Drei Site-to-Site VPN-Verbindungen mit dem Ubiquity ER-X hinter Fritzbox

domarffm · 23. Jul 2018

@NSFH
Die Webinterfaces hatte ich mir von verschiedenen Geräten schon einmal angesehen. Dennoch danke für den Hinweis

@blurrrr
Besten Dank für die detaillierte Zusammenfassung. Die Gerätegröße an den Diskstation-Standorten wäre relativ egal, da jeweils ein Netzwerk-Rack zur Verfügung steht und auch noch Platz bietet.

Ich habe mir bei Sophos mal ein Konto angelegt und eine Privatlizenz generiert. Allerdings besitzt diese ein Ablaufdatum nach drei Jahren. Ist dies formal zu betrachten, sodass diese im Anschluss wieder aktiviert/weiter verlängert werden kann?
Wie sieht es bei Sophos mit der Kommunikation zu anderen Appliances aus? Kann ich auch Verbindungen von Sophos zu Draytek oder Sophos zur Fritzbox aufbauen?

blurrrr · 23. Jul 2018

Die Lizenz muss einfach nach einiger Zeit wieder kostenlos verlängert werden, nichts wildes. Mit den Racks bist Du ja extrem gut aufgestellt, da wäre es sogar eine Überlegung wert, sich ggf. ein kleines 1HE-Gehäuse zu besorgen (weisst schon, diese ganz billigen Dinger ohne Zugriffe von vorn). Was die Konnektivität zu anderen Appliances angeht, hast Du das glaube ich noch nicht ganz verstanden. Wir reden hier von "Enterprise"-Lösungen. Alles was geht, geht. Du kannst sowohl Verbindungen zu Draytek als auch zur Fritzbox (oder sonstwas) aufbauen. An der Sophos wird es da nicht scheitern, wenn dann am anderen Gerät.

Kleines Beispiel dafür: die Fritzbox z.B. unterstützt kein SSL-VPN, damit fällt das schon mal flach. Lediglich IPSec wird von AVM-Seite geboten, also "muss" (bedingt durch die Fritzbox) das schon ein IPSec-Tunnel werden. Weil das noch nicht problematisch genug ist, unterstützt die Fritzbox auch nicht alle Möglichkeiten was IPSec angeht, sondern eben nur bestimmte. Glücklicherweise bist Du mit der Sophos in der Lage, Dir entsprechende Policies zu bauen, welche genau die geforderten Dinge nutzen (gibt aber auch vorgefertige, nur wird die Fritzbox damit dann wieder nicht klar kommen). Denke mal bei Draytek wird es "ähnlich" sein, aber mit Sicherheit nicht so derbe eingeschränkt wie bei AVM. Da wird so ein Draytek-Gerät schon ordentlich mehr auf dem Kasten haben (wie Du auch über die Draytek-Demo sehen kannst, da sind die Listen doch bedeutend länger ;-)).

Auf dem Weg vom kleinen Privatkunden bishin zu Konzerngrösse gibt es halt div. Anbieter für entsprechende Fälle. Während die Fritzbox unten bei dem Privat- und kleineren Firmenkunden vor sich hindümpelt, ist die Sophos etwas, was durchaus in Konzernen mit tausenden von Mitarbeitern eingesetzt werden kann. Da Draytek im grösseren Enterprise-Bereich anscheinend keinerlei Produkte anbietet auch (so wie ich bisher gesehen habe) auch nichts im 10GBit-Bereich, würde ich Draytek einfach mal in die Ecke KMU packen (was ja an sich auch nichts schlechtes ist, gut, dass es da entsprechendes gibt). Bei Sophos fangen da dann allerdings die "kleinen" Produkte an (nur damit Du da mal eine ungefähre Vorstellung von bekommst).

Nomad · 23. Jul 2018

Die Limitierung muss nicht immer ein Nachteil sein. Man pickt sich nützliche Funktionen raus, lässt alles andere weg und macht eine nette Verpackung drum. So produziert man Bestseller wie iPhone, Fritzbox, NAS.

Bei kommerziellen Produkten habe ich immer ein schlechtes Gefühl. Oft genug steckt das eigentliche Geld in dem Know-How und die Zeit die man dafür reingesteckt hat. Diese Investition ist aber sehr abhängig vom Hersteller. Adobe ist es ja eingefallen, dass sie ihr Software nur noch vermieten möchte, andere streichen die Free-Option, wiederum andere gehen einfach pleite oder nehmen ein Produkt aus ihr Programm.

Ok, bei Adobe und Windows beisse ich in den sauren Apfel weil wie unsere Kanzlerin so schön ausdrückt, alternativlos. Bei Firewall sehe ich die Situation aber noch nicht.
Hier oute ich mich aber ein wenig als Aluhut-Träger. So würde ich z.B. Synology keine unternehmenskritische Aufgabe anvertrauen.

Ich denke die Kunst hier wird sein weit genug vorauszuschauen und dennoch nicht in die Falle zu tappen eine viel zu große Lösung aufzubauen.

Ich persönlich liebe es ja mit einer Lösung herumzuspielen die einem 100.000 Mann Imperium würdig wäre für die zwei PCs im Haus.

Aber dann ist es für mich auch oft genug Selbstzweck. Wer aber eine Lösung sucht sollte einfach realistisch die Datenratenentwicklung abschätzen.

Was mir noch aufgefallen ist: Bisher war WAN dermaßen teuer, dass man versucht hat auch das letzte Quäntchen an Bandbreite rauszuquetschen. Caching Proxy? Her damit. Datensynchronisierung in den Nachtstunden? Ja. Dieses über Jahrzehnte antrainierte Reflex führt man weiter auch wenn die Bandbreite enorm zulegt. Dann stellt man fest, selbst wenn man z.B. nur 80% davon nutzen kann ist es oft genug mehr als ausreichend.

domarffm · 26. Jul 2018

Ich habe mir die Sophos-Lösung gestern mal auf einem ausrangierten Client installiert. Sieht schön übersichtlich aus die GUI. Werde mich da mal durchklicken, was es alles an Optionen gibt.

Werden Hardware-Änderungen (z.B. zusätzliche Netzwerkkarte) nach einem Reboot automatisch erkannt, oder muss man hierbei noch manuelle Anpassungen vornehmen?

blurrrr · 26. Jul 2018

Die sollten dann schon automatisch kommen (müssen dann aber ggf. natürlich noch konfiguriert und aktiviert werden). Für den Anfang sollte es die Grundkonfiguration von 2 Netzwerkkarten sein (LAN+WAN), eine NAT-Regel zum Start (Internal (Network) -> external (erste Adresse)), sowie natürlich eine entsprechende Firewall-Regel (Internal (Network) -> ANY -> ANY), hast Du Anfangs bestimmte Dinge ausgewählt beim Installationsdialog (Web/DNS/Mail/etc.) wurden da schon Regeln erstellt, kannste theoretisch wegschmeissen und durch die o.g. ersetzen, dann ist das schon mal ein bisschen ordentlicher.

domarffm · 26. Jul 2018

Bislang habe ich das System nur auf einen alten HP-Client mit einem internen Netzwerkinterface installiert. Daher wurde mir dies beim Installationsvorgang auch mitgeteilt, dass ich die Konfiguration so nur zum Testen des Webinterfaces nutzen kann. Aber genau darum geht es mir ja erst einmal, um den Eindruck der Möglichkeiten.

Bezüglich der späteren eventuellen Hardware bin ich zwischenzeitlich auf das APU2C4-Board gestoßen. Dort genauer auf diese beiden Komplettlösungen: Box-Bundle und Rack-Bundle.
Bei dieser Lösung kann allerdings kein Upgrade von CPU oder RAM erfolgen. Dennoch... wie ist die Hardware für den Zweck zu sehen? Das Board mit AES-NI-Unterstützung und 3x LAN. Dazu soll der Stromverbrauch unter Vollast bei max. 12W liegen.

blurrrr · 26. Jul 2018

Naja, das ist dann ja "so" nicht 100%ig korrekt.. normalerweise kannst mit auch mit nur einem physikalischen Interface diverses abbilden, dann aber entsprechend mit VLAN (neues Interface anlegen -> Ethernet (VLAN)), das kommt dann auf den physikalischen LAN-Port mit einer entsprechenden VLAN-ID.. nimmste z.B. einmal VLAN10 für LAN und einmal VLAN20 für extern, oder wie wo was auch immer. Problem ist dabei nur, dass es auch einen VLAN-fähigen Switch braucht (und ggf. eben auch der Router, oder eben portbased auf den Uplink zum Router). Aber wie gesagt, einfach noch eine alte Netzwerkkarte dazu, dann sollte des Interface entweder alleine auftauchen, oder Du musst noch ein neues (im Webinterface) hinzufügen (sind aber auch nur ein paar Klicks).

Das mit den Board... Naja... also ich (ganz persönlich) würde mich mit 1Ghz vermutlich nicht wohl fühlen. Kommt auch stark darauf an, was Du ggf. alles nutzen willst. Wie gesagt, da gibt es durchaus Komponenten, welche das System schon sehr stark ausbremsen können.. statt 1Ghz Quadcore, würde ich wohl eher auf einen 2Ghz Dualcore bzw. sowieso kompletten Eigenbau setzen, aber sofern Du auch wieder einen Umtausch (bei nicht-gefallen) in Kauf nehmen würdest... Hau rein! AES-NI ist natürlich schon recht nett

domarffm · 26. Jul 2018

Der jetzige Client, eine alte HP xw4600 Workstation, ist dafür keine Option. VLANs sind grundsätzlich kein Problem, allerdings steht die Kiste bei mir im Büro lediglich zum Testen. Daher auch kein Thema mit dem einen onboard-Interface. Somit bin ich auch schon beim Thema... Einmal drin im Hardwarekomponentendschungel... brrr. Übersichtlich ist echt was anderes, was da heute so alles auf dem Markt rumschwirrt. Angefangen mit den diversen CPU-Modellen und -Reihen.

Wie ich auch suche und vergleiche, preis-/leistungsmäßig lande ich meistens immer wieder beim ASRock Q1900B-ITX. Dafür müsste ich zu Hause noch genügend 4GB-RAM-Module liegen haben. Ebenso noch mindestens drei alte 128 GB SSDs. Somit würde "nur" noch eine passende PCIe x1-Netzwerkkarte, das passende Gehäuse (am schönsten natürlich ein 19" mit Front-Anschlüssen) und ein Netzteil fehlen. Nur leider ist die CPU schon etwas betagter und unterstützt kein AES-NI.

Auch deswegen wollte ich es mit einer "fertigen Appliance" einfach halten.

blurrrr · 26. Jul 2018

Ja, das mit dem Dschungel trifft es schon ganz gut, da sich bei den "kleineren" Dingen auch gern mal die Teile für Industrie untermischen. Ein "SoC" muss es ja nicht "zwingend" sein (ist natürlich ein günstiges Gesamtpaket), da wärst Du dann auch frei in der Wahl der CPU (inkl. ggf. späteren Upgrades), da gibt es ja einige Vertreter mit maximal 35w und AES-NI-Support.

Vielleicht wäre "erstmal testen" eine ganz gute Option... Je nachdem, wo Du was "leicht" zurückgeben kannst, da einfach mal bestellen (ob die o.g. APU oder eben nur das grade erwähnte SoC-Ding) und dann einfach mal schauen, wie das performancetechnisch so fluppt. Die Sophos an sich - haste ja gesehen - ist ja flott installiert, vorher vom System ein Backup ziehen und dann nach erneuter Installation einfach wieder aufspielen, dauert dann auch alles nicht so lang.

Nomad · 26. Jul 2018

Geht es um Formfaktor, Preis oder Stromverbrauch?

Ich weiss nicht, was mein USV konkret misst aber ich war erstaunt als eine weitere SSD im Server den USV Last von 4% auf 6% hochschnellen ließ. Schalte ich ein 1513+ mit 5 x 3,5" HDDs hinzu, springt sie auf bis zu 18%.

Dabei ist der Server nicht mal zu knapp dimensioniert. i5-4xxx, 1 x 3,5" HDD, 2 x SSD, 32 GB RAM.

So neige ich zu der Annahme, dass die fetten CPUs im Leerlauf wahre Sparwunder sein könnten. Evtl. hat ja sogar jemand das sogar mal gemessen?

Jedenfalls spiele ich momentan ernsthaft mit dem Gedanken mir ein Rechner mit i5-8xxx, evtl. aus der 35 W TDP Reihe hinzustellen der genug Power hätte um mit allem fertig zu werden was ich da reinpacken mag. Evtl. käme da sogar ein Stromersparnis heraus wenn ich die zweite Fritzbox, einen Switch und ein NAS ausschalte nachdem ich all diese Aufgaben auf die neue Kiste übertragen habe.

domarffm · 31. Jul 2018

Ich denke, dass ich mir mal dieses Board bestelle: ASRock J3160M (inkl. Intel Celeron Prozessor J3160).
Solch eine fertige SoC-Lösung reicht mir aus, da ich genau weiß, dass ich die CPU wohl nie ersetzen würde. Ist in der Vergangenheit schon oft genug zu gewesen, dass ich ein solches Szenario eingeplant hatte. Dazu bietet die CPU vier Kerne und auch AES-NI-Unterstützung an, die auch von der Taktung ausreichend sein sollten. Vor allem im Verhältnis zum Stromverbrauch.
Dazu kommt, dass ich noch genug 4GB DDR3L-1600 RAM-Riegel und SSDs rumliegen habe. Somit kann ich das Board "kostenfrei" mit 8 GB RAM und SSD bestücken. Auch die PCIe 2.0 x16-Schnittstelle bietet genug Spielraum für eine 4-Port-Netzwerkkarte.

blurrrr · 31. Jul 2018

Sieht doch ganz schnuckelig aus das Konstrukt

Wenn Du noch ein hübsches Gehäuse dazu findest, poste es doch auch mal hier, könnte dann ggf. als kleine Bestell-Liste für Nachbauer fungieren

domarffm · 31. Jul 2018

Gibt es zwecks Netzwerkkarte bestimmte Chipsätze/Controller, die gar nicht zu empfehlen sind und Probleme machen, oder ist die Sophos UTM recht umgänglich?
Evtl. sogar spezielle Empfehlungen?
Beispiele: Intel 82571GB (ebay / Intel) / Intel I350-T4(V2) (ebay / Intel) / Intel ET2 (ebay / Intel)

Daran hängt aktuell die Gehäuse-Entscheidung, ob es etwas passendes im Bereich low-profile gibt, oder ob es eine full-height Karte wird (bzw. sein muss).

blurrrr · 31. Jul 2018

Intel passt eigentlich immer (solange es nicht irgendwelche Exoten sind). Ich persönlich würde wohl direkt zur 350er tendieren (so teuer sind die ja nicht). Bis jetzt biste ja mit knapp 100€ echt sehr gut dabei, fehlt nur noch das Gehäuse (ggf. Höheneinsparung durch Raiser-Card?), ich bin gespannt

Passendes im low-Profile-Bereich gibt es "auf jeden Fall", meist eben einfach nur mit anderer beigelegter Blende, da muss man dann kurz schrauben und jut ist

domarffm · 31. Jul 2018

Ja ja, der Hardware-Dschungel...

Ich glaube ich entscheide mich weg vom ASRock J3160M (inkl. Intel Celeron Prozessor J3160) hin zum ASUS Prime J3355I-C (inkl. Intel Celeron Prozessor J3355). "Nur" noch Dual-Core, dafür höher getaktet. Dazu mit 1 x PCIe 2.0 x4, passend zur rausgesuchten Intel-Karte.
Der Grund ist schlicht der Formfaktor vom Micro- zum Mini-ITX wegen (jetzt aufpassen)... dem Gehäuse.

Das Gehäuse sagt mir zum einen von der Funktionalität (großer Lüfter, High-Profile), sowie dem Design zu. Ist in etwa so groß wie meine DS918+ und passt daher sehr gut daneben. Muss ja auch mal ein Argument sein, hehe. Kurz und knapp stehe ich kurz vorm Kauf folgender Zusammenstellung:

Board: ASUS Prime J3355I-C
Gehäuse: Thermaltake Core V1
Netzteil: noch offen, wird nichts spektakuläres. Irgendwas kleines um die 200W. Evtl. habe ich auch noch etwas rumliegen.
Netzwerkkarte: Intel i350-T4, 4-Port
RAM: Vorhanden (2x 4 GB; DDR3 1600 *supported*)
SSD: Vorhanden (SH103S3/120G)

Darf ich nochmals um eine "Endabnahme" bitten..?

)), dann mache ich kurzen Prozess, sonst drehe ich mich noch im Kreis... Danke!

blurrrr · 31. Jul 2018

Puh, das ist dann aber schon ein "großes" Gehäuse, dachte Du wolltest an Höhe sparen?

Beim Board bin ich mir nicht so 100%ig sicher mit der NIC, aber wenn die Intel dazu kommt, läuft das auf jeden Fall, Dualcore mit 2Ghz passt auch dicke. 8GB RAM find ich schon ziemlich viel, aber wenn es "über" ist, kann es ja auch nicht schaden. Dazu die SSD... Läuft... Konstrukt steht. Allerdings wäre ich im Betrieb eher vorsichtig bzgl. IDS/IPS, weil das schon derbe Ressourcen verzehren kann. Aber auf jeden Fall ein ziemlich solides Konstrukt, mit welchem Du mit Sicherheit auch eben auf Dauer Deinen Spass haben wirst *thumbs up*

domarffm · 31. Jul 2018

Perfekt, somit bestelle ich die Kombi nun.

Das Gehäuse... ein Thema für sich. Ob nun Low- oder High Profile, dementsprechend ob evtl. sogar direkt 19". Diese sind aber entweder sehr limitiert und/oder direkt teuer. Ein SFF-Desktop hingegen hätte wirklich Platz weggenommen und das rausgesuchte passt mit etwas Luft auf einem 19" Fachboden direkt neben meine DS918+. Somit nutze ich in dieser Variante den vorhandenen platz am besten aus.

Ich denke ich melde mich dann wieder, wenn die Hardware in Betrieb ist. Nochmals besten Dank!

blurrrr · 31. Jul 2018

Gerne und viel Spass damit

domarffm · 01. Aug 2018

domarffm schrieb:
Board: ASUS Prime J3355I-C
Gehäuse: Thermaltake Core V1
Netzteil: edit: be quiet! Pure Power 10 300W ATX 2.4 (BN270)
Netzwerkkarte: Intel i350-T4, 4-Port
RAM: Vorhanden (2x 4 GB; DDR3 1600 *supported*)
SSD: Vorhanden (SH103S3/120G)

Meinen Ursprungsbeitrag kann ich leider nicht mehr editieren. Daher der Vollständigkeit halber noch eine kurze Ergänzung bzgl. des Netzteils.
Dort habe ich mich aufgrund der Energieeffizienz und des Wirkungsgrades für das be quiet! Pure Power 10 300W ATX 2.4 (BN270) entschieden. Unter 300W ist im ATX-Bereich leider nichts groß zu bekommen, und wenn, dann gleich wieder teurer.
Somit stehen hier nun ein paar Komponenten für etwaige Nachahmer bereit.