VPN - Lancom 1793VA vs. Securepoint Firewall

[alexander_]

Hallo liebes Lancom-Forum,

ich bin aktuell am Überlegen das bestehende SSL VPN von der Securepoint Firewall zum Lancom Router zu verlegen, da ich der Meinung bin, dass man den Securepoint bei einem bestehenden Lancom Router nicht mehr benötigt. (Lancom Router kam erst nach der Firewall). Da ich ohnehin die Netze neu aufbauen möchte (neues AD mit DHCP mit VLANs für die Firma über Server und private Netze über Lancom-Router über VLANs) bin ich aktuell am überlegen das VPN Thema ebenfalls auf den Lancom zu legen und damit die Firewall abzulösen. Was haltet Ihr davon?

Ein paar Überlegungen halten mich aktuell noch davon ab:

Securepoint Firewall kann SSL VPN - der Lancom Router kann nur IKEv2
Lancom Router bräuchte einen eigenen kostenpflichtigen Client -> ich möchte aber den integrierten Windows VPN Client nutzen

Was dafür spricht wäre die Topologie:
nur noch zwei Geräte für DHCP/VPN und VLANs, einmal den Lancom Router und einmal den Windows Server.

[COMCARGRU]

Sage ich es mal so: Ich ziehe immer mehr von Lancom weg - alleine dieses Jahr selbst die kleineren Kunden hin zu deutlich teureren Lösungen (Sophos/Fortinet). Ich sehe in Lancom schon länger keine Zukunft mehr, habe trotzdem lange gewartet meine Kunden auf was anderes zu migrieren, letztes Jahr habe ich alle großen Kunden umgestellt und dieses Jahr fast alle kleineren.

Gerade SSL-VPN ist so ein Thema - betrachte ich mittlerweile als Pflicht. Auch das ganze Thema VPN / Firewall über Radius und/oder AD-Connect abhandeln zu können. Das es beim Lancom-VPN-Client keine sinnvollen Lizensierungsmöglichkeiten gibt ist ebenfalls bescheiden (Warum macht die Client-Lizenzierung nicht auch die Box? Wäre viel entspannter). Wie machen das die großen Kunden mit hunderten Clients? Wie pflegen diese die Client-Lizenzen nach? Bin ich da Blind und es gibt einen zentralen Management Ansatz?

Das ganze Thema UTM - ich weiß ja was Lancom dazu sagt - ok - die Welt hat sich weitergedreht.

Wenn man die Fähigkeiten einer Sophos UTM anschaut im Vergleich zu Lancom - da nehme ich dann auch wieder IKEv1 anstatt IKEv2 oder gleich SSL-VPN, oder, oder, oder...

[Dr.Einstein]

Wie machen das die großen Kunden mit hunderten Clients? Wie pflegen diese die Client-Lizenzen nach? Bin ich da Blind und es gibt einen zentralen Management Ansatz?

Dafür gibts bei NCP direkte Serverlösungen inkl. Management/Rollout. Dafür würde ich keinen Lancom Router mehr nehmen...

[COMCARGRU]

bei NCP direkte Serverlösungen inkl. Management/Rollout. Dafür würde ich keinen Lancom Router mehr nehmen...

Genau - dann brauche ich deren(!) VPN-Server Produkt ODER gleich einen anderen Router/Firewall, der das ganz anders handhabt - wie Sophos etc. Für mich relevant ist: Es geht nicht mit Lancom. Und mittlerweile muss ich auch noch registriert sein um eine Aktivierung rücksetzen zu lassen. Das war früher auch nicht nötig. Warum müssen heute eigentlich alle alles hinter einem Login verbergen?

Und dann auch noch "my" - wir befinden uns in Deutschland - hier wird gesietzt und nicht gedutzt - aber das hat jetzt nix speziell mit Lancom zu tun - das ist eine generelle Unsitte...

[Dr.Einstein]

Ich hätte eigentlich gedacht, die LMC wird in dem Zusammenhang die Administration/Lizensierung der VPN Clients um Welten verbessern. So kann man sich täuschen würde ich sagen.

Gruß Dr.Einstein

[COMCARGRU]

Ich hätte eigentlich gedacht, die LMC wird in dem Zusammenhang die Administration/Lizensierung der VPN Clients um Welten verbessern. So kann man sich täuschen würde ich sagen.

