[Sammelthread] Sophos UTM-Sammelthread

Hallo,

Bin recht neu im Bereich Netzwerk und FW!



Ich fang mal bei meiner Config vorne an!

Fritzbox 7390 am (noch) 16k Anschluss Telekom!

Lan 1 geht in einen Switch an dem PC Receiver usw. hängt noch dazu gehen von diesem Switch 2 mal LAN an den HP Microserver auf dem Proxmox läuft, und als VM Sophos!

Kann leider den Server nicht Direkt an die Fritz hängen!

Fritzbox hat die Serien IP 192.168.178.1 DHCP Server ist noch an damit die anderen Geräte beim Probieren keine Probleme machen!

die Fritzbox hat eine Portweiterleitung per Exposed Host an die 192.168.178.254 <<-- Sophos internal (siehe screen)

Sophos eth1 ausgang hat die ip 192.168.1.1!

schnitt.JPG


DHCP
dhcp.JPG

Jetzt wenn ich meine Laptop per Lan anschließe bekommt er von DHCP Server Sophos die IP 192.168.1.150 und als Standardgateway 192.168.1.1

Leider keine Zugriff aufs internet ?





Möchte vorerst zum Spielen und Einstellen nur gewisse Geräte über Sophos laufen lassen! IPTV usw erst mal weglassen um probleme zu vermeiden ;)

Leider musste ich auch heute Feststellen das selbst ein neues Wlan gerät das auf die Fritzbox zugreift keinen Internetzugang bekommt da die Standardgateway von Sophos genommen wird!



Hoffe ihr könnt mir da etwas Helfen um den richtigen Weg ein zuschlagen!



Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn ich dich richtig verstehe, hast Du jetzt zwei DHCP-Server in einem physikalischen Netzwerk, einmal die Fritzbox und einmal die UTM, und zwar mit unterschiedlichen Subnetzen und unterschiedlichen Standard-Gateways. Das kann gut gehen, muss aber nicht, da sich Netzwerkgeräte genauso gut eine IP-Adresse von der Fritzbox erhalten können und dann unbeschränkt ins Internet gelangen.

Ungeachtet dessen gehe ich mal auf dein aktuelles Problem ein: wie sind die Firewall-Regeln eingerichtet? Ist der Webfilter auch eingerichtet? Wenn Du eine Internetseite pingen kannst, weil Du eine Firewall-Regel Internal nach Any (oder Internet IPv4) erlaubt hast, diese aber per Browser nicht erreichst, kann es eben sein, dass der Webfilter den HTTP(S)-Verkehr abfängt und wegen was auch immer blockt. Ohne Wissen der Firewall-Regeln und ggf. der eingerichteten Webfilter-Regeln kann man das jedoch nicht sagen.
 
eingerichtet hab ich gar nix es gibt keine regel oder keinen Filter der aktiv ist ^^ sophos ist sozu sagen frisch installiert hab nur die IP´s eingerichtet wie oben auf dem Bild !!

Das mit den 2 DHCP servern ist Richtig .. ich möchte vorerst nur 1-2 geräte über Sophos Regeln! kann ich somit den DHCP server abschalten? Wenn ich mich da reingefuchst hab sollen dann alle Geräte hinter die FW!

Nur wenn ich das jetzt mache geht gar nix!

Danke dir schon mal

Gruß
 
eingerichtet hab ich gar nix es gibt keine regel oder keinen Filter der aktiv ist ^^ sophos ist sozu sagen frisch installiert hab nur die IP´s eingerichtet wie oben auf dem Bild !!
Naja, standardmäßig blockt eine Firewall eben alles außer das, was explizit erlaubt ist. Normalerweise werden durch den Einrichtungsassistenten ein paar einfache Regeln eingerichtet, z.B. dass Webverkehr von innen nach außen erlaubt ist, dass die UTM als DNS-Server fungiert etc., aber wenn ich mir deine Schnittstellen ansehe, wurde die VM nicht richtig eingerichtet, so dass nur die Schnittstelle "Internal" automatisch vom Einrichtungsassistenten angelegt wurde, und mit nur einer Schnittstelle kann schlecht eine Firewall-Regel erstellt werden.

Deswegen würde ich die VM nochmal neu aufsetzen, jetzt hat die VM ja zwei Ethernet-Schnittstellen, die Du im Einrichtungsassistenten dementsprechend auswählen kannst, womit dann dementsprechende grundsätzliche Regeln automatisch eingerichtet werden.

Das mit den 2 DHCP servern ist Richtig .. ich möchte vorerst nur 1-2 geräte über Sophos Regeln! kann ich somit den DHCP server abschalten? Wenn ich mich da reingefuchst hab sollen dann alle Geräte hinter die FW!

Nur wenn ich das jetzt mache geht gar nix!
Zwei DHCP-Server im selben physikalischen Netzwerk verursachen mehr Probleme als sie lösen, zumindest wenn die nicht ordentlich konfiguriert sind.

Am besten Du deaktivierst den DHCP-Server der UTM und gibst deinem PC eine statische IP-Adresse aus dem 192.168.1.0/24-Subnetz mit Standardgateway und DNS-Server 192.168.1.1. Anschließend sollten zumindest die Grundfunktionen wie Websurfing und Pingen funktionieren.
 
Danke für die Tipps hab jetzt mal neu Installiert leider wird mir unter schnittstellen nur "Internal" angezeigt, bei der Install und Einrichtung hab ich bei WAN DHCP ausgewählt, da war aber auch nur eine Netzwerkkarte verfügbar!

Langsam werd ich irre

EDIT: im Dashboard zeigt er mir eth1 = nicht verwendet
 
Zuletzt bearbeitet:
Hallo zusammen,

eine Frage zum Verständnis.

Soll ich eher einen Port per DNAT öffnen oder über eine Firewall-Rule

#DNAT
Any - 5000:5001 - Any -> internes Gerät - 5000:5001

#Firewall
External Network - 5000:5001 -> internes Gerät

Die UTM ist auf einem ESXi als VM angelegt und hängt hintern einer FritzBox als ExposedHost

- - - Updated - - -

Achso, falls einer schon auf 9.410 ist, es gibt ein Problem mit den AV-Engines und SMTP.
Ihr müsst ein Ticket bei Sophos aufmachen, die installieren dann remote ein Update.
Aktuell ist kein Fix dafür geplant.

Das Problem äußert sich darin, dass Mail teilweise Tage in der Warteschlange der AV-Engine bleiben und nicht nach intern/extern weitergeleitet werden.
 
#DNAT
Any - 5000:5001 - Any -> internes Gerät - 5000:5001

(...)

Achso, falls einer schon auf 9.410 ist, es gibt ein Problem mit den AV-Engines und SMTP.
Ihr müsst ein Ticket bei Sophos aufmachen, die installieren dann remote ein Update.
Aktuell ist kein Fix dafür geplant.

Das Problem äußert sich darin, dass Mail teilweise Tage in der Warteschlange der AV-Engine bleiben und nicht nach intern/extern weitergeleitet werden.


Du möchtest eine DNAT Regel anlegen,
Internet IPv4 (Port 5000 & 5001) --> External WAN Interface ... Umleiten auf "Internen Host" , automatische Firewall Regel aktivieren, spart Zeit und Nerven bevor man das ein weiteres Mal in den Firewall Regeln eintragen muss.

Ich bin mir sicher, dass ein Update für die Problematik mit den AV Scannern in Arbeit ist (Helmich IT bietet den eigenen Kunden schon einen Hotfix an), aktuell wird das nur (leider) von Sophos nicht kommuniziert (wie so vieles)
 
Zuletzt bearbeitet:
Du möchtest eine DNAT Regel anlegen,
Internet IPv4 (Port 5000 & 5001) --> External WAN Interface ... Umleiten auf "Internen Host" , automatische Firewall Regel aktivieren, spart Zeit und Nerven bevor man das ein weiteres Mal in den Firewall Regeln eintragen muss.
Danke!

Ich denke das ein Update für die Problematik mit den AV Scannern in Arbeit ist, aktuell wird das nur (leider) von Sophos nicht kommuniziert (wie so vieles)

Für Privat -> ok drauf geschissen
für Firmenkunden wie wir es auch sind und eine Menge dafür bezahlen: absolutes NO_GO

Das darf nicht passieren und das ist es ja schon öfters.
 
9.411003 wurde grad released, scheint die Bugfixes mit drin zu haben.
 
Zuletzt bearbeitet:
NUTM-6804 [AWS] Update breaks HVM standalone installations
NUTM-6747 SAVI scanner coredumps permanently in MailProxy after update to 9.410
NUTM-6802 [Web] New coredumps from httpproxy after update to v9.410
 
Falls noch jemand eine echte Sophos Hardware sucht. Mein Schwager hat noch eine SG125W mit 2 Jahren Fullguard über.Einfach pm
 
Ich hab auch aktuell noch eine kleine UTm/ASG 120 abzugegeben - siehe meinen VK Thread
 
Hat sich irgendwas am Webfilter geändert beim letzten update? Ich hab jetzt plötzlich Werbung bei Youtube oder anderen Seiten oder hat Youtube/google irgendwas geändert?
 
Habe meine UTM gestern aufgesetzt, keine Werbung zu sehen.
Ich bin auf meiner APU2c4 aber mit der Performance nicht so zufrieden. Die 4 Jaguar-Kerne sind Single-Threaded einfach zu lahm bei aktiviertem IPS.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?
 
Hm, also ich hab nichts an der Konfig geändert, lediglich gestern das update eingespielt.
 
Hat sich irgendwas am Webfilter geändert beim letzten update? Ich hab jetzt plötzlich Werbung bei Youtube oder anderen Seiten oder hat Youtube/google irgendwas geändert?

Habe die Werbung seit mindestens 9.410... Ich vermute das kommt durch Youtube/Google. Kann das aber am Montag mal im Büro prüfen, dort ist noch 9.409 installiert.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?

Habe meine NAS in einem separaten Netzbereich und sowohl NAS als auch mein LAN per Gbit angeschlossen. Mit ner Ausnahme für IPS auf TCP Port 445 bekomm ich so 970MBit durch laut Windows Explorer.
Ohne Ausnahme lag ich bei ich meine um die 350MBit.
Als CPU nutze ich nen i3-6100, 8GB RAM, nen H170 Mainboard und ne Intel PCIe NIC.
Edit sagt: Es war übrigens nur ein CPU-Kern 100% ausgelastet.

Edit2 sagt: noch nen Screenshot von damals gefunden:
 
Zuletzt bearbeitet:
Habe meine UTM gestern aufgesetzt, keine Werbung zu sehen.
Ich bin auf meiner APU2c4 aber mit der Performance nicht so zufrieden. Die 4 Jaguar-Kerne sind Single-Threaded einfach zu lahm bei aktiviertem IPS.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?
1gBit schafft die UTM mit IPS praktisch nicht. Die XG aber ja, die hat multithreaded IPS

Gesendet von meinem ZTE A2017G mit Tapatalk
 
Hallo,

ich habe meine SophosUTM 9.4 nun virtualisiert und das Backup eingespielt, soweit läuft alles AUßER das OpenVPN inklusive DynDNS. In den Logs habe ich gesehen, dass dieser Fehler auftrat:
WARNING: cannot connect to checkip.dyndns.org:80 socket: IO::Socket::INET: Bad hostname 'checkip.dyndns.org'

Ich habe aber checkip.dyndns.org anpingen können etc. Am Ende musste nochmal der Cache gelöscht werden /var/cache/ddclient/ddclient.cache und der ddclient ausgeführt werden. Dann wurde das DynDNS Update ausgeführt.

Dennoch funktioniert das SSL VPN noch nicht. Ich erhalte vom Client die Meldung: "openvpn[7883]: TCP: connect to [AF_INET]XXX.XXX.XXX.XXX:443 failed, will try again in 5 seconds: No route to host

Woran kann das nun liegen? Ich kann vom client meinen DynDNS anpingen und auflösen.


EDIT: Erledigt, lag am Router/Modem davor, der dem externen Interface eine neue IP zugewiesen hat und somit die Portweiterleitung durchwirbelte.
 
Zuletzt bearbeitet:
aus Thread Hardware Empfehlung Firewall

So, folgender Stand:

Hardware
qotom-q190g4n-s08
8 GB RAM
256GB SSD

Dann ESXi mittels Custumized ISO installiert. Vielen Dank an Antonio Jorba. Dann die UTM drauf installiert

Hardware für die UTM
4 Core
6 GB RAM
100 GB HDD


PCI-Geräte können bei der Intel-Kiste leider nicht direkt durchgereicht werden, daher habe ich es mit einer mit der normalen VM-NIC gemacht. Der WAN-Port hängt direkt an der FritzBox und ist dort als ExposedHost deklariert.
Ich bin Kunde bei Vodafone-Kabel und habe standardmäßig einen 32/2-Anschluss. Im Rahmen der Kunden-blabla haben die mir für 6 Monate einen 100/6 zur Verfügung gestellt.

