Firewall / UTM / OPNsense
Seit 22 Jahren sind wir Partner von Sophos, bzw. dem ehemaligen Astaro Produkt. Aufgrund der Marktsituation und dem Verhalten des Herstellers gegenüber Kunden und Partnern sind wir endlich den offenen Weg gegangen und extrem zufrieden.
OPNsense
Wir begleiten Migrationen von diversen Firewallherstellern hin zu OPNsense.
Ebenfalls können wir alle VPN Technologien wie Wireguard, IPSEC, OpenVPN und co. direkt in OPNsense implementieren.
Web Reverseproxy und Mailgateway wurde ebenfalls perfekt umgesetzt.
Ob Homeoffice per Client, VPN Gateway oder Fritzbox. Keine Grenzen mehr durch Herstellerzwang.
Beachten Sie unsere Produktinfos und technischen Dokumente auf diesem Portal!
Auf sysops.tv erzählen wir von unserer langen Geschichte der Umstellung vom Astaro / Sophos UTM auf das unvermeidbare und geschätzte OPNsense Produkt!
https://www.youtube.com/@sysopstv/search?query=opnsense
Eine gekürzte Variante mit weiteren Stellungnahmen erscheint in Kürze auf unserem Kanal.
Wir bieten folgende Migrationsszenarien von Sophos SG / Astaro zu OPNsense
- Komplette Neuinstallation mit Ausmisten und Analysieren der alten Regeln
- Parallele Installation mit zwei Firewalls nebeneinander mit zwei Internetleitungen
- Vertikale Installation mit OPNsense vor der alten Sophos Lösung
Musterbeispiel einer laufenden vertikalen Zwischenmigration. Am Ende sind links alle Dienste deaktiviert.
Unsere Best Practices
- Objekte können als Alias angelegt werden, müssen aber nicht
- NAT Regeln können 1:1 übernommen werden
- Webproxy macht zum Schutz mit DNS Blocklisten mehr Sinn
- Mailproxy lösen wir bevorzugt mit Proxmox Mailgateway ab
- Webserver Protection ersetzen wir mit NGINX Reverseproxy
- Letsencrypt funktioniert mit etlichen Betreibern wie z. B. Hetzner wesentlich zuverlässiger und einfacher per API
- IPSEC VPN lassen sich weiterhin fast genau so einrichten wie zuvor
- OpenVPN Clients eignen sich hervorragend zum Verbinden mit alten Sophos SG Firewalls
- Der OpenVPN Server bietet die Einwahl der Mitarbeiter per Active Directory oder LDAP und verdeckt alte Server vor der Öffentlichkeit
- Wireguard eignet sich wunderbar zur Anbindung von wenigen Mitarbeitern oder sogar Standorten mit modernen Fritzboxen (OS 7.5 oder neuer)
- Livelogs erscheinen nun wesentlich schneller und Filter können hinerlegt werden
- Hochverfügbarkeit funktioniert komplett anders als vorher, kann aber bequem vom Hypervisor Proxmox übernommen werden
- Sicherung der Kofiguration erfolgt z. B. über einen Nextcloud Upload
- Absicherung der Funktionsfähigkeit erfolgt über lokales ZFS oder Hypervisor
- Updates dauern selten länger als wenige Minuten
- Die Konfiguration 'kann' unverschlüsselt gelesen und modifiziert werden
Kontaktieren Sie uns noch heute für eine Beratung zur Migration
oder rufen Sie uns unter (0 60 21) 2 12 5 - 0 an und bitten Sie den Empfang um ein Beratungsgespräch