Empfehlung für Firewall (Hardware/Software)

[jbs]

Hey ngb!

Da demnächst eine Bürozusammenlegung stattfindet, wollte ich mich mal bzgl. einer Firewall bei euch erkundigen. Dabei bin ich nicht wählerisch ob es sich um eine Hard- oder Softwarefirewall handelt.

Folgende Situation:

Es stehen 2 Telefonleitungen zur Verfügung welche über die Firewall laufen sollen.
Leitung 1 für Büro 1 ist eine normale aDSL Privatleitung (8MBit max) mit 1 dynamischen IP Adresse. (zB. 188.1.1.5)
Leitung 2 für Büro 2 ist eine Business xDSL Leitung (16MBit max) mit 5 statischen IP Adressen. (zB. 77.1.1.114, 77.1.1.115, 77.1.1.116, 77.1.1.117, 77.1.1.118)

VPN IPs (Beispiele):
Leitung 1 (vLAN 1): 77.1.1.117
Leitung 2 (vLAN 2): 77.1.1.118

Geplant wäre die Einrichtung von 2 vLAN Netzen, einmal für Büro 1 und einmal für Büro 2.
(Zusätzlich wäre ein 3. vLAN für WLAN-Geräte angedacht, da bin ich mir aber noch nicht sicher bzw. würde euch um eure Meinung bitten, da ihr bestimmt erfahrener seid als ich.)

Da man sich auf die DynDNS Funktion des Modems von Leitung 1 leider nicht verlassen kann (IP-Updates funktionieren nur sporadisch), würde ich gerne eine IP von Leitung 2 zum verbinden ins vLAN von Leitung 1 verwenden.

Um von außen halbwegs sicher ins Netzwerk zu kommen, würde ich gern VPN nutzen.
Um ins vLAN 1 zu kommen, würde ich die IP für Leitung 1 nehmen (siehe VPN IPs oben). Um ins vLAN 2 zu kommen, würde ich die IP für Leitung 2 nehmen.

Ich hatte bis vor kurzem eine Fortigate 50 im Einsatz, nur leider bereitete die mir mehr Kopfzerbrechen als sie letzten Endes nützte. Deshalb möchte ich diese auch nicht weiter einsetzen.

Sofern eine Softwarefirewall empfohlen wird, muss ich mir dafür noch ein System zusammensuchen. Ich hätte dabei an folgendes Board gedacht, weiß nun aber nicht, ob die CPU davon nicht zu schwach ist: http://www.mini-tft.de/xtc-neu/prod...9HQL-525---Mainboard--Mini-ITX--Intel-D5.html

Ich bin für jegliche Hilfe sehr dankbar!

Schönen Abend und nochmals vielen Dank!!!

LG
jbs

 

[Exterminans]

Bist du mit iptables vertraut?

Wenn ja, dann greif doch einfach zu einem der günstigen TP-Link-Router (40-60€) und hau OpenWRT drauf.

Mit der LuCI-GUI ist das einrichten der vLans sowie das zuweisen der einzelnen Ports des Switches und das verwenden der statischen IP-Adressen schön einfach, DynDNS bekommst du bei der Gelegenheit auch ne funktionierende Implementierung mitgeliefert. Du musst dann nur noch die Routen zwischen den vLans eintragen und das wars.
Das Wlan in nen eigenes vLan zu setzen (bzw. meinetwegen auch 2 SSIDs auf dem selben Router zu verwenden, eine führt in ein eigenes, abgeschottetes vLan, die andere ist mit einem der Büro-Lans gebridget, sprich eins für Gäste, eins für Mitarbeiter) funktioniert damit ebenfalls Out-Of-The-Box.

Der Durchsatz ist mehr als nur ausreichend.

 

[drfuture]

Der Durchsatz ist mehr als nur ausreichend.

Woran machst du das fest?
Mich hätte als erstes interessiert wieviele clients pro Büro darüber Arbeiten, ob es einen Webproxy dazwischen gibt und wie viele VPN-Verbindungen gleichzeitig geplant sind / wer die VPN-Verbindungen managed ...

 

[Exterminans]

Im selben vLan schaffen die TP-Links ~900Mbit, wenn zwischen vLans geroutet wird immerhin noch gute 400-600Mbit. Solange man kein Accounting macht, sollte das mehr als nur ausreichend sein.

Wenn die 500Mbit nicht reichen, dann wäre da eh eine deutlich größere Lösung angesagt.