Nun, was soll ich sagen. Ich bin ein wenig enttäuscht, die Leistung der UTM auf ESXi-Basis ist echt mies. Am ende kommen doch nur 30-40 MBit raus.

Selbst wenn ich IPS und ATP ausschalte und nur der Virenscan an ist, kommt nicht viel mehr dabei heraus.
Jetzt überlege ich, ich die UTM nicht pur drauf mache und die anderen debian-VM's anderweitig auslagere.

Edit: die IPS wars, AV und ATP kann drin bleiben, dann läufts auch
 
Zuletzt bearbeitet:
Kurze Frage an die Experten hier:

Wir suchen für unser Büro einen neuen Router für ca. 25 Clients. Ab und zu mal wählen sich 3 bis 4 Leute via VPN ins Netz ein für RDP. Die Wartung des Routers/Switche/NAS übernimmt meisten einer von uns, der sich ganz gut damit auskennt, jedoch von Hauptberuf kein SysAdmin ist. Nun kam die Idee auf, anstelle eines neues Routers eine UTM-Box wie z.B. die von Fr3@k angebotene (UTm/ASG 120) zu benutzen mit der Home-Lizenz. Zuallerest als günstiger und doch etwas mächtigerer Ersatz für den Router/VPN-Verbindungen.

Wäre für den Einsatz Sophos UTM geeignet oder ist diese zu kompliziert/wartungsaufwändig?

Natürlich wären die anderen Funktionen wie die erweiteret Firewall interessant und vielleicht würden wir auch upgraden, wenn wir sehen, dass die Funktionen uns weiterbringen beim Produktiveinsatz.
 
Zu allererst wirst du eine Home-Lizenz nicht gewerblich nutzen dürfen.

Ansonsten empfinde ich die UTM als sehr wartungsarm. Gerade für ein professionelles Produkt empfinde ich die UTM als sehr einsteigerfreundlich. Trotzdem ist sie ein gutes Stück komplizierter zu konfigurieren als z.B. eine Fritz.Box. Als Beispiel nenne ich einfach mal Websiten, die auf nicht-standard Ports laufen. Willst du eine Website aufrufen unter https://domain.de:10443 musst du diese per Firewallregel ausgehen erlauben.
 
Hallo,

ich habe einen DELL T20 mit 32gb ECC Ram. Auf dem läuft zur Zeit ESXI mit zwei VM's. Debian und Freenas. Ich würde gerne zusätzlich Sophos UTM darauf installieren, um meinen Internetverkehr besser überwachen zu können. Zur Zeit hängt eine FritzBox 7490 am Netz. Ich habe bereits eine Intel 4 port Netzwerkkarte verbaut. Ist das empfehlenswert Sophos UTM in einer VM laufen zu lassen oder ratet ihr davon ab? Ich würde ungern ein weiteres Gerät haben, dass 24/7 läuft. Packt der DELL T20 diese Konstellation oder ist Sophos sehr Ressourcenhungrig?

Gruß
 
Packt der DELL T20 diese Konstellation oder ist Sophos sehr Ressourcenhungrig?

Gruß

Ach das reicht dicke für eine 100mbit Leitung. Wenn du deinen Verkehr nur überwachen willst, brauchst du eigentlich auch keine ATP und IPS(dpi)

Wie ich habs auf einer 4core celeron mit ESXi installiertnund geht auch!


Gesendet von iPhone mit Tapatalk
 
Hallo,

ich habe einen DELL T20 mit 32gb ECC Ram. Auf dem läuft zur Zeit ESXI ... Zur Zeit hängt eine FritzBox 7490 am Netz. Ich habe bereits eine Intel 4 port Netzwerkkarte verbaut. Ist das empfehlenswert Sophos UTM in einer VM laufen zu lassen oder ratet ihr davon ab?

Ich habe die gleiche Konstellation in Betrieb. Allerdings mit XG. Die VM langweilt sich mehr, als daß sie den T20 stresst. Und ich habe etwa 7 VMs permanent laufen.

Mein Setup: Die Sophos an die Fritzbox, in der Fritzbox VPN ausgeschaltet und VPN Ports freigegeben. Ich nutze den VPN Server der Sophos und schütze mich erst mal weiter primär mit der Firewall der Fritzbox. So eine Firewall kann schon mal strange sein :). Und wenn ich dann partout nicht weiter komme, schalte ich eine "ALLES OFFEN" Regel ein und schaue später, woran es liegt. In der Zwischenzeit bin ich über die Fritzbox gesichert. Und wenn ich dann irgendwann mal weiss, was ich da tue, denke ich ans Austauschen der Fritzbox :) Wobei dann immer noch die VoIP Thematik bleibt. Die ist mit der Fritzbox am Internet einfach stabil gelöst.
 
