Ik zie door de routers en firewalls het netwerk niet meer

Ik ben het netwerk voor een klant opnieuw aan het inrichten en ben in de wondere wereld van firewalls gedoken. Wonderbaarlijke apparaten, welke met (prijzige) licentiemodellen je netwerk moeten afschermen van de buitenwereld. Nu vraag ik me een aantal dingen af.

Wat context:
Het gaat om een bedrijf voor ongeveer 20 medewerkers, waarbij er rekening moet worden gehouden met uitbreiding naar 40 a 50. Deze mensen werken allemaal in de cloud en kunnen bellen met VOIP toestellen. Nu zijn er enkele offertes aangevraagd en deze lopen enigszins uiteen qua firewall/router. Vandaar dat ik hier wat expertise / inzichten zoek.

1. Wanneer heb je een firewall nodig?
2. Het netwerk wordt in dit geval enkel gebruikt voor internettoegang en VOIP. Er draaien geen servers (naast 1 printserver), er wordt niet remote gewerkt over een VPN (anders dan door de IT'er om op afstand support te leveren, kortom er gebeurt weinig spannends. Is hier een Firewall uberhaupt nodig? En zoja waarom dan?
3. Heb je een firewall EN een router nodig?
4. Een firewall heeft routing capabilities en een router heeft een firewall. Waarom zou ik dan beide apparaten aanschaffen. Is dit omdat er VOIP en data over het internet gaan? Of is het niet nodig om een router en firewall te kopen?
5. Indien een firewall nodig is, welke firewall en licentie moet je gebruiken?
6. Watchguard (M270 T55), Fortigate (60F) of iets anders? Op reddit heb je predikers voor elke kerk. En welke licentie is nodig? En is de configuratie echt zo moeilijk dat een specialist nodig is, of valt dit mee?

Kortom, een enthousiasteling is op zoek naar expertise, ervaringen of tips om hier wegwijs te worden. Alvast bedankt!

Dank, installatie wordt ook uitgevoerd door een derde partij. Maar ik wil graag begrijpen waar het over gaat (uit interesse en om een gedegen onderzoek te doen).

Maar ik kan wel komen met eisen en wensen, alleen heb ik vervolgens geen manier om te controleren of de aangedragen oplossing inderdaad een passende is. Hebben jullie een manier om dat te verifieren?

Ik zal het proberen zo duidelijk en anoniem mogelijk te presenteren:

Context:
- 200/200 glasverbinding
- Veel werken met laptops en mobiele telefoons, dus er wordt zwaar geleund op de Wi-Fi

Eisen:
- Er komen 40 werkplekken welke allemaal tegelijkertijd in gebruik moeten kunnen zijn. Hier wordt voornamelijk gewerkt met laptop op een bedraad of draadloos netwerk
- Elke werknemer heeft een laptop en telefoon.
- Draadloze netwerk moet in elk geval 50/50 draaien, maar liever 100/100
- Actief gebruik van cloud software als G Suite en ERP pakket (voornamelijk op laptop)
- VoIP toestel per 2 werkplekken
- 1 Printserver in het netwerk, met daarop 3 a 4 printers

Wensen:
- Op een evenement moeten er tot 100 - 150 mensen tegelijkertijd op het netwerk kunenn

Ongebruikte zaken / niet nodig:
- VPN (behalve voor beheer door IT)
- Netwerkaansluiting op andere locaties

Als ik dit allemaal zie, verwacht ik een stevig Wi-Fi netwerk. VOIP en data gescheiden d.m.v. VLAN en that's about it.

De voorstellen die ik kreeg waren verschillend in prijs en apparatuur. De ene partij wilde een ubiquiti installatie (switches en access points) en een watchguard T55 firewall installeren. En de andere wilde een fortigate 60F, Ruckus access points en HP switches.

Vooral op het gebied van Routers en Firewalls raak ik hem dus kwijt.

Hopelijk heb ik het een beetje helder overgebracht.

kosz schreef op maandag 8 juni 2020 @ 22:46:
Je hebt 200/200 maar je wilt op je draadloze deel 50/50 of liever 100/100, dus het komt er op neer dat de bandwidth management wilt doen.

Excuses dit is een minimum eis, meer mag ook. Heeft verder ook niet te maken met de firewall / router. Meer met perfomance van de access points

kosz schreef op maandag 8 juni 2020 @ 22:46:
Vlan data en voice, en klaar denk je, maar met een event wilt je wel dat er 100-150 man op kunnen...
- ga je die gasten allemaal op je data netwerk laten dan ?
- hoe ga je authenticeren, wpa2/psk ?
- gasten netwerk ?
- captive portal ?

Er komt een gasten netwerk via UniFi. Evenementen zijn ook sporadisch, zal meer bij een feestje zijn dan een professioneel evenement. Voor een kleine kahoot o.i.d.

kosz schreef op maandag 8 juni 2020 @ 22:46:
VoIP toestel per 2 werkplekken
Bedraad of wireless, dit heeft nogal wat invloed op het ontwerp en keuze van je wifi netwerk.
(waarom 2 per werkplek, 1 per oor ?)

Excuses, onduidelijkheid van mijn kant, gaat om 1 toestel per 2 werkplekken. Zoveel wordt er ook niet gebeld, maar op deze manier kan er wel doorgeschakeld worden e.d.
Verder zijn de toestellen bedraad aangesloten. Dit is volgens onze VOIP provider nog steeds by far de beste oplossing.

[/quote]
Een Fortigate 60F is een prima firewall, maar als je deze als verkapte router gaat gebruiken is het een beetje zonde van je geld. Zeker als je een UTM licentie gaat aanschaffen en je maakt er geen gebruik van, denkende aan Antivirus, IPS, Application Control, Web Filtering.

Ik mis gewoon de juiste vragen en voorstellen hoe je anno 2020 en gedegen en veilig netwerk moet opzetten, dit klinkt meer als een MKB omgeving die denken dat deze niet interessant genoeg zijn om gehacked te worden...... totdat ze de eerste ransomware golf over zich heen hebben gehad....
[/quote]

Ik hoor hier dat een firewall wel aan te raden is, maar dat de configuratie door een specialist moet gebeuren. Is een firewall, zoals de fortigate, echter ook voldoende voor VLAN scheiding voor voip en data?

In elk geval bedankt voor je antwoorden!

Een hoop reacties, even kijken of ik hier gestructureerd op kan reageren. Voorlopig begrijp ik dat voor deze installatie zowel een firewall als router volstaat (Fortinet/Watchguard tegenover USG-Pro). Waarom wordt dan toch de (veel) duurdere firewall geadviseerd?

De switches zullen inderdaad van Unifi zijn. De USW-Pro Gen2 om precies te zijn. Welke officieel een L3 switch is. Is het dan nog steeds het beste om de VLAN routering op de firewall te doen?

Voor de VoIP wordt inderdaad gebruik gemaakt van een cloud aansluiting. Momenteel hebben we cisco spa303 toestellen, welke 2x fast ethernet hebben, helaas geen full gigabit. Dus aansluiten van de werkplek op het VoIP toestel lijkt me hier niet ideaal.

Nogmaals dank voor het meedenken.

Frogmen schreef op dinsdag 9 juni 2020 @ 14:14:
Je gaat weinig tot niet in op het VOIP verhaal, kan mij namelijk prima voorstellen dat er door iedereen met een VOIP app op de telefoon wordt gebeld en dus geen fysieke telefoons meer. Dit heeft behoorlijk veel invloed op je wifi verhaal. Als router/firewall zou ik een degelijke uit het middensegment kiezen zonder veel poespas want alles blijft in de cloud en wordt daar afgehandeld. Dan heeft het zwaar inzetten op een firewall die mail en data verkeer filtert op virussen weinig effect/ nut. Iets wat de grote jongens wel kunnen. In mijn ogen hoeft deze dan ook zeker niet meer dan € 1000,- te kosten. Welke het wordt hangt dan meer af van de rest van het netwerk. Beheers technisch is alles Unifi dan erg aantrekkelijk.

Voor VoIP genieten de desktop toestellen toch nog enorm de voorkeur. Een app is inderdaad beschikbaar, maar wordt amper gebruikt. En wordt dan vooral thuis gebruikt.

Maar jij zegt dus dat een USG-PRO 4 voldoende zou zijn?

De USG-PRO 4 en Cloud Key Gen2, zijn op dit moment reeds in het bezit van deze klant. Dan is een Dream Machine Pro niet nodig lijkt me?

In het kader van een update:

De WiFi blijft staan op Unifi NanoHD punten
De firewall wordt in eerste instantie een USG PRO 4, deze lijkt meer dan voldoende voor een 200/200 verbinding en de taken die bij ons worden uitgevoerd.
Voor de switches is er een voorkeur voor Unifi om het hele systeem Unifi te maken. De
Ubiquiti UniFi US-24-500W geniet de voorkeur dan(de Gen2 heeft minder PoE budget, fanless maakt niet uit voor ons en de pro heeft op dit moment nog geen toegevoegde waarde). Alternatieven zijn de ProCurve 1950 of de Aruba 2530.

Al met al een stuk goedkopere oplossing dan origineel aangeboden. En voor onze doeleinden meer dan goed genoeg. Dan kvoor alle hulp so far. Als er geen zware op- of aanmerkingen zijn, zal dit besteld worden.

lier schreef op vrijdag 12 juni 2020 @ 07:45:
[...]

Hardware is niet zo heel erg boeiend, des te meer van belang dat je ondersteuning krijgt op de omgeving van je klant. Je wil (en kan?) dit niet zelf beheren en zal dus een partij nodig hebben die dat voor je doet. En zij zouden de keuze voor de hardware moeten maken...niet jij.

Ben benieuwd hoe het afloopt!

Zeker begrijpelijk. De klant heeft wel een eerstelijns IT support, die kleine fouten e.d. prima op kan lossen. Alleen voor de uitrol van een geheel nieuw netwerk, wilde ze graag een tweede paar ogen.

Ik zal hier wat updates geven over de verdere uitrol v/h project.