soulseeker 13 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 Hi@all, ich hatte vor einer Weile schon einmal hier bezüglich einer Empfehlung eines Antispam-Gateways angefragt und tolle Empfehlungen erhalten (die ich hier letztlich auch eingeführt habe - NoSpamProxy), daher versuche ich es direkt nochmal mit einer Frage zum Thema VPN-Gateway, ich hoffe, das ist ok :). Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. Ipsec bekomme ich aber auch nicht performant ans Laufen und habe immer wieder Paketverluste. Dazu kommt noch - der Support ist sehr schlecht geworden, ich warte seit Wochen auf eine Rückmeldung bezüglich dieses Problems. Aus diesem Grund setzen wir derzeit für Client-VPN derzeit auch eine Sonicwall als virtuelle Appliance ein. Diese ist sehr performant, die Konfiguration allerdings nicht sehr einsteigerfreundlich und ich finde das ganze lizenztechnisch vergleichsweise teuer. Der Support ist auch eher naja. Ich schaue mir daher gerade eine Forcepoint NGFW an, damit komme ich aber momentan noch nicht wirklich zurecht. Die GUI gefällt mir nicht besonders gut und es ist (in meinen Augen) alles eher unintuitiv. Ich glaube, Forcepoint ist dafür aber auch eine der günstigsten Lösungen am Markt. Was habt ihr für Vorschläge? Ich suche primär eine Lösung, die ich für Client/Tunnel-VPN verwenden kann und evtl. auch mittelfristig auch als Edge-Firewall einsetzen kann. Die Sophos würde ich dann ggfs. nur noch als Proxy/rev. Proxy einsetzen. VPN-User haben wir momentan ca. 400 zu Spitzenzeiten und User insgesamt am Gateway vielleicht so 1000. Lohnt sich evtl. noch ein Blick in Richtung Fortinet? Was ist derzeit von Watchguard zu halten? Wir haben davon auch noch einen Cluster in Betrieb, aber da ist der Support schon lange abgelaufen und die Hardware ist auch alt - dient nur noch als Notnagel, falls mal gar nichts mehr geht. Danke, viele Grüße Marcel Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 vor 25 Minuten schrieb soulseeker: Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. Das kommt mir bekannt vor. Bei der XG hat man sehr viel an der SSL-VPN Performance geschraubt. Sophos ist sehr kulant, wenn ihr die XG testen wollt. Übrigens konnte man den Key kostenlos in eine XG-Lizenz konvertieren. 1 Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 30. März 2021 Autor Melden Teilen Geschrieben 30. März 2021 Ich habe jetzt schon öfters gelesen, dass Sophos wohl die UTM-Reihe auslaufen lässt. Ich bin trotzdem wenig erfreut über Sophos - wir haben die damals ja wegen der angepriesenen Performancewerte gekauft, hatten aber vor der Pandemie nur selten Bedarf für mehr als 50 Homoffice-User. Auf der anderen Seite ist das System wirklich einfach zu bedienen. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 (bearbeitet) Die XG Variante schreit nicht gerade vor Benutzerfreundlichkeit, im Gegensatz zur UTM. Wenn man die UTM vollumfänglich nutzt, wird einem Auffallen, dass einige Bedienfeatures fehlen, die man gewohnt ist. Das ist leider nicht das Einzige. Sophos hat hier in der Entwicklung viel falsch priorisiert. Man liest, dass viele nach einem Wechsel von UTM -> XG -> Fortigate wieder ganz zufrieden sind. bearbeitet 30. März 2021 von MurdocX Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 Hi, was kommt denn "nach dem VPN"? Ist das "nur" VPN -> RDP -> Terminalserver oder wird da "alles" im Tunnel gemacht? Ggfs. lohnt sich ein Blick bspw. in Richtung einer "Citrix Lösung". Gruß Jan Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 Ich mag die Watchguards. Der Clusterbetrieb ist unproblematisch und sie lassen sich gut über das Windows-Tool konfigurieren. In kleinen Umgebungen habe ich auch gerne ein Webinterface, aber bei grossen Installationen ist es praktisch, mehrere Änderungen auf einmal anwenden und bei Bedarf zurückrollen zu können. Bezüglich Leistung hatte ich nie Probleme, man darf aber in der Praxis mit nicht mehr als etwa der Hälfte der angepriesenen Leistung rechnen. Also genügend Reserve einberechnen. IPSec-VPN ist dank AES-Unterstützung schnell, bei SSL habe ich zu wenig Erfahrungen, da dort nie mehr als 20 Benutzer gleichzeitig verbunden sind. Den Content-Filter finde ich sehr gut, der Spamfilter ist hingegen unbrauchbar. Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 (bearbeitet) Hallo, ich nutze die OpenSource Lösung OPNSense. Neben der Stateful Firewall den VPN Server mit IKEv2 und Windows User Zertifikaten. Anmeldung in der Windows Domain erfolgt über einen Windows NPS / Radius Server. OPNSense bietet aber auch die Möglichkeit eines LDAP. Des Weiteren bietet OPNSense auch Module für Proxy / Reverse Proxy, High Availability, IDS/IPS etc. Wir hatten am Anfang bei einigen Home Office Usern Verbindungsprobleme (ständige Abbrüche). Lag am DS Lite der Internet Verbindungen. Nachdem die Clients die VPN Verbindung über IPv6 aufbauen haben wir keine Probleme mehr. Allerdings habe ich bzgl. der Performance für Deine Useranzahl keine Erfahrung. Evtl. im OPNSense Forum bzgl. der Anzahl VPN Verbindungen / Performance nachfragen. bearbeitet 30. März 2021 von winmadness Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 Hi, wir setzen, je nach Kunde Watchguard Fortigate als Firewall ein, aber meistens lösen wir das VPN mit Citrix Netscalern, Performance ist gut, Einsteigerfreundlich naja ... Gruß J Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 vor einer Stunde schrieb winmadness: ich nutze die OpenSource Lösung OPNSense OPNsense ist genial. Es unterstützt WireGuard, welches wesentlich eleganter (und schneller) als OpenVPN ist. In grossen Umgebungen setzt man aber meist auf ein Produkt mit Herstellersupport. Obwohl ich mit WireGuard noch keine schlechten Erfahrungen gemacht habe, würde ich mich nicht trauen, es für so viele Benutzer einzusetzen. Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 (bearbeitet) vor 21 Minuten schrieb mwiederkehr: Es unterstützt WireGuard Ich habe WireGuard ebenfalls getestet. Was mir nicht gefiel war die mangelhaffte Integration in Windows. Mit dem Windows eigenen VPN Client ist die Anbindung über IPSec / IKEv2 / Client Zertifikaten an die OPNSense problemlos möglich bearbeitet 30. März 2021 von winmadness Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 30. März 2021 Autor Melden Teilen Geschrieben 30. März 2021 Danke euch für die Anregungen. Watchguard fand ich bis zur Sophos auch immer ganz gut, aber im direkten Vergleich war Sophos eindeutig besser (zumindest bis zu den Performanceproblemen). Ich weiß aber auch nicht, was sich da in den letzten Jahren bei Watchguard so getan hat. Eine Citrix-Lösung setzen wir ebenfalls ein, aber so viele Ressourcen haben wir nicht, um alle Mitarbeiter damit zu versorgen. Fortigate ist mir schon öfters über den Weg gelaufen, ich glaube, das schaue ich mir mal näher an, OPNsense auch. Zitieren Link zu diesem Kommentar
JohnnyEx 1 Geschrieben 1. April 2021 Melden Teilen Geschrieben 1. April 2021 Wir setzen Fortigates in mehreren Standorten ein. Sowohl Site-to-Site als auch für Client-to-Site VPNs (IPsec und SSL). Konfigurationsmöglichkeiten finde ich gut und benutzerfreundlich. Die haben das "wir müssen auf einmal alle Home Office machen" sehr gut vertragen. Allerdings haben wir auch nicht 1000 VPN User gleichzeitig. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.