mikrocontroller.net

Forum: PC Hard- und Software Gute VPN Appliance gesucht


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Christobal M. (c_m_1)


Bewertung
0 lesenswert
nicht lesenswert
So, mein erster Tag im "Home Office" dank COVID19.

Alles eingerichtet, Firmennetzwerk geht über externen Versorger, 
Entwicklernetz über eine eigene VPN Appliance (Palo Alto PA150 oder so).

Problem ist, das unsere PA in unregelmäßigen Abständen die Verbindung 
verliert - ist kein Timeout aufgrund Inaktivität oder so, das Netz an 
sich ist auch stabil (kein WLAN dazwischen).
Es ist z.b. auch kein Problem eine SSH Verbindung vom BYOD Rechner im 
Büro nach Hause zum 24/7 Rechner stundenlang aufrecht zu halten - es 
muss die vergammelte Appliance sein.


Kennt jemand eine VPN Appliance die nicht scheisse ist? Etwas für ~20 
Mitarbeiter (Road Warrior)?

von Reinhard S. (rezz)


Bewertung
0 lesenswert
nicht lesenswert
Was sagt die IT-Abteilung?

von Christobal M. (c_m_1)


Bewertung
0 lesenswert
nicht lesenswert
Die sagt nichts.

von Jan H. (j_hansen)


Bewertung
0 lesenswert
nicht lesenswert
Wir haben eine Zyxel Zywall, die funktioniert stabil, bietet aber z.B. 
kein OpenVPN.

Sonst haben wir viel von Ubiquiti, damit sind wir recht zufrieden, 
nutzen aber die VPN-Funktionalität nicht.

Ich persönlich bin ja Open Source Fan. Also eine pfSense hinstellen, 
oder einen kleinen Server mit OpenVPN aufsetzen wäre auch eine 
Möglichkeit.

von TR.OLL (Gast)


Bewertung
0 lesenswert
nicht lesenswert
OpenVPN oder Wireguard

von Martin (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Wireguard

von homerun (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Openvpn muss man konfigurieren. Das ist nicht trivial.
Was mich stört dass openvpn eine eigene kleine Welt innerhalb des 
Betriebssystems ist, ein Flickwerk aus Patches.

Schutz gegen replay zum Beispiel.
Auch die firewall (iptables) ist ein Faktor. Es lohnt sich zudem einen 
separaten vpn Router einzusetzen beispielsweise via openwrt.
Auf einem Raspi3 sind 6MB/s drin.

Bei mir läuft es zwar störungsfrei, auch wenn die Verbindung 
zusammenbricht gibt es keinen Datenverlust. Allerdings kommt es mit 
einer neuen Client IP nicht klar. Dann muss der Dienst neu gestartet 
werden, mit Datenverlust.

von fckw (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Christobal M. schrieb:
> Alles eingerichtet, Firmennetzwerk geht über externen Versorger,
> Entwicklernetz über eine eigene VPN Appliance (Palo Alto PA150 oder so).

Ich hab mal nach der gegoogelt und die PA-200 (Nachfolger oder größeres 
Modell) gefunden. Diese Kiste scheint mir von der CPU her etwas schwach 
auf der Brust. Im Datenblatt steht "IPsec VPN throughput 50 Mbps" ohne 
Angabe des Algorithmus. Zum Vergleich: Ein Mikrotik CCR1009-7G-1C-1S+ 
macht 256 IPSEC-Tunnels mit AES-256-CBC+SHA256 mit 2693.6MBps. Ja, da 
ist offensichtlich doch ein wenig mehr Rechenleistung im Spiel. Kostet 
dafür auch nur ein Fünftel der PA-200.

Wenn Ihr einen unbenutzten PC greifbar habt, wäre der als OpenVPN-Server 
gut eingesetzt.

fchk

von TestX (Gast)


Bewertung
0 lesenswert
nicht lesenswert
server hardware nehmen und dort OPNSense installieren. Alternativ Sophos 
XG.

Mikrotik, Cisco, Juniper ist ohne tiefgreifende Kenntnisse nicht machbar 
für Eure IT.

von TR.OLL (Gast)


Bewertung
0 lesenswert
nicht lesenswert
homerun schrieb:
> Openvpn muss man konfigurieren. Das ist nicht trivial.
> Was mich stört dass openvpn eine eigene kleine Welt innerhalb des
> Betriebssystems ist, ein Flickwerk aus Patches.

Es gibt auch fertige installer.
https://github.com/angristan/openvpn-install

von Hmmm (Gast)


Bewertung
0 lesenswert
nicht lesenswert
LANCOM ist für IPsec-VPNs ebenfalls brauchbar, aber auch da gilt wie bei 
allen professionellen Netzwerkprodukten:

TestX schrieb:
> Mikrotik, Cisco, Juniper ist ohne tiefgreifende Kenntnisse nicht machbar
> für Eure IT.

von Stephan (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Für LanCom gibts die Konfigurationssoftware mit Assi zum erstellen der 
Ini-Dateien. Damit sind 20 Clients in wenigen Minuten erstellt.

von Eric (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Cisco ASA ist ueber ASDM selbst fuer Laien sehr leicht konfigurierbar. 
AnyConnect, IP-Sec oder SSL-VPN - alles in wenigen Minuten eingerichtet. 
Wenn es kostenlos sein soll: OpenVPN oder Wireguard

PS: Ich konfiguriere die ASAs lieber ueber die CLI - ASDM ist mir zu 
bunt.

von A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
fckw schrieb:
> Im Datenblatt steht "IPsec VPN throughput 50 Mbps" ohne
> Angabe des Algorithmus.

Crypto-Acceleration in Hardware ist dabei klar im Vorteil.

von HiHo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Christobal M. schrieb:
> So, mein erster Tag im "Home Office" dank COVID19.

Welche Daten fleißen denn? PersDat, eingestufte Daten? Braucht ihr eine 
BSI Zulassung?

von A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
fckw schrieb:
> Zum Vergleich: Ein Mikrotik CCR1009-7G-1C-1S+ ... Kostet
> dafür auch nur ein Fünftel der PA-200.

Wobei eine Palo Alto Firewall in der Funktionalität schon etwas anderes 
ist, als ein Mikrotik Router. Aber das bringt natürlich nichts, wenn man 
sie bloss als VPN-Router nutzt.

: Bearbeitet durch User

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.