Jump to content

VPN-Gateway / Edge-Firewall - Empfehlung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi@all,

 

ich hatte vor einer Weile schon einmal hier bezüglich einer Empfehlung eines Antispam-Gateways angefragt und tolle Empfehlungen erhalten (die ich hier letztlich auch eingeführt habe - NoSpamProxy), daher versuche ich es direkt nochmal mit einer Frage zum Thema VPN-Gateway, ich hoffe, das ist ok :).

 

Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. 

 

Ipsec bekomme ich aber auch nicht performant ans Laufen und habe immer wieder Paketverluste. Dazu kommt noch - der Support ist sehr schlecht geworden, ich warte seit Wochen auf eine Rückmeldung bezüglich dieses Problems. Aus diesem Grund setzen wir derzeit für Client-VPN derzeit auch eine Sonicwall als virtuelle Appliance ein. Diese ist sehr performant, die Konfiguration allerdings nicht sehr einsteigerfreundlich und ich finde das ganze lizenztechnisch vergleichsweise teuer. Der Support ist auch eher naja.

 

Ich schaue mir daher gerade eine Forcepoint NGFW an, damit komme ich aber momentan noch nicht wirklich zurecht. Die GUI gefällt mir nicht besonders gut und es ist (in meinen Augen) alles eher unintuitiv. Ich glaube, Forcepoint ist dafür aber auch eine der günstigsten Lösungen am Markt. 

 

Was habt ihr für Vorschläge? Ich suche primär eine Lösung, die ich für Client/Tunnel-VPN verwenden kann und evtl. auch mittelfristig auch als Edge-Firewall einsetzen kann. Die Sophos würde ich dann ggfs. nur noch als Proxy/rev. Proxy einsetzen.

 

VPN-User haben wir momentan ca. 400 zu Spitzenzeiten und User insgesamt am Gateway vielleicht so 1000.

 

Lohnt sich evtl. noch ein Blick in Richtung Fortinet? Was ist derzeit von Watchguard zu halten? Wir haben davon auch noch einen Cluster in Betrieb, aber da ist der Support schon lange abgelaufen und die Hardware ist auch alt - dient nur noch als Notnagel, falls mal gar nichts mehr geht. 

 

Danke, viele Grüße

Marcel

Link zu diesem Kommentar
vor 25 Minuten schrieb soulseeker:

 

Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. 

 


Das kommt mir bekannt vor. Bei der XG hat man sehr viel an der SSL-VPN Performance geschraubt. Sophos ist sehr kulant, wenn ihr die XG testen wollt. Übrigens konnte man den Key kostenlos in eine XG-Lizenz konvertieren. 

Link zu diesem Kommentar

Ich habe jetzt schon öfters gelesen, dass Sophos wohl die UTM-Reihe auslaufen lässt. Ich bin trotzdem wenig erfreut über Sophos - wir haben die damals ja wegen der angepriesenen Performancewerte gekauft, hatten aber vor der Pandemie nur selten Bedarf für mehr als 50 Homoffice-User. Auf der anderen Seite ist das System wirklich einfach zu bedienen.

Link zu diesem Kommentar

Die XG Variante schreit nicht gerade vor Benutzerfreundlichkeit, im Gegensatz zur UTM. Wenn man die UTM vollumfänglich nutzt, wird einem Auffallen, dass einige Bedienfeatures fehlen, die man gewohnt ist. Das ist leider nicht das Einzige. Sophos hat hier in der Entwicklung viel falsch priorisiert.

 

Man liest, dass viele nach einem Wechsel von UTM -> XG -> Fortigate wieder ganz zufrieden sind.

bearbeitet von MurdocX
Link zu diesem Kommentar

Ich mag die Watchguards. Der Clusterbetrieb ist unproblematisch und sie lassen sich gut über das Windows-Tool konfigurieren. In kleinen Umgebungen habe ich auch gerne ein Webinterface, aber bei grossen Installationen ist es praktisch, mehrere Änderungen auf einmal anwenden und bei Bedarf zurückrollen zu können.

 

Bezüglich Leistung hatte ich nie Probleme, man darf aber in der Praxis mit nicht mehr als etwa der Hälfte der angepriesenen Leistung rechnen. Also genügend Reserve einberechnen. IPSec-VPN ist dank AES-Unterstützung schnell, bei SSL habe ich zu wenig Erfahrungen, da dort nie mehr als 20 Benutzer gleichzeitig verbunden sind.

 

Den Content-Filter finde ich sehr gut, der Spamfilter ist hingegen unbrauchbar.

Link zu diesem Kommentar

Hallo,

ich nutze die OpenSource Lösung OPNSense. Neben der Stateful Firewall den VPN Server mit IKEv2 und Windows User Zertifikaten. Anmeldung in der Windows Domain erfolgt über einen Windows NPS / Radius Server. OPNSense bietet aber auch die Möglichkeit eines LDAP. Des Weiteren bietet OPNSense auch Module für Proxy / Reverse Proxy, High Availability, IDS/IPS etc. Wir hatten am Anfang bei einigen Home Office Usern Verbindungsprobleme (ständige Abbrüche). Lag am DS Lite der Internet Verbindungen. Nachdem die Clients die VPN Verbindung über IPv6 aufbauen haben wir keine Probleme mehr. Allerdings habe ich bzgl. der Performance für Deine Useranzahl keine Erfahrung. Evtl. im OPNSense Forum bzgl. der Anzahl VPN Verbindungen / Performance nachfragen.

bearbeitet von winmadness
Link zu diesem Kommentar
vor einer Stunde schrieb winmadness:

ich nutze die OpenSource Lösung OPNSense

OPNsense ist genial. Es unterstützt WireGuard, welches wesentlich eleganter (und schneller) als OpenVPN ist. In grossen Umgebungen setzt man aber meist auf ein Produkt mit Herstellersupport. Obwohl ich mit WireGuard noch keine schlechten Erfahrungen gemacht habe, würde ich mich nicht trauen, es für so viele Benutzer einzusetzen.

Link zu diesem Kommentar
vor 21 Minuten schrieb mwiederkehr:

Es unterstützt WireGuard

Ich habe WireGuard ebenfalls getestet. Was mir nicht gefiel war die mangelhaffte Integration in Windows. Mit dem Windows eigenen VPN Client ist die Anbindung über IPSec / IKEv2 / Client Zertifikaten an die OPNSense problemlos möglich

bearbeitet von winmadness
Link zu diesem Kommentar

Danke euch für die Anregungen. Watchguard fand ich bis zur Sophos auch immer ganz gut, aber im direkten Vergleich war Sophos eindeutig besser (zumindest bis zu den Performanceproblemen). Ich weiß aber auch nicht, was sich da in den letzten Jahren bei Watchguard so getan hat.

 

Eine Citrix-Lösung setzen wir ebenfalls ein, aber so viele Ressourcen haben wir nicht, um alle Mitarbeiter damit zu versorgen.

 

Fortigate ist mir schon öfters über den Weg gelaufen, ich glaube, das schaue ich mir mal näher an, OPNsense auch.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...