[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
hi jungs,
könnte ihr aus der Praxis sagen welche CPU ausreicht für volle 100Mbit bzw besser noch 150Mbit zu bekommen bei der UTM.
Weiß noch nicht genau wofür IPS steht aber am besten sollte auch mit IPS an die volle Bandbreite möglich sein.
könnte ihr aus der Praxis sagen welche CPU ausreicht für volle 100Mbit bzw besser noch 150Mbit zu bekommen bei der UTM.
Weiß noch nicht genau wofür IPS steht aber am besten sollte auch mit IPS an die volle Bandbreite möglich sein.
Cyrrel
Enthusiast
Hi,
Das kommt auch etwas auf die Zahl der Benutzer / Clients drauf an... Mehr Clients gerade bei IPS / großem Filterumfang und dann noch intensivem Logging, dann geht das Ding auch schnell mal in die Knie...
Wenn du nur sage ich mal 1 Client hast der dann 1 große Datei mit 100mbit ziehen möchte, dann brauchst du keine so dicke Maschine
Das kommt auch etwas auf die Zahl der Benutzer / Clients drauf an... Mehr Clients gerade bei IPS / großem Filterumfang und dann noch intensivem Logging, dann geht das Ding auch schnell mal in die Knie...
Wenn du nur sage ich mal 1 Client hast der dann 1 große Datei mit 100mbit ziehen möchte, dann brauchst du keine so dicke Maschine
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
Hallo Zusammen, ich habe ein neues Problem...
in meinem Netzwerk sind immer temporär viele verschiedene Clients (Hypervisor mit virtuellen Maschinen, Spiele-PC, Mac, Familiy PCs, Freunde mit Smartphones etc...), und nun habe ich bereits die 50 IP-Adressen der UTM Home Lizenz voll.
Kann ich wieder ein paar Adressen freigeben und bspw. wie bei einem DHCP eine Lease einstellen, wann Sie sich automatisch löschen sollen? habe leider nichts diesbzgl. gefunden.
Danke für Eure Hilfe!
in meinem Netzwerk sind immer temporär viele verschiedene Clients (Hypervisor mit virtuellen Maschinen, Spiele-PC, Mac, Familiy PCs, Freunde mit Smartphones etc...), und nun habe ich bereits die 50 IP-Adressen der UTM Home Lizenz voll.
Kann ich wieder ein paar Adressen freigeben und bspw. wie bei einem DHCP eine Lease einstellen, wann Sie sich automatisch löschen sollen? habe leider nichts diesbzgl. gefunden.
Danke für Eure Hilfe!
Kampfwurst_Hugo
Neuling
Pack die UTM doch in ein Transfer-Netz, dann verbrauchst du nicht soviele IPs
@daheym: Besten Dank, die Install hat nun geklappt
D
daheym
Guest
gerne@daheym: Besten Dank, die Install hat nun geklappt
Das kann man natürlich machen, dann kann man aber halt nicht mehr pro Host Regeln (Firewall, Proxy, ...) setzen.Pack die UTM doch in ein Transfer-Netz, dann verbrauchst du nicht soviele IPs
D
daheym
Guest
Du musst den SSH Zugang aktivieren und zwar für loginuser und root, der Rest ist selbsterklärend:
loginuser@FW-DAHEYM:/home/login > su
Password:
FW-DAHEYM:/home/login # cc
Confd command-line client. Maintainer: <Ingo.Schwarze@sophos.com>
Connected to 127.0.0.1:4472, SID = GnkMLQuQwStXXCkVhcHF.
Available modes: MAIN OBJS RAW WIZARD.
Type mode name to switch mode.
Typing 'help' will always give some help.
127.0.0.1 MAIN > licensing
active_ips@
license$
user_limit_exceeded$
127.0.0.1 MAIN licensing > active_ips@
0 192.168.200.200
1 192.168.200.11
2 192.168.200.193
3 192.168.200.4
.....
loginuser@FW-DAHEYM:/home/login > su
Password:
FW-DAHEYM:/home/login # cc
Confd command-line client. Maintainer: <Ingo.Schwarze@sophos.com>
Connected to 127.0.0.1:4472, SID = GnkMLQuQwStXXCkVhcHF.
Available modes: MAIN OBJS RAW WIZARD.
Type mode name to switch mode.
Typing 'help' will always give some help.
127.0.0.1 MAIN > licensing
active_ips@
license$
user_limit_exceeded$
127.0.0.1 MAIN licensing > active_ips@
0 192.168.200.200
1 192.168.200.11
2 192.168.200.193
3 192.168.200.4
.....
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
gerne
Das kann man natürlich machen, dann kann man aber halt nicht mehr pro Host Regeln (Firewall, Proxy, ...) setzen.
Ich versuche jetzt erstmal mit einer geringeren Lease und eingegrenztem DHCP Bereich (55 Adressen) auszukommen, allerdings wird mich das Problem wohl früher oder später wieder einholen. Das Transfer-LAN würde sinn machen für Clients die keine Regeln benötigen, wie zB Smartphones oder temporör in meinem Netzwerk befindliche Verbraucher.
Wie würde ich das technisch realisieren? Meine UTM einen zwei NICs, jeweils für Ein- und ausgehenden Traffic.
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
bedankt!
D
daheym
Guest
Du brauchst einen 2ten Router (kann auch eine 2te UTM sein, oder ein Layer3 Switch). Die Clients (Smartphones) kommen dann in ein anderes Netz und werden von dem Router in das UTM Netz genattet (dynamic PAT). Auf der UTM siehst du dann nur noch die IP des Routers (in dem Beispiel unten wäre das die 192.168.0.253.
Mal schauen ob ich das veranschaulichen kann:
WAN UTM <-> UTM <-> Inside UTM (192.168.0.254/24) <-> WAN Router (192.168.0.253/24, GW: .254) <-> Router <-> Inside Router (192.168.1.254/24)
Je nach Router musst du dann am Inside Interface DHCP aktivieren oder falls unterstützt ein Relay/IP-Helper auf die UTM.
Zuletzt bearbeitet:
Genau so...das meine ich mit dem Transfernetz
Eventuell kann man dann mit bis zu 50 VLANs einen Firewall Regel Kompromiss bauen.
Beide Router mit VLAN trunken und dann muss man halt etwas kategorisieren.
Zuletzt bearbeitet:
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
Danke für eure Hilfe, werde ich versuchen umzusetzen.
neues Problem: die Firewall meiner UTM filtert am Tag 150.000 Pakete... ich hab mir die Quellpakete mal angeschaut, die kommen durchweg von etwa 10 verschiedenen IPs aus Marokko und Frankreich. Ich freue mich zwar dass sie geblockt werden, aber wie kann ich herausfinden was die Ursache dafür ist?
Hier ein Beispiel:
ich habe Marokko mal als Land blockiert, aber die Einträge bleiben natürlich...
neues Problem: die Firewall meiner UTM filtert am Tag 150.000 Pakete... ich hab mir die Quellpakete mal angeschaut, die kommen durchweg von etwa 10 verschiedenen IPs aus Marokko und Frankreich. Ich freue mich zwar dass sie geblockt werden, aber wie kann ich herausfinden was die Ursache dafür ist?
Hier ein Beispiel:
ich habe Marokko mal als Land blockiert, aber die Einträge bleiben natürlich...
D
daheym
Guest
Wie sieht denn deine Netwerkkonfiguration aus? Hast du ne FritzBox vorne dran?
Auffällig ist nämlich, dass als Destination eine private Adresse drin steht (selbst wenn eine NAT-Regel existiert ist das nicht normal) und der Port immer gleich ist.
Auffällig ist nämlich, dass als Destination eine private Adresse drin steht (selbst wenn eine NAT-Regel existiert ist das nicht normal) und der Port immer gleich ist.
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
Ja, eine fritzbox ist noch davor. Allerdings nicht mehr allzu lange.
D
daheym
Guest
Jou, hau weg die Gurke dann sind 100%ig auch die Fehler weg. Da wird irgendwas falsch genattet müsste man sich mal genau anschauen...
Zuletzt bearbeitet:
Ist eigentlich ganz normal das man z.B. per Portscanns kontaktiert wird...jetzt hast du halt mit der UTM di eMöglichkeit das zu protokollieren
Nach außen mal ICMP (WAN-Ping) blockieren, dann wirst du automatisch übersprungen
EvoluT1oN
Enthusiast
- Mitglied seit
- 17.02.2005
- Beiträge
- 2.114
Ist eigentlich ganz normal das man z.B. per Portscanns kontaktiert wird...jetzt hast du halt mit der UTM di eMöglichkeit das zu protokollieren
Nach außen mal ICMP (WAN-Ping) blockieren, dann wirst du automatisch übersprungen
hab ich gemacht. Hat leider nichts geholfen. Weiterhin etwa pro Sekunde 5 Anfragen.
Die fritz kann ich momentan nicht abschalten leider.
Ich habe von dieser fritzbox ein VPN aufgebaut zu einer anderen fritzbox, kann dies eventuell die Ursache sein?
Wenn ja, warum kommen die Anfragen dann aus dem Ausland?
Zuletzt bearbeitet:
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Webprotection ohne Authentifizierungsserver
Nach vielem Suchen und probieren hab ich eine Lösung gefunden und möchte Diese schlicht und einfach mit euch teilen.
Ich hab hier ein kleines Heimnetzwerk in dem ausser Windows auch ein paar Apfel-Produkte und Unix-Geräte laufen. Es ist kein Authentifizierungsserver, wie MS Active Directory, Radius oder LDAP am Laufen.
SSO (Single Sign-on) geht nur mit Windows, nicht mit anderen BS.
Unser Netz ist wie folgt aufgeteilt:
LAN intern: 192.168.1.1/24
LAN Kinder: 172.28.2.1/24
WLAN: 172.16.1.1/24
Hotspot: 10.12.28.1/24
WLAN und Hotspot ist mit einer Sophos AP10 realisiert. Das Hotspot-Netzwerk hat keine Verschlüsselung, sondern wird mit einem Tages-Kennwort abgesichert und ist für Gäste, die ins Netz wollen.
Die UTM ist normalerweise dafür ausgelegt, dass der Webzugang Personenbezogen und nicht IP-bezogen ist. Dies wird entweder mit einem Authentifizierungsserver oder mit SSO umgesetzt.
Setting up Web Filtering Profiles - Training Episode 6
Da mir die obigen Voraussetzungen fehlen, soll das Filtern auf IP-bezogen umgebogen werden.
Vorarbeiten:
Definitionen & Benutzer/Netzwerkdefinitionen
Für jedes Gerät eine Netzwerkdefinition vom Typ Host anlegen.
Definitionen & Benutzer/Zeitraumdefinitionen
Hier Zeiträume definieren, in welchen Internetverkehr zulässig ist (z.B. Mo-Fr 17:00-19:00)
Network Protection/Firewall
Als allererst alle Dienste, welche einen Webzugang ermöglicht haben (HTTP Port:80 usw.) deaktivieren bzw. löschen. So kann sich kein Client am WebProtection-Proxy mehr vorbei mogeln.
Dienste wie z.B. Media Streaming (MMS, Real Audio, RTMP, RTSP) muss extra frei gegeben werden, damit Diese laufen.
WebProtection/Webfilter/Allgemein
In Zugelassene Netzwerke sind alle 4 Netzwerke eingetragen (LAN intern (Netzwork) usw.)
HTTPS-Verkehr scannen aktiv
Transparenzmodus
Authentifizierungsmodus: keine
WebProtection/Webfilter/URL-Filterung
Inhalte blockieren, … aktiviert
Jetzt ist aller Internetverkehr blockiert, bis auf die Webseiten die bei URL-Filterung in die 'Whitelist' eingetragen sind und auch die Webseiten, die in Ausnahmen stehen bzw. selbst eingetragen werden.
WebProtection/Webfilter-Profile/Filteraktion
Hier die personenbezogenen Kategorieren anlegen. z.B.
Name: PaulPanzer Filter
Modus: Standardgemäßig zulassen
Schwellenwert: Neutral
Spyware-Kommunikation blockieren: aktiviert
Kat blockieren: Auswahl treffen
Diese URL/Site immer zulassen: Name: Brick-force; RegEX: ^https?://([A-Za-z0-9.-]*\.)?brick-force\.com\.?/ Regular Expressions for Defining URL Patterns in Sophos UTM hilft hier weiter
Antiviren-Scan verwenden: aktiviert, Mechanismen: Zweifach
Downloads ab 1024 MB blockieren aktiviert
WebProtection/Webfilter-Profile/Filterzuweisung
Name: PaulPanzer Filterzuweisung
Zugelassene Benutzer/Gruppen: hier kein User/Gruppe eintragen, sondern leer lassen
Zeitraum: wie oben festgelegt (z.B. Mo-Fr 17:00-19:00) oder 'Always', wenn mehrere Zeiträume benötigt werden müssen mehrere Filterzuweisungen für diese Person angelegt werden
Filteraktion: PaulPanzer Filter
Das ist das Entscheidende, dass nichts bei User eingetragen wird, jetzt funzt der WebFilterProxy Hostbasiert und nicht mehr Personenbasiert.
WebProtection/Webfilter-Profile/Proxy-Profile
Name: Proxy PaulPanzer
Quellnetzwerke: hier die entsprechenen Hosts eintragen (z.B. PaulPanzerPC PaulPanzeriPad)
Filterzuweisungen: hier die personenbezogen Filterzuweisungen eintragen (z.B. PaulPanzer Filterzuweisung Mo-Fr 17:00-19:00 und PaulPanzer Filterzuweisung Sa-So 15:00-19:00
Ersatzaktion: PaulPanzer Filter
Betriebsmodus: Transparent
Aut.-Methode: Keine
HTTPS-Verkehr scannen aktiviert
Eine Alternative wäre die Ersatzaktion auf 'Standard-Filteraktion' zu setzen, dann würden all die Einstellungen unter WebProtection/Webfilter zum Tragen kommen.
Da HTTPS aktiviert ist, müssen noch ein paar Zusatzarbeiten gemacht werden, indem ALLE Clients/Hosts mit dem Proxy-CA-Zertifikat ausgestattet werden.
Der Firefox speichert die Zertifikate im eigenen Speicher. Es ist am einfachsten folgenden Link
http://passthrough.fw-notify.net/cacert.pem mit dem FF aufzurufen und es müsste IMHO reichen, wenn 'Dieser CA vertrauen, um Websites zu identifizieren' aktiviert wird. Zur Kontrolle ein kurzer Blick im FF in Einstellungen/Erweitert/Zertifikate Im Zertifikat-Manager steht die UTM jetzt bei den Zertifizierungsstellen als ProxyCA drinne.
Laut UTM-Onlinehilfe (HTTPS-Cas) gibt es noch Probleme mit Win-Update und dem Win-Defender. Deshalb muss das HTTPS-Proxy-CA-Zertifikat noch für den Systembenutzer importiert werden.
Ich beschreib den Vorgang trotzdem mal, falls der Hilfetext in der UTM-Onlinehilfe bei einem der nächsten Updates verloren geht.
WebProtection/Webfilter/HTTPS-Cas
Bei Signierungs-CA das eigene ProxyCA lokal herunterladen. Am besten auf ein Netzlaufwerk oder USB-Stick, da das Zertifikat auf jedem Host installiert werden muss.
mmc (als Admin ausführen)
Datei/Snap-in hinzufügen
ganz unten Zertifikate auswählen, hinzufügen, dann 'Computer-Konto' und danach 'Lokaler Computer' auswählen
Im gefüllten Konsolenstamm muss dann stehen 'Zertifikate (Lokaler Computer)', dort unter Vertrauenswürdige Stammzertifizierungsstellen Zertifikate auswählen. Mit Rechtsklick alle Aufgaben/Importieren auswählen. Im Assistenten die 'http_proxy_signing_ca.cer' auswählen und darauf achten, dass auf der nächsten Seite 'Alle Zertifikate in folgendem Speicher Speichern' aktiv ist und unter Zertifikatspeicher: 'Vertrauenswürdige Stammzertifizierungsstellen' eingetragen ist.
Beim Schließen vom mmc braucht die geänderte Konsoleneinstellung nicht gespeichert werden.
Im Sophos-Forum hab ich noch folgenden Beitrag gefunden, Diesen aber nicht integriert, da er vom Juni 2012 ist und da war UTM9.004 aktuell, momentan sind wir bei 9.106-17.
Das seltsame ist, dass bei PaulPanzer (Win7pro x86) das manuelle 'Nach Update suchen' funzt bei meiner Kiste kommt eine Fehlermeldung 'Code 80072EFE Unbekannter Fehler bei Windows Update'. Trotzdem werden die automatischen Updates bei meinem PC (Win7pro x64) installiert. Diesen Fehler hab ich noch nicht gefunden.
Beim Ipad mit Safari 'http://passthrough.fw-notify.net/cacert.pem' aufrufen und Certifikat im Profil installieren, dann geht der App-Store. Die Spiele auf dem iPad gehen erst, wenn in den Filterkategorien die Web-Anzeigen disabled werden.
Wenn der Zugang zum Internet schon 'geführt' werden soll, dann führt kein Weg an 'Application Control' vorbei.
Hier kann man einzelne Anwendungen, aber noch besser ist, einzelne Kategorien gezielt sperren, denn ich will ja nicht, dass Kazaa oder irgendwelche Torrents bei uns gesaugt werden.
Kategorien finde ich deshalb noch besser, weil neue Anwendungen von Sophos per update eingepflegt werden und ich so auf dem Laufenden bleibe. Sollten doch einzelne Anwendungen, wie z.B. bei FileTransfer Dropbox zulässig sein, muss Dropbox in einer Accept-Regel davor angelegt werden.
Große Probleme bereiten mir die ganzen fauligen Apfelprodukte.
App-Store neue Apps installieren, -.Update und Siri bring ich einfach nicht zum Laufen, leider finde ich keinen Ansatzpunkt woran es liegen könnte. Vielleicht kennt hier jemand die Lösung.
Nach vielem Suchen und probieren hab ich eine Lösung gefunden und möchte Diese schlicht und einfach mit euch teilen.
Ich hab hier ein kleines Heimnetzwerk in dem ausser Windows auch ein paar Apfel-Produkte und Unix-Geräte laufen. Es ist kein Authentifizierungsserver, wie MS Active Directory, Radius oder LDAP am Laufen.
SSO (Single Sign-on) geht nur mit Windows, nicht mit anderen BS.
Unser Netz ist wie folgt aufgeteilt:
LAN intern: 192.168.1.1/24
LAN Kinder: 172.28.2.1/24
WLAN: 172.16.1.1/24
Hotspot: 10.12.28.1/24
WLAN und Hotspot ist mit einer Sophos AP10 realisiert. Das Hotspot-Netzwerk hat keine Verschlüsselung, sondern wird mit einem Tages-Kennwort abgesichert und ist für Gäste, die ins Netz wollen.
Die UTM ist normalerweise dafür ausgelegt, dass der Webzugang Personenbezogen und nicht IP-bezogen ist. Dies wird entweder mit einem Authentifizierungsserver oder mit SSO umgesetzt.
Setting up Web Filtering Profiles - Training Episode 6
Da mir die obigen Voraussetzungen fehlen, soll das Filtern auf IP-bezogen umgebogen werden.
Vorarbeiten:
Definitionen & Benutzer/Netzwerkdefinitionen
Für jedes Gerät eine Netzwerkdefinition vom Typ Host anlegen.
Definitionen & Benutzer/Zeitraumdefinitionen
Hier Zeiträume definieren, in welchen Internetverkehr zulässig ist (z.B. Mo-Fr 17:00-19:00)
Network Protection/Firewall
Als allererst alle Dienste, welche einen Webzugang ermöglicht haben (HTTP Port:80 usw.) deaktivieren bzw. löschen. So kann sich kein Client am WebProtection-Proxy mehr vorbei mogeln.
Dienste wie z.B. Media Streaming (MMS, Real Audio, RTMP, RTSP) muss extra frei gegeben werden, damit Diese laufen.
WebProtection/Webfilter/Allgemein
In Zugelassene Netzwerke sind alle 4 Netzwerke eingetragen (LAN intern (Netzwork) usw.)
HTTPS-Verkehr scannen aktiv
Transparenzmodus
Authentifizierungsmodus: keine
WebProtection/Webfilter/URL-Filterung
Inhalte blockieren, … aktiviert
Jetzt ist aller Internetverkehr blockiert, bis auf die Webseiten die bei URL-Filterung in die 'Whitelist' eingetragen sind und auch die Webseiten, die in Ausnahmen stehen bzw. selbst eingetragen werden.
WebProtection/Webfilter-Profile/Filteraktion
Hier die personenbezogenen Kategorieren anlegen. z.B.
Name: PaulPanzer Filter
Modus: Standardgemäßig zulassen
Schwellenwert: Neutral
Spyware-Kommunikation blockieren: aktiviert
Kat blockieren: Auswahl treffen
Diese URL/Site immer zulassen: Name: Brick-force; RegEX: ^https?://([A-Za-z0-9.-]*\.)?brick-force\.com\.?/ Regular Expressions for Defining URL Patterns in Sophos UTM hilft hier weiter
Antiviren-Scan verwenden: aktiviert, Mechanismen: Zweifach
Downloads ab 1024 MB blockieren aktiviert
WebProtection/Webfilter-Profile/Filterzuweisung
Name: PaulPanzer Filterzuweisung
Zugