monstermania 53 Geschrieben 9. Oktober 2014 Autor Melden Teilen Geschrieben 9. Oktober 2014 (bearbeitet) Moin, ich hätte hier wohl mal täglich über die Performance-Lags unserer Astaro/Sophos UTM jammern sollen. Auch dass Neustarts bei der Astaro/Sophos im gleichen Zeitraum wesentlich häufiger nötig waren als bei der SP. Ansonsten finde ich es aufgrund deiner Beschreibung erstaunlich welche Kompromisse man eingehen kann. Wieso, das ganze Leben ist doch ein Kompromiss, oder? Warum kauft sich jemand einen Skoda und keinen VW oder Audi? Nun evtl. einfach, weil Ihm die angebotene Leistung ausreicht bzw. die Preis/Leistung stimmt! Seit April setzten wir jetzt die SP ein und ich habe die Erfahrungen damit geschildert. Davor hatten wir einige Jahre die Astaro/Sophos im Einsatz. Wenn ich mir jetzt die Beschwerden der User in den letzten Wochen ansehe ist vieles mit der SP auf jedem Fall besser geworden (viel Besser als es im Jahr davor je mit unserer Astaro/Sophos war!). Klar, mit einer neuen Sophos UTM wäre es mit der Umstellung viel einfacher gewesen einfach weil man das Produkt schon viele Jahre kennt. Und klar, eine Astaro/Sophos bietet teilweise auch einen wesentlich größeren Funktionsumfang als die SP (den wir eh nie genutzt haben!). Es ist wie immer eine Frage des Geldes. Die Securepoint ist schon um einiges günstiger als eine Sophos, dafür kann die Sophos bedeutend mehr. Auch das Monitoring ist hier besser, sobald ein ereignis eintritt wird man per Mail benachrichtigt, wenn man das will. Auch dass lässt sich lt. der Aussage unseres Fachhändlers mit einer SP umsetzten. Aber eben nicht direkt über die UTM, sondern mit dem Einsatz eines zusätzlichen Logservers mit dem Securepoint Operation Center (SOC). Wir bekommen mittlerweile ein wöchentliches Reporting per Mail (wie seinerzeit auch unter Astaro/Sophos). Nur sind eben die Reportings nicht ganz so tiefgehend wie man es bei Astaro/Sopos gewohnt war. Fakt: Für das Geld was wir für die SP UTM Clusterlösung insgesamt investiert haben hätten wir bei Sophos gerade mal eine einzelne HW-UTM mit Basis-Lizenzen bekommen. Zumindest ansehen sollte man sich die SP UTM ruhig mal. Und dann kann man immer noch entscheiden, ob Sie funktional ausreicht oder ob man lieber in eine andere Lösung investiert. Gruß Dirk bearbeitet 9. Oktober 2014 von monstermania Zitieren Link zu diesem Kommentar
funcarver 10 Geschrieben 9. Oktober 2014 Melden Teilen Geschrieben 9. Oktober 2014 Nunja, bei der Sophos bekommt jeder User 2x täglich eine Mail wenn Mails gefiltert wurden. In der Mail ist ein Link wo die nicht ausgelieferte Mail freigegeben werden kann oder der Absender der Whitelist hinzu gefügt werden kann. Bei der Securepoint gibt es das nicht. Egal, du bist mit der Securepoint zufrieden, das ist die Hauptsache. Ich fahre mit der Sophos besser, so hat jeder eben andere Ansprüche. :) Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 9. Oktober 2014 Autor Melden Teilen Geschrieben 9. Oktober 2014 Nunja, bei der Sophos bekommt jeder User 2x täglich eine Mail wenn Mails gefiltert wurden. In der Mail ist ein Link wo die nicht ausgelieferte Mail freigegeben werden kann oder der Absender der Whitelist hinzu gefügt werden kann. Bei der Securepoint gibt es das nicht. Egal, du bist mit der Securepoint zufrieden, das ist die Hauptsache. Ich fahre mit der Sophos besser, so hat jeder eben andere Ansprüche. :) Moin, wir haben für Email-AV/Spam eh nie die Astaro/Sophos genutzt (Performance der UTM). Dafür setzten wir seit vielen Jahren ein extra Mailgateway mit Spam/AV ein. Auf dem Exchange läuft dann noch Forefront, so dass wir doppelten Spam/Virenschutz haben. Nach der vorgesehenen Umstellung auf Ex2013 wollen wir dann aber mit der SP und unserem Mailgateway für doppelten Spam/AV Schutz arbeiten. Schauen wir mal, wie das später funktioniert. Ich werde berichten! Gruß Dirk Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. Oktober 2014 Melden Teilen Geschrieben 9. Oktober 2014 Genau die Funktion ist ja nun wirklich was, was eigentlich niemand braucht. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 9. Oktober 2014 Melden Teilen Geschrieben 9. Oktober 2014 Ich bin ein Freund von Hardwarelösungen in dem Bereich. Daher haben wir die Sophos UTM von einem leistungsstarken Partner gemietet incl. Full Service (mit 6 Stunden vor Ort Austausch), in dem auch ein Upgrade der Hardware enthalten ist, für den Fall das die zur Zeit eingesetzte aus welchen Gründen auch immer nicht mehr genug Performance hat. Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 9. Oktober 2014 Melden Teilen Geschrieben 9. Oktober 2014 Das kärt nun aber immernoch nicht die Fragen die hier im Raum stehen und was Securepoint dazu sagt.Und die Anbindung der beiden Nodes fände ich interessant (ob physikalisch durchgereicht oder virtuell..?). Die technischen Probleme mit dem VPN konnten sich nur durch einen Reboot des Nodes lösen lassen?Konnte man keine Dienste neustarten? Gleiches gilt vielleicht für die PPoE Verbindung; Interface neustarten reicht da nicht? Userle trifft's genau. Nach den zwei längeren Beiträgen würde ich als "Hilfesuchender" der auf diesen Thread stößt in der gleichen Situation nicht gerade zu SP greifen. Aber wie immer ist das nicht Thema. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 9. Oktober 2014 Autor Melden Teilen Geschrieben 9. Oktober 2014 Moin, klar sagt SP etwas dazu... Bei der fehlenden PPoE-Verbindung hätte es z.B. lt. Aussage von SP gereicht die PPoE-Konfiguration in der SP-Weboberfläche aufzurufen und einfach nochmal zu speichern. Dann wird der entsprechende Dienst neu gestartet. Jetzt wissen wir das auch...:rolleyes: Nur kann man im Problemfall eben nicht lange analysieren, wenn das Unternehmen ohne Internet dasteht. Also war der Neustart der UTM die schnelle Lösung. Eigentlich gehören solch elementare Dienste auf einer UTM sowieso per Watchdog überwacht. Sobald der Dienst nicht mehr reagiert oder hängt muss die UTM von sich aus den Dienst neu starten! Lt. Aussage von SP arbeiten Sie auch 'schon' daran. Und auch bei der VPN-Problematik war es ähnlich. User ruft am Freitag um 14 Uhr an, dass er sich zwar Einwählen kann, aber er auf keinen Server zugreifen kann. Zunächst sucht man das Problem dann natürlich beim User zumal gleichzeitig mehrere andere User problemlos per VPN arbeiten. Nach Reboots des User-Laptops, Prüfung der Logs und mehrerer TeamViewer Session's einfach mal die UTM rebootet. Durch den Hot-Spare merken die User im Unternehmen nichts davon. Einzig die angemeldeten VPN-User fliegen natürlich raus. Nach dem Reboot der UTM konnte dann auch der eine User wieder problemlos per VPN arbeiten. Klar, schön ist das nicht. Liest sich aber dramatischer als es im Endeffekt war. Mit der alten Astaro/Sophos hatten wir täglich Performanceprobleme die uns behindert haben. Ich bin ein Freund von Hardwarelösungen in dem Bereich. Daher haben wir die Sophos UTM von einem leistungsstarken Partner gemietet incl. Full Service (mit 6 Stunden vor Ort Austausch), in dem auch ein Upgrade der Hardware enthalten ist, für den Fall das die zur Zeit eingesetzte aus welchen Gründen auch immer nicht mehr genug Performance hat. Ja, auch darüber haben wir lange intern diskutiert. Aber selbst mit Top-Premium Support (der übrigens auch bei allen Herstellern/Partnern entsprechend Geld kostet) wären uns mehrere Stunden pot. Ausfallzeit zu viel gewesen. Wir haben mit unsere alten Astaro im letzten Jahr täglich Performance-Lags gehabt und haben da erst wirklich gemerkt, wie wichtig mittlerweile das Internet für alle Bereiche unseres Unternehmens geworden ist. Gerade der Vertrieb/Versand ist auf eine nahezu 100ige Verfügbarkeit in der Kernzeit von 7-17 Uhr angewiesen (Speditions- und Zollabwicklung, usw.). Genau daher haben wir uns für eine Hot-Standby-Lösung mit 2 dedizierten Servern entschieden. Als nächstes wollen wir jetzt noch eine Fallbackleitung einrichten, damit im Falle eines Ausfalls unserer DSL-Leitung zumindest das Internet verfügbar bleibt. Leider wird es auf Grund der örtlichen Gegebenheiten wohl nur eine UMTS/LTE-Lösung werden. Das Ganze ist halt immer die Suche nach dem besten Kompromiss ;) Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 9. Oktober 2014 Melden Teilen Geschrieben 9. Oktober 2014 Sag mal, rein aus Interesse: was hattet ihr denn für Hardware? Die V8 war ein Problem, mit vielen Astaros, selbst 525er hatten daran zu knabbern. Und dieser Misch bei euch... (Forefront, kein AV/Spamscanning) :-/ Irgendwie komisch, kenne ich so nicht. Eher im Gegenteil: Insellösungen wurden durch die UTM ersetzt. Aber Hauptsache ist ja, dass es läuft. So im Großen und Ganzen :D Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 9. Oktober 2014 