Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Jop. Hab tcp/udp Dienste erstellt und auch alle noch einmal überprüft.

„Warcraft III is the only Blizzard Title that currently supports multiple players hosting games behind NAT. Other games are not able to do this.“

wie lege ich eine NAT Regel in Verbindung mit exposed host an? Alles was ich probiert habe funktioniert irgendwie nicht.

Wäre super wenn mir da jemand helfen könnte.

edit:
Bei anno 1800 hab ich das selbe Problem. Dieses Spiel brauch nutzt auch NAT und auch dort hab ich Probleme beim Verbinden.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mitglied seit
03.10.2016
Beiträge
219
Ort
MUC/AMS
Hallo Zusammen :)

ich hab es nun hinbekommen mit meinem VLAN , dem Unifi AP PRO , und einer SOPHOS XG die über Hyper-V läuft.

wenn interesse besteht , würde ich die tage eine kleine Anleitung verfassen mit bildern und so , gebt mir einfach feedback. :)
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.004
Ort
SN
Laut Blizzard werden aber nur folgende Ports benötigt:
Das Ding ist, die Angaben der Hersteller kannst du da in der Masse der Fälle absolut vergessen. Sinnvoller ist es dort, sich einfach das Livelog aufzumachen, auf den Client zu filtern und einfach anzuschauen, was alles geblockt ist/wird.
Dann schaut man welche IPs wo zu gehören, also dass da nicht irgend ein Hintergrunddienst auf dem PC was fabriziert, was nicht zum Spiel gehört und macht dann den Spaß einfach auf.

Games mit so PTP Multiplayer Ansätzen sind eh Sackgang hinter so einem Router. Im Heimbereich mit nem Plastebomber könnte man über UPnP nachdenken (würde ich persönlich aber nie machen) oder man schreibt halt einfach die entsprechenden Regeln.


Wo die HighPorts her kommen kann dir aber hier wohl keiner wirklich beantworten. Das klingt/sieht in erster Linie aber nach dynamischen Ports aus. Sprich dass die Anwendung sich nen Kommunikationsport mit dem Zielserver aushandelt - der dann blöderweise immer anders sein kann. Frag mal nen Admin im Microsoft Windows Umfeld nach der Portrange für RPC dynamic ports ;) Das sind irgendwo tcp 49000 bis sonstwohin, wenn man es nicht vorher festbrennt. Ähnlich schaut das hier auch aus. Entweder du machst das einfach großflächig auf, bspw. für das IP Netz 37.244.3.0/24 und 37.244.54.0/24 oder pickst dir die einzelnen IPs raus, was zu mehr Pflegeaufwand führen wird. Die Netze sind btw. im AS57976 der Blizzard Entertainment, Inc zugehörig ist. Hat also definitiv irgendwie irgendwas mit dem zu tun, was du da vor hast.
Und nicht verwechseln, das ist komplett outgoing! Das musst du logisch nicht von draußen nach innen via NAT Regel forwarden! Da geht es rein um den Traffic von deinem Client PC aus über den Router nach public, der da im Moment geblockt wird. Den Weg andersherum musst du dir wahrscheinlich zwar auch ansehen, aber bevor ich da wild Port Forwardings schalten würde, würde ich an deiner Stelle erstmal prüfen ob überhaupt was benötigt wird bzw. wenn ja, was denn angefragt/geblockt wird.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Das mit ports für die einzelnen blizzard IP Adressen aufzumachen klingt gut. Bin ich selbst nicht drauf gekommen.

Danke. Ich gebe dann später mal Feedback. ;)
 

AvantFighter

Member
Mitglied seit
04.12.2013
Beiträge
299
Ort
Der dunkle Wald
Hi,

habe ein Problem mit der Sophos UTM und WIndows 10 PCs.

Habe Webfilter aktiv im Transparrent modus und das Problem ist, das die PCs keine Windows Update herunterladen können

Im Webfilter log steht immer

2020:02:02-18:53:32 sgate httpproxy[5772]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="93.184.221.240" user="" group="" ad_domain="" statuscode="416" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (content filter action)" size="0" request="0x8c45100" url="http://au.download.windowsupdate.com/c/msdownload/update/software/uprl/2020/01/windows-kb890830-x64-v5.79_61eb38de1be8c2c209955189129c9f60edcced91.exe" referer="" error="" authtime="0" dnstime="65" aptptime="110" cattime="0" avscantime="0" fullreqtime="231652" device="0" auth="0" ua="Microsoft-Delivery-Optimization/10.0" exceptions="sandbox,content,url,ssl,mime,fileextension,size" reason="range"

Die Ausnahmen für Windows sind aber drinen

1580666221216.png


Hat jemand ein ähnliches problem oder sogar eine lösung
 
Zuletzt bearbeitet:

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.004
Ort
SN
@AvantFighter
Eine Ausnahme bei AV Scan - und das sollte laufen.
Eine Ausnahme für die Fortschrittspage wäre auch sinnvoll, überall dort, wo du Files automatisch downloaden lässt (wie bei Windows Updates), die im Zweifel klein genug sind via AV Scanner erfasst zu werden - dann bekommt dein Client nämlich nicht die Datei präsentiert sondern die Page mit dem Download Button und bricht dort dann ab.
Bei Windows Update brauchts aber offenbar eine Ausnahme für den AV Scanner - Zwischenspeichern musst du schauen ob das funktioniert, im Zweifel auch ausmachen.
 

AvantFighter

Member
Mitglied seit
04.12.2013
Beiträge
299
Ort
Der dunkle Wald
@fdsonne

Dank dir, mit dem punkt Antivirus deaktivieren, seh ich immer kritisch (da ich als Systemadministrator arbeite) und unsere großen Firewalls damit keine Probleme haben,
aber der Punkt mit Fortschrittspage hat es gebracht, die Updates laufen komplett durch.

Nur wundert es mich, das dieser Punkt diese Blockade verursacht.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Das Ding ist, die Angaben der Hersteller kannst du da in der Masse der Fälle absolut vergessen. Sinnvoller ist es dort, sich einfach das Livelog aufzumachen, auf den Client zu filtern und einfach anzuschauen, was alles geblockt ist/wird.
Dann schaut man welche IPs wo zu gehören, also dass da nicht irgend ein Hintergrunddienst auf dem PC was fabriziert, was nicht zum Spiel gehört und macht dann den Spaß einfach auf.

Games mit so PTP Multiplayer Ansätzen sind eh Sackgang hinter so einem Router. Im Heimbereich mit nem Plastebomber könnte man über UPnP nachdenken (würde ich persönlich aber nie machen) oder man schreibt halt einfach die entsprechenden Regeln.


Wo die HighPorts her kommen kann dir aber hier wohl keiner wirklich beantworten. Das klingt/sieht in erster Linie aber nach dynamischen Ports aus. Sprich dass die Anwendung sich nen Kommunikationsport mit dem Zielserver aushandelt - der dann blöderweise immer anders sein kann. Frag mal nen Admin im Microsoft Windows Umfeld nach der Portrange für RPC dynamic ports ;) Das sind irgendwo tcp 49000 bis sonstwohin, wenn man es nicht vorher festbrennt. Ähnlich schaut das hier auch aus. Entweder du machst das einfach großflächig auf, bspw. für das IP Netz 37.244.3.0/24 und 37.244.54.0/24 oder pickst dir die einzelnen IPs raus, was zu mehr Pflegeaufwand führen wird. Die Netze sind btw. im AS57976 der Blizzard Entertainment, Inc zugehörig ist. Hat also definitiv irgendwie irgendwas mit dem zu tun, was du da vor hast.
Und nicht verwechseln, das ist komplett outgoing! Das musst du logisch nicht von draußen nach innen via NAT Regel forwarden! Da geht es rein um den Traffic von deinem Client PC aus über den Router nach public, der da im Moment geblockt wird. Den Weg andersherum musst du dir wahrscheinlich zwar auch ansehen, aber bevor ich da wild Port Forwardings schalten würde, würde ich an deiner Stelle erstmal prüfen ob überhaupt was benötigt wird bzw. wenn ja, was denn angefragt/geblockt wird.
Hi,

hab jetzt folgende Regel FW erstellt:

DD25E188-E50F-4657-83FE-85DE5B3EBCC3.jpeg


Mit der hat es soweit erstmal funktioniert. Hab aber auch noch andere ips im log gesehen und konnte mich auch manchmal nicht zum Custom Game verbinden.
Bin mir nicht sicher, ob das das so richtig ist. Hosten hab ich noch nicht probiert.

Das Problem bei anno1800 bleibt weiterhin bestehen. Bekomme dort die Meldung: NAT Typ unbekannt.

Jemand damit Erfahrung?
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.004
Ort
SN
@schoeller

Möglicherweise hat Blizzard noch andere IP Ranges?

Was Anno angeht, ist denn das Netzwerk Symbol grün in Anno oben rechts in der Ecke?
Für Anno 1800 hab ich bei mir jeweils als UDP die Ports 6005, 6010, 12000 und 12009-12011 offen.
Allerdings habe ich auch ne Regel für Anno2070 (ebenso von Ubisoft) mit TCP 14000 und 14008 sowie UDP 21150-21151 und 21156. Ich meine mich dran zu erinnern, dass Anno1800 auch die 211xxer Ports genutzt hat. Im Zweifel mal im Log schauen. Häufiger gleichen sich die Ports für irgendwelche Publisher spezifischen Dienste - was ggf. auch einfach der Grund ist, warum für WC3 nur die paar wenigen Ports oben auf der Seite stehen, aber real bspw. das Battle.net Zeugs noch andere Ports braucht. Bei uPlay von Ubisoft ist das ähnlich. Oder Steam oder Origin und wie sie alle heißen...

Destination ist jeweils Any Public IP bei mir, die Source ist meine Spielemöhre Zuhause.
 

p4n0

Well-known member
Mitglied seit
07.08.2012
Beiträge
2.269
Ort
Raum Stuttgart
Hi in die Runde.
Die Home Lizenz meiner UTM wird im April ablaufen. Wie erneuer ich das Ding mit moeglichst wenig Aufwand?

Grueße
 

wenzilinho

Member
Mitglied seit
21.09.2018
Beiträge
168
Über https://myutm.sophos.com:

If your home use license is near to expiry you need to open the license below, delete it and create a new one.

Danke für den Hinweis. Meine Lizenz läuft Montag aus, habe ich grade festgestellt.
 

pippo21995

New member
Mitglied seit
19.07.2013
Beiträge
7
Ort
Bad Arolsen
Hallo zusammen,

aktuell bin ich noch auf der Suche nach der passende Hardware für meine UTM.

Aktuell setze ich einen HP ProDesk 800 G1 mit einem i3 der 4. Generation und 4 GB RAM. Leider ist die Hardware für meinen Geschmack "etwas" zu laut.

Daher bin ich auf der Suche nach einem passenden Ersatz, vielleicht kann mir jemand eine passende Empfehlung geben :)

Folgende Anforderungen habe ich:
- Aktuell 300/20 Mbits, später ggf. 1000/50. Oder die 300/20 in Kombination mit einer 100/40 Mbits Leitung
- Nutzung des SMTP Proxy, tägliches E-Mail Volumen ca. 500 E-Mails
- 1-2 IPsec S2S VPNs
- ca. 3-5 SSL VPN Verbindungen
- und möglichst leiste und stromsparend

Schonmal vielen Dank :)
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Also ich steh mal wieder aufm Schlauch, habe nen Verständnisproblem oder bin einfach zu dumm.

Es geht um das Game CoD Warzone:

Folgende Ports sind freigegeben:
TCP: 3074,27014-27050
UDP: 3074,3478,4379-4380,27000-27031,27036

Daraufhin habe ich eine FW Regel erstellt:
regel.png


Wenn ich ein Game suche, bekomme ich im Live Protokoll folgende Antwort:
live protokoll.png


Was stimmt da jetzt wieder nicht? Port 3074 (TCP/UDP) ist freigegeben.

Mache ich meine any-any Regel an und die andere aus, funktioniert alles Problemlos und das livelog zeigt mir das auch:
live protokoll_any_any.png



Was ist hier wieder das Problem?

Ich brauch doch nur eine Richtung freigeben und die UTM managed den Rest alleine oder?
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
947
@schoeller Ich verstehe nicht wieso du für deinen PC nicht einfach eine any nach any Regel anlegst. Die Sophos filtert nur nach Ports und kann kein zuverlässiges Application Control.
Die reine Freigabe/Sperre von Ports ist mittlerweile technisch längst nicht mehr so sicher wie sie mal (augenscheinlich) war.

Wenn du böse Software hast die nach Draussen will, wird sich dies auch über Port 80/443 etc. machen.

Ich möchte behaupten das du unterm Strich damit kein größeres Sicherheitsrisiko reinholst alles zu erlauben, dir aber sparst, weitere Lebenszeit für die Lösung eines Problems zu opfern, das es eigentlich nicht gibt.
 

G6_of_UNSATO

Active member
Mitglied seit
27.03.2007
Beiträge
1.148
In der Firewall Regel definierst du die Ports wo der Traffic hingeht.
Sven PC - Port am ZIELServer - jedes Ziel.

Da musst du also Port 42490 und 30090 (je UDP) angeben!
Ich empfehle generall NIE das Anyobjekt in FWRules zu nutzen.

"Internet iPv4" wäre hier die richtige Wahl.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
@p4n0

Webfilter hatte ich komplett deaktiviert.

Was mich wundert ist, dass ich die Regel ja angelegt habe, aber er trotzdem den Port 3074 verwirft. Ist Any Any offen, akzeptiert er die Kommunikation über den Port. Das macht mich stutzig.

@Opticum

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.004
Ort
SN
Was mich wundert ist, dass ich die Regel ja angelegt habe, aber er trotzdem den Port 3074 verwirft. Ist Any Any offen, akzeptiert er die Kommunikation über den Port. Das macht mich stutzig.
Nein, 3074 ist der Source Port von der 192.168.20.60 -> du willst aber den Destination Port öffnen, also 30090 und 42490 (UDP)
Der kleine Pfeil im Log gibt btw. an von wo nach wo die Kommunikation erfolgt.

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
Er hat zwar durchaus Recht mit dem Thema, dass eine Kommunikation nicht zwangsweise über HighPorts erfolgt und wenn etwas "raus" will, dann kommt es auch raus. ABER (und hier widerspreche ich), kombiniert man dies mit dem von @G6_of_UNSATO erwähnten, nämlich das Any Objekt nicht zu nutzen (und theoretisch auch das nichtmal Internet v4 oder v6), sodass man die Ziele per IP einschränkt, funktioniert das dennoch. Etwas was raus will müsste dann schon "zufällig" einen von dir öffenen Port zu einer definierten Destination IP nutzen um kommunizieren zu können.
Für die Masse der aktiven Schadsoftware die so rumfliegt, ist die Kommunikation auch recht klar - selten voll dynamisch oder passt sich den Gegebenheiten an. Auch sowas erschlägt man damit.

Btw. solltest du dir ggf. doch mal die Web Protection ansehen. Im Zweifel sogar Transparent ohne Authentication für dein Netz aktivieren. Dann sparst du dir auch TCP 443/80 zu öffnen. Kostet am Anfang recht viel Pflegeaufwand bis die Regeln mal alle angepasst sind, aber dann läuft das normal recht einfach...
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
947
@Opticum

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
Was für ein Sicherheitsrisiko meinst du? So ein komplettes Zero-Trust was du fährst haben meistens nicht mal irgendwelche Behörden. Die Firewall macht bei dir auch das Routing, VPN, DNS usw. - Sicherheitsrisken gibt es heutzutage eher durch Crypto Trojaner per E-Mail und Social Hacking, aber nicht dadurch das du ausgehende Verbindungen soweit tot-trittst das du bei Spielen jeden einzeln Port und Zielserver freigeben musst.

Wenn du jüngere Kinder hast, ist es manchmal sinnvoll so Dinge wie URL Filter oder Nutzungszeitfenster einzurichten.
 
Oben Unten