OPNsense Forum

International Forums => German - Deutsch => Topic started by: cklahn on April 09, 2024, 10:32:27 am

Title: Hardware-Empfehlung à la Sophos RED 15
Post by: cklahn on April 09, 2024, 10:32:27 am

Hallo Forum,
wir lösen nach und nach die SOPHOS-Firewall bei den Kunden ab und nutzen deren SOPHIS-Firewall-Hardware, um dort drauf die OPNsense zu installieren.

Das klappt soweit prima. Nun haben wir beim nächsten Kunden ein SOPHOS-RED-Gerät in einer Aussenstelle mit SOPHOS Access-Point. Diese Hardware kann nicht genutzt werden, da es sich hierbei um Hardware handelt, auf der OPNsense nicht läuft. Den AP würden wir gegen einen Unifi U6-Pro ersetzen.

Ich habe nun zwei Fragen an die Box in der Aussenstelle.
1.) Was würdet Ihr hier als alternative Hardware empfehlen? Gerne mit mindestens vier LAN-Buchsen.
2.) Wie würdet Ihr die Anbindung machen? VPN per IPsec, OpenVPN oder Wireguard oder als Bridge?

Die Konfiguration soll so eingestellt werden, daß der normale "Surf-Traffic" in der Aussenstelle über den Router ins Internet erfolgt und lediglich die Anfragen an den Server der Zentrale über den Tunnel geschickt werden. Bei SOPHOS nennt man das "Standard-Split"-Mode.

Ich freue mich auf Eure Kommentare und verbleibe

MfG
Christoph

Title: Re: Hardware-Empfehlung à la Sophos RED 15
Post by: Patrick M. Hausen on April 09, 2024, 10:36:37 am

Ich würde für einen Einsatz im kommerziellen Umfeld immer eine Deciso-Appliance nehmen:

https://shop.opnsense.com

Hardware > Desktop ...

Title: Re: Hardware-Empfehlung à la Sophos RED 15
Post by: Monviech on April 09, 2024, 10:42:05 am

Da es sich nur um eine kleine RED BOX handelt, die nicht das ganze VLAN Trunking über den RED Tunnel macht (wie z.B. SD RED 60), kann hier eigendlich egal was genommen werden.

Um Außenstellen anzubinden, nehme ich die kleinste OPNsense aus dem Deciso Sortiment. (Beispiel: https://shop.opnsense.com/product/dec675-opnsense-desktop-security-appliance/ - DEC675 oder DEC695) - Die sind preislich so beim RED BOX Niveau.

Das was dann geschehen muss, ist eigentlich ein ganz normaler VPN Tunnel der als "Split Tunnel" konfiguriert wird. Das kann mit OpenVPN, IPsec oder Wireguard realisiert werden. Gerade mit Wireguard ist es sehr einfach.

Ich konfiguriere das zu Kunden gerne mit IPsec.

Title: Re: Hardware-Empfehlung à la Sophos RED 15
Post by: cklahn on April 09, 2024, 10:54:10 am

Hi,

danke für die Info. Eine ergänzende Frage:

Ich habe auf den eigentlichen "Haupt"-OPNsenses die Business-Version inkl. Lizenz am Laufen. Muß dann auf den Aussenstellen-Geräten auch die Business-Version mit Lizenz laufen?

Gruß
Christoph

Title: Re: Hardware-Empfehlung à la Sophos RED 15
Post by: Patrick M. Hausen on April 09, 2024, 10:57:46 am

Nur wenn du alle mit dem zentralen Management verheiraten willst. Für generelle Interoperabilität nicht.