Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

  • KatirZan
  • Registratie: september 2001
  • Laatst online: 23-07 11:33

KatirZan

Wandelende orgaanzak

Topicstarter
Om wat problemen binnen een netwerk op te lossen ben ik van plan om de regelmatig crashende standalone pfSense firewall (hardware problemen) binnen een MKB netwerk te vervangen.

Het netwerk bevat de volgende onderdelen :

1 DC / AD / DHCP en DNS server (Windows Server 2016 Standard)
1 pfSense firewall (laatste versie) in directe verbinding met modem via LAN1, LAN2 voor switch
10 werkstations (Win10 pro)
10 voip telefoons
Ubiquiti Unify AP (VM met ubuntu inc. controller software op DC)
400/100 mbit zakelijke internetlijn

Alle apparaten staan verbonden via een 24 poorts 1gbit managed switch (cisco) inclusief nog enkele randapparatuur (3 stuks).

de pfSense "bak" crasht gemiddeld 1 keer per week door hardwarematige problemen, moederbord blijkt instabiel en diverse onderdelen hiervan zijn ondertussen vervangen om te bekijken of dit "goedkoop" opgelost kan worden.(Hardware is +/- 6 jaar oud)
Het onderhoud van pfSense vergt echter teveel werk voor binnen dit netwerk/bedrijf en er dient een oplossing te komen die niet al teveel kosten maar vooral tijd met zich mee brengt.

Uiteraard is het een optie om de volledige hardware waar pfSense op draait te vervangen, de kosten hiervan zullen om en nabij de 200 euro zijn, dus niet al te duur, maar de vraag rees op om te zien of er minder "omvangrijkere" oplossingen zijn (m.a.w. kleiner apparaat, minder stroomverbruik, handzamer met reboots etc.).

Gezien het gegeven dat er al een Unifi apparaat in het netwerk zit wil ik als eerste opteren om een Ubiquiti USG tussen de WAN en de router te plaatsen, maar is dit dat wel voldoende. In principe zou de USG voldoende moeten zijn voor hetgeen er met het netwerk gebeurd. De vraag hierbij was echter hoe het zat met VPN's, op dit moment word er op het netwerk dmv anydesk op de lokale werkstations ingelogd om de werknemers vanuit huis te laten werken.
Dat is allemaal goed te doen, maar zou met een VPN minder resources kunnen gebruiken. Daarnaast hoeven de werkstations dan ook niet aan te blijven staan.
Heeft een USG wel de mogelijkheid om dit op een veilige manier te kunnen doen? via pfSense kan dit, maar zoals vermeld, zeer instabiele hardware op het moment dus dat risico wil ik op dit moment niet voor dit netwerk lopen.

De USG heeft een prijskaartje van +/- 120 euro, wat natuurlijk een lachertje is ten aanzien van de pfSense server.
Er zijn wat andere oplossingen, maar deze oplossingen vergen vaak wel extra licentiekosten, is dat dan wel de moeite waard?

De andere hardware die hier naar voren gekomen is, is als volgt :

Ubiquiti USG-PRO 4 (het grote broertje van bovenvermelde)
Zyxel Nebula NSG50 (tot 300mbit, 10 VPN tunnels, relatief simpel te onderhouden en te installeren)
Fortinet Fortigate 30E (iets prijziger dan de zyxel, wel betere doorvoersnelheid)

Wat is jullie kijk hier op, principieel kunnen we alles hier tussen plaatsen en ik wil van het onnodige beheer af van dit netwerk. Er moet dus een oplossing komen die na het instellen en inrichten nagenoeg gebruiksvriendelijk is en waarbij de gebruikers bij problemen zelf een reboot kunnen uitvoeren dmv stekker uit en in...

Zelf draai ik in mijn netwerk een Ubiquiti USG-PRO 4 waar ik zeer tevreden over ben, vergt wat instellingen mbt firewall regels, maar ik heb hier verder geen enkel onderhoud aan nadat ik deze op de juiste wijze ingesteld heb.

Wabbawabbawabbawabba


  • lier
  • Registratie: januari 2004
  • Laatst online: 16:11

lier

MikroTik nerd

Begin eerst een overzicht te maken van de harde eisen. Denk daarbij ook aan wie onderhoud gaat verrichten, een reboot is geen oplossing voor problemen. Dan pas kan je een geschikte oplossing kiezen (met hardware smijten kan iedereen).

Eerst het probleem, dan de oplossing


  • Bl@ckbird
  • Registratie: november 2000
  • Niet online
KatirZan schreef op vrijdag 23 oktober 2020 @ 11:13:
[...]

De USG heeft een prijskaartje van +/- 120 euro, wat natuurlijk een lachertje is ten aanzien van de pfSense server.
Er zijn wat andere oplossingen, maar deze oplossingen vergen vaak wel extra licentiekosten, is dat dan wel de moeite waard?
  • Wat is de impact als de internetlijn uit valt? ( Zoals de PIN storing nu bij AH.)
  • Heb je backup via een 2e internet lijn of 4G?
  • Wat als je gegevens op straat komen te liggen door een phishing / ransomware aanval?
  • Heb je andere vestigingen die je wil koppelen?
  • Zijn je devices secure? (Smartphones, laptops, in het netwerk maar ook als ze thuis / buiten het kantoor netwerk gebruikt worden.)
Een firewall is een security device. Wat is een secure netwerk jou / het bedrijf waard? Anders kan je net zo goed een zijkniptangetje nemen als firewall. :P

~ Goedkoop Leren Vliegen? ~ Send using RFC1149. Disclaimer: No animals were harmed during this data transfer.. ~


  • valkenier
  • Registratie: maart 2000
  • Laatst online: 24-07 08:44
Zou je dan niet liever een EdgeRouter plaatsen dan een USG. Via de CLI heb je al gauw meer opties. Ik weet, niet in het UniFi systeem, maar een eigen interface. Dat kan ook een voordeel zijn. Verder eens met de vorige sprekers. Eerst de eisen en dan kiezen.

  • KatirZan
  • Registratie: september 2001
  • Laatst online: 23-07 11:33

KatirZan

Wandelende orgaanzak

Topicstarter
Bl@ckbird schreef op vrijdag 23 oktober 2020 @ 12:26:
[...]
  • Wat is de impact als de internetlijn uit valt? ( Zoals de PIN storing nu bij AH.)
  • Geen toegang tot klantdata, dus flinke impact
  • Heb je backup via een 2e internet lijn of 4G?
  • 2e internetlijn en daarnaast nog 4G (die laatste nog nooit hoeven gebruiken)
  • Wat als je gegevens op straat komen te liggen door een phishing / ransomware aanval?
  • Dat betreft een drama verhaal, maar voor welke onderneming niet?
  • Heb je andere vestigingen die je wil koppelen?
  • Nee.
  • Zijn je devices secure? (Smartphones, laptops, in het netwerk maar ook als ze thuis / buiten het kantoor netwerk gebruikt worden.)
  • Wifi verloopt via RADIUS server met 128bit encryptie en alleen voor geautoriseerde apparaten. Voor thuissystemen is er een TLS 1.2 met AES 128bit encryptie (standaard anydesk) en wederom alleen voor geautoriseerde apparaten (MAC-adres).
Een firewall is een security device. Wat is een secure netwerk jou / het bedrijf waard? Anders kan je net zo goed een zijkniptangetje nemen als firewall. :P
Het antwoord op deze vragen is relatief simpel en heb ik achter je lijst gezet.

Wat betreft de harde eisen :

Het systeem dient veiligheid te bieden aan de gebruikers en de gevoelige data welke zich daar achter bevind. Dat is een harde eis.
De mogelijkheid tot tenminste 8 VPN lijnen is een iets minder harde eis.

pfSense is op dit moment volledig gesloten voor de buitenwereld, er zijn dus geen open poorten en de noodzaak hiertoe is er ook niet. Het gros aan software wat gebruikt word is cloudbased echter is er nog lokale data aanwezig waar toegang tot moet zijn en draait er nog interne bedrijfssoftware. Een VPN kan hier uitkomst aan bieden (om in ieder geval van anydesk af te zijn). Lokale data zal volgend jaar ook naar een op cloud gebaseerd systeem migreren.

Wabbawabbawabbawabba


  • MainframeX
  • Registratie: september 2017
  • Laatst online: 27-07 20:39
Snelste is denk ik gewoon een export van de pfsense config maken en importeren in een nieuwe embedded x86 systeem draaiend op pfsense. Dat scheelt voor je opdrachtgever het meeste tijd en geeft minder gedoe omdat er dan zo goed als niks in te stellen valt.

Apu2 is wel mooie hardware voor dit doeleinde: https://www.applianceshop.eu/parts.html

Dan heb je alleen nog een 16GB msata ssd'tje nodig en usb naar serieel kabel nodig om het ding te flashen.

Idempotent.


  • Frogmen
  • Registratie: januari 2004
  • Niet online
Als ik het zo globaal lees is er geen enkele reden voor Pfsense. Alles dicht doen de meeste firewalls prima. Zou dus afhankelijk van doorvoer en connecties een goede pro firewall kiezen. Deze gebruiken minder stroom en hebben weinig onderhoud nodig. Vooriets meer als € 100 is er al keus genoeg.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True