25
Leistungsparameter bei Routern - Relevanz und Erfahrungswerte
Hallochen allerseits!
Die Welt der Router ist bekanntlich nicht nur bei den Abmaßen, sondern ebenso bei den Preisen von Winzling bis Gigant prall gefüllt. Dennoch sind am Ende die harte Fakten der Leistungsparameter entscheidend, ob das jeweilige Modell den Anforderungen gerecht werden wird oder nicht. Mit Blick auf die heutigen Breitbandangebote und deren künftige Entwicklung ist es zudem äußerst interessant, an der Schwelle zum internen Netz nicht mehr ein Kombigerät (Router mit Modem), sondern zwei Spezialisten einzusetzen. Das Modem sorgt für die notwendige Konnektivität nach außen und der Router erledigt die Aufgaben der Torwache.
Typische Aufgaben des Routers als Torwache sind: Firewall, VPN-Gateway, gegebenenfalls Proxy, Antivirus-Prüfung, DLP etc. Je nach Einsatzszenario kann dennoch bereits ein kleiner Router völlig ausreichend sein. Der reine Vergleich der Datenblätter hilft leider nicht immer weiter, weil sich erst im Realbetrieb zeigt, ob genügend Power unter der Haube ist. Mithin kommt es auf Erfahrungswerte an. Wie sind also solche Angaben wie zu Beispiel der Datendurchsatz praxisgerecht zu lesen? Welche Faustformeln gibt es für welche Parameter, um keinen Flaschenhals und keine Überdimensionierung einzukaufen? Wie wirkt sich VPN-Gateway auf dem Router - mit und ohne Hardwarebeschleunigung - auf die Leistungsanforderungen der Hardware aus? ...
Beispiel: Mathematisch sind 260 kpps freilich nur ein Viertel von 1 Mpps. Wie sieht das aber an einem VDSL100-Anschluss aus und wie sieht es aus, wenn der Router nicht nur ins Internet, sondern auch in ein zweites internes Netzwerk routet? Wird der kleinere Durchsatz bereits saturiert?
Mich interessiert also, auf welche Leistungsparameter mit welchen Dimensionierungsüberlegungen einschließlich etwaiger Sicherheitszuschläge es ankommt, um eine sachgerechte Auswahl treffen zu können.
Vorab vielen Dank für Eure Antworten und Anregungen.
HansDampf06
Die Welt der Router ist bekanntlich nicht nur bei den Abmaßen, sondern ebenso bei den Preisen von Winzling bis Gigant prall gefüllt. Dennoch sind am Ende die harte Fakten der Leistungsparameter entscheidend, ob das jeweilige Modell den Anforderungen gerecht werden wird oder nicht. Mit Blick auf die heutigen Breitbandangebote und deren künftige Entwicklung ist es zudem äußerst interessant, an der Schwelle zum internen Netz nicht mehr ein Kombigerät (Router mit Modem), sondern zwei Spezialisten einzusetzen. Das Modem sorgt für die notwendige Konnektivität nach außen und der Router erledigt die Aufgaben der Torwache.
Typische Aufgaben des Routers als Torwache sind: Firewall, VPN-Gateway, gegebenenfalls Proxy, Antivirus-Prüfung, DLP etc. Je nach Einsatzszenario kann dennoch bereits ein kleiner Router völlig ausreichend sein. Der reine Vergleich der Datenblätter hilft leider nicht immer weiter, weil sich erst im Realbetrieb zeigt, ob genügend Power unter der Haube ist. Mithin kommt es auf Erfahrungswerte an. Wie sind also solche Angaben wie zu Beispiel der Datendurchsatz praxisgerecht zu lesen? Welche Faustformeln gibt es für welche Parameter, um keinen Flaschenhals und keine Überdimensionierung einzukaufen? Wie wirkt sich VPN-Gateway auf dem Router - mit und ohne Hardwarebeschleunigung - auf die Leistungsanforderungen der Hardware aus? ...
Beispiel: Mathematisch sind 260 kpps freilich nur ein Viertel von 1 Mpps. Wie sieht das aber an einem VDSL100-Anschluss aus und wie sieht es aus, wenn der Router nicht nur ins Internet, sondern auch in ein zweites internes Netzwerk routet? Wird der kleinere Durchsatz bereits saturiert?
Mich interessiert also, auf welche Leistungsparameter mit welchen Dimensionierungsüberlegungen einschließlich etwaiger Sicherheitszuschläge es ankommt, um eine sachgerechte Auswahl treffen zu können.
Vorab vielen Dank für Eure Antworten und Anregungen.
HansDampf06
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390530
Url: https://administrator.de/contentid/390530
Printed on: April 19, 2024 at 16:04 o'clock
25 Comments
Latest comment
Moin,
Ganz einfach: "You get, what you pay for" ist die einfache Formel, auf die Du das reduzieren kannst.
Wenn Du Leistung willst, mußt Du dafür bezahlen. Am besten immer mit einer Teststellung ausprobieren, ob die Leistung Dir reicht.
Ist wie beim Auto: Je mehr Geld, desto mehr Komfort. Und immer eine Testfahrt vor dem Kauf machen.
lks
Ganz einfach: "You get, what you pay for" ist die einfache Formel, auf die Du das reduzieren kannst.
Wenn Du Leistung willst, mußt Du dafür bezahlen. Am besten immer mit einer Teststellung ausprobieren, ob die Leistung Dir reicht.