Autor Melden Teilen Geschrieben 9. Oktober 2014 Moin, wir hatten eine ASG220 (Rev2) mit 1 GB RAM. Daher war bei V8 Schluss, da die REV2 nicht für die 9'er freigegeben war. Wir lassen bereits seit vielen Jahren SMTP durch ein internes Mailgateway nach SPAM/AV filtern. Als 2. Stufe kam dann seit dem Exchange 2007 noch Forefront für Exchange dazu. Entsprechend hatten wir auf der Astaro auch nie ein Lizenz für Mailverkehr (Spam/AV). Die Mailfilterung mit 2 unabhängigen Produkten hat sich aus unserer Sicht sehr bewährt. Funktioniert so wie sie ist seit vielen Jahren problemlos. Was das eine Produkt mal was durchlässt bleibt es i.d.R. dann im anderen Produkt hängen. Spam und Viren per Mail sind kein Thema für uns. Da Forefront für Exchange 2015 ausläuft und wir ohnehin in den nächsten Wochen auf Exchange 2013 migrieren wollen werden wir dann die SP als 1. Stufe für AV/Spam nutzen. Bin mal gespannt, wie sich die SP dabei bewährt. Wir werden dann ja schnell sehen, wie viel das interne SMTP-Mailgateway dann noch zu tun bekommt wenn die SP davor hängt. Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 10. Oktober 2014 Melden Teilen Geschrieben 10. Oktober 2014 (bearbeitet) Uff... mit Verlaub, nach deinen Beschreibungen sehe ich da weniger ein Problem bei Sophos (bis auf die angesprochene Pechsoftware V8), sondern eher beim sinnvollen Handeln und dem Dienstleister. Die Hardware wurde damals schon upgegraded, der Zeitraum für den (vor-)letzten rabattierten Hardwareaustausch anscheinend verpasst, und zudem nicht die V9 getestet (nicht empfohlen, aber unterstützt bei 1GB Ram) die aber ein deutlich verbessertes Performance Handling (vorallem was RAM und Swap angeht) bietet. Dann noch die derzeiten SPOF. Ich äußere mich am Besten nicht mehr dazu - auch weil ich fairer Weise eure Struktur nicht kenne - und hoffe dass SP manche rudimentären Dinge auf die Reihe bekommt und ihr eure Kosten (die jetzt vielleicht noch entstehen) reinbekommt.Das ist keineswegs negativ oder als Angriff gemeint, aber ich merke selber (nachdem ich selbst von einem Dienstleister in ein Unternehmen gewechselt bin), dass unsere damalige Dienstleistung was z.B. UTMs angeht einfach Top war/ist. Da klingt eure Struktur nichtmal ansatzweise kompliziert. Auch was WLAN und so angeht ;) Aber nochmal zur Ausfallsicherheit PPoE. Auch mit zwei DSL Leitungen (oder einer langsameren "günstigen" SDSL) wird es bei Active-Passive keinen Umschwenk auf den zweiten Node geben.In Zusammenhang mit dem Reporting (ADSL01 bzw. ADSL02 down...) reicht dies ja schon meistens, außer es ist die Leitung weg, worüber die Mails reinkommen, dann ist doof ;-) Habt ihr mal im Cluster versucht was passiert? Würde mich echt interessieren.Viele Grüße Dan bearbeitet 10. Oktober 2014 von heuchler Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 10. Oktober 2014 Autor Melden Teilen Geschrieben 10. Oktober 2014 Moin Dan, gut möglich, dass uns der DL im Bereich Sophos sehr schlecht beraten hat. Eigentlich hatten wir für die Budgetplanung 2014 bereits die Umstellung auf eine aktuelle Sophos-Version geplant. Allerdings mit eigener HW und entsprechendem Mission-Critical-Support der HW. Der DL war darüber auch informiert. Bei den finalen Angebotserstellung kam dann aber für uns sehr überraschend, dass wir nicht die Sophos 100 IP-Version benötigen, sondern die 250 IP-Version. Das war dann kostenmäßig bei der GF nicht durchzubekommen. Als Alternative sind wir dann auf SP gekommen. Der Rest findet sich im Fred... Mit dem Fallback der DSL-Leitung missverstehen wir uns irgendwie ;). Es geht ja nicht darum, dass der Cluster bei Ausfall der DSL-Leitung umschaltet, sondern dass die jeweils aktive UTM bei Ausfall der PPoE-Verbindung auf die Fallbackleitung umstellt. Damit wäre dann zumindest das Internet noch verfügbar. Wir hatten gerade vor einigen Wochen mal wieder einen 2 stündigen Ausfall bei unserem Anbieter. Leider gibt es hier im Gewerbegebiet nur einen örtlichen Telefonanbieter, so dass wir für die Fallbackleitung wohl auf UMTS/LTE ausweichen müssen. Das Clustering der SP funktioniert problemlos. Die User merken von der Umstellung nichts, sofern Sie nicht per VPN im Netz hängen :). Ist gerade bei Updates der UTM echt praktisch, da man diese jetzt relativ problemlos während der normalen Arbeitszeit machen kann. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.