Hallo zusammen,
ich bin jahrelanger UTM Fan und wollte mir und dem Unternehmen etwas gutes tun und auf die XG wechseln. Blauäugig ging ich davon aus alles was die UTM konnte für die XG ein Klacks sein sollte - Fehlanzeige!
Der Email Schutz ist ein Witz, ein absoluter Witz! Und nein, ich werde nicht noch die Email Protection von Sophos Central benutzen um noch mehr für diese schlechte Umsetzung zu bezahlen, ich habe zwei XGS2300 mit Vollizensierung zum Preis eines Kleinwagens gekauft und erwarte davon etwa mehr als von der pfSense die nebenher noch den VTI Tunnel zum zweiten Standort aufrecht erhält.
Der smtp Dämon wird rein an eine Zone gebunden und hört auf allen 30 IP Adressen mit und empfängt fleißig Email wo garkeine eintreffen sollten, oder verursacht Loops in einer hybriden Umgebung, wo man noch eine "Hintenrum" Kommunikation zwischen EXO und onPrem benötigt. Ich musste das jetzt aufwendigst über eine zweite FW umrouten... Selbst das einfache SNAT wegen RDNS ist ein größeres Problem. Gerade eben habe ich ein Häkchen bei den erweiterten smtp Einstellungen gefunden, wo man angeblich Firewallregeln VOR dem Empfang, bzw. ÜBERHAUPT wirken lassen kann, ich traue mich überhaupt nicht mehr dieses vermutl. ebenfalls vermurkste Verhalten zu testen. Ich hoffe ich kann mir dadurch wenigstens die zweite pfSense wegen dem Hybridthema sparen. Im Email Protokoll sind lächerliche bis garkeine Infos zu erkennen, nicht gewünschte Anhänge werden einfach gelöscht und können nicht in die Quarantäne wandern. Der Spamschutz ist aktuell auf dem Niveau von EXO -> Nahe null im Vergleich zur UTM, obwohl alles mitsamt ZeroDay aktiviert ist!
Ich kann keine Interfaces, oder einzelne IPs abschalten. Wir sind eine Eventlocation, da gibt es viele vorgefertigte Kundennetze die die verschiedene Anforderungen haben. Ich habe das in der UTM oft benutzt um einfach im Vlan X mal schnell das Internet, DHCP etc. ein oder auszuschalten. Jetzt kann ich am Switch am VLan tagging rumfuchteln, oder muss Block All Firewallregeln erstellen. Was ist daran bitte so unglaublich schwer?
Die Dateneingabe ist mühselig ohne Ende, in der UTM konnte man meist auf import/export klicken und kommagetrennten Text einfügen, hier muss man sogar noch einen Host, bzw. Netzwerk für die Schnittstelle anlegen.
Ich wollte das AD einbinden für die Benutzerauthentifizierung -> Man kann nur einen DC angeben... Warum haben wir zwei? Ja genau, weil Microsoft Updates macht und dabei ständig was schief geht und ich viel Lebenszeit verschwendet habe als wir nur einen hatten!
Die Remoteinwahl über VPN ist auch maximal schlecht, zwar kann die XG wenigstens etwas mehr wie SSL brauchbar, aber wo ist der Mobile Client im Benutzerportal? In der ovpn Konfig (die man wenigstens mal runterladen kann) steht nur Bullshit drin, da musste ich erstmal alle IPs der FW rauslöschen und die externe eintragen, in internen Netzwerken brauche ich keinen VPN um ins interne Netz zu kommen. Ich bin Admin, ich reg mich nur darüber auf, aber was soll der Enduser da machen?
Die ganze Gui ist für 15" Montore ausgelegt, die Hälfte kann man in den Kästchen nicht lesen und oft geht auch kein Hoover mit der Maus. Lahmarschig ohne Ende kommt dann noch dazu! Wie gesagt, die UTM war auch nicht perfekt und mit Touchscreen kaum bedienbar, aber da konnte man sich arrangieren. Das hier von der XG ist unmöglich für eine FW Lösung in dem Preissegment! Angeblich arbeiten von 300 Entwicklern bei Sophos nur noch 5 an der UTM, was machen die anderen dann bitte?
Die Web Protection bietet ebenfalls kaum Mehrwert. Besonders auf BYOD, oder noch schlimmer Kundengeräten ist es schwierig bis unmöglich erstmal das Zertifikat zu verteilen. Wieso bringt man kein öffentlich vertrauenswürdiges Zertifikat mit inkl. private Key wenn man den Traffic nicht anderweitig entschlüsseln kann? Für Sophos und für den Preis was das kostet sollte das drin sein! Also bleibt nur HTTPS Scan abschalten und maximal für die Domainclients und was an Intune hängt aktivieren.
Ich habe einmal beim Support in Wiesbaden wegen der Exchange Hybrid Sache angerufen, gelandet bin ich erst in UK, dann in Indien. Die Leute da hatten von tuten und blasen keine Ahnung und haben auf Ihrer eigenen Homepage die KB Artikel gelesen, Eigentlich auch wieder wie bei Microsoft... Anschließend hat sich keiner mehr gemeldet, keine Lösungsvorschläge, kein Eingeständnis das es nicht so rund läuft, Feature Requests etc. und das bei gebuchtem "Premium Support". Die UTM hatte eine legendäre Hilfefunktion, jetzt geht sie noch nicht mal wenn die Sprache auf deutsch eingestellt ist, man muss jedes Mal "de-de" mit "en-us" in der URL austauschen, oder die Gui auf englisch stellen. Was man dann liest ist meistens unbrauchbar.
Ich weiß es ist ein neues System und ich muss mich vlt. auch erst dran gewöhnen. Sie ist anders, das war mir klar, das sie schlechter ist und mehr kostet, war mir dagegen nicht so klar! Ich mache seit einer Woche fast nichts anderes mehr und stehe immer wieder vor Sackgassen, die bei der UTM kein Problem waren. Heute war Livegang, ob das so bleibt wird sich jetzt noch entscheiden! Ich kann definitiv jetzt schon behaupten, das diese XG noch lange nicht ansatzweise an die UTM ran kommt. Nach 10 Jahren auf dem Markt ist das äußerst armselig... Die UTM hatte auch ihre Macken und vor allem die Logs (ausgenommen der SMTP-Log) waren eine Katastrophe, aber sie hat einen super Job gemacht. Mit dieser Schüssel fühle ich mich derzeit nicht ausreichend vor Bedrohungen geschützt und bin äußerst unzufrieden.
Wer das liest und vor der Entscheidung steht: Lasst es, verlängert einfach die UTM Lizenzen solange es noch geht, oder kauft was anderes. 
Wer die UTM ausgereizt hat und hier noch mehr erwartet wird bitter enttäuscht!
This thread was automatically locked due to age.
