Hardware Appliance / Produktauswahl

Hallo,

Sind Sie ein Sophos Partner? Dann wäre der beste Kontakt anstelle der Community den offiziellen Weg über den Vertrieb von Sophos bzw. die Distribution zu wählen. 

Gruß

Hallo, Vielen Dank für den Tipp. Sind wir in der Tat und der Kontakt zum Distri ist auch bereits hergestellt, ich wollte mir nur mehrere Meinungen einholen.

Hallo,

das Problem ist, dass es hier um ein größeres Projekt geht und die Community nicht verbindlich ist.

Ich würde persönlich aufgrund des Uplinkes auf SG330+ gehen. Aber vorab eine Teststellung, um die Performance zu überprüfen. 

Gruß

Hallo Jonas,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

I agree with MBP that a 310 is too small because of the 100 simultaneous SSL VPN users - IPsec clients would cost more, but might make the 310 powerful enough - I don't know.

Maybe I would even consider two 450s in Hot-Standby.  An alternative could be software running on very powerful servers, but that's just a question of which approach is less expensive based on the number of users.

I agree with using SG 115s with subsequent 3-year Network Protection subscriptions as they are less expensive than RED 50s with warranty extensions.  They also give you the flexibility of adding Web Protection as you plan on doing.  If 300Mbps Internet connections are planned within the next three years, I would consider 135s instead.

Please let us know what you wind up with.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Jonas,

zuerst mal Gratulation zu dem tollen Projekt!

JonasAgius said:

- am Hauptstandort soll definitiv ein H/A stattfinden, ohne H/A bin ich mit dem Faktor 1,5 bei der SG310, was rechnet sich hier mehr, ein aktiv / passiv mit der SG310 oder dann eher ein aktiv/aktiv mit einer SG230 zum Bsp. ? 

- Die Außenstandorte sollen autark sein und via eigener UTM geschützt sein daher wäre unser Plan überall eine kleine UTM zu implementieren. Hier wird keine Mail Protection sowie kein WAF benötigt, hier wäre der Plan überall eine SG115 hinzustellen ? An jedem Außenstandort soll die gleiche UTM stehen damit ein Ersatzgerät vom Hauptstandort schnell hingeschickt werden kann (daher wird 1x weiteres gekauft als Lager / Ersatz)

- für die interne IT wird ein SUM am Hauptstandort aufgesetzt um alle UTMs zentral verwalten zu können + an unsere SUM (geht eine zusätzliche Anbindung?)

Wie steht Ihr dazu, andere Empfehlungen ? Bisher waren die größten Projekte mit bis zu 70 User und kaum VPN so dass wir hier gerne auf die Unterstützung der Community angewiesen wären ;)

 

Zu deinen Fragen:

• Was sich eher rechnet kannst mit den Preisen leicht rausfinden, für aktiv/passiv fallen die Lizenzen nur einmal an. Ich persönlich bevorzuge aktiv/passiv, weil damit bei einem Ausfall kein Performanceverlust einhergeht und bei Updates die Möglichkeit besteht einen Node zeitweilig auf dem alten Stand zu lassen. Vom Sizing her finde ich die SG310 voll ausreichend, würde ich aber jedenfalls über eine Teststellung prüfen. Performancekiller ist eher der Webproxy mit AV und nicht das VPN.
• Kleine UTMs an den Standorten finde ich gut. Vom Management her sind halt die REDs praktischer aber mit dem SUM wiegt man das wieder auf. Die SG115 ist mit Network- und Webprotection für 25 User schon eher unterdimensioniert (vor allem wenn die Bandbreite mal höher wird). Tipp, die UTMs kann man dann auch im "RED-Mode" mit der Zentrale verbinden.
• Auf der UTM können zwei SUMs eingetragen werden, allerdings können Konfigurationen nur von der ersten durchgeführt werden.
• Wenn WLAN ein Thema ist, gleich einplanen. Allerdings rate ich von den UTMs mit eingebauten APs (SGXXXw) ab.

Wenn du Hilfe brauchst (wir haben auch schon viel mit Sophos VPNs gemacht), bitte einfach rühren :-)

Hallo,

gute Vorschläge.

Ich möchte nur kurz das Thema XG ansprechen.

Gerade für kleine Standorte ist die XG aufgrund des License Management vielleicht attraktiver?

Gruß

Joseph, I agree with all of your comments except "Performancekiller ist eher der Webproxy mit AV und nicht das VPN."  The Sizing Guide lists a maximum of 230 SSL VPN tunnels and 800 IPsec tunnels for an SG 310.  Those are maximums when the device is doing nothing else, and it demonstrates that SSL VPN requires almost 3.5-times as many resources as does IPsec.  If the branches are also connected via RED tunnels, that's again much more resource-intensive than IPsec tunnels.

Especially now that IPsec tunnels can be bound to interfaces and traffic routed (Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE)), I really would avoid RED tunnels unless there's a need to bridge two sites like I did in Wireless camera in motor coach.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Zusammen,

Vielen Dank für die wertvollen Tipps. Ich habe gerade mit unserem Distri gesprochen und mir wurde folgendes vorgeschlagen:

Nach Rücksprachen mit Sophos sollten zwei 330er für den Hauptstandort ausreichen und dann als aktiv/passiv, wie Josef schon richtig schrieb war die Planung von mir mit der 115er an den Außenstandorten etwas unterdimensioniert und daher wurden die 125er vorgeschlagen.

Josef, besten Dank für das Angebot, ich werde darauf zurückkommen falls notwendig ;) Wegen Sophos mache ich mir recht wenig Sorgen, mir macht eher die Übernahme des PFSense Chaos etwas Sorgen :D Wegen WIFI, habe ich mit Absicht hier außen vor gelassen da ich ein Riesen Fan von Ubiquiti bin und wir das Ganze via Central Cloud Controller laufen haben und das läuft einfach Bombe (vergleichbar in meinen Augen mit Cisco Meraki nur preislich unglaublich gut). Daher werden wir an allen Standorten das darüber laufen lassen inkl. unserem Management.

Wir sind jetzt in der Angebotsphase, der Kunde weiß schon was preislich auf Ihn zukommt und hat es uns zugesagt so dass ich davon ausgehe das wir es auch wirklich bekommen. Ich hoffe ich denke daran nach Projekt dann ein Feedback zu schreiben was ja ggf. interessant wäre ;) Projekt wird im Q1 2018 statfinden.

VG Jonas

JonasAgius said:

Nach Rücksprachen mit Sophos sollten zwei 330er für den Hauptstandort ausreichen und dann als aktiv/passiv, wie Josef schon richtig schrieb war die Planung von mir mit der 115er an den Außenstandorten etwas unterdimensioniert und daher wurden die 125er vorgeschlagen.

Josef, besten Dank für das Angebot, ich werde darauf zurückkommen falls notwendig ;) Wegen Sophos mache ich mir recht wenig Sorgen, mir macht eher die Übernahme des PFSense Chaos etwas Sorgen :D Wegen WIFI, habe ich mit Absicht hier außen vor gelassen da ich ein Riesen Fan von Ubiquiti bin und wir das Ganze via Central Cloud Controller laufen haben und das läuft einfach Bombe (vergleichbar in meinen Augen mit Cisco Meraki nur preislich unglaublich gut). Daher werden wir an allen Standorten das darüber laufen lassen inkl. unserem Management.

Gerne.

Bezüglich Dimensionierung, es ist natürlich immer besser wenn man Reserven hat. Durch die Firmware-Upgrades "verliert" die Box über die Jahre ja auch noch an Leistung.

Bob verweist natürlich zu Recht auf die max. empfohlenen 230 SSLVPN-Verbindungen einer SG310. Nach meinen Wissen (vom zu Grunde liegenden OpenVPN) ist allerdings nicht die Anzahl der Verbindungen selbst oder die Verschlüsselung der CPU-Resourcenfresser, sondern der aufwendige Key-Exchange. Der passiert aber in der Regel nur alle paar Stunden (pro Verbindung). Ein Engpass wird daher am ehesten auftreten, wenn sich viele SSLVPN-User gleichzeitig einloggen, z.B. wenn eine HA-Firewall umschaltet (alle aktiven SSVPN-Clients müssen sich neu verbinden). Im normalen Betrieb sollte das also eher nicht auftreten. Oder hat da jemand andere Erfahrungen?

Die Auslastung durch die RED-Tunnels kann ich ehrlich gesagt nur schlecht einschätzen (kenne das Protokoll dahinter nicht), aber du hättest eh nur 7 wenn die UTMs der Außenstellen damit angebunden wären. Es wäre damit halt sehr einfach die beiden Leitungen der Zentrale für einen redundanten Tunnel zu nutzen.

Bezüglich Ubiquiti teile ich deine Erfahrungen, sind echt gut und günstig.

PFsense würde mich nicht schrecken, weil ich sehr viel mit OS-Firewalls arbeite. Apropos die alten (EoS) Sophos-UTMs eignen sich in einem zweiten Leben sehr gut als OPNSense-UTMs ;-)

Hallo Zusammen,

wir haben den Auftrag bekommen ;) In erster Linie stellen wir das Mailsystem um. Nun haben wir schon 2 Hürden in dieser Hinsicht, dem Kunden ist die aktuelle GFI ME Blocklist extrem wichtig, die wir nun in die SG importiert hatten. Allerdings sind das 48 Tausend Elemente :( und macht die UTM extrem langsam ;) (fraglich ist eh wie die Sophos damit umgeht)

Weiterhin ist ein Auto Greylisting gewünscht. (Empfänger mit dem man kommuniziert wird automatisch auf eine Whitelist Greylist gesetzt)

Der Kunde hat ein Mailvolumen von ca. 55.000 Mails / 20.000 Spam (alle 7 Tage)

Ideen?

Danke Euch im Voraus