Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
944
SMB über VPN ist tendenziell immer eine lahme Geschichte. Ich habe mit RED zwischen Sophos und Sophos recht gute Erfahrungen gemacht, man braucht dafür keine Hardware und kann dann einfach Routen auf einem Transfernetz einrichten. Läuft auf UDP Basis und vllt. deshalb etwas fixer. Ansonsten ist OPNSense und Wireguard eine Alternative. Mikrotik HEx sind auch super und IPSec lässt sich z.B. auf einen Tunnel einfach aufschalten, ist von der Konfiguration aber schon um einiges anspruchsvoller und bei Fehlverhalten sucht man lange.
 

Stueckchen

Member
Mitglied seit
29.03.2017
Beiträge
208
Wireguard wird von QTS nicht unerstützt. Klar könnte man es über shell zum laufen bringen, ist aber nicht gut im QTS System rumzupfuschen.
Wie wird QVPN 2.0 eingerichtet und verwendet? | QNAP
Unter VPN Client.
Das ist schon klar, aber einen kleine Linux VM als Wiregurad VPN Gateway sollte das gut machen. Ist auf jeden leichter als UTM oder Opn/PfSense.
Sonst ist sicher ein HEX als Gateway auch nicht schlecht. Die Frage ob man nen neues Gerät will.

Die FreeBSD Implementierung von Wiregurad ist leidet deutlich Langsamer/Hungriger
 
Zuletzt bearbeitet:

Ceiber3

Well-known member
Mitglied seit
21.11.2011
Beiträge
2.634
Also, wir haben heute noch bissel rumprobiert und getestet. Problem wurde gefunden, es liegt 100% an der Qnap selber, die lässt nicht mehr wie 2 bis 4 MB über das OpenVPN Protokoll zu, der Server über Qnap begrenzt genauso.
Wir haben jetzt einen VPN Server in einer VM aufgesetzt und die Qnap über IPSEC verbunden, jetzt kommen auch die vollen 12 Mb die Sekunde durch. :)
Qnap hat da scheinbar echt mist gebaut mit ihrer OpenVPN integration. Der VPN Server auf die VM schaufelt local einige 100 MB die Sekunde über das 10G Netz.
 
Zuletzt bearbeitet:

Burnz84

Member
Mitglied seit
19.01.2016
Beiträge
121
Mahlzeit Gemeinde,

ich hätte da mal eine Frage. Bei uns auf der Spohos kommt eine Mail nicht durch(siehe Anhang). Diese wird schon vorher verworfen, weil die bei Spamhaus auf der Liste steht. Gibt es eine Möglichkeit diese trotzdem zu empfangen?
spamhaus.PNG
 

martingo

Active member
Mitglied seit
17.01.2017
Beiträge
1.147
Nur kurz: dafür nen vollen Router, wenn auch als VM zu nutzen finde ich komisch. Ich würde aber mal einen Blick auf wireguard werfen, zur not kann auch Opnsense das, ist aber langsamer als auf Linux. Selbst ohne AES sind da easy mehrere 100Mbit drin.
Was ist denn für dich "ein voller Router, wenn auch als vm"? Jede mini-linux Kiste kann "ein voller Router" sein. Auf den Durchsatz kommt es an.
Und eine dedizierte Hardware voran zu schalten, ist aus mehreren Gründen nicht die schlechteste aller Ideen.

- - - Updated - - -

Edit: sorry, nicht die nächste Seite gelesen.
 
Zuletzt bearbeitet:

Burnz84

Member
Mitglied seit
19.01.2016
Beiträge
121
SMIME.p7m

Hallo in die Runde,

ich habe einen User bei dem anscheinend nach dem Scan der Mail durch Sophos ein Fehler auftritt.
Folgendes Verhalten:
Ein Kontakt(Extern) schickt eine Mail an besagten User1 und im CC steht noch ein anderer User2. Bei User2 kommen die Mails an bzw. wird der Inhalt angezeigt. User1 erhält nur eine leere Mail.
Inhalt:
Betreff: XXX#XXX#XXX

This email was Malware checked by UTM 9. Sophos Next Generation Data Protection: Security Made Simple


Anmerkung
Der Kontakt Extern hat die Mails(es waren 2) erneut an User1 geschickt. Eine von beiden kam dann ganz normal an. Die zweite wiederum war leer.
Der Kontakt hat auch schon früher Mails gesendet, welche ohne Probleme angekommen sind. Auch bei besagten User1.
Wir haben Mailstore als Archivierungssystem für die Mails. Im Mailstore landet die Mail wie im Anhang abgebildet.
sophos.PNG
Da das Archivsystem erst nach dem Scan durch Sophos greift, gehe ich davon aus, dass es an der UTM9 liegen muss/kann.

Wo kann das Problem sein? Ich habe keinen Ansatzpunkt.
Danke für eure Hilfe :)

MfG

Burnz
 

scimob

Member
Mitglied seit
19.10.2011
Beiträge
241
Ort
Oberfranken
Ich sehe da was von SMIME...
Mach mal ne Regelausnahme die verschlüsselte Mails von der Quelladresse nicht scant (unscanbarer Inhalt). Klingt für mich in die Richtung.
 

Burnz84

Member
Mitglied seit
19.01.2016
Beiträge
121
Ich sehe da was von SMIME...
Mach mal ne Regelausnahme die verschlüsselte Mails von der Quelladresse nicht scant (unscanbarer Inhalt). Klingt für mich in die Richtung.
Hab ich mal gemacht und warte noch auf Rückmeldung. Wobei ich es seltsam finde, dass eine Person die Mail richtig empfängt und die andere nicht bzw. beim zweiten Versuche eine von zweien richtig ankommt.
 

martingo

Active member
Mitglied seit
17.01.2017
Beiträge
1.147
Kann die angehängte (verschlüsselte) p7m E-Mail denn geöffnet werden?

Und was heißt "kam beim User2 ganz normal an"? Sophos kann mangels Key doch gar nicht in die Mail schauen und entsprechend auch kein "scanned by" anhängen. Gibt es für User2 vielleicht schon eine Ausnahme?
 

Burnz84

Member
Mitglied seit
19.01.2016
Beiträge
121
Kann die angehängte (verschlüsselte) p7m E-Mail denn geöffnet werden?

Und was heißt "kam beim User2 ganz normal an"? Sophos kann mangels Key doch gar nicht in die Mail schauen und entsprechend auch kein "scanned by" anhängen. Gibt es für User2 vielleicht schon eine Ausnahme?
also: Der Kunde schickt eine Mail an 2 Empfänger. Einmal "An" einmal im "CC". Bei dem ersten Mitarbeiter ist die Mail leer. Kein Inhalt nur das"Scanned by Sophos...". Bei dem anderen Mitarbeiter wird die Mail normal "durchgereicht". Es ist Text in der Mail und die PDF-Anhänge. Wir nutzen Mailstore zum archivieren der Mails. Das geschieht direkt im Journal. Wenn man sich die Mail dann im Archivsystem anschaut, ist dort immer noch kein Text aber als Anhang diese SMIME.p7m Datei. Es gibt keine Ausnahmen für spezielle User oder der Gleichen.

MfG

Burnz
 

matttcgn

Member
Mitglied seit
15.10.2015
Beiträge
34
Hallo Zusammen, vielleicht kann mir jemand helfen, bzw mich unterstützen.

Folgende Ausgangssituation:

Ich habe @home eine FortiGate Firewall und möchte unter Anderem über mein Sonology-NAS den Mailserver wieder in betrieb nehmen. Wegen Erreichbarkeit etc. hätte ich gern eine feste IP, was der Provider nicht anbietet.

Nun habe ich einen vServer mit fester IP gemietet, UTM installiert und eingerichtet. Naturgemäß bringt der vServer nur eine Netzwerkkarte mit, welche ich als "intern" deklariert habe und habe dort die IPv4 zugewiesen. Ping auf die externe IP funktioniert, UTM zieht Updates usw.
Ipsec VPN zwischen FortiGate und UTM wurde eingerichtet und funktioniert.
ich habe dem internen Interface nun noch eine zusätzliche private IP 192.168.X.X gegeben und komme über das VPN auch auf diese Adresse zur Anmeldung auf der GUI (heißt, VPN funktioniert).


Was mir bisher nicht geglückt ist:
wie bekomme ich den Traffic durch den Tunnel ins Internet (und zurück)?

Auf der FortiGate kann ich per Policy-Routing bestimmten Traffic in den Tunnel senden, was laut Log auch funktioniert (z.B. Ping auf 8.8.8.8). Allerdings sehe ich im Log der UTM (ich hoffe, ich habe das richtige Log;)) keine ankommenden Pakete. Ich habe ein wenig mit den Policies und NAT auf der UTM gespielt, allerdings kenne ich das System bisher gar nicht und bin mittlerweile recht am Ende mit meinem Latein....
 
Mitglied seit
03.10.2016
Beiträge
219
Ort
MUC/AMS
Guten Abend,

ich hätte eine kurze frage an euch.

Ich habe eine Sophos XG auf einem Hype -V Server 2019 virtuell laufen.
Mein Switch ist Manager von Unifi , ebenso mein Wifi AP Pro

ich hätte nun gerne meine ganzen Smart home Chinaböller inkl. den ganzen Alexas in ein eigenes WLAN mitsamt VLAN

ich habe also ein WLAN SSID "IOT" mit vlan20 erstellt.
auf der XG habe ich auf Port 1 (LAN) ein VLAN20 erstellt , ebenso einen DHCP Server für das VLAN20 Netzwerk.
leider bekomme ich es aus unerklärlichen gründen nicht gebacken.Ich bekomme einfach keine IP Adresse....


ich habe folgende Vermutung: Die Sophos XG hat noch einen Relay DHCP für mein LAN Netzwerk, das auf meinen Domaincontroller Verweist. ich bin mir nicht sicher , aber kann das sein das die Sophos bloß 1 DHCP auf einer Physikalischen NIC "kann" ???
ebenso bin ich mir nicht so ganz sicher , ob der HYPER-V auch das vlan20 in die VM durchreicht ....


Hat wer von euch so was ähnliches vileicht in betrieb und kann mich ein bisschen unterstützen ?

LG

Phil
 

Gen8 Runner

Member
Mitglied seit
12.08.2015
Beiträge
227
Habe das nur bei esxi am laufen mit PFSense.

Aber dort: VLAN für den Unifi, VLAN im Switch erstellen, VLAN für dein Sophos VM erstellen (quasi auf hypervisor Ebene ein neues Interface mit der VLAN ID zuteilen. In Sophos selbst kein VLAN mehr eingeben.

So läuft das zumindest bei mir. Dem zweiten DHCP einen Bereich gegeben, in dem er Adressen vergeben kann?
 

Bib

Member
Mitglied seit
20.12.2006
Beiträge
661
Hallo, hab eine Frage zu den extra VLANs für IOT-Geräte:

Ich hab einen Openhab-Server, der in meinem Haupt-LAN drin ist. Der steuert unter anderem auch die IOT-Geräte. Wenn ich die jetzt in ein eigenes VLAN transferiere, dann haben die ja erstmal keinen Zugriff mehr auf Openhab - und umgekehrt auch nicht. Wie habt ihr das am laufen? Habt ihr keinen zentralen Smarthome-Server - geht bei euch alles über die Cloud? Oder habt ihr dann für jedes device eigene Firewall-Regeln angelegt? Das ist dann ja schon ein ungeheuerer Aaufwand...
 

dimonw

Member
Mitglied seit
29.01.2010
Beiträge
47
einzelne Firewall Regeln, nur das öffnen was gebraucht wird. Ist ja auch das Ziel einer Firewall.
 

DrAg0n141

Member
Mitglied seit
19.02.2016
Beiträge
39
Ich würde den OpenHab Server auch ins IOT VLAN stellen. Dann nur Regeln machen die du brauchst um darauf aus deinem Netz zugreifen zu können.
 
Mitglied seit
03.10.2016
Beiträge
219
Ort
MUC/AMS
Habe das nur bei esxi am laufen mit PFSense.

Aber dort: VLAN für den Unifi, VLAN im Switch erstellen, VLAN für dein Sophos VM erstellen (quasi auf hypervisor Ebene ein neues Interface mit der VLAN ID zuteilen. In Sophos selbst kein VLAN mehr eingeben.

So läuft das zumindest bei mir. Dem zweiten DHCP einen Bereich gegeben, in dem er Adressen vergeben kann?
Hallöchen :)

brauche ich wirklich ein neues Interface ?
weil was weise ich dem Interface dann für eine Adresse zu ? Ich muss es ipv4 konfigurieren das ich auf dem Interface ein neues vlan erstellen kann ..

Oder steh ich jetzt komplett am Schlauch oben xD😂😂😂🤔🤔🤔🤔
 

Gen8 Runner

Member
Mitglied seit
12.08.2015
Beiträge
227
Hallöchen :)

brauche ich wirklich ein neues Interface ?
weil was weise ich dem Interface dann für eine Adresse zu ? Ich muss es ipv4 konfigurieren das ich auf dem Interface ein neues vlan erstellen kann ..

Oder steh ich jetzt komplett am Schlauch oben xD😂😂😂🤔🤔🤔🤔
Das doofe ist halt, dass ich nicht wirklich ein identisches System mit ESXI und PFSense habe und da wahrscheinlich alles ein bisschen anders aussieht und beschriftet ist.

Bei ESXI heißt es schlicht und ergreifend: Portgruppe (virtuelles Interface) hinzufügen -> VLAN ID eingeben -> Auswählen an welchem virtuellen Switch das hängen soll -> Fertig

Anschließend deine VM herunterfahren (sofern sie kein Hotplug unterstützt, im Hypervisor dieses gerade neu erstellte Interface deiner VM hinzufügen und diese wieder starten.

In deiner Sophos müssten dann ja irgendwo alle verfügbaren Interfaces auftauchen, wo du dieses neue hinzufügen kannst Anschließend DHCP Server hierfür aktivieren (und konfigurieren) und Firewall-Regel setzen -> Das war's schon (sofern der Rest, wie WLAN konfiguriert wurde). Was für eine Adresse willst du dem Interface zuweisen? Du musst diesem Interface eine statische IP verpasen, meinetwegen 192.168.22.1, sodass eben diese Geräte auch nicht in deinem Subnet landen (was du ja eben genau vermeiden willst für Alexa & co.).
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
22
Hi,

ich habe das Problem, dass ich beim neuen WC3 Reforged keinen Multiplayerspielen joinen oder hosten kann. Sie werden zwar aufgelistet aber ich kann nicht beitreten.

Im Einsatz ist eine Sophos UTM 9 (FW 9.700-5), welche hinter einer Fritzbox 7590 (Exposed Host) läuft.

Laut blizzard, werden diese Ports benötigt:
Allow port 6112 TCP out and allow established sessions in
Allow port 6112 TCP in (hosting custom games)
Allow port 6113-6119 TCP out and in (hosting custom games if you have changed the default port in the Options/Gameplay screen)

Diese habe ich in der Firewall freigegeben. Trotzdem bekomme ich immer wieder eine Fehlermeldung

Im log sehe ich dann folgende Sachen (kurzer Ausschnitt):

22:15:30 Standard-VERWERFEN TCP 192.168.20.60:65190 → 37.244.3.91:41946 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:15:30 Standard-VERWERFEN TCP 192.168.20.60:65188 → 37.244.54.220:44129 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:15:30 Standard-VERWERFEN TCP 192.168.20.60:65191 → 37.244.54.239:31597 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:15:30 Standard-VERWERFEN TCP 192.168.20.60:65197 → 37.244.54.217:35710 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:15:30 Standard-VERWERFEN TCP 192.168.20.60:65195 → 37.244.3.88:40418 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92

Nutze ich meine Testregel any-any kann ich problemlos joinen.
Im log kann man dies dann auch sehen (kurzer Ausschnitt):

22:18:03 Paketfilterregel-Nr.17 TCP 192.168.20.60:50638→ 37.244.54.224:16637 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:18:03 Paketfilterregel-Nr.17 TCP 192.168.20.60:50643→ 37.244.54.229:45256 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:18:03 Paketfilterregel-Nr.17 TCP 192.168.20.60:50644→ 37.244.3.123:30673 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:18:03 Paketfilterregel-Nr.17 TCP 192.168.20.60:50659→ 37.244.54.206:40602 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92
22:18:03 Paketfilterregel-Nr.17 TCP 192.168.20.60:50660→ 37.244.54.234:45630 [SYN] len=52 ttl=127 tos=0x00 srcmac=9c:5c:8e:87:cd:e3 dstmac=00:1a:8c:43:aa:92

Ich glaube, dass ich ein DNAT einrichten muss, was aber nicht funktioniert. Wäre super wenn mir jemand weiterhelfen könnte. Stellt einfach fragen wenn etwas unklar ist.
Kann ja nicht die Lösung sein, dass ich jedesmal die any-any Regel aktivieren muss, wenn ich mal Multiplayer spielen will.
 
Zuletzt bearbeitet:

bastis0

Member
Mitglied seit
21.09.2010
Beiträge
213
Nur mal so ein Gedanke, der mir als erstes kam: Stimmt die Reihenfolge deiner Regeln?

Denk daran, das die erste Regel, welche passt, benutzt wird, nicht diejenige, die hier speziell für angelegt wurde, aber nach der anderen erst kommt.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
22
die any any Regel ist die letzte Firewallregel.

Wenn vorher schon eine greifen sollte, dürfte die ja auch nicht funktionieren oder?
 

bastis0

Member
Mitglied seit
21.09.2010
Beiträge
213
okay....wenn die als letzt ist und dann greift....Mach mal nen Screenshot deiner Regel und pack mal hier rein. Würde im ersten Moment sagen, Du hast den nen Denkfehler in der Regel und der Fehler ist so blöde versteckt, das man ihn zu leicht übersieht.
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
34.890
Ort
SN
Wo seht ihr denn da jetzt das Problem?
Die fünf HighPorts im 30000-40000er Bereich werden geblockt. Wenn nur TCP 6112-6119 raus zu offen ist, kann es logisch nicht gehen...
 

danielmayer

Member
Mitglied seit
30.03.2005
Beiträge
639
Bzw. nach meiner Interpretation möchte Dein Server (.20) auf den Ports 651xx und 506xx Blizzard anfunken und darf es nicht.
Standard-Verwerfen kommt, wenn any deny die Grundregel ist und keine positive Ausnahme gemacht wurde
Also in der Tat: Die UTM tut, was sie soll.
Entweder den Gameserver auf die richtigen Ports einstellen oder auf diese High-Ports eine UTM-Regel erstellen.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
22
Wo kommen diese Highports her? Die sind nirgends dokumentiert. Will ungern nen willkürlichen Bereich auswählen. Da müsste ich ja 15000 Ports aufmachen wenn es von 50000 bis 65000 gehen sollte.
Und wenn ich selber hosten will, brauche ich doch ein DNAT Regel oder?



Laut Blizzard werden aber nur folgende Ports benötigt:


Allow port 6112 TCP out and allow established sessions in
Allow port 6112 TCP in (hosting custom games)
Allow port 6113-6119 TCP out and in (hosting custom games if you have changed the default port in the Options/Gameplay screen)

  • Warcraft III is the only Blizzard Title that currently supports multiple players hosting games behind NAT. Other games are not able to do this.
  • You may experience high latency with StarCraft, Warcraft II, and Diablo when joining the same game from the same connection.
    These games were not designed to use a shared connection.
  • If you have recently patched a game and get “Unable to connect”, a software firewall may be blocking the game change. Please configure it to allow the changed game.
  • A “universal rule” for a hardware firewall may work for all Blizzard Battle.net 1 games. Forward ports 4000 TCP and 6112-6119 TCP/UDP to your computer. For the Blizzard Downloader, if you have bittorrent set up already just allow port 6112 TCP and 3724 TCP.
  • Port Triggering may work better for you depending on your router. Port triggering may fail if there is a second computer playing on the same game/port.
Hier mal noch die FW Regel:
Unbenannt.jpg
 
Zuletzt bearbeitet:

bastis0

Member
Mitglied seit
21.09.2010
Beiträge
213
Sind deine Services TCP und UDP freigegeben? hab mal mit meinen Diablo3 Regeln verglichen und dort hatte ich jede Regel doppelt anlegen müssen, einmal für TCP und einmal UDP
 
Oben Unten