Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

traxxus

Semiprofi
Mitglied seit
23.05.2004
Beiträge
2.570
Ort
CH
Könnte an folgenden Dingen liegen:
-BIOS updaten
-USB CD-ROM nehmen
-DVI Anschluss statt HDMI nehmen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

[SoD]r4z0r

Enthusiast
Mitglied seit
11.04.2009
Beiträge
3.941
Liegt nicht am BIOS. Ich hatte das gleiche Board nur mit H-Chipsatz und habe dort die neueste Bios-Version verwendet.
Die Verwendung von DVI bringt keine Abhilfe, ein HDMI auf DVI Adapter funktioniert auch nicht.
Diverse Komponenten im Bios ausschalten (alles was das Bios her gibt außer das notwendigste) hat bei mir auch nicht funktioniert.

Ich würde aktuell behaupten, dass es an der integrierten GPU liegt. Auf meinem normalen PC konnte ich das ganze problemlos installieren, trotz Verwendung von DisplayPort und USB-Stick.
 

traxxus

Semiprofi
Mitglied seit
23.05.2004
Beiträge
2.570
Ort
CH
Frage
Ich setze die WAF (web Application FIrewall) für Webservices ein, welche nicht Port 80 oder 443 nutzen (Synology z.B. 5001)
Nun habe ich dann beim virtuelle Webserver den Port 5001 und beim realen Webserver Port 443 und die Domain xyz.domain.com (Pass Post Header aktiv).


Wenn ich nun intern im LAN auf die Domain https://xyz.domain.com zugreife, wird das dann automatisch nur im internen LAN abgehandelt oder geht das aussenrum über WAN? Das wäre ungünstig wegen der Geschwindigkeit.
Wäre es denn möglich, dass interne Abfragen auch nur intern bleiben? Wie?
 
Zuletzt bearbeitet:

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.566
Ort
Hamburch
Ja, indem Du in deinem internen DNS-Server eine Zone domain.com erstellst und den Host-Eintrag xyz.domain.com dort auf die interne IP-Adresse deines Webservers verweisen lässt.
 

AvantFighter

Experte
Mitglied seit
04.12.2013
Beiträge
306
Ort
Der dunkle Wald
Bräuchte mal eure hilfe.

Habe einen Exchange 2010, auf der UTM ist mein Smarthost eingetragen, senden und empfangen funktioniert ohne probleme, habe die Empfängerverifizierung "Mit Serveranfrage",
doch das funktioniert nicht, die firewall leitet auch Emails an den Exchange wo es keine Adresse gibt, der Exchange schickt dann die RDNS zurück.

Muss die FIrewall solche Emails nicht ablehnen, ohne es an den Exchange zu schicken?

Hab schon viele Einstellungen probiert, ohne erfolg, keine Ahnung ob es an der Firewall oder am Exchange liegt.
 

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.566
Ort
Hamburch
Ah, jetzt verstehe ich das...

Du kannst einfach einen weiteren virtuellen Webserver erstellen, der eben auf dem internen anstatt dem externen Interface lauscht. Ansonsten wird der identisch konfiguriert, dann musst Du im internen DNS-Server die interne IP-Adresse der Sophos als A-Record für xyz.domain.com eintragen.
So wird dann ein interner Client auf die interne IP-Adresse der Sophos verbinden, wenn er auf https://xyz.domain.com will, und die wird das dann dementsprechend über den virtuellen Webserver an die Synology schicken.
 

[SoD]r4z0r

Enthusiast
Mitglied seit
11.04.2009
Beiträge
3.941
@traxxus
Ich kann dir sagen wie wir das bei uns in der Firma machen, vlt. hilft dir das weiter:

Die Server stehen in ner DMZ. Global erreichbar sind die Server über sub.domain.tld. Aufrufe von intern würden natürlich über die WAF laufen. Da wir in manchen Fällen die Prüfung (z. B. SQL Injection) der WAF nicht benötigen bzw. diese manche Aktionen verhindert haben wir noch intern-sub.domain.tld. Die passenden IPs sind im internen DNS eingetragen, somit landen sowohl intern-sub als auch sub Aufrufe beim Server, wobei erste auf Grund der privaten IP nur intern sind. Wegen der DMZ sind intern natürlich noch alle benötigten Ports freigeschaltet.
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Gab es da eigentlich Interesse wie man sich eine feste IPv4 Adresse nach Hause holen kann mittels eines vServers für 5,- € im Monat?
Ich habe jetzt diverse Anbieter durchprobiert und könnte dazu eine Anleitung schreiben, aber nur wenn Interesse vorhanden ist und die Arbeit nicht für die Tonne ist.

Die IP Adresse liegt direkt auf einem virtuellen Netzwerkinterface, wie eine zusätzliche Internetverbindung ein-/ausgehend. Inkl. IPSec Support. Ohne NAT!
 

besterino

Urgestein
Mitglied seit
31.05.2010
Beiträge
5.015
Ort
Wo mein Daddel-PC steht
Für 5 Euro im Monat bekomme ich von meinem Internet-Anbieter direkt eine feste IP.
 

Rocker

Enthusiast
Mitglied seit
07.06.2008
Beiträge
550
Ort
Oberfranken
das ist aber nicht bei allen so... Die Tkom zB. bietet eine Feste ip nur an Business Anschlüssen.
Gruß Rocker
 

oc_parts

Enthusiast
Mitglied seit
26.03.2006
Beiträge
2.759
Mich würde das auch interessieren. Vor allem in Verbindung mit Multipath. Da ich über 2 eher schwache DSL Anschlüsse verfüge
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
ich bekomme nicht mal für Geld und gute Worte eine (nicht feste) IPv4 Adresse sondern nur Carrier Grade NAT. Die 5,- € Aufpreis würde ich sofort zahlen.

@oc_parts: theoretisch könnte man 2 DSL Anschlüsse zusammenschalten über den vServer, ich habe das noch nicht probiert, hättest du Lust das mit mir zu testen?
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
ich schau mir das mal später bei mir zuhause an, dann Anleitung, dann können wir mal wegen Zusammenschalten testen :-) bekommst dann PM
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
oc_parts: du hast eine dynamisch wechselnde IP Adresse je DSL Anschluss, richtig? Beide DSL Anschlüsse direkt an der Sophos? (macht die Sophos PPPoE oder exposed Host)
 

oc_parts

Enthusiast
Mitglied seit
26.03.2006
Beiträge
2.759
2 tcom 91z 6000ram3 anschlüsse. Einmal hinter nem dslmodem. Einer hinter nem w924v, also über lan
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
@oc_parts: scheint so, als wenn man mit der Sophos UTM direkt kein DSL Bond machen kann. Hier habe ich was dazu gefunden, man müsste dann zuerst zwei Ubuntu Maschinen miteinander verbinden, dann die Sophos davor hängen. Simon Mott - VPN Bonding - vielleicht gibt es da auch noch "schönere" Lösungen.

- - - Updated - - -

Habe mal eine Rohversion der Anleitung um eine IPv4 per RED nach Hause zu holen erstellt. Je nach Interesse und Freizeit werde ich noch den Part mit der vServer Einrichtung hinzufügen.
 
Zuletzt bearbeitet:

traxxus

Semiprofi
Mitglied seit
23.05.2004
Beiträge
2.570
Ort
CH
Ah, jetzt verstehe ich das...

Du kannst einfach einen weiteren virtuellen Webserver erstellen, der eben auf dem internen anstatt dem externen Interface lauscht. Ansonsten wird der identisch konfiguriert, dann musst Du im internen DNS-Server die interne IP-Adresse der Sophos als A-Record für xyz.domain.com eintragen.
So wird dann ein interner Client auf die interne IP-Adresse der Sophos verbinden, wenn er auf https://xyz.domain.com will, und die wird das dann dementsprechend über den virtuellen Webserver an die Synology schicken.

Funktioniert tiptop auf diese Weise :-) - Danke!

-bestehenden virtuellen Server "klonen" und einfach beim Interface auf Internal bzw LAN stellen.
-optional im geklonten virtuellen Server die "Firewall-Profile" noch ausschalten, damit's noch mehr Performance gibt.
-auf dem DNS den Eintrag xyz.domain.com erstellen welcher als Ziel-IP die der Sophos UTM hat.
 
Zuletzt bearbeitet:

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.102
Ort
dark side of the sun
[...]Habe mal eine Rohversion der Anleitung um eine IPv4 per RED nach Hause zu holen erstellt. Je nach Interesse und Freizeit werde ich noch den Part mit der vServer Einrichtung hinzufügen.
Interessante Idee. Angenommen ich habe darüber eine zweite IPv4 angelegt, nutze aber gleichzeitig meine private IPv4 - gibt es dann eine Möglichkeit, Websiten über den transparenten Proxy je Domain über die eine oder die andere IP-Adresse anzusteuern? Also praktisch Multipath-Rules für den Proxy?
 

Rocker

Enthusiast
Mitglied seit
07.06.2008
Beiträge
550
Ort
Oberfranken
Hallo,
Danke für die Anleitung, ich werde das dieses oder nächstes Wochenende mal testen.
Gibt es eine Anleitung für den Mail Gateway? :) den ich suche etwas, wie ich ein Outlook mit mehreren Mailfächern hinter der Sophos betreiben kann und am liebsten wäre mir, die Mails wären schon mal gefiltert.

Gruß Rocker
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Wenn ich richtig viel Zeit dieses WE habe, dann erstelle ich noch Youtube Videos mit Anleitungen. Sophos als Mailfilter ist kein Hexenwerk.
@Rocker: soll ich das mal mit dir zusammen einstellen? Ich betreibe kein Outlook, sollte aber ähnlich sein.

- - - Updated - - -

@paulianer: ich nutze den Webproxy nicht, aber für Multipath funktioniert es.
 

xalur

Enthusiast
Mitglied seit
31.01.2010
Beiträge
60
Hallo Leute,

da ich @home etwas umgeräumt habe steht sowohl mein Drucker als auch mein Access Point an einer ungünstigen Position. Ich nutze momentan einen AP 15 um die Wohnung mit WLAN zu versorgen. Dieser Bridged in das LAN. Nun möchte ich einen 2. AP 15 in der Whg. einsetzen a) für einen besseren Empfang in allen Räumen und b) um über einen kleinen Switch noch den Drucker ins Netzwerk zu bekommen?

Bis eben wollte ich alles schnell bestellen. Dann habe ich "vorsorglich" mal schnell nach der richtigen Konfiguration schauen wollen und bin auf folgenden Link gestoßen, der mich etwas verunsichert:

https://www.sophos.com/de-de/support/knowledgebase/119138.aspx

Und zwar unterscheidet Sophos hier zwischen Mesh und Bridge-Mode - ich denke aber das ich eigentlich beides möchte: Sowohl WLAN in LAN bridgen (LAN <-> AP1 <-> WLAN1 <-> AP2 <-> WLAN1) und (LAN <-> Switch1 <-> AP1 <-> AP2 <-> Switch2 <-> LAN) LAN in LAN bridgen.

Geht das nun oder nicht?
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Nach positivem Feedback und der Anfrage zu weiteren Anleitungen werde ich hier in einem Blog ab und zu Anleitungen zur Sophos UTM und evtl. anderen Themen veröffentlichen:
Busche.org | Technikzeugs…

Aktuell habe ich eine Anleitung für die Einrichtung einer 2. IP Adresse zur Heim Sophos & Erzeugung eines HTTPS Zertifikats über Letsencrypt und Einbindung in den UTM Zertifikatsmanager.
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Sophos 9.4 Beta 2 ist übrigens raus, inkl. Beta Lizenz bis Ende April '16 - bisher schaut es gut aus bis auf ein paar Mail Bugs.
 

mUK

Enthusiast
Mitglied seit
26.04.2010
Beiträge
787
Ort
Osnabrück
Soweit mir der Sophos Support sagte soll mit 9.4 der Locky Trojaner geblockt werden.
 
Oben Unten