der-phil
Goto Top

Firewalls mit Konzept - Bootfest speichern - copy running-config startup-config

Hallo!

Ich schaue gerade, welche Router-Firewalls für mich künftig in Frage kommen. Wichtig ist vor allem die Kombination aus Dual-WAN und VPN.

Eine Funktion ist mir jedoch recht wichtig:
Bei diversen meiner Geräte ist das Verhalten so, dass Konfigurationsänderungen nur dann "bootfest" sind, wenn man die Konfiguration aktiv speichert. Das hat mir schon oft den Hintern gerettet, wenn ich bei einem entfernten System durch "Steckerziehen" wieder eine funktionierende Config hatte, nachdem ich mich ausgesperrt habe...

Das Konzept hatten aber mehrere der angeschauten Geräte so nicht:
- Mikrotik
Es gibt einen "Safe-Mode", aber dieser muss immer aktiviert werden und kann leicht vergessen werden.

- Pfsense
Hier habe ich gar nichts in dieser Richtung finden.


Könnt ihr mir sagen, wer außer Cisco, Juniper und Bintec noch so etwas hat?

Danke und Grüße
Phil

Content-Key: 327678

Url: https://administrator.de/contentid/327678

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Kuemmel
Kuemmel 27.01.2017 um 08:30:41 Uhr
Goto Top
Hi Phil,

da du Cisco ja schon selbst angesprochen hast: Kommt also Cisco selbst nicht in Frage?

Gruß
Kümmel
Mitglied: Der-Phil
Der-Phil 27.01.2017 um 08:33:13 Uhr
Goto Top
Hallo!

Cisco ist eine Option, aber ich bin nicht verrückt darauf. Ich habe bislang recht wenig Erfahrung mit Cisco (genau wie das gesamte Team) und scheue etwas die Kosten, wenn ich einmal bei einem Gerät viel Performance brauche.

Eine GUI, die zumindest 90% des Funktionsumfangs abbildet wäre auch prima...

Grüße
Phil
Mitglied: Kuemmel
Kuemmel 27.01.2017 um 08:35:59 Uhr
Goto Top
Dann halt eher MikroTik.. was sind denn die Anforderungen an das Gerät? Ein Cisco 881 beispielsweise kostet jetzt auch nicht die Welt.. bekommst du bei ebay für knapp 80€ und kannst den Support bei Cisco auch noch entsprechend verlängern.

Gruß
Kümmel
Mitglied: Der-Phil
Der-Phil 27.01.2017 um 08:44:01 Uhr
Goto Top
Hallo!

Die Anforderungen sind unterschiedlich, aber doch wieder meist ähnlich:

- Jeder Standort hat zwei ISPs
- Die Zentrale hat zwei ISPs
- VPN-Tunnel Außernstandort<->Zentrale sollen laufen bei Ausfall eines beliebigen ISPs

Sonstiges:
- Möglichst brauchbare GUI
- Möglichst große Flexibilität bei der Hardware (da Leitungen von 2 MBit/s bis 200 MBit/s)

Mein Team kommt bislang einfach schwer mit reinen CLI-Konfigurationen zurecht. Winbox und das "Bintec-Setup-Tool" macht den Einstieg eben doch deutlich leichter...
Bei Mikrotik befürchte ich einfach, dass im Fall der Fälle der Safe-Mode vergessen wird.

Bei Mikrotik hatte mir eben die Freiheit gefallen, dass auch die richtig performanten Kisten so günstig ist, dass ich Überall auf Mikrotik gehen könnte - z.B. auch im internen Routing mit einem großen CCR.

Grüße
Mitglied: Kuemmel
Kuemmel 27.01.2017 um 08:55:37 Uhr
Goto Top
Mal ehrlich gesagt, auch wenn es dir nicht unbedingt weiterhelfen wird:
Ich würde niemals eine Person an eine Router-Konfiguration lassen, bei der ich weiß, dass sie den Safe-Modus vergessen würde.

Ansonsten würde ich an deiner Stelle zum Cisco 891/892 tendieren (ohne integriertes Modem), wenn es diese Funktion dennoch geben soll.
Kostenpunkt ca. 700€
Mitglied: Der-Phil
Der-Phil 27.01.2017 um 09:03:03 Uhr
Goto Top
Hallo!

Da magst Du Recht haben. Ich verstehe einfach nicht, warum Mikrotik keine Funktion hat, dass der Safe-Mode immer aktiv ist.

Meine letzten Cisco-Erfahrungen liegen ein Stück zurück:
Gibt es hier eine brauchbare GUI, die auch einen ernstzunehmenden Teil der Konfiguration abbildet?

Danke und Grüße
Mitglied: aqui
aqui 27.01.2017 um 09:29:03 Uhr
Goto Top
Real networkers do CLI !!face-wink
Mitglied: Der-Phil
Der-Phil 27.01.2017 um 09:42:38 Uhr
Goto Top
Hallo!

Habt ihr noch eine Idee für einen anderen Anbieter/Hersteller, den ich mir bei o.g. Profil einmal anschauen sollte?

Danke und Grüße
Phil
Mitglied: UnbekannterNR1
UnbekannterNR1 27.01.2017 um 10:26:24 Uhr
Goto Top
Ich hab da auch noch ne Idee zu dem Thema. Wenn du sagst du hast an jedem Standort zwei ISP um Ausfälle zu vermeinen solltest du vielleicht auch daran Denken die Hardware doppelt zu beschaffen um einen HA Cluster zu bauen. Weil zwei ISP schön und gut was passiert wenn dein gerät stirbt warten auch Neulieferung/Support? Sollte in die Überlegung einfließen und stand hier noch nicht.
Logischerweise sollte das gerät das dann auch unterstützen.
Ach und pfsense speichert alle Änderungen sofort auf Festplatte sofern vorhanden(PC-Server build). Bei Embedded/CF modellen weiß ich es nicht genau.
Mitglied: Der-Phil
Der-Phil 27.01.2017 um 10:33:28 Uhr
Goto Top
Hallo!

Danke für den Tipp. Ich hatte das auch schon überlegt, aber ehrlich gesagt habe ich einfach statistisch viel zu selten defekte Geräte. Dass eine Internetleitung ausfällt passiert da schon deutlich häufiger.

HA-Setup in der Zentrale ist in jedem Fall Pflicht.

Grüße
Mitglied: aqui
aqui 27.01.2017 um 15:06:48 Uhr
Goto Top
Bei Embedded/CF Modellen weiß ich es nicht genau.
Ist dort auch so. Sowas wie ein Commit Modell gibts da (noch) nicht.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 27.01.2017 um 23:53:29 Uhr
Goto Top
Soweit ich es in Erinnerung habe, bietet Alcatel diese Funktion, das Änderungen erst nach Befehl fest gespeichert werden. Von denen gibt es ebenfalls Potente Hardware die für deine Zwecke Optimiert werden kann.

Falls dich dies interessiert schau ich morgen mal nach genauer Hardware.
Mitglied: aqui
aqui 28.01.2017 um 16:43:36 Uhr
Goto Top
Alcatel, Juniper, Motorola, Cisco, Brocade...es sind diverse die das können...wenn nicht alle im Premium Segment.
Mitglied: Der-Phil
Der-Phil 30.01.2017 um 10:34:40 Uhr
Goto Top
Hallo!

Könnt ihr mir sagen, wer von den genannten Anbietern eine halbwegs brauchbare GUI hat, die zumindest die Stati "anzeigt"?

Grüße
Phil
Mitglied: aqui
aqui 30.01.2017 um 11:53:32 Uhr
Goto Top
Stati der Speicherung oder welche meinst du ?
Mitglied: Der-Phil
Der-Phil 01.02.2017 um 18:45:29 Uhr
Goto Top
Hallo!

Mit Stati meinte ich z.B. den Status der Interfaces, Tunnel, etc.

Grüße
Phil
Mitglied: aqui
aqui 02.02.2017 um 09:18:47 Uhr
Goto Top
Das haben eigentlich mehr oder weniger alle Anbieter. Sowohl im kommerziellen als auch im Open Source Bereich.