[Sammelthread] Sophos UTM-Sammelthread

Genau, das hat sich zur 9.100-16 (da hatte ich die ganze Zeit geschaut, die hat auch kein Haken zum aktivieren) nochmal geändert.
Verstehe ich das richtig- heisst das ich muss kein TLS auswählen ? Dann wäre Default ja "none".
Also TLS aktivieren schon, Zertifikat kannst du auf none lassen.
Outlook wieder SSL aktivieren und testen.

Wir werden das wohl noch hinbekommen :P
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ok. Werde es so machen.
Jetzt schon mal ein herzliches Dankeschön für Deine Geduld und Mühe.
 
So. Jetzt klappt es nachdem ich die UTM mal neu gestartet habe :banana:. Natürlich waren einige Mails dann in Quarantäne die ich zum Teil dann gelöscht habe.
Was bedeutet folgende Meldung:

2013:07:25-11:39:00 ASTARO pop3proxy[1156]: Prefetch for account 1: Successfully logged in on POP3 server 188.125.68.107
2013:07:25-11:39:03 ASTARO pop3proxy[1156]: Prefetch for account 1 finished (fetched=0, deleted=0, not_on_server=3)

Speziell not_on_server=3 ?

Werde heute dann mal den Pop3 Connector für SBS 2011 aktivieren und alle meine Mails runter laden.

Gruß
 
Hi Leute,

hatte mir für den Sophos UTM folgende Hardware ausgeguckt:

MitxPC - Product Details

Ist ziemlich neue Hardware und sollte laut dme Netz schneller sein als ein D525 / 2500 Atom.


Was haltet Ihr davon bzw. hat wer Erfahrung damit?
 
XTaZY, ich gucke mir gerade so deine Signatur an und frage mich ob alle Boards in das SM Gehäuse passen, oder nur das? Weil auf der SM Seite sieht es so aus, als wenn die Mainboard.Blende hinten fest im Gehäuse wäre.

So ein System wäre mir nämlich auch ganz lieb für eine UTM.
 
XTaZY, ich gucke mir gerade so deine Signatur an und frage mich ob alle Boards in das SM Gehäuse passen, oder nur das? Weil auf der SM Seite sieht es so aus, als wenn die Mainboard.Blende hinten fest im Gehäuse wäre.

So ein System wäre mir nämlich auch ganz lieb für eine UTM.

Die Mainboard-Blende von dem 1HE Supermicro-Gehäuse passt lediglich bei Supermicro-Mainboards.
Man kann die Mainboard-Blende durch das Lösen von zwei Schrauben ausbauen.

Eine normale ATX Gehäuse-Blende passt da leider nicht - somit liegt das hintere I/O-Panel des Mainboards hinten frei.

Im Handbuch: http://www.supermicro.com/manuals/chassis/1U/SC512.pdf
Abschnitt / Seite: 5-5 (Seite 35)


Das ist ja mal Preislich eine Mega Ansage...wo ist bitte der Haken?

Es gibt kein Haken ...
du musst lediglich SO-DIMM DDR3-RAM und eine 2,5"-HDD / SSD einbauen.
 
Zuletzt bearbeitet:
Ich finde das Minix angebot jetzt auch nicht so Mega. Atom/Bobcat/Celeron 847 Board + Case mit PICO PSU kostet ja auch nicht mehr.
 
Ich finde das Minix angebot jetzt auch nicht so Mega. Atom/Bobcat/Celeron 847 Board + Case mit PICO PSU kostet ja auch nicht mehr.

Also wenn ich mir so die Preise anschaue kommste bei einem Eigenbau nicht auf den Preis von dem Minix ...
Der Nachteil vom Minix ist, dass man keine Erweiterungsmöglichkeiten hat.
 
Hat jemand von euch für den SSL VPN zufällig ein Wildcard Zertifkat im Einsatz?
ich kann mein Wildcard für das Portal usw. verwenden. Jedoch nicht für den SSL VPN da ich das Zertifkat in den Einstellungen nicht auswählen kann.
 
Zwei Fragen:
  1. Hat jemand schon ein SSL VPN mit einer dynamischen IP (DynDNS) aufgesetzt? Wenn ja wie?
  2. Kann man über die Endpoint Protection keine Mac Clients verwalten? Von Sophos selbst gibt es ja einen Client für OS X.
 
Hi teqqy

Hat jemand schon ein SSL VPN mit einer dynamischen IP (DynDNS) aufgesetzt? Wenn ja wie?

Das geht eigentlich problemlos.
1) Benutzer einrichten
2) Remote Access -> Profiles -> User and Groups
Benutzer eintragen
Remote Access -> Profiles -> Local Network
Internes Netzwerk eintragen
(Ich hab Automatische Firewall Regel aktiviert)
3) Settings
Interface Adresse auf die gewünschte Schnittstelle setzen oder auf Any
Protocol = TCP
Port = gewünschten Port eintragen z.b. 22443
Override hostname = DynDNS Adresse
Pool Network = VPN Pool (SSL)

4) Advanced
Habe ich eigentlich alles auf Default und SSL Compression auf an.

Unter Remote Access -> Advanced den DNS Server eintragen und die Domäne falls vorhanden.

Jetzt kannst Du über das User Portal den Astaro VPN Client runter laden und auf den Remote Client (Laptop) installieren.

Astaro VPN auf dem Client aufrufen und die Anmeldedaten des Users angeben. Falls alles stimmt solltest Du eine VPN Verbindung bekommen.

Hoffe ich konnte helfen.

Gruß
 
Danke dir. Werde ich die Tage mal ausprobieren. Hast du dir ein Zertifikat gekauft, oder ein vorhandenes selbst signiertes verwendet?
 
Neues Up2Date 9.104017

Changelog:
Code:
Up2Date 9.104017 package description:

Remarks:
 System will be rebooted
 Configuration will be upgraded
 Connected REDs will perform firmware upgrade
 Connected Wifi APs will perform firmware upgrade

News:
 Bugfix Release
 Fixed: DNS server remote DoS vulnerability (CVE-2013-4854)
 Fixed: Several issues with RED and Wifi stability
 Fixed: Several issues with Web Protection reporting
 Fixed: Several issues with IPv6 Prefix Delegation
 Fixed: Missing entries in the Japanese Localization
 Added: Button to reset UTM ID to be able to use Endpoint Protection on cloned machines
 Changed: RED/VPN up/down notifications are disabled by default
 Changed: Show more detail information in Wireless Protection
 Changed: Improve DNS lookup performance in Web Filter

Bugfixes:
 Fix [22750]: Swapon failed for explicit UUID
 Fix [25742]: ha: disabling virtual_mac for ha did not result in different mac addresses on master/slave
 Fix [25766]: RED 50 connection is permanently dropped after HA takeover
 Fix [25916]: SUM can't set Web Filter URL Blacklist and URL Whitelist
 Fix [26002]: Web Application Security: .docx files broken after upload and download
 Fix [26052]: Performance problem in MiddleWare when generating SSL VPN configuration with many networks and users
 Fix [26066]: Show Frequency Band in the info of the Wireless Networks
 Fix [26119]: Wifi [ASG]: MAC Filter Whitelist not working
 Fix [26452]: Web Security reporting does not work correctly
 Fix [26613]: Since update to v9.101 inodes are filling up the slave node root partition
 Fix [27481]: Permanent openvpn daemon restarts after installing UTM 9.104 soft release

RPM packages contained:
 cm-nextgen-agent-9.10-5.g1a0178a.i686.rpm         
 db-utils-4.5.20-95.39.136.gb65ae06.rb2.i686.rpm   
 modproxymsrpc-9.10-27.gb44d8f8.i686.rpm           
 perf-tools-3.8.6-21.gab5606d.i686.rpm             
 red-firmware2-2020-0.gc3e3cd9.noarch.rpm          
 ep-reporting-9.10-10.g88169a2.i686.rpm            
 ep-reporting-c-9.10-37.g865c0ea.i686.rpm          
 ep-reporting-resources-9.10-10.g88169a2.i686.rpm  
 ep-awed-9.10-11.g273c96e.i686.rpm                 
 ep-branding-ASG-afg-9.10-18.gf86805f.noarch.rpm   
 ep-branding-ASG-ang-9.10-18.gf86805f.noarch.rpm   
 ep-branding-ASG-asg-9.10-18.gf86805f.noarch.rpm   
 ep-branding-ASG-atg-9.10-18.gf86805f.noarch.rpm   
 ep-branding-ASG-aug-9.10-18.gf86805f.noarch.rpm   
 ep-cloud-ec2-9.10-3.g130d5ba.i686.rpm             
 ep-confd-9.10-164.g93b9bf2.i686.rpm               
 ep-confd-tools-9.10-163.gad65271.i686.rpm         
 ep-epsecd-9.10-11.g38155fe.i686.rpm               
 ep-ha-confd-9.10-1.gf6dc427.i686.rpm              
 ep-init-9.10-9.g668dbaf.noarch.rpm                
 ep-ipv6-watchdog-0.5-0.140009544.g19e13e5.i686.rpm
 ep-localization-afg-9.10-57.g6cdae28.i686.rpm     
 ep-localization-ang-9.10-57.g6cdae28.i686.rpm     
 ep-localization-asg-9.10-57.g6cdae28.i686.rpm     
 ep-localization-atg-9.10-57.g6cdae28.i686.rpm     
 ep-localization-aug-9.10-57.g6cdae28.i686.rpm     
 ep-mail-templates-9.10-1.g3f95a03.noarch.rpm      
 ep-mdw-9.10-121.gedef39c.i686.rpm                 
 ep-postgresql92-9.10-23.gb60d979.i686.rpm         
 ep-raidtools-9.10-7.g577885b.i686.rpm             
 ep-red-9.10-57.gb56d034.i686.rpm                  
 ep-repctl-0.1-0.137517460.g7d75974.i686.rpm       
 ep-service-monitor-1.0-14.g4fd8145.i686.rpm       
 ep-tools-9.10-10.g9fa6c69.i686.rpm                
 ep-up2date-9.10-6.g7bb2dd7.i686.rpm               
 ep-up2date-downloader-9.10-6.g7bb2dd7.i686.rpm    
 ep-up2date-pattern-install-9.10-6.g7bb2dd7.i686.rpm
 ep-up2date-system-install-9.10-6.g7bb2dd7.i686.rpm
 ep-webadmin-9.10-114.g501c8e1.i686.rpm            
 ep-wireless-firmware-4025-0.gc6a6c75.i586.rpm     
 ep-chroot-smtp-9.10-21.gdcc29bf.i686.rpm          
 chroot-bind-9.9.2_P2-1.g7495dad.i686.rpm          
 chroot-ipsec-9.10-3.gc6a9af9.i686.rpm             
 chroot-openvpn-9.10-8.g0c95887.i686.rpm           
 chroot-reverseproxy-2.4.4-79.ga86a121.i686.rpm    
 chroot-smtp-9.10-10.gca56676.i686.rpm             
 ep-httpproxy-9.10-79.g95973a7.i686.rpm            
 kernel-smp-3.8.6-21.gab5606d.i686.rpm             
 kernel-smp64-3.8.6-21.gab5606d.x86_64.rpm         
 ep-release-9.104-17.noarch.rpm
 
Hat jemand von euch für den SSL VPN zufällig ein Wildcard Zertifkat im Einsatz?
ich kann mein Wildcard für das Portal usw. verwenden. Jedoch nicht für den SSL VPN da ich das Zertifkat in den Einstellungen nicht auswählen kann.


Antwort vom Sophos Support:

Wildcard Certificate's werden nicht in OpenVPN unterstuetzt. Es ist auch nicht ersichtlich, ob eine Unterstuetzung geplant ist. Sie koennen aber gerne unter UTM (Formerly ASG) Feature Requests: Hot (1326 ideas) ein entsprechendes Featurerequest erstellen.
 
Hi

Mal zwei Frage an diejenigen, die Sophos virtualisiert haben: wie sieht es mit dem Durchsatz aus? Ich muss auf dem ESXi für die Endian drei Prozessorkerne zuteilen, damit ich in Genuss meiner vollen Bandbreite komme (150 MBit/s).

Und: kann man mit nur einer Sophos (free) mehrere LAN und WLAN Schnittstellen konfigurieren? Mit der Endian gehen nur drei Schnittstellen (LAN, DMZ und WLAN). Mehrere Subnets pro Zone sind zwar möglich, nicht aber mittels vNIC bzw pNIC eigene Netze.
 
Zuletzt bearbeitet:
Hi

Mal zwei Frage an diejenigen, die Sophos virtualisiert haben: wie sieht es mit dem Durchsatz aus? Ich muss auf dem ESXi für die Endian drei Prozessorkerne zuteilen, damit ich in Genuss meiner vollen Bandbreite komme (150 MBit/s).

Und: kann man mit nur einer Sophos (free) mehrere LAN und WLAN Schnittstellen konfigurieren? Mit der Endian gehen nur drei Schnittstellen (LAN, DMZ und WLAN). Mehrere Subnets pro Zone sind zwar möglich, nicht aber mittels vNIC bzw pNIC eigene Netze.

Die freie Version ist auf 50 IPs (sprich Geräte) im Netzwerk beschränkt - Sonst ist es eine vollwertige Sophos UTM Version mit allen Funktionen.
 
Hi

Danke.

Ja, das wusste ich schon, hatte meine zwei Fragen aber nicht beantwortet.

Habe mich mal auf der Sophos Site umgesehen. Werd ich gleich mal selber testen, die Appliance,...
 
Habe gestern was interessantes bezüglich SSL VPN erfahren, nach dem ja schon keine Wildcard Cerificate funktionieren hat mir der Support mitgeteilt das auch offizielle Named Zertifkate nicht vom OpenVPN in der UTM unterstützt werden, das heißt VPN geht nur mit dem auf der UTM erzeugten Zertifikaten.
 
Moin

Ich empfinde das aber nicht unbedingt als Nachteil warum sollten meine VPN Zertifikate über einen öffentlichen Zertifikatausteller laufen? Die UTM muss für den Aufbau des SSL VPN eh erreichbar sein also kann die auch das Zertifikat prüfen.
Und wem würde ich mehr vertrauen als mir selbst?

Vor allem hast du so die Möglichkeit viel schneller zu reagieren wenn du das Zertifikat für ungültig erklären willst und bist nicht von fremden Anbietern abhängig.


V/R
tandaril

[edit/]Ich schiebe einfach nochmal diesen Link nach (völlig Wertungslos): http://www.golem.de/news/kaspersky-lab-wie-sich-geheimdienst-selbst-legitime-zertifikate-ausstellen-1308-101036.html [/edit]
 
Zuletzt bearbeitet:
Neues Up2Date 9.105009

Changelog:
Code:
Up2Date 9.105009 package description:

Remark:
 System will be rebooted

News:
 Security Fix
 Fix vulnerability in WebAdmin

Bugfixes:
 Fix [27295]: Two processes of repctld run on slave after switching preferred master, and therefore it is still shown as syncing
 Fix [27580]: audld.plx gets stuck and UTM is not able to download patterns anymore
 Fix [27785]: Download of SSL VPN packages for Users via Webadmin does not work

