Stormshield schau ich mir mal an, sieht soweit erstmal ganz gut aus gerade weil sie keine Blackbox Herkunft zu haben scheinen, danke dafür.
IPSec implementiert leider nicht jeder Hersteller sauber, man kennt es ja. NCP Client Lizenzen sind aber hunderte vorhanden und sollen daher auch genutzt werden. Es gibt zwar einen NCP VPN Server aber als fertige Hardware Appliance zum Offload wär es mir ganz lieb. Ich muss aber dazu sagen, dass ich mit IPSec bisher noch nie Probleme hatte egal ob IKEv1 oder IKEv2, lediglich der interne Windows Client taugt nicht wenn man granulare Dinge einrichten möchte.
Privacyidea hatte ich schon mal auf dem Schirm. Der Anstoß klingt aber nach wie vor ganz nett, ich muss nur schauen ob ich das sinnvoll implementiert bekomme ohne zu vielen vor den Kopf zu stoßen aber testen kann man das ja mal, dank dir für den Hinweis.
VyOS hatte ich mal getestet. Dem GF war es aber immer lieber eine fertige Appliance/Router/Gateway zu haben zwecks Support. Intel QAT geht wahrscheinlich hier leider nicht weil alles schon auf EPYC umgerüstet ist. Es gibt zwar PCIe Karten aber ob die laufen müsste ich mal suchen (hätte aber wieder den Nachteil von selbstgebaut).
Wenn OpenSource geht versuch ich das auch einzusetzen aber bei manchen Dingen tritt mir irgendwer auf die Füße wenn er denkt oder feststellt, dass es zu komplex für andere Admin MA wird oder der Verdacht besteht ständig daran Herumdoktern zu müssen. Das ist manchmal ein wenig nervig aber ich habe schon ziemlich freie Hand.
So am Rande weil ich derzeit ein wenig am herumschauen bei den Anbietern im Web bin im Beispiel Mikrotik Top Notch Router was Architektur und Leistung angeht:
(neue Architektur, ARM @ 16 Core)
https://mikrotik.com/product/ccr2216_1g_12xs_2xq
IPSec @ AES-256-CBC + SHA256 max 4.101 Mbit
Routing @ 25 ip filter rules max 46.018 Mbit
(alte Architektur, TILE Nvidia @ 72 Core)
https://mikrotik.com/product/CCR1072-1G-8Splus
IPSec @ AES-256-CBC + SHA256 max 10.034 Mbit
Routing @ 25 ip filter rules max 63.726 Mbit
Wie man sieht, sind die ARM basierten Geräte zwar effizienter pro benötigtem Core aber im fertigen Gerät bei Verschlüsselung deutlich langsamer, dafür ist die Routingperformance bei gleichen Bedingungen nicht ganz so stark abfallend. Die ARM basierten Geräte scheinen die Hersteller auch weniger zu kosten was den Endpreis deutlich senkt. Das ist aktuell der Kompromiss den auch Ubiquiti macht, die gehen derzeit von MIPS auf ARM Architektur bei den Edge Geräten.
. Ich versuche daher lieber die Dinge soweit sinnvoll und Konfigurationstechnisch noch vertretbar auseinanderzuhalten. Hier muss ich (zum Glück) nicht so ganz "kostenoptimiert" arbeiten wie schon früher bei manch einem Kunden. Aufgrund der Größe hier lohnt sich allerdings NSX-T und andere NW Virtualisierungen noch nicht so richtig.
Als relativ kleiner Mittelständler fehlt einfach die Manpower zig verschiedene Produkte ordentlich zu betreuen. Wir haben daher nach einer all in one Lösung gesucht und sind bei Sophos fündig geworden. Das Konzept klingt erstmal stimmig, Langzeiterfahrungen haben wir aber natürlich noch keine. Zudem war uns die Betreuung durch einen guten Partner vor Ort wichtig.
aber das was ich mit der 136 fürs Gäste Netz gesehen hab hat mich eigentlich auch schon geheilt. Geplant war da noch die Anbindung an die Clients mit Heartbeat und Co, aber das war zu meinem Stand noch reine Theorie. Da gabs noch viel zu viele Baustellen was Segmentierung angeht.
.
