16
Wieder lancom oder doch meraki, pfsense
Ich helfe einem Freund in IT Themen mit seinem kleinen Handwerks Betrieb.
Zur Firmengründung haben wir auf eine lancom 1781VA Firewall gesetzt. Telefonie läuft separat per SIP Trunk zu nem Anbieter.
Die Einrichtung hat ein lancom Partner gemacht.
Die FW läuft seit +-12 Jahren ohne Probleme.
Updates spiele ich regelmäßig ein.
Ende nächsten Jahres läuft die aus dem Support und ein zweiter Standort soll per site2site VPN angebunden werden.
Vom Regelwerk her haben wir ein paar Freischaltungen und am Ende ne deny all Regel
VPN wird sporadisch von bis zu 3 Benutzern gemacht. Die VPNs hab ich nach lancom Anleitung durchgeklickt und mit deren lancom VPN Client an den Rechner (Windows/Mac) eingerichtet.
Der lancom Partner hat kein lancom mehr und die mit langem Support sind die r&s Modelle. Ob das Regelwerk, ob die VPN Lizenzen noch passen - fraglich.
Ich liebäugle nun mit Cisco meraki Go Security Gateway oder einer pfsense Lösung auf einem netgate device.
Aktuell fehlt mir ein content Filter (der bei lancom/Rohde&schwarz teuer sein soll), eine WLAN Gäste Lösung.
Bei Cisco ist mir unklar wie lange die Firewall Updates bekommen wird. Und auch den Funktionsumfang von Cisco - keine Ahnung.
In der Arbeit bin ich mit watchguard und Checkpoint zu Gange..- watchguard würde ich mir nicht antun, Checkpoint empfinde ich hier als Overkill.
Was meint.ihr?
Zur Firmengründung haben wir auf eine lancom 1781VA Firewall gesetzt. Telefonie läuft separat per SIP Trunk zu nem Anbieter.
Die Einrichtung hat ein lancom Partner gemacht.
Die FW läuft seit +-12 Jahren ohne Probleme.
Updates spiele ich regelmäßig ein.
Ende nächsten Jahres läuft die aus dem Support und ein zweiter Standort soll per site2site VPN angebunden werden.
Vom Regelwerk her haben wir ein paar Freischaltungen und am Ende ne deny all Regel
VPN wird sporadisch von bis zu 3 Benutzern gemacht. Die VPNs hab ich nach lancom Anleitung durchgeklickt und mit deren lancom VPN Client an den Rechner (Windows/Mac) eingerichtet.
Der lancom Partner hat kein lancom mehr und die mit langem Support sind die r&s Modelle. Ob das Regelwerk, ob die VPN Lizenzen noch passen - fraglich.
Ich liebäugle nun mit Cisco meraki Go Security Gateway oder einer pfsense Lösung auf einem netgate device.
Aktuell fehlt mir ein content Filter (der bei lancom/Rohde&schwarz teuer sein soll), eine WLAN Gäste Lösung.
Bei Cisco ist mir unklar wie lange die Firewall Updates bekommen wird. Und auch den Funktionsumfang von Cisco - keine Ahnung.
In der Arbeit bin ich mit watchguard und Checkpoint zu Gange..- watchguard würde ich mir nicht antun, Checkpoint empfinde ich hier als Overkill.
Was meint.ihr?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7139752311
Url: https://administrator.de/contentid/7139752311
Printed on: April 27, 2024 at 22:04 o'clock
16 Comments
Latest comment
Kommt drauf an wie groß das Budget ist und wie deine Erfahrungen z.B. mit pfSense aussieht?
OPNsense könnte man sich auch ansehen. Wenn das eine Option ist, würde ich versuchen mal das Regelwerk der bestehenden Lancom nachzubauen um so herauszufinden ob es die Anforderungen erfüllt. Aber da bin ich mir zu 95% sicher das pfSense oder OPNsense das kann.
OPNsense könnte man sich auch ansehen. Wenn das eine Option ist, würde ich versuchen mal das Regelwerk der bestehenden Lancom nachzubauen um so herauszufinden ob es die Anforderungen erfüllt. Aber da bin ich mir zu 95% sicher das pfSense oder OPNsense das kann.
1
Und auch den Funktionsumfang von Cisco - keine Ahnung.
Ist aber eher ein Armutszeugnis für einen "Mastermind"... 3Sek. bei Dr. Google. 
https://meraki.cisco.com/product-collateral/mx-family-datasheet/?file
Warranty und Lifetimes findest du in den entsprechenden Dokumenten ebenfalls.
Merakis Produkte sind zwar sehr gut und genau passend für deinen Kollegen bzw. solche Netzwerkanforderungen und auch Konfigurations und Wartungsaufgaben, weil das Setup sehr einfach und automatisiert ist.
Es ist aber immer ein Cloud Bezahlmodell das solltest du nicht vergessen. Wenn du deine Licenses nicht bezahlst hast du nur noch einen Ziegelstein. Finanziell hängst du damit immer am Fliegenfänger.
Das solltest du also immer auf dem Radar haben und für dich und den Kollegen klären ob das eine gangbare Option ist. Wenn ja, ist das eine sehr gute Lösung. Wenn nein, siehe Empfehlung des Kollegen @Fenris14 mit OPNsense.
OPNsense supportet die onboard VPN Clients aller Plattformen. (Siehe hier!) Mit Surricata und auch NetFlow Support ist auch ein IPS/IDS System an Bord.
Ja, die R&S Modell sind teuer....aber sie laufen und das sehr robust. Ich habe selber in 10 Jahren nur 3x den Support benötigt für ein Feature, was in der GUI nicht verfügbar ist.
Dafür brauchst Du für VPN keine Client-Lizenzen, denn OpenVPN wird im Standard unterstützt.
Site-2-Site-VPN ist mit wenigen Handgriffen gemacht.
Gruß
Looser
Dafür brauchst Du für VPN keine Client-Lizenzen, denn OpenVPN wird im Standard unterstützt.
Site-2-Site-VPN ist mit wenigen Handgriffen gemacht.
Gruß
Looser
Ich werfe mal OPNsense in den Raum:
https://www.youtube.com/watch?v=4p1lw4FEfok
https://www.youtube.com/watch?v=4p1lw4FEfok
1
Zitat von @aqui:
https://meraki.cisco.com/product-collateral/mx-family-datasheet/?file
Warranty und Lifetimes findest du in den entsprechenden Dokumenten ebenfalls.
Merakis Produkte sind zwar sehr gut und genau passend für deinen Kollegen bzw. solche Netzwerkanforderungen und auch Konfigurations und Wartungsaufgaben, weil das Setup sehr einfach und automatisiert ist.
Es ist aber immer ein Cloud Bezahlmodell das solltest du nicht vergessen. Wenn du deine Licenses nicht bezahlst hast du nur noch einen Ziegelstein. Finanziell hängst du damit immer am Fliegenfänger.
Das solltest du also immer auf dem Radar haben und für dich und den Kollegen klären ob das eine gangbare Option ist. Wenn ja, ist das eine sehr gute Lösung. Wenn nein, siehe Empfehlung des Kollegen @Fenris14 mit OPNsense.
OPNsense supportet die onboard VPN Clients aller Plattformen. (Siehe hier!) Mit Surricata und auch NetFlow Support ist auch ein IPS/IDS System an Bord.
Und auch den Funktionsumfang von Cisco - keine Ahnung.
Ist aber eher ein Armutszeugnis für einen "Mastermind"... 3Sek. bei Dr. Google. https://meraki.cisco.com/product-collateral/mx-family-datasheet/?file
Warranty und Lifetimes findest du in den entsprechenden Dokumenten ebenfalls.
Merakis Produkte sind zwar sehr gut und genau passend für deinen Kollegen bzw. solche Netzwerkanforderungen und auch Konfigurations und Wartungsaufgaben, weil das Setup sehr einfach und automatisiert ist.
Es ist aber immer ein Cloud Bezahlmodell das solltest du nicht vergessen. Wenn du deine Licenses nicht bezahlst hast du nur noch einen Ziegelstein. Finanziell hängst du damit immer am Fliegenfänger.
Das solltest du also immer auf dem Radar haben und für dich und den Kollegen klären ob das eine gangbare Option ist. Wenn ja, ist das eine sehr gute Lösung. Wenn nein, siehe Empfehlung des Kollegen @Fenris14 mit OPNsense.
OPNsense supportet die onboard VPN Clients aller Plattformen. (Siehe hier!) Mit Surricata und auch NetFlow Support ist auch ein IPS/IDS System an Bord.
Wenn ich meraki richtig verstanden habe, dann liebäugle ich mit der meraki GO Variante und zugehörigem secure Gateway (auch Firewall plus ) genannt.
Dein Link zeigt die Prof. Variante.
Ich will eine Preis/Leistung Lösung die einfach einrichtbar ist und langfristig läuft
Natürlich darf es im laufenden Betrieb etwas kosten. Gerade die content Filter oder auch Firmware Updates kosten häufig. Bei lancom waren die Firmware Updates kostenlos über Jahre
Einzig ein optionaler Filter, Virenschutz,... kostet entsprechend.
Die Qualitäten der lokalen EDV Häuser, sind naja. Da hab ich mir zwei angehört und mit einem telefoniert. Da kann man nur mit dem Kopf schütteln. (Aussagen wie, warum man einen Exchange Server nicht selbst hosten will für ne 5MA Firma..., VPN viel zu umständlich, ne Port Weiterleitung für RDP etc wäre sicher...
Das ist ja das Dilemma. Der bisherige lancom Partner hat nur noch Checkpoint und fortinet. Was für mich eher im Enterprise Umfeld angesiedelt ist und kein Selbstläufer ist.
Ich sehe mir OPNsense und pfsense mal an.
Unseren Cisco Ansprechpartner in der Arbeit muss ich Mal auf meraki Go ansprechen. Gewisse Einschränkungen wird es sicherlich geben (keine oder eingeschränkte logfiles, ...)
Auch die aktuellen Preise für die Optionen. Was Updates, Optionen in x Jahren kosten, kann natürlich keiner sagen.
Mit deinen Vorgaben bist du dann bei Meraki sehr wahrscheinlich besser aufgehoben, denn die Open Source Produkte erfordern schon etwas Netzwerk Basiswissen und ggf. Pflege.
Bei Meraki ist das eher alles Klicki Bunti, bedeutet aber auch das du vollständig dem Hersteller und seiner Kompentenz vertrauen musst. Einfluss hast du da nur sehr sehr bedingt.
Firmware Updates sind dort ebenfalls kostenlos solange du eine laufende Lizenz hast.
Keine oder eingeschränkte Logfiles sind natürlich Unsinn. Auch diese Produkte supporten, wie generell üblich, ein vollständiges remotes Logging.
Bei Meraki ist das eher alles Klicki Bunti, bedeutet aber auch das du vollständig dem Hersteller und seiner Kompentenz vertrauen musst. Einfluss hast du da nur sehr sehr bedingt.
Firmware Updates sind dort ebenfalls kostenlos solange du eine laufende Lizenz hast.
Keine oder eingeschränkte Logfiles sind natürlich Unsinn. Auch diese Produkte supporten, wie generell üblich, ein vollständiges remotes Logging.
Auch die aktuellen Preise für die Optionen. Was Updates, Optionen in x Jahren kosten, kann natürlich keiner sagen.
Doch natürlich. Das sagt dir dein zertifizierter Cisco/Meraki Partner!
Cisco als Firewall – Edward lässt aus seinem Exil schön grüßen 😏
PS: Ist es das Firmware/Lizenz-Gedönse bei Cisco wirklich wert … wir reden doch von nem „Handwerkbetrieb“!?
PS: Ist es das Firmware/Lizenz-Gedönse bei Cisco wirklich wert … wir reden doch von nem „Handwerkbetrieb“!?
Man kann von Cisco halten was man will 
Manchmal ist es ein wenig chaotisch bei Cisco. Die Lizenz Portale sind ein Graus - kann ich aus eigener Erfahrung im Enterprise Umfeld durchaus sagen.
Aber... Produkte wie ne Cisco Ironport oder die Cloud Variante (esa) oder ein Proxy als umbrella funktionieren super.
Auch den Support hab ich im ESA Umfeld als gut wahrgenommen.
Klar preislich hab ich keine Ahnung - wo die Reise hingeht.
Wenn ich von meinen "Erfahrungen" spreche dann aus dem Enterprise Umfeld (4000MA Firma).
Mein Kumpel mit seinem Handwerksbetrieb hat 20 MA, davon aber nur +- 5-6 Büro Mitarbeiter.
Manchmal ist es ein wenig chaotisch bei Cisco. Die Lizenz Portale sind ein Graus - kann ich aus eigener Erfahrung im Enterprise Umfeld durchaus sagen.
Aber... Produkte wie ne Cisco Ironport oder die Cloud Variante (esa) oder ein Proxy als umbrella funktionieren super.
Auch den Support hab ich im ESA Umfeld als gut wahrgenommen.
Klar preislich hab ich keine Ahnung - wo die Reise hingeht.
Wenn ich von meinen "Erfahrungen" spreche dann aus dem Enterprise Umfeld (4000MA Firma).
Mein Kumpel mit seinem Handwerksbetrieb hat 20 MA, davon aber nur +- 5-6 Büro Mitarbeiter.
Man kann von Cisco halten was man will face-smile
Aber natürlich: https://vuldb.com/?product.cisco:ios 😉Bin bestimmt kein Profi. Aber bei der Größenordnung hätte ich jetzt eher "Sophos" und Konsorten erwartet. Wenn man schon den Wunsch hat Geld für Lizenz-Vodoo und Schlangenöl zu "investieren", weil einem der OPNsource-Kram zu spooky ist.
Hi
fertige pfSense oder OpnSense als Appliance, die liefern auch eine Captive Portal für Gäste mit. Die haben das erste Jahr im Regelfall auch den Support dabei (wenn man die Appliance kauft).
Alternativ Sophos Firewall mit Sophos APs, läuft auch gut, dann noch den AV Scanner von Sophos dabei und du hast ein recht "runde" Lösung, VPN geht mit OpenVPN + MFA ohne Probleme.
Am Ende kommt es auf die Größe der Umgebung an, wenn es nur eine Handvoll Benutzer und einige APs sind, würde ich keine HighEnd Enterprise Hardware einsetzen, dass ist bei der geringen Stückzahl einfach zu teuer und die ganzen "Gimmick" und "Features" muss auch jemand einrichten und supporten, dass ist einfach zu aufwendig.
Just my 2 Cent
@clSchak
fertige pfSense oder OpnSense als Appliance, die liefern auch eine Captive Portal für Gäste mit. Die haben das erste Jahr im Regelfall auch den Support dabei (wenn man die Appliance kauft).
Alternativ Sophos Firewall mit Sophos APs, läuft auch gut, dann noch den AV Scanner von Sophos dabei und du hast ein recht "runde" Lösung, VPN geht mit OpenVPN + MFA ohne Probleme.
Am Ende kommt es auf die Größe der Umgebung an, wenn es nur eine Handvoll Benutzer und einige APs sind, würde ich keine HighEnd Enterprise Hardware einsetzen, dass ist bei der geringen Stückzahl einfach zu teuer und die ganzen "Gimmick" und "Features" muss auch jemand einrichten und supporten, dass ist einfach zu aufwendig.
Just my 2 Cent
@clSchak
1
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Aktuell ist das Thema immer noch unklar.
Demnächst müsste ein Spielrechner (Intel NUC mit mehreren NICs) kommen und dann teste ich OPNSense.
Bin gespannt.
Es ist wirklich schwer Systemhäuser zu finden, die einem eine Firewall samt Konfig + Wartung verkaufen wollen.
Irgendwie scheint da nichts verdient zu sein... (Habe spasseshalber Kontakt mit 2 Systemhäusern aufgenommen - einmal wegen einer "SecurePoint UTM", und einmal wegen "Lancom"...)
Wenn OPNSense gut funktioniert, dann wirds das... wenn nicht - dann wirds eben ne Lancom 1800EF und einer Skriptbasierten Konfigübernahme 1zu1. (Sollte tun)...
Demnächst müsste ein Spielrechner (Intel NUC mit mehreren NICs) kommen und dann teste ich OPNSense.
Bin gespannt.
Es ist wirklich schwer Systemhäuser zu finden, die einem eine Firewall samt Konfig + Wartung verkaufen wollen.
Irgendwie scheint da nichts verdient zu sein... (Habe spasseshalber Kontakt mit 2 Systemhäusern aufgenommen - einmal wegen einer "SecurePoint UTM", und einmal wegen "Lancom"...)
Wenn OPNSense gut funktioniert, dann wirds das... wenn nicht - dann wirds eben ne Lancom 1800EF und einer Skriptbasierten Konfigübernahme 1zu1. (Sollte tun)...
die einem eine Firewall samt Konfig + Wartung verkaufen wollen.
Sowas gibt man ja auch aus guten Gründen niemals aus der Hand an Fremde. Der Grund dürfte klar sein...oder überlässt du jedem x-Beliebigen mit x-Bekannten udn weiteren Bekannten deine Wohnungschlüssel?!
Ich glaube du hast mich irgendwie falsch verstanden...
Ein klassischer Handwerksbetrieb mit 2-10 MA hat keinen festangestellten Security Administrator. Noch nicht mal einen ITler.
Und genau dafür, und für weitere Themen, gibt es meiner Meinung nach Systemhäuser.
Und genau das sogar inkl. Wartungsvertrag wurde angefragt. D.h. Updates, Anpassungen, neu anlage evtl. weiterer VPN Zugänge. D.h. wiederkehrende Einnahmen. Jährlich werden sicherlich Lizenzverlängerungen abgerechnet (Content Filter, Virenschutz, .etc...).. Man könnte meinen ein Systemhaus verdient da schon etwas.
Ich selbst hab zwar auch mit Security was zu tun - aber mit Endgeräten die den Preisrahmen eines Handwerkers deutlich sprengen. Und eigentlich ist Zeit als ITler kostbar
mal schauen.
Ein klassischer Handwerksbetrieb mit 2-10 MA hat keinen festangestellten Security Administrator. Noch nicht mal einen ITler.
Und genau dafür, und für weitere Themen, gibt es meiner Meinung nach Systemhäuser.
Und genau das sogar inkl. Wartungsvertrag wurde angefragt. D.h. Updates, Anpassungen, neu anlage evtl. weiterer VPN Zugänge. D.h. wiederkehrende Einnahmen. Jährlich werden sicherlich Lizenzverlängerungen abgerechnet (Content Filter, Virenschutz, .etc...).. Man könnte meinen ein Systemhaus verdient da schon etwas.
Ich selbst hab zwar auch mit Security was zu tun - aber mit Endgeräten die den Preisrahmen eines Handwerkers deutlich sprengen. Und eigentlich ist Zeit als ITler kostbar
mal schauen.
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
aktuell ist es immer noch offen was es wird. Mal schauen. Zum Glück hat der alte Lancom Router noch bis mitte 2024 Softwaresupport.
-> SecurePoint Partner aus der Region melden sich nicht. Kein Interesse. Auch nach tel. Nachfrage keine Reaktion.
-> einen neuen Lancom Partner gibts nun in der Region
Der "Intel NUC" ist angekommen und wird nun mit OPNSense mal getestet - bin gespannt.
-> SecurePoint Partner aus der Region melden sich nicht. Kein Interesse. Auch nach tel. Nachfrage keine Reaktion.
-> einen neuen Lancom Partner gibts nun in der Region
Der "Intel NUC" ist angekommen und wird nun mit OPNSense mal getestet - bin gespannt.
1