Provider Wechsel - Fibre Firewall

[AliManali]

Hi

Ich habe im Moment eine Salt Fibre 10 Gbit/s Anbindung mit fixer IP. Da dran hängt ein Provider Plaste Router mit SFP Eingang. An der DMZ vom Providerrouter hängt eine Zywall 110, dahinter ein Switch mit einigen VLANs. Die Zywall kann per UDP 1 Gbit auslasten. Per TCP macht sie auf einem Stream so um die 500 Mbit/s. Damit könnte ich eigentlich leben. Switch könnte man auch mal tauschen, der ist uralt (DELL Powerconnect 2824). Auch bis die IPs im Netz bezogen werden, vergeht immer eine gewisse Zeit. Das Verhalten habe ich mit einem zweiten, moderneren Switch nicht. Ausserdem brennt da immer die FAN Error LED, der Venti dreht aber.

Nun bin ich am liebäugeln, den Provider zu wechseln. Wenn, dann würde ich zu init7 gehen, denke ich. Da braucht es aber wohl einen eigenen Router/Modem. Man könnte da ja wohl auch einfach einen Mediaconverter nehmen. K.A, ehrlich gesagt. Die Hardwareanforderungen für init7 sind hier aufgelistet:

Internet-Hardware von Init7

Easy7 kommt mit Fritzbox 5530. Für weitere Services, wie Fiber7, Crossover7, Hybrid7 und Copper7 empfehlen wir kompatible Hardware und Router.

www.init7.net

Stellt sich die Frage, wenn Medienconverter, was ich da nehmen soll. Oder gleich die Firewall wechseln. Dann würde ich wohl auf dieses Gerät gehen:

https://www.digitec.ch/de/s1/product/zyxel-vpn300-firewall-7612118

Kann ich die direkt an der OTO Dose anhängen? Zyxel wäre mir halt symphatisch, weil ich damit seit Jahren arbeite und da gut zurecht mit komme und auch sonst zufrieden bin.

Da hätte ich aber auch nur wieder 1 Gbit/s im LAN. Würde auch reichen, wenn wir ehrlich sind. Im Moment habe ich ja am Modem/Router einen 10 Gbit/s Anschluss, den habe ich direkt am Desktop mit einer 10 Gbit/s Kupfer Karte angestöpselt, welche ich bei Bedarf aktiviere. Im Normalfall hänge ich aber im LAN, da ist halt firewalltechnisch nur 500-1000 Mbit/s drin, wie gesagt.

Bräuchte da mal ein bisschen Inspiration in der Hinsicht. Ideal wäre natürlich, wenn man zumindest am Desktop und der DMZ vom Server 10 Gbit anliegen hätte. Aber befürchte irgendwie, dass das zu teuer wird. Und sonst halt zum starten mal den Medienconverter, 1 Gbit würden dann reichen.

Kann da wer was sagen dazu?

Gruss und danke.

 

[Redbull0329]

Wofür brauchst du daheim überhaupt ne Security Appliance? Benutzt du die als VPN Gateway? Kann der Router das nicht?
Die von dir verlinkte Zyxel hat, wenn ich das richtig gesehen habe, nur einen SFP fürs WAN und GbE Ports, aber keinen Erweiterungsslot, also keine 10GBit Anschlussmöglichkeit fürs interne Netz.

Ich hab mir neulich für ein Netzwerk-Lab die Sophos XGS 116 aufgebaut. Hat standardmäßig einen SFP Anschluss, in den Erweiterungsslot können aber noch weitere angeschlossen werden.
Packt so ca 7 GBit/s im SPI Modus, 5 GBit/s VPN und 2,5 GBit/s als NGFW. Wenn du mehr als das willst brauchst du Backbone-Equipment und das wird dann richtig, richtig teuer.
Die SFOS Oberfläche finde ich ziemlich nice, erinnert etwas an die Fritzboxen und ist echt einfach zu konfigurieren.

Als Alternative könntest du einen 10GBit Switch hinter die FW hängen. Entweder SFP oder RJ45, je nach Use Case vllt auch mit Link Aggregation.
Ubiquiti hat da ein paar schöne Sachen, den z.B. https://www.idealo.de/preisvergleich/OffersOfProduct/201563075_-unifi-switch-flex-xg-ubiquiti.html
Dann kommst du günstiger weg und hast zumindest intern die volle Bandbreite.

Bin übrigens fucking neidisch dass du überhaupt so eine Anbindung daheim bekommst Hier sind 175 Mbit das höchste der Gefühle, für schlappe 50€ im Monat.

 

[AliManali]

Hi

Danke für den ausführlichen Post.

Wir hatten da ein Problem, welches gelöst werden konnte. Habe halt die Schnauze langsam voll von meinem Provider. 10 Gbit Internet ist nice ja, aber brauchen tu ich das nicht. Von daher bleibe ich mal vorläufig, weil ein Wechsel dürfte mich einmalig so um die CHF 1000-1500 kosten, ausserdem bezahle ich dann im Monat ca 55.- mehr für Internet, Telefonie, Premium TV und Natel.

Die Firewall brauch ich vor allem wegen meinen zahlreichen VLANs, im Zusammenhang mit dem Server und so. Auf dem Server habe ich Gäste aus aller Welt. Ist auch keine UTM, bzw. nutze da keine Lizenzen dafür. Das ist mir dann zu teuer. Weil Zyxel langt da ordentlich zu, was Antivir, IDS und sowas anbelangt. Geoservices haben die letzthin frei zugänglich gemacht, ist noch nice to have. VPN habe ich bislang immer auf dem Server gemacht. Hatte da mal ein VPN Netzwerk mit weit über 200 Nutzern, wollte die Zywall aber nicht direkt von aussen zugänglich machen. Ausserdem sind imho nur 50 Lizenzen dabei bei der 110er, keine Ahnung, habe ich nie gebraucht.

Die XGS 116 habe ich mir mal angeschaut. Die RJ45 haben ja auch nur 1 Gbit/s, sehe ich das richtig? Macht denn wenigstens der SFP 10 Gbit? Auch das würde mir nur bedingt was bringen, dann könnte ich den Server (DMZ) und den Switch mit je 1 Gbit versorgen. Brauchen tu ich das nicht wirklich. Da kann ich auch direkt zur Zyxel greifen, und habe halt nur 1 Gbit Durchsatz insgesamt. Habe gesehen, in der Bucht gehen die VPN 300 so um die CHF 350.- weg zum Teil. Beim Wechsel von der Zywall 110 zur VPN 300 ging es mir vor allem darum, dass man die VPN 300 wohl direkt anschliessen könnte, und ich bei der alten Firewall wohl mindestens noch einen Mediaconverter brauchen würde. Auch zwischen den VLANs ist die 110er relativ lahm. Per SMB mit einem Stream komme ich vielleicht so auf die 350 Mbit/s.

Intern brauche ich keine 10 Gbit, habe kein Storage oder so. Wenn man den Desktop irgendwie per 10 Gbit ans Internet anbinden könnte, das wäre halt nice gewesen. Aber auch das ist ein Luxus Problem, die Gegenstelle macht ja meist auch nicht mehr als 1 Gbit. Im Moment kann ich mich halt mit einer 2. NIC vor die FW schalten, brauche ich mal schnelleres Internet. Im upstream macht die Leitung so um die 2.5 Gbit/s. Dann komme ich aber nicht mehr auf alle beregelten VLANs, wenn beide Adapter aktiv sind. Und Routing technisch kann man am Modem Router gar nichts machen. Da ist eh alles recht rudimentär, VPN und sowas kann der auch nicht.

Sophos werde ich wieder mal virtuell antesten. Hatte ich schon mal versucht, aber bin da schon an der Registrierung gescheitert. Hatte/habe aber schon einiges an Firewalls/VPN Gateways getestet und im Einsatz.

 

[sch4kal]

Wenn du nur zwischen den VLANs routen musst, warum macht das dann nicht der Switch ? Es gibt ACLs, damit kannst du einfachen Zugriff von IP A auf IP B blocken und vice versa, wozu braucht es da unbedingt eine Firewall dazwischen ? Mal abgesehen davon, das du dir sowieso Gedanken machen solltest, warum du zwischen VLANs mit so hoher Bandbreite routen können musst. Ich seh da bei dir absolut keinen Usecase für.

 

[AliManali]

Ja, wenn ich z.B. vom LAN ins management VLAN eine VM kopiere. Sprich, der ESXi und dessen vSAN hängen nicht im LAN. Das vSAN schon deshalb nicht, weil man NFS 3 wohl nicht per Passwort sichern kann, und der Filer deshalb in ein sicheres Netz gehört. Ist ein AiO ESXi mit napp-it. Das Netz darf auch nicht nach aussen telefonieren. Aber da wird selten was geroutet, richtig. Oder wenn ich was auf den Webserver auf der DMZ schubse. Diese hängt nicht am Switch, sondern direkt ohne VLAN an der Zywall.

Keine Ahnung, wie ich die ganzen zahlreichen Regeln an einem Switch hin kriegen sollte. Da sind auch meist nur einzelne Dienste beregelt. Hat sich halt so eingebürgert über die Zeit. Einen gewissen Mehrwert bietet die Zywall schon aus meiner Sicht. Das einzige, was ich konfiguriert habe am Switch sind die VLANs, welche tagged rein kommen. Bin aber auch nicht so der Profi.