Zuletzt bearbeitet:
ich habe VDSL 50mbit, sowie eine Fritzbox 7490 und ein Fritzphone. Wie wäre da denn die Konstellation in Verbindung mit Sophos UTM?.
Die Fritzbox muss als Modem vor der Dose sein. Dahinter dann Sophos UTM, wo die Internetverbindung aufgebaut wird. Allerdings ist das Telefon mit der Fritzbox verbunden und muss ebenfalls ins Internet (VOIP). Hat jemand auch diese Konstellation und kann mir sagen, wie ich was zusammen schalten muss und vor allem was ich in der Fritzbox einstellen muss?
 
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.
 
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.

Ok aber dann gehen alle WLAN Geräte direkt über die FritzBox ins Netz und werden somit nicht durch Sophos kontrolliert oder?

Und was für Nachteile hat es?
 
Zuletzt bearbeitet:
Die Clients sollten nach Möglichkeit über die Sophos angeschlossen werden, sprich Switch oder Access Point an die Sophos dran und darüber das interne Netz laufen lassen.

Bei mir ist der Aufbau Fritzbox für Modem und Telefon, dahinter die Sophos. An der Sophos hängt mein alter Router der als Access Point und Switch arbeitet und mir 4 LAN-Ports sowie WLAN zur Verfügung stellt.
Hat den netten Vorteil das Fritzbox und Sophos im Keller stehen und im Erdgeschoss nur Router und Telefon.

Edit:
Nachteil wenn die Clients per WLAN direkt an die Fritzbox gehen ist das die nicht durch die Sophos geschützt werden. Und eigentlich soll doch die Sophos a) die internen Clients schützen und b) den Zugang nach außen einschränken und überwachen.
 
Zuletzt bearbeitet:
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.

Die Clients sollten nach Möglichkeit über die Sophos angeschlossen werden, sprich Switch oder Access Point an die Sophos dran und darüber das interne Netz laufen lassen.

Bei mir ist der Aufbau Fritzbox für Modem und Telefon, dahinter die Sophos. An der Sophos hängt mein alter Router der als Access Point und Switch arbeitet und mir 4 LAN-Ports sowie WLAN zur Verfügung stellt.
Hat den netten Vorteil das Fritzbox und Sophos im Keller stehen und im Erdgeschoss nur Router und Telefon.

Edit:
Nachteil wenn die Clients per WLAN direkt an die Fritzbox gehen ist das die nicht durch die Sophos geschützt werden. Und eigentlich soll doch die Sophos a) die internen Clients schützen und b) den Zugang nach außen einschränken und überwachen.

Ok und du reichst das Internet auch per Exposed Host an Sophos weiter oder wie hast du es realisiert? Kannst du ein bischen detaillierter auf die Konfiguration eibgehen? Was hast du bei Sophos beim Wan Port eingestellt? Ist die Wan IP Adresse im gleichen IP-Bereich wie die IP von der F!B?
 
Hi Ironcurtain86,

ich habe oben ja schon mal geschrieben, wie ich es mache.

Der Vorteil ist, dass ich Firewall, VoIP und WLAN für Gäste direkt an der F!B (weiter) nutze. Alles andere aus meinem internen Netzwerk wird über die Sophos Firewall gemanaged.

Der Nachteil ist, dass ich für alle Dienste, die ich von unterwegs aus dem Heimnetz nutzen möchte, die jeweiligen Ports freischalten musste. Da ich aber ausschliesslich VPN zulasse, wars mit 2 Ports ruck zuck erledigt.

WWW <- FRITZBOX (WLAN Gäste, VoIP, VPN Ports an Sophos freigegeben) <- SOPHOS <- SWITCH <- LAN & WLAN AP Family Clients

Mit dem Exposed Host machst Du die Tore zu Deinem internen Netzwerk auf. Musst Du Dir überlegen, ob Du das wirklich gleich zu Beginn machen möchtest. Selbst, wenn Du Dich mit Firewalls etc. auskennst, die UTM aber noch nicht so kennst, wäre ich da vorsichtig.

Just my 2 cents
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh