[Sammelthread] Sophos UTM-Sammelthread

@ Fr3@k
Vielen dank. Scheint genau das zu sein was ich gemeint habe. Werde ich mal probieren.
Also wenn ich die Konfig Datei bisher geladen habe, musste ich immer den Dyndns Eintrag deaktiviert. Danach wurde der eigentliche Hostname der UTM genutzt.
Ja super, freut mich wenn ich helfen konnte.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo

Ich scheitere immernoch daran meine DynDNS von FlexDNS in sophos 9.2 einzutragen. Ist es möglich den Anbieter in die Liste aufzunehmen? Wenn ja wie?

Gruß
Benni
 
Danke schön!
leicht umständlich aber es funktioniert. Hintergrund ist der, dass ich bei meinem Domainanbieter die FlexDNS inklusive habe, kostet mich also nichts;)

Gruß
Benni
 
Moin zusammen,

Ich möchte mein Netzwerk quasi abriegeln, habe ne Fritzbox 7490 und DSL(IP) 16000. Intern soll die UTM alles filtern und sperren was ich soweit nicht freigebe. Nach ausen soll ein VPN aufgebaut werden und etwas ananonymisieren zu realisieren. Desweiteren ist noch ein Wlan accesspoint im Netzwerk, sowie 2 notebooks, 2 Stand systeme sowie 1 Server.

Welche Hardware für die UTM im 19" format würdet ihr empfehlen? oder habe ich gar einen Denkfehler.
 
Ich bin jetzt gerade dabei eine IPsec verbindung zwischen einer Fritzbox 7270 und der UTM aufzubauen. Irgendwo muss ich aber einen Fehler drin haben den ich nicht finde. Die UTM hängt an einem externem Router Ports sind aber frei und weitergeleitet.

hier mal die Config:

die Fritzbox config.cfg
Code:
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;                
        remote_virtualip = 0.0.0.0;
        remotehostname = "dyndns.derSophos.UTM"; 
        localid {
            fqdn = dyndns.derFritz.Box;
        }
        remoteid {
            fqdn = dyndns.derSophos.UTM;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "strenggeheimesPasswort";  
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.178.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.2.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Wo liegt hier denn der Fehler? hoffe ihr könnt mir helfen.

Gruß
Benni
 
garnicht so einfach die hardware zu finden:


Mainboard:
Asus p9D-I
ASUS P9D-I, Mainboard 2x G-LAN SATA3 USB 3.0

Ram:
ECC Kingston 4 GB
Kingston ValueRAM DIMM 4 GB ECC DDR3-1333, Arbeitsspeicher KVR13LE9S8/4, Low Voltage, Bulk

CPU:
Intel Core i3-4130
Intel® Core™ i3-4130, CPU FC-LGA4, Haswell, boxed

Festplatte:
WD 250 GB black
Western Digital WD2500BEKX 250 GB, Festplatte SATA 600, WD Black

Gehäuse:
Chenbro RM22300-L
Chenbro RM22300-L, Gehäuse schwarz

Netzteil:
Seasonic SS-400ES
Seasonic SS-400ES, Netzteil grau


Würde zusammen 560 euro ca. Kosten.

Fände ich für ne Firewall schon recht happig

oder halt
Dell t20 und noch ne netzwerkkarte dazu
DELL PowerEdge T20 Workstation - Intel Xeon E3-1225v3 3,20 GHz, 4GB RAM, 1000GB HDD, Intel HD-Grafik, oOS bei notebooksbilliger.de
 
garnicht so einfach die hardware zu finden:


Mainboard:
Asus p9D-I
ASUS P9D-I, Mainboard 2x G-LAN SATA3 USB 3.0

Ram:
ECC Kingston 4 GB
Kingston ValueRAM DIMM 4 GB ECC DDR3-1333, Arbeitsspeicher KVR13LE9S8/4, Low Voltage, Bulk

CPU:
Intel Core i3-4130
Intel® Core™ i3-4130, CPU FC-LGA4, Haswell, boxed

Festplatte:
WD 250 GB black
Western Digital WD2500BEKX 250 GB, Festplatte SATA 600, WD Black

Gehäuse:
Chenbro RM22300-L
Chenbro RM22300-L, Gehäuse schwarz

Netzteil:
Seasonic SS-400ES
Seasonic SS-400ES, Netzteil grau


Würde zusammen 560 euro ca. Kosten.

Fände ich für ne Firewall schon recht happig

oder halt
Dell t20 und noch ne netzwerkkarte dazu
DELL PowerEdge T20 Workstation - Intel Xeon E3-1225v3 3,20 GHz, 4GB RAM, 1000GB HDD, Intel HD-Grafik, oOS bei notebooksbilliger.de

Finde ich sehr überdimensioniert wenn du das nur als Firewall verwenden willst.

Ich hab gerade ein kleines Testsystem ausgemustert:

19" Gehäuse mit 25cm Tiefe 200Watt Netzteil
J&W MINIX H61M-USB3 (2x GB-LAN) weitere NIC Mittels zusätzlichem Controller möglich
http://www.ebay.at/itm/131008745872?ssPageName=STRK:MEWAX:IT&_trksid=p3984.m1423.l2649
Intel Pentium G2020T
2x 4GB Kingmax DDR3
Platz für 2x 2,5 oder 1x3,5" HDD.
Stromverbrauch ca. 26 Watt


wäre zu haben, kannst mich ja kontaktieren bei Interesse. Als Vergleich die kleinen Sophos UTM Appliances haben eine Atom CPU verbaut.
 
Zuletzt bearbeitet:
Gigabyte GA-C1037UN-EU ~70,-
4GB RAM ~30,-
2,5" HDD ~20 - 30,-
Inter-Tech E-i5 ITX Tower 60 Watt ~55,-

Wenn 2 NICs reichen ist das als Hardware völlig ausreichend
 
Zuletzt bearbeitet:
dafür bekommt man schon einen Dell T20 und der ist wesentlich performanter und zudem sparsamer.
meine Konfiguration mit 4x WD red 1x SSD Dual intel NIC braucht 28 Watt im (WD platten im Spindown/UTM ist aktiv da auf SSD)

Gruß Rocker
 
Wofür brauchst du 4 Festplatten?

Und der T20 kostet 100,- mehr als ein Selbstbau und ist deutlich größer.
Der Celeron hat ne TDP von 17W, der Xeon vom T20 hat ne TDP von 84W
 
Zuletzt bearbeitet:
Hallo ihr

eine kleine Frage.

Ich habe eine neue Hardware Firewall zuhause und würde nun die Sophos nur noch als Spam Filter verwenden. Kann ich dafür die

Das Netz schaut so aus

INET--->Fritzbiox-192.168.1.x-->Sophos-192.168.0.x--->SWITCH

würde die neue FW gerne vor der Sophos einsetzen ohne wieder ein eigenes Netz einrichten zu müssen. ;-)

Das geht nicht oder?
 
Du kannst die NICs der Sophos Bridgen (Interfaces & Routing -> Bridging) dann sollte das funktionieren.

IP auf der NIC konfigurieren die an die neue Firewall angeschlossen wird, zweites Interface (an die dann der Switch soll unkonfiguriert lassen).
Bridge selected NICs auswählen und Haken bei der unkonfigurieren NIC (an die der Switch kommt) setzen und als Conversion Interface das Interface wählen das an der neuen Firewall hängt. Wenn ich mich recht erinnere brauchst du noch eine Any Network -> any Service -> Any Network Firewallregel damit es funktioniert.

Solltest du damit Probleme haben müsste ich das nachbauen hab das jetzt aus dem Kopf heraus aufgeschrieben. Sag einfach Bescheid wenn es Probleme gibt.
 
Zuletzt bearbeitet:
Hallo Fr3@k

ich kann nur "Bridge all NICs (full transparent mode)" auswählen. Selected NICs ist ausgegraut.
Ich muss dazu sagen das die UTM in einer VM läuft ;-)
 
Wenn alle NICs ein Interface zugeordnet haben dann kannst du nur Bridge all NICs auswählen.
Wieviel NICs hat deine UTM? 2 ? Dann kannst du auch Bridge all verwenden, hat nur den Unterschied das du nicht auswählen kannst welche zusammengeschalten werden aber bei 2 NICs sowieso egal und eben das Conversion Interface auswählen.
 
Hat jemand von euch die UTM laufen und zockt darüber Starcraft II? Ich habe schon relativ viele Proxy Exceptions definiert, damit das Ganze überhaupt läuft. Jetzt habe ich nur noch das Problem, dass beim starten eines Ligaspiels der Status "Spiel bereit" erreicht wird und dann bleibt es hängen. Ich muss dann raus und den Battlenet Agent beenden und neu starten. Dann geht es meistens. Das Problem hatte ich vor der UTM nicht, weiß aber nicht, ob es daran liegt. Hat jemand ähnliche Probleme?
 
Zuletzt bearbeitet:
Online Gaming hinter einer Firewall ist schon eine Sache für sich(eben wegen der Masse an Ports), dann noch mit zusätzlich aktiviertem Proxy macht es nicht leicht. Ich würde versuchen das Problem Schritt für Schritt einzugrenzen, am besten mal Proxy deaktivieren und schauen ob es ohne Proxy funktioniert, vl. dabei auch das Firewall Log im Auge behalten ob noch möglicherweise noch irgendwelche Ports blockiert werden.
 
Inwiefern? Über die Sophos-Oberfläche wirst Du den nicht verwalten können, und da das ein stinknormaler Access Point ist, sehe ich keine Kompatibilitätsprobleme, weil die LAN-Verbindung nun mal standardisiert ist...
 
Habe die vergangenen Tage diesen Thread durchgelesen, da wurde bei WLAN auf TP-Links verwiesen.
Der TP-Link 1034 ist aber nicht mehr Stand der Technik, habe noch einen mit OpenWRT.
Für mich ist wichtig: POE, Enterprise Authentifizierung möglich, VLANs, mehrere SIDS, und 2,4 Ghz und 5GHz.
Das hat der Buffalo, ohne in Preisregionen von Lancom, Cisco und ähnlichem zu kommen.

Der AP10 hat kein 5Ghz und der AP50 ist preislich unattraktiv.
(zudem stand hier, das die originalen AP ihren Preis nicht wert sind, jedenfalls für den Homebereich)

Mit der gleichen Konfig / Herangehensweise wie bei den TP-Links mit OpenWRT sollte der Buffalo ja auch gehen (sogar mit original Firmware).
Also VLANs für Standard und Gast einrichten und die UTM als Enterprise Server einstellen.
Die Anleitungen von utmfaq.de mit UTM & Lancom AP sollten da vielleicht auch helfen.
Da meine zweite Netzwerkkarte noch in der Post ist konnte ich die UTM noch nicht testen und mir die Einstellungen dazu ansehen.

Vielleicht hat ja jemand diesen AP von Bufallo schon mal in Gebrauch und kann Feedback geben.
Der Test bei Heise/c`t war auch ganz in Ordnung (den zweiten Lan Port brauch ich nicht, das war ein Mangel).

Beabsichtige auf jeden Fall einen zu testen, hoffe dann das Preis/Leistung passt.
 
Hi

welche WLAN Accesspoints würden mit der Sophos UTM überhaupt laufen? Kann die kostenlose Variante
also auch als Wlan Controller laufen?

gruß
 
Moin zusammen,

habe jetzt meine UTM am laufen, doch stelle ich mich noch Recht dau mässig an.
zur Konfiguration:
Fritz.box -> UTM (auf esxi ) -> Switch ->Systeme

So soweit läuft alles installiert und schon konnte ich ins Internet (fand ich schon fast einfach ;) ).
Die Downloadsperren exe raus genommen da ich doch das ein oder andere mal laden will.

Jetzt zur Frage:

Brauche die Freigabe für Steam:
Steam-Client:
Steam-Client
UDP 27000 bis & inklusive 27015 (Spiele-Client-Traffic)
UDP 27015 bis & inklusive 27030 (Normalerweise für Matchmaking und HLTV)
TCP 27014 bis & inklusive 27050 (Steam-Downloads)
UDP 27031 und 27036 (eingehend, für In-Home Streaming)
TCP 27036 und 27037 (eingehend, für In-Home Streaming)
UDP 4380

Doch irgendwie kriege ich es nicht hin, mangels wissen wie ich es gescheit anstelle. in der log wundert mich das mein system von so einem komisch
16:12:53 Standard-VERWERFEN UDP
192.168.5.11 : 64829

208.64.201.169 : 27021

len=64 ttl=127 tos=0x00 srcmac=e0:cb:4e:62:4d:13 dstmac=0:c:29:45:35:64
 
Kann mir niemand helfen?

Hast dir deine Antwort indirekt schon selber gegeben.

16:12:53 Standard-VERWERFEN UDP
192.168.5.11 : 64829

208.64.201.169 : 27021

len=64 ttl=127 tos=0x00 srcmac=e0:cb:4e:62:4d:13 dstmac=0:c:29:45:35:64

Standard-Verwerfen heißt für die Verbindung (IP und Port 27021) ist keine Regel die den Verkehr zulässt definiert.
Daher läuft es ins Standard-Verwerfen rein (bzw. das Paket wird geblockt).

Musst daher in der Firewall eine Regel definieren die von dir besagte Ports zulässt.
 
Kann mir niemand helfen?

Schau Dir mal die Bilder an, vielleicht hilfts.
sophos_steam1.PNG

Wie Du hier siehst, hab ich die ganzen Steam Ports zusammen in eine Steam-Gruppe gepackt, damit es dann in der Firewall-Regel ordentlicher aussieht.
die zweite Gruppe ist für Battlefield und noch der Einzelport für Teamspeaker.
sophos_steam2.PNG

Solltest Du dann noch WebProtection am Laufen haben, spuckt Dir eventl. noch eine oder mehrere Kategorie/n in die Suppe. In meinem Fall hab ich dann aber nicht die Kategorien frei gegeben, sondern hab in Filteroptionen nur den notwendigen Server frei gegeben. Hier ein Beispiel mit Brickforce.
sophos_steam3.PNG

- - - Updated - - -

Mal eine Frage, wie sieht es bei euch hiermit aus??
[utm][WARN-856] Portscan detected

In der Vergangenheit war es bei mir so, dass alle paar Tage/Wochen mal ein Portscan stattfand.
Seit Mitte September so gut wie jeden Tag.
Aber seit ca. 20. Oktober täglich mehrmals.
Laut who.is kommen die Anfragen von Holland, England, USA, Frankreich - was ja gar nichts heißt.

Ich weis, abstellen kann ich den Blödsinn nicht, es interessiert mich einfach, ob ihr auch so bombardiert werdet.
 
Die Häufigkeit der Portscanns ist mir ebenfalls aufgefallen. Hat extrem zugenommen...
 
kläre vorweg mal genau, wie sich die 2x Gb LAN (Realtek) Netzwerkadapter verhalten. Man soll ja auf Intel gehen aufgrund der besseren Performance. Das ist u.a. der Grund, warum ich immer noch mein Board nutze.


Intel Desktop Board D2500CC - Innovation Series: Amazon.de: Computer & Zubehör

#Edit
Ach, deine Festplatte mit 500GB ist um den Faktor 5 zu groß. Du brauchst nicht im Ansatz soviel Speicherplatz. Kauf dir anstelle dessen lieber eine SSD mit 120GB...

#Edit²
ich hab seit 2 Jahren meine erste Intel SSD mit 80GB am laufen. Protokollierung bisschen umfangreicher. Unten im Bild kannst du sehen, wie der Platz genutzt wird übers Jahr. Mein freier Speicherplatz ist laut der UTM in 49710 Tagen ausgeschöpft ;)

 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh