Jump to content

VPN-Gateway / Edge-Firewall - Empfehlung


Recommended Posts

Hi@all,

 

ich hatte vor einer Weile schon einmal hier bezüglich einer Empfehlung eines Antispam-Gateways angefragt und tolle Empfehlungen erhalten (die ich hier letztlich auch eingeführt habe - NoSpamProxy), daher versuche ich es direkt nochmal mit einer Frage zum Thema VPN-Gateway, ich hoffe, das ist ok :).

 

Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. 

 

Ipsec bekomme ich aber auch nicht performant ans Laufen und habe immer wieder Paketverluste. Dazu kommt noch - der Support ist sehr schlecht geworden, ich warte seit Wochen auf eine Rückmeldung bezüglich dieses Problems. Aus diesem Grund setzen wir derzeit für Client-VPN derzeit auch eine Sonicwall als virtuelle Appliance ein. Diese ist sehr performant, die Konfiguration allerdings nicht sehr einsteigerfreundlich und ich finde das ganze lizenztechnisch vergleichsweise teuer. Der Support ist auch eher naja.

 

Ich schaue mir daher gerade eine Forcepoint NGFW an, damit komme ich aber momentan noch nicht wirklich zurecht. Die GUI gefällt mir nicht besonders gut und es ist (in meinen Augen) alles eher unintuitiv. Ich glaube, Forcepoint ist dafür aber auch eine der günstigsten Lösungen am Markt. 

 

Was habt ihr für Vorschläge? Ich suche primär eine Lösung, die ich für Client/Tunnel-VPN verwenden kann und evtl. auch mittelfristig auch als Edge-Firewall einsetzen kann. Die Sophos würde ich dann ggfs. nur noch als Proxy/rev. Proxy einsetzen.

 

VPN-User haben wir momentan ca. 400 zu Spitzenzeiten und User insgesamt am Gateway vielleicht so 1000.

 

Lohnt sich evtl. noch ein Blick in Richtung Fortinet? Was ist derzeit von Watchguard zu halten? Wir haben davon auch noch einen Cluster in Betrieb, aber da ist der Support schon lange abgelaufen und die Hardware ist auch alt - dient nur noch als Notnagel, falls mal gar nichts mehr geht. 

 

Danke, viele Grüße

Marcel

Link to post
vor 25 Minuten schrieb soulseeker:

 

Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. 

 


Das kommt mir bekannt vor. Bei der XG hat man sehr viel an der SSL-VPN Performance geschraubt. Sophos ist sehr kulant, wenn ihr die XG testen wollt. Übrigens konnte man den Key kostenlos in eine XG-Lizenz konvertieren. 

  • Like 1
Link to post

Ich habe jetzt schon öfters gelesen, dass Sophos wohl die UTM-Reihe auslaufen lässt. Ich bin trotzdem wenig erfreut über Sophos - wir haben die damals ja wegen der angepriesenen Performancewerte gekauft, hatten aber vor der Pandemie nur selten Bedarf für mehr als 50 Homoffice-User. Auf der anderen Seite ist das System wirklich einfach zu bedienen.

Link to post

Die XG Variante schreit nicht gerade vor Benutzerfreundlichkeit, im Gegensatz zur UTM. Wenn man die UTM vollumfänglich nutzt, wird einem Auffallen, dass einige Bedienfeatures fehlen, die man gewohnt ist. Das ist leider nicht das Einzige. Sophos hat hier in der Entwicklung viel falsch priorisiert.

 

Man liest, dass viele nach einem Wechsel von UTM -> XG -> Fortigate wieder ganz zufrieden sind.

Edited by MurdocX
Link to post

Ich mag die Watchguards. Der Clusterbetrieb ist unproblematisch und sie lassen sich gut über das Windows-Tool konfigurieren. In kleinen Umgebungen habe ich auch gerne ein Webinterface, aber bei grossen Installationen ist es praktisch, mehrere Änderungen auf einmal anwenden und bei Bedarf zurückrollen zu können.

 

Bezüglich Leistung hatte ich nie Probleme, man darf aber in der Praxis mit nicht mehr als etwa der Hälfte der angepriesenen Leistung rechnen. Also genügend Reserve einberechnen. IPSec-VPN ist dank AES-Unterstützung schnell, bei SSL habe ich zu wenig Erfahrungen, da dort nie mehr als 20 Benutzer gleichzeitig verbunden sind.

 

Den Content-Filter finde ich sehr gut, der Spamfilter ist hingegen unbrauchbar.

Link to post

Hallo,

ich nutze die OpenSource Lösung OPNSense. Neben der Stateful Firewall den VPN Server mit IKEv2 und Windows User Zertifikaten. Anmeldung in der Windows Domain erfolgt über einen Windows NPS / Radius Server. OPNSense bietet aber auch die Möglichkeit eines LDAP. Des Weiteren bietet OPNSense auch Module für Proxy / Reverse Proxy, High Availability, IDS/IPS etc. Wir hatten am Anfang bei einigen Home Office Usern Verbindungsprobleme (ständige Abbrüche). Lag am DS Lite der Internet Verbindungen. Nachdem die Clients die VPN Verbindung über IPv6 aufbauen haben wir keine Probleme mehr. Allerdings habe ich bzgl. der Performance für Deine Useranzahl keine Erfahrung. Evtl. im OPNSense Forum bzgl. der Anzahl VPN Verbindungen / Performance nachfragen.

Edited by winmadness
Link to post
vor einer Stunde schrieb winmadness:

ich nutze die OpenSource Lösung OPNSense

OPNsense ist genial. Es unterstützt WireGuard, welches wesentlich eleganter (und schneller) als OpenVPN ist. In grossen Umgebungen setzt man aber meist auf ein Produkt mit Herstellersupport. Obwohl ich mit WireGuard noch keine schlechten Erfahrungen gemacht habe, würde ich mich nicht trauen, es für so viele Benutzer einzusetzen.

Link to post
vor 21 Minuten schrieb mwiederkehr:

Es unterstützt WireGuard

Ich habe WireGuard ebenfalls getestet. Was mir nicht gefiel war die mangelhaffte Integration in Windows. Mit dem Windows eigenen VPN Client ist die Anbindung über IPSec / IKEv2 / Client Zertifikaten an die OPNSense problemlos möglich

Edited by winmadness
Link to post

Danke euch für die Anregungen. Watchguard fand ich bis zur Sophos auch immer ganz gut, aber im direkten Vergleich war Sophos eindeutig besser (zumindest bis zu den Performanceproblemen). Ich weiß aber auch nicht, was sich da in den letzten Jahren bei Watchguard so getan hat.

 

Eine Citrix-Lösung setzen wir ebenfalls ein, aber so viele Ressourcen haben wir nicht, um alle Mitarbeiter damit zu versorgen.

 

Fortigate ist mir schon öfters über den Weg gelaufen, ich glaube, das schaue ich mir mal näher an, OPNsense auch.

Link to post

Wir setzen Fortigates in mehreren Standorten ein. Sowohl Site-to-Site als auch für Client-to-Site VPNs (IPsec und SSL).

Konfigurationsmöglichkeiten finde ich gut und benutzerfreundlich.

Die haben das "wir müssen auf einmal alle Home Office machen" sehr gut vertragen. Allerdings haben wir auch nicht 1000 VPN User gleichzeitig.

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...