pfSense oder Ubiquiti Security Gateway

[fard dwalling]

Guten Morgen,

bin schwer am überlegen auf was wir in der Firma wechseln sollen.

Momentan haben wir alte Office Tower mit der Endian Firewall laufen. Zwei hatten aber jetzt auch schon kurzen Schluckauf wobei einer ziemlich heiß gelaufen ist.

Es laufen 2-3 ipsec VPN Verbindungen auf der Endian zu den anderen Standorten und eine fungierte als OpenVPN Server an unserem Standort für ein paar Leute, die von zu Hause aus Mal arbeiten. Die loggen sich dann per RDP auf ihren Arbeitsclient und arbeiten hauptsächlich Office. Also keine hohen Workloads.

Vom Standort aus gehen so um die 150 Clients ins Netz. Websitebetreuung, Shoppflege und sonst ebenfalls nur Mail und Skype, etc.

Über einen VPN läuft die Exchange Verbindung.

Ich würde Mal, aufgrund der einfacheren Administrierbarkeit zum USG tendieren.
Ich finde nur leider überhaupt keine Übersicht, was man so in etwa die sie pfSense als Hardware rechnet. Ja bei Netgate gibt es vordefinierte Kisten, die mir Hardwaremäßig für den Preis aber sehr klein vorkommen.

Vielleicht habt ihr ja noch einen guten Tipp. Vielen Dank schonmal.

 

[Luckysh0t]

Die USG kann aktuell halt kein OpenVPN für Clients, nur Side to Side.Daher nutze ich für mein Handy aktuell L2TP.
Zumindest ist es nicht über den Controller auswählbar oder ich bin blind - könnte ja deine Entscheidung beeinflussen..

 

[fard dwalling]

Ja das habe ich auch schon gelesen, dass das momentan nur über die CLI konfigurierbar ist. Für die Oberfläche ist es aber wohl in Arbeit. Nur wann es kommt, sagt keiner.
Da habe ich aber eh schon überlegt, das evtl in eine eigene VM zu packen.

 

[you]

Empfehlung: Kauft Euch die kleinste USG für nen Hunni und schaut, wie weit ihr mit den Möglichkeiten kommt. Teste parallel opnsense/pfsense in einer VM.

Der größte Nachteil an der USG ist zur Zeit, dass sie (noch) nicht vollständig über die Controller Software administriert werden kann. Ich bin vor 3 Wochen von opnsense auf USG umgezogen. Damit musste ich von OpenVPN auf L2TP umziehen. Des Weiteren konnte ich Einstellungen zur Namensauflösung, fixen IPs für VPN Clients nur über die CLI machen. Kein Hexenwerk, aber auch nicht zwingend intuitiv.

UND: Wenn ihr auch IPS nutzen wollt, beachtet unbedingt die Angaben zur maximalen Bandbreite, die dann noch nutzbar ist. Das halbiert sich schnell. 1GB Leitungen ins Internet benötigen eine entsprechend großformatige USG.

Insgesamt sind opnsense/pfsense schon ziemlich ausgereift. USG steht bei Vielem noch am Anfang. Dessen muß man sich bewusst sein.

 

[konfetti]

Wie groß ist das ganze denn? - es gibt ja durchaus Hersteller, die hier schon länger am Markt sind, mit ausgereiften Produkten, Support, etc...

Ich meine jetzt nicht unbedingt Cisco, klar, ist vorallem eine Preisfrage, aber das klingt ja schon nach "Bastellösung"

 

[fard dwalling]

Was meinst du mit groß?
Hat jemand einen Tipp für eine pfSense Box die das abfrühstückt? Heute ist wieder eine Endian ausgefallen. 4 gleichzeitige ipsec vpns sollten ja für pfsense kein Problem darstellen..

 

[you]

Das kommt in der Tat darauf an, wieviele User, Verbindungen, Dienste, etc. Du verwenden willst. Das meint konfetti mit "groß" ... denke ich

 

[Stueckchen]

Naja, also etwas mehr Infos solltest du schon an Infos geben, was für Dienste und Verbindungen laufen sollen. Da es ja wohl um das Unternehmensumfeld geht würde ich schon was richtiges kaufen.

Wenn schon ein Rack da ist, sicher ein kleiner Rackserver von Dell, HP oder Supermicro mit Xeon E3 V6 oder halt Xeon-D nicht schlecht. Sonst würde ich mir vll mal sowas anschauen: SuperServer E200-8D

 

[konfetti]

Jupp. wie you richtig feststellte, User, Verbindungen, Anbindungsdurchsatz...

Ich finde die pfSense nicht schlecht, hab sie auch im Einsatz, aber nur privat. - Geschäftlich bisher nur Cisco, PaloAlto, Juniper und Sophos - aktuell Fortinet.
Endian und Untangle hatte ich privat auch schon im Test, aber im geschäftlichen Umfeld will ich nicht basteln.
Wenn was nicht geht, ein Anruf beim Hersteller und je nach Servicelevel ist spätestens NBD ein Ersatzgerät da.

 

[fard dwalling]

Ich muss mal schauen, was mir die Endian so ausspukt. Aber vom Basteln will ich eben auch weg, weswegen ich das USG mal in betracht gezogen habe. Momentan blöd, wegen dem fehlenden OpenVPN Server..

 

[Luckysh0t]

Warum eigentlich die Endian nicht als fertige HW ?
Endian UTM - Modelle vergleichen | UTM, Hotspot, VPN, IoT

 

[fard dwalling]

Hab ich auch gesehen, vor allem, weil die die Hardware schön aufschlüsseln, was du für was brauchst. Warum machen die anderen das nicht?

 

[sHoXx1337]

Auch andere Hersteller schlüsseln das entsprechend auf:

Sophos:
Sizing Guide
Appliance Übersicht

Barracuda NG:
Barracuda NG F-Series Sizing Guide

Fortinet:
Product Matrix

Watchguard:
Watchguard Sizing Tool

Securepoint:
Appliance Übersicht

 

[fard dwalling]

Ich hab jetzt mal durchgeschaut, was die Endian so ausspuckt.

Ich komme auf ca 8.000-10.000 TCP Verbindungen. Es gibt so ca 40-50 Host Einträge und vielleicht 20 feste Routen. 4 IPSec VPN Verbindungen als Site2Site.
Internetanbindung wäre zukünftig wie folgt: 2x 200Mbit/20Mbit Kabel + 1x SDSL Fallback. Die Kabelanschlüsse werden evtl noch auf 2x 400MBit aufgerüstet.

 

[fard dwalling]

Vielleicht ein kleines Update hier.

Ich habe an einem Standort die Ubiquiti USG im Einsatz und an meinem einen ausgedienten Dell R620 mit pfSense in einer Hyper-V VM.

Von der USG bin ich von mal zu mal enttäuschter. Habe ich mir deutlich mehr von versprochen. Alleine die Erstinbetriebnahme hat mir zig graue Haare beschert, schon allein weil der DHCP standardmäßig eingeschaltet ist und erstmal nach provisionierung im Controller wieder abgeschaltet werden muss. Feste IPs dann nur nachdem sich ein Teilnehmer am DHCP gemeldet hat. VPN PreSharedKey nur eingeschränkte Zeichen. Keine Übersicht welche VPNs gerade aktiv verbunden sind und welche nicht.... naja, aber sie läuft jetzt erstmal und hat den alten Pentium 4 mit Endian abgelöst....

Den Dell R620 habe ich etwas gestutzt, denn 2 Prozessoren und 96GB RAM sind vielleicht etwas oversized für die pfSense. Mit einem Prozessor und 48GB RAM (16 Kerne und 32GB sind der VM zugeordnet) läuft sie aber erstaunlich gut. Leider bin ich auch hier wiederholt in das Problem des Zeitsynchronisationsdienstes der Hyper-V gelaufen. Habe mich Tagelang über hohe Latenz auf den Gateways gewundert.

CPU Auslastung ist nun meist bei 0% und der RAM ist zu 2% ausgelastet. ;-) In Summe sind es doch 5 IPSec VPN Tunnel die dauerhaft aktiv sind. Dazu kommt der OpenVPN Server für die HomeOffice User. Hier sein meist aber nur 3-4 dauerhaft eingeloggt.

Nach was kann ich denn nun am besten schauen, welche neue Hardware für unseren Anwendungsfall notwendig ist? Die Pakete die pro Sekunde da durchlaufen?
Die Firewallstates? Wobei hier ja dann, glaub ich, nur der RAM entscheidend ist oder?

Snort ist zur Zeit deaktiviert, da es einige IPs geblockt hatte, und ich noch nicht weiter analysiert habe, warum. An sich wollte ich den aber schon laufen lassen.

Interessant fand ich von Supermicro das 5019D-FN8TP (Supermicro | Products | SuperServers | 1U | 5019D-FN8TP ). Knapp 1800,- ist aber auch schon eine Hausnummer. Zumindest für uns.
Die fertige Appliance von Netgate wäre ja schon günstiger, aber ich glaube auch deutlich weniger Performance oder? (Netgate XG-7100 1U pfSense® Security Gateway Appliance
)

Ich bin auch einem Eingebau nicht mehr abgeneigt und mit dem Supermicro Gehäuse (CSE-505-203B: SC505-203B | 1U | Chassis | Products | Super Micro Computer, Inc. ) würde das auch schön in den 19" Schrank passen.
Wenn es preislich passen würde, würde ich auch direkt über eine CARP Installation mit zwei pfSense nachdenken.

Also, über Tipps für Hardware würde ich mich freuen.

 

[smoothwater]

Wenn OPNSense/pfsense noch im Rennen sein sollte, einfach mal die Thomas Krenn-Seite nach den LES durchstöbern.
Habe selbst zwei LES network+ im Einsatz, gibt aber auch 19"-Systeme.