Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

Sm0kY88

Active member
Mitglied seit
09.09.2008
Beiträge
3.157
Ort
nähe Bamberg
Hallo,

Bin recht neu im Bereich Netzwerk und FW!



Ich fang mal bei meiner Config vorne an!

Fritzbox 7390 am (noch) 16k Anschluss Telekom!

Lan 1 geht in einen Switch an dem PC Receiver usw. hängt noch dazu gehen von diesem Switch 2 mal LAN an den HP Microserver auf dem Proxmox läuft, und als VM Sophos!

Kann leider den Server nicht Direkt an die Fritz hängen!

Fritzbox hat die Serien IP 192.168.178.1 DHCP Server ist noch an damit die anderen Geräte beim Probieren keine Probleme machen!

die Fritzbox hat eine Portweiterleitung per Exposed Host an die 192.168.178.254 <<-- Sophos internal (siehe screen)

Sophos eth1 ausgang hat die ip 192.168.1.1!

schnitt.JPG


DHCP
dhcp.JPG

Jetzt wenn ich meine Laptop per Lan anschließe bekommt er von DHCP Server Sophos die IP 192.168.1.150 und als Standardgateway 192.168.1.1

Leider keine Zugriff aufs internet ?





Möchte vorerst zum Spielen und Einstellen nur gewisse Geräte über Sophos laufen lassen! IPTV usw erst mal weglassen um probleme zu vermeiden ;)

Leider musste ich auch heute Feststellen das selbst ein neues Wlan gerät das auf die Fritzbox zugreift keinen Internetzugang bekommt da die Standardgateway von Sophos genommen wird!



Hoffe ihr könnt mir da etwas Helfen um den richtigen Weg ein zuschlagen!



Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Eye-Q

Active member
Mitglied seit
11.07.2004
Beiträge
3.476
Ort
Hamburch
Wenn ich dich richtig verstehe, hast Du jetzt zwei DHCP-Server in einem physikalischen Netzwerk, einmal die Fritzbox und einmal die UTM, und zwar mit unterschiedlichen Subnetzen und unterschiedlichen Standard-Gateways. Das kann gut gehen, muss aber nicht, da sich Netzwerkgeräte genauso gut eine IP-Adresse von der Fritzbox erhalten können und dann unbeschränkt ins Internet gelangen.

Ungeachtet dessen gehe ich mal auf dein aktuelles Problem ein: wie sind die Firewall-Regeln eingerichtet? Ist der Webfilter auch eingerichtet? Wenn Du eine Internetseite pingen kannst, weil Du eine Firewall-Regel Internal nach Any (oder Internet IPv4) erlaubt hast, diese aber per Browser nicht erreichst, kann es eben sein, dass der Webfilter den HTTP(S)-Verkehr abfängt und wegen was auch immer blockt. Ohne Wissen der Firewall-Regeln und ggf. der eingerichteten Webfilter-Regeln kann man das jedoch nicht sagen.
 

Sm0kY88

Active member
Mitglied seit
09.09.2008
Beiträge
3.157
Ort
nähe Bamberg
eingerichtet hab ich gar nix es gibt keine regel oder keinen Filter der aktiv ist ^^ sophos ist sozu sagen frisch installiert hab nur die IP´s eingerichtet wie oben auf dem Bild !!

Das mit den 2 DHCP servern ist Richtig .. ich möchte vorerst nur 1-2 geräte über Sophos Regeln! kann ich somit den DHCP server abschalten? Wenn ich mich da reingefuchst hab sollen dann alle Geräte hinter die FW!

Nur wenn ich das jetzt mache geht gar nix!

Danke dir schon mal

Gruß
 

Eye-Q

Active member
Mitglied seit
11.07.2004
Beiträge
3.476
Ort
Hamburch
eingerichtet hab ich gar nix es gibt keine regel oder keinen Filter der aktiv ist ^^ sophos ist sozu sagen frisch installiert hab nur die IP´s eingerichtet wie oben auf dem Bild !!
Naja, standardmäßig blockt eine Firewall eben alles außer das, was explizit erlaubt ist. Normalerweise werden durch den Einrichtungsassistenten ein paar einfache Regeln eingerichtet, z.B. dass Webverkehr von innen nach außen erlaubt ist, dass die UTM als DNS-Server fungiert etc., aber wenn ich mir deine Schnittstellen ansehe, wurde die VM nicht richtig eingerichtet, so dass nur die Schnittstelle "Internal" automatisch vom Einrichtungsassistenten angelegt wurde, und mit nur einer Schnittstelle kann schlecht eine Firewall-Regel erstellt werden.

Deswegen würde ich die VM nochmal neu aufsetzen, jetzt hat die VM ja zwei Ethernet-Schnittstellen, die Du im Einrichtungsassistenten dementsprechend auswählen kannst, womit dann dementsprechende grundsätzliche Regeln automatisch eingerichtet werden.

Das mit den 2 DHCP servern ist Richtig .. ich möchte vorerst nur 1-2 geräte über Sophos Regeln! kann ich somit den DHCP server abschalten? Wenn ich mich da reingefuchst hab sollen dann alle Geräte hinter die FW!

Nur wenn ich das jetzt mache geht gar nix!
Zwei DHCP-Server im selben physikalischen Netzwerk verursachen mehr Probleme als sie lösen, zumindest wenn die nicht ordentlich konfiguriert sind.

Am besten Du deaktivierst den DHCP-Server der UTM und gibst deinem PC eine statische IP-Adresse aus dem 192.168.1.0/24-Subnetz mit Standardgateway und DNS-Server 192.168.1.1. Anschließend sollten zumindest die Grundfunktionen wie Websurfing und Pingen funktionieren.
 

Sm0kY88

Active member
Mitglied seit
09.09.2008
Beiträge
3.157
Ort
nähe Bamberg
Danke für die Tipps hab jetzt mal neu Installiert leider wird mir unter schnittstellen nur "Internal" angezeigt, bei der Install und Einrichtung hab ich bei WAN DHCP ausgewählt, da war aber auch nur eine Netzwerkkarte verfügbar!

Langsam werd ich irre

EDIT: im Dashboard zeigt er mir eth1 = nicht verwendet
 
Zuletzt bearbeitet:

DanFu

Member
Mitglied seit
03.08.2016
Beiträge
127
Ort
Leipzig
Hallo zusammen,

eine Frage zum Verständnis.

Soll ich eher einen Port per DNAT öffnen oder über eine Firewall-Rule

#DNAT
Any - 5000:5001 - Any -> internes Gerät - 5000:5001

#Firewall
External Network - 5000:5001 -> internes Gerät

Die UTM ist auf einem ESXi als VM angelegt und hängt hintern einer FritzBox als ExposedHost

- - - Updated - - -

Achso, falls einer schon auf 9.410 ist, es gibt ein Problem mit den AV-Engines und SMTP.
Ihr müsst ein Ticket bei Sophos aufmachen, die installieren dann remote ein Update.
Aktuell ist kein Fix dafür geplant.

Das Problem äußert sich darin, dass Mail teilweise Tage in der Warteschlange der AV-Engine bleiben und nicht nach intern/extern weitergeleitet werden.
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
943
#DNAT
Any - 5000:5001 - Any -> internes Gerät - 5000:5001

(...)

Achso, falls einer schon auf 9.410 ist, es gibt ein Problem mit den AV-Engines und SMTP.
Ihr müsst ein Ticket bei Sophos aufmachen, die installieren dann remote ein Update.
Aktuell ist kein Fix dafür geplant.

Das Problem äußert sich darin, dass Mail teilweise Tage in der Warteschlange der AV-Engine bleiben und nicht nach intern/extern weitergeleitet werden.

Du möchtest eine DNAT Regel anlegen,
Internet IPv4 (Port 5000 & 5001) --> External WAN Interface ... Umleiten auf "Internen Host" , automatische Firewall Regel aktivieren, spart Zeit und Nerven bevor man das ein weiteres Mal in den Firewall Regeln eintragen muss.

Ich bin mir sicher, dass ein Update für die Problematik mit den AV Scannern in Arbeit ist (Helmich IT bietet den eigenen Kunden schon einen Hotfix an), aktuell wird das nur (leider) von Sophos nicht kommuniziert (wie so vieles)
 
Zuletzt bearbeitet:

DanFu

Member
Mitglied seit
03.08.2016
Beiträge
127
Ort
Leipzig
Du möchtest eine DNAT Regel anlegen,
Internet IPv4 (Port 5000 & 5001) --> External WAN Interface ... Umleiten auf "Internen Host" , automatische Firewall Regel aktivieren, spart Zeit und Nerven bevor man das ein weiteres Mal in den Firewall Regeln eintragen muss.
Danke!

Ich denke das ein Update für die Problematik mit den AV Scannern in Arbeit ist, aktuell wird das nur (leider) von Sophos nicht kommuniziert (wie so vieles)
Für Privat -> ok drauf geschissen
für Firmenkunden wie wir es auch sind und eine Menge dafür bezahlen: absolutes NO_GO

Das darf nicht passieren und das ist es ja schon öfters.
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
943
9.411003 wurde grad released, scheint die Bugfixes mit drin zu haben.
 
Zuletzt bearbeitet:

DanFu

Member
Mitglied seit
03.08.2016
Beiträge
127
Ort
Leipzig
NUTM-6804 [AWS] Update breaks HVM standalone installations
NUTM-6747 SAVI scanner coredumps permanently in MailProxy after update to 9.410
NUTM-6802 [Web] New coredumps from httpproxy after update to v9.410
 

bigghost

Active member
Mitglied seit
28.12.2004
Beiträge
3.595
Ort
Düren
Falls noch jemand eine echte Sophos Hardware sucht. Mein Schwager hat noch eine SG125W mit 2 Jahren Fullguard über.Einfach pm
 

Fr3@k

Active member
Mitglied seit
02.08.2007
Beiträge
3.614
Ort
Perg, OÖ
Ich hab auch aktuell noch eine kleine UTm/ASG 120 abzugegeben - siehe meinen VK Thread
 

Cloud Runner

Member
Mitglied seit
31.07.2010
Beiträge
548
Ort
Caliban
Hat sich irgendwas am Webfilter geändert beim letzten update? Ich hab jetzt plötzlich Werbung bei Youtube oder anderen Seiten oder hat Youtube/google irgendwas geändert?
 

blubb0r87

Active member
Mitglied seit
10.12.2009
Beiträge
4.014
Ort
Schweiz
Habe meine UTM gestern aufgesetzt, keine Werbung zu sehen.
Ich bin auf meiner APU2c4 aber mit der Performance nicht so zufrieden. Die 4 Jaguar-Kerne sind Single-Threaded einfach zu lahm bei aktiviertem IPS.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?
 

[SoD]r4z0r

Active member
Mitglied seit
11.04.2009
Beiträge
3.939
Hat sich irgendwas am Webfilter geändert beim letzten update? Ich hab jetzt plötzlich Werbung bei Youtube oder anderen Seiten oder hat Youtube/google irgendwas geändert?
Habe die Werbung seit mindestens 9.410... Ich vermute das kommt durch Youtube/Google. Kann das aber am Montag mal im Büro prüfen, dort ist noch 9.409 installiert.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?
Habe meine NAS in einem separaten Netzbereich und sowohl NAS als auch mein LAN per Gbit angeschlossen. Mit ner Ausnahme für IPS auf TCP Port 445 bekomm ich so 970MBit durch laut Windows Explorer.
Ohne Ausnahme lag ich bei ich meine um die 350MBit.
Als CPU nutze ich nen i3-6100, 8GB RAM, nen H170 Mainboard und ne Intel PCIe NIC.
Edit sagt: Es war übrigens nur ein CPU-Kern 100% ausgelastet.

Edit2 sagt: noch nen Screenshot von damals gefunden:
 
Zuletzt bearbeitet:

MaxRink

Member
Mitglied seit
07.06.2013
Beiträge
316
Habe meine UTM gestern aufgesetzt, keine Werbung zu sehen.
Ich bin auf meiner APU2c4 aber mit der Performance nicht so zufrieden. Die 4 Jaguar-Kerne sind Single-Threaded einfach zu lahm bei aktiviertem IPS.

Download Speed fällt dann auf 60Mbit/s anstelle von 250Mbit/s. Und da bald symmetrisches Gbit Internet kommt, wird die Appliance ziemlich limitieren.
Hat jemand IPS auf Sophos im Einsatz mit Gbit Up/Down? Schafft dies ein aktueller G4560 oder braucht man da > 4.2 GHz (ist sowieso nur 1 Core relevant)?
1gBit schafft die UTM mit IPS praktisch nicht. Die XG aber ja, die hat multithreaded IPS

Gesendet von meinem ZTE A2017G mit Tapatalk
 

MrDeluxe

Active member
Mitglied seit
01.04.2006
Beiträge
1.428
System
Laptop
Thinkpad E480
Details zu meinem Desktop
Prozessor
AMD 3700x @ 4,3 Boost-Overdrive + Thermal Grizzly Aeronaut
Mainboard
Gigabyte Aorus Pro X570
Kühler
Scythe Fuma 2
Speicher
G,Skill - F4-3200C14D-16GFX
Grafikprozessor
RX480
Display
1xBenq G2411HD, 1xLG 27GL850-B, 1xBenq G2411HD @ Icy Box Monitor Arm IcyBox 3 – IB-MS405-T
SSD
WD Black SN750
HDD
Samsung 850Evo, Crucial 120GB @ Linux EOS
Optisches Laufwerk
N/A
Soundkarte
OnBoard
Gehäuse
Fractal Design Define R6 USB-C Blackout
Netzteil
be quiet straight power 650W
Keyboard
CMSTORM
Mouse
MX518
Betriebssystem
Win10 + Linux Elementary OS
Hallo,

ich habe meine SophosUTM 9.4 nun virtualisiert und das Backup eingespielt, soweit läuft alles AUßER das OpenVPN inklusive DynDNS. In den Logs habe ich gesehen, dass dieser Fehler auftrat:
WARNING: cannot connect to checkip.dyndns.org:80 socket: IO::Socket::INET: Bad hostname 'checkip.dyndns.org'

Ich habe aber checkip.dyndns.org anpingen können etc. Am Ende musste nochmal der Cache gelöscht werden /var/cache/ddclient/ddclient.cache und der ddclient ausgeführt werden. Dann wurde das DynDNS Update ausgeführt.

Dennoch funktioniert das SSL VPN noch nicht. Ich erhalte vom Client die Meldung: "openvpn[7883]: TCP: connect to [AF_INET]XXX.XXX.XXX.XXX:443 failed, will try again in 5 seconds: No route to host

Woran kann das nun liegen? Ich kann vom client meinen DynDNS anpingen und auflösen.


EDIT: Erledigt, lag am Router/Modem davor, der dem externen Interface eine neue IP zugewiesen hat und somit die Portweiterleitung durchwirbelte.
 
Zuletzt bearbeitet:

DanFu

Member
Mitglied seit
03.08.2016
Beiträge
127
Ort
Leipzig
aus Thread Hardware Empfehlung Firewall

So, folgender Stand:

Hardware
qotom-q190g4n-s08
8 GB RAM
256GB SSD

Dann ESXi mittels Custumized ISO installiert. Vielen Dank an Antonio Jorba. Dann die UTM drauf installiert

Hardware für die UTM
4 Core
6 GB RAM
100 GB HDD


PCI-Geräte können bei der Intel-Kiste leider nicht direkt durchgereicht werden, daher habe ich es mit einer mit der normalen VM-NIC gemacht. Der WAN-Port hängt direkt an der FritzBox und ist dort als ExposedHost deklariert.
Ich bin Kunde bei Vodafone-Kabel und habe standardmäßig einen 32/2-Anschluss. Im Rahmen der Kunden-blabla haben die mir für 6 Monate einen 100/6 zur Verfügung gestellt.

Nun, was soll ich sagen. Ich bin ein wenig enttäuscht, die Leistung der UTM auf ESXi-Basis ist echt mies. Am ende kommen doch nur 30-40 MBit raus.

Selbst wenn ich IPS und ATP ausschalte und nur der Virenscan an ist, kommt nicht viel mehr dabei heraus.
Jetzt überlege ich, ich die UTM nicht pur drauf mache und die anderen debian-VM's anderweitig auslagere.

Edit: die IPS wars, AV und ATP kann drin bleiben, dann läufts auch
 
Zuletzt bearbeitet:

Schiggi

Active member
Mitglied seit
13.04.2006
Beiträge
1.068
Ort
Berlin
Kurze Frage an die Experten hier:

Wir suchen für unser Büro einen neuen Router für ca. 25 Clients. Ab und zu mal wählen sich 3 bis 4 Leute via VPN ins Netz ein für RDP. Die Wartung des Routers/Switche/NAS übernimmt meisten einer von uns, der sich ganz gut damit auskennt, jedoch von Hauptberuf kein SysAdmin ist. Nun kam die Idee auf, anstelle eines neues Routers eine UTM-Box wie z.B. die von Fr3@k angebotene (UTm/ASG 120) zu benutzen mit der Home-Lizenz. Zuallerest als günstiger und doch etwas mächtigerer Ersatz für den Router/VPN-Verbindungen.

Wäre für den Einsatz Sophos UTM geeignet oder ist diese zu kompliziert/wartungsaufwändig?

Natürlich wären die anderen Funktionen wie die erweiteret Firewall interessant und vielleicht würden wir auch upgraden, wenn wir sehen, dass die Funktionen uns weiterbringen beim Produktiveinsatz.
 

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.082
Ort
dark side of the sun
Zu allererst wirst du eine Home-Lizenz nicht gewerblich nutzen dürfen.

Ansonsten empfinde ich die UTM als sehr wartungsarm. Gerade für ein professionelles Produkt empfinde ich die UTM als sehr einsteigerfreundlich. Trotzdem ist sie ein gutes Stück komplizierter zu konfigurieren als z.B. eine Fritz.Box. Als Beispiel nenne ich einfach mal Websiten, die auf nicht-standard Ports laufen. Willst du eine Website aufrufen unter https://domain.de:10443 musst du diese per Firewallregel ausgehen erlauben.
 

Ironcurtain86

Member
Mitglied seit
28.11.2009
Beiträge
201
Hallo,

ich habe einen DELL T20 mit 32gb ECC Ram. Auf dem läuft zur Zeit ESXI mit zwei VM's. Debian und Freenas. Ich würde gerne zusätzlich Sophos UTM darauf installieren, um meinen Internetverkehr besser überwachen zu können. Zur Zeit hängt eine FritzBox 7490 am Netz. Ich habe bereits eine Intel 4 port Netzwerkkarte verbaut. Ist das empfehlenswert Sophos UTM in einer VM laufen zu lassen oder ratet ihr davon ab? Ich würde ungern ein weiteres Gerät haben, dass 24/7 läuft. Packt der DELL T20 diese Konstellation oder ist Sophos sehr Ressourcenhungrig?

Gruß
 

DanFu

Member
Mitglied seit
03.08.2016
Beiträge
127
Ort
Leipzig
Packt der DELL T20 diese Konstellation oder ist Sophos sehr Ressourcenhungrig?

Gruß
Ach das reicht dicke für eine 100mbit Leitung. Wenn du deinen Verkehr nur überwachen willst, brauchst du eigentlich auch keine ATP und IPS(dpi)

Wie ich habs auf einer 4core celeron mit ESXi installiertnund geht auch!


Gesendet von iPhone mit Tapatalk
 

you

Member
Mitglied seit
28.12.2016
Beiträge
170
Ort
Dresden
Hallo,

ich habe einen DELL T20 mit 32gb ECC Ram. Auf dem läuft zur Zeit ESXI ... Zur Zeit hängt eine FritzBox 7490 am Netz. Ich habe bereits eine Intel 4 port Netzwerkkarte verbaut. Ist das empfehlenswert Sophos UTM in einer VM laufen zu lassen oder ratet ihr davon ab?
Ich habe die gleiche Konstellation in Betrieb. Allerdings mit XG. Die VM langweilt sich mehr, als daß sie den T20 stresst. Und ich habe etwa 7 VMs permanent laufen.

Mein Setup: Die Sophos an die Fritzbox, in der Fritzbox VPN ausgeschaltet und VPN Ports freigegeben. Ich nutze den VPN Server der Sophos und schütze mich erst mal weiter primär mit der Firewall der Fritzbox. So eine Firewall kann schon mal strange sein :). Und wenn ich dann partout nicht weiter komme, schalte ich eine "ALLES OFFEN" Regel ein und schaue später, woran es liegt. In der Zwischenzeit bin ich über die Fritzbox gesichert. Und wenn ich dann irgendwann mal weiss, was ich da tue, denke ich ans Austauschen der Fritzbox :) Wobei dann immer noch die VoIP Thematik bleibt. Die ist mit der Fritzbox am Internet einfach stabil gelöst.
 
Zuletzt bearbeitet:

Ironcurtain86

Member
Mitglied seit
28.11.2009
Beiträge
201
ich habe VDSL 50mbit, sowie eine Fritzbox 7490 und ein Fritzphone. Wie wäre da denn die Konstellation in Verbindung mit Sophos UTM?.
Die Fritzbox muss als Modem vor der Dose sein. Dahinter dann Sophos UTM, wo die Internetverbindung aufgebaut wird. Allerdings ist das Telefon mit der Fritzbox verbunden und muss ebenfalls ins Internet (VOIP). Hat jemand auch diese Konstellation und kann mir sagen, wie ich was zusammen schalten muss und vor allem was ich in der Fritzbox einstellen muss?
 

Cloud Runner

Member
Mitglied seit
31.07.2010
Beiträge
548
Ort
Caliban
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.
 

Ironcurtain86

Member
Mitglied seit
28.11.2009
Beiträge
201
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.
Ok aber dann gehen alle WLAN Geräte direkt über die FritzBox ins Netz und werden somit nicht durch Sophos kontrolliert oder?

Und was für Nachteile hat es?
 
Zuletzt bearbeitet:

[SoD]r4z0r

Active member
Mitglied seit
11.04.2009
Beiträge
3.939
Die Clients sollten nach Möglichkeit über die Sophos angeschlossen werden, sprich Switch oder Access Point an die Sophos dran und darüber das interne Netz laufen lassen.

Bei mir ist der Aufbau Fritzbox für Modem und Telefon, dahinter die Sophos. An der Sophos hängt mein alter Router der als Access Point und Switch arbeitet und mir 4 LAN-Ports sowie WLAN zur Verfügung stellt.
Hat den netten Vorteil das Fritzbox und Sophos im Keller stehen und im Erdgeschoss nur Router und Telefon.

Edit:
Nachteil wenn die Clients per WLAN direkt an die Fritzbox gehen ist das die nicht durch die Sophos geschützt werden. Und eigentlich soll doch die Sophos a) die internen Clients schützen und b) den Zugang nach außen einschränken und überwachen.
 
Zuletzt bearbeitet:

Ironcurtain86

Member
Mitglied seit
28.11.2009
Beiträge
201
Einfachste Lösung: Du nutzt die F!B ganz normal als Router, da bleibt auch dein Tel. dran, die UTM schaltest du hinter die F!B, in der F!B wählst du für die UTM "exposed host", deine clients/server kommen hinter die UTM.
Die Clients sollten nach Möglichkeit über die Sophos angeschlossen werden, sprich Switch oder Access Point an die Sophos dran und darüber das interne Netz laufen lassen.

Bei mir ist der Aufbau Fritzbox für Modem und Telefon, dahinter die Sophos. An der Sophos hängt mein alter Router der als Access Point und Switch arbeitet und mir 4 LAN-Ports sowie WLAN zur Verfügung stellt.
Hat den netten Vorteil das Fritzbox und Sophos im Keller stehen und im Erdgeschoss nur Router und Telefon.

Edit:
Nachteil wenn die Clients per WLAN direkt an die Fritzbox gehen ist das die nicht durch die Sophos geschützt werden. Und eigentlich soll doch die Sophos a) die internen Clients schützen und b) den Zugang nach außen einschränken und überwachen.
Ok und du reichst das Internet auch per Exposed Host an Sophos weiter oder wie hast du es realisiert? Kannst du ein bischen detaillierter auf die Konfiguration eibgehen? Was hast du bei Sophos beim Wan Port eingestellt? Ist die Wan IP Adresse im gleichen IP-Bereich wie die IP von der F!B?
 

you

Member
Mitglied seit
28.12.2016
Beiträge
170
Ort
Dresden
Hi Ironcurtain86,

ich habe oben ja schon mal geschrieben, wie ich es mache.

Der Vorteil ist, dass ich Firewall, VoIP und WLAN für Gäste direkt an der F!B (weiter) nutze. Alles andere aus meinem internen Netzwerk wird über die Sophos Firewall gemanaged.

Der Nachteil ist, dass ich für alle Dienste, die ich von unterwegs aus dem Heimnetz nutzen möchte, die jeweiligen Ports freischalten musste. Da ich aber ausschliesslich VPN zulasse, wars mit 2 Ports ruck zuck erledigt.

WWW <- FRITZBOX (WLAN Gäste, VoIP, VPN Ports an Sophos freigegeben) <- SOPHOS <- SWITCH <- LAN & WLAN AP Family Clients

Mit dem Exposed Host machst Du die Tore zu Deinem internen Netzwerk auf. Musst Du Dir überlegen, ob Du das wirklich gleich zu Beginn machen möchtest. Selbst, wenn Du Dich mit Firewalls etc. auskennst, die UTM aber noch nicht so kennst, wäre ich da vorsichtig.

Just my 2 cents
 
Zuletzt bearbeitet:
Oben Unten