EDIT: Ein Detail habe ich tatsächlich übersehen, den Wunsch nach VPN. Kein Plan, was OpenVPN auf solcher Embedded-Hardware noch an Durchsatz bringt. Möglich ist es aber, der Durchsatz sollte auf jeden Fall immer noch höher sein als der der DSL-Leitung. Kommt da allerdings tatsächlich darauf an wie viele Clients und wie es gemanaged werden soll...

 

[jbs]

@Exterminans:
Mit ipTables bin ich nur bedingt vertraut. Ich hatte damit zwar schon ein paar Mal gearbeitet, letzten Endes waren aber immer meine Nerven fertig und nicht die gewünschten ipTables.
Einen TP-Link WLAN Router hätte ich sogar hier: TL-WR1043ND

@drfuture:
Aufbau ist folgender:
Büro 1:
2 Stand PCs die per Netzwerkkabel verbunden sind.
1 Notebook das per WLAN verbunden ist.
2 Handys die per WLAN verbunden sind.
1 Tablet das per WLAN verbunden ist.

Büro 2:
1 Stand PC der per Netzwerkkabel verbunden ist.
Ein NAS das per Netzwerkkabel verbunden ist.
2 Notebooks die per WLAN verbunden sind.
1 Handys das per WLAN verbunden ist.
1 Tablet das per WLAN verbunden ist.

Alle Geräte die per WLAN Verbunden sind, sind mobil und nicht 24h am Tag im Büro.

WebProxy gibt's keinen dazwischen. Derzeit hängen alle Geräte direkt am Router ohne irgend etwas dazwischen.
Pro Büro wären 2 gleichzeitige VPN Verbindungen angedacht, also insgesamt 4. Verwaltung gibt es dafür noch keine. Sofern die Firewall das beherrschen würde, wäre das natürlich sehr von Vorteil.

Vielen Dank für eure Antworten!

EDIT: Habe meinen 1. Beitrag um die Geschwindigkeiten der Leitungen ergänzt: Leitung 1 => 8MBit, Leitung 2 => 16 MBit.

 

[Exterminans]

TL-WR1043ND kannste ja mal ausprobieren ob der nicht bereits reicht

OpenWRT drauf und bis auf VPN kannst du da alles per GUI einrichten.

 

[The_Emperor]

...dann greif doch einfach zu einem der günstigen TP-Link-Router (40-60€) und hau OpenWRT drauf.

Ein 50€ China-Ding mit Standardgewährleistung das für Home-User gedacht ist für den gewerblichen Gebrauch zu empfehlen ist fahrlässig. Wenn du eine Firewall für gewerbliche Zwecke benötigt dann greif zu einem Businessgerät mit einem Business-Wartungsvertrag der dir im Schadensfall einen Austausch innerhalb von wenigen Stunden garantiert. Den 50€ Router hingegen kannst du nach China schicken und drei Wochen auf Ersatz warten. Internet kannst du in diesen drei Wochen vergessen.

Also wenn ich das mal so zusammenrechne hast du folgende Konfiguration:

2 x WAN
2 X VPN
2 x vLAN
1 x WLAN

An sich nichts spektakuläres, nur das Zusammenspiel von zwei getrennten WAN-Anbindungen auf die auch zwei getrennte vLANs innerhalb eines Netzwerkes zugreifen können müssen treibt das ganze in den 600€++ Bereich alleine für die Hardware. Meine Empfehlung wäre dafür ein Cisco Catalyst aus der 3000er Serie zusammen mit einem Dual-Band Cisco-AIR Access-Point. Mit der Firewall kannst du die beiden WANs schön auf die gewünschten vLANs binden. Aber wir reden hier von einem Vorhaben das Welten über Board-Niveau liegt und unbedingt mit einem Netzwerkspezialisten geplant werden sollte der auch entsprechende Wartungsverträge anbietet.

 

[drfuture]

Nun ja in der größenordnung würde ich (auch wenn ich normal nicht dafür wäre) auf ein Homeuser gerät gehen - und lieber das Geld in ein 2. Gerät das nur im Schrank liegt investieren als Ausfallsicherung. Bei mehr oder weniger 6 Clients ist oft in einer größeren Familie mehr los - 2 vLans (müssen die wirklich sein?) mal außen vor. 2-4 VPN-Verbindungen sollte ein aktueller Router ebenfalls von der Hardware her verkraften.
Auch wenn eine vernünftige Hardwarelösung dafür toll wäre - ist sie denke ich überdimensioniert - muss ja nicht direkt von cisco sein - 3com oder hp /dell haben da sicher auch was nettes --- aber die Lösungen würde ich alle eher bei 50 Clients in Betracht ziehen.

 

[redbeard]

iptables != Firewall.

Kaufempfehlung: Irgendeine SophosUTM (ehemals Astaro)-Box wenn das Budget vorhanden ist und du moeglichst wenig selbst machen moechtest. Andernfalls dedizierte Hardware + Endian oder pfSense.

Je nach Clients und gewuenschten Funktionen kann das Board+Intel Atom ausreichen (afair haben/hatten die kleineren Astaro Boxen um 110/120 auch nur einen Atom verbaut).

Wenn du Hardware kaufst, solltest du beim Hersteller bezueglich Hardwareunterstuetzung nachfragen. Das war bei uns damals bei den Netzwerkkarten ein Thema, da wir aber ~50k Auftragsvolumen bei Astaro hatten, wurde fuer uns ein entsprechender Patch entwickelt.

 

[jbs]

Vielen Dank für eure Antworten!

@redbeard:
Sophos UTM klingt sehr gut. Endian genauso. Ich hätte sonst auch noch Zyxel Zywall gefunden, welche im Verhältnis zu den Anderen um 1-200 Euro günstiger ist. In Tests schloss diese auch nicht so schlecht ab. Meist nur 1-2 Plätze hinter den Sophos UTM Geräte. Endian hätte sogar Support für VoIP mit drin.

Bzgl. professioneller Unterstützung durch Netzwerkspezialisten vor Ort: Leider gibt es erst in ca. 100km Entfernung die nächsten, fähigen Techniker, welche ihre Preise leider jenseits von gut und böse haben. Preise die unser gemeinsames Budget leider um einiges übersteigen. Allein für die Installation einer Fortigate Firewall (die, die ich schonmal hier hatte, die kaum funktioniert hat) wurden mir 2500€ in Rechnung gestellt. Die Firewall allein kostete ca. 650€, Lizenzen wurden keine installiert. Einrichtung der Firewall dauerte ca. 45 Minuten (wurde bei mir vor Ort gemacht), für jegliche Supportanfragen danach musste ich separat zahlen.

@The_Emperor:
Ich bin auch kein Fan vom Einsatz von 50€ China Hardware für solche Zwecke. Deshalb würde ich gerne etwas für 500-1200€ anschaffen, damit ich mir nicht unnötigen Ärger ins Haus bringe.

@drfuture:
Die vLANs müssen nicht sein, es kann ruhig auch physisch getrennt sein. Nur ich möchte eine Trennung haben weil ich in meinem Netzwerk niemanden vom anderen Büro drinhaben möchte.

 

[redbeard]

@jbs:

Wenn es dir um den reinen Support geht, ist Sophos UTM definitiv eine gute Wahl. Support bekommst du dort in Deutsch direkt vom Hersteller. Fairerweise muss ich sagen, dass der Support in den letzten 3 Jahren sehr wechselhaft war. Dadurch dass der normale Support und der Premium Support mehr oder weniger im selben Pott gelandet sind, hat man entweder sehr gute, sehr schnelle Antworten oder aber Oberflaechliches, teils Langsames erhalten (ersteres ueberwog). Aktuell _sollte_ das nicht mehr so sein, allerdings habe ich schon laenger nicht mehr mit Astaro/Sophos Internen gesprochen um das 100%ig verifizieren zu koennen.

 

[jbs]

Support ist für mich persönlich eher nebensächlich. Wenn etwas nicht funktioniert, klar, dann hätte man gern eine Lösung dafür. Nur ich werde bestimmt nicht andauernd an der Appliance rumbasteln, ich richte diese einmal ein und fahre danach nur noch die Updates (frei im Sinne von "Never touch a running system" - ich weiß, ist mitunter eine schlechte Idee) und Lizenzaktualisierungen.

Ich bin ein Mensch der so lange probiert und versucht, bis eine Lösung gefunden wird. Sollte das nicht möglich sein, wende ich mich an die Profis. Das größte Problem dabei ist meist der enorme Zeitaufwand der in der Recherche und dem Probieren entsteht. Nur ich will dabei ja auch was lernen.