Securepoint Firewall ersetzen

    Moin,

    ich darf mich demnächst um die Firmen IT kümmern... ein Fluch und Segen... Die Firma ist an sich super digital fürs Handwerk, aber viel altes Kram.

    Sie nutzen schon ewig eine alte Securepoint Firewall. Läuft auch eigentlich, muss man nur ab und zu rebooten.

    Wir wollen dafür aber keine xxxx€ im Jahr an Lizenzen mehr zahlen.

    Bis auf einfaches Routing, IPS und 10 VPN Verbindungen (openvpn) macht die Kiste nichts.

    Meine Idee wäre jetzt dort eine OPNsense zu nutzen mit einer https://www.ipu-system.de/produkte/ipu624s.html

    Ist etwas oversized aber hat dafür aber 10GBit SFPs. und ordentlich Reserve.

    Als VPN würde ich Tailscail nutzen wollen.

    Hat da jemand eine bessere Idee oder Einwände? Mit OPNsense kenne ich mich mittlerweile eigentlich ganz gut aus, mein Privatnetz ist komplizierter als das was ich da vor habe

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Mein Netzwerk

    Internet 1: DrayTek Vigor 167 - SVDSL 250k

    Internet 2: Netgear LM1200 - o2 max 5G unlimited

    Gateway: OPNsense @ IPU 651 | 16GB RAM | WD RED SN700 250GB
    Switche: USW 24 POE Gen2 | Flex Mini
    Accesspoint: U6-PRO

    Unraid: Intel i5 13500 | Gigabyte B760 Gaming X DDR4 | 64GB RAM | Silverstone RM41-H08 | 2 x 2 TB NVMe Cache + Docker | 40TB HDDs

    Unraid2: Intel i3 12100 | Gigabyte B760M DS3H DDR4 | 32GB RAM | Silverstone RM23-502-MINI | 2 x 2 TB NVMe Cache + Docker | 8TB HDD

    PC 1: ASRock X300 | Ryzen 5 4650G | 64 GB RAM | 2 x 500 GB Ironwolf SSD + 2 x 1 TB NVMe jeweils RAID1 + 500GB NVMe USB SSD | Noctua NH-L9a-AM4

    PC 2: Proxmox DMZ - Futro S740 | Intel J4105 | 8 GB RAM | 256 GB M.2 SSD

    VoIP: 3CX mit Gigasets inkl GO-Box

    USV: Cyberpower OR650ERM1UGR 1 HE

    Edited once, last by hYtas (December 16, 2024 at 7:25 PM).

    Moin,

    glückwunsch zur neuen Aufgabe – Firmen-IT ist definitiv Fluch und Segen, aber man kann viel bewegen, vor allem wenn das Unternehmen schon digital affin ist.

    Zu deinem Vorhaben: Deine Idee mit OPNsense und der IPU624S klingt solide, vor allem wenn du mit OPNsense bereits Erfahrung hast. Ein paar Überlegungen dazu und Alternativen:

    1. OPNsense auf der IPU624S:
      • Die Kombination bietet dir definitiv genug Leistung und Reserven.
      • Die 10Gbit-SFPs sind zukunftssicher, aber prüfe, ob ihr sie tatsächlich braucht. Wenn euer aktuelles Netz ohnehin noch auf 1Gbit läuft, könnte man bei der Hardware sparen.
      • Aber Achtung: OPNsense ist zwar eine flexible und leistungsfähige Lösung, doch in einem Geschäftsumfeld muss man andere Massstäbe ansetzen als zu Hause im Heimnetz. Als 1-Mann-IT-Team könnte es schwierig werden, bei Problemen schnell Unterstützung zu bekommen. Die Community und Dokumentation sind gut, aber eben nicht vergleichbar mit einem dedizierten Herstellersupport, wie ihn kommerzielle Lösungen bieten.
    2. Tailscale als VPN:
      • Tailscale ist für private Umgebungen oder kleinere Teams echt gut, aber für Unternehmen würde ich aufpassen.
      • In einem geschäftlichen Umfeld bist du mit einem klassischen SSL-VPN oder sogar einem Zero-Trust-VPN, wie es Fortigate bietet, oft besser bedient. Fortigate kombiniert hier Sicherheit mit einem zentralen Management und umfassendem Support – das kann bei Problemen Gold wert sein.
    3. Fortigate als Alternative:
      • Fortigate könnte eine Überlegung wert sein, insbesondere wenn du langfristig Support und Security-Features wie SD-WAN, Application Control oder zentral gemanagtes Endpoint Security brauchst.
      • Die Einstiegskosten sind zwar höher (Hardware + Lizenz), aber die Verwaltung ist für Unternehmen sehr effizient und bietet einen umfassenden Support. Je nach Budget lohnt sich hier ein Blick auf die FortiGate 60F. Die ist für KMUs ausgelegt und preislich oft recht attraktiv.
      • Der grosse Vorteil bei Fortigate oder ähnlichen Geräten: Du hast einen zentralen Ansprechpartner für Support und kannst im Ernstfall schnell reagieren.
    4. Einwände oder Punkte zum Nachdenken:
      • Sicherstellen, dass das geplante Setup (OPNsense + IPU + Tailscale) langfristig wartbar ist, insbesondere wenn das Wissen in der Firma bei dir bleibt. Was passiert, wenn du mal ausfällst?
      • Vermeide es, die Anforderungen eines geschäftlichen Umfelds mit einem privaten Netzwerk zu vermischen. Im Business-Kontext sind die Konsequenzen bei Ausfällen oder Sicherheitsproblemen deutlich schwerwiegender.
      • Sicherheit kostet Geld und sollte einem Unternehmen auch etwas wert sein. Die gesparten Franken/Euros bei einer günstigen Lösung könnten im Ernstfall teuer werden, wenn die IT einmal steht und kein Support erreichbar ist.

    Fazit:

    Wenn dein Fokus auf Flexibilität, Kostenkontrolle und DIY liegt, ist dein Ansatz prima, aber für ein geschäftliches Umfeld und als 1-Mann-IT-Team ist ein kommerzielles Produkt wie Fortigate oft die langfristig bessere Wahl – weniger Risiko, mehr Support und stabiler Betrieb.


    In diesem Sinne viel Erfolg 😊

    Auch aus meiner Sicht, spricht nichts gegen dein Vorhaben.

    Wofür genau sollen das VPN genutzt werden ?

    Vigor 167 - OPNsense- 4x US-8-60W - US-8-150W- US-24-250W - 4 x UAP-AC-PRO- 4 x UAP-AC-M 6 x USW-Flex-Mini - Proxmox-Cluster - HA- Homematic und jede Menge anderen Blödsinn der eigentlich nur Strom frisst aber mir freude macht 8)

    VPN ist bei uns nur Remote arbeiten. Die Leute haben kleine PCs/iPads und einen dicken Server als VM.

    Wir hätten eine externe IT Firma, die sind aber extrem teuer und haben wir bisher nicht mehr gebraucht.

    Ein 1-Mann-Team wäre ich, da muss ich noch mal abklären was wir nun wollen

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Mein Netzwerk

    Internet 1: DrayTek Vigor 167 - SVDSL 250k

    Internet 2: Netgear LM1200 - o2 max 5G unlimited

    Gateway: OPNsense @ IPU 651 | 16GB RAM | WD RED SN700 250GB
    Switche: USW 24 POE Gen2 | Flex Mini
    Accesspoint: U6-PRO

    Unraid: Intel i5 13500 | Gigabyte B760 Gaming X DDR4 | 64GB RAM | Silverstone RM41-H08 | 2 x 2 TB NVMe Cache + Docker | 40TB HDDs

    Unraid2: Intel i3 12100 | Gigabyte B760M DS3H DDR4 | 32GB RAM | Silverstone RM23-502-MINI | 2 x 2 TB NVMe Cache + Docker | 8TB HDD

    PC 1: ASRock X300 | Ryzen 5 4650G | 64 GB RAM | 2 x 500 GB Ironwolf SSD + 2 x 1 TB NVMe jeweils RAID1 + 500GB NVMe USB SSD | Noctua NH-L9a-AM4

    PC 2: Proxmox DMZ - Futro S740 | Intel J4105 | 8 GB RAM | 256 GB M.2 SSD

    VoIP: 3CX mit Gigasets inkl GO-Box

    USV: Cyberpower OR650ERM1UGR 1 HE

    Klingt da oben ein wenig nach dem Fortinet Werbeflyer

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Nun just my 2cents:

    Erstmal... Opensense... du hast Erfahrung.. bestens.. auch nicht schlechter oder besser als andere.

    wichtig ist eher das man sich mit seinem Produkt auskennt oder lernt sich damit auszukennen.


    Der Rest:

    Du / Firma / Chef sollten abklären ob das reicht. Was passiert wenn 1-Mann (also Du) nicht zur Verfügung stehen

    wegen Urlaub / Krank / Tod / 8 Wochen Baustelle bei der man nicht wegkommt. Und das Problem nicht auch Neustart

    behoben werden kann. Bzw. ob der Ersatzmann angelernt werden kann für Level1 Support (sowas wie VPNuser einrichten,

    Passwort zurücksetzen)

    +

    Wenn das mal doof läuft wie lang darf das Ausfallen ?

    Wenn Malergeselle Bob seinen nächsten Auftrag nicht Online abrufen kann wird er Anrufen und fragen

    Wenn 200 Leute nicht arbeiten weil Internet weg ist könnte es schon einen empfindlichen Impact haben

    der reales Geld kostet...Da du Handwerker und 10 VPN sagt vermute ich was in der Mitte...

    Wobei wenn 10 Verkäufer sind die kein Zugriff aus Plan/Design/Angebot haben ist auch doof..

    Aber dafür definiert man ja im Pflichtenheft Servicelevel, was tun bei Ausfall, wie lange.

    Daraus ergibt sich dann ob man Software oder und Hardware Support benötigt (oder sich ersatz ins Regal legt.

    +

    OPNsense selber bieten auch Pro Support (für pro Geld freilich), andere IT Klitschen sind Partner und bieten

    auch Support wenns drauf ankommt. Es gibt auch wie üblich PRO Subscription für schnellere / bessere / schönerer Updates

    die ggf erst später in den Open tree wandern (wer denn wirklich braucht)

    +

    Warum Tailscail ? Weil einfach ? Denke drann das ggf. Meta Daten vom gesammelt werden.

    da mag nicht jeder (DSGVO, Dataprotection generell, und wie sie nicht alles heißen)

    Würde eher die VPN Möglichkeiten von Opensense nutzen. Das ist auch schnell Laufähig

    und du bist unabhängig (und die wie keine Feste IP oder dergleichen lassen sich ja auch

    gut umschiffen mit Dydns sofern es ne Öffentliche IP gibt)


    +

    Keine Ahnung von der IPU hardware. Du Sagt aber eure AnwedungLäuft auf nem Dicken VM...

    Eins bis Zwei NetzwerkPorts Frei ? Dann währe es ein Gedanke Wert hier die FW auf die VM zu Schieben

    (dafür werde ich hier bestimmt zerissen, but that the way )... ggf als backup für den Havarie fall wenns

    dediziert bleiben soll.


    Wir sind knapp 100 Personen in Deutschland verteilt.

    Nicht arbeiten können ist schon übel. Wir planen da auch schon von klein Werner bis Großprojekte.

    Die IPU Hardware ist schon recht vernünftig, nutze ich zuhause auch (nur in kleiner). Bisher läuft alles nur mit Gigabit, Cat7/8 Kabel liegen aber mittlerweile.

    Das ist ne 8000€ Kiste da läuft alles per HyperV. 10GBit müssten noch frei sein, wobei ich da ungern Router virtualisieren will. Ist ein reiner Daten/Mysqlserver. Wir sichern jede Nacht (auf einer andere SSD) in mehrere Richtungen, eine Samsung Pro SSD hält knapp nen Jahr, dann wird sie ersetzt.

    Geld für vernünftige Hardware ist nicht das Problem.

    Ich sag nur wir nutzen aktuell eine 600€ Internetleitung von Vodafone pro Monat im Hauptsitz. Die feste IP ist auch auf uns registriert. Kommt aber auch weg, Telekom Datentarif + feste IP 60€ bei gleicher Geschwindigkeit, reicht für das was wir machen.

    Privat habe ich WireGuard auf der Opnsense am laufen. Funktioniert, klar, ist nur nicht so nutzerfreundlich einzurichten.

    Die 17 Jahre alte Agfeo muss auch raus

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    da gibts genug zu tun. In den Filialen nutzen wir da immerhin schon Cloudtelefonie.

    Vielleicht kann ich es ihm auch (erstmal) ausreden, ich habe eigentlich schon genug Verantwortung… spiele aber auch gerne rum.

    Mein Netzwerk

    Internet 1: DrayTek Vigor 167 - SVDSL 250k

    Internet 2: Netgear LM1200 - o2 max 5G unlimited

    Gateway: OPNsense @ IPU 651 | 16GB RAM | WD RED SN700 250GB
    Switche: USW 24 POE Gen2 | Flex Mini
    Accesspoint: U6-PRO

    Unraid: Intel i5 13500 | Gigabyte B760 Gaming X DDR4 | 64GB RAM | Silverstone RM41-H08 | 2 x 2 TB NVMe Cache + Docker | 40TB HDDs

    Unraid2: Intel i3 12100 | Gigabyte B760M DS3H DDR4 | 32GB RAM | Silverstone RM23-502-MINI | 2 x 2 TB NVMe Cache + Docker | 8TB HDD

    PC 1: ASRock X300 | Ryzen 5 4650G | 64 GB RAM | 2 x 500 GB Ironwolf SSD + 2 x 1 TB NVMe jeweils RAID1 + 500GB NVMe USB SSD | Noctua NH-L9a-AM4

    PC 2: Proxmox DMZ - Futro S740 | Intel J4105 | 8 GB RAM | 256 GB M.2 SSD

    VoIP: 3CX mit Gigasets inkl GO-Box

    USV: Cyberpower OR650ERM1UGR 1 HE

    Edited once, last by hYtas (December 16, 2024 at 10:43 PM).

    Quote from gierig

    Klingt da oben ein wenig nach dem Fortinet Werbeflyer

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    gierig : Das liegt wohl daran, dass ich hauptsächlich mit FortiGate arbeite. Ich könnte auch ASA oder Palo Alto empfehlen, aber aus meiner Sicht sind diese Lösungen nicht gerade einfach zu verstehen.

    hYtas: Ich bin der festen Überzeugung, dass eine Firewall eine zentrale und enorm wichtige Rolle in einem Unternehmen spielt. Sie trägt dazu bei, die User zu schützen – besonders dann, wenn die Finger mal schneller sind als das Hirn und „aus Versehen“ wieder ein CEO-Fraud-Link angeklickt wird. Deshalb solltest du dir gut überlegen, ob du diese Verantwortung wirklich selbst tragen willst – und das ohne die Rücksicherung durch einen erfahrenen Partner.

    Solange alles läuft, ist der IT-Betrieb kein Hexenwerk. Doch in schwierigen Situationen trennt sich schnell die Spreu vom Weizen

    Quote from hYtas

    Ich sag nur wir nutzen aktuell eine 600€ Internetleitung von Vodafone pro Monat im Hauptsitz. Die feste IP ist auch auf uns registriert. Kommt aber auch weg, Telekom Datentarif + feste IP 60€ bei gleicher Geschwindigkeit, reicht für das was wir machen.

    Für 60 Euro im Monat einen Internetanschluss mit fester IPv4-Adresse und SLA? Oder liegt der Unterschied vielleicht genau hier – dass du von einer SLA-Leitung auf eine Home-User-Leitung wechselst, die im schlimmsten Fall nur nach Best Effort betrieben wird?

    Aus der Ferne darüber zu urteilen, ist schwierig, denn ITC ist ein Gesamtpaket und nicht nur ein kleines Teilgebiet. Du solltest unbedingt alle Faktoren berücksichtigen: Wenn du beispielsweise 100 externe Mitarbeitende hast, die remote arbeiten müssen, und die Internetleitung fällt für ein paar Stunden aus, welchen Schaden könnte das wohl verursachen? Sparen ist nicht immer die beste Entscheidung.

    Du hast grundsätzlich zwei Optionen:

    a) Ein eigenes Team (n+1) aufbauen, das ebenfalls Redundanzen in der Hardware plant, umsetzt und betreut.

    b) Die benötigten Leistungen von einem verlässlichen Partner einkaufen.

    Übrigens: Jeder Tipp, den du hier von mir oder anderen erhältst, ist gleichzeitig falsch und richtig – je nach Kontext.

    Quote from hYtas

    Vielleicht kann ich es ihm auch (erstmal) ausreden, ich habe eigentlich schon genug Verantwortung… spiele aber auch gerne rum.

    Es ist verständlich, dass man gerne herumexperimentiert – aber dafür sollte man ein geeignetes Umfeld wählen, in dem es nicht tragisch ist, wenn Systeme für ein paar Stunden offline sind. Eine Produktivumgebung ist definitiv nicht der richtige Ort für solche Experimente.

    Grundsätzlich scheint die Herangehensweise an diese Aufgabe falsch gewählt worden zu sein. Bevor man sich über technische Details unterhält, sollte der CEO zunächst festlegen, welche internen SLA er haben möchte. Denn diese Vorgaben bestimmen schliesslich, welche Produkte oder Lösungen eingesetzt werden müssen.

    Als CTO/CIO (Leiter ITC, Head of ITC, etc.) ist es deine Aufgabe, dem CEO klarzumachen, dass ein Ansatz von „0 Minuten Ausfallzeit“ unrealistisch ist – es sei denn, man verfügt über eine erhebliche Kriegskasse. Jeder CEO neigt verständlicherweise dazu, zuerst 0 Minuten Toleranz zu fordern.

    Sobald die SLA für die einzelnen Dienste definiert sind, kann man sich gezielt auf die Suche nach effektiven Lösungen machen. In deinem ersten Beitrag hatte ich eher das Gefühl, dass du zuerst ein Produkt ausgewählt hast und nun den Case drumherum baust. 😉

    Mir ist wichtig zu betonen, dass dieser Kommentar keinesfalls böse gemeint ist. Ich möchte lediglich typische Problemstellen aus der ITC-Welt aufzeigen und dich vor möglichen Fehlentscheidungen schützen.

    Um auf dein Problem zurückzukommen:

    Es spielt keine Rolle, welches Produkt du wählst. Entscheidend ist, dass es sorgfältig evaluiert wurde und den Anforderungen sowie den internen SLA entspricht.

    Hier sind ein paar Fragen, die du dir stellen solltest:

    • Traue ich mir zu, eine Firewall selbst zu konfigurieren?
    • Habe ich einen verlässlichen Partner, der mir bei Problemen oder Fragen zur Seite steht?
    • Steht mir garantierter Support vom Hersteller zur Verfügung oder reicht mir Community-Support nach Best Effort?

    In diesem Sinne wünsche ich Dir viel Erfolg !

    Ich kann mich meinem Vorredner nur anschließen.

    Überlege es dir wirklich gut, ob du die volle Verantwortung tragen willst, und auch kannst.

    Ich arbeite in einer Enterprise Umgebung, und bin manchmal sehr dankbar das ich gute Partner an meiner Seite habe.

    Wenn natürlich ein paar Stunden oder Tage Downtime egal sind, dann würde ich sagen viel Spaß.

    Aber ist halt nur meine Meinung

    Vigor 167 - OPNsense- 4x US-8-60W - US-8-150W- US-24-250W - 4 x UAP-AC-PRO- 4 x UAP-AC-M 6 x USW-Flex-Mini - Proxmox-Cluster - HA- Homematic und jede Menge anderen Blödsinn der eigentlich nur Strom frisst aber mir freude macht 8)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login