39
WatchGuard Firebox M300 - Erfahrungen?
Hallo zusammen,
ich betreibe bei einem Rechenzentrum/Provider einen Windows 2019 Server (Blech, keine Virtualisierungslösung).
Der Server ist in erster Linie für das Hosting von Web-Seiten (IIS, SQL Server, WordPress, PHP, MySQL) zuständig.
Außerdem Mail (Exchange 2019). JA, ich weiß: Das alles sollte nicht auf einen einzigen Server. Geht aber.
Aus historischen Gründen sind dem Server bzw. der Hardware-Firewall davor vier öffentliche IP-Adressen zugeteilt (weil das vor Urzeiten mal mehrere physikalische Maschinen waren). Der Windows-Server hat ebenfalls vier IP-Adressen (Netz: 192.168.1.0/24) die über Destination-NAT aufeinander gemappt werden.
Die Hardware-Firewall/Router ist ein Juniper SRX-100. Ich habe mir das Gerät nicht ausgesucht, sondern es war vor ein paar Jahren die Firewall-Lösung der Wahl des Rechenzentrum-Betreibers. Also habe ich mich da in die Bedienung /Konfiguration etwas reingeschafft und das Teil läuft genau wie es soll.
Nur: Die SRX-100 haben irgendeine Hardware-Sollbruchstelle (glaube die RAM-ICs, die für das Dateisystem zuständig sind) und sie verrecken wie die Fliegen. Das heißt, alle paar Monate, mindestens einmal im Jahr darf ich den kaputten SRX-100 gegen einen anderen austauschen.
Zum Glück gibt es die Dinger für 'nen Appel und ein Ei und ich habe immer mindestens eines in Reserve. Nur ist das auf Dauer keine Lösung, weil die Kisten prinzipiell am Wochenende hops gehen (so geschehen vorgestern, deswegen mein Beitrag) und der Server dann für ein paar Stunden offline ist (bis ich zum Rechenzentrum gefahren bin und das Austauschgerät abgegeben habe).
Der Server bzw. sein Betrieb kostet momentan mehr, als er einspielt. Wird allerdings tendenziell besser. Das heißt, ich will jetzt keine Unsummen für eine neue Firewall ausgeben.
Die Umstellung auf die reine Software-Firewall von Windows ist für mich keine Option.
Bei meinen Recherchen bin ich jetzt auf die Watchguard Firebox Serie bzw. die M300 gestoßen, die es gebraucht relativ günstig gibt.
Meine Frage nun: Ist die Watchguard Firebox Serie M300 ein geeigneter Ersatz für die Juniper-Kiste, kann sie das gleiche oder sogar mehr?
Und ist sie zuverlässiger, als das Juniper-Zeugs?
Und lässt sie sich über die grafische Oberfläche/Browser halbwegs gut konfigurieren?
Ohne Kommandozeilen-Gedöns.
Ich bin in erster Linie Software-Entwickler. Firewalls, Netzwerke bzw. deren Konfiguration etc. gehören daher nicht zu keinem Kerngeschäft und ich beschäftige mich damit nur soweit als nötig.
Danke schon mal für Eure Antworten.
ich betreibe bei einem Rechenzentrum/Provider einen Windows 2019 Server (Blech, keine Virtualisierungslösung).
Der Server ist in erster Linie für das Hosting von Web-Seiten (IIS, SQL Server, WordPress, PHP, MySQL) zuständig.
Außerdem Mail (Exchange 2019). JA, ich weiß: Das alles sollte nicht auf einen einzigen Server. Geht aber.
Aus historischen Gründen sind dem Server bzw. der Hardware-Firewall davor vier öffentliche IP-Adressen zugeteilt (weil das vor Urzeiten mal mehrere physikalische Maschinen waren). Der Windows-Server hat ebenfalls vier IP-Adressen (Netz: 192.168.1.0/24) die über Destination-NAT aufeinander gemappt werden.
Die Hardware-Firewall/Router ist ein Juniper SRX-100. Ich habe mir das Gerät nicht ausgesucht, sondern es war vor ein paar Jahren die Firewall-Lösung der Wahl des Rechenzentrum-Betreibers. Also habe ich mich da in die Bedienung /Konfiguration etwas reingeschafft und das Teil läuft genau wie es soll.
Nur: Die SRX-100 haben irgendeine Hardware-Sollbruchstelle (glaube die RAM-ICs, die für das Dateisystem zuständig sind) und sie verrecken wie die Fliegen. Das heißt, alle paar Monate, mindestens einmal im Jahr darf ich den kaputten SRX-100 gegen einen anderen austauschen.
Zum Glück gibt es die Dinger für 'nen Appel und ein Ei und ich habe immer mindestens eines in Reserve. Nur ist das auf Dauer keine Lösung, weil die Kisten prinzipiell am Wochenende hops gehen (so geschehen vorgestern, deswegen mein Beitrag) und der Server dann für ein paar Stunden offline ist (bis ich zum Rechenzentrum gefahren bin und das Austauschgerät abgegeben habe).
Der Server bzw. sein Betrieb kostet momentan mehr, als er einspielt. Wird allerdings tendenziell besser. Das heißt, ich will jetzt keine Unsummen für eine neue Firewall ausgeben.
Die Umstellung auf die reine Software-Firewall von Windows ist für mich keine Option.
Bei meinen Recherchen bin ich jetzt auf die Watchguard Firebox Serie bzw. die M300 gestoßen, die es gebraucht relativ günstig gibt.
Meine Frage nun: Ist die Watchguard Firebox Serie M300 ein geeigneter Ersatz für die Juniper-Kiste, kann sie das gleiche oder sogar mehr?
Und ist sie zuverlässiger, als das Juniper-Zeugs?
Und lässt sie sich über die grafische Oberfläche/Browser halbwegs gut konfigurieren?
Ohne Kommandozeilen-Gedöns.
Ich bin in erster Linie Software-Entwickler. Firewalls, Netzwerke bzw. deren Konfiguration etc. gehören daher nicht zu keinem Kerngeschäft und ich beschäftige mich damit nur soweit als nötig.
Danke schon mal für Eure Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6336413173
Url: https://administrator.de/contentid/6336413173
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
39 Kommentare
Neuester Kommentar
Moin,
du schreibst eine Menge Text ohne wirklich etwas zu sagen.
Was brauchst du denn überhaupt (Funktionen)? Welche Anforderungen gibt es (Performance,…)?
Man kann solche Kisten voll ausreizen oder im Idle Modus einfach default laufen lassen.
VG
du schreibst eine Menge Text ohne wirklich etwas zu sagen.
Was brauchst du denn überhaupt (Funktionen)? Welche Anforderungen gibt es (Performance,…)?
Man kann solche Kisten voll ausreizen oder im Idle Modus einfach default laufen lassen.
VG
2
Moin,
eigentlich nix großes:
Das Teil soll von den vier externen Adressen die benötigten Ports (80/443, SMTP, IMAP, RDP etc.) auf die ihnen zugeordneten internen Adressen weiterleiten.
D.h. dem WAN-Anschluss müssen sich mehrere IP-Adressen zuweisen lassen.
Das einzige, was in der Konfiguration des SRX-100 etwas tricky war, ist dass ausgehende SMTP-Requests (die dann zu anderen Mail-Servern gehen, je na MX der Empfänger-Adresse) über eine ganz bestimmte IP-Adresse rausgehen (nämlich die, die meinem Mail-Server zugewiesen ist und die kontaktierten Mail-Server fragen das u.a über Reverse-DNS ab).
Andernfalls ist es passiert, dass die Mails abgewiesen/nicht zugestellt werden können.
Die Performance, also der Datendurchsatz ist jetzt glaube ich nicht so wahnsinnig wichtig, da es sich um keine so stark frequentierten Domains handelt.
Aber zuverlässig sollte es halt sein.
eigentlich nix großes:
Das Teil soll von den vier externen Adressen die benötigten Ports (80/443, SMTP, IMAP, RDP etc.) auf die ihnen zugeordneten internen Adressen weiterleiten.
D.h. dem WAN-Anschluss müssen sich mehrere IP-Adressen zuweisen lassen.
Das einzige, was in der Konfiguration des SRX-100 etwas tricky war, ist dass ausgehende SMTP-Requests (die dann zu anderen Mail-Servern gehen, je na MX der Empfänger-Adresse) über eine ganz bestimmte IP-Adresse rausgehen (nämlich die, die meinem Mail-Server zugewiesen ist und die kontaktierten Mail-Server fragen das u.a über Reverse-DNS ab).
Andernfalls ist es passiert, dass die Mails abgewiesen/nicht zugestellt werden können.
Die Performance, also der Datendurchsatz ist jetzt glaube ich nicht so wahnsinnig wichtig, da es sich um keine so stark frequentierten Domains handelt.
Aber zuverlässig sollte es halt sein.
Watchguard hat ein GUI-Tool zur Konfiguration. Über Web kann man auch fast alles konfigurieren.
Hi,
macht denn der Rechenzentrumsbetreiber inzwischen keine Vorgaben mehr?
Gruß
cykes
macht denn der Rechenzentrumsbetreiber inzwischen keine Vorgaben mehr?
Gruß
cykes
Nein, man kann jetzt - gegen entsprechende Gebühr - hinstellen was man will.
Ist übrigens Contabo.
Ist übrigens Contabo.
Nichts gegen Watchguard, da gibt es Schlechteres, aber wenn es günstig und gut sein soll, ist OPNsense/PfSense im Zweifel doch langfristig die wirtschaftlichere Wahl.
Da Du aber gar keine UTM-Firewall (wie die Watchguard ist) brauchst (lt. Deinen o.b. Anforderungen), genügt für den Usecase auch ein simpler Firewall-Router, z.B. ein Mikrotik hEX für 60 EUR ohne Folgeaufwand. Da ist eine Firewall integriert. Ebenso oder noch günstiger geht es mit OpenWRT, mit dem man fast jeder alten Möhre von Router Leben einhaucht und modernste Features genießt.
Viele Grüße, commodity
Da Du aber gar keine UTM-Firewall (wie die Watchguard ist) brauchst (lt. Deinen o.b. Anforderungen), genügt für den Usecase auch ein simpler Firewall-Router, z.B. ein Mikrotik hEX für 60 EUR ohne Folgeaufwand. Da ist eine Firewall integriert. Ebenso oder noch günstiger geht es mit OpenWRT, mit dem man fast jeder alten Möhre von Router Leben einhaucht und modernste Features genießt.
Viele Grüße, commodity
1
Welche der xyz-Sense, Mikrotik oder OpenWRT Features können denn mit den UTM-Features der Standard-Lizensierung der Watchguard verglichen werden?
Ich hoffe du hast schon Mal eine Watchguard benutzt und kommst wie zu der Bewertung?
Ich hoffe du hast schon Mal eine Watchguard benutzt und kommst wie zu der Bewertung?
Moin,
beim Stichwort Firebox fällt mir nur Folgendes ein:
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Viele Grüße,
beim Stichwort Firebox fällt mir nur Folgendes ein:
Viele Grüße,
Zitat von @2423392070:
Welche der xyz-Sense, Mikrotik oder OpenWRT Features können denn mit den UTM-Features der Standard-Lizensierung der Watchguard verglichen werden?
Wie leider häufiger, lieber Kollege @belanglos, Thema verfehlt und/oder schlecht gelesen. Lies gern nochmal und wenn dann noch Fragen sind, gerne Welche der xyz-Sense, Mikrotik oder OpenWRT Features können denn mit den UTM-Features der Standard-Lizensierung der Watchguard verglichen werden?
Viele Grüße, commodity
Zitat von @commodity:
Viele Grüße, commodity
Zitat von @2423392070:
Welche der xyz-Sense, Mikrotik oder OpenWRT Features können denn mit den UTM-Features der Standard-Lizensierung der Watchguard verglichen werden?
Wie leider häufiger, lieber Kollege @belanglos, Thema verfehlt und/oder schlecht gelesen. Lies gern nochmal und wenn dann noch Fragen sind, gerne Welche der xyz-Sense, Mikrotik oder OpenWRT Features können denn mit den UTM-Features der Standard-Lizensierung der Watchguard verglichen werden?
Viele Grüße, commodity
Er redet von Juniper und Watchguard. Du kommst mit Sensen, Mikrotik und OpenWRT...
Ich habe das Thema verfehlt, obwohl ich genau weiß, dass Du noch nie eine Juniper oder Watchguard-Firewall gesehen bzw bedient hast und ich das hinterfrage?
Alles klar.
1
Your Firebox includes DNS servers for DNS forwarding.
You cannot configure the Firebox itself to function as a DNS server. Instead, you configure the Firebox to forward >requests to the DNS servers that you specify.
You cannot configure the Firebox itself to function as a DNS server. Instead, you configure the Firebox to forward >requests to the DNS servers that you specify.
Was ist daran schlimm den ISP DNS zu verwenden?
An der Watchguard Stelle: DNS Forwarding ENABLE = YES > ADD {provider-dns}
Zitat von @2423392070:
Er redet von Juniper und Watchguard. Du kommst mit Sensen, Mikrotik und OpenWRT...
Alles klar.
Ehrenhaft, aber unnötig, mich in der dritten Person anzusprechen. Das Zeitalter ist doch vorbei Er redet von Juniper und Watchguard. Du kommst mit Sensen, Mikrotik und OpenWRT...
Alles klar.
I.Ü.: Weniger weinen, mehr lesen:
Zitat von @sk-softworks:
Das Teil soll von den vier externen Adressen die benötigten Ports (80/443, SMTP, IMAP, RDP etc.) auf die ihnen zugeordneten internen Adressen weiterleiten.
Und wenn Du - nur ein ganz klein bisschen - genauer lesen würdest, sähest Du, dass ich nichts gegen Deine geliebte Watchguard eingewendet habe Das Teil soll von den vier externen Adressen die benötigten Ports (80/443, SMTP, IMAP, RDP etc.) auf die ihnen zugeordneten internen Adressen weiterleiten.
Einzig die Anforderung wurde nicht erfragt. Und eine total EOL-Juniper wird ja wohl auch kaum tolles Layer7-Firewalling machen, worauf Du ja bekanntlich stehst. Geschweige denn, Sicherheit bieten.Die Watchguard ist übrigens die von CGM (unnötigerweise) vermarktete Standardfirewall für die Erfüllung der Anforderungen der IT-Sicherheitsrichtlinie der KBV. Kennt man als Praxisbetreuer schon
Dass ich vom ganzen UTM-Zeugs nicht so viel halte, weißt Du ja. Eine Empfehlung von CGM ist ja auch nicht gerade ein Lob
Viele Grüße, commodity
Ooops, da bin ich ja wohl unabsichtlich in ein Wespennest getreten.
Immerhin konnte ich zwischen den Zeilen herauslesen, dass die Watchguard das alles kann - und darüber hinaus wohl noch viel mehr, das ich allerdings gar nicht brauche.
Aber besser so als andersrum...
Viele Grüße
sk
Immerhin konnte ich zwischen den Zeilen herauslesen, dass die Watchguard das alles kann - und darüber hinaus wohl noch viel mehr, das ich allerdings gar nicht brauche.
Aber besser so als andersrum...
Viele Grüße
sk
disclaimer: gebrauchte Watchguards nach Factory Reset´s
müssen die wahrscheinlich abgelaufene Lizenz installiert haben, (also nach dem Reset)
ansonsten ist nur eine einzige "IP" Verbindung möglich
müssen die wahrscheinlich abgelaufene Lizenz installiert haben, (also nach dem Reset)
ansonsten ist nur eine einzige "IP" Verbindung möglich
Die Watchguard ist übrigens die von CGM (unnötigerweise) vermarktete Standardfirewall für die Erfüllung der >Anforderungen der IT-Sicherheitsrichtlinie der KBV
Darf der Praxis-Inhaber entscheiden ob Standard, Basic oder Total Security Tarif?
Darf der Praxis-Inhaber entscheiden ob Standard, Basic oder Total Security Tarif?
Der Praxisinhaber darf, soweit ich weiß, nur zwischen den Geräten entscheiden. Die Subskription ist Basic. Es gab ursprünglich S und M, inzwischen nur M und L. S ist eine T10, M eine T20 und L eine T40.https://meine-ti.de/assets/product-files/Firewall/CGM-Firewall-LB-10.22. ...
Kenne keine Praxis, die das Angebot angenommen hat. Das Positivste daran war wohl, dass sie eine ordentliche Marke gewählt haben. Auf die Einrichtung durch CGM möchte ich mich hingegen nicht verlassen müssen. Wenn ich das schon lese:
Bekannte und als potenziell gefährdet eingestufte Verbindungen werden im Rahmen des Produktes gesperrt. Unter die blockierten Ports fallen: 1, 111, 513, 514, 2049, 6000, 6001, 6002, 6003, 6004, 6005, 7100 sowie 8000.
Viele Grüße, commodity
Darf ich mich als Thread-Ersteller auch mal wieder einmischen...
Wer bitte ist mit Praxis-Inhaber gemeint?
Und was mit Standard, Basic oder Total Security Tarif?
vg
Wer bitte ist mit Praxis-Inhaber gemeint?
Und was mit Standard, Basic oder Total Security Tarif?
vg
Sorry, da hat sich was verselbständigt
Das war von Praxisbetreuer zu Praxisbetreuer.Watchguard ist als UTM-(Gelddruck-)Maschine natürlich mit einer sog. Subskription ausgestattet, mit der man gegen eine Stange Geld dann die tollen Snakeoil-Features bekommt (und sich hinterher wundert, warum das Gerät so langsam ist). Die gibt es in Standard, Basic und Total - für jeden Geldbeutel etwas - ganz nach Pretty Woman:
Ein bunter Strauß voll Sicherheit
Viele Grüße, commodity
Ok, danke für die Erklärung.
Ich gehe davon aus, dass sich meine Anforderungen eher auf der Ebene bewegen, bei der ich auf SnakeOil verzichten kann?
Oder bin ich mit Watchguard schlicht auf dem falschen (zu großen) Dampfer? Wäre auch kein Beinbruch, da ich noch keinen Euro in die Hand genommen habe.
Viele Grüße
sk
Ich gehe davon aus, dass sich meine Anforderungen eher auf der Ebene bewegen, bei der ich auf SnakeOil verzichten kann?
Oder bin ich mit Watchguard schlicht auf dem falschen (zu großen) Dampfer? Wäre auch kein Beinbruch, da ich noch keinen Euro in die Hand genommen habe.
Viele Grüße
sk
das einzige bekannte SOLL ist ja aktuell:
-soweit ich weiß kann man jedem Watchguard LAN Port zwei IP Adressen zuweisen
-neue Firmwares unterstützen SD-WAN womit man recht einfach einer jeweiligen Policy das gewünschte WAN zuweisen kann
- bei gebrauchter Watchguard mit abgelaufener Lizenz 2018 hat man auch nur Anrecht auf die Firmware von 2018...
Aus historischen Gründen sind dem hardware-Server bzw. der Hardware-Firewall davor vier öffentliche IP-Adressen >zugeteilt (weil das vor Urzeiten mal mehrere physikalische Maschinen waren). Der Windows-Server hat ebenfalls vier >IP-Adressen (Netz: 192.168.1.0/24) die über Destination-NAT aufeinander gemappt werden.
-soweit ich weiß kann man jedem Watchguard LAN Port zwei IP Adressen zuweisen
-neue Firmwares unterstützen SD-WAN womit man recht einfach einer jeweiligen Policy das gewünschte WAN zuweisen kann
- bei gebrauchter Watchguard mit abgelaufener Lizenz 2018 hat man auch nur Anrecht auf die Firmware von 2018...
Guten Morgen,
wir haben mehrere Watchguard im Einsatz und darum kann ich dir folgendes dazu sagen:
- Und ist sie zuverlässiger, als das Juniper-Zeugs?
Hardwareausfall in über 10 Jahren = 0!
- Und lässt sie sich über die grafische Oberfläche/Browser halbwegs gut konfigurieren?
Zumindest unter Windows ja, über den Watchguard System Manager, oder über die WebUI (die ist mittlerweile brauchbar). CLI gibt es, braucht du aber nur für Spezialfälle
- du kannst genug IPs auf die externen Interface packen, wir haben max. 8 Stück drauf gehabt
- SD-WAN ist Marking Geschrei, damit meint jeder was anderes und wenn du das brauchst guck es dir vorher genau an, das können andere besser
- Kaufe keine WG ohne Support!!! Damit kannst du nicht updaten. Lass es!
Eigenlicht fällt mir gerade ein, frage das doch einfach mal die BOC (https://www.boc.de/), das ist eigentlich DER WG Händler in Deutschland, den kann ich empfehlen, auch stehen dort alle Infos die du brauchst.
Für dein Projekt ist eine WG OK, aber ich muss auch sagen, das in den letzten 1,5 Jahren immer wieder Bugs auftraten die nicht behoben wurden. Das kam bei WG immer zeitweise mal vor, vermutlich weil die aktuell mehr in das Thema Endpoint, XDR und so (nach der Übernahme von Panda) gehen.
wir haben mehrere Watchguard im Einsatz und darum kann ich dir folgendes dazu sagen:
- Und ist sie zuverlässiger, als das Juniper-Zeugs?
Hardwareausfall in über 10 Jahren = 0!
- Und lässt sie sich über die grafische Oberfläche/Browser halbwegs gut konfigurieren?
Zumindest unter Windows ja, über den Watchguard System Manager, oder über die WebUI (die ist mittlerweile brauchbar). CLI gibt es, braucht du aber nur für Spezialfälle
- du kannst genug IPs auf die externen Interface packen, wir haben max. 8 Stück drauf gehabt
- SD-WAN ist Marking Geschrei, damit meint jeder was anderes und wenn du das brauchst guck es dir vorher genau an, das können andere besser
- Kaufe keine WG ohne Support!!! Damit kannst du nicht updaten. Lass es!
Eigenlicht fällt mir gerade ein, frage das doch einfach mal die BOC (https://www.boc.de/), das ist eigentlich DER WG Händler in Deutschland, den kann ich empfehlen, auch stehen dort alle Infos die du brauchst.
Für dein Projekt ist eine WG OK, aber ich muss auch sagen, das in den letzten 1,5 Jahren immer wieder Bugs auftraten die nicht behoben wurden. Das kam bei WG immer zeitweise mal vor, vermutlich weil die aktuell mehr in das Thema Endpoint, XDR und so (nach der Übernahme von Panda) gehen.
Kaufe keine WG ohne Support!!! Damit kannst du nicht updaten und ich meine auch keine Regeln mehr ändern! Lass es!
Doch Policies können natürlich geändert werden, ist ja schließlich dein Eigentum.
Jedoch: Policies die die Lizenzdienste (die ja teilweise auch aktuelle Updates beziehen)
(z.B. SMTP/POP3/IMAP Spamschutz, Kategorie-Webblocker, Application-Control) beinhalten meckern das keine aktive Lizenz besteht und bestehen auf "ausgeschaltet werden", dann geht auch speichern der policies "ohne aktiven schutz"
Ok, dankeschön Deepsys & ManuManu2021
Damit kann ich die WG-Sache weiterverfolgen. Vom Verkäufer habe ich noch keine Antwort bezüglich der Lizenzen, denke aber, dass ich da im Lauf des Tages was bekomme.
boc.de Gucke ich mir an.
VG
sk
Damit kann ich die WG-Sache weiterverfolgen. Vom Verkäufer habe ich noch keine Antwort bezüglich der Lizenzen, denke aber, dass ich da im Lauf des Tages was bekomme.
boc.de Gucke ich mir an.
VG
sk
Moin,
ich habe bereits seit 2019 für Privat eine Firebox T15 kann also auch zum Thema Lizenzen und Stabilität ein wenig Plaudern. Zur Stabilität die Watchguards sind deutlich Stabiler als z.B. Sophos. Ich hatte mir die T15 2019 aus Großbritanien Schicken lassen (Vor dem Brexit), seit dem Lizenziere ich immer die Basic Security Suite. Wenn man sich eine Gebrauchte M300 besorgt gibt es zu beachten dass das Lizenzdatum nur Verlängert wird.
In meinem Beispiel ist das Ablaufdatum immer der 04.06. Verkaufe ich beispielsweise meine Box ohne Verlängerung auf Ebay wenn die Lizenz bereits zwei Jahre abgelaufen ist musst du 2 Jahre Lizenzverlängerung Kaufen erst dann hast du effektiv was davon. Da ich die Diskussion bereits mit dem Support von Watchguard hatte gibt es einen Kulanzzeitraum von 6 Monaten wo sie dir entgegen kommen. Letzteres ist der Grund warum ich an meiner T15 festhänge obwohl die M300 nicht extrem teuer sind jedoch können die mehrere Jahre nicht mehr Lizenziert sein. Eine Lizenzverlängerung für Basic Security Suite Kostet mich 209€ im Jahr.
Lg
Yannick
ich habe bereits seit 2019 für Privat eine Firebox T15 kann also auch zum Thema Lizenzen und Stabilität ein wenig Plaudern. Zur Stabilität die Watchguards sind deutlich Stabiler als z.B. Sophos. Ich hatte mir die T15 2019 aus Großbritanien Schicken lassen (Vor dem Brexit), seit dem Lizenziere ich immer die Basic Security Suite. Wenn man sich eine Gebrauchte M300 besorgt gibt es zu beachten dass das Lizenzdatum nur Verlängert wird.
In meinem Beispiel ist das Ablaufdatum immer der 04.06. Verkaufe ich beispielsweise meine Box ohne Verlängerung auf Ebay wenn die Lizenz bereits zwei Jahre abgelaufen ist musst du 2 Jahre Lizenzverlängerung Kaufen erst dann hast du effektiv was davon. Da ich die Diskussion bereits mit dem Support von Watchguard hatte gibt es einen Kulanzzeitraum von 6 Monaten wo sie dir entgegen kommen. Letzteres ist der Grund warum ich an meiner T15 festhänge obwohl die M300 nicht extrem teuer sind jedoch können die mehrere Jahre nicht mehr Lizenziert sein. Eine Lizenzverlängerung für Basic Security Suite Kostet mich 209€ im Jahr.
Lg
Yannick
Ich verfahre ähnlich im privaten Umfeld. Es gibt ein paar kleine Sonicwalls bei Freunden die ich fast geschenkt lizenzieren kann und wir sie im Freundeskreis als Endpoints nutzen.
Ich selbst habe privat wieder eine Palo Alto, die hatte ein 7 Jahre lange Lizenz bis 2025. Mal gucken was danach kommt.
Ich hoffe, dass Wireguard sich verbreitet.
Ich selbst habe privat wieder eine Palo Alto, die hatte ein 7 Jahre lange Lizenz bis 2025. Mal gucken was danach kommt.
Ich hoffe, dass Wireguard sich verbreitet.
Ok, danke für die Hinweise!
Dann hat Watchguard da ein Mietmodell.
Bei Juniper läuft die SRX-100 zumindest in der Basiskonfiguration unbefristet.
Wenn man bedenkt, dass ich allerdings mindestens einmal im Jahr das Ding tauschen muss, verbunden mit einer ca. 200 km Fahrt plus dem Stress, kommt mich eine Watchguard-Basislizenz wohl auch nicht teurer
Ich habe jetzt mal den Support angeschrieben, wie in dem Fall verfahren wird, wenn ich ihnen die Seriennummern schicke.
Dann hat Watchguard da ein Mietmodell.
Bei Juniper läuft die SRX-100 zumindest in der Basiskonfiguration unbefristet.
Wenn man bedenkt, dass ich allerdings mindestens einmal im Jahr das Ding tauschen muss, verbunden mit einer ca. 200 km Fahrt plus dem Stress, kommt mich eine Watchguard-Basislizenz wohl auch nicht teurer
Ich habe jetzt mal den Support angeschrieben, wie in dem Fall verfahren wird, wenn ich ihnen die Seriennummern schicke.
Moin,
das ganze nennt sich "Transfer of Ownership". Dazu legst du dir einfach einen Account im Support Portal von Watchguard an. Eröffnest ein Ticket (siehe Bild von meiner alten XTM25) und hängst ein Foto des Seriennummern aufklebers an.
Lg
Yannick
Einen Schönen Sonntag und viele Grüße aus Bremerhaven.
das ganze nennt sich "Transfer of Ownership". Dazu legst du dir einfach einen Account im Support Portal von Watchguard an. Eröffnest ein Ticket (siehe Bild von meiner alten XTM25) und hängst ein Foto des Seriennummern aufklebers an.
Lg
Yannick
Einen Schönen Sonntag und viele Grüße aus Bremerhaven.
Hallo Yannick,
herzlichen Dank. Dann scheint das ja doch kein so großes Problem zu sein.
Gibt es eigentlich irgendwo eine Übersicht, was die Lizenzen bzw. die Basic Security Suite je nach Gerät so kosten?
Dir auch einen schönen Sonntag.
Klaus
herzlichen Dank. Dann scheint das ja doch kein so großes Problem zu sein.
Gibt es eigentlich irgendwo eine Übersicht, was die Lizenzen bzw. die Basic Security Suite je nach Gerät so kosten?
Dir auch einen schönen Sonntag.
Klaus
Zitat von @sk-softworks:
Gibt es eigentlich irgendwo eine Übersicht, was die Lizenzen bzw. die Basic Security Suite je nach Gerät so kosten?
Gibt es eigentlich irgendwo eine Übersicht, was die Lizenzen bzw. die Basic Security Suite je nach Gerät so kosten?
Bei BOC, hier mal eine M290:
https://www.boc.de/watchguard-firebox-m290.html
Vielen Dank!
Ja, das ist jetzt nicht unbedingt ein Schnäppchen und wohl auch für meine Anforderungen überdimensioniert.
Denke, ich werde nach günstigeren Alternativen suchen.
Ja, das ist jetzt nicht unbedingt ein Schnäppchen und wohl auch für meine Anforderungen überdimensioniert.
Denke, ich werde nach günstigeren Alternativen suchen.
Moin,
das Thema ist halt bei Watchguard läuft das Netzwerk noch nur die Updates und das Schlagenöl kostet halt.
Bei Sophos ist dann direkt Schicht im Schacht, und bei anderen Herstellern dürfte es ähnlich sein.
Du kannst dir natürlich auch PfSense und Opnsense anschauen, wobei bei PfSense leider das Open Source Produkt zu gunsten des Bezahlproduktes vernachlässigt wird.
Bei den zweien letzteren muss man aber dazu sagen dass wenn du Inhaltfilterung machen möchtest es leider immer düsterer Aussieht.
Die Lösung mit dem Squid empfinde ich eher als Suboptimal und auch dann geht nur HTTP (HTTPS nur MITM).
Und eine Filterung auf DNS Basis hat den Nachteil mit dem Cache.
Da ja Sophos sowohl eine UTM9 und eine XG für Privatanwendung für lau anbietet habe ich den Eindruck dass auch die Community aus PfSense und OpnSense dahin abwandert.
Lg
Yannick
das Thema ist halt bei Watchguard läuft das Netzwerk noch nur die Updates und das Schlagenöl kostet halt.
Bei Sophos ist dann direkt Schicht im Schacht, und bei anderen Herstellern dürfte es ähnlich sein.
Du kannst dir natürlich auch PfSense und Opnsense anschauen, wobei bei PfSense leider das Open Source Produkt zu gunsten des Bezahlproduktes vernachlässigt wird.
Bei den zweien letzteren muss man aber dazu sagen dass wenn du Inhaltfilterung machen möchtest es leider immer düsterer Aussieht.
Die Lösung mit dem Squid empfinde ich eher als Suboptimal und auch dann geht nur HTTP (HTTPS nur MITM).
Und eine Filterung auf DNS Basis hat den Nachteil mit dem Cache.
Da ja Sophos sowohl eine UTM9 und eine XG für Privatanwendung für lau anbietet habe ich den Eindruck dass auch die Community aus PfSense und OpnSense dahin abwandert.
Lg
Yannick
Jetzt bin ich etwas verwirrt.
Ich dachte, ohne Lizenz lässt Watchguard nur eine Verbindung zu.
Wenn Du schreibst, das Netzwerk läuft noch, sind dann so Basics wie NAT, Port Forwarding etc. auch ohne Basic Security License dennoch möglich.
Das ganze Schlangenöl, Inhaltsfilterung etc. brauche ich, wie gesagt, nicht.
VG
Ich dachte, ohne Lizenz lässt Watchguard nur eine Verbindung zu.
Wenn Du schreibst, das Netzwerk läuft noch, sind dann so Basics wie NAT, Port Forwarding etc. auch ohne Basic Security License dennoch möglich.
Das ganze Schlangenöl, Inhaltsfilterung etc. brauche ich, wie gesagt, nicht.
VG
Ich dachte, ohne Lizenz lässt Watchguard nur eine Verbindung zu.
sorry hatte ich vielleicht falsch erklärt
richtig ist:
ohne Lizenz lässt Watchguard nur eine Verbindung zu. <<<< stimmt
mit abgelaufener lizenz funktionieren Basics wie NAT, Port Forwarding etc. , nur die Schlangenöl Dinge nicht.
Problem: wenn man eine resettete Watchguard vom Flohmarkt kauft ist die lizenz nicht mehr installiert und muss ggf. mühselig ausgegraben werden
Moin,
da muss ich dir leider wiedersprechen.
Die WatchGuard holt die Lizenz (den sogenannten Feature Key) aus dem Internet.
Auch meine alte XTM25 ist nach Reset Lizenziert jedoch sind die Lizenzen halt abgelaufen.
Ich hatte die XTM25 damals über Ebay gekauf und über einen "Transfer of Ownership" auf meinen Account umgeschrieben.
Eine Lizenzverlägerung machst du über das Kundenportal und die Box lädt den Key dann herunter (im Hintergrund).
Lg
Yannick
da muss ich dir leider wiedersprechen.
Die WatchGuard holt die Lizenz (den sogenannten Feature Key) aus dem Internet.
Auch meine alte XTM25 ist nach Reset Lizenziert jedoch sind die Lizenzen halt abgelaufen.
Ich hatte die XTM25 damals über Ebay gekauf und über einen "Transfer of Ownership" auf meinen Account umgeschrieben.
Eine Lizenzverlägerung machst du über das Kundenportal und die Box lädt den Key dann herunter (im Hintergrund).
Lg
Yannick
Die Lizenzen sind an die Seriennummer gebunden.
Du musst bei der Ersteinrichtung zu keiner Zeit dich beim Hersteller mit Account oder ähnlichem Anmelden.
Kaufst du eine neue Box im Handel und führst die Ersteinrichtung aus werden Automatisch die Funktionen Aktiviert die du gekauft hast.
Auch wenn diese abgelaufen sind wird halt das alte gezogen mit altem Datum.
In meinem Fall war das die Basic Security Suite die Box wird später in deinem Kundenkonto von dir dort anhand der Seriennummer eingepflegt.
Du selbst musst keine Lizenzschlüssel oder Accounts in der Firewall hinterlegen, die Verlängerung besteht aus einem Produktschlüssel welcher im Account eingelöst wird.
Nach der Eingabe dieses Schlüssels wirst du anhand deiner Registrierten Geräte nach dem Zielgerät gefragt (Seriennummern werden angezeigt).
Du musst bei der Ersteinrichtung zu keiner Zeit dich beim Hersteller mit Account oder ähnlichem Anmelden.
Kaufst du eine neue Box im Handel und führst die Ersteinrichtung aus werden Automatisch die Funktionen Aktiviert die du gekauft hast.
Auch wenn diese abgelaufen sind wird halt das alte gezogen mit altem Datum.
In meinem Fall war das die Basic Security Suite die Box wird später in deinem Kundenkonto von dir dort anhand der Seriennummer eingepflegt.
Du selbst musst keine Lizenzschlüssel oder Accounts in der Firewall hinterlegen, die Verlängerung besteht aus einem Produktschlüssel welcher im Account eingelöst wird.
Nach der Eingabe dieses Schlüssels wirst du anhand deiner Registrierten Geräte nach dem Zielgerät gefragt (Seriennummern werden angezeigt).
Die WatchGuard holt die Lizenz (den sogenannten Feature Key) aus dem Internet.
ok du hast recht, ich hatte ein paar frisch resettete watchguards nicht mit internet verbunden
So ganz stimmt das auch nicht:
- Die WG kann den Key aus dem Internet holen, geht aber auch offline. Dazu muss die Firewall unter deinem Account registriert sein und du lädst den Feature Key
- Ohne gültigen Support Vertrag kannst du kein Firmware Update mehr machen, was bei einer Firewall keine gute Idee ist
Hier mal zum Nachlesen:
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
When the Support subscription expires:
- You cannot upgrade or reinstall Fireware OS on your device, even if it is a Fireware OS version that was released before the Support expiration date.
- WatchGuard does not provide telephone and web-based support, software updates and enhancements, or hardware replacement (RMA).
- Dimension will not accept log messages for the device
- All other functionality, including VPN features, Traffic Monitor and Log Server logging, and management functions, continue to operate.
- You can manage your device and save configuration changes to your device from Policy Manager or the Web UI.
- You can save a backup image of your configuration from Policy Manager or the Web UI.
Immer noch, entweder mit Support/Subscription oder lass es
- Die WG kann den Key aus dem Internet holen, geht aber auch offline. Dazu muss die Firewall unter deinem Account registriert sein und du lädst den Feature Key
- Ohne gültigen Support Vertrag kannst du kein Firmware Update mehr machen, was bei einer Firewall keine gute Idee ist
Hier mal zum Nachlesen:
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
When the Support subscription expires:
- You cannot upgrade or reinstall Fireware OS on your device, even if it is a Fireware OS version that was released before the Support expiration date.
- WatchGuard does not provide telephone and web-based support, software updates and enhancements, or hardware replacement (RMA).
- Dimension will not accept log messages for the device
- All other functionality, including VPN features, Traffic Monitor and Log Server logging, and management functions, continue to operate.
- You can manage your device and save configuration changes to your device from Policy Manager or the Web UI.
- You can save a backup image of your configuration from Policy Manager or the Web UI.
Immer noch, entweder mit Support/Subscription oder lass es
