Hardware-Empfehlung à la Sophos RED 15

Started by cklahn, April 09, 2024, 10:32:27 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 09, 2024, 10:32:27 AM
Hallo Forum,
wir lösen nach und nach die SOPHOS-Firewall bei den Kunden ab und nutzen deren SOPHIS-Firewall-Hardware, um dort drauf die OPNsense zu installieren.

Das klappt soweit prima. Nun haben wir beim nächsten Kunden ein SOPHOS-RED-Gerät in einer Aussenstelle mit SOPHOS Access-Point. Diese Hardware kann nicht genutzt werden, da es sich hierbei um Hardware handelt, auf der OPNsense nicht läuft. Den AP würden wir gegen einen Unifi U6-Pro ersetzen.

Ich habe nun zwei Fragen an die Box in der Aussenstelle.
1.) Was würdet Ihr hier als alternative Hardware empfehlen? Gerne mit mindestens vier LAN-Buchsen.
2.) Wie würdet Ihr die Anbindung machen? VPN per IPsec, OpenVPN oder Wireguard oder als Bridge?

Die Konfiguration soll so eingestellt werden, daß der normale "Surf-Traffic" in der Aussenstelle über den Router ins Internet erfolgt und lediglich die Anfragen an den Server der Zentrale über den Tunnel geschickt werden. Bei SOPHOS nennt man das "Standard-Split"-Mode.

Ich freue mich auf Eure Kommentare und verbleibe

MfG
Christoph
April 09, 2024, 10:36:37 AM #1
Ich würde für einen Einsatz im kommerziellen Umfeld immer eine Deciso-Appliance nehmen:

https://shop.opnsense.com

Hardware > Desktop ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 09, 2024, 10:42:05 AM #2
Da es sich nur um eine kleine RED BOX handelt, die nicht das ganze VLAN Trunking über den RED Tunnel macht (wie z.B. SD RED 60), kann hier eigendlich egal was genommen werden.

Um Außenstellen anzubinden, nehme ich die kleinste OPNsense aus dem Deciso Sortiment. (Beispiel: https://shop.opnsense.com/product/dec675-opnsense-desktop-security-appliance/ - DEC675 oder DEC695) - Die sind preislich so beim RED BOX Niveau.

Das was dann geschehen muss, ist eigentlich ein ganz normaler VPN Tunnel der als "Split Tunnel" konfiguriert wird. Das kann mit OpenVPN, IPsec oder Wireguard realisiert werden. Gerade mit Wireguard ist es sehr einfach.

Ich konfiguriere das zu Kunden gerne mit IPsec.
Hardware:
DEC740
April 09, 2024, 10:54:10 AM #3
Hi,

danke für die Info. Eine ergänzende Frage:

Ich habe auf den eigentlichen "Haupt"-OPNsenses die Business-Version inkl. Lizenz am Laufen. Muß dann auf den Aussenstellen-Geräten auch die Business-Version mit Lizenz laufen?

Gruß
Christoph
April 09, 2024, 10:57:46 AM #4
Nur wenn du alle mit dem zentralen Management verheiraten willst. Für generelle Interoperabilität nicht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions