[Sammelthread] Sophos UTM-Sammelthread

@randfree,
Ich weiß nicht warum dein Atom 500er Board so schwach ist , ein 400er Atom reicht dennoch völlig aus.
Ich betreibe für unsere Techniker eine ESX Farm die per VPN sich verbinden und meine Kiste kommt nie über 30%.
IPSec VPN würde ich bevorzugen, da nicht so Hardwarelastig -> Verbindungslos.
Hast du schon mal recherchiert was eine Sophos Firewall so an Hardware hat? Und ich bezweifele, dass du als Home User die FW ausreizen kannst!

SSD ist schon kontraproduktiv, da die Logs die Platte früher oder später in die Knie zwingen werden.
Wenn die Sophos UTM richtig konfiguriert ist, dann werden deine Kinder leider aufgeben müssen, da helfen keine VPN-Proxies.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hey!

Ich versuche gerade auf meiner Sophos UTM (läuft als VM-Appliance auf meinem Testserver) VPN-Zugänge einzurichten. Doch das klappt noch nicht so, wie ich mir das vorstelle. Aktuell sieht mein Aufbau so aus:


  • Kabelmodem
    • (Netz: Internet)
    • Router
      • (Netz: 192.168.0.0/24)
      • PC
      • MacBook
      • Hypervisor-Server
      • VM: SophosUTM
        • (Netz: 10.0.10.0 /24)
        • VM: Windows 8.1
        • VM: Windows 2012 Server
        • diverse andere VMs

Die SophosUTM bekommt also ihre Internet-IP vom Router per DHCP. Hinter der UTM hängen die VMs an einem seperaten virtuellen Switch und sind nur durch die UTM aus dem Router-Netz erreichbar, oder über die Proxmox-Console zu verwalten.

Nun würde ich gerne aus dem 192.168.0.0er-Bereich heraus per VPN in das 10.0.10.0er Netz kommen. Ist das so überhaupt möglich oder habe ich eventuell einen Fehler im Aufbau?

Ich versuche mich mit dem MacBook per Cisco VPN (beherscht OS-X von Haus aus) einzuwählen. Ich sehe die Verbindungsversuche auch im Cisco-Log, allerdings wird diese immer verworfen.
 
Zuletzt bearbeitet:
Du musst auf der SophosUTM eine Regel anpassen.

Das Problem ist dass Du von WAN Seite mit der 192.168.0.0/24 nicht richtig geroutet wird.
Das Problem hatte ich auch schon

Weiss die Regeln aber nicht mehr.
 
Also ich habe vom Windows-PC aus eine Verbindung mit OpenVPN bzw. dem Sophos-Clienten per SSL. Das funktioniert soweit. Unter OS-X bin ich noch nicht dazu gekommen SSL-VPN zu testen, ich empfinde die Variante mit Cisco IPSec allerdings als wesentlich angenehmer als die Methode über ein extra Tool.

Ich werde den Aufbau noch mal testen und dem LAN eine öffentliche IP geben bzw. die Sophos ans Netz hängen und per UMTS testen. Mal schauen ob er dann sauber routen kann. Danke für den Hinweis!




Zu den Regeln: Ich habe dem Cisco-IP-Pool jede Verbindung gestattet...das hab ich in einer der Anleitungen gefunden. Mehr habe ich auch nicht...noch nicht.
 
Zuletzt bearbeitet:
Bist du sicher, dass deine VPN Clients das 10.0.10.0/24er Netz überhaupt routen?

Ich sehe die Verbindungsversuche auch im Cisco-Log, allerdings wird diese immer verworfen.
Zum Vergrößern anklicken....

Dann scheint es nicht an der Firewallgeschichte zu liegen, sondern irgendwas stimmt mit der VPN Konfig an sich nicht.
 
Äh er versucht doch vom einem Client im 192.168.0.0/24er Netz eine VPN Verbindung aufzubauen zur Sophos welchen im gleichen Netz steht. Da muss beim Verbindungsaufbau erst mal gar nichts geroutet werden.
Selbst wenn der Tunnel steht und sein virtueller Adapter im 10.0.10.0/24 liegt muss nicht geroutet werden, wenn's ein eigener Pool ist muss geroutet werden. Die Route sollte aber vom VPN Client eingetragen werden.
 
Ok ich hab das etwas anders verstanden.

Wenn die VPN's im 10.0.10.0/24er Subnetz liegen muss er nix weiter routen.
Lediglich die Firewallregeln für Anfragen aus dem 192.168.0.0/24 Netz und damit sollte es sich haben.
Aber offenbar liegt das Problem ja woanders.

Ein Auszug aus dem Log könnte helfen.
 
Auf die Begrifflichkeit achten: Firewall-Regel != Routing

Das Thema automatische Firewall-Regeln ist auf der UTM sowieso "unschön", da diese Regal nicht im Logging auftauchen und somit Troubleshooting sehr schwer ist.
 
Klar sind die unschön, ich erlebe es aber jeden Tag, dass der Haken noch drin ist. Habe ich da etwas doof ausgedrückt.
 
Also unabhängig davon, dass die automatischen Regeln alle Zugriffe erlauben, tauchen diese sehr wohl in den Logs auf.
Zumindest bei mir (und sie werden auch den Regeln angezeigt, sofern man oben bei Firewall auf ALL stellt und nicht auf user-created)
 
Zuletzt bearbeitet:
Weiß jemand ob man den Ram bei den alten ASG Modellen von 2006 aufrüsten kann?
 
Revision weiß ich nicht, lediglich dass diese von 2006 ist, gehe mal von Rev1 aus da 2 glaube ich ca. 2008 raus kam. Ist eine ASG220.
Bei einem Händler aus Amerika gibts aber auch neuere 425, die sollten genügend Speicher für UTM 9.1 haben.
 
Vergiss die 220 rev1, 512MB max, keine Power, aber Lärm ohne Ende -> nicht geschenkt!
Nehm lieber die 425

BTW: Ich habe noch ne 220 rev2 oder rev3 liegen, bei Interesse PN
 
Ich nutze das hier:
Als UTM Hardware nutze ich

Shuttle Europe: Spezifikation

DS47 inkl. Intel® Celeron® 847
SO-DIMM 4 GB DDR3-1600 Kit,
aktuell 4GB RAM und eine HTE725032A7E630 320 GB


Mit freundlichen Grüßen

FFlink
 
hallo zusammen,



ich wollte mir nun auch die utm9 zulegen/installieren und einrichten.

wir haben bei uns zuhause einen aschluss von KD mit der fb6360.

sehe ich das richtig, dass ich die UTM als Exposed Host in der Fritzbox (6360) einrichten muss? Und falls aus dem internem Netzwerk auf die Fritzbox zugegriffen werden muss, muss noch eine entsprechende Firewall Regel eingerichtet werden - richtig?
sind das bestimmte daten die ich bei dieser regel beachten muss?

danke und vioele grüße,

carsten



ps.: um dieses wireless protection nutzen zu können, also gesicherte wlan verbindungen über die utm, muss ja zwingend eine wlan karte an dem pc mit der utm sein - richtig?
würde dann das wlan in der fb abschalten und einen wlan adapter an den pc der utm anschließen und dann von doirt aus das wlan im haus verteilen - das geht dann, oder?
 
Zuletzt bearbeitet:
Moin,
Exposed Host ist richtig.

Regel probier erstmal selber und bei Fragen wird geholfen. :)

Nein, Wireless Protection bedeutet, dass du einen Sophos AP brauchst. AP10, AP30 oder AP50 stehen hier zur Auswahl.
 
Hi xpate,


danke schon mal für die Infos.
Sicher versuche ich mich selber an der Regel - sonst macht es keinen Spaß :)

Das mit dem Wireless Protection ist ja mal doof....hatte gehofft, es ginge auch ohne deren APs :(

Na, erstmal den Server haben, dann installieren und dann weitersehen :d
 
Ne, das ist es ja. Die wollen die Mistdinger ja auch gerne verkaufen. :)
Damit hast du dann einen Pseudo-WLAN-Controller und kannst diverse Hotspots laufen lassen etc.
 
Bei dem WLAN Sizing muss man sowieso aufpassen:

Eine UTM 110 kann gerade mal 2 APS managen und erlaubt max. 10 User.
Mit größeren Geräten geht dann entsprechend mehr.
Das kann u.U. schon ziemlich ärgerlich sein, wenn man sich eine dicke Appliance kaufen muss, die Bandbreiten gar nicht benötigt, nur um 5 APs anzuschließen.

Zudem kann ein AP10 auch nur max. 10 User...

Gepaart mit den Preisen für die Geräte bevorzuge ich andere Lösungen ;)
 
Wo steht das? Die Angaben auf der Website sind Richtwerte und immer abhängig davon, was auf der UTM auch wirklich gemacht wird.
Unabhängig davon, dass ich dir in den meisten Punkten absolut recht gebe. :)
 
Stimmt nicht.

Zum einen habe ich bereits mehr als zwei APs an einer UTM 110 betrieben, zum anderen wird die Sophos meine Aussage bestätigen und zum anderen bin ich zertifizierter Trainer für Sophos und sollte das wissen. :)
 
Wer nutzt die Sophos UTM in einer großen Firmenumgebung mit mehr als 1000 Anwendern?
Oder ist die Lösung eher für kleine Firmen gedacht?

Kann die Utm mit Lösungen von Juniper oder Cisco mithalten?

Ich beschäftige mich gerade damit unsere gesamte Security Umgebung neu zu designen.
 
Prinzipiell kann Sophos das. Ein pauschales Ja ist trotzdem nicht richtig.
Ein paar mehr Informationen wären nützlich.
Was ist vorhanden, was stellst du dir für die neue Umgebung vor etc.
 
Wie bekomme ich ein Zertifikat von Start.com in die UTM9 rein, so das es für die Webserver Protection erscheint. Alle bisherigen Versuche lassen das Zertifikat nur als VPN Zertifikat erscheinen. Auf dem Apache läuft das Zertifikat aber.
 
Anmelden, um zu antworten.

Ähnliche Themen

R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh