Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

MrDeluxe

Semiprofi
Mitglied seit
01.04.2006
Beiträge
1.428
System
Laptop
Thinkpad E480
Details zu meinem Desktop
Prozessor
AMD 3700x @ 4,3 Boost-Overdrive + Thermal Grizzly Aeronaut
Mainboard
Gigabyte Aorus Pro X570
Kühler
Scythe Fuma 2
Speicher
G,Skill - F4-3200C14D-16GFX
Grafikprozessor
RX480
Display
1xBenq G2411HD, 1xLG 27GL850-B, 1xBenq G2411HD @ Icy Box Monitor Arm IcyBox 3 – IB-MS405-T
SSD
WD Black SN750
HDD
Samsung 850Evo, Crucial 120GB @ Linux EOS
Opt. Laufwerk
N/A
Soundkarte
OnBoard
Gehäuse
Fractal Design Define R6 USB-C Blackout
Netzteil
be quiet straight power 650W
Keyboard
CMSTORM
Mouse
MX518
Betriebssystem
Win10 + Linux Elementary OS
Die 9.1 ist mittlerweile final ...
Ich kann mir aber gut vorstellen, dass es hin und wieder bei einigen Features Probleme gibt.

Sophos UTM 9.1 Released
So hatte ich es auch formuliert. Sie ist halt noch nicht lang im Finalstatus, daher kann es durchaus passieren, dass nicht alle Szenarien ausführlichst getest wurden.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Sandy987

Neuling
Mitglied seit
31.10.2006
Beiträge
93
Hatte zwei 9.0 UTMs unter ESXi 5.1 im HA laufen ohne Probleme,
seit dem Update funktioniert es nichtmehr.

Das Problem äußert sich wie folgt:

sobald die zweite UTM eingeschalten und hochgefahren ist, der HA Sync beginnt sind plötzlich VMs die hinter der UTM im Netzwerk stehen und sich aber auf einem anderen Host als die UTM sind plötzlich nichtmehr erreichbar,
bzw. sind andere Firewalls die über ein Transfernetz erreichbar sind nichtmehr erreichbar. Wird eine Firewall im HA abgeschalten funktioniert es wieder ohne Probleme.
Habe da gestern alles probiert was mir eingefallen ist - hab auf beiden UTMs für die NICs die selben MAC-Adressse vergeben und den IgnoreDuplicateMac Wert auf der VM gesetzt, auch ein expremientieren mit den VM Versionen 8 u. vmx9 hat nichts geholfen, auch das deaktivieren der Virtual MAC auf der UTM half nichts. Auch diverse Änderungen auf den vSwitches haben keine besserung gebracht.
Hallo,
ich hatte auch eine böse Überraschung mit der UTM 320 v. 9 beim Kunden erlebt...
Habe HA manuell konfiguriert, Backup Interface am Master aktiviert, den Slave vorsichtshalber einmal neu gestartet und dann mit Master verbunden. Was dann passierte, kann ich mir bis heute nicht erklären. Beide UTMs waren ca. 10Min auf Volllast. Master war nicht erreichbar, Slave dagegen war ab und zu da. Arbeiten mit Slave gings überhaupt nicht, da die Verbindung ständig weg war.
Was ist passiert? Der Master hat Slave Config gezogen. Aus Master wurde Slave, aus Slave Master. Ärger ohne Ende...

Gestern habe ich auf ner ESXi 5.1.0 Maschine die Umgebung mit der Version 9.1 nachgestellt... Ergebnis, aus Master wurde Slave, aus Slave Master. Drei mal probiert, mit autom. und auch mit der manuelle Konfiguration, Ergebnis bleibt gleich.
Morgen werde ich das alles umgekehrt machen, Master lasse ich unkonfiguriert, Slave passe ich komplett an. Theoretisch sollte dann aus Slave Master werden.
----------------------------------

Bin der Meinung das es mit den neuen Fritz!OS keine Möglichkeit mehr gibt die Fritzbox als reines Modem laufen zu lassen.
Warum nicht die UTM als Expost Host einrichten und gut ist.
Doch, kannst du noch:-)
Version 5.50
Was gegen Exposed Host spricht? Ein weiterer Hop :-) Die Fritte ist immer noch als Router da. Für Performance Junkies ist das schon ein gewaltiger Unterschied:-)
Jede Firewall Regel macht das System langsamer, auch wenn die Fritte Any, Any, Any Regelwerk darstellt, müssen die Pakete erst durch die Fritte durch.
Getestet habe ich aber nicht, kannst du mal mit Tracert ausprobieren und berichten.
 
Zuletzt bearbeitet:

Sandy987

Neuling
Mitglied seit
31.10.2006
Beiträge
93
UMTS-Stick sowie SIM-Karte sind bei mir eingetroffen.

Die Einrichtung vom UMTS-Failover hat erst nach der Festlegung von Überwachungskriterien funktioniert.
Die "Automatische Überwachung" hat entweder nicht richtig funktioniert oder ich war etwas zu ungeduldig.





Hab das Failover jetzt so eingerichtet, dass das UMTS-Modem aktiviert wird wenn die primäre WAN-Schnittstelle mehrere bestimmte DNS-Hosts im Internet nicht erreichen kann.

Das UMTS-Modem muss ich demnächst noch anders platzieren, da der Empfang im Server-Schrank sehr "bescheiden" is :fresse:






Sollte ich den MTU-Wert des UMTS-Modems verringern, wieder auf den Defaultwert 1500 setzen oder ist das eher egal ?

Deine MTU Werte sind kontraproduktiv.
Unterstützen deine NICs, Switch, Treiber etc. Jumbo Frames von 9000?
MTU Wert für Huawei Stick ist falsch, hier sagt der Provider welcher MTU Wert optimal ist. MTU 1500 ist auch nicht suboptimal, hier kommt es auf das PPPoE Protokoll an. In DEU unterstützen die ISP wie Telekom MTU Werte von 1492, Arcor unter 1492.

Telekom sagt du sollst MTU Wert 1492 verwenden, du stellst am ASG MTU von 1500 ein. Ergebnis: Verbindungsprobleme bei div. Internetseiten, so die Theorie...

MTU Size kann mittels PING ermittelt werden. Wie man unten sehen kann, beträgt der optimale MTU Wert 1472. Zu den 1472 addiert man noch 28 Bytes (ICMP- & IP Header) und erhält MTU Wert von 1500, was optimal für meinen Anschluss ist :-)

Du sprichst, dass d. Huawei Stick ein Backup IF ist, falls ein DNS Server nicht erreichbar ist. Wie hast du DNS am ASG denn konfiguriert, als Verfügbarkeitsgruppe oder einzeln? Mach bitte Schreenshot.

Anhang anzeigen 235603
 
Zuletzt bearbeitet:

screama

Enthusiast
Mitglied seit
09.01.2008
Beiträge
2.819
Ort
926**
Einen Client sollte man da aber wohl eher nicht eintragen ;-)

Durch die Bank schafft kein einziger Rechner mehr als die 60mbit.

Ich habs jetz einfach ausgelassen.

Gesendet von meinem Galaxy Nexus mit der Hardwareluxx App
 

daheym

Neuling
Mitglied seit
20.12.2004
Beiträge
640
Schau dir mal die CPU-Auslastung der VM und des ESX-Hosts an wenn du Traffic erzeugst
 

Fr3@k

Enthusiast
Mitglied seit
02.08.2007
Beiträge
3.636
Ort
Perg, OÖ
Hallo,
ich hatte auch eine böse Überraschung mit der UTM 320 v. 9 beim Kunden erlebt...
Habe HA manuell konfiguriert, Backup Interface am Master aktiviert, den Slave vorsichtshalber einmal neu gestartet und dann mit Master verbunden. Was dann passierte, kann ich mir bis heute nicht erklären. Beide UTMs waren ca. 10Min auf Volllast. Master war nicht erreichbar, Slave dagegen war ab und zu da. Arbeiten mit Slave gings überhaupt nicht, da die Verbindung ständig weg war.
Was ist passiert? Der Master hat Slave Config gezogen. Aus Master wurde Slave, aus Slave Master. Ärger ohne Ende...

Gestern habe ich auf ner ESXi 5.1.0 Maschine die Umgebung mit der Version 9.1 nachgestellt... Ergebnis, aus Master wurde Slave, aus Slave Master. Drei mal probiert, mit autom. und auch mit der manuelle Konfiguration, Ergebnis bleibt gleich.
Morgen werde ich das alles umgekehrt machen, Master lasse ich unkonfiguriert, Slave passe ich komplett an. Theoretisch sollte dann aus Slave Master werden.
Da wirst du Probleme haben, mit der 9.1 funktioniert das HA auf virtuellen UTMs nicht, auf Hardware hab ichs noch nicht getestet.
 

screama

Enthusiast
Mitglied seit
09.01.2008
Beiträge
2.819
Ort
926**
Schau dir mal die CPU-Auslastung der VM und des ESX-Hosts an wenn du Traffic erzeugst
Die CPU-Auslastung wird mit ~40% angegeben und der Server 2012 (läuft unter Hyper-V) gurkt bei 10% rum.

Von den Ressourcen her is die VM wirklich ausreichend bestückt.
 

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.411
Ort
RLP
Deine MTU Werte sind kontraproduktiv.
Unterstützen deine NICs, Switch, Treiber etc. Jumbo Frames von 9000?
MTU Wert für Huawei Stick ist falsch, hier sagt der Provider welcher MTU Wert optimal ist. MTU 1500 ist auch nicht suboptimal, hier kommt es auf das PPPoE Protokoll an. In DEU unterstützen die ISP wie Telekom MTU Werte von 1492, Arcor unter 1492.

Telekom sagt du sollst MTU Wert 1492 verwenden, du stellst am ASG MTU von 1500 ein. Ergebnis: Verbindungsprobleme bei div. Internetseiten, so die Theorie...

MTU Size kann mittels PING ermittelt werden. Wie man unten sehen kann, beträgt der optimale MTU Wert 1472. Zu den 1472 addiert man noch 28 Bytes (ICMP- & IP Header) und erhält MTU Wert von 1500, was optimal für meinen Anschluss ist :-)

Du sprichst, dass d. Huawei Stick ein Backup IF ist, falls ein DNS Server nicht erreichbar ist. Wie hast du DNS am ASG denn konfiguriert, als Verfügbarkeitsgruppe oder einzeln? Mach bitte Schreenshot.

Anhang anzeigen 235603
Die MTU-Werte der WAN-Schnittstelle und des UMTS-Sticks hab ich bereits wieder auf 1500 herabgesetzt - da ich tatsächlich hin und wieder Probleme mit der Internetverbindung hatte ;)

Die Realtek-Karte ist jetzt die WAN-Schnittstelle und die beiden Ports der Intel Dual-Port Karte wurden als Linkbündelung eingebunden und ebenfalls mit einem MTU-Wert von 1500 konfiguriert.


Den UMTS-Stick hab ich als Uplink-Ausgleich (Standby) konfiguriert.


Danke für deine Hilfe ! :)
 
Zuletzt bearbeitet:

Sandy987

Neuling
Mitglied seit
31.10.2006
Beiträge
93
Hallo zusammen,
Sophos hat die Version 9.1 wieder zurückgenommen... Mehr Bugs als in der Beta FW.
 

Mr Bo

Nichtraucher
Mitglied seit
21.01.2008
Beiträge
3.951
Ort
LK Vechta
Doch, kannst du noch:-)
Version 5.50
Was gegen Exposed Host spricht? Ein weiterer Hop :-) Die Fritte ist immer noch als Router da. Für Performance Junkies ist das schon ein gewaltiger Unterschied:-)
Jede Firewall Regel macht das System langsamer, auch wenn die Fritte Any, Any, Any Regelwerk darstellt, müssen die Pakete erst durch die Fritte durch.
Getestet habe ich aber nicht, kannst du mal mit Tracert ausprobieren und berichten.
Habe gerade nochmal die Quelle für meine Info rausgesucht.
Der Grund, wollte eine 7390 als reines Modem konfigurieren. Die Suche ergab folgendes : Betrieb als DSL-Modem nach Firmware-Update nicht möglich | FRITZ!Box 7390 | AVM-SKB

Naja, und der eine Hop über die Fritzbox macht nicht wirklich was aus. Ping bei 14-15ms ins fremde Netz reicht um bei BF3 bestehen zu können ;)
Netzintern, also zum gleichen ISP sogar unter 10ms....

Wenn nicht die ganze Telefonigeschichte über die Fritzbox laufen würde, wäre das Thema ein anderes. Nur hab ich ganz wenig Lust mich damit auseinander zu setzen. Dafür gibt es wirklich Bereiche die mich mehr begeistern.
 

Anhänge

MrDeluxe

Semiprofi
Mitglied seit
01.04.2006
Beiträge
1.428
System
Laptop
Thinkpad E480
Details zu meinem Desktop
Prozessor
AMD 3700x @ 4,3 Boost-Overdrive + Thermal Grizzly Aeronaut
Mainboard
Gigabyte Aorus Pro X570
Kühler
Scythe Fuma 2
Speicher
G,Skill - F4-3200C14D-16GFX
Grafikprozessor
RX480
Display
1xBenq G2411HD, 1xLG 27GL850-B, 1xBenq G2411HD @ Icy Box Monitor Arm IcyBox 3 – IB-MS405-T
SSD
WD Black SN750
HDD
Samsung 850Evo, Crucial 120GB @ Linux EOS
Opt. Laufwerk
N/A
Soundkarte
OnBoard
Gehäuse
Fractal Design Define R6 USB-C Blackout
Netzteil
be quiet straight power 650W
Keyboard
CMSTORM
Mouse
MX518
Betriebssystem
Win10 + Linux Elementary OS

Mr Bo

Nichtraucher
Mitglied seit
21.01.2008
Beiträge
3.951
Ort
LK Vechta
wo wir gerade beim Thema sind.
Vermisse seit dem Update nähere Infos zu den Viren. Bekomme im Dashboard angezeigt, dass Angriffe blockiert wurden, aber im Webfilter log wird nichts weiter angezeigt. Bislang glückte noch die manuelle Suche im Webfilter log nach "Virus". So konnte ich noch rausfinden was Sache bzw. Bedrohung war.
Meine sogar, das ich vor noch nicht all zu langer Zeit im daily executive report genauere Infos zum Virus und dem Zielhost bekommen habe.
 

Everest2000

Semiprofi
Mitglied seit
09.01.2002
Beiträge
15.209
Ort
Geboren in Nepal, Wohnhaft in HH-Altona
so meine Herren und Damen, werde mich auch mal ein klinken:

Hab mit Sophos erstmal zum "lernen" geladen und um die Software besser kennen zu lernen^^ *G* geile Wort wahl, rennt aktuell auf einem Bladeserver, Typ HS22 und ja das funktioniert gut, ok bischen XXL aber egal.

PS: dickes danke schön an: Fr3@k
 

daheym

Neuling
Mitglied seit
20.12.2004
Beiträge
640
So Checkerkids hier mal was neues von mir.

Da die Telekom die nächsten Tage bei mir 2x 200MBit Fiberanschlüsse schaltet muss ich Firewalltechnisch auch mal etwas upgraden.
Ich hatte bis dato ein Cluster aus 2x Symantec 5420 (mit ASG v8) im Einsatz. Leider sind nur 10/100er NICs verbaut, so dass etwas anderes her muss.
Also 2 Symantec 5620 besorgt und dort nach einer laaangen Nacht die UTM V9 zum laufen bekommen. Noch schnell jeweils 4GB ECC Ram rein und ich bin (hoffentlich) erst mal gerüstet. Evtl. die CPUs noch upgraden, mal schauen...

Hier mal Bilder:



Das 5420 Cluster habe ich auch schon zerrissen und habe eine Maschine erfolgreich auf V9 geupgradet, läuft auch mit 1GB erst mal ganz vernünftig (das Board kann zum Glück 2GB). Falls jemand interesse an den Cluster hat -> PN
Jo und ne ASG120v3 habe ich in dem Zuge auch gleich auf V9 geupgradet.

Sieht doch ganz nett aus oder? V.a. habe ich jetzt jede Menge USB-Ports um mein Handy zu laden :d
 
Zuletzt bearbeitet:

Fr3@k

Enthusiast
Mitglied seit
02.08.2007
Beiträge
3.636
Ort
Perg, OÖ
Sieht scharf aus :d
Normale Menschen kaufen sich ein USB Steckernetzteil um das Handy zu laden *gg*
 

daheym

Neuling
Mitglied seit
20.12.2004
Beiträge
640
1HE ist idR immer laut...
Also die 5420 machen schon etwas Lärm. Die 5620 haben ne Lüftersteuerung, sind aber trotzdem nicht leise ;)

@Fr3@k: Normale Menschen haben zuhause auch nur ne FritzBox und gut ist. In dem Thread bin ich schon unter Gleichgesinnten :d
 
Zuletzt bearbeitet:

dapc

Neuling
Mitglied seit
08.11.2011
Beiträge
183
Hi Leute,
Habe jetzt das Sophos UTM9 schon seit ein paar Wochen auf meinem Server als VM installiert und ich bin begeistert.
Da in letzter Zeit mein Modem leider etwas spinnt (muss immer wieder den Netzstecker ziehen, sonst geht Garnichts mehr), will ich mir ein neues kaufen. Jetzt bin ich mal auf die Idee gekommen, dass es vielleicht irgend eine art Modem gibt, wo ich als Betriebssystem vielleicht gleich das Sophos installiern kann. Kann mir ned vorstellen, dass große Firmen auch irgend eine art Fritzbox und danach erst die Firewall haben.
Währe über jeden Tipp dankbar.
 

Morpheuz

Enthusiast
Mitglied seit
20.08.2004
Beiträge
1.280
Wird eig immer über ein Modem realisisert. Es gibt zwar WAN Schnittstellen mit Modemfunktion z.B. bei Cisco als Einschübe, die sind jedoch einfach nur sackteuer.
Nen eigenständiges Modem ist kosteneffizienter und is im Störfall auch fix ausgetauscht.

Edit: und fritzbox != modem
 

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.411
Ort
RLP
wie "laut" sind die -> das Bladecenter ist auf dauer auch keine Lösung und das intel Atomteil ist irgenwie nicht so der Burner, das Mainboard will nicht so recht.
Was für Probleme hasten mit dem Atom ?
Was für ein Atom-Board haste den ?
 

Sandy987

Neuling
Mitglied seit
31.10.2006
Beiträge
93
Hi Leute,
Habe jetzt das Sophos UTM9 schon seit ein paar Wochen auf meinem Server als VM installiert und ich bin begeistert.
Da in letzter Zeit mein Modem leider etwas spinnt (muss immer wieder den Netzstecker ziehen, sonst geht Garnichts mehr), will ich mir ein neues kaufen. Jetzt bin ich mal auf die Idee gekommen, dass es vielleicht irgend eine art Modem gibt, wo ich als Betriebssystem vielleicht gleich das Sophos installiern kann. Kann mir ned vorstellen, dass große Firmen auch irgend eine art Fritzbox und danach erst die Firewall haben.
Währe über jeden Tipp dankbar.
Es kommt auf die Anschlussart an. Meist bekommen die Kunden eigene IP zugewiesen oder bekommen halt Modem von ISP.
Ich empfehle immer "nur" einen richtigen Modem zukaufen ohne irgendwelche Schnickschnack Funktionen, also nicht Fritzbox!
Was sagen deine PPPoE Logs? Es ist bekannt dass div. Fritzbox-Modelle Sync Probleme mit ASG haben.

---------- Post added at 09:07 ---------- Previous post was at 08:53 ----------

Sophos Tools:
http://www.astarosupport.org/Downloads/
 
Zuletzt bearbeitet:

daheym

Neuling
Mitglied seit
20.12.2004
Beiträge
640
Übrigens: Die V9.1 läuft bisher ohne Probleme im Cluster, allerdings Hardware, keine VM
 

Everest2000

Semiprofi
Mitglied seit
09.01.2002
Beiträge
15.209
Ort
Geboren in Nepal, Wohnhaft in HH-Altona
Was für Probleme hasten mit dem Atom ?
Was für ein Atom-Board haste den ?
Das Atommainboard ist irgenwie "defekT" es möchte hochfahren hängt aber, nach dem 2. Hochfahren geht es -> BIOS geflasht aber es bringt nichts aber - hey - geschenkt bekommen, ist diese Krücke:

Intel D2500HN bulk, NM10 (PC3-8500U DDR3) (BLKD2500HN) Preisvergleich | Geizhals Deutschland

Dazu hab ich eine alte PCI-NIC genutzt, nunja es war zum Testen nur da, aber es kommt wieder weg.

EVENTUELLE Vermutung, warum das Mainboard nicht will:

Es ist einfach schlicht kaputt - es lag sehr lange OHNE Verpackung bei meinem Kollegen aber egal, es kommt ein neues Mainboard inkl dual LAN und blabla oder ich kaufe mir so ein 19" Teil, wie von daheym
 
Zuletzt bearbeitet:
Oben Unten