churchoftux
Goto Top

Umstieg von LANCOM Routern?

Hallo Zusammen!

Im Moment bin ich im Prozess neue Router bzw. Firewall-Systeme für unsere IT-Landschaft zu suchen. Als "hauptsächlich" alleine arbeitender Administrator betreue ich mehrere Schulen mit jeweils ca. 40-60 Mitarbeitenden oder Lehrkräften pro Schule. Bisher sind bei uns Router der Marke LANCOM im Einsatz, die vor längerer Zeit von meinen Vorgängern beschafft wurden. Diese Router stehen allerdings bald vor dem Supportende.

Bisher habe ich mit den LANCOMs die Erfahrung gemacht, dass diese generell sehr stabil laufen, allerdings wirkt die Software auf mich ein wenig veraltet. Ich habe mir testweise eines der neueren Modelle beschafft und auch hier festgestellt, dass sich dort, besonders im Bezug auf Firewallsoftware, auch nicht wirklich viel getan hat, weshalb ich einem erneuten Kauf von LANCOM Routern ein wenig skeptisch gegeüber stehe.

Ich selber bin ein großer Fan von Open-Source Lösungen und habe aus verschiedenen Quellen gehört, dass die eigenstangefertige Hardware von OPNsense sehr gut funktionieren soll. Mit OPNsense bin ich bereits ziemlich gut vertraut bin, allerdings kenne ich OPNsense nur als selbst gehostete Lösung. Ein Punkt bei der Entscheidung ist u.a dass es eine "Enterprise"-Lösung ist für die man sich entscheidet, wofür OPNsense als meist selbst-gehostete open-source Lösung, meinen Erfahrungen, nach gerne belächelt wird.

Meine Frage nun: Hat jemand Erfahrungen mit einem Umstieg von LANCOM Routern? Vielleicht zu einer Open-Source Lösung wie OPNsense, PfSense oder evtl. auch einem anderen Bussinesshersteller den Er/Sie empfehlen kann? Tue ich LANCOM vielleicht auch unrecht und jemand kann weiterhin positives über die Geräte berichten?

In jedem Fall freue ich mich über eure Rückmeldungen!

Viele Grüße
S

Content-ID: 669359

Url: https://administrator.de/contentid/669359

Printed on: December 5, 2024 at 16:12 o'clock

WoenK0
WoenK0 Nov 08, 2024 at 14:43:48 (UTC)
Goto Top
Ich glaube die Frage ist, ob der Router wirklich was routen soll oder nicht.
Wenn er nichts routet reicht ein Modem und dahinter dann eine aktuelle Firewall.
Firewall wäre dann Geschmacks- und Kostenfrage.

Ich kenn die LanComs nur als eierlegende Wollmilchsau , die mich zu viel Zeit kosten, weil ich deren Funktionen gar nicht benötige.

Und bei einer Schule würde ich dann noch mal ganz genaus schauen, was man verwenden darf.
glaub der Webfilter vom Lancom ist da wenig zeitgemäss.
Uwe-Kernchen
Uwe-Kernchen Nov 08, 2024 at 16:40:13 (UTC)
Goto Top
Hallo, ich schwenke auch gerade von Lancom zu OPNsense.
- Lancom wird mir zu teuer und altbacken
- Lancom-Cloud ist nicht mein Weg
- kein NIS2-konformes VPN mit 2FA
- IPSec macht mir zu viel Probleme im Android-Umfeld

Uwe
nachgefragt
nachgefragt Nov 08, 2024 updated at 17:27:42 (UTC)
Goto Top
Hallo,

hab auch noch eine kleine Umgebung mit einem Lancom, also ohne richtige Firewall. Ich mag das Lancom Interface nicht, das ist aber subjektiv. Der LANCOM Advanced VPN Client (V6) läuft nicht so stabil, wie meine OPNsense Testumgebung mit OpenVPN.

OPNsense Business Edition + Zenarmor Free, wird optional erweitert mit Business oder SSE.

Wenn das belächelt wird, da bin ich dabei. Wenn ich sehe was OPNsense + Zenarmor schon lizenzkostenfrei anbieten, dann zaubert mir das tatsächlich ein Lächeln ins Gesicht.

Ein Ansatz von Thomas Krenn: https://www.youtube.com/watch?v=y9A00tM4H58

Was mir geht noch im Kopf umgeht, ist ein Ansatz den (kleinen alten) "Core Switch" gegen die Firewall zu tauschen, d.h. diese muss eine entsprechende Anzahl von Schnittstellen mitbringen. Ein Server mit ausreichend Schnittstellen (und noch Platz für die Zukunft) + Wartung, verglichen mit einer einer UF-760, warum nicht.
Drohnald
Drohnald Nov 08, 2024 at 19:11:42 (UTC)
Goto Top
Die paar wenigen Schulen die ich kenne haben bisher meist keine VLANs oder maximal 2-3 (Verwaltung, Schule, Gäste z.B. ).
Beachte, dass Verwaltung und Schülernetz häufig getrennt werden muss.
Da reicht eine OpnSense meist locker aus, die benötigte Bandbreite ist üblicherweise gering.

Reverse-Proxy, VPN, DPI... Braucht man das wirklich im Schulbetrieb?

Das einzige Problem: Manchmal wird das BPjM Modul gefordert, das kann die Sense (natürlich) nicht, weil das was rein deutsches ist. <br>
In der Praxis dürfte die allermeisten Schulen dürfte aber der integrierte DNS-Filter DNSBL völlig ausreichen. Wenn irgendwas nicht erreichbar ist, nutzen die Schüler eben ihr Handy, haben ja inzwischen die meisten mit dickem Datenvolumen.
em-pie
em-pie Nov 08, 2024 at 21:42:05 (UTC)
Goto Top
Moin,

Kenne die Qualität der jüngeren Lanvoms nicht, aber in Zeiten 168x Serie oder auch 1723 oder 1784 kann ich sagen: jo, UI wäre ausbaufähig, aber stabil liefen/ laufen die. Und für Standard-Features (Firewall/ Router/ VPN) durchaus gut geeignet.

Wenn du umsteigst, wohin auch immer, was ist denn das Budget, was die Schulträger/ Schulen bereitstellen?

Und über wie viele Schulen sprechen wir? Alles aus dem gleichen Kreis/ gleicher Kommune?

Und ich würde ein System wählen, welches ein zentrales Monitoring erlaubt. Dann hast du schneller den Pverblick, wo es demnächst haken wird…
ChurchOfTux
ChurchOfTux Nov 08, 2024 at 23:17:50 (UTC)
Goto Top
Hi!

Wenn du umsteigst, wohin auch immer, was ist denn das Budget, was die Schulträger/ Schulen bereitstellen?

Und über wie viele Schulen sprechen wir? Alles aus dem gleichen Kreis/ gleicher Kommune?

Ich will bei meinem Auftraggeber nicht wirklich in's Detail gehen. Was ich sagen kann ist, dass ich mehrere Schulen habe die fast alle nah beieinander sind. Allerdings habe ich auch ein paar Standorte die etwas weiter weg sind und per VPN an einer der Schulen angeschlossen werden müssen. Für diese Standorte müssen weniger mittel in die Hand genommen werden, da hier das Netz nicht wirklich sehr viel belastet wird. Ich würde pauschal sagen, dass ich pro Schule ca. 2000€ für eine FW Lösung planen kann, pro weiteren Standort ca. 1000€.
Kano90
Kano90 Nov 09, 2024 at 01:00:49 (UTC)
Goto Top
Ist MikroTik keine Option?
Günstig, stabil und gut.
RoadRage3
RoadRage3 Nov 09, 2024 at 10:16:20 (UTC)
Goto Top
Tach zusammen,

ich betreue eine Gemeinde mit Schulen und habe hier in allen Schulen LANCOM's im Einsatz. Läuft super und jede Anfrage seitens der Gemeinde / Schulleitung konnte ich umsetzen.

Das altbackene UI ist ansichtssache. Mir gefällt das Interface vom LANConfig besser als manch neues Klicki-Bunti System von anderen Herstellern. Die Software ist auch noch echt aktuell und wird ja laufend verbessert. Ganz aktuell kam die Version 10.80 RU9 raus.

Die LANCOM Router haben Firewall technisch weniger zu liefern als die R&S Firewalls die LANCOM anbietet, keine Frage. Aber bis jetzt habe ich mit den R&S Firewall in den kleinen Modellen nur Krätze gehabt. Die genannten Durchsatzraten der Firewalls sind stark beschönigt. Im Realbetrieb erreichte Ich nur mal einen Bruchteil davon. Die ganz großen Rack Mountable Firewalls habe ich noch nicht in die Finger bekommen können.

Bzgl. deinem Punkt mit der Enterprise Lösung lassen LANCOM oder andere größere Hersteller die OPNSense und dergleichen weit hinter sich zurück. Ich arbeite in einem Systemhaus mit LANCOM Gold Partner Status und kann ohne Probleme bei denen anrufen. Wenn ein Gerät defekt ist, wird das innerhalb eines Tages ausgetauscht falls wir gerade kein passendes auf Lager haben.

Ich hab aber auch nicht nur gutes zu LANCOM im Kopf. Was mir mächtig aufn Senkel geht sind die Software Optionen. Wenn ich z.B. einen LANCOM Router mit WLAN Controller Funktion nachträglich ausstatte, muss ich beim Wechsel des Gerätes aufgrund Alter eine neue Lizenz kaufen. Wenn das Gerät kaputt geht und durch den Support getauscht wird, werden alle Lizenzen hingegen übernommen. Dadurch dass ich aber nur ganz wenige LANCOMs mit Software Optionen habe, ist das für mich aktuell ein zu vernachlässigender Kritikpunkt.
Was für mich hingegen ein sehr akutes Problem ist, wofür man LANCOM aber nur halbwegs die Schuld geben kann ist deren (bzw. NCP Engineerings) VPN Client. Auch nach Rückfrage bei NCP durch mich selber vergangene Woche sowie auch [VPN Lösung für Notebooks mit ARM (Snapdragon) CPU hier] zu belegen ist, gibt es aktuell keinen Client vom Hersteller für ARM basierte Prozessoren! Microsoft Surface Geräte in den aktuellen Generationen gibt es nur noch mit ARM und die Kunden lieben nunmal die Surface Geräte. Wer keine ARM Geräte hat, kann das Problem ebenfalls vernachlässigen.

Wenn du bisschen mehr zu den LANCOMs an meinen betreuten Schulen wissen möchtest kannst mich gerne kontaktieren. Dann kann ich dir vielleicht auch konkrete Fragen zu Problemen beantworten. Ich hatte auch ein paar harte Nüsse was z.B. KOMM.ONE bzw. das KISS Netzwerk angeht.

BVen

Zitat von @Uwe-Kernchen:

- Lancom wird mir zu teuer und altbacken
- Lancom-Cloud ist nicht mein Weg
- kein NIS2-konformes VPN mit 2FA

Uwe

Moin, will mal hier kurz meine Meinung dazu geben:

LANCOM ist recht teuer, da geb ich dir recht. Hab aber bisher auch noch nie einen LANCOM aufgrund von Defekt verloren. Die Geräte laufen einach.
Die LANCOM Management Cloud ist auch optional! Alle Geräte lassen sich auch weiterhin On-Prem ohne Cloud Anbindung betreiben.
Habe die NIS2 Richtlinie nicht durchgelesen, allerdings können LANCOM Geräte mit passender Konfiguration durchaus ein IKEv2 VPN aufbauen mit einem TOTP 2FA Zugang. LANCOM selber hat hierzu auch eine Anleitung veröffentlicht:
https://knowledgebase.lancom-systems.de/pages/viewpage.action?pageId=110 ...
Die genannte Anleitung konnte ich auch im Februar bereits umsetzen und funktioniert seitdem ohne Probleme.
ChurchOfTux
ChurchOfTux Nov 09, 2024 at 12:31:21 (UTC)
Goto Top
Hi!
Erst mal herzlichen Dank für die sehr ausführliche und aufschlussreiche Rückmeldung für die LANCOMs. Ist auch interessant mal von Erfolgserlebnissen mit den Geräten zu hören.

Das altbackene UI ist Ansichtssache. Mir gefällt das Interface vom LANConfig besser als manch neues Klicki-Bunti System von anderen Herstellern. Die Software ist auch noch echt aktuell und wird ja laufend verbessert. Ganz aktuell kam die Version 10.80 RU9 raus.

Das UI bemängel ich in sofern, da es mir persönlich das Gefühl gibt, dass LANCOM an seiner Software nicht viel verändert (was natürlich nicht der Fall sein muss). Im Endeffekt ist der Quellcode vom LCOS nicht einsehbar und man weiß auch nicht wie aktuell und sicher die Software ist, die sie da veröffentlichen. Das ist bei anderen Herstellen zwar auch so, aber da kommen dann auch bei neueren Generationen von Hardware neue Features dazu und da würde es zumindest einen guten Eindruck machen, wenn sich über die Jahre zumindest das UI dem zeitlichen Anpasst, wobei ich da möglicherweise auch nur ein wenig pingelig bin.

Was ich auch in dem Zusammenhang ein wenig Fragwürdig finde ist die Firewall der LANCOM Router. Unter anderem das IDS ist ein totaler Witz. Leider blockiert das IDS, wenn es eingeschaltet ist teilweise auch Verbindungen die z.B. aus einem internen Netzwerk oder der DMZ kommen, obwohl diese per Regel akzeptiert werden sollten. Bei Rücksprache mit dem LANCOM Partner hieß es dann "IDS so einstellen, dass es 10x so viele halboffene Verbindungen zulässt oder gar ganz ausschalten".. wo ich mich dann Frage: Warum existiert dieses Feature dann (noch) und wurde auf den neuen Geräte nicht geupdatet?

Aber bis jetzt habe ich mit den R&S Firewall in den kleinen Modellen nur Krätze gehabt. Die genannten Durchsatzraten der Firewalls sind stark beschönigt.

Klingt leider nach einem Punkt gegen LANCOM, da es mir auch sehr um den Aspekt Firewall und Netzwerksicherheit geht. Evtl. Frage ich bei meinem Partner mal an, ob die mir eine R&S Firewall zur Verfügung stellen.

Bzgl. deinem Punkt mit der Enterprise Lösung lassen LANCOM oder andere größere Hersteller die OPNSense und dergleichen weit hinter sich zurück. Ich arbeite in einem Systemhaus mit LANCOM Gold Partner Status und kann ohne Probleme bei denen anrufen. Wenn ein Gerät defekt ist, wird das innerhalb eines Tages ausgetauscht falls wir gerade kein passendes auf Lager haben.

Bei dem Support kann ich allerdings auch nicht sagen, dass ich dieser schlecht ist. Wir hatten zuvor einen Partner mit dem ich leider irgendwann ungeduldig wurde, habe aber schnell einen Hilfsbereiten und neuen gefunden, die mir auch eines der neueren Routermodele zum testen zur Verfügung gestellt haben. Wobei ich sagen muss, dass ich keine Erfahrungen mit den Partnern von OPNsense habe und diese bis jetzt nicht einschätzen kann. Businesssupport wird ja auch verkauft..

Auch nach Rückfrage bei NCP durch mich selber vergangene Woche sowie auch [VPN Lösung für Notebooks mit ARM (Snapdragon) CPU hier] zu belegen ist, gibt es aktuell keinen Client vom Hersteller für ARM basierte Prozessoren!

Wobei ich dabei eher Microsoft die Schuld geben würde, die Konsumenten auf ARM zu zwingen, wenn die Software noch nicht soweit ist face-wink
em-pie
em-pie Nov 09, 2024 at 13:17:41 (UTC)
Goto Top
Wobei ich dabei eher Microsoft die Schuld geben würde, die Konsumenten auf ARM zu zwingen, wenn die Software noch nicht soweit ist face-wink
Das sehen die einen so, die anderen so.
Irgendeiner muss halt mal (gravierend) starten, damit es vorwärts geht. Wenn ich da an den Aufschrei denke, als viele Unternehmen plötzlich keiner Drucker mehr Mappen konnten, weil MS nach Jahren eine offene Lücke geschlossen hat, die die Treiberhersteller in ihren Treibern hätten bereits berücksichtigen können (so jedenfalls meine Erinnerung)…
aqui
aqui Nov 09, 2024 updated at 16:38:07 (UTC)
Goto Top
Frage ich bei meinem Partner mal an
Oder du siehst einmal etwas über den Tellerrand. All das was die Lancoms können liefern dir andere Hersteller auch. Dann aber mit einer belastbaren Wirespeed Firewall und VPNs die auch die klassischen onboard VPN Clients auf allen Endgeräten supporten so das auch jegliche ARM basierte Hardware nativ supportet ist. Bei öffentlichen Kunden wie Schulen usw. können diese problemlos und preiswert über bestehende Rahmenverträge bestellen. BSI Zertifizierungen inklusive.
Wenn du entsprechendes Budget hast besorge dir für kleines Geld einen refurbished Cisco Router und probiere das aus. Die einfachen HowTos dazu findest du in einem Forentutorial.
WoenK0
WoenK0 Nov 10, 2024 at 04:28:57 (UTC)
Goto Top
Billige Fritzbox fürs Netz und eine kleine Sophos XGS88 dahinter mit Standard Protection... Jährlichen Lizenzkosten sind da vernachlässigbar da GOV Preise und defintiv für Schulen geeignet.
Habt ihr keinen kommunalen Dienstleister der bei so etwas helfen soll ?
aqui
aqui Nov 10, 2024 at 08:32:49 (UTC)
Goto Top
Eine Fritzbox davor zu kaskadieren in einer sinnfreien Router Kaskade mit doppeltem NAT und doppeltem Firewalling ist technischer Blödsinn.
Deutlich sinnvoller ist statt des Routers ein nur Modem wie Vigor 167 oder Zyxel VMG3006 etc. zu verwenden und die Firewall direkt anbinden. Welche das dann auch immer ist...
ChurchOfTux
ChurchOfTux Nov 13, 2024 at 08:36:53 (UTC)
Goto Top
Habt ihr keinen kommunalen Dienstleister der bei so etwas helfen soll ?

Nein, nur indirekt beim Einkauf und wir sind auch sehr froh darüber selbst die komplette Kontrolle über das System zu haben.

Billige Fritzbox fürs Netz und eine kleine Sophos XGS88 dahinter mit Standard Protection...

Mit der FritzBox habe ich zuhause schon genug Kopfschmerzen. Das tue ich mir auf der Arbeit nicht auch noch an face-smile Wobei ich mir Gedanken wegen der Sophos Firewall machen werde. Hört man viel positives drüber.
nachgefragt
nachgefragt Nov 13, 2024 updated at 08:52:08 (UTC)
Goto Top
Zitat von @ChurchOfTux:
Hört man viel positives drüber.
Als langjähriger Sophos (früher Astaro) Nutzer kann ich persönlich von Sophos nur abraten, aus Erfahrungen mit Kollegen und eigene. Hier kannst du mal mitlesen:
Aktuelle Probleme mit der XG(s) Serie von Sophos
Sophos contra Heise contra Felix
aqui
aqui Nov 13, 2024 updated at 09:15:33 (UTC)
Goto Top
Das tue ich mir auf der Arbeit nicht auch noch an
Mal ganz abgesehen davon das ein Consumer Produkt in einem Firmennetzwerk auch nichts zu suchen hat!
aqui
aqui Nov 16, 2024 at 08:40:33 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?