Fortigate 61e hinter Fritzbox

[TheKlumpen]

Hallo zusammen,
ich bin im November in einen renovierten Altbau Anfang der 80er Jahre gezogen. Wir haben die komplette Elektrik neu gemacht und alle wichtigen Zimmer mit 2 Doppeldosen Cat6 versorgt. Internet kommt von der deutschen Glasfaser, dahinter werkelt eine Fritzbox 7530AX an einem HPE OfficeConnect Switch 1920. Das WLAN im 1.OG ist über einen Repeater 1200AX per LAN im Mesh versorgt. Alles läuft wunderbar.
Ich würde gerne die unzähligen Samrthome Geräte in ein eigenes WLAN Netz bringen, per se mit der Fritzbox nur über das Gastwlan möglich.
Jetzt habe ich von unserem Firmen ITler ausgediente Hardware geschenkt bekommen. Eine Fortigate 61E, 4 FortiAP 221E und ein HPE OfficeConnect Switch 1920S mit POE. Er hat mir das Ganze auf der Fortigate auch schon eingerichtet. Seperate SSIDs für alle Anwendungen, Firewallregeln für den Zugriff untereinander, etc.
Ich bin etwas skeptisch was den Betrieb der Fortigate angeht. Diese Modell ist EOL, d.h. es gibt keine Updates mehr. Ich möchte es also auf keinen Fall ohne die Fritzbox als Router betreiben. Im Moment ist es so konfiguriert, dass die Fortigate über ihren WAN Port an der Fritzbox hängt. Wenn ich Google und die KI richtig verstehe, habe ich so doppeltes NAT. Bei einem kurzen Test lief alles problemlos. Ich bin mir jedoch unsicher, ob ich das alles einfach so betreiben kann, daher steht das Zeug erstmal ungenutzt im Schrank.
Meine Frage:
Gibt es eine Anwendungsmöglichkeit für die Fortigate hinter der Fritzbox, ohne auf Sicherheitsfunktionen der Fritzbox verzichten zu müssen und alle Funktionen der Fortigate uneingeschränkt nutzen zu können?
Danke!

 

[nutrix]

So schade es auch ist, ich würde nichts mehr, was EOL ist und sicherheitsrelevant betrieben werden soll, verwenden. Bei fast allen großen FW Herstellern trudeln permanent Sicherheitslücken und Sicherheitswarnungen rein, so schnell kann man fast gar nicht patchen (ich spreche da von den großen Umgebungen mit vielen vielen FWs).
Verstehst Du was von PAP?
https://www.bsi.bund.de/SharedDocs/...n_Edition_2023.pdf?__blob=publicationFile&v=3
Wird sehr oft bei Kritisstrukturen und Behörden eingesetzt. Da könnte man das Ding am Ende vielleicht beim letzten P noch einsetzen. Aber das wäre für den Heimgebrauch natürlich absolut überdimensioniert. Wenn Du jetzt viele VLANs und Subnetze hättest, wo Du hin- und herrouten und NATen müßtest, wäre es vielleicht auch sinnvoll.

Und Du darfst nicht vergessen, daß sowas natürlich auch zusätzlich Strom kostet. Wenn Du jetzt normaler Benutzer bist, der nichts extravagantes macht, was besondere Sicherheitsstrukturen erfordert, würde ich es eher weglassen. Es wird für Dich so nichts weiter bringen, Du hast keinen Zusatznutzen davon. Selbst ich als (EX-) Netzwerker und Firewaller nutze sowas zu Hause mittlerweile auch nicht mehr.

 

[Thomrock]

ich würde nichts mehr, was EOL ist und sicherheitsrelevant betrieben werden soll, verwenden

genau Das!

 

[Ja_Ge]

Naja eigentlich ist die erst im Juli EOL, bis dahin kann dir jeder der Zugang zum Portal bei Fortinet hat (dein Admin z.B.) noch die Firmware - Updates zur Verfügung stellen.
Der andere Punkt ist, ob die Fortigate noch eine laufende Subscription hat. Vermutlich nicht, aber selbst wenn, wird diese dann bald auslaufen.
Ohne ein solches Abonnement sind AV, IPS, Webfilter etc. auf der Firewall deaktiviert. Diese Funktionen machen ohne min. tägliches Update aber auch keinen Sinn.
Du kannst die Fortigate aber weiterhin als Stateful Firewall mit Regelwerk auf Port - Basis, Router, VLANs, Switch etc. mit umfangreichen Log - Funktionen innerhalb deines Netzwerks (wie bei dir hinter der Fritzbox) nutzen.

 

[Mojo1987]

Man kann jetzt diskutieren ob man überhaupt eine FortiGate verwenden sollte... aber wenn sie EOL ist, hat sie unabhängig der Marke nix im Perimeter verloren.

Ansonsten... wenn das Gast WLAN der FB nicht genutzt wird, dann pack dir paar IoT Geräte doch einfach da rein wenn sonst alles geht. Das unnötig zu verkomplizieren seh ich hier nicht.