[Postfixbuch-users] Problem mit Exchange

[Andre Keller]

Jan P. Kessler schrieb:
> Andre Keller schrieb:
>   
>> Der Kunde betreibt auf der ZyWall diverse VPNs. Unteranderem werden auch 
>> Backups über die Leitung geschickt (stündlich). Daher sollte das Gerät 
>> möglichst unterbruchsfrei arbeiten.
>>
>> Vielleicht kann ich den Kunden überreden ein anderes Produkt 
>> einzusetzen. Was würdet Ihr als Firewall/VPN Lösung empfehlen?
>>   
>>     
>
> Naja, also bevor ich ein ansonsten etabliertes Firewallprodukt 
> rausschmeiße, würde ich erst mal sicher verifizieren, dass es auch daran 
> liegt. Es könnte nämlich ein ganz schöner Reinfall werden, wenn Ihr Euch 
> da eine ziemliche Arbeit macht (eine Unternehmens-FW abzulösen ist ja 
> schon ein bisschen Aufwand) und das Problem besteht danach trotzdem 
> noch. Sollte es tatsächlich um die MTU o.ä. gehen, gibt es schließlich 
> auch einfachere Wege, als das komplette Device auszutauschen (nicht 
> vergessen: ich kann mit jedem noch so guten Produkt Mist konfigurieren).
>   

Ja klar. Ich habe mit dem Kunden morgen einen Termin und werde das mal 
anschauen. Nur mit der ZyWALL soll es zum Teil Probleme geben mit VPNs 
zu Fremdprodukten.

> Zur Ausgangsfrage: Von welchem Umfeld und Umfang reden wir da? Könnt Ihr 
> Kohle ausgeben? Inwiefern ist Redundanz/Clustering ein Thema? Welcher 
> Durchsatz ist gefordert? Müssen administrative Rollen bei der 
> Administration unterstützt werden? Soll die Kiste Proxydienste (und für 
> welche Services?) oder gar IDS/IPS Features zur Verfügung stellen? Ist 
> ein zentrales Management erforderlich? usw, usf...
>   

Geld ist nicht das grosse Problem. Redundanz/Clustering braucht es 
nicht. (ev. wird ein zweites Gerät angeschafft für Cold-Standby). 
Durchsatz ist 25 MBps WAN->LAN/DMZ. Proxyservices braucht es nicht. IPS 
wäre allenfalls ein Thema. Zentrales Management ist nicht erforderlich.

> Sprich: Die Firewall-Frage ist ähnlich komplex wie die nach dem 
> richtigen MTA (ich würde sogar fast sagen, dass der Markt da noch 
> unübersichtlicher und breiter gefächert ist). Von 'nem kleinen 
> iptables/ipfilter Rechner bis zum 
> Checkpoint/Nokia/SPLAT/Genugate/Phion-Cluster mit redundantem Management 
> kann alles für den jeweiligen Einsatzzweck passen - es hängt von den 
> Voraussetzungen ab.
>
> Für die üblichen "Klitschen" (nicht so negativ gemeint wie's klingt) 
> würde ich iptables mit Firewall Builder empfehlen. Sobald es etwas 
> größer wird wird das nicht mit einer lapidaren Frage in einer 
> MTA-Newsgroup erledigt sein.

Ja das ist klar. Der dortige Admin hat gesagt, Sie hätten mit der 1000 
Franken teuren ZyWall ein Bruchteil der Probleme die Sie mit der PIX 
hatten. Ich persönlich setze bei uns auf OpenBSD was Firewall/Router 
betrifft.



Naja ich werde mal beobachten wie sich die Situation entwickelt...