Wer hat welche Erfahrungen bezueglich Support bei den Marktführern im VPN / Firewall Bereich?

Checkpoint (Power1 oder IAS M8?)
Cisco (ASA / FWSM / VPN Service Module?)
Juniper Netscreen
Phion

Es geht um die Erkundung einer stabilen hochverfügbaren ausgereiften schnörkellosen VPN/Firewalllösung für einen fetten Konzern 50000 User.

Es wird sehr viel Site-to-Site VPN gemacht, die Interoperabilität mit diversen Herstellern ist wichtig.
Ferner zentrales Management aller Komponenten - es werden wohl mehrere Hardwaregeräte als Cluster betrieben, alles soll aber schön zentral managebar sein ohne ständig von Gerät zu Gerät hüpfen zu müssen.

Vor allem echte Praxiserfahrungen mit der Qualität des Supports wären interessant für mich. Die Produkte usw sind ja hinlänglich bekannt - es ist jedoch schwierig den Support einzuschätzen (Reaktionszeit, Problemlösezeit, Kompetenz, Sprache).

wir nutzen intern lauter Firewalls von Juniper/Netscreen. Unser Disti ist manchmal etwas lau aber die Geräte selber sind einwandfrei, wenn auch die Last im Ram bei vielen VPNs hochgeht.

Es gibt da eine zentrale Management Software von Netscreen. Damit kann man z.B. auch flächendeckend Firmware-Upgrades etc einspielen.

Das Handlich ist sehr gut und in über 2 Jahren mit gut 70 Geräten ist uns nur einmal ein ADSL-Interface abgeraucht. Bin also zufrieden. In der zentrale haben wir einen 2node Cluster mit Firewalls um ausfallsicherheit zu generieren. Funkz wunderbar.

Gruss
Daniel

Danke - ja mit Juniper hab ich auch gute Erfahrugnen gemacht, jedoch nur mit Secure Access VPN-SSL, mit ihren FWs hab ich nie gearbeitet.
Den Support empfand ich in den wenigen Fällen wo ich ihn gebraucht habe als nicht zu überbietend gut. Sehr schnell und kompetent.

Wie würdest du den Support bei Juniper beschreiben? Oder hattest du bisher keine Cases wg. der Firewalls/VPN Netscreens?

das einzige was wir hatten war wie gesagt das defekte Interface an einer FW. Da wir ein Ersatzgerät hatten halt das Ding reingepröpelt - Config kopiert fertig.

Sonstige Supportfälle hatte ich eigentlich keine. Gem Internet soll der SUpport aber ja ganz gut sein - ich kenn ihn halt nicht

Hi Spacyfreak,

Früher hatten wir Cisco ASA und Fortinet im Einsatz mittlerweile haben wir alle getauscht gegen zwei Astaro ASG425 Appliances. (Astaro Internet Security - All-in-One Unified Threat Management Solutions for Complete Network, Web and Mail Security Protecting Against Hackers, Spyware, Phishing, Viruses, Worms and Spam)
Wir haben Site to Site VPNs zu Cisco's, Watchquards, Sonicwall, Checkpoint und Phion Endgeräte.
Unser System ist im Active-Passiv Mode, falls unser Master abraucht wird Slave aktiv und dies in ca. 1 Sekunde ...

Supporttechnisch gesehen hast du mehre Möglichkeiten, es gibt aber Platinum und da hast du 24hx7x365 Support und die sind verdammt schnell ...Ticket erstellen, 10min später die Antwort. Genauso ist auch der telefonische Support.
Ein ACC gibt es auch (Zentrales Management) und dieser ist sogar Kostenlos und Super - Einfach zu bedienen, mit allen Features welche man benötigt.

Grüsse,
Rezax

Von Astaro will ich grade weg - zuviele Probleme, ständige Vertröstungen "..beim nächsten Update wird alles gut..".
Mit dem nächsten Update wurde es dann jedoch noch schlimmer, so dass wir wieder zurückgerudert sind.


Die Bedienung ist ok, für kleinere Läden auch gut geeignet da alles drin ist - doch wir hatten damit so schlechte Erfahrungen dass wir keine Lust mehr auf Astaro haben. Der Failover klappt in der Praxis so toll, dass manchmal weder der eine noch der andere Knoten aktiv war, sowie merkwürdiges Verhalten manchmal , manchmal auch nicht - nicht verhersagbar wann es wieder zu spinnen anfängt.
Wir haben halt hunderte von VPN Verbindungen und tausende von FW Regeln mit vielen Verschachtelungen und Gruppen - eventuell liegts mit daran, doch das kann auch er Support uns nicht sagen woran es konkret liegt, dass die Kisten sich manchmal einfach aufhängen oder wichtige Funktionen nicht laufen. Dann muss die Kiste gerebootet werden, und selbst dann läuft nicht immer alles auf Anhieb. Eventuell erwischen wir nur Montagsgeräte - keine Ahnung.

Bei Gartner ist Astaro auch aufgeführt, es gibt jedoch ettliche Mitbewerber die deutlich weiter vorne liegen.
Allen voran Juniper, Checkpoint, Cisco, Fortinet.

Über Checkpoint steht sogar ausdrücklich drin dass es zahlreiche Beschwerden über den Support gibt.
Könnte ein K.O. Kriterium sein. Irgendwie tendiere ich momentan stark zu Juniper Netscreen...
Cisco ist bekanntlich sehr robust und für Enterprise Bedürfnisse ausgelegt - nur die Bedienung ist im vergleich zu den Mitbewerbern unter aller Sau gelinde gesagt. Gegen Kommandozeile auf Ios hab ich ja garnix - bei 600 Tunnels blickt jedoch kaum einer mehr durch auf der Kommandozeile, da muss was grafisches her schon um Flüchtigkeitsfehler zu vermeiden. Und ASDM wird zwar immer besser, doch die Konkurenz machts halt NOCH deutlich besser. Web-GUIs waren schon immer eine Schwäche von Cisco.

http://mediaproducts.gartner.com/rep.../article5.html

Hi Spacyfreak,

Danke für dein Posting.
Was hast du für ein Release drauf?!
Hast du Reklamiert beim Disti oder seit Ihr Astaro Partner?!
Ich muss zugeben, die V7 war anfangs doch sehr verbugt, mit der V7.304 sind wir jedoch sehr zufrieden auch das HA klappt.
Juniper ist aber ein tolles Produkt und nur für Firewall und VPN bestimmt eine alternative.

Grüsse,
Rezax

PS: Magic Quadrant for Enterprise Network von Gartner ist relativ alt 13 September 2007, also nicht wirklich Up2date

Bin jetzt nicht sooo derjenige der weiss Gott was für Erfahrungen hat mit so grossen Umgebungen, Geschweige denn VPN oder HA (wir brauchens einfach nicht ). Aber über Checkpoint kann ich noch zwei-drei Punkte sagen. Bedienung im Vergleich zu anderen Produkten: TOP. Einfach, übersichtlich, mit dem Management kann über Internet hinweg zig Firewalls verwalten, updaten, etc. Ich konnte mich innert kürzester Zeit in das Produkt einarbeiten und habe die gesamte Infrastruktur selbst aufgebaut (ok, mit ein bisschen Hilfe von einem Kollegen ). Hardwaremässig kannst Du mit SPLAT (eine spezielle Linux-Distri von Checkpoint) praktisch auf jeder beliebigen Hardware eine Firewall betreiben - voll supportet. Wir setzen z.B. einen Dell-Server ein. Bezüglich Support kann ich nicht viel sagen, bisher hatten wir einen Supportfall, der war nicht tragisch und uns wurde auch geholfen. Bei Checkpoint ist einfach die Community recht gross und gut organisiert (CPUG: The Check Point User Group). Da bekommst Du auch mal ne Antwort auch recht knifflige Fragen, kostenlos.

So, [/werbung]

Ja wir ham jetzt auch Checkpoint Clluster auf IPSO genommen und Nokia Hardware wg. Performance.
Das Troubleshooting mit SMART Tracker ist fast schon ein Genuss, die grundsätzliche Bedienung via GUI ok -doch bei Astaro war von der reinen Bedienung her vieles noch einfacher. Vielleicht auch Gewöhnungssache.
Was man mit SMART Map anfangen können soll ist mir jedoch schleierhaft.
SMART Monitor hat die Eigenschaft VPN Tunnels als aktiv anzuzeigen die eventuell garnicht online sind.
Für tiefergehende Analysen und einige Konfigurationen muss man auf die Kommandozeile - nervig.

Ja - nix gegen Astaro. Für kleinere Umgebungen völlig ok und funktioniert.
Im richtig grossen Enterprise Umfeld jedoch lieber was anderes nehmen.

Astaro hat alles drin und noch einiges mehr was man so von einem Security Gateway erwartet und ist pupseinfach zu bedienen.
Die relativ häufigen Updates bei Astaro sind jedoch etwas nervig bei einer 24/7/365 Umgebung. Basiert halt auf nem Suse Linux, mit allen Stärken und vor allem Schwächen.

Nach den Erfahrungen der letzten Monate würde ich zum Thema Enterprise Firewall / VPN Gateway sagen:

- sehr gute Idee: Checkpoint als reine Firewall, Cisco Router als VPN Gateway davorschalten (wg. DMVPN)
- gute Idee: Checkpoint für FW und auch als VPN Gateway
- gute Idee: Cisco ASA für FW und auch als VPN Gateway verwenden