RPM packages contained:
 perl-HTTP-Message-6.06-1.524.g8626e19.rb1.noarch.rpm
 perl-IO-HTML-1.00-1.0.g9b43b92.noarch.rpm         
 perl-IO-Socket-SSL-1.953-1.524.g719676d.noarch.rpm
 perl-LWP-Protocol-https-6.04-1.522.g8626e19.noarch.rpm
 perl-Mozilla-CA-20130114-1.521.g8626e19.noarch.rpm
 perl-Net-HTTP-6.06-1.520.g8626e19.noarch.rpm      
 perl-libwww-perl-6.05-1.519.g8626e19.noarch.rpm   
 ep-branding-ASG-afg-9.10-19.g22545b9.noarch.rpm   
 ep-branding-ASG-ang-9.10-19.g22545b9.noarch.rpm   
 ep-branding-ASG-asg-9.10-19.g22545b9.noarch.rpm   
 ep-branding-ASG-atg-9.10-19.g22545b9.noarch.rpm   
 ep-branding-ASG-aug-9.10-19.g22545b9.noarch.rpm   
 ep-confd-9.10-171.g9382d69.i686.rpm               
 ep-confd-tools-9.10-166.g57b8fee.rb1.i686.rpm     
 ep-localization-afg-9.10-58.gc7fb1e0.i686.rpm     
 ep-localization-ang-9.10-58.gc7fb1e0.i686.rpm     
 ep-localization-asg-9.10-58.gc7fb1e0.i686.rpm     
 ep-localization-atg-9.10-58.gc7fb1e0.i686.rpm     
 ep-localization-aug-9.10-58.gc7fb1e0.i686.rpm     
 ep-repctl-0.1-0.141494662.g4a85afa.i686.rpm       
 ep-webadmin-9.10-125.g91ce2d1.i686.rpm            
 ep-release-9.105-9.noarch.rpm
 
Kann mir jemand 'ne gute Anleitung empfehlen wie ich mit meinem iPhone per VPN auf meine Sophos UTM 9 gelangen kann? Scheine irgendeine Regel nicht angelegt zu haben. Wenn die Verbindung auch zustande komt, kann ich auf keine internen IPs zugreifen. (hab eine Firewall Regel angelegt)
 
Hallo,

ich habe auch die UTM Home am laufen. Würde gerne die W-LAN Funktion nutzen. Kann ich nur die teuren Access Points von Sophos nehmen?

Wie habt ihr das gemacht?
 
Hallo,

ich habe auch die UTM Home am laufen. Würde gerne die W-LAN Funktion nutzen. Kann ich nur die teuren Access Points von Sophos nehmen?

Wie habt ihr das gemacht?

Funktioniert leider nur mit den Sophos-AP's.

Ich hab ein AP bzw. WLAN-Router in meinem Heimnetzwerk hängen.
 
Hallo zusammen,

erst einmal schön das das Thema Astaro / Sophos UTM hier einen eigenen Thread hat - ich bin von der Lösung sehr angetan. Aktuell befinde ich mich in der Implementierungsphase von 2x ASG 220 (active/passive) in meiner Firma und habe schon länger eine virtuelle V8 und jetzt V9.1 im privaten Einsatz (inkl. AP10 als AccessPoint). Was aber vielleicht für andere interessant sein könnte: Ich habe aktuell eine UTM 110/120 zum "spielen" bekommen. Das Gerät funktioniert auch mit der Home-Lizenz wunderbar (außer das bei dem Einsatz der Software-UTM die Beschriftungen der Ports (ETH0 etc) nicht passen...) wichtig jedoch ist meine Erfahrung zur Leistung des Geräts. Ich hab zuhaus eine 100Mbit (etwa 90Mbit tatsächlich ankommend) Unitymedia (Kabel) Leitung und muss leider sagen, dass bei aktivem IPS inkl. nur der nötigen Optionen die Übertragungsgeschwindigkeit auf etwa 20Mbit/s begrenzt ist. Meine virtuelle UTM schafft dort etwa 70 Mbit/s! IPS ist wie auch auf meinem letzten Sophos UTM Lehrgang immer wieder gesagt, ein echter Ressourcenfresser :(


Grüße
Kai
 
Hallo zusammen,

die freie Version der Sophos UTM ist auf 50 IP Adressen beschränkt. Soweit mir bekannt. Wie sieht das aus mit der Anbindung der Sophos RED Geschichten? Geht das damit auch, oder brauch dafür dann die UTM 110/120 oder höher?

Wie sieht eigentlich grundsätzlich die Performance auf virtuallisierten UTMs aus? Wenn wir dieser z. B. ein oder zwei Kerne eines XEON E5 und 2 GB Ram geben? Nicht was den Durchsatz in MB/s angeht, sondern bei Latenzen? Sind die mit den Hardware UTMs zu vergleichen? Ich weiß, dass die 110/120er Serien z. B. nicht gerade die Kerze auf der Torte ist.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh