Gemeinsam ins Internet mit Firewall und Proxy.
-
cosinus
- Beiträge: 4759
- Registriert: 08.02.2016 13:44:11
- Wohnort: Bremen
Beitrag
von cosinus » 19.02.2025 19:20:05
Hi @all
Wie einige vllt von euch wissen wird die Sophos UTM ja bald komplett eingestampft. Wir haben zwei SG330 mit UTM9, nicht ganz 1,5 Jahre läuft die noch bis die Lizenz endgültig abläuft und das Teil seinen Dienst quittiert.
Ich versuche daher jetzt schon mal mich nach Alternativen umzuhören - das was Sophos da als Nachfolger (XGS) bestimmt hat, klingt nicht so prickelnd, hier und da liest man, dass die Bedienung und der Support dafür grottig seien und die Kunden in Scharen wegrennen und andere Firewalls nutzen.
Was habt ihr im Einsatz?
Wir brauchen:
- IPv6 muss komplett unterstützt sein und fehlerfrei laufen
- vernünftige/übersichtliche Verwaltung der Paketfilter- und NAT-Regeln (IPv4 ist ja nicht totzukriegen)
- E-Mail-Protection: unsere jetzige UTM fängt Mails mit verbotenen Anhängen ab, der Empfänger bekommt eine entsprechende Mail als Info
- WLAN für Gäste: Voucher erstellen, damit Gäste unkompliziert ins WLAN kommen, das vom Firmennetz getrennt ist, quasi nur zum Surfen
- VPN: IPSec, SSL und ganz schön wäre auch ein Ersatz RED
- Nice2have: WAF (Web Application Firewall) auch bekannt als Reverse Proxy - ist aber nicht ganz so wichtig weil wir mehr und mehr auf IPv6 setzen
-
slu
- Beiträge: 2269
- Registriert: 23.02.2005 23:58:47
Beitrag
von slu » 19.02.2025 20:55:09
pfSense oder OPNsense könnte darauf laufen, bis auf die Mail Protection kannst Du IMHO alles abbilden.
Wir setzten die pfSense CE ein, schon seit über 10 Jahren...
-
cosinus
- Beiträge: 4759
- Registriert: 08.02.2016 13:44:11
- Wohnort: Bremen
Beitrag
von cosinus » 19.02.2025 21:02:43
Hi slu
Danke für den Tip, pfSense schau ich mir auf jeden Fall an, wenn man wirklich nur auf die Mail Protection verzichten müsste, wäre das nicht wirklich schlimm.
-
slu
- Beiträge: 2269
- Registriert: 23.02.2005 23:58:47
Beitrag
von slu » 19.02.2025 21:10:00
Falls Du in Richtung pfSense gehst wäre auch das pfBlocker-NG Package sehr interessant, aber Vorsicht unbedingt die RAM Disk aktivieren sonst wird ständig auf der SSD geschrieben...
-
cosinus
- Beiträge: 4759
- Registriert: 08.02.2016 13:44:11
- Wohnort: Bremen
Beitrag
von cosinus » 19.02.2025 21:20:57
Danke...ein tmpfs für /tmp richte ich idR eh immer ein, zumindest wenn ich ein Debian installiere.
-
heisenberg
- Beiträge: 4265
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von heisenberg » 19.02.2025 22:30:25
OPNSense ist vom Funktionsumfang mal deutlich fortgeschrittener als pfSense; demzufolge aber auch deutlich komplexer. Ich habe beides mal eingerichtet und ein bisschen benutzt. Ist halt BSD und somit schon ein bisschen anders im Unterbau.
LANCOM setzen einige ein, die ich kenne und sind zufrieden damit. Der Hersteller hat viele verschiedene Hardwaremodelle für unterschiedlichste Einsatzzwecke. Gearbeitet habe ich damit noch nicht.
-
cosinus
- Beiträge: 4759
- Registriert: 08.02.2016 13:44:11
- Wohnort: Bremen
Beitrag
von cosinus » 07.05.2025 16:35:38
Ich wärme meinen alten Thread mal wieder auf.
Wir haben immer noch die SophosUTM und ich bin da grad am testen was den SMTP-Proxy angeht. Hat da jemand Erfahrung mit?
Irgendwie egal was man einstellt lässt der keine IPv6-Verbindungen zu obwohl IPv6 sauber konfiguriert ist (über einen tunnelbroker). Mal davon abgesehen dass es wohl kaum einen IPv6-Only-Mailserver da draußen gibt würde es mich aber schon interessieren warum die UTM da ihre Macken hat...Gast-WLAN mag die UTM auch nur mit IPv4. Falls jemand was weiß bitte melden. Danke.
