[gelöst] Welche Firewall?

  • Hallo zusammen,


    vor längerer Zeit hatte ich schon einen ähnlichen Thread geöffnet (alter Firewall Thread).


    Im aktuellen Fall geht es nicht um eine "private" Firewall sondern für ein kleines Unternhemen das einem Freund von mir gehört. Es sind ca. 35 PCs im Netzwerk vorhanden und diese werden von verschienden Personen bedient (Werkstatt-PCs). Dann gibt es noch einig mobile Geräte wie iPhones und iPads die über WLAN angebunden sind.
    Derzeit gibt es an dem Standort keine vernünftige Internetverbindung daher musste ich bei der Telekom einen Hybrid-Anschluss bestellen. Da dieser Hybrid-Anschluss nur mit dem Telekom-Router (Speedport) funktioniert muss die Firewall dahinter hängen. Ich würde dann entweder alle Ports forwarden oder generell zu einer bestimmten IP alles durchlassen falls der Speedport das kann.


    Um was es mir bei der Firewall geht wäre folgendes:


    - ca. 12 Remote-Mitarbeiter mit VPN Clients auf einem PC
    - ca. 4 Remote-Mitarbeiter mit VPN Clients iPhone und iPad hier soll wenn möglich der integrierte VPN Client genutzt werden
    - ansonsten muss die Firewall fünf verschiedene Netze routen später mal mehr


    Meine Frage wäre an dieser Stelle baue ich eine eigene Firewall mittels IPFire auf oder greife ich auf einen Hersteller wie Checkpoint/Cisco etc. zurück. Falls eine eigen gebaute Firewall in Frage kommt muss natürlich die Hardware so ausgelegt sein das die Remote Mitarbeiter per VPN vernünftig arbeiten können.
    Die nächste Sache hat jemand Erfahrungswerte mit dem Hybrid-Anschluss der Telekom und VPN Einwahl? Ich habe gelesen das es hier zu Anfang sehr viel Probleme gab, aber ab März 2016 eine neue Firmware für den Speedport kam und damit die Probleme gelöst wurden. Können sich so viele Personen überhaupt über den Speedport zugreifen? Er muss zwar nur einen Forward auf die richtige Firewall machen aber eventuell sind hier Probleme zu erwarten?
    Mir wäre natürlich am liebsten einen Standleitung und dahinter dann direkt eine Firewall. Der Anschluss ist aber so teuer das es derzeit im IT Budget noch nicht drin ist.


    Eventuell habe ich auch noch was vergessen dann als her damit :)


    Vorweg danke für eure Hilfe!

  • ipfire.org
    :)

    vdr => p8b75-m lx / pentium g2020t / 8 GB Ram / zotac gt 630 / cine S2 V5.5 / 60 gb ocz ssd / 640 gb wd scorpio blue / display noritake 256x64-3900 / chenbro PC71023 gehaeuse / yavdr stable / softhddevice


    spielsystem => p8b75-m le / intel core i3 3220T / ubuntu lts 14.04 / 16 GB ram / zotac gt 630 / cine S2 V6.2 / yavdr stable pakete / softhddevice / pulseaudio+alsa


    spielwiese => Zotac Zbox ID45 / 120 GB mSATA / via Satip => Octopus Net / yavdr stable / softhddevice

  • Teste mal das hier: https://www.sophos.com/de-de/t…lyses.aspx#utmhomeedition
    (UTM Home Edition)


    Kannst mal alles testen bevor du eine Lizenz kaufen musst, eventuell reicht ja auch die Essentials. Läuft bei mir zuhause seit Jahren virtualisiert (vwmare). M. E. tolle Software!!


    Bei deinem Speedport krieg ich da schon eher Bauchschmerzen. Aber das wirst du vermutlich testen müssen ob die Bandbreite und die Leistung des Gerätes das hergeben. Von einem privaten Anschluss her weiß ich dass es super funzt, aber das kann man natürlich nicht mit dem vergleichen was du vorhast.


    Gruß - Markus

    Streamingclient 1:
    [-] RaspiVDR MLD 5.x an Panasonic TV mit CEC :D


    Streamingclient 2:
    [-] RaspiVDR MLD 5.x - Samsung TV mit CEC


    Streamingserver:
    [---] Proxmox Server PVE7
    [- ] MLD 5.x Server - OctopusNet 4 Tuner

  • Wir haben früher in einer Firma mehrere Watchguard Fireboxen genutzt. Die gibt es zwar nicht mehr, aber neue Modelle. Vielleicht wäre ja die T30 was:


    http://www.watchguard.com/wgrd…ces-compare/216/3592/3593


    Ist natürlich kein Schnäppchen und man brauchte glaub ich eine jährliche Lizenz. Aber genau weiß ich das nicht mehr.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

  • IPfire wurde von mir schon in diversen kleineren Klitschen installiert und die Kundschaft ist damit sehr zufrieden. Läuft halt ohne groß Stress zu machen. Allerdings wage ich zu bezweifeln, dass Remote-Mitarbeiter über VPN mit einer Anbindung an einen Hybridanschluss glücklich werden. Da nützt dann auch keine fette Kiste hinter dem Router. Der Spass fängt meines Erachtens erst mit einer 50/10er Leitung richtig an. Aber probieren kann man das ja mal.

  • Wie war das noch mit dem Routerzwang...


    Ansonten: MarkusH +1.


    Bei der Essentials sind doch bestimmt nur 50 IPs zugelassen, wie bei der Home auch? Das dürfte eng werden. VPN geht damit glaub ich auch nicht. Ich hab die https://utm-shop.de/utm/utm-ha…0-totalprotect-plus-sg230


    Und die reicht bei 100+ Leuten dicke (Auslastung 5-15 %). Insofern würde ich die vorschlagen: https://utm-shop.de/utm/utm-ha…ct-sg125?number=SB1C1CSEU


    Eventuell sogar eine Nummer kleiner (außer natürlich, diese 35 Werkstatt-PCs sind dauerhaft mit irgendwelchen externen Teiledatenbank verbunden oder so, oder es sind echt viele Außendienstler die ständig Traffic erzeugen - wobei, solange der Firewall VPN-Durchsatz höher ist als der eigene Upload am Standort sollte ja kein Flaschenhals entstehen? Das weiss ich ehrlich gesagt nicht, ob man die VPN-Durchsatz-Angaben einfach so mit dem eigenen Upload gegenrechnen kann 1:1).


    Ein WLAN-Controller ist so wie ich das sehe auch bei der SG125 integriert, also nur noch ein paar AP15 Access Points dazu und fertig. WLAN Roaming (nennt man das so? Ich meine sich im WLAN von einem AP zum Nächsten bewegen ohne dass die Verbindung abbricht) geht damit einwandfrei. Ein Kunden-WLAN (Voucher/ticketbasiert) ist auch im Handumdrehen eingerichtet mit einem professionellen Aussehen.


    Allerdings würde ich nicht zwingend in dem Shop da bestellen, sondern "lokal" bei einem Sophos Partner. Und dann auch gleich ca. 1500,- für die Einrichtung einplanen (1,5 Mann-Tage).


  • Ansonten: MarkusH +1.


    Bei der Essentials sind doch bestimmt nur 50 IPs zugelassen, wie bei der Home auch? Das dürfte eng werden. VPN geht damit glaub ich auch nicht.


    +2


    Doch, VPN geht mit der Sophos UTM Home Lizenz.


    Munter bleiben, Rossi

  • Und die Anzahl der IPs sind auch nicht beschränkt wie ich grad sehe: https://secure2.sophos.com/de-…al-firewall/download.aspx.


    Für Securepoints bin ich zertifiziert, empfehle diese aber nicht (mehr) da mir das Lizenzmodell widersagt. Wenn ich mich recht erinnere wird dort nach Benutzer bzw. IPs lizenziert (eine IP mit der die Firewall in Kontakt kommt = eine Lizenz, oder so ähnlich). Wenn viele Mitarbeiter im Haus sind, die das WWW vielleicht nur mal gelegentlich brauchen (z. B. ein produzierendes Unternehmen wo viele primär eben nicht am Rechner sitzen), da kann das schnell ins Geld gehen. Da macht ein "User-unbeschränktes" Gerät mehr Sinn, dass dann nur durch den eigenen Durchsatz limitiert ist. Wird bei einer Werkstatt wohl auch der Fall sein? Daher vote ich immer noch für eine kleine Sophos UTM mit FullGuard Bundle / TotalProtect (oder ohne, sprich Essentials, falls GENAU bekannt ist dass da nix von gebraucht wird).


    Bloß keine Sophos "XG". Noch nichts Gutes von gehört.

  • IPfire wurde von mir schon in diversen kleineren Klitschen installiert und die Kundschaft ist damit sehr zufrieden. Läuft halt ohne groß Stress zu machen. Allerdings wage ich zu bezweifeln, dass Remote-Mitarbeiter über VPN mit einer Anbindung an einen Hybridanschluss glücklich werden. Da nützt dann auch keine fette Kiste hinter dem Router. Der Spass fängt meines Erachtens erst mit einer 50/10er Leitung richtig an. Aber probieren kann man das ja mal.


    Hi,


    mir persönlich würde IP Fire auch gut liegen. Kannst du ein Mainboard empfehlen wo ein Corei5 drauf geht und vier Netzwerkarten reinpassen? Oder was verwendest du bei den Klitschen :-).

  • Mal so generell gibt es dort bisher gar keine Firewall sondern nur den Speedport von daher ist alles besser als das jetzige. Der Aufwand für die Einrichtungen würde wegfallen da ich das übernehmen würde. Mir geht es erstmal um die Hardware oder Appliances die möglich wären. Habe schon eine passende Checkpoint angefragt (hatte ich beruflich mit zu tun) allerdings übersteigt das vermutlich das vorhandene Budget.
    Von daher glaube ich wäre die IPFire Lösung sicher nicht die schlechteste. Wenn ich die Hardware selber zusammenstecke komme ich da auf ca. 600€.

  • Oder was verwendest du bei den Klitschen :)


    Bis so max. 10-15 Mann wird gerne eine APU genommen. Die rennen völlig störungsfrei. Kommt halt auch drauf an, was man mit der Wall machen will. Bei größeren Klitschen rennt das nebenbei als XEN-Domu auf irgendeiner XEON Hardware, oder auf nem dedizierten Rechner mit Intel-Netzwerkkarten und nem gescheiten Zufallszahlengenerator, falls das System nix bereitstellt. Ansonsten kann ich diese Seiten im IPfire-Forum empfehlen, da gibts genug Hardwarevorschläge.

  • Ich verwende auch schon seit vielen Jahren IPFire.
    Hardware IPFire Duobox. Verbraucht bei mir Idle 7 Watt.


    Mit den APUs von PCEngines kann ich mich nicht so recht anfreunden, weil mir das Kühlkonzept nicht gefält. Man muss spezielle Gehäuse verwenden, die mit der CPU verbunden sind. Außerdem gibts nur serielle Console, das nervt manchmal auch.


    Wenns kein IPFire sein soll ist pfSense noch einen Blick wert.

    SAT Hardware: Gibertini SE75 | DuraSat Dur-Line UK-24 | DD OctopusNET V2 Rack (Firmware 1.1.6) mit MaxS8
    Server: Asus M5A78L-M/USB3 | Sempron 145@2Cores | 8GB ECC RAM | PicoPSU | Debian Stretch 64Bit | VDR 2.4.5 mit SAT>IP, epgsearch, live, markad
    Clients: RaspberryPI 2/3 | Yocto Poky Linux (Openembedded) 3.2+git | Linux Kernel 5.4.72 | VDR 2.4.5 mit SAT>IP, RpiHDDevice, SkinDesigner, Remote, Extrecmenu, Femon, Mlist


    R.I.P: Gigaset M740 mit VDR von open7x0.org

  • und nem gescheiten Zufallszahlengenerator, falls das System nix bereitstellt.


    Kann das ein Intel Core i5 erledigen?

  • Hi !

    Ich verwende auch schon seit vielen Jahren IPFire.
    Hardware IPFire Duobox. Verbraucht bei mir Idle 7 Watt.


    Mit den APUs von PCEngines kann ich mich nicht so recht anfreunden, weil mir das Kühlkonzept nicht gefält. Man muss spezielle Gehäuse verwenden, die mit der CPU verbunden sind. Außerdem gibts nur serielle Console, das nervt manchmal auch.


    Wenns kein IPFire sein soll ist pfSense noch einen Blick wert.

    Ich setze das seit Jahren ein..... zuerst ein ALIX dann hatte ich mal ein Commel Board am Start und mitlerweile wieder eine APU... ich hab mir dann was basteln lassen damit das ganze in ein 19" Rack passt (Alix und APU 1HE und Commel 2 HE)
    Bei der aktuellen APU habe ich das Teil vom Alix ausgegraben (die Frontblende passt ja fuer das APU und fuers Kuehlen hab ich mit auf den 19" einschub grad noch einen metallblock eingebaut wo die CPU draufliegt => also wird alles vom Gehaeuse "aufgefangen" .... das Ganze wird durch ein CF635 Display, ne Funkuhr und ne Quadmouse "abgerundet":)
    Die Konsole nervt schon, aber nur wenn du ein Problem beim start hast :) das hab ich auch geloest.... vom Raum mit dem router liegt ne serille Leitung in mein "buero" und da haengt sie an ner seriellen schnittstelle :)


    Gruss Gerd

    vdr => p8b75-m lx / pentium g2020t / 8 GB Ram / zotac gt 630 / cine S2 V5.5 / 60 gb ocz ssd / 640 gb wd scorpio blue / display noritake 256x64-3900 / chenbro PC71023 gehaeuse / yavdr stable / softhddevice


    spielsystem => p8b75-m le / intel core i3 3220T / ubuntu lts 14.04 / 16 GB ram / zotac gt 630 / cine S2 V6.2 / yavdr stable pakete / softhddevice / pulseaudio+alsa


    spielwiese => Zotac Zbox ID45 / 120 GB mSATA / via Satip => Octopus Net / yavdr stable / softhddevice

  • Kann das ein Intel Core i5 erledigen?


    Ja

  • :) klar... aber mir isses lieber so


    Gruss Gerd

    Bilder

    vdr => p8b75-m lx / pentium g2020t / 8 GB Ram / zotac gt 630 / cine S2 V5.5 / 60 gb ocz ssd / 640 gb wd scorpio blue / display noritake 256x64-3900 / chenbro PC71023 gehaeuse / yavdr stable / softhddevice


    spielsystem => p8b75-m le / intel core i3 3220T / ubuntu lts 14.04 / 16 GB ram / zotac gt 630 / cine S2 V6.2 / yavdr stable pakete / softhddevice / pulseaudio+alsa


    spielwiese => Zotac Zbox ID45 / 120 GB mSATA / via Satip => Octopus Net / yavdr stable / softhddevice

  • Hallo zusammen,


    ich habe mal was zusammengestellt. Was meint Ihr dazu?


    Code
    Mainboard	ASUS H170-PLUS D3
    CPU	Intel® Core™ i5-6400
    RAM	Kingston HyperX DIMM 8 GB DDR3-1333 Kit
    SSD1	Samsung MZ-750120BW 120 GB
    SSD2	Samsung MZ-750120BW 120 GB
    LAN1	Intel® PRO/1000 GT Desktop Adapter (Intel® 82541PI)
    LAN2	Intel® PRO/1000 GT Desktop Adapter (Intel® 82541PI)
    LAN3	Intel® Gigabit CT Desktop Adapter (Intel® 82574L)
    LAN4	Intel® Gigabit CT Desktop Adapter (Intel® 82574L)
    Netzteil be quiet! STRAIGHT POWER 10 400W


    Die beiden SSD Festplatten würde ich im RAID1 bezüglich Ausfallsicherheit laufen lassen. Ist die Festplattengröße ok oder zu groß? Bei den Netzwerkkarten habe ich den Chipsatz 82541PI hier nicht gefunden gehe aber davon aus das dieser läuft?


    EDIT:
    Könnte ich nicht auch 4 x Intel® Gigabit CT Desktop Adapter verwenden? Das Board hat 2x PCIe x1 und 2x PCIe x16.

  • Ein 400W Netzteil und ein Gaming-Motherboard sind da doch eigentlich etwas überdimensioniert - der Rechner dürfte unter Vollast kaum über 100W kommen...
    Es gibt übrigens auch Netzwerkkarten mit 2 oder mehr Gigabit-Ethernet Ports für PCIe 4x aufwärts: https://geizhals.de/?cat=nwpcie&xf=1030_Intel~752_4#xf_top - dann könnte man auch ein kleineres, preiswerteres Mainboard nehmen.

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!