Ist wie beim Auto: Je mehr Geld, desto mehr Komfort. Und immer eine Testfahrt vor dem Kauf machen.
lks
Mit ist schon klar, dass man mit der "Gurke", die man kauft, auch leben muss. Oder man spielt "Bäumchen wechsle dich".
Doch das Versuch-und-Irrtum-Spiel meine ich mit meiner Fragestellung nicht. Genauso wenig meine ich, dass 260 kpps bei einer angenommenen Paketgröße von 64 Byte rechnerisch noch rund 26 Prozent Reserve haben, wenn lediglich ins Internet geroutet werden soll bei einer VDSL100-Leitung.
Meine Frage zielt vielmehr darauf ab, im Vorfeld summarisch abschätzen zu können, welcher Leistungsbedarf sinnvollerweise anzunehmen sein wird beziehungsweise welchen Leistungsbedarf ein konkreter Leistungsparameter wird sinnvoll abdecken können. Dass dabei beispielsweise 260 kpps nicht mit 100 Prozent anzusetzen sind, um nicht von vornherein am Limit zu liegen, ist selbstredend. Welcher Abschlag macht aber Sinn? Und das ist letztlich ein Erfahrungswert und genau darum geht es mir.
VG HansDampf06
Doch das Versuch-und-Irrtum-Spiel meine ich mit meiner Fragestellung nicht. Genauso wenig meine ich, dass 260 kpps bei einer angenommenen Paketgröße von 64 Byte rechnerisch noch rund 26 Prozent Reserve haben, wenn lediglich ins Internet geroutet werden soll bei einer VDSL100-Leitung.
Meine Frage zielt vielmehr darauf ab, im Vorfeld summarisch abschätzen zu können, welcher Leistungsbedarf sinnvollerweise anzunehmen sein wird beziehungsweise welchen Leistungsbedarf ein konkreter Leistungsparameter wird sinnvoll abdecken können. Dass dabei beispielsweise 260 kpps nicht mit 100 Prozent anzusetzen sind, um nicht von vornherein am Limit zu liegen, ist selbstredend. Welcher Abschlag macht aber Sinn? Und das ist letztlich ein Erfahrungswert und genau darum geht es mir.
VG HansDampf06
Hallo HansDampf,
was ist der Hintergrund der Frage?
Du musst zusammen addieren, was du an Leistung brauchst, und welche Arten der Leistung du brauchst und am Ende hast du Grob, worauf du sizen musst.
All das ist eine Frage der Erfahrung. Richtwerte findest du überall, die Erfahrung kannst du nur durch eben diese bekommen.
VG
was ist der Hintergrund der Frage?
Du musst zusammen addieren, was du an Leistung brauchst, und welche Arten der Leistung du brauchst und am Ende hast du Grob, worauf du sizen musst.
All das ist eine Frage der Erfahrung. Richtwerte findest du überall, die Erfahrung kannst du nur durch eben diese bekommen.
VG
Hallo,
Normal findet man bei den Herstellern Infos zur Dimensionierung. Ein bisschen Reserven noch dazu und gut ist.
Normal findet man bei den Herstellern Infos zur Dimensionierung. Ein bisschen Reserven noch dazu und gut ist.
Moin,
es kommt wie immer bei solcher Hardware auf den Anwendungsfall an. Es kann niemand ein Konzept vorher bestimmen.
Auch bei uns gibt es zwar Konzepte die wir dem Kunden anbieten. Im Endeffekt wird es immer eine Individuelle Lösung.
Gruß
Spirit
es kommt wie immer bei solcher Hardware auf den Anwendungsfall an. Es kann niemand ein Konzept vorher bestimmen.
Auch bei uns gibt es zwar Konzepte die wir dem Kunden anbieten. Im Endeffekt wird es immer eine Individuelle Lösung.
Gruß
Spirit
Moin,
du hast es schon korrekt erkannt: Erfahrung! Denn das eine ist ja was in den Datenblättern steht. Da wäre es eigentlich einfach: "Das grösste was geht". Und oft genug wird genau das auch gemacht. Man nehme den bevorzugten Hersteller (alles andere is ja eh müll....) und verkaufe / nutze dies.
Wenn du aber die Erfahrung hast und entweder den Kunden oder eben den eigenen Laden auch kennst dann kannst du erst sinnvoll sagen was SINN macht. Beim Router z.B. wäre die Frage wieviele gleichzeitige VPN-Tunnel möglich sind und was die leisten. Hast du das kleine 1-Mann-Unternehmen dann reicht 1 Tunnel und Geschwindigkeit ist eher nicht so relevant. Was aber wenn du z.B. deinen Aufbau (Modem, Router getrennt) machen möchtest aber das Unternehmen in dem du das nutzen willst nen Anbieter hat der dir gar nicht die Wahl lässt -> dann kannst du deinen Aufbau entweder durchziehen und mit doppeltem NAT leben ODER dich anpassen. Was passiert wenn du am Ende feststellst das der Chef vom Kunden gesagt hat das er grad mal 5 aktive Tunnel braucht und leider vergessen hat das er grad noch in China 20 neue Leute eingestellt hat die ja auch irgendwie ran müssen....
Und auch deine Aussage "Typische Aufgaben eines Routers" ist so pauschal erst mal falsch. Aufgabe des Router ist - ROUTEN! Du KANNST natürlich auch andere Dinge auslagern und je nach Umgebung macht das auch Sinn. Was meinst du wenn du bei Mercedes, Lufthansa, VW oder ähnlichen Konzernen in der grössenordnung bist. Willst du wirklich die Firewall auf dem Router machen? Die CPU dürfte durchglühen - und nebenbei sind das auch idR. unterschiedliche Abteilungen die das ganze betreuen. Blöd wenn du alles aufm Router hast. Proxy und Antivirus ist dagegen idR. ganz sicher nicht die Aufgabe des Routers -> da der sich gar nicht auf dem Level bewegen soll. Das wäre dann die Firewall ODER ein entsprechender Applikationsfilter. Auch da: Du kannst es (ggf.) auf dem Router laufen lassen aber nagelst die CPU dann damit zu und verlierst am Ende die Geschwindigkeit auf der Leitung. Bei nem kleinen Unternehmen ggf. kein Problem weil der Router z.B. 1 GBit schafft die aber grad ne 20 mBit-Leitung haben. Bei entsprechender Grösse jedoch fatal.
Dann hast du noch den nächsten Punkt: WO ist es eingebaut? Bist du in nem normalen Büro mit extra Serverraum - kein Ding. Stehen die Geräte irgendwo im Arbeitsbereich ist die Lautstärke ein Problem. Auch einfach zu lösen... Was machst du wenn du deine Geräte z.B. in nem Bus/Bahn einsetzen möchtest? Da ist nich einfach mit "ich häng mal irgendwas rein", das lässt du erst mal schön abnehmen. Schon solltest du als Randbedingung auch haben das dieses Gerät einige Jahre verfügbar ist. Blöd wenn du nen Gerät hast die es technisch ggf. könnte aber das Modell alle 6 Monate wechselt... Wenn du jetzt noch ne Etage hoch gehst und guckst was die im Flieger haben -> komm da der Firma mal mit nem Modell was zwar technisch toll ist aber dafür 20 KG extra mitbringt und nicht zertifiziert ist.
Von daher: OHNE Erfahrung und die genauen Umgebungen zu betrachten gibt es da keine allgemeine Lösung.
du hast es schon korrekt erkannt: Erfahrung! Denn das eine ist ja was in den Datenblättern steht. Da wäre es eigentlich einfach: "Das grösste was geht". Und oft genug wird genau das auch gemacht. Man nehme den bevorzugten Hersteller (alles andere is ja eh müll....) und verkaufe / nutze dies.
Wenn du aber die Erfahrung hast und entweder den Kunden oder eben den eigenen Laden auch kennst dann kannst du erst sinnvoll sagen was SINN macht. Beim Router z.B. wäre die Frage wieviele gleichzeitige VPN-Tunnel möglich sind und was die leisten. Hast du das kleine 1-Mann-Unternehmen dann reicht 1 Tunnel und Geschwindigkeit ist eher nicht so relevant. Was aber wenn du z.B. deinen Aufbau (Modem, Router getrennt) machen möchtest aber das Unternehmen in dem du das nutzen willst nen Anbieter hat der dir gar nicht die Wahl lässt -> dann kannst du deinen Aufbau entweder durchziehen und mit doppeltem NAT leben ODER dich anpassen. Was passiert wenn du am Ende feststellst das der Chef vom Kunden gesagt hat das er grad mal 5 aktive Tunnel braucht und leider vergessen hat das er grad noch in China 20 neue Leute eingestellt hat die ja auch irgendwie ran müssen....
Und auch deine Aussage "Typische Aufgaben eines Routers" ist so pauschal erst mal falsch. Aufgabe des Router ist - ROUTEN! Du KANNST natürlich auch andere Dinge auslagern und je nach Umgebung macht das auch Sinn. Was meinst du wenn du bei Mercedes, Lufthansa, VW oder ähnlichen Konzernen in der grössenordnung bist. Willst du wirklich die Firewall auf dem Router machen? Die CPU dürfte durchglühen - und nebenbei sind das auch idR. unterschiedliche Abteilungen die das ganze betreuen. Blöd wenn du alles aufm Router hast. Proxy und Antivirus ist dagegen idR. ganz sicher nicht die Aufgabe des Routers -> da der sich gar nicht auf dem Level bewegen soll. Das wäre dann die Firewall ODER ein entsprechender Applikationsfilter. Auch da: Du kannst es (ggf.) auf dem Router laufen lassen aber nagelst die CPU dann damit zu und verlierst am Ende die Geschwindigkeit auf der Leitung. Bei nem kleinen Unternehmen ggf. kein Problem weil der Router z.B. 1 GBit schafft die aber grad ne 20 mBit-Leitung haben. Bei entsprechender Grösse jedoch fatal.
Dann hast du noch den nächsten Punkt: WO ist es eingebaut? Bist du in nem normalen Büro mit extra Serverraum - kein Ding. Stehen die Geräte irgendwo im Arbeitsbereich ist die Lautstärke ein Problem. Auch einfach zu lösen... Was machst du wenn du deine Geräte z.B. in nem Bus/Bahn einsetzen möchtest? Da ist nich einfach mit "ich häng mal irgendwas rein", das lässt du erst mal schön abnehmen. Schon solltest du als Randbedingung auch haben das dieses Gerät einige Jahre verfügbar ist. Blöd wenn du nen Gerät hast die es technisch ggf. könnte aber das Modell alle 6 Monate wechselt... Wenn du jetzt noch ne Etage hoch gehst und guckst was die im Flieger haben -> komm da der Firma mal mit nem Modell was zwar technisch toll ist aber dafür 20 KG extra mitbringt und nicht zertifiziert ist.
Von daher: OHNE Erfahrung und die genauen Umgebungen zu betrachten gibt es da keine allgemeine Lösung.
Moin ...
Du möchtest Erfahrungswerte? Bittaschö:
Wir leben in Zeiten des Geschwindigkeitrausches und Größenwahnsinns ... was nützt dir eine solche Prognose die eine Halbwertszeit von ca. einem Jahr hat?
Aktuelle Technik hat nicht mehr den Anspruch dich über ein Jahrzehnt glücklich zu machen.
Wie schon geschrieben wurde, sind viele Aufgaben die du dem Router zuschreibst gar nich für solch einen geeignet. Bei mehreren Netzen, kannst du das Routing zusätzlich auf weitere Router verlagern.
Sinnvoller ist also eine Bestandsaufnahme der tatsächlichen Gegebenheiten > Internetverbindung, Netzstruktur, Anzahl der Gerätschaften also die Infrastruktur zu betrachten.
Willst du nur einen einzelnen Rechner in das Netz hängen ist das z.B. völlig wurscht.
VG
Zitat von @HansDampf06:
Welcher Abschlag macht aber Sinn? Und das ist letztlich ein Erfahrungswert und genau darum geht es mir.
Welcher Abschlag macht aber Sinn? Und das ist letztlich ein Erfahrungswert und genau darum geht es mir.
Du möchtest Erfahrungswerte? Bittaschö:
Wir leben in Zeiten des Geschwindigkeitrausches und Größenwahnsinns ... was nützt dir eine solche Prognose die eine Halbwertszeit von ca. einem Jahr hat?
Aktuelle Technik hat nicht mehr den Anspruch dich über ein Jahrzehnt glücklich zu machen.
Wie schon geschrieben wurde, sind viele Aufgaben die du dem Router zuschreibst gar nich für solch einen geeignet. Bei mehreren Netzen, kannst du das Routing zusätzlich auf weitere Router verlagern.
Sinnvoller ist also eine Bestandsaufnahme der tatsächlichen Gegebenheiten > Internetverbindung, Netzstruktur, Anzahl der Gerätschaften also die Infrastruktur zu betrachten.
Willst du nur einen einzelnen Rechner in das Netz hängen ist das z.B. völlig wurscht.
VG
Darf ich deine Kernaussage untermauern?
gilt dem widersprochen:
Sag das mal einem, der mit Aktien handelt und auf Sekundengenaue Anzeigen angewiesen ist. Der kann aufgrund zu hoher Latenz mal kurz den Routeraufbau einer 50 Mann Firma verlieren. (natürlich auch so, aber das ist dann kein technisches Problem - in der Hinsicht).
Wie immer: It depends und hier hilft eben kein Forum, das muss man selbst erarbeiten.
Von daher: OHNE Erfahrung und die genauen Umgebungen zu betrachten gibt es da keine allgemeine Lösung.
gilt dem widersprochen:
Hast du das kleine 1-Mann-Unternehmen dann reicht 1 Tunnel und Geschwindigkeit ist eher nicht so relevant.
Sag das mal einem, der mit Aktien handelt und auf Sekundengenaue Anzeigen angewiesen ist. Der kann aufgrund zu hoher Latenz mal kurz den Routeraufbau einer 50 Mann Firma verlieren. (natürlich auch so, aber das ist dann kein technisches Problem - in der Hinsicht).
Wie immer: It depends und hier hilft eben kein Forum, das muss man selbst erarbeiten.
Deshalb ja auch das mit den Sonderfällen und der Umgebung... Denn schön das der Router für den 1-Mann-Aktienhändler super schnell läuft, dumm wenn du dann den Vogel versuchst in nen Flieger oder nen Schiff zu bauen oder wenn du meinst das DIES Gerät ja super schnell ist und du das hinter ne Sat-Leitung klemmst (ich habe hier Ping-Zeiten die bei 500ms anfangen, können aber durchaus auch mal 30+ Sekunden sein! -> da hilft dir dann der Router eher wenig ....)
Hallo,
Die Datenblätter sind das Eine.
Die richtige Interpretation für den eigenen Anwendungsfall das Andere.
Die c't hat hier mal Router (abseits von Speedport und Fritz!Box) getestet
https://www.heise.de/ct/ausgabe/2017-14-Netzwerksicherheit-WLAN-Router-f ...
Schaut man sich mal die Tabelle "NAT Downstream" an, bleibt je nach Verbindung und Gerät nicht mehr viel übrig von dem GBit-Anschluss.
Gruß
Die Datenblätter sind das Eine.
Die richtige Interpretation für den eigenen Anwendungsfall das Andere.
Die c't hat hier mal Router (abseits von Speedport und Fritz!Box) getestet
https://www.heise.de/ct/ausgabe/2017-14-Netzwerksicherheit-WLAN-Router-f ...
Schaut man sich mal die Tabelle "NAT Downstream" an, bleibt je nach Verbindung und Gerät nicht mehr viel übrig von dem GBit-Anschluss.
Gruß
@maretz und auch die anderen:
Letztlich habt ihr das noch einmal formuliert, worüber ich mir selbst im Klaren bin. Ich hatte lediglich gehofft, dass es vielleicht so etwas wie eine griffige Faustformel zu dem einen oder anderen Leistungsparameter geben könnte, die die Vorauswahl bei der Hardwaresuche erleichtert ...
Real geht es um eine eher kleinere Umgebung. Deren Torwächter ist eine FortiGate 60D - insoweit ist der verallgemeinernde Begriff "Router" etwas daneben zugegeben. Die FortiGate soll in nächster Zeit ersetzt werden, wobei der Zug dann eher in Richtung OpenWrt, OpenVPN etc. gehen soll ... Hieraus ergeben sich aber noch Fragen, die zu gegebener Zeit zu klären sein werden. Jedenfalls wird dafür die taugliche Hardware benötigt.
Im Übrigen es ist auch für mich genau so, wir ihr es beschrieben habt: Bei einem entsprechenden Anforderungsprofil tendiere ich eher zum Spezialisten als zum Generalisten, also im Zweifel mehrere Geräte.
Somit Danke für das Feedback, weil es gleichwohl noch einmal den Blick auf die anzustellenden Überlegungen schärft.
HansDampf06
Letztlich habt ihr das noch einmal formuliert, worüber ich mir selbst im Klaren bin. Ich hatte lediglich gehofft, dass es vielleicht so etwas wie eine griffige Faustformel zu dem einen oder anderen Leistungsparameter geben könnte, die die Vorauswahl bei der Hardwaresuche erleichtert ...
Real geht es um eine eher kleinere Umgebung. Deren Torwächter ist eine FortiGate 60D - insoweit ist der verallgemeinernde Begriff "Router" etwas daneben zugegeben. Die FortiGate soll in nächster Zeit ersetzt werden, wobei der Zug dann eher in Richtung OpenWrt, OpenVPN etc. gehen soll ... Hieraus ergeben sich aber noch Fragen, die zu gegebener Zeit zu klären sein werden. Jedenfalls wird dafür die taugliche Hardware benötigt.
Im Übrigen es ist auch für mich genau so, wir ihr es beschrieben habt: Bei einem entsprechenden Anforderungsprofil tendiere ich eher zum Spezialisten als zum Generalisten, also im Zweifel mehrere Geräte.
Somit Danke für das Feedback, weil es gleichwohl noch einmal den Blick auf die anzustellenden Überlegungen schärft.
HansDampf06
Warum möchtest du die forti denn durch einen openwrt ersetzen? Egal auf welchem Level, das ist ein Rückschritt...
Zitat von @falscher-sperrstatus:
Warum möchtest du die Forti denn im ein OpenWRT ersetzen? Egal auf welchem Level, das ist ein Rückschritt...
Warum möchtest du die Forti denn im ein OpenWRT ersetzen? Egal auf welchem Level, das ist ein Rückschritt...
Kollege Certified hat mit dem Rückschritt definitve Recht.
Meine Vorliebe ist eine "Fortigate" definitve nicht. Aber genaus so wenig mit einem OpenWRT Router zu ersetzen.
Ansatzweise kommt da möglicherweise noch PfSense ins Rennen.
Da ich viel mit Watchguard zu tun habe würde ich eben diese empfehlen.
Das ganze ist doch eben von vielen Faktoren abhängig, eben auch von dem Management Know How.
Spirit, bitte kurz die Typos korrigieren, irgendwie spinnt meine Autokorrektur 
Übrigens, ich werf mal die Sophos in den Ring.
Übrigens, ich werf mal die Sophos in den Ring.
@certifiedit.net:
Grundsätzlich ist die FortiGate nicht schlecht; die Aufgaben, die mit ihr gelöst werden können, sind vielfältig und für eine kleinere Umgebung sinnvoll zusammengefasst. Andernfalls wäre sie ja auch nicht im Einsatz. In letzter Zeit sind aber die Filterregeln vielfältiger und differenzierter geworden. Seither ist spürbar, dass die FortiGate in ihre Grenzbereiche kommt, was sich unter anderem in einem spürbar zäherem Internetzugriff zeigt. Hinzu kommt, dass bei den Filterregeln der Einsatz von Wildcards in FQDN's eher nicht funktioniert. Ohne Wildcards macht man sich bei der Administration der Adressen teilweise tot.
Ein weiterer Grund ist, die Möglichkeit zu haben, den Torwächter noch stärker individuell anpassen und steuern zu können. Was aus meinem derzeitigen Blickwinkel heraus mit OpenWrt & Co. eher möglich ist, als mit einem letztlich proprietären Herstellergerät und dessen engen Vorgaben.
Aber warum wäre ein solcher Wechsel in jeder Hinsicht ein Rückschritt? Was sind aus Deiner Sicht die überzeugenden Argumente, die die FortiGate gegenüber einer Open-Source-Lösung exponieren?
Grundsätzlich ist die FortiGate nicht schlecht; die Aufgaben, die mit ihr gelöst werden können, sind vielfältig und für eine kleinere Umgebung sinnvoll zusammengefasst. Andernfalls wäre sie ja auch nicht im Einsatz. In letzter Zeit sind aber die Filterregeln vielfältiger und differenzierter geworden. Seither ist spürbar, dass die FortiGate in ihre Grenzbereiche kommt, was sich unter anderem in einem spürbar zäherem Internetzugriff zeigt. Hinzu kommt, dass bei den Filterregeln der Einsatz von Wildcards in FQDN's eher nicht funktioniert. Ohne Wildcards macht man sich bei der Administration der Adressen teilweise tot.
Ein weiterer Grund ist, die Möglichkeit zu haben, den Torwächter noch stärker individuell anpassen und steuern zu können. Was aus meinem derzeitigen Blickwinkel heraus mit OpenWrt & Co. eher möglich ist, als mit einem letztlich proprietären Herstellergerät und dessen engen Vorgaben.
Aber warum wäre ein solcher Wechsel in jeder Hinsicht ein Rückschritt? Was sind aus Deiner Sicht die überzeugenden Argumente, die die FortiGate gegenüber einer Open-Source-Lösung exponieren?
Sophos hatte damals bei der Auswahl (2013) den Kampf gegen Fortinet bzw. die FortiGate verloren!
Und es stimmt: Das FortiOS ist beim Administrieren teilweise echt "Hardcore".
Auch wenn ich pfSense nicht ausdrücklich erwähnt habe, ist es dennoch im Blickfeld. Immerhin ist (/soll) pfSense deutlich leistungsfähiger als OpenWrt (sein).
Und es stimmt: Das FortiOS ist beim Administrieren teilweise echt "Hardcore".
Auch wenn ich pfSense nicht ausdrücklich erwähnt habe, ist es dennoch im Blickfeld. Immerhin ist (/soll) pfSense deutlich leistungsfähiger als OpenWrt (sein).
Eine Watchguard mit SSO wird dir Freude bereiten.
Wenn du dir dazu Infos wünscht kannst du dich gerne per PN bei mir melden.
Im Prinzip lässt sich dadurch ein Regelwerk mit dem AD verknüpfen.
Also per Gruppenrichtlinen der Zugriff definieren.
Edit:
Ich glaube ich habe in irgend einem Thread erwähnt, dass ich die Sophos FW nicht sonderlich ansprechend finde.
Das liegt daran, das ich den Hersteller viel mehr im Antiviren Segement sehen. Denn dort machen die einen sehr guten Job!
Wenn du dir dazu Infos wünscht kannst du dich gerne per PN bei mir melden.
Im Prinzip lässt sich dadurch ein Regelwerk mit dem AD verknüpfen.
Also per Gruppenrichtlinen der Zugriff definieren.
Edit:
Ich glaube ich habe in irgend einem Thread erwähnt, dass ich die Sophos FW nicht sonderlich ansprechend finde.
Das liegt daran, das ich den Hersteller viel mehr im Antiviren Segement sehen. Denn dort machen die einen sehr guten Job!
Auch wenn ich pfSense nicht ausdrücklich erwähnt habe, ist es dennoch im Blickfeld. Immerhin ist (/soll) pfSense deutlich leistungsfähiger als OpenWrt (sein).
PfSense ist ja auch genau auf den Einsatzzweck getrimmt.
OpenWRT entstand meines Wissens nach aus dem Erweitern bestehender Hardware.
Wenn du kurz mit genauen Details kommst, können wir dir mit Erfahrungen zur Seite stehen.
Jeder Hersteller hat seine Vor- und Nachteile.
Bei der Geschichte mit OpenWRT sehe ich nicht, dass Ihr euch steigern wollt.
2013 ist nicht 2018, aber wenn dir die HW nicht mehr reicht, dann solltest du ggf. nicht den Hersteller, sondern nur die HW aufrüsten, ich mein 2018 auf heute sind Welten. 
@Spirit-of-Eli
Da bist du falsch verdrahtet. Die Sophos UTM ist der Nachfolger der Astaro USG, welches ein komplett autark (hinzugekaufter) Zweig ist.
Klar, dass die auch die AV Engine von Sophos mittlerweile implementiert haben.
@Spirit-of-Eli
Da bist du falsch verdrahtet. Die Sophos UTM ist der Nachfolger der Astaro USG, welches ein komplett autark (hinzugekaufter) Zweig ist.
Klar, dass die auch die AV Engine von Sophos mittlerweile implementiert haben.
@Spirit-of-Eli
Da bist du falsch verdrahtet. Die Sophos UTM ist der Nachfolger der Astaro USG, welches ein komplett autark (hinzugekaufter) Zweig ist.
Klar, dass die auch die AV Engine von Sophos mittlerweile implementiert haben.
Da bist du falsch verdrahtet. Die Sophos UTM ist der Nachfolger der Astaro USG, welches ein komplett autark (hinzugekaufter) Zweig ist.
Klar, dass die auch die AV Engine von Sophos mittlerweile implementiert haben.
Mich überzeugt genau diese Produkt leider nicht.
Klar, wenn wir auf die oberste Schiene gehen sind wir bei Palo Alto.
In dem Segment sehe ich mittlerweile aber gerade Watchguard sehr weit vorne.
Ich weiß das der Hersteller gerade Welt weit einen absoluten Höhenflug hinlegt und in dem Segment durchaus sehr leistungsstark ist.
Meine Erfahrung ist, das viele den Support bemängeln. Gerade an dem Punkt ist die Frage, mit welchem Dienstleister zusammen gearbeitet wird.
Angenommen ich machen einen Call auf beim WA Support, dann habe ich innerhalb von einer halben Stunde eine Rückmeldung. Sollte das Thema sich nicht direkt lösen lassen habe ich bei meiner zweiten Rückmeldung die Entwicklungsabteilung mit in dem Boot.
Aus meiner Sicht ist das ein sehr guter Hersteller. Ich möchte hier auch nicht auf irgend welche Features eingehen denn mein Job ist nicht hier irgend eine promo zu fahren.
Zitat von @falscher-sperrstatus:
2013 ist nicht 2018, aber wenn dir die HW nicht mehr reicht, dann solltest du ggf. nicht den Hersteller, sondern nur die HW aufrüsten, ich mein 2018 auf heute sind Welten.
2013 ist nicht 2018, aber wenn dir die HW nicht mehr reicht, dann solltest du ggf. nicht den Hersteller, sondern nur die HW aufrüsten, ich mein 2018 auf heute sind Welten.
Natürlich entwickelt sich alles weiter. Und es zeigt sich das allgemeine Problem, dass der notwendige Austausch der Hardware weitreichende Konsequenzen haben kann. Im Bereich der Virtualisierung wird diese Abhängigkeit weitestgehend aufgelöst (abgesehen vom Hypervisor), weil den virtuellen Maschinen die reale Hardware zumeist egal ist.
Einen ähnlichen großen Vorteil sehe beim Einsatz von Open-Source-Lösungen gegenüber proprietären Herstellerlösungen. Es kommt "lediglich" auf die passende Firmware (/ den Kernel) an, auf die dann alles andere aufsetzt. Bis auf diese Firmware würde dann ebenfalls die Hardware gegen egal tendieren. Es eröffnen sich ganz andere und wohl auch größere Freiräume. Unter anderem muss bei einem Hardwaretausch nicht mehr erneut die Glaubensfrage, welchem Hersteller denn nun die Treue zu schwören sei, gestellt werden. Das mühselige erneute Einarbeiten in die Welt eines anderen Herstellers wird entbehrlich.
Eine andere Frage ist natürlich der Supportbedarf, wobei auch dort im Open-Source-Bereich keine Wüste herrscht.
Um in diesem Zusammenhang beim pfSense als Beispiel zu bleiben. Hier kann ein NUC als Hardware reichen. Genauso gut kann es eine aufgebohrte Turbomaschine sein. Virtualisierung kommt ebenfalls in Betracht - insbesondere auch als Teststellung. Die Konfiguration - also das eigentliche Ergebnis des "geistigen Schaffens" des Administrators bleibt ungeachtet der Hardware und deren Austausch erhalten. Hier sehe ich erhebliche Effizienz- und gegebenenfalls auch Kostenvorteile.
Daher denke ich auch nicht nur über einen bloßen Hardwaretausch beim selben Hersteller, sondern über einen neuen konzeptionellen Ansatz nach.
Hallo HansDampf,
naja du bleibst immer bei einem Hersteller, hast du schonmal einen Apache auf einen nginx migriert? (nicht nur ne WP Installation?).
Bei Sophos hast du über die Subscription immer die aktuellste Firmware und da ist es dann de facto egal, von wo du kommst, du kannst das Backup der alten Serie einspielen und gut ist.
Also de facto: Irgendwem schwörst du immer die Treue, ist natürlich komfortabler, wenn man es selbst machen kann, aber setzt du auf einen speziellen Dienstleister mit vertieften Kenntnissen, dann hast du auch bei OS wieder das Problem. Vor allem, da du ja gar nicht zu 100% (meist nicht mal 10) abschätzen kannst, was dahinter alles läuft.
Übrigens: Theoretisch kannst du auch auf einem NUC die Sophos SW am laufen haben. Ich hab leider weder die Zeit, noch die Lust statt 500€ in die Basic HW der Sophos 500€ in einen NUC zu stecken. Ich wette aber mit dir, wenn du den Funktionsumfang der Sophos komplett erschliessen willst, bist du bei "freier" Konfiguration bei einem Nuc und co teurer.
Übrigens: Keine Promo, nur denke ich, ist der billigst Ansatz meist eine Nebelkerze. Sobald du darüber nachdenkst Dienste einzukaufen, ist eine Sophos min genauso gut, wie einzelne OS Dienste konfigurieren zu lassen, denn, de facto ist eine Sophos auch nur ein veredeltes OS Konglomerat mit den üblichen Libraries, wobei sich hier natürlich ein ganzes Team an spezialisten um Auswahl, konfiguration und vorbereitung + Instandhaltung kümmert.
Soweit, so gut. Wenn du das selbst machen willst: pfSense, wenn du jemanden hinzuziehen willst bist du schon im Bereich OS-Dienstleistung "kaufen" und dementsprechend kannst du auch über Sophos und Konsorten nachdenken.
Nur: lass das mit dem OpenWRT sein
naja du bleibst immer bei einem Hersteller, hast du schonmal einen Apache auf einen nginx migriert? (nicht nur ne WP Installation?).
Bei Sophos hast du über die Subscription immer die aktuellste Firmware und da ist es dann de facto egal, von wo du kommst, du kannst das Backup der alten Serie einspielen und gut ist.
Also de facto: Irgendwem schwörst du immer die Treue, ist natürlich komfortabler, wenn man es selbst machen kann, aber setzt du auf einen speziellen Dienstleister mit vertieften Kenntnissen, dann hast du auch bei OS wieder das Problem. Vor allem, da du ja gar nicht zu 100% (meist nicht mal 10) abschätzen kannst, was dahinter alles läuft.
Übrigens: Theoretisch kannst du auch auf einem NUC die Sophos SW am laufen haben. Ich hab leider weder die Zeit, noch die Lust statt 500€ in die Basic HW der Sophos 500€ in einen NUC zu stecken. Ich wette aber mit dir, wenn du den Funktionsumfang der Sophos komplett erschliessen willst, bist du bei "freier" Konfiguration bei einem Nuc und co teurer.
Übrigens: Keine Promo, nur denke ich, ist der billigst Ansatz meist eine Nebelkerze. Sobald du darüber nachdenkst Dienste einzukaufen, ist eine Sophos min genauso gut, wie einzelne OS Dienste konfigurieren zu lassen, denn, de facto ist eine Sophos auch nur ein veredeltes OS Konglomerat mit den üblichen Libraries, wobei sich hier natürlich ein ganzes Team an spezialisten um Auswahl, konfiguration und vorbereitung + Instandhaltung kümmert.
Soweit, so gut. Wenn du das selbst machen willst: pfSense, wenn du jemanden hinzuziehen willst bist du schon im Bereich OS-Dienstleistung "kaufen" und dementsprechend kannst du auch über Sophos und Konsorten nachdenken.
Nur: lass das mit dem OpenWRT sein
Meine Erfahrung ist, das viele den Support bemängeln. Gerade an dem Punkt ist die Frage, mit welchem Dienstleister zusammen gearbeitet wird.
ist doch immer so. Klar, es gibt immer Licht und Schatten. Aber die Frage ist, wie bewertet man das und woher kommt das.
Beispielsweise; setze ich heute aktiv keine -w Appliances mehr ein. Das war ein Griff ins Klo. Aber da kauft man sich mit dem passenden Dienstleister eben Erfahrung ein, wo ein anderer einfach auf Sophos schimpft, weil dieser jenige diese Erfahrung eben nicht hat.
Zitat von @falscher-sperrstatus:
ist doch immer so. Klar, es gibt immer Licht und Schatten. Aber die Frage ist, wie bewertet man das und woher kommt das.
Beispielsweise; setze ich heute aktiv keine -w Appliances mehr ein. Das war ein Griff ins Klo. Aber da kauft man sich mit dem passenden Dienstleister eben Erfahrung ein, wo ein anderer einfach auf Sophos schimpft, weil dieser jenige diese Erfahrung eben nicht hat.
Meine Erfahrung ist, das viele den Support bemängeln. Gerade an dem Punkt ist die Frage, mit welchem Dienstleister zusammen gearbeitet wird.
ist doch immer so. Klar, es gibt immer Licht und Schatten. Aber die Frage ist, wie bewertet man das und woher kommt das.
Beispielsweise; setze ich heute aktiv keine -w Appliances mehr ein. Das war ein Griff ins Klo. Aber da kauft man sich mit dem passenden Dienstleister eben Erfahrung ein, wo ein anderer einfach auf Sophos schimpft, weil dieser jenige diese Erfahrung eben nicht hat.
Nun, wir supporten beide Hersteller.
Daher habe ich den Überblick.
Zitat von @falscher-sperrstatus:
Soweit, so gut. Wenn du das selbst machen willst: pfSense, wenn du jemanden hinzuziehen willst bist du schon im Bereich OS-Dienstleistung "kaufen" und dementsprechend kannst du auch über Sophos und Konsorten nachdenken.
Soweit, so gut. Wenn du das selbst machen willst: pfSense, wenn du jemanden hinzuziehen willst bist du schon im Bereich OS-Dienstleistung "kaufen" und dementsprechend kannst du auch über Sophos und Konsorten nachdenken.
Genau das ist das Spannungsverhältnis, das ich meine: Was ist man bereit, selbst zu tun? Was kann man selbst tun? ...
In diesem Zusammenhang bin ich ebenfalls ganz bei Dir, dass die Auswahl vernünftiger Hardware als solches eher kein (monetäres) Sparpotenzial bietet. Das ist auch nicht der verfolgte Ansatz. Vielmehr könnte aber eine individuellere Auswahl möglich werden.
Dass hinzuziehender Support im Übrigen auch bei pfSense Geld kostet, liegt auf der Hand. Insoweit unterscheiden sich die Varianten im Grundsatz gar nicht.
Das ist übrigens leicht ersichtlich, wenn man sich beispielsweise die dedizierten Appliances von Netgate anschaut. pfSense selbst als PC-class-Software hat schon etwas höhere Hardwareanforderungen, z.B. RAM-Größe (recommended >= 1 GB).
Der relevante Unterschied liegt dann in den zusätzlichen Freiräumen, die aber wiederum erfordern, es selbst zu machen. Und da sind wir wieder beim Spannungsverhältnis.
Nur: lass das mit dem OpenWRT sein
Zur Beruhigung: OpenWrt hatte ich einzig und allein als stellvertretendes Synonym für die Open-Source-Varianten verwendet!
Zudem ist die FortiGate in der Gesamtschau eine UTM, nicht nur ein Router / Firewall. Als UTM ist sie gedacht und im Einsatz. Ein Alternativsystem müsste diese Funktionsvielfalt halt ebenso abbilden können.
