrieb?
Das einzige Problem: Manchmal wird das BPjM Modul gefordert, das kann die Sense (natürlich) nicht, weil das was rein deutsches ist. <br>
In der Praxis dürfte die allermeisten Schulen dürfte aber der integrierte DNS-Filter DNSBL völlig ausreichen. Wenn irgendwas nicht erreichbar ist, nutzen die Schüler eben ihr Handy, haben ja inzwischen die meisten mit dickem Datenvolumen.
Moin,
Kenne die Qualität der jüngeren Lanvoms nicht, aber in Zeiten 168x Serie oder auch 1723 oder 1784 kann ich sagen: jo, UI wäre ausbaufähig, aber stabil liefen/ laufen die. Und für Standard-Features (Firewall/ Router/ VPN) durchaus gut geeignet.
Wenn du umsteigst, wohin auch immer, was ist denn das Budget, was die Schulträger/ Schulen bereitstellen?
Und über wie viele Schulen sprechen wir? Alles aus dem gleichen Kreis/ gleicher Kommune?
Und ich würde ein System wählen, welches ein zentrales Monitoring erlaubt. Dann hast du schneller den Pverblick, wo es demnächst haken wird…
Kenne die Qualität der jüngeren Lanvoms nicht, aber in Zeiten 168x Serie oder auch 1723 oder 1784 kann ich sagen: jo, UI wäre ausbaufähig, aber stabil liefen/ laufen die. Und für Standard-Features (Firewall/ Router/ VPN) durchaus gut geeignet.
Wenn du umsteigst, wohin auch immer, was ist denn das Budget, was die Schulträger/ Schulen bereitstellen?
Und über wie viele Schulen sprechen wir? Alles aus dem gleichen Kreis/ gleicher Kommune?
Und ich würde ein System wählen, welches ein zentrales Monitoring erlaubt. Dann hast du schneller den Pverblick, wo es demnächst haken wird…
Tach zusammen,
ich betreue eine Gemeinde mit Schulen und habe hier in allen Schulen LANCOM's im Einsatz. Läuft super und jede Anfrage seitens der Gemeinde / Schulleitung konnte ich umsetzen.
Das altbackene UI ist ansichtssache. Mir gefällt das Interface vom LANConfig besser als manch neues Klicki-Bunti System von anderen Herstellern. Die Software ist auch noch echt aktuell und wird ja laufend verbessert. Ganz aktuell kam die Version 10.80 RU9 raus.
Die LANCOM Router haben Firewall technisch weniger zu liefern als die R&S Firewalls die LANCOM anbietet, keine Frage. Aber bis jetzt habe ich mit den R&S Firewall in den kleinen Modellen nur Krätze gehabt. Die genannten Durchsatzraten der Firewalls sind stark beschönigt. Im Realbetrieb erreichte Ich nur mal einen Bruchteil davon. Die ganz großen Rack Mountable Firewalls habe ich noch nicht in die Finger bekommen können.
Bzgl. deinem Punkt mit der Enterprise Lösung lassen LANCOM oder andere größere Hersteller die OPNSense und dergleichen weit hinter sich zurück. Ich arbeite in einem Systemhaus mit LANCOM Gold Partner Status und kann ohne Probleme bei denen anrufen. Wenn ein Gerät defekt ist, wird das innerhalb eines Tages ausgetauscht falls wir gerade kein passendes auf Lager haben.
Ich hab aber auch nicht nur gutes zu LANCOM im Kopf. Was mir mächtig aufn Senkel geht sind die Software Optionen. Wenn ich z.B. einen LANCOM Router mit WLAN Controller Funktion nachträglich ausstatte, muss ich beim Wechsel des Gerätes aufgrund Alter eine neue Lizenz kaufen. Wenn das Gerät kaputt geht und durch den Support getauscht wird, werden alle Lizenzen hingegen übernommen. Dadurch dass ich aber nur ganz wenige LANCOMs mit Software Optionen habe, ist das für mich aktuell ein zu vernachlässigender Kritikpunkt.
Was für mich hingegen ein sehr akutes Problem ist, wofür man LANCOM aber nur halbwegs die Schuld geben kann ist deren (bzw. NCP Engineerings) VPN Client. Auch nach Rückfrage bei NCP durch mich selber vergangene Woche sowie auch [VPN Lösung für Notebooks mit ARM (Snapdragon) CPU hier] zu belegen ist, gibt es aktuell keinen Client vom Hersteller für ARM basierte Prozessoren! Microsoft Surface Geräte in den aktuellen Generationen gibt es nur noch mit ARM und die Kunden lieben nunmal die Surface Geräte. Wer keine ARM Geräte hat, kann das Problem ebenfalls vernachlässigen.
Wenn du bisschen mehr zu den LANCOMs an meinen betreuten Schulen wissen möchtest kannst mich gerne kontaktieren. Dann kann ich dir vielleicht auch konkrete Fragen zu Problemen beantworten. Ich hatte auch ein paar harte Nüsse was z.B. KOMM.ONE bzw. das KISS Netzwerk angeht.
BVen
Moin, will mal hier kurz meine Meinung dazu geben:
LANCOM ist recht teuer, da geb ich dir recht. Hab aber bisher auch noch nie einen LANCOM aufgrund von Defekt verloren. Die Geräte laufen einach.
Die LANCOM Management Cloud ist auch optional! Alle Geräte lassen sich auch weiterhin On-Prem ohne Cloud Anbindung betreiben.
Habe die NIS2 Richtlinie nicht durchgelesen, allerdings können LANCOM Geräte mit passender Konfiguration durchaus ein IKEv2 VPN aufbauen mit einem TOTP 2FA Zugang. LANCOM selber hat hierzu auch eine Anleitung veröffentlicht:
https://knowledgebase.lancom-systems.de/pages/viewpage.action?pageId=110 ...
Die genannte Anleitung konnte ich auch im Februar bereits umsetzen und funktioniert seitdem ohne Probleme.
ich betreue eine Gemeinde mit Schulen und habe hier in allen Schulen LANCOM's im Einsatz. Läuft super und jede Anfrage seitens der Gemeinde / Schulleitung konnte ich umsetzen.
Das altbackene UI ist ansichtssache. Mir gefällt das Interface vom LANConfig besser als manch neues Klicki-Bunti System von anderen Herstellern. Die Software ist auch noch echt aktuell und wird ja laufend verbessert. Ganz aktuell kam die Version 10.80 RU9 raus.
Die LANCOM Router haben Firewall technisch weniger zu liefern als die R&S Firewalls die LANCOM anbietet, keine Frage. Aber bis jetzt habe ich mit den R&S Firewall in den kleinen Modellen nur Krätze gehabt. Die genannten Durchsatzraten der Firewalls sind stark beschönigt. Im Realbetrieb erreichte Ich nur mal einen Bruchteil davon. Die ganz großen Rack Mountable Firewalls habe ich noch nicht in die Finger bekommen können.
Bzgl. deinem Punkt mit der Enterprise Lösung lassen LANCOM oder andere größere Hersteller die OPNSense und dergleichen weit hinter sich zurück. Ich arbeite in einem Systemhaus mit LANCOM Gold Partner Status und kann ohne Probleme bei denen anrufen. Wenn ein Gerät defekt ist, wird das innerhalb eines Tages ausgetauscht falls wir gerade kein passendes auf Lager haben.
Ich hab aber auch nicht nur gutes zu LANCOM im Kopf. Was mir mächtig aufn Senkel geht sind die Software Optionen. Wenn ich z.B. einen LANCOM Router mit WLAN Controller Funktion nachträglich ausstatte, muss ich beim Wechsel des Gerätes aufgrund Alter eine neue Lizenz kaufen. Wenn das Gerät kaputt geht und durch den Support getauscht wird, werden alle Lizenzen hingegen übernommen. Dadurch dass ich aber nur ganz wenige LANCOMs mit Software Optionen habe, ist das für mich aktuell ein zu vernachlässigender Kritikpunkt.
Was für mich hingegen ein sehr akutes Problem ist, wofür man LANCOM aber nur halbwegs die Schuld geben kann ist deren (bzw. NCP Engineerings) VPN Client. Auch nach Rückfrage bei NCP durch mich selber vergangene Woche sowie auch [VPN Lösung für Notebooks mit ARM (Snapdragon) CPU hier] zu belegen ist, gibt es aktuell keinen Client vom Hersteller für ARM basierte Prozessoren! Microsoft Surface Geräte in den aktuellen Generationen gibt es nur noch mit ARM und die Kunden lieben nunmal die Surface Geräte. Wer keine ARM Geräte hat, kann das Problem ebenfalls vernachlässigen.
Wenn du bisschen mehr zu den LANCOMs an meinen betreuten Schulen wissen möchtest kannst mich gerne kontaktieren. Dann kann ich dir vielleicht auch konkrete Fragen zu Problemen beantworten. Ich hatte auch ein paar harte Nüsse was z.B. KOMM.ONE bzw. das KISS Netzwerk angeht.
BVen
Zitat von @Uwe-Kernchen:
- Lancom wird mir zu teuer und altbacken
- Lancom-Cloud ist nicht mein Weg
- kein NIS2-konformes VPN mit 2FA
Uwe
- Lancom wird mir zu teuer und altbacken
- Lancom-Cloud ist nicht mein Weg
- kein NIS2-konformes VPN mit 2FA
Uwe
Moin, will mal hier kurz meine Meinung dazu geben:
LANCOM ist recht teuer, da geb ich dir recht. Hab aber bisher auch noch nie einen LANCOM aufgrund von Defekt verloren. Die Geräte laufen einach.
Die LANCOM Management Cloud ist auch optional! Alle Geräte lassen sich auch weiterhin On-Prem ohne Cloud Anbindung betreiben.
Habe die NIS2 Richtlinie nicht durchgelesen, allerdings können LANCOM Geräte mit passender Konfiguration durchaus ein IKEv2 VPN aufbauen mit einem TOTP 2FA Zugang. LANCOM selber hat hierzu auch eine Anleitung veröffentlicht:
https://knowledgebase.lancom-systems.de/pages/viewpage.action?pageId=110 ...
Die genannte Anleitung konnte ich auch im Februar bereits umsetzen und funktioniert seitdem ohne Probleme.
Wobei ich dabei eher Microsoft die Schuld geben würde, die Konsumenten auf ARM zu zwingen, wenn die Software noch nicht soweit ist face-wink
Das sehen die einen so, die anderen so.Irgendeiner muss halt mal (gravierend) starten, damit es vorwärts geht. Wenn ich da an den Aufschrei denke, als viele Unternehmen plötzlich keiner Drucker mehr Mappen konnten, weil MS nach Jahren eine offene Lücke geschlossen hat, die die Treiberhersteller in ihren Treibern hätten bereits berücksichtigen können (so jedenfalls meine Erinnerung)…
Frage ich bei meinem Partner mal an
Oder du siehst einmal etwas über den Tellerrand. All das was die Lancoms können liefern dir andere Hersteller auch. Dann aber mit einer belastbaren Wirespeed Firewall und VPNs die auch die klassischen onboard VPN Clients auf allen Endgeräten supporten so das auch jegliche ARM basierte Hardware nativ supportet ist. Bei öffentlichen Kunden wie Schulen usw. können diese problemlos und preiswert über bestehende Rahmenverträge bestellen. BSI Zertifizierungen inklusive.Wenn du entsprechendes Budget hast besorge dir für kleines Geld einen refurbished Cisco Router und probiere das aus. Die einfachen HowTos dazu findest du in einem Forentutorial.
Eine Fritzbox davor zu kaskadieren in einer sinnfreien Router Kaskade mit doppeltem NAT und doppeltem Firewalling ist technischer Blödsinn.
Deutlich sinnvoller ist statt des Routers ein nur Modem wie Vigor 167 oder Zyxel VMG3006 etc. zu verwenden und die Firewall direkt anbinden. Welche das dann auch immer ist...
Deutlich sinnvoller ist statt des Routers ein nur Modem wie Vigor 167 oder Zyxel VMG3006 etc. zu verwenden und die Firewall direkt anbinden. Welche das dann auch immer ist...
Als langjähriger Sophos (früher Astaro) Nutzer kann ich persönlich von Sophos nur abraten, aus Erfahrungen mit Kollegen und eigene. Hier kannst du mal mitlesen:
Aktuelle Probleme mit der XG(s) Serie von Sophos
Sophos contra Heise contra Felix
Aktuelle Probleme mit der XG(s) Serie von Sophos
Sophos contra Heise contra Felix
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?