[Sammelthread] Sophos UTM-Sammelthread

Sophos kann eh nur zukaufen :) Siehe auch Safeguard .........
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallöchen,

betreibt jemand an seiner Sophos Home Alternative AP's ? Welche kann man denn Empfehlen die 2 SSID's ausstrahlen?
 
Zuletzt bearbeitet:
Hallöchen,

betreibt jemand an seiner Sophos Home Alternative AP's ? Welche kann man denn Empfehlen die 2 SSID's ausstrahlen?

WLAN Verwaltungsfunktion der Sophos Firewall lässt sich nur mit Sophos APs nutzen.

Ich hab einen Unifi aP, der mach ein WLAN für Intern und eines für Gäste.
 
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM (d.h. der Rest wird einfach nicht verwendet :) ) ... also trotzdem usable auf nen z.B. Supermicro X11SBA-LN4F mit 2*4GB (stehen halt nur 6GB zur Verfügung)

Ja aber es ist doch die Home Edition von der "Firewall XG" und nicht von der "UTM XG"? Oder ist in der Firewall auch die Webserver Protection und das Mailgateway für E-Mail Server enthalten?
 
Hi Pumuckel,

das Board schaut gut aus, das ist doch mit integriertem Prozessor oder?

Kannst du dazu noch ein Gehäuse mit Netzteil empfehlen?

Als SSD sollte ja ne 120 GB locker langen.

Wo hast du denn das Board her bezogen?

Danke für den Tip. Ich hatte ewig nach nem itx mit Quad Lan gesucht.

die gibts doch schon "ewig" als z.B. https://geizhals.de/supermicro-a1sri-2558f-retail-mbd-a1sri-2558f-o-a1057375.html?hloc=at&hloc=de (potentere Alternative - wobei ich von den Lans nicht weiß ob die unterstützt werden)

das andere war nur ein Beispiel :)

- - - Updated - - -

Sophos XG ist der letzte Müll (meine Meinung). Es ist ein rebranded Cyberoam wo Sophos ihr Logo draufgesetzt hat. Das kann man mit der UTM nicht vergleichen. Die UTM leidet derzeit zwar unter schlechten und verzögerten Patches aber ist ansonsten ein gutes Produkt.

ich vermeide immer Aussagen und gebe nur links :) ... grad in themenbezogenen Threads

und ja es gibt mit PFSense/OPNSense gute Alternativen :)

und wenn die 50 IPs/Geräte stören, der kann ja für einzelne Gruppen einen "stealth" Proxy vorschalten :) - z.B. für alle 0815 Wlan connects
 
Zuletzt bearbeitet:
und wenn die 50 IPs/Geräte stören, der kann ja für einzelne Gruppen einen "stealth" Proxy vorschalten :) - z.B. für alle 0815 Wlan connects

Könntest Du das bitte etwas näher erläutern? Was ist da genau zu tun?

Ich kratze schon immer recht nah an der 50er Grenze. Habe mir bislang damit beholfen, teilweise feste IPs zu vergeben. Das hilft zumindest bei den Devices, die nicht auf das Internet zugreifen müssen, z.B. Switches.

BIn aber neugierig, wie Deine Lösung aussieht.
 
Brauche mal kurzfristig ne Info bezüglich Performance.

Betreibe meine UTM seit mehreren Jahren. System ist dieses hier mit Intel SSD, INTEL D2500CCE AtomProcessor (2x1,83Ghz) miniATX 4GB DDR3-1066.
Aktive User 4 mit diversen Geräten im Netzwerk. IPS und Virenschutz aktiv seit Anbeginn.
Leider haben wir seit einiger Zeit echt schlimme Performance-Einbrüche, was das Video Streaming angeht. Online TV und YouTube, selbst die Clips auf Instagram ruckeln bzw. bleiben stehen und werden nachgeladen wie zu ISDN Zeiten.
Anschluss ist ein potenter VDSL Anschluss über Fritzbox. Neuste Firmware von Jan 2016 ist vorgestern aufgespielt worden. Neustart aller Systeme incl. Fritzbox durchgeführt. Mir fällt nichts mehr ein. Hat jemand ähnliches beobachtet?
Normale Downloads flutschen wie gewohnt mit voller Geschwindigkeit.

 
Zuletzt bearbeitet:
mmh kurze zwischenfrage zur verwendung mit fritzbox die inet über deren lan1 bekommt.

damit ne sophos von allen geräten genutzt wird müsste man den dhcp der fritte ausschalten und einfach die sophos (die z.b. an fritzbox lan2 hängt) mit dhcp aktivieren right?
connecten dann wlangeräte über die fritzbox auch sauber durch oder wie stellt man das am besten an? oder könnte ich den dhcp der fritte anlassen und einfach nur die dns-ip der sophos angeben?

ziel, insofern die sophos vm läuft soll diese auch von allen geräten benutzt werden. ist sie aus irgendwelchen gründen off soll die fritte wieder als dns laufen.
 
mmh kurze zwischenfrage zur verwendung mit fritzbox die inet über deren lan1 bekommt.

damit ne sophos von allen geräten genutzt wird müsste man den dhcp der fritte ausschalten und einfach die sophos (die z.b. an fritzbox lan2 hängt) mit dhcp aktivieren right?
connecten dann wlangeräte über die fritzbox auch sauber durch oder wie stellt man das am besten an? oder könnte ich den dhcp der fritte anlassen und einfach nur die dns-ip der sophos angeben?

ziel, insofern die sophos vm läuft soll diese auch von allen geräten benutzt werden. ist sie aus irgendwelchen gründen off soll die fritte wieder als dns laufen.

Dein Wunscheszenario läußt sich mit einer sicheren, phsikalisch sauber aufgesetzten Struktur NICHT erreichen.
Du kannst etwas basteln, wie beschrieben, aber dann hast Du defakto keine Freiwall mehr im Einsatz.

Sauber wäre:
Provider -> Fritz ohne DHCP, ohne WLAN -> Sophos mit DHCP -> (WLAN ->) Clients

Notlösung, die Sicherheit hinge davon ab, wie sicher die Fritzbox intern ist, wenn sie rein als Modem arbeitet:
Provider -> Fritz im Modembetrieb -> Sophos mit Providereinwahl (DSL o.ä.) -> Fritz als WLAN Accesspunkt

Bei der Notlösung sparst Du dir den zusätzlichen WLAN Accesspunkt.
Im Modembetrieb einer Fritzbox gehen meist die VOIP Telefoniefunktionen verloren.

(Anmerkung: mit Telnet Zugriff auf die Fritzbox läßt sich je nach Model und Firmware vieles hinhacken, wie z.B. Modembetrieb an LAN4 und gleichzeitige parallele Einwahl der Fritz in das VOIP VPN des PRoviders, aber das ist alles nur rudimentär in Foren angedeutet und für den Laien über Config Files nicht leicht konfigurierbar.)
 
Sophos UTM Update 9.353-4 out now!

Up2Date 9.353004 package description:

Remarks:
System will be rebooted
Configuration will be upgraded
Connected Wifi APs will perform firmware upgrade

News:
Maintenance Update

Bugfixes:
Fix [29945]: SPX password notification mails have no header and footer customization
Fix [35236]: rsync does not sync up2date/pattern packages due to corrupted rsyncd.conf
Fix [35300]: Interface was deleted through backup restore
Fix [35368]: HTTP Proxy fails to lookup correct backend group intermittently
Fix [35511]: Maildrop lock will not removed by pop3proxy
Fix [35521]: Support Access user cannot be enabled if complex passwords & non-alphanumeric character required
Fix [35645]: FTP Proxy: frox segfault still occurs after udpate to 9.314
Fix [35683]: Update kernel to 3.12.48
Fix [35704]: WAN Failover on RED50 with static IP addresses not successful
Fix [35739]: SPX Encryption works only if the customer uses “senderspec” as option
Fix [35750]: SMTP Proxy dies every two hours when using SPX
Fix [35755]: User Portal: Login not possible – “Authentication system error”
Fix [35766]: Certificate with Netscape Cert Type: SSL Client not usable for S/MIME encryption
Fix [35787]: SG1xxW: middleware errors + changing txpower not working
Fix [35797]: dynamic mac filter changes not working
Fix [35799]: Corrupted rpmdb – check and repair from 33545 doesn’t work
Fix [35810]: Web Proxy unable to start following update to 9.350
Fix [35816]: spx-auth dies without any log entry
Fix [35923]: HTTP Proxy: fix of memory leaks
Fix [35928]: Windows devices randomly showing up as Linux device=3 in httpproxy with device authentication
Fix [35970]: Remote access reporting is incorrect
Fix [35974]: Printable config doesn’t show content of WebAdmin user preferences > shortcuts in Confd format
Fix [35978]: Update ntp to 4.2.8
Fix [35979]: HTTP Proxy does not provide full certificate chain when using custom cert for enduser pages
Fix [35980]: Proceed button for a forbidden file extension change the signature of a https request
Fix [35985]: Executive Report: VPN client ‘duration’ counted incorrectly if users logged > 1 day
Fix [35994]: MAC filter list with more than 700 entries doesn’t get updated on change
Fix [35999]: FTP over HTTP: directory listing uses wrong paths
Fix [36008]: SPX registration mails mess up exim header sporadically
Fix [36012]: No “Server Hello” is send by WebProxy from the UTM to the client
Fix [36013]: Installation of first package failed during Up2Date (db_verify?)
Fix [36019]: IP range objects in allowed relays will not insert in the exim configuration
Fix [36065]: Webadmin triggers L2TP over IPsec PSK change if “&” is used in PSK
Fix [36086]: Executive Report: Wrong count of ssh logins in summary
Fix [36171]: Flow Monitor broken since the XSS patches
Fix [36221]: After update to version 9.317/9.351 SMTP messages stop being processed (without any notifications/errors in log)

RPM packages contained:
libconan-3.2.1-0.211982741.gb08aafd.rb2.i686.rpm
firmware-wifi-9350-0.213458760.g139c9b8.rb6.i586.rpm
firmware-wifi-stable-9350-0.204370747.gf57964e.rb6.i586.rpm
perf-tools-3.12.48-0.218133626.g829be90.rb1.i686.rpm
red-firmware2-4501-0.210161622.g80b6893.rb1.noarch.rpm
red15-firmware-4501-0.210161688.g14b8b2c.rb2.noarch.rpm
rsync-3.0.4-2.47.10.1597.g6b02722.rb2.i686.rpm
sophos-wifi-0.1-1.0.217439905.g7b521f0.rb2.i686.rpm
uma-9.35-8.g479ee4a.rb1.i686.rpm
ep-reporting-9.35-20.g8846cfc.rb2.i686.rpm
ep-reporting-c-9.35-18.g8e8c7f1.rb3.i686.rpm
ep-reporting-resources-9.35-20.g8846cfc.rb2.i686.rpm
ep-confd-9.35-189.gcd48721.i686.rpm
ep-ha-9.35-6.g1260957.rb2.i686.rpm
ep-libs-9.35-24.g9ddafa4.rb3.i686.rpm
ep-mdw-9.35-171.g31b05cd.rb1.i686.rpm
ep-screenmgr-9.35-1.g5d40ef5.rb14.i686.rpm
ep-spx-auth-9.35-1.gd74b065.rb2.i686.rpm
ep-up2date-9.35-14.g9503202.rb3.i686.rpm
ep-up2date-downloader-9.35-14.g9503202.rb3.i686.rpm
ep-up2date-pattern-install-9.35-14.g9503202.rb3.i686.rpm
ep-up2date-system-install-9.35-14.g9503202.rb3.i686.rpm
ep-webadmin-9.35-200.gab0592b.rb6.i686.rpm
ep-webadmin-contentmanager-9.35-41.ge644b48.rb2.i686.rpm
u2d-ohelp9-9-121.i686.rpm
ep-chroot-httpd-9.35-8.g40d6c86.rb2.noarch.rpm
ep-chroot-smtp-9.35-49.g61f2c20.rb2.i686.rpm
chroot-ftp-9.35-12.gb4f076e.rb2.i686.rpm
chroot-ntp-4.2.8p4-0.gb600ad5.rb4.i686.rpm
ep-chroot-pop3-9.35-10.ga650749.rb2.i686.rpm
ep-httpproxy-9.35-168.gee8544d.rb2.i686.rpm
kernel-smp-3.12.48-0.218133626.g829be90.rb1.i686.rpm
kernel-smp64-3.12.48-0.218133626.g829be90.rb1.x86_64.rpm
ep-release-9.353-4.noarch.rpm
 
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM (d.h. der Rest wird einfach nicht verwendet :) )


Finde es schade, dass man diese Lizenzierung nicht auch auf die alte UTM anwendet. Handys, TV, Receiver etc. bald noch Kühlschrank, Kaffemaschine..... da sind 50 IPs einfach nicht mehr zeitgemäß. Oder wollen die mit diesem Schritt die Leute dazu bewegen auf die XG umzusteigen?
 
Finde es schade, dass man diese Lizenzierung nicht auch auf die alte UTM anwendet. Handys, TV, Receiver etc. bald noch Kühlschrank, Kaffemaschine..... da sind 50 IPs einfach nicht mehr zeitgemäß. Oder wollen die mit diesem Schritt die Leute dazu bewegen auf die XG umzusteigen?

und so einfach zu umgehen durch einen Proxy VM für alle nutzlosen Clients die nur 0815 WEB zugang wollen
 
Zuletzt bearbeitet:
und so einfach zu umgehen durch einen Proxy VM für alle nutzlosen Clients die nur 0815 WEB zugang wollen

Könntest Du das bitte etwas näher erläutern? Was ist da genau zu tun?

Ich kratze schon immer recht nah an der 50er Grenze. Habe mir bislang damit beholfen, teilweise feste IPs zu vergeben und einen falschen Gateway einzutragen. Das hilft zumindest bei den Devices, die nicht auf das Internet zugreifen müssen, z.B. Switches.

Bin aber neugierig, wie Deine Lösung aussieht.
 
Zuletzt bearbeitet:
Setz einfach ein Gerät dahinter, welches Masquerading (oder einen Webproxy) betreibt.

Beispiel: Du hast nur Handys im WLAN, welche ausschließlich ins Internet wollen:
SOPHOS UTM > IPCop Firewall mit Masquerading > WLAN-Netz

In diesem Beispiel maskiert dir die IPCop Firewall die Anzahl an Geräten im WLAN auf eine IP herunter.
 
Ok, ist jetzt klar.

Allerdings wieder erhöhte Komplexität - was ich zu vermeiden suche, nach dieversen Umzügen, Providerwechseln und Hardwaretäuschen... :d
 
Danke dir für deine Antwort. Ich denke ich probiere es einfach mal ist eh nur eine Homeprojekt und Verwendung finde ich schon falls nicht ;) für Fhem oder so :d

Zu deiner Aussage, ich habe beruflich sehr viel mit Sophos zu tun und entsprechend auch mit allen Modulen und Performance. Deine Aussage mit "total unterpowert" ist extrem fragwürdig da du nicht wissen kannst für welche aktivierten Module, Anzahl/Art der Systeme etc etc. Will dir nicht auf die Füsse treten aber dies sind sehr entscheidene Faktoren und extrem abhängig auf die erzielte Performanz. Der NIC Chipsatz ist auch sehr wichtig, da hätte ich die größten Sorge bei dem Pi.... (Bsp. Realtek dazu musst du nur recherchieren ;)) RAM ist auch sehr wichtig, CPU im Bereich IPS sehr wichtig was aber auch völlig an den Faktoren der Umgebung abhängt.

Falls Interesse kann ich gerne einmal Graphen verschiedener Hardware / verschiedener Größe und verschiedener Moduleinsatzzwecke posten um dies zu verdeutlichen. Wir selber mit ca. 20 Mann Büro in der IT Branche laufen auf einem geclusterten HP Microserver G8 (2x mal mit Sophos H/A aktiv/passiv) in der kleinsten Variante mit Celeron und haben Null Performance Probleme. Es sind alle Module aktiv mit Site to Site, meheren WANs, WAF, IPS etc etc.

Viele Performance Dinge sind auch hausgemacht, wer zum Bsp. IPS auf Standard belässt und vieles mehr. Das macht viel aus und standardmäßig ist ja alles drin, nur wenn ich kein Apache Webserver im Netz habe brauche ich dies auch nicht prüfen lassen etc. Hier gibt es auch sehr gute Artikel von Barry zu diesem Thema.

Wo du Recht hast, Sophos ist nicht kernelastig sondern die Taktfrquenz kann je nach Umgebung wichtig werden. Aber auch hier kommt es auf Faktoren an die vorher anaylsiert werden müssen. In jedem normalen Homebereich reicht locker ein G1840 (2x 2,8) was preislich doch schon einiges ausmacht im Vergleich zum i3...

PS: Home Variante 50 IPs... Wer hat denn einmal geprüft was wirklich passiert wenn die Anzahl überschritten ist ? ;) Des Weiteren gibt es via Shell Möglichkeiten aber mehr verrat ich nicht, spielt einfach mal ein wenig rum ;)
 
PS: Home Variante 50 IPs... Wer hat denn einmal geprüft was wirklich passiert wenn die Anzahl überschritten ist ? ;) Des Weiteren gibt es via Shell Möglichkeiten aber mehr verrat ich nicht, spielt einfach mal ein wenig rum ;)

Das erwartete passiert: der DHCP Server vergibt keine Adressen mehr.
Warum erzählst Du uns nicht einfach, was man auf der Shell machen kann?

Der andere Vorschlag mit dem Proxy Server ist für mich sinnlos, da andere Dienste als nur HTTP benötigt werden.
 
Ich vermute mal ganz stark, dass man via Shell den Counter für die IP Adressen wieder zurücksetzen kann. So, dass mittlerweile ungenutzte Adressen wieder "frei" werden.
 
Ich vermute mal ganz stark, dass man via Shell den Counter für die IP Adressen wieder zurücksetzen kann. So, dass mittlerweile ungenutzte Adressen wieder "frei" werden.

Bestimmt einfach den DHCP Dienst neu starten. Ich habe den DHCP sowieso in das interne Netz ausgelagert...sollte also nicht viel passieren.
 
moin

ich habe die sophos utm 9
seit über einem Jahr zu hause auf einem mini itx mit j1900, ssd und 4gb ram
hat mit Gehäuse komplett ca 170 gekostet, im selbstbau, lüfterlos.
geht super

ich hatte davor ipfire, was schlanker ist und auf nem banana pi router läuft,
und auch mit usb-nic
aber sophos hat viel mehr Möglichkeiten.
einzig der updates cache beim ipfire ist super und kenne ich nur da

ich kenne sophos noch als astaro
die lief noch auf einem 19 1he atomrechner (hab ich sogar noch)

also der j1900 celeron reicht für vdsl50 und ca 30 Endgeräte im Haushalt
alles aktiv

die sophos hängt aktuell hinter einer 7490 (o2) dort an lan4 als Gastnetz
d. h. ich kann die fritzbox als wlan ap und switch nutzen
an der fb halt alles ausgeschaltet
(portforwardings brauche ich keine)
leider geht so nur das avm vpn

ich hatte auch mal ein extra modem: vdsl modem - sophos - Netz - fritzbox als nur tk-anlage,
was auch ging, aber das ältere vdsl modem kommt nur knapp über 40mbit und ist nicht ganz so stabil, wie die 7490.
und ein vigor 130 ist mir noch zu teuer,
nur als modem.
ach ja im dsl Signal habe ich auch noch Überspannungsschutz drin mit gasableiter usw.
läuft alles super

bei der jetzigen Lösung :
bei Bedarf kann man zb einem einzelnen client immer noch eine feste ip geben und damit zb die fritte als gateway angeben, dann geht der einzelne client, zb das tv, direkt über die fb ins netz
ohne Filter und proxy.

Gruß Ingo
(mobil)
 
hat sich XG mittlerweile eigentlich gebessert? Bei mir steht grad ein HW-Move vor der Tür und wenn XG mittlerweile nicht mehr shit ist, wäre ein Wechsel ja ne überlegung wert.
 
Kann ich eigentlich mittels USB wlan adapter auch die utm als access point nutzen oder muss ein dediziertes gerät angeschlossen werden?


edit: ist das hier schon meine lösung? https://www.sophos.com/en-us/support/knowledgebase/122080.aspx

So einfach is es leider nicht, normale WLAN Adapter lassen sich hierfür nicht nutzen - es gibt in den Foren zwar Anleitungen wie man dem System die korrekte MAC-adresse vorgaukelt aber soweit ich weiß muss man das nach jedem Update von neuem konfigurieren. Man könnte sich auch den Adapter besorgen der in den Appliances verbaut ist jedoch hat nichtmal das immer funktioniert.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh