Alternativen zur Sophos UTM?

Bulldozer1930

Blog Benutzer
Hallo zusammen,

ich habe mir gestern einen Dedicated Server bei Hetzner bestellt und möchte darauf virtualisieren.

Damit ich aber sicher unterwegs bin, möchte ich eine kostengünstigere alternative zur Sophos UTM haben. Kennt jemand etwas gutes? (dies sollte auch virtualisiert werden)
 

Bulldozer1930

Blog Benutzer
Super vielen Dank. Pfsense kenne ich genauso wie den Fork OpnSense.

Habe aber schon lange nichts mehr mit Pfsense gemacht, die Oberfläche sah damals mehr als abschreckend aus :D

Ich werde mir gleich pfSense lokal mal anschauen.
Hat jemand da Erfahrungen welche besser von beiden ist? (pfSense vs OpnSense)

Und noch eine Frage an die Server Admins die längere Erfahrungen in diesem Bereich haben. Wie würdet ihr das lösen? Würdet ihr das genauso machen?
 

virtual2

Registered User
VyOS wäre eine gute Alternative ;-)

Ansonsten bevorzuge ich Juniper SRX, gibt kaum was besseres, allerdings geht das halt mit nem Mietserver nicht :)
 

storvi

New Member
Je nachdem wie du dein virtuelles Netzwerk aufbaust, hast du halt jedes Mal Probleme, wenn du den Virtualisierungshost aktualisierst oder die Firewall.

Wie stellst du dir das Netzwerk denn vor?

Gruß
Markus
 

Bulldozer1930

Blog Benutzer
Meintest du das?

Storage Netz: 10.50.115.0/24
Management Netz: 10.50.110.0/24
Kunden Netz: 10.50.105.0/24
VM Netz: 10.50.100.0/24

Da ich jetzt nur einen Host habe, ist es mir schon bewusst, dass ich hier sehr große Probleme haben werde, wenn entweder der Host abschmiert, oder ich ein Update machen muss.

Ein zweiter Host + Storage kann erst in einigen Wochen bestellt werden. Dann wird ein richtiger Failovercluster eingerichtet.
 

storvi

New Member
Es geht vielmehr darum, was du mit der Firewall schützen möchtest und wie du die in den Verkehr einschleifst.

Bei mir habe ich eine pfSense-VM, welche als Gateway für das WAN (Internet), Mgmt-Netz, LAN und die DMZ dient.

Ich habe jedoch noch einen dedizierten Rechner stehen, welcher zumindest auf die iLO-Interfaces, sowie die Mgmt-Interface der Virtualisierungshosts kommt, ohne von der Firewall abhängig zu sein. Im Notfall komme ich so wenigstens an die VM-Hosts.

Gruß
Markus
 

Thunderbyte

Moderator
Staff member
In diesem Fall halte ich Hetzner für den falschen Anbieter.

Es macht sehr viel Sinn, die VSphere (? wahlweise auch jede andere Adminoberfläche) Virtualisierungsoberfläche per Firewall mit VPN Zugang abzusichern, denn wer Zugriff darauf hat, hat Zugriff auf alles.

Die Firewall als VM auf den gleichen Virtualisierungshost zu packen und darüber auch die eigene VM-Adminoberfläche zu sichern macht jedoch m.E. keinen Sinn, denn so kann man sich wunderbar selbst aussperren.

Die Lösung der Wahl, die jedoch bei Hetzner nicht machbar ist, wäre eine dedizierte Standalone-Firewall (Appliance) vor den Virtualisierungshosts, die die Absicherung und das VPN zur Verwaltung erledigt. Das bietet Hetzner aber nicht, wohl aber andere Provider (u.a. auch hier im Forum).

Gleichfalls ein Argument gegen Hetzner sind m.E. die monatlichen Gebühren für zusätzliche IPs ( https://wiki.hetzner.de/index.php/IP-Adressen ), d.h. hier wird Geld für etwas verlangt, das den Provider selbst (nach Zuteilung) nichts kostet. Es gibt genug Provider (siehe z.B. https://www.ovh.de/dedicated_server/inklusiv-ips.xml oder auch Provider hier im Forum), die für zusätzliche IPs einmalige Gebühren verlangen (was OK ist) aber keine monatlichen Gebühren.
 

Bulldozer1930

Blog Benutzer
Wenn ich vergleichsweise nach dem gleichen Server bei OVH suche, kostet mich der fast der gleiche Server dort einige Euros mehr.

Bei Hetzner zahle ich 114€ mit zusätzl. IP und einer KVM.
Bei OVH kostet mich der Server allein, ohne die KVM 166,99€.

Geplant hatte ich zwei VMs, eine Firewall VM und eine VPN VM.
Auf der VPN VM, wird eine unix Distribution installiert + OpenVPN.
Die Firewall VM soll sich um das NAT kümmern.

Mein(e) Server sollen dadurch dann komplett vom Internet abgekoppelt sein und nur über VPN erreichbar sein. Im Notfall will ich die KVM nutzen, sollte was nicht funktionieren.
Hätte ich mir ein Dell Server von Hetzner geholt, hätte ich iDrac schon mit dabei, ich weiß, aber ich denke das wird so auch funktionieren.

Sollte ich zb. ein Webserver in Betrieb nehmen, dann will ich über die Firewall dem Server zb. Port 80 freigeben.

Und natürlich will ich mit der Firewall auch den internen Verkehr abtrennen, dass zb. jemand aus dem Kunden Netz in das Mgmt Netz gelangen kann.

(Sollte jemand etwas kritisches an meinem Plan sehen, dann sagts mir bitte :) )
 
Last edited by a moderator:

storvi

New Member
Womit virtualisierst du eigentlich?

Für deinen geplanten Anwendungsfall reicht eigentlich auch eine einfache iptables-Konfiguration.

Wenn du mit Proxmox virtualisierst könntest du auf die eingebaute Firewall setzen.

Wenn du eine separate FW-VM nimmst - warum eine separate VPN VM?

Gruß
Markus
 

Bulldozer1930

Blog Benutzer
Da hast du recht, ja stimmt dann werde ich die VPN bei der FW lassen.

Ich möchte mit Windows Server 2016 Hyper-V virtualisieren.
Oder würdet ihr Proxmox raten?

Mit Hyper-V kenne ich mich aus und ich habe ausschließlich nur Windows VMs im Betrieb.
 
Last edited by a moderator:

storvi

New Member
Naja, wenn du dich mit Produkt A auskennst, wäre es wahrscheinlich wenig sinnvoll sich mit Produkt B auseinanderzusetzen.

Prüfe, ob die Firewall von Windows Server 2016 deinen Anforderungen entspricht und die geforderten Funktionalitäten mitbringt und wenn dies der Fall ist nutze es.

Wenn nicht, musst du dir halt noch was anderes suchen.

Gruß
Markus
 

Bulldozer1930

Blog Benutzer
Ich danke euch vielmals für eure Hilfe.

Ich werde mein Netzwerk genauso aufbauen wie es storvi macht. Jedoch mit dem Unterschied das er pfSense benutzt und ich OPNsense nutzen werde.

Ich danke euch, ihr habt mir wirklich weitergeholfen :)
 

Thunderbyte

Moderator
Staff member
Dann wüsche ich Dir, dass die OPNSense niemals ausfällt und immer automatisch startet. Denn wenn damit etwas passiert, bist Du auf die KVM Lösung angewiesen, da Du dann komplett ausgesperrt bist.

Bei VSphere bräuchtest Du übrigens Hardware Raid, Hyper-V sollte auch Software Raid können (bitte vorher checken, nutze es selbst nicht).
 

storvi

New Member
Das möchte ich noch mal unterstreichen:

Ich habe diesen Netzaufbau nur gewählt, da ich in meinem 3-Knoten-Cluster in der Lage bin:
1. Die FW flexibel zwischen den Knoten hin und her zu schwenken
2. Ich Zugriff auf alle beteiligten Hosts per iLO habe (KVM)
3. Ich zur Not einen Wartungsport am Switch habe, der direkt im Mgmt-VLAN ist
4. Ich physischen Zugriff auf die Maschinen habe.

Gruß
Markus
 

Thunderbyte

Moderator
Staff member
Das klingt gut, sinnvoll und safe. Insbesondere, wenn man physischen Zugriff auf die Server hat.

1, 3 und 4 hat Bulldozer wohl nicht. Daher m.E. deutlich gefährlicher, sich auszuschließen.
 

storvi

New Member
Das Konzept funktioniert auch einwandfrei - ist für (meinen) Heimbedarf aber mittlerweile zu kompliziert.

Daher wird in Zukunft eine separate Box vorgeschaltet - diese kann dann auch ein Dritter "warten" und muss sich nicht erst aufwändig in mein Konstrukt einarbeiten.

Funktional gesehen läuft es aber alles, wie gewollt.

Testweise hatte ich auch mal ein pfSense-Cluster aufgesetzt - da war das mit der Wartung noch einfacher, da ich immer nur die inaktive Seite gepatched habe.

Aber Bulldozer muss das Risiko abschätzen - vor allem da es hier auch um Kundenseiten geht. Ich betreibe das nur für mich (wobei SLA mit meiner Frau auch entsprechend geahndet wird :))

Gruß
Markus
 

Bulldozer1930

Blog Benutzer
Ja, da habt ihr wohl recht.
Ich habe leider auch keinen physischen Zugang zu den Servern.

Als "Hintertürchen" habe ich immer noch die KVM, falls ich mich ausschließen sollte.
In den nächsten zwei Wochen wird darüber entschieden, ob ich mir nicht das Setup so aufbaue, dass ich zwei Hosts haben werde und ein Storage Server, damit ich ein Cluster aufbauen kann.

Ich lese auch immer wieder das Leute der Meinung sind, dass man ESXI im Business Bereich einsetzen soll. Die Kosten für eine ESXI Lizenz sind aber extremst teuer. Oder könnt ihr mir sagen, wie man an eine günstige Lizenz kommt?

Um auch die virtuelle Firewall richtig betreiben zu können, müsste ich meine Netzwerk Schnittstelle an die Firewall durchreichen, damit der Host nicht im WAN Netz ist. Da stelle ich grade fest, dass ich in Windows Server 2016 Probleme mit dem neuen Feature Discrete Device Assignment habe.
Ungern möchte ich es so haben, dass mein Host im WAN Netz ist.
Der Traffic soll lieber über die Firewall laufen, damit ich alles steuern kann...

Und bei ESXI weiß ich, dass der Passthrough funktionieren wird.

Frage: Wie würdet ihr das machen?
 
Last edited by a moderator:

storvi

New Member
Ich kenne mich jetzt nicht so mit dem Windows-Server aus, aber was meinst du mit "ins WAN hängen"?

Kann man die Administrationsschnittstelle (aka RDP) nicht entsprechend absichern, dass
1. Zugriff nur über Zertifikate (Client / Server)
2. Von einer festen IP (zur Not mietest du dir hier einen oder mehrere 2€-vServer für Portweiterleitung)

administriert werden kann?
Der Rest der Dienste (was ja im Regelfall primär Webseiten o.ä. sein dürften) regelst du über NAT/Redirection (ich hoffe sowas kann die Windows-Firewall) auf die entsprechende VMs.

Gruß
Markus
 

Top