Gruß Dr.Einstein

Nur um das noch zu sagen:

Ich habe schon vor vielen Jahren hier im Forum erklärt Lancom den Rücken zu kehren - so richtig mit Nachdruck habe ich das aber erst dieses Jahr forciert. Ich habe immer gehofft, das Lancom noch die Kurve bekommt. Das ist leider nicht passiert. Die üble Situation an der Schädlingsfront zwingt nun aber dazu selbst bei kleinsten Kunden massiv aufzurüsten - da hat Lancom einfach nichts zu bieten.

Es gilt aber immer noch: Ich wünsche mir nichts sehnlicher, als das Lancom eine Produktpalette auflegt die 1zu1 Konkurrenzfähig zu einer Sophos UTM ist. Bei Sophos ist ja auch nicht alles eitel Sonnenschein. Die gehören mittlerweile einer US Firma und der Support in/aus Indien ist praktisch nicht existent. Das "Drama" um die Sophos XG zeigt die Probleme nur zu deutlich, denn die UTM sollten schon längst nicht mehr vermarktet werden. Dazu müsste die XG aber endlich mal Feature-identisch zur UTM sein. Daher auch der Weg zu Fortinet, die aber - Achtung - zuletzt wegen bösen SSL-VPN Sicherheitslücken aufgefallen sind.

Lancom ist eine der wenigen IT-Firmen wo ich denke, dass dort Entwickler arbeiten von denen ich glaube, dass sie wirklich wissen was sie tun. Obwohl:

lancom-lcms-lantools-lanconfig-lanmonit ... 19022.html

viewtopic.php?f=35&t=19021&p=107527&hil ... xt#p107527


Und selbst wenn (einige) der Entwickler nix von Unifed Thread Management halten - das isses halt nun mal - Sorry!


Edit: Von LMC usw. habe ich nie etwas gehalten. Spätestens seit Kaseya (https://www.borncity.com/blog/2021/07/1 ... enangriff/) sollte auch dem letzten klar sein warum. Alleine automatische Virenscanner-Signatur-Updates sind schon gefährlich ist ja auch nur "Cloud" - da fällt mir aber keine Alternative zu ein.

[alexander_]

Hallo Zusammen,

vielen lieben Dank für eure Antworten, helfen mir sehr weiter.

Dann werde ich denke ich trotzdem nochmal darüber nachdenken eine dedizierte Firewall mit SSL VPN zu verwenden.

Was haltet ihr denn generell von Aufteilung der Netze von Firma und Privat auf den Geräten wie in diesem Fall Windows Server für DHCP/DNS hinter der Firewall und Privat am Lancom-Router für DHCP/DNS?

[GrandDixence]

VPN-Anleitungen für LANCOM-Router findet man unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Zum Thema "SSL-VPN" (VPN über TCP Port 443 => https) siehe auch:
fragen-zum-thema-vpn-f14/upgrade-9100-a ... ml#p100940

fragen-zum-thema-vpn-f14/android-vpn-17 ... ml#p106366

fragen-zur-lancom-systems-routern-und-g ... tml#p90472

[Pauli]

Hi,

wäe durchaus mal interessant auf was Ihr Eure Kunden mit welchen Erfahrungen so migriert habt (mich interessieren vornehmlich die kleineren und SoHo's), aber ist ja bestimmt für viele interessant die Aufrüsten wollen oder müssen.

Ist Forti dort das optimale oder doch die hier angesprochene Securepoint Lösung oder doch pfSense etc. etc.?

Danke für alle Erfahrungsberichte oder Hinweise, die vor bösem Überwachen bewahren kann.

Gruß, Pauli

[KD.Gundermann]

Hi,

auch ich schaue jetzt nach wohl 20 Jahren Lancom Router nach neuen Geräten die "mehr" können.
Anbieter von UTM Firewalls gibt es ja einige am Markt und ich würde mich auch freuen, wenn ihr
hier ein paar Erfahrungen teilen könntet.

Interessant scheinen mir
- Fortinet
- Securepoint
- Sophos SG
- Sonicwall

Viele Grüße

Klaus