Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Anwender
    Registriert seit
    15.03.2016
    Beiträge
    27

    Standard Die Qual der Wahl - Welche Firewall Lösung?

    Hallo liebes Forum,

    welche Hardware Firewall habt ihr denn im Einsatz? Ich habe aktuell eine Sophos XG auf einer Zotac Box installiert. An sich läuft das auch alles sehr zufriedenstellend, allerdings hat die Zotac Box nur 2 LAN Ports und hier ist mein Problem. Ich hätte gerne min 3 LAN Ports. Deshalb bin ich am überlegen mein Setup umzustellen. Zur Auswahl steht entweder ein neuer Mini PC aus Fernost mit 4 Ports oder die Unifi Dream Machine. Preislich gibt es hierbei keinen Unterschied.
    Mein NAS ist über das Internet erreichbar, deshalb möchte ich mich bestmöglich absichern. Die UDM reizt mich an sich etwas mehr als wieder auf Sophos zu gehen, da ich bereits Unifi APs am laufen habe. Sicherheitstechnisch wäre die Sophos Variante aber zu bevorzugen, wobei ich denke, diese ist etwas Oversized.
    Was denkt ihr?
    Vielen Dank und Grüße!
    DS1019+ | 16 GB Kingston | 5*3 TB WD Red
    USV CYBERPOWER CP900EPFCLCD

  2. #2
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.676

    Standard

    Ein Thema, was bei mir immer mal wieder aufpoppt, bisher aber noch zu keinen konkreten Ergebnissen geführt hat. Von daher hänge ich mich jetzt einfach mal an diesen Thread dran und hoffe dadurch neue Erkenntnisse zu erlangen. Liebäugeln tu ich bereits seit langem mit einem APU Board, wie aktuell z.B. mit diesem hier https://www.apu-board.de/produkte/apu4d4.html Wirklich brauchen tu ich das zwar nicht, aber mich interessiert das Thema und würde mich gerne mal in die Thematik einarbeiten...

    DS218+ | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | 1x WD Red 4TB Basis (btrfs) | 4 GB RAM
    DS115 | WD Green 4TB (ext4) | 512 MB RAM
    Raspberry Pi 4B | Transcent 16 GB | 4 GB RAM | Pi-Hole, OpenVPN

  3. #3
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.728

    Standard

    Ich bevorzuge fertige Router-Lösungen, auch wenn diese auf Linux beruhen und man sowas mit einem Billig-PC nachbauen kann. Mir ist das mit dem PC nur zu viel Overhead. Habe lieber etwas gut konfigurierbares in kleinen und stromsparenden Gehäusen.
    In Firmen verbaue ich zur Zeit ausnahmslos Draytek Router Typ 2960 mit 2 WAN und 4 LAN Ports. Da hier die updates vom Hersteller laufend kommen und der deutsche Support super funktioniert bin ich damit mehr als zufrieden. Da es für alle BS und Mobiles auch die VPN Clients umsonst dazu gibt, die evtl nachgeschaltete Draytek Hardware wie Switche oder APs zentral via 2960 verwaltbar sind die ideale Zusammenstellung für Fernwartung.
    • verwendete Typenreihen:
    • Synology: RS1619xs+, RX1217RP, RS815RP+, DS916+, S418play * HP Server * Lenovo Server *
    • Router/Modem: Draytek Vigor130, 2960 * Fritzbox 6591C, 7490, 7590 * Technicolor TC4400 *
    • LAN/WLAN: Ubiquiti UniFi US-8-60W, Cloud Key, AC PRO * Draytek Vigor 1280G, P2280X, AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000, FI 3000 * Eaton Ellipse ECO800 *

  4. #4
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.463

    Standard

    Die XG nutzt doch keiner, tu mal besser die "UTM", die ist nämlich auch nicht so buggy Ausserdem ist das vllt sowieso nicht ganz richtig, weil Du hast nicht "zu wenig" LAN-Ports, Du hast einfach keine Ahnung von VLANs... Ich hab eine Sophos (UTM) auf einer ZBOX laufen und dahinter 9 interne Netze (inkl. 3x WLAN) + 2 Uplinks (DSL+Cable) und meine ZBOX hat auch nur genau "2" Ports. Ob das reicht? "Dicke!", also machst Du irgendwas verkehrt.

    Aber wenn ich das so lese, biste da vllt auch wirklich ohne Sophos besser dran. Wenn die Grundlagen (wie VLANs) einfach kein Begriff sind (oder man nicht weiss, wie man sie entsprechend einsetzt), dann ist die ZBOX wirklich etwas... "eng", also von daher vllt doch besser die "andere" Ecke" und Du bist Deine Sorgen los

  5. #5
    Anwender
    Registriert seit
    15.03.2016
    Beiträge
    27

    Standard

    Vielen Dank für deinen Beitrag. Ich weiß zwar nicht, wie du darauf kommst das mir VLANs angeblich kein Begriff sind, aber es freut mich wenn diese eine Lösung für dich sind. Ich finde den Einsatz von Zonen für die Netztrennung etwas eleganter und eine Zone erfordert ein eigenes Interface. Außerdem gibt es Einstellungen (Verwaltung Appliance-Zugriff), die sind nur auf Zonenebene möglich. Ob dies im privaten Umfeld wirklich notwendig ist, sei mal dahingestellt.
    Zur Zeiten von Sophos XG v17 hatte ich UTM ebenfalls im Einsatz, allerdings läuft v18 um einiges "runder"
    DS1019+ | 16 GB Kingston | 5*3 TB WD Red
    USV CYBERPOWER CP900EPFCLCD

  6. #6
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.463

    Standard

    "Zonen" sind in diesem Fall keine "Netze" (bzw. Netz-Gruppen)? Da Ubiquiti primär im Richtfunk/WLAN-Sektor unterwegs ist (abgesehen von diesen Randspielereien wie VoIP-Telefonen und Co.), mittlerweile auch eher kleineren Providern mit entsprechenden Lösungen wie uCRM entgegen kommt und irgendwann diese Edge-Router-Geschichten rausgebracht hat, würde ich das jetzt auch nicht unbedingt mit einer Enterprise-Firewall gleichsetzen. Schriebst Du allerdings auch schon... Wobei man da auch sagen muss, dass die Home-Edition der Sophos schon wirklich einen richtig ordentlich dicken Sack an Funktionalitäten mit sich bringt, welche ich auch nur ungern missen würde. Generell kommt es aber - schlussendlich und sowieso - auf den konkreten Anwendungsfall an. Bei der UTM-Home wirklich vorteilhaft, ist die banale Tatsache, dass die "Software"-Installationsvariante theoretisch auf fast jeder Hardware installiert werden kann (ganz egal ob 2 Ports oder 50 Ports). Ebenso kann man auch leicht migrieren. Bei Deinem angedachten UDM wäre dem erstmal nicht so, da besteht dann grundsätzlich schon mal die Bindung an die entsprechende Hardware. Allerdings ist auch das eher wieder so ein "persönliches" Ding, ich z.B. bevorzuge die Flexibilität dabei (deswegen nutze ich es auch). Fraglich ist daneben natürlich auch, welche Features Du von der Sophos nutzt. Wenn es rein z.B. rein die Firewall ist, steht einer Migration auf ein anderes System natürlich nichts im Wege. Bei Mailsecurity, Webserverprotection und Co. sieht das dann natürlich wieder anders aus (dazu hattest Du leider auch nichts geschrieben).

    Wenn die paar Euros aber "mal eben so" aus der Spesenkasse fliessen, würde ich sowieso sagen: MACHEN! Zurückrudern kannst Du dann ja im Bedarfsfall noch immer bzw. ggf. auch mit entsprechendem Routing die Klamotten auch koppeln.

  7. #7
    Anwender
    Registriert seit
    17.10.2015
    Beiträge
    357

    Standard

    Moinsen,
    hier läuft nun seit knapp 1,5 Jahren ein Apu Board mit pfsense drauf. Bislang zur vollsten Zufriedenheit. Das Einrichten der Regeln bei 2 Zonen, eine mit diversen VLANs, ist ebenfals nach einigen Recherchen gut zu managen. Vorteil für mich: es ist a) rein private Anwendung und b) auch zum Lernen / Hobby gedacht.
    Da die pfsense gleich noch VPN, FreeRadius, Firewall, DHCP und DNS übernimmt, habe ich für meine Ziele (a und b) genug "Reserven", um fröhlich auszuprobieren.
    Bei dem hier genutzten APU Board sind 3 Interfaces (1 x wan, 2 X lan) vorhanden, die frei konfiguriert werden können. Support gibt es massig. Bei nur etwas mehr Kosten (im Vergleich zu den AVM Topmodellen) wird um ein Vielfaches mehr geboten.
    Daher (@ Tommes) an dieser Stelle mein Favorit. In Kombination mit den passenden switches (VLAN-fähig, 802.1x-fähig, Dynamische VLAN Zuteilung) kann man sich dann im homelab für MOnate austoben...
    Gesund bleiben! Abstand halten! Ruhig bleiben!

    Grüßle
    the other


    Fritzbox @ PiHole @ pfSense @ ds215j + ds218
    Linux

  8. #8
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.676

    Standard

    Zitat Zitat von the other Beitrag anzeigen
    Vorteil für mich: es ist a) rein private Anwendung und b) auch zum Lernen / Hobby gedacht...
    Dann können wir uns ja schon mal die Hände schütteln, da das auch meiner Intention enspricht. Ich würde auch erstmal ganz klein anfangen und die Firewall an den Exposed Host der Fritzbox hängen. Das hat den Vorteil, das ich in Ruhe erstmal alles ausprobieren und testen kann, ohne das meine Leute hier in irgendeiner Form negartiv beeinflusst werden. Erst später würde ich die Firewall dann so nutzen, wie es sich eigentlich gehört. Dafür bräuchte ich aber noch weiteres Equipment wie DSL-Modem, Switche usw. aber gut...

    Welches APU-Board hast du denn oder kannst du empfehlen? Ich denke, das das APU 2E4 - Board mit 16GB mSATA SSD eigentlich reichen sollte. Oder braucht man mehr als 16GB Datenspeicher? Auf meinem RasPi's komm ich i.d.R. auch mit 4 oder 8 GB Datenspeicher aus. Läuft eigentlich PiHole auf einer APU, oder läuft das bei dir über einen RasPi?

    Tommes

    DS218+ | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | 1x WD Red 4TB Basis (btrfs) | 4 GB RAM
    DS115 | WD Green 4TB (ext4) | 512 MB RAM
    Raspberry Pi 4B | Transcent 16 GB | 4 GB RAM | Pi-Hole, OpenVPN

  9. #9
    Anwender
    Registriert seit
    17.10.2015
    Beiträge
    357

    Standard

    Moinsen @tommes,
    hier läuft die pfsense auf einem apu2d4 (wenn ich mich recht entsinne) mit 3 NICs. Keine Abweichungen vom Serienmodell was den Speicher angeht (4gb). mSATA SSD hier auch mit 16 gb.
    Das alles ist hier bislang auch hinter einer fritzbox im Routerbetrieb, doppeltes nat stört bisher nicht (ja, ich weiß, das ist voll doof mit doppelt nat und ja, nicht best practice, hier aber eben voll wumpe und okay so). pihole klemmt auf dem raspi direkt an der Fritzbox mit unbound, alles aus dem Heimnetz (und VPN) kann daher pihole nutzen (würde auch im Betrieb hinter der pfsense gehen, wird auch eher empfohlen). pihole auf pfsense gibt es afaik bislang nicht, du könntest alternativ das Paket pfblocker für die pfsense nutzen...da gehen die Meinungen aber auseinander...ich will die pfsense aber nicht mit noch mehr Zweitfunktionen belasten, daher bleib ich erst mal bei meiner Kombi. Wenn die Fritzbox stirbt werde ich auch auf den Modem-pfsense-pihole und Heimnetz Betrieb gehen, aber bislang ist es so voll ok, die Telefonie hängt weiter an der fritz vor dem Rest.
    Für den Anfang sollte dein setting also super funzen...
    Geändert von the other (25.05.2020 um 22:15 Uhr) Grund: ergänzungen
    Gesund bleiben! Abstand halten! Ruhig bleiben!

    Grüßle
    the other


    Fritzbox @ PiHole @ pfSense @ ds215j + ds218
    Linux

  10. #10
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.676

    Standard

    Vielen Dank für deine Ausführungen. Das die Konfiguration der pfsense am Exposed Host der Fritzbox nicht zwangsläufig „best practice“ ist, ist mir bekannt und bewusst. Aber ich will ja auch nur spielen... vorerst jedenfalls. Über das, wie das später alles mal aussehen soll, habe ich mir auch bereits Gedanken gemacht und habe da auch schon ziemlich konkrete Vorstellungen. Aber das ist dann doch ein etwas größerer Kostenfaktor und ich wollte erstmal schauen, ob ich und wie ich mit so einer Firewall überhaupt zurecht komme. Schließlich ist das auch alles Neuland für mich und ich muss mich da erstmal reinfuchsen.

    Ich denke, ich werde das jetzt doch endlich mal in Angriff nehmen und ein wenig damit rumspielen.

    Tommes

    DS218+ | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | 1x WD Red 4TB Basis (btrfs) | 4 GB RAM
    DS115 | WD Green 4TB (ext4) | 512 MB RAM
    Raspberry Pi 4B | Transcent 16 GB | 4 GB RAM | Pi-Hole, OpenVPN

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 30.12.2014, 17:23
  2. Antworten: 26
    Letzter Beitrag: 03.07.2012, 08:54
  3. Die Qual der Wahl: 110j, 111 oder doch 211j?
    Von nachon im Forum Kaufberatung - Fragen vor dem Kauf
    Antworten: 23
    Letzter Beitrag: 25.08.2011, 11:25
  4. Die Qual der Wahl
    Von Itaka im Forum Kaufberatung - Fragen vor dem Kauf
    Antworten: 5
    Letzter Beitrag: 21.06.2010, 08:32
  5. Die Qual der Wahl...
    Von brandon im Forum Kaufberatung - Fragen vor dem Kauf
    Antworten: 10
    Letzter Beitrag: 15.06.2010, 14:21

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •