So, mein erster Tag im "Home Office" dank COVID19. Alles eingerichtet, Firmennetzwerk geht über externen Versorger, Entwicklernetz über eine eigene VPN Appliance (Palo Alto PA150 oder so). Problem ist, das unsere PA in unregelmäßigen Abständen die Verbindung verliert - ist kein Timeout aufgrund Inaktivität oder so, das Netz an sich ist auch stabil (kein WLAN dazwischen). Es ist z.b. auch kein Problem eine SSH Verbindung vom BYOD Rechner im Büro nach Hause zum 24/7 Rechner stundenlang aufrecht zu halten - es muss die vergammelte Appliance sein. Kennt jemand eine VPN Appliance die nicht scheisse ist? Etwas für ~20 Mitarbeiter (Road Warrior)?
Wir haben eine Zyxel Zywall, die funktioniert stabil, bietet aber z.B. kein OpenVPN. Sonst haben wir viel von Ubiquiti, damit sind wir recht zufrieden, nutzen aber die VPN-Funktionalität nicht. Ich persönlich bin ja Open Source Fan. Also eine pfSense hinstellen, oder einen kleinen Server mit OpenVPN aufsetzen wäre auch eine Möglichkeit.
Openvpn muss man konfigurieren. Das ist nicht trivial. Was mich stört dass openvpn eine eigene kleine Welt innerhalb des Betriebssystems ist, ein Flickwerk aus Patches. Schutz gegen replay zum Beispiel. Auch die firewall (iptables) ist ein Faktor. Es lohnt sich zudem einen separaten vpn Router einzusetzen beispielsweise via openwrt. Auf einem Raspi3 sind 6MB/s drin. Bei mir läuft es zwar störungsfrei, auch wenn die Verbindung zusammenbricht gibt es keinen Datenverlust. Allerdings kommt es mit einer neuen Client IP nicht klar. Dann muss der Dienst neu gestartet werden, mit Datenverlust.
Christobal M. schrieb: > Alles eingerichtet, Firmennetzwerk geht über externen Versorger, > Entwicklernetz über eine eigene VPN Appliance (Palo Alto PA150 oder so). Ich hab mal nach der gegoogelt und die PA-200 (Nachfolger oder größeres Modell) gefunden. Diese Kiste scheint mir von der CPU her etwas schwach auf der Brust. Im Datenblatt steht "IPsec VPN throughput 50 Mbps" ohne Angabe des Algorithmus. Zum Vergleich: Ein Mikrotik CCR1009-7G-1C-1S+ macht 256 IPSEC-Tunnels mit AES-256-CBC+SHA256 mit 2693.6MBps. Ja, da ist offensichtlich doch ein wenig mehr Rechenleistung im Spiel. Kostet dafür auch nur ein Fünftel der PA-200. Wenn Ihr einen unbenutzten PC greifbar habt, wäre der als OpenVPN-Server gut eingesetzt. fchk
server hardware nehmen und dort OPNSense installieren. Alternativ Sophos XG. Mikrotik, Cisco, Juniper ist ohne tiefgreifende Kenntnisse nicht machbar für Eure IT.
homerun schrieb: > Openvpn muss man konfigurieren. Das ist nicht trivial. > Was mich stört dass openvpn eine eigene kleine Welt innerhalb des > Betriebssystems ist, ein Flickwerk aus Patches. Es gibt auch fertige installer. https://github.com/angristan/openvpn-install
LANCOM ist für IPsec-VPNs ebenfalls brauchbar, aber auch da gilt wie bei allen professionellen Netzwerkprodukten: TestX schrieb: > Mikrotik, Cisco, Juniper ist ohne tiefgreifende Kenntnisse nicht machbar > für Eure IT.
Für LanCom gibts die Konfigurationssoftware mit Assi zum erstellen der Ini-Dateien. Damit sind 20 Clients in wenigen Minuten erstellt.
Cisco ASA ist ueber ASDM selbst fuer Laien sehr leicht konfigurierbar. AnyConnect, IP-Sec oder SSL-VPN - alles in wenigen Minuten eingerichtet. Wenn es kostenlos sein soll: OpenVPN oder Wireguard PS: Ich konfiguriere die ASAs lieber ueber die CLI - ASDM ist mir zu bunt.
fckw schrieb: > Im Datenblatt steht "IPsec VPN throughput 50 Mbps" ohne > Angabe des Algorithmus. Crypto-Acceleration in Hardware ist dabei klar im Vorteil.
Christobal M. schrieb: > So, mein erster Tag im "Home Office" dank COVID19. Welche Daten fleißen denn? PersDat, eingestufte Daten? Braucht ihr eine BSI Zulassung?
fckw schrieb: > Zum Vergleich: Ein Mikrotik CCR1009-7G-1C-1S+ ... Kostet > dafür auch nur ein Fünftel der PA-200. Wobei eine Palo Alto Firewall in der Funktionalität schon etwas anderes ist, als ein Mikrotik Router. Aber das bringt natürlich nichts, wenn man sie bloss als VPN-Router nutzt.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.