jogoes
Jul 19, 2012
view2962
view5
0
Goto Top

Welches Cisco Produkt für IPsec VPN

GermanQuestionLinux NetworkLinux
Hallo zusammen,

wir haben auf unserer CheckPoint FW zur Zeit etwa 150 IPsec VPN Tunnel S2S und weitere 500 VPN-Clients über IPsec angebunden.
Wir wollen in nächster Zeit step by step auf Cisco umsteigen und dazu zuerst die VPNs auf ein geeignetes Cisco Device legen.
Habt ihr Vorschläge welches Cisco Produkt man da einsetzen könnte. Das Teil soll blos VPN-GW spielen und nicht direkt als Border-FW dienen. DIe Kiste sollte aber schon ausbaubar sein bis min. 300 S2S Tunnels und 1000 Clients.

Gruss
Jogi
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 188269

Url: https://administrator.de/contentid/188269

Printed on: April 24, 2024 at 09:04 o'clock

5 Comments
Latest comment
Goto Top
Member: SpeakerST
SpeakerST Jul 19, 2012 at 08:51:20 (UTC)
Goto Top
Hi, also wir setzten bei uns die Cisco ASA 5510 und 5512 ein. diese kann IPSec und wenn ihr Geld zuviel habt kannst du auch SSL Zertifikate dazu kaufen. Der vorteil dabei ist das die Einrichtung wesenlicher Einfacher ist und auf allen OS läuft (Linux,MAC,Windows) Du kannst das ganze über eine Grafische Oberfläsche bedienen und Administrieren oder aber auch über die Command Line, das würde ich aber nur machen wenn man Erfahrung damit hat.
Member: jogoes
jogoes Jul 19, 2012 at 09:15:43 (UTC)
Goto Top
Hi Speaker,

klar die ASAs setzen wir auch schon an anderer Stelle ein, aber ich bin mir nicht im klaren ob für unsere Belange wirklich eine 5510 ausreicht, 5520 tut da schon eher Not face-smile. Cisco hatte doch auch mal den VPN-Concentrator 3000 der ist aber schon EOL,oder? und vor Jahren als ich so ne Kiste mal in der Hand hatte konnte die auch nur CLI, was ja gut ist für Massenkonfigs aber schlecht für das tägliche Monitoring face-sad

Gruß
Jogi
Member: SpeakerST
SpeakerST Jul 19, 2012 at 09:20:54 (UTC)
Goto Top
Hi, ja gut die ASA 5520 wäre wohl besser von den Nutzerzahlen her. Ja der VPN Concentrator ist EOL, leider war ein sehr gutes Gerät. Also die ASA 5510 und 5512 überwachen wir sehr gut mit Nagios und das allgemeine Monitoring ist halt immer die frage was machen überwachen will und ob man das darf oder das Recht des einzelnen User verletzt, aber das ist leider nicht mein Gebiet. Was möchtest du den Überwachen?
Member: jogoes
jogoes Jul 19, 2012 at 09:35:03 (UTC)
Goto Top
Hab mich falsch ausgedrückt, Überwachung ist nicht so das Problem, ich brauch blos SNMP Traps wenn ein Tunnel wegsemmelt, aber ich find das Logging der ASA nicht so prickelnd. Wenn du hunderte von Tunneln laufen hast und die Ursache finden willst warum ein einzelner nicht läuft, dann find ich das Logging der ASA recht unübersichtlich und nur teilweise aussagekräftig. aber damit hab ich mich noch nicht so wirklich tiefer beschäftigt. Die CheckPoint sagt mir im Regelfall recht eindeutig was nicht stimmt, auch wenn das Problem auf der Gegenseite liegt und das ist bei uns meistens der Fall und wenn dann auf der andenren Seite sich nicht so richtig auskennt ist es immer gut wenn man ihm sagen kann was er falschmacht face-smile Ich bin halt noch Fan meiner (Sauteuren) CheckPoint-F1

Gruß
Jogi
Member: SpeakerST
SpeakerST Jul 19, 2012 at 09:40:22 (UTC)
Goto Top
Ah ok, das logging der Tunnel ist echt nicht gut gelöst. wobei man sagen muss das die meiste Fehlererzeugung immer dann stattfindet wenn zwei Leute auf zwei Seiten Arbeiten und einer davon keine Ahnugn hat. Das wirst du auch nicht wirklich mit guten Logging ändern können. Mit dem CheckPoint-F1 habeich keinerlei Erfahrung aber so wie sich das anhört kann man zumindest damit die Fehlerrate reduzieren oder Fehler schneller beheben.
GermanQuestionLinux NetworkLinux
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments