[Sammelthread] Sophos UTM-Sammelthread

FritzBox als Modem-Only konfigurieren, DHCP aus und am besten eine IP aus dem internen Netz geben....

Bin der Meinung das es mit den neuen Fritz!OS keine Möglichkeit mehr gibt die Fritzbox als reines Modem laufen zu lassen.
Warum nicht die UTM als Expost Host einrichten und gut ist.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Habe meine Astaro als Exposed Host in der Fritzbox (6360) eingerichtet. Funktioniert einwandfrei. Falls aus dem internem Netzwerk auf die Fritzbox zugegriffen werden muss sollte noch eine entsprechende Firewall Regel eingerichtet werden.

Ich habe für meine Astaro einen gebrauchten Acer easystore H340 im Einsatz. Ist günstig zu bekommen (ohne Festplatte). Eine zusätzliche Netzwerkarte eingebaut und eine alte 250 GB Festplatte als Systemplatte eingeschoben. Jetzt läuft die Kiste leise und unauffällig neben der Fritzbox in der Ecke :-).
Ist vielleicht eine Alternative zum Selbstbau.

PS.: Toll das es einen Thread für Astaro/Sophos hier gibt !!
 
Danke für das positive Feedback und schöne dass es noch ein paar Sophos-User den Weg hierher gefunden haben :)
 
Hi,

Habe ebenfalls die Astaro v8 in einer VM am laufen, seit ca. 1 Jahr. Aufbau Fritzbox und dahinter die Astaro.
Nur mal so zwischendurch, gibt noch mehr User davon hier :)
 
Hallo,

die Fritzbox als Modem oder als Router mit der Sophos als exposed Host?
Ihr benutzt doch bestimmt dedizierte NICs für Eure Sophos UTM. Wenn ja, durchgereicht an die VM oder an einem vswitch nur für die Sophos?
 
Hallo,

mal ne blöde Frage: Kann ich theoretisch mein Modem abstecken, und direkt vom Splitter in die Netzwerkkarte gehen und dann die UTM9 als Modem verwenden? Oder habe ich das oben falsch verstanden?
 
@dapc: ja hast du. ein dsl/vdsl modem zur einwahl wird immer noch benötigt. die UTM initialisiert nur mittels den nutzerdaten die einwahl via modem.

@milleniumpilot: Mein aufbau sieht so aus: Splitter -> DSL Modem -> ein port meiner Dual Nic im N40L -> einzelner vSwitch auf den die vmnic durchgereicht wird für den UTM eingang -> UTM -> einzelner vSwitch auf den die vmnic 2 durchgereicht wird für das interne netz
 
Also ich nutze den nl40 mit 2. NIC.
Exposed Host an Fbox, Route an fbox an Astaro und 2. NIC in Astaro / nl40 dann fürs LAN. WLAN der FritzBox ist halt ein anderes Netz. Aber sonst kein Problem mit dem kleinen HP Server :)
 
Danke Morpheuz, habs verstanden.
Ich denke mal, der N40L unterstützt eh kein Durchreichen der NICs an die VM.

Richtig, da es nen AMD Prozi ist und dieser kein vt-d supported.

@cyrrel: ich hab fürs wlan halt nen ap am internen switch. durch wpa2, mac filterung, außerdem nur alte leute ohne plan vom technik in einer sackgasse sollte hierfür genug schutz sein :/
 
in wie weit hat die Sophos denn Einfluss auf den Ping?
ist beim zocken ja nicht unwichtig :d

Gruß

Rocker
 
Mir ist bis jetzt noch nix aufgefallen.

Bei manchen Games musste halt zum Zocken die Ports öffnen.

Zum Beispiel kannste Teamspeak-Server erst besuchen, wenn du die passenden Ports öffnest.
 
Ist aber nichts ungewöhnliches bei einer Firewall, die notwendigen Ports zu öffnen^^

Mal was anderes:
Ich versuche per iDevice mich per SSL-VPN auf die ASG zu verbinden. Auf dem iPhone nutze ich den OpenVPN-Client aber es will nicht funktionieren. Den Sophos SSL VPN Client gibt es bisher nicht für das iDevice. Hat das jemand mal versucht und kennt er die Lösung? Per Laptop klappt alles.

EDIT: Kann es mir selber beantworten, muss auf die final 9.1 warten.
SSL VPN for iOS and Android
Using the newly-released SSL VPN client from OpenVPN (free in both the Android and iOS App Stores) you can connect to your network via SSL tunnel on your mobile. If you have already setup SSL VPN you can just login to the UserPortal and choose the new IOS/Android option under the SSL VPN Section which will trigger a configuration-less profile import (no need to for example use iTunes to sync the package files). Install the client and setup your connection easier than ever!
 
Zuletzt bearbeitet:
Dafür müsste aber IPSec VPN auf der ASG eingerichtet werden und das möchte ich eigentlich nicht.
 
Die 9.1 ist Final :)

Code:
Sophos UTM 9.1 Released
I am pleased to inform you that today, after months of research, development, (and public testing by you), we have released Sophos UTM 9.1. This major update to our UTM line introduces dozens of new features, offers vastly increased performance in throughput and reporting (to name a few), and all-told makes UTM an even more formidable solution. You will find an amazing new system for enforcing your Web Security settings on clients anywhere they are in the world using our UTM Endpoint offering, wireless repeating and bridging using a mesh network option for our Wireless AP50, and SSL VPN for iOS and Android mobiles. We could go on, but first I invite you to download and install the Up2Date so you can start using all of the new abilities and see what else awaits you in UTM 9.1! Read on for download information, release notes, and all the details... 

Below is the download links for the Up2Date from 9.006. Hardware and Software appliance ISO's for fresh installations of UTM will follow shortly. You will also find various specifics around this release. For a list of all the new features and functionality, you can download the official UTM 9.1 Release Notes. If you have a Sophos UTM Smart Installer, the new UTM 9.1 version will show up as a possible download using the provisioning software very soon (if it hasn't updated already).

Sophos UTM 9.1 Release Information
Download Link:
Link: http://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.006005-100016.tgz.gpg
Size: ~280MB
MD5 Sum: 8573f4bdc8ff19d9f63a81ad969bd7b8  



Official Up2Date Description:
Remarks
* System will be rebooted
* Configuration will be upgraded
* Database will be converted
* Connected Wifi APs will perform firmware upgrade
* Connected RED devices will perform firmware upgrade
 
News
Major Features:
* Endpoint: Web Protection for UTM Endpoint
* Network/RED/Wifi: Support for MAC Address Filtering
* RED: Offline Provisioning Mode
* VPN: SSL VPN Support for iOS and Android
* WiFi: Wireless Repeating and Bridging for AP50
 
Other Features (Sample):
* WebAdmin: Replace “Traffic Lights” with Toggle-Switch Design
* WebAdmin: Replace Flash Charts with JavaScript-only Solution
* Endpoint: SAA for MacOS X
* Mail: SSL Support for POP3 Proxy
* Network: QoS Download Throttling
* Network: IPv6 Prefix Delegation
* Network: IPv6 Renumbering
* Network: DNSSEC Validation
* Network: Allow to specify direction of Country Blocking
* Network: Exceptions for Country Blocking
* Network: Increase Scalability of Network Reporting/Accounting
* Network: Multilink PPP Support
* Network: Amazon VPC IPSec Tunnel Support
* RED: Auto-Deauthorize Devices
* RED: Improve UMTS Modem Support
* RED/VPN: Notifications for tunnel up/down
* VPN: SSL VPN Profiles
* VPN: Support for AES+GCM and AES+CTR Ciphers in IPSec
* WAF: Outlook Anywhere Passthrough Support
* Web: Complete Customization of Block Pages
* Web: Optionally Force Caching of Sophos Endpoint Updates
* Web: Allow to specify Maximum Download Size
* Wifi: Redirect Support for Hotspot
* General: Database Architecture Overhaul
* General: More Services Support Lock-Out after Failed Authentication
* General: Time-Events can Span Across Midnight
 
Fixes:
#15089: Support for Outlook Anywhere protocol via the Web Application Firewall (Web Server Protection)
#17999: It’s not possible to take over the Internet explorer(8 & 9) proxy settings with the SSL VPN client
#18601: Checkbox “Mime blocking inspects HTTP body” enabled does not work when Antivirus scanning is disabled
#19006: Internet Explorer still doesn't trust the webadmin certificate after importing the WebAdmin CA
#20050: gzip deflate compression not working with WAF
#21494: IPS report for pdf and csv is incorrect
#21590: Fix SNMP traps for notifications
#21825: Form hardening breaks ‘XHTML 1.0 strict’ compliance
#21829: Timeframe and Department missing in PDF header lines
#21857: Reporting: in the Top Applications by Client PDF export the total column is displayed twice
#21861: Application Control Reporting: incorrect data in the exported pdf/xls
#21892: Encryption User: Download PKCS#12 key doesn’t work if S/MIME is disabled
#21898: Web Protection Reporting: missing sorting order in pdf under some circumstances
#21928: SSL certificate exceptions do not work for urls with an IPv6 literal as hostname
#21942: IPS notifications contain invalid links
#21957: DHCP server not working properly with large IP ranges
#21958: Live log for packetfilter shows numbers instead of the protocol
#22371: The NAT rule object cannot use network group objects for the traffic destination attribute with uplink primary address
#22546: RED Split-Tunneling via UMTS is not working properly
#22634: Static IP address assignment for RED does not work together with transparent/split mode
#23333: Blocked application name on the block page is truncated
#24156: Search Engine Report => Top 10 pie chart has label with HTML "br" tag  in description.
 
Known issues note regarding Virtualization:
There is a small problem which leads to deadlocks during boot-up on some versions of the KVM virtualization if the KVM instance uses more than one CPU. The workaround is to only use this version in KVM instances with one CPU.
The ISO installer sometimes hangs on start-up when using Citrix XEN. The workaround is to install 9.006 and use the Up2Date to 9.100 to run this version.

Sophos UTM 9.1 Released
 
Gerade fertig mit dem Update. Wieder viele kleine Verbesserung im Detail :)
Update lief Problemfrei durch.
Versuche mich gerade an der Authentifizierung für Android, soll ja endlich dabei sein. --> schade, dachte da wäre was dabei gewesen.
Danach geht's an die Endpontprotection. Der Käse lief bislang bestens als frühe Alpha, hoffe das Sophos jetzt mal den Beta Status erreicht hat ;)
 
Zuletzt bearbeitet:
sehr cool, ich richte auch gerade das SSL VPN im iPhone ein.

Mal eine Frage zum Punkt: * Mail: SSL Support for POP3 Proxy

Also POP3s per Port 465 wird nun endlich unterstützt?
 
SSL VPN klappt ganz hervorragend. Getestet mit dem Ipad 4 aktuelle Ios Version und dem Android Samsung S4, beide Geräte unverändert, sprich ohne root und jb
 
@MrDeluxe: SSL ja, aber Port 995 ;)
 
Zuletzt bearbeitet:
Hups, ja hast recht... Nun hab ich popmail.t-online.de auf port 995 im Thunderbird umgestellt und es kommen keine Mails mehr durch >.> Muss was in der UTM konfiguriert werden?

EDIT:
SSL:
Da meine OpenVPN-Konfigdatei auf .dyndns.org endete, funktionierte es im iPhone4 vorerst nicht, es muss auf .dyndns.org.ovpn umbenannt werden!
 
Zuletzt bearbeitet:
Hups, ja hast recht... Nun hab ich popmail.t-online.de auf port 995 im Thunderbird umgestellt und es kommen keine Mails mehr durch >.> Muss was in der UTM konfiguriert werden?

Entweder das Zertifikat von popmail.t-online.de auf die UTM laden, oder Thunderbird verklickern, dass der vermeintliche popmail.t-online.de (was für dein Thunderbird aber ja deine UTM ist) ein anderes Zertifikat benutzt und er diesem vertrauen kann.

Schade dass es nicht möglich ist nach außen SSL/TLS zu sprechen und intern Klartext, ähnlich wie bei der WAF.
Dann könnte man sich den ganzen Zirkus sparen.
 
Zuletzt bearbeitet:
Ist demnächst bei uns geplant. Momentan läuft noch eine Astaro 220 Rev. 4 die demnächst gegen eine Rev. 5 getauscht wird. Wenn das abgeschlossen ist bekommt die 4er ein bisschen mehr RAM und danach kommt die UTM-Software auch da drauf. Allerdings dann Aktiv/Passiv
 
Hatte zwei 9.0 UTMs unter ESXi 5.1 im HA laufen ohne Probleme,
seit dem Update funktioniert es nichtmehr.

Das Problem äußert sich wie folgt:

sobald die zweite UTM eingeschalten und hochgefahren ist, der HA Sync beginnt sind plötzlich VMs die hinter der UTM im Netzwerk stehen und sich aber auf einem anderen Host als die UTM sind plötzlich nichtmehr erreichbar,
bzw. sind andere Firewalls die über ein Transfernetz erreichbar sind nichtmehr erreichbar. Wird eine Firewall im HA abgeschalten funktioniert es wieder ohne Probleme.
Habe da gestern alles probiert was mir eingefallen ist - hab auf beiden UTMs für die NICs die selben MAC-Adressse vergeben und den IgnoreDuplicateMac Wert auf der VM gesetzt, auch ein expremientieren mit den VM Versionen 8 u. vmx9 hat nichts geholfen, auch das deaktivieren der Virtual MAC auf der UTM half nichts. Auch diverse Änderungen auf den vSwitches haben keine besserung gebracht.
 
Werden virtualisierte ASGs von Sophos/Astaro offiziell supported oder dient es lediglich zu Testzwecken? Es sprechen ja einige Sicherheitsaspekte gegen virtualisierte Firewalls. Ansonsten, hast du mal die ARP-Tabellen der Clients geprüft?
Vllt. solltest du das Problem lieber hier stellen: Sophos User Bulletin Board Es kann ja sein, dass es wirklich ein ein Bug der 9.1-er ist. So lang ist sie ja noch nicht im Final-Status.
Viel Erfolg.
 
Werden virtualisierte ASGs von Sophos/Astaro offiziell supported oder dient es lediglich zu Testzwecken? Es sprechen ja einige Sicherheitsaspekte gegen virtualisierte Firewalls. Ansonsten, hast du mal die ARP-Tabellen der Clients geprüft?
Vllt. solltest du das Problem lieber hier stellen: Sophos User Bulletin Board Es kann ja sein, dass es wirklich ein ein Bug der 9.1-er ist. So lang ist sie ja noch nicht im Final-Status.
Viel Erfolg.

Virtualisierte UTMs werden von Sophos auch offiziell supportet, gibt ja zum einen die Hardware Appliances und zum anderen die Lizenzen für die Software/virtuellen Appliances.

Ja ARP Tabelle hab ich natürlich geprüft, deswegen auch der versuch mit identischen MAC Adressen.
Wie gesagt vor 9.1 lief es ja ohne Probleme.

Bei Sophos ist auch deswegen bereits ein Ticket offen.

---------- Post added at 15:52 ---------- Previous post was at 11:52 ----------

So hab Rückmeldung erhalten von Sophos,
die Entwickler konnten das Problem nachvollziehen, leider gibt es noch keine Lösung

Virtualisierte UTMs werden von Sophos auch offiziell supportet, gibt ja zum einen die Hardware Appliances und zum anderen die Lizenzen für die Software/virtuellen Appliances.

Ja ARP Tabelle hab ich natürlich geprüft, deswegen auch der versuch mit identischen MAC Adressen.
Wie gesagt vor 9.1 lief es ja ohne Probleme.

Bei Sophos ist auch deswegen bereits ein Ticket offen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh