Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbesserungsvorschläge erwünscht

Frage Sonstige Systeme MikroTik RouterOS

Mitglied: JeanValjean

JeanValjean (Level 1) - Jetzt verbinden

31.08.2013 um 00:10 Uhr, 5910 Aufrufe, 15 Kommentare, 1 Danke

Hallo liebe Administrator Gemeinde,

ich habe hier eine vielleicht etwas ungewöhnliche Bitte Und zwar möchte ich mein Netzwerk etwas "aufrüsten" und spiele ernsthaft mit dem Gedanken auf Mikrotik sowie Router OS umzuschwenken da ich persönlich mit Netgear nach nun schon fast 3 Jahren etwas unzufrieden bin. Teilweise reagiert der Level 3 Support da ziemlich träge bei gewissen Problemen welche in der letzten Zeit aufgetaucht sind ( Beispiel SPI und Phone Buffer Stack Overflow, etc ). Ausserdem finde ich es äußerst Schade, daß gewisse Implementierungen welche eine UTM meiner Meinung nach haben sollte aus Prinzip nicht eingebaut wird ( Beispiel openVPN Server, WebProxy, etc. ) aber egal, ich habe mit dem Thema abgeschlossen und warte nun noch das Ende meiner Lizenzlaufzeit ab welche sich dem Jahresende neigt.

Nun zu meinem eigentlichen Anliegen. Ich möchte gerne später mit Router OS im Grunde die selbe Netzwerkstruktur beibehalten lege aber großen Wert auf Mobilität bzw. die Möglichkeit mich mit iOS sowie Android innerhalb (und ausserhalb) meines Netzwerkes sicher zu bewegen. Auf den NAS z.B. muss bzw. kann man nur mit Freigabe (z.B Radius-Server zusätzlich) zugreifen welche gesondert erteilt werden soll von mir als HobbyAdmin ( wobei Port 80 für alle frei zugänglich bleiben sollte sowie mit FW-Regeln steuerbar bleiben soll ).

Ebenso ist es wichtig für mich später mit meinen iOS Geräten via openVPN sicher zu Tunneln um auch von aussen an meinen NAS zu gelangen.
Ich habe ( auch hier mitunter ) sehr viele positive Kritiken über Router OS gelesen und bin für jegliche Vorschläge dankbar (insbesondere auch in Bezug auf V-Lan sowie sicherere Konfiguration meines Netzwerkes ).

Meine Fritzboxen sollen alle weg ( bis auf die eine, welche Providerbedingt ) bleiben muß, aber die agiert eh nur als "dummes" Modem. Es dürfte ja keine Probleme mit Router OS sowie Kabelmodem geben, oder ? Ebenso müsste auch gewährleistet bleiben via VoIP ( unitymedia ) weiter telefonieren zu können.

Ach ja, die Netgear Hardware soll auch komplett weg, klar....denn es scheint mir doch besser zu sein alles "aus einer Hand" zu nutzen. Als Basisrouter habe ich mir den CloudCore 1036 ausgesucht ( soll ja wirklich eine eierlegende Wollmilchsau sein ) und deswegen freut es mich natürlich umso mehr, wenn hier bald auch ein deutsches Mikrotikforum aufgemacht werden soll.....kann ich nur herzlich begrüßen.

Okay, genug geschrieben für`s Erste und alle konstruktiven Verbesserungsvorschläge sind gerne Willkommen

83118dd790448327c83bfbcaed05f963 - Klicke auf das Bild, um es zu vergrößern
Mitglied: MrNetman
31.08.2013 um 04:59 Uhr
Hi Jean,

geiles Bild.

Aber:
  • Die beiden Fritzboxen 7390, 7270 links und rechts sind wohl hoffentlich keine Repeater sondern APs.
  • Die mittlere Fritzbox 6360 agiert nict als dummes Modem sondern ist dein Hauptrouter.
  • Dein Gast-WLAn hat keine Schutz, außer dem serienmäßigen des Fritz Gastzugangs, der bei jeder einzelnen Fritzbox getrennt eingestellt wird.
  • Das Gigaset steckt man eigentlich am ISDN an, wobei du aber mit dem Kabelrouter ja schon einen VoIP Anschluß hast. Dafür hat deine mittlere Fritzbox 6360 einen ISDN Ausgang für den du ja auch bezahlst.
  • Dein NAS kannst du via Tunnel vermutlich auch ohne zusätzliche Hardware erreichen.
  • Ein Gastnetz nur mit Port 80 wird aber viele, sehr viele Proteste hervorrufen: Kein https, kein Email, kein Streaming...

Entweder stimmt was am Bild nicht oder deine Ideen passen nicht zur Ausführung.

Fragen:
  • Machst du das für eine erhöhte Sicherheit?
  • Machst du das aus interesse an IT, Weiterbildung?
  • Wie viele Teilnehmer sollen versorgt werden?

Vermutlich wirst du mit anderer Hardware auch Supportprobleme haben.
Wenn du eine UTM nicht fürs Routen und VPN verwendest ist sie hier irgenwie über. Der Zugriff aufs NAS kann auf verschiedenste Arten erfolgen SSH von extern wäre gut. Im Bild wäre aber möglicherweise dein WLAN ausgesperrt.


Gruß
Netman
Bitte warten ..
Mitglied: dog
31.08.2013, aktualisiert um 10:03 Uhr
Teilweise reagiert der Level 3 Support da ziemlich träge

Support bekommen ist bei Mikrotik leider eine reine Glückssache.

, daß gewisse Implementierungen welche eine UTM meiner Meinung nach haben sollte

UTM-Features hat MT gar nicht.

mit meinen iOS Geräten via openVPN

Der OpenVPN-Support in RouterOS ist praktisch unbrauchbar, da nur TCP (und MT weigert sich das zu fixen).
Allerdings funktioniert L2TP over IPSec zwischen ROS und iOS problemlos.

habe ich mir den CloudCore 1036 ausgesucht

Hast du zuhause Gigabit-Internet?
Wir handeln > 100 User und > 30 Mbit auf einem (mittlerweile veralteten) RB450G ab.
Einem Freund mit VDSL50, der seine Leitung gerne mal voll auslastet reicht ein RB750.
Für Zuhause würde ich heute einen RB750GL oder RB2011 nehmen - die Software-Features sind überall gleich.
Bitte warten ..
Mitglied: JeanValjean
31.08.2013 um 11:11 Uhr
Meine Leitung ist eine 128-er von UM (Kabel) und die Fritzbox 6360 wurde von mir "degradiert" was auch bei Geschäftskundentarif geht. Somit hat die Fritzbox 6360 nur 2 Aufgaben:

1. Als Kabelmodem
2. Als VoIP Telefonanlage
Der Rest ist komplett deaktiviert !

Die Routeraufgaben übernimmt ausschliesslich die UTM 25 von Netgear und was mich jetzt ein wenig verwundert ??? Wieso bietet MT denn openVPN Server an, wenn ich nicht in der Lage bin, eine Tunnelung via iOS z.B. hinzubekommen ???

Im Augenblick habe ich ja eine openVPN Lösung durch den Qnap denn ( oh Wunder ) bietet Qnap dieses Feature auch tatsächlich an und es funktioniert tadellos ( zumindest bei mir ).

Ach ja, und die Beiden Fritzboxen sind tatsächlich als AP eingerichtet ( hab mich verschrieben ), danke an Mr.Netman ;)

Bin da jetzt etwas baff, denn von MT hätte man doch erwarten können, daß die oVPN implementierung doch auch funktioniert ?!?

Und Nein, ich mache das nicht beruflich ( würde ich zwar gerne ) denn es ist mein Hobby und es soll ein 3 Parteienhaus versorgt werden ( wir stocken auf ) und da kommen immer wieder neue Geräte dazu ( neue iPhones, iPads, etc. ) .

Und ebenfalls ein Fehler in meiner Ausführung, einige Ports sollten ja ebenso erreichbar sein ( E-Mail, Streamingoptionen zum NAS, etc. ) also bezogen auf das Gastnetzwerk !

An Netgear störte mich eigentlich der Support ( wenn man Ihn denn so überhaupt nennen darf ) denn seit einigen Monaten schaffen die es einfach nicht einen Phone Stack Buffer Overflow zu fixen wobei ich den Support mehrfach angeschrieben habe und da frage ich mich ernsthaft, wofür ich denn überhaupt die Gebühr für ein Intrusion Prevention System bezahle wenn von denen rein garnichts kommt Hatte gehofft, daß es bei Mikrotik besser ist zumal es auch eine riesige englischsprachige Gemeinde gibt.

Ach ja, am MrNetman, danke für Dein Feedback ( auch mitten in der Nacht ) aber wollte Hobbymässig meine Sicherheit schon ein wenig erhöhen und dachte, daß es mit MT besser zu realisieren wäre als die Augenblickliche Flickschusterei mit verschiedenen Herstellern ;)
Bitte warten ..
Mitglied: MrNetman
31.08.2013 um 11:26 Uhr
Dann stimmt dein Bild doch nicht.
UTM hinter 6360, dann Switch und der Rest.
Für eine Dreifamilienhaus kannst du aber die UTM gut weiter nutzen, da sie ja mehr als einen Port hat.
Auch das WLAN würde ich dann an der UTM betreiben, wobei das Gastlan bei AVM immer einen anderen IP-Bereich hat, den du vielleicht via UTM weiter verbinden und kontrollieren kannst.
Die ISDN-Frage bist du schuldig geblieben. Hast du das an der Fritzbox abgemeldet und nutzt nur mehr Voip mit dem Gigaset?
Und ob die 6360 WLAN bietet, was als Modem ja definitionsmäßig schwer wäre, ist auch noch offen.
Bitte warten ..
Mitglied: Dobby
31.08.2013 um 11:43 Uhr
Hallo Jean,

irgend wie werde ich da nicht so schlau draus, aber ok das ist dann eben wieder so eine Sache ich bin ja auch nur
Heimanwender und kein Administrator.

Ausserdem finde ich es äußerst Schade, daß gewisse Implementierungen welche eine UTM meiner Meinung nach haben sollte aus Prinzip nicht eingebaut wird ( Beispiel openVPN Server, WebProxy, etc. ) aber egal,
Also weil in der Netgear UTM25 kein WebProxy integriert ist und auch kein OpenVPN Server wechselst Du zu MikroTik
sehe ich das richtig?

- Die UTM25 funktioniert und das seit Jahren
- Die UTM25 beherrscht 3 VPN Arten (PPTP, L2TP & IPSec)
- Den Support bekommt man bei Netgear aber! und kann auch weitere Supportverträge direkt bei Netgear abschließen
- Die UTM25 Scannt nach Viren, Malware und hat einen Kontentfilter!
- Es gibt auch einen 24H Austauschservice

- Der CCR1036-12G-4S ist auch sehr laut
- Hat keinen AV, scannt nicht nach Malware und keinen Kontentfilter
- Die VPN Fähigkeit bei dem CCR ist wohl eher bescheiden!
- RouterOS v6 ist noch nicht multicore lauffähig sondern der gesamte CCR läuft auf 1 Core!
- Support ist bei MikroTik genau 30 Tage Installationssupport danach muss auch dieser bezahlt
werden bei so genannten Konsultatoren und die fragen im Zweifelsfall auch MikroTik nach!!!

Ok es gibt drei Bücher zu RouterOS und auch Trainingseinheiten die man besuchen kann,
gar kein Thema das die Router kostengünstig und recht stark sind.

Dann stell Dir doch einen OpenVPN, WebPorxy und was weiß ich nicht alles auf einem kleinen Blech in die DMZ hin!
So etwas auf Soekris Basis wäre dafür doch gut! Mit Linux drauf und einem OVPN Server und Squid ist das doch schnell
erledigt, oder?

@dog
UTM-Features hat MT gar nicht.
Ich glaube er meint das genau anders herum und er will statt der UTM lieber den MT CCR weil der einen Webproxy hat.
Klar die UTM Funktionen sind dann eben nicht mehr vorhanden.

Also wenn schon denn schon, dann würde ich mir zur Zeit einen MiroTik RB1100AHx2 besorgen so lange es den noch
gibt der hat auch richtig viel "Power" unter der Haube, aber der funktioniert wenigstens fehlerfrei! Na klar kann man
da auch einen kleinen Server auf Soekris Basis dahinter stellen mit Squid + HAVP + Dansguardian gar kein Thema
nur das ist eben nicht das Selbe wie Deine UTM25, zumindest nicht in meinen Augen!

Ein RB2011 gibt es auch als Rack Version und mit einem oder zwei WLAN APs ist die Sache dann auch schon erledigt!
Und wenn Du bis Anfang 2014 wartest kannst Du Dir noch ein Cloud Router Switch besorgen.

Gruß
Dobby


P.S. Ich würde die UTM25 behalten und auch den Switch, aber ich würde mir einen kleinen Router so wie @dog holen
einen RB450G und den als Radius Server nehmen und eventuell zwei WLAN APs von MikroTik kaufen und mal über eine
DMZ und auch VLANs nachdenken wollen. Und wenn man dann mit MikroTik durchstarten, herum spielen, ROS besser
kennen lernen will, kann man sich doch immer noch ein oder zwei andere RBs holen und damit dann loslegen!!!!
Dann wird das Netzwerk wenigstens nicht beeinflusst und/oder gefährdet bzw. kompromittiert.
Bitte warten ..
Mitglied: JeanValjean
31.08.2013 um 13:01 Uhr
hehe, bin echt begeistert, wie man hier helfen möchte ;) Danke Dafür....

ja, die Zeichnung ist natürlich ein wenig falsch, und der Switch ist natürlich HINTER der UTM !

Zur Fritzbox 6360 Cable, im Geschäftskundenbereich hast Du die Möglichkeit die Wlan option deaktiviert zu lassen, die spielen Dir dafür ne bestimmte Image von UM drauf wo bestimmte Optionen deaktiviert bleiben. Die Telefonanlage ist eine Gigaset DX 800-A und soweit mir bekannt laufen alle Telefonate im Haus über VoIP also nicht über ISDN !

Zu Netgear UTM, das Problem ist bei mir folgendes, seit einigen Monaten gibt es einen Phone Stack Buffer Overflow und seitdem spielt meine UTM auch regelmässig verrückt und die Intrusion Prevention schlägt regelmässig Alarm und irgendwie scheinen die das nicht in den Griff zu bekommen bei Netgear. Fakt ist, daß meine Intrusion Prevention leider ausbleiben muss

Radius Server habe ich ja auf der Qnap nur nutzt mir der natürlich wenig mit den Fritzboxen da AVM ja kein WPA-Enterprise anbietet ( und zum freetzen habe ich keine Lust ), also werde ich mir auf jeden Fall einmal die besagten AP's von MT genauer anschauen, den Level 4 scheint ja da auch völlig auszureichen. Zumindest brauche ich W-Lan AP's welche mir die Möglichkeit geben mein Netz besser zu schützen und da ist die Fritzbox zwar für den Heimanwendergebrauch ganz okay aber auch mehr nicht. Ich werde Netgear mal anschreiben, irgendwie scheinen die mir auch ziemlich lahm zu sein, Beispiel iOS App zum einfacheren konfigurieren bzw. tunneln. Es kann ja nicht angehen, daß andere namhafte Hersteller dafür bereits Lösungen parat haben in Form von besagten Apps, nur scheint Netgear da irgendwie sehr phlegmatisch zu sein ( ich hab da keine Probleme, aber viele andere User die vielleicht nicht so bewandt sind eher ) und wo ist denn eigentlich das Problem einen Web-Proxy für das interne Lan bereit zu stellen zumal die Boxen ja alle ReadyNAS sind ? Das sind meines erachtens nach bereits Funktionen die jede UTM von Haus aus haben sollte.....ich danke Euch trotzdem allen für Eure Tipps und werde mir Eure Vorschläge genau testen aber auf jeden Fall müssen die Fritzbox AP,s wech ;)
Bitte warten ..
Mitglied: aqui
31.08.2013, aktualisiert um 15:18 Uhr
Mmmhhh, Fritzbox nur als Kabelmodem und dann soll VoIP noch laufen ?? Normalerweise ist das nicht der Fall, denn bei Passthrough verliert man auch die Voice Gateway Eigenschaften des Routers.
Kannst du ja ganz einfach mal checken....
Wenn du am WAN Port der UTM eine private IP hast arbeitet die FB fröhlich weiter als Router und du betreibst dann eine Router Kaskade mit FB und UTM.
"...eine Tunnelung via iOS z.B. hinzubekommen ???"
Das klappt auch nicht denn von sich aus kann iOS mit Bordmitteln nur IPsec und PPTP. Für OVPN musst du eine App benutzen.
IPsec funktioniert aber problemlos mit MT:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: JeanValjean
31.08.2013 um 18:53 Uhr
Hallo aqui,

also die Fritzbox 6360 hat keine private IP sondern eine externe statische ;) Ich kann Sie soweit in mein Lan garnicht einbinden sondern diese Aufgaben übernimmt die UTM.
Und openVPN habe ich durch die App realisiert wobei der oVPN Server auf dem NAS läuft und das sogar ziemlich gut und zuverlässig Deswegen dachte ich ja, das der CloudCore 1036 das auch beherrscht aber wie ich heute ja gelesen habe.....weit gefehlt
Wofür bieten die nen oVPN Server eigentlich an wenn er nicht zu funktionieren scheint ?
Bitte warten ..
Mitglied: AlArenal
04.09.2013 um 10:45 Uhr
Wie bereits anklang funktioniert IPSec mit dem MT soweit (bei mir) problemlos. Ich habe daheim noch einen RB751G der per IPSec hier am Büro an einem Watchguard-Cluster hängt. Ich habe hier auch zwei RB2011UAS, einmal in der Tischversion und einmal als 19". Sowas sollte für deine Zwecke ganz dicke langen. Ein 1036 ist völlig überdimensioniert, es sei denn du willst über einen AES256-Tunnel noch rasende Geschwindigkeiten erzielen (die "kleinen" RBs haben i.d.R. keine Hardware-Beschleunigung).

Wer unbedingt daheim UTM haben möchte, sollte sich vllt. mal die kleinen Watchguards anschauen, etwa die XTM25, 26 oder 33. Die reichem im SOHO-Bereich dicke und es gibt auch für diese Tischgeräte separate 19"-Einbaurahmen (oder man kauft gleich ne 330). Dann hat man auch SSL-VPN, etc. Mit dem Support über unseren Distributor waren wir immer sehr zufrieden, wenn wir ihn brauchten. Kommt nur nicht oft vor, da wir Watchguard (früher auch Astaro und Gateprotect) seit Jahren einsetzen und einen ganzen Haufen von Kunden-Installationen betreuen.
Bitte warten ..
Mitglied: JeanValjean
04.09.2013 um 14:37 Uhr
Hab bisher auch sehr viel positives von Watchguard gehört, werde mir mal die Demoversion von der XTM25 anschauen, dürfte ja eigentlich ähnlich der von Netgear sein ( die nehmen sich da wohl nicht viel ).
Hoffe aber wirklich, daß der Support von denen besser ist als der von Netgear, den Freude am administrieren ist anders
Bitte warten ..
Mitglied: AlArenal
04.09.2013, aktualisiert um 14:57 Uhr
Ich kenne die Netgear nicht von innen. Die Watchguards administrieren wir praktisch ausschließlich mit dem Systems Manager, einem Windows-Client. Die Systeme haben aber auch ein Web-Frontend. Wenn man grundsätzloch weiß wie die Dinger funktionieren kommt man intuitiv schon gut klar, für implementationspezifische Details gibt es dann eben die Online-Doku.
Im Vergleich zu den o.g. sonstigen Systemen empfinde ich die Watchguards als ziemlich straight forward, verständlich, übersichtlich und beim Wechsel von einem anderen System kann man im Rahmen der "Red Instead"-Aktion häufig gutes Geld sparen.

Das Einzige was ich ganz persönlich ab und an mal vermisse ist eine CLI-basierte Konfiguration, die man wie bei div. Managed Switchen und Routern per Copy & Paste bearbeiten kann. Die gibt es so bei anderen Herstellern aber meist auch nicht, denn schließlich ist das in erster Linie eine Firewall und kein Router mit zus. Firewall-Funktionalität. Die Konfig der Watchguards ist stattdessen als XML ausgeführt. Da kann man händisch drin rumhantieren, aber das ist natürlich nicht ganz so schnell und einfach gemacht. In der Praxis kommt es aber selten vor, dass man das mal wirklich vermisst, etwa wenn man einen BOVPN-Tunnel mit zwei Dutzend Netzen und jeweils 1:1-NAT "mal eben" duplizieren möchte. Das endet dann in einer Klickorgie. Aber dafür habe ich ja auch "Fußvolk" hier in der Technik, auf welches ich das abwälzen kann

P.S.:
UTM und IPS auf einzelnen Regeln haben natürlich immer so ihre Vor- und Nachteile, gerade auf "kleineren" Firewalls. Da ja z.B. SMTP, POP3 / IMAP, HTTP(S), ... durch transparente Proxys laufen um dort durch die Antispam- und Antivirus-Engines geschleust zu werden, kann man je nach Nutzungsprofil solche Geräte auch ins Schwitzen bringen, wenn alles und jedes erst aufwändig durchgescannt wird. Da muss / sollte man überlegen, ob etwa ein AV nicht auf den Arbeitsplätzen besser aufgehoben ist.
Bitte warten ..
Mitglied: itelis
12.09.2013 um 16:06 Uhr
Hallo in die Runde,

ich finde die Idee von der Watchguard auch gut. Muss allerdings zu bedenken geben, dass die Konfiguration für einen Hobby Admin doch etwas zu tricky erscheint. Wie bereits in diesem Thread erwähnt, gibt es noch einen interessanten Kandidaten für UTM. gateprotect ist ein rein deutsches Produkt mit einer total einfachen Bedienoberfläche. Da kommt wirklich jeder mit zurecht. Weitere Vorteile sind der deutschsprachige Support, die schnelle Ereichbarkeit (gateprotect sitzt in Hamburg) und die umfangreichen UTM Features. VPN ist natürlich auch mit an Board. Für die gestellte Aufgabe sollte sogar eine gateprotect GPO 150 reichen. Die Appliance ist ganz neu auf dem Markt und von der Performance wirklich gut. Testen kann man den Funktionumfang übrigens auch. Es gibt bei gateprotect einen Offline Client. Mit diesem kleinen Programm kann man sich eine virtuelle Firewall von gateprotect mal anschauen und die einfache Oberfläche mal ausprobieren.

Gruß

itelis
Bitte warten ..
Mitglied: AlArenal
12.09.2013 um 16:15 Uhr
Gateprotect hatten wir auch jahrelang vertrieben und wird nun bis auf die letzten Kunden Stück für Stück durch Watchguard ersetzt. Kleine Netzwerke bekommt man in dem Klickibunti-Interface der GPs schnell hin, aber darüber wirds echt tricky das noch sauber abgebildet zu bekommen. Nachzuvollziehen wie der Packet-Flow ist und welche Regel greift wird dann schnell zum Glücksspiel.

Meinen Technikern und mir kommt es da eher entgegen ein Gerät zu haben das in der Präsentation der Konfiguration näher an der tatsächlichen Funktionsweise ist. Man schaue sich nur die Firewall-Regeln in RouterOS an. Ist relativ leicht zu verstehen, dass die Regeln von oben nach unten bis zum ersten Match für das Paket durchgearbeitet werden. Bei der WG ist es nicht mehr so, weil sie nach best-match arbeitet (spezifischere Regeln haben Vorrang vor allgemeineren), aber das ist gewissermaßen noch einfacher..

Gateprotect... naja.. wir mussten vor Kurzem mal die GP-Konfig für das Netz eines großen verteilten Unternehmens erstellen (zwecks Produktwechsel, da die Firma aus den USA übernommen wurde), aber an sehr vielen Stellen ist aus dem Wust an Linien und Kästchen nicht herauszulesen wann da eigentlich was greift, zumal man ja auch erst draufklicken muss um Details zu erfahren (die man gerne im Ausdruck hätte).

Jedem Tierchen sein Plaisierchen..
Bitte warten ..
Mitglied: itelis
12.09.2013 um 16:33 Uhr
Hallo,

das mit der Übersichtlichkeit kenne ich. Das ist eine Sache der Strukturierung. Anstatt tausend Linien zwischen allen Symbolen auf dem Desktop zu verbinden, kann man auch die Konfiguration in Zonen und Ebenen einteilen. Wir grenzen bei unseren Konfigurationen Teilbereiche der Konfigurationen ab und hinterlegen diese Bereich in unterschiedlichen Farben.

Ich weiß genau wovon du sprichst. Ich habe schon eine ganze Menge Konfigurationen gesehen, die völlig unübersichtlich waren. Das liegt aber am Administrator. So ist die eGUI nicht gedacht. Nur wild Objekte mit Linien verbinden ist völlig sinnbefreit. Das sieht dann aus wie Kraut und Rüben. Auf der eGUI ist die Strukturierung bei großen Netzwerken halt sehr wichtig, ähnlich wie beim Regelwerk von Watchguard o. ä..

Für so ein kleines Netzt wie hier beschrieben, ist meiner Meinung nach auch durch einen Laien die Konfiguration erheblich einfacher als bei Watchguard. Ich möchte hier keinen Glaubenskrieg entfachen. Also jeder hat seinen Favoriten, meiner ist halt gateprotect .
Bitte warten ..
Mitglied: AlArenal
12.09.2013 um 16:37 Uhr
Oder eben Linux-Büchse mit sshd und iptables

Oder was ich auch mal hobbymäßig gemacht habe war bei eBay günstig olle Thin Clients schießen, Netzwerkkarte fr zweiten Port reinpappen, CF-Adapter auf den IDE-Port und m0n0wall o.ä. druff
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...