7
Hoch Verfügbares IPSec-Gateway mit Stateful Failover gesucht.
Hallo,
falls das Thema besser woanders rein passt bitte verschieben. Bin mir da nicht sicher.
Ich suche ein IPSec-Gateway das sich hochverfügbar einrichten lässt und dabei die SAs repliziert, so dass bei einem Failover kein Reconnect notwendig ist. Am Liebsten als virtuelle Appliance oder als Open Source Software so dass wir da selbst eine virutelle Appliance draus machen können.
Bisher gefunden habe ich:
Cisco PIX/ASA: Können teilweise Stateful Failover, sind aber recht teuer und keine virtuellen Appliances.
StrongSWAN: Kann das zwar seit 4.4, aber die notwendigen Kernel-Patches haben noch nicht den Weg in den Standard-Kernel gefunden. Außerdem nicht sonderlich verbreitet und daher wohl noch nicht so ausgereift.
OpenBSD. Kann das schon lange. Leider haben wir nicht soviel Erfahrung mit OpenBSD.
Ideal wäre wohl eine kommerzielle Distri die das auf OpenBSD-Basis offiziell supported. Habe aber leider nichts entsprechendes gefunden.
Darf gerne was kosten, muss aber im Budget bleiben.
Grüße
Thomas
falls das Thema besser woanders rein passt bitte verschieben. Bin mir da nicht sicher.
Ich suche ein IPSec-Gateway das sich hochverfügbar einrichten lässt und dabei die SAs repliziert, so dass bei einem Failover kein Reconnect notwendig ist. Am Liebsten als virtuelle Appliance oder als Open Source Software so dass wir da selbst eine virutelle Appliance draus machen können.
Bisher gefunden habe ich:
Cisco PIX/ASA: Können teilweise Stateful Failover, sind aber recht teuer und keine virtuellen Appliances.
StrongSWAN: Kann das zwar seit 4.4, aber die notwendigen Kernel-Patches haben noch nicht den Weg in den Standard-Kernel gefunden. Außerdem nicht sonderlich verbreitet und daher wohl noch nicht so ausgereift.
OpenBSD. Kann das schon lange. Leider haben wir nicht soviel Erfahrung mit OpenBSD.
Ideal wäre wohl eine kommerzielle Distri die das auf OpenBSD-Basis offiziell supported. Habe aber leider nichts entsprechendes gefunden.
Darf gerne was kosten, muss aber im Budget bleiben.
Grüße
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 252164
Url: https://administrator.de/contentid/252164
Printed on: April 20, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hallo Thomas,
was heisst "was kosten" - im Budget kann alles sein von 100€ in 2 Jahren (verrückt) bis 1.000.000€ im Monat (je nach Anwendungsfall, dito).
Grüße
was heisst "was kosten" - im Budget kann alles sein von 100€ in 2 Jahren (verrückt) bis 1.000.000€ im Monat (je nach Anwendungsfall, dito).
Grüße
Das genaue Budget kenne ich auch noch nicht. Derzeit geht es aber auch erstmal darum heraus zu finden was überhaupt auf dem Markt existiert.
Moin,
hochverfügar ist so eine Sache...und vAppliance schon zweimal. Macht man bei Firewalls mit DMZ und Internetanbindung eigentlich nicht. Im LAN zwischen VLANs sind vAppliance gängig.
Objektorientierte Firewall oder noch besser Firewall Management Software
Erfahrungen mit Sonicwall?
Layer 7 Firewall - Palo Alto oder SonicWall
Gruß,
Dani
hochverfügar ist so eine Sache...und vAppliance schon zweimal. Macht man bei Firewalls mit DMZ und Internetanbindung eigentlich nicht. Im LAN zwischen VLANs sind vAppliance gängig.
Objektorientierte Firewall oder noch besser Firewall Management Software
Erfahrungen mit Sonicwall?
Layer 7 Firewall - Palo Alto oder SonicWall
deal wäre wohl eine kommerzielle Distri die das auf OpenBSD-Basis offiziell supported. Habe aber leider nichts entsprechendes gefunden.
pfSense...Gruß,
Dani
Zitat von @Dani:
Moin,
hochverfügar ist so eine Sache...und vAppliance schon zweimal. Macht man bei Firewalls mit DMZ und Internetanbindung
eigentlich nicht.
Moin,
hochverfügar ist so eine Sache...und vAppliance schon zweimal. Macht man bei Firewalls mit DMZ und Internetanbindung
eigentlich nicht.
Warum nicht?
> deal wäre wohl eine kommerzielle Distri die das auf OpenBSD-Basis offiziell supported. Habe aber leider nichts
entsprechendes gefunden.
pfSense...
entsprechendes gefunden.
pfSense...
Basiert leider auf FreeBSD und kann daher kein sasyncd....
FreeBSD unterstützt die Replikation der Replay Counter nicht.
https://forum.pfsense.org/index.php?topic=55474.0
https://forum.pfsense.org/index.php?topic=55474.0
Um mal meine eigene Frage zu beantworten:
Halon (www.halon.se) macht einen ganz guten Eindruck, wir sind gerade beim Evaluieren.
Halon (www.halon.se) macht einen ganz guten Eindruck, wir sind gerade beim Evaluieren.
