Empfehlung Router als Backup bei Firewallrouterdefekt

[mcdaniels 22]

Hey Leute!

 

Könnt ihr mir einen Router empfehlen, den ich im Falle des Ausfalles meines Firewallsystems als Übergangslösung einsetzen kann, um Internet und Mailbetrieb aufrecht zu erhalten?

 

Router sollte folgende Funktionalitäten besitzen:

 

NAT, Port und Adressforwarding, DMZ Port, LAN Port, Wan Port

 

Routingpolicies sehen wie folgt aus und sollten somit auch mit dem Ersatzgerät umsetzbar sein:

 

LAN -> WAN

LAN -> DMZ (POP und SMTP)

DMZ -> WAN (port 25 , SMTP)

WAN -> DMZ (Wenn Anfrage auf Port 25 von extern -> forwarding auf Mailserver in DMZ Port 25)

WAN -> DMZ (Wenn Anfrage auf Port 80 von extern -> forwarding auf Webserver in DMZ Port 80)

 

User : ca 100

 

Toll wär noch , wenn man quasi pro Policy die Services auch noch einschränken könnte -- also zb nur http oder nur smtp etc.

 

Natürlich sollte das Gerät nicht über sagen wir mal 300 Euro kommen... ;)

[Cybquest 36]

Schon mal die Bintec/Funkwerk Geräte angeschaut? Mein Kollege schwärmt davon ;)

Ob die aber alles das können, weiß ich aus dem Stehgreif nicht...

[olc 18]

Nimm einen "alten" PC und installiere Dir IPCop mit dem AddOn BOT. ;)

 

Gruß olc

[woiza 10]

Was hast du denn Produktiv? Wenn es z.B. ein CISCO wäre, würde ich mich bei ebay nach nem gebrauchten Gerät umschauen.

 

Gruß

 

woiza

[mcdaniels 22]

Hey!

 

Das hier is ne Fortigate 60

[il_principe 11]

hi,

 

als übergangslösung könntest du ne zywall2+ nehmen, ist zwar für 100 User etwas klein, aber sollte durchaus für ein paar wochen genügen. Nähere Infos auf www.zyxel.de

 

lg

il_principe

[mcdaniels 22]

Hey ilprincipe!

 

Hast du ne Ahnung, ob die Zywall2+ einen wirklichen DMZ Port anbietet, d.h. also keinen exposed Host (so heisst das glaub ich).

 

Kann die Zywall2+ auch die von mir gewünschte und notwendige Weiterleitung von Anfragen:

 

Da ich ja nen Webserver und nen Mailserver in der DMZ habe, muss Sie mir die anfragen von extern entsprechen in die DMZ weiterleiten und auch den Clients im LAN ermöglichen, Mails über die DMZ (Mailserver) zu schicken?

 

Finde irgendwie bei uns immer nur die Zywall 2 und nicht die 2+ , ist da n Unterschied?

 

Auf der Zyxel Site gibts wiederum nur die 2+ hm.

 

Kannst mir das bitte noch beantworten.

 

Herzlichen Dank! :)

[olc 18]

Nimm einen "alten" PC und installiere Dir IPCop mit dem AddOn BOT. ;)

 

Gruß olc

 

Ich will das noch einmal anstossen, da all Deine Anforderungen vom IPCop zum "Nulltarif" erfüllt werden... Oder gibt es Gründe, warum Du diese Lösung ausschließt?

 

Gruß olc

[mcdaniels 22]

Hey!

Ehrlich gesagt kenn ich IPCop nur vom hören her, werd das aber mal aufgreifen, ja.

 

Hängt jetzt allerdings davon ab, wie lange man als Einarbeitungszeit einrechnen muss um sich mit ipcop auszukennen.

 

In meinem Fall würd ich da 3 NICS benötigen. LAN, WAN, DMZ... (gut das sollte auch nicht das Problem sein...)

[substyle 20]

IPCop kommt mit WebGUI daher. Desshalb rechne mal 2 Stunden,

bis alles läuft.

 

Bei IPCop gibt es auch ein High Availability Addon.

mhaddons: Downloads / Addons für Ipcop 1.4.11 / High Availability Addon v2.3

 

subby

[il_principe 11]

die zywall2+ (achtung eine zywall2 kann das nicht und ist auch schon längst veraltet) hat 4 definierbare Ports (LAN/DMZ/WLAN) und erfüllt alle deine Anforderungen.

Hat auch 2 IPSEC VPN Tunnel (Site to Site, Client to Site).

Und das schönste an allem ist, dass das ding zw. 150 und 200 EUR kostet.

 

lg

il_principe

[mcdaniels 22]

Hey!

 

So, nun hab ich die 2 + gefunden... 139 Euro, nicht mal wirklich schlimm... :-)

 

Wenn die wirklich alles kann, dann werd ich wohl diese Lösung dem IPCop vorziehen, denke ich...

[s.k. 11]

die zywall2+ (achtung eine zywall2 kann das nicht und ist auch schon längst veraltet) hat 4 definierbare Ports (LAN/DMZ/WLAN) und erfüllt alle deine Anforderungen. Hat auch 2 IPSEC VPN Tunnel (Site to Site, Client to Site).

Es sind sogar 5 Tunnel.

Wobei das Thema VPN bei den auf ZyNOS basierenden Zywalls (P1 bis 70; in der 1050 steckt Linux) mit Vorsicht zu genießen ist: Alles ganz easy in reinen Hub-and-Spoke- oder Peer-to-Peer-Konfigurationen. Aber wehe, Du willst ein Routing über komplexere Strukturen implementieren, dann wird es unhandlich bis unadministrierbar, teilweise gar unmöglich zu realisieren. Auch die Kompatibilität mit IPSec-Gateways anderer Hersteller hält sich in Grenzen.

 

Als Backup-Lösung für die hier genannten (sehr geringen) Anforderungen wäre die ZW2+ aber auch meine Empfehlung. Wobei mir folgender Passus nicht ganz klar ist:

Toll wär noch , wenn man quasi pro Policy die Services auch noch einschränken könnte -- also zb nur http oder nur smtp etc.

Wenn damit Layer7-Filtering gemeint ist, dann ist die ZW2+ wohl weniger geeignet. Den Bedarf dafür sehe ich bei einer reinen Notlösung aber nicht.

 

@mcdaniels:

Solltest Du Dich für die ZW2+ entscheiden, dann wundere Dich nicht, dass die von il_principe "beworbenen" Features nicht da sind. Die wurden erst mit der Firmware v4.01(XU.0) nachgereicht, welche erst vor kurzem erschienen ist - die ist auf den derzeit käuflichen Geräten mit Sicherheit noch nicht drauf. Also als erstes ein Update machen. Die Firmware gibts bei Zyxel immer frei zum Download. Für mich ein wichtiges Kaufkriterium.

 

Alternativ bringe ich hiermit mal M0n0wall ins Spiel... :cool:

 

Gruß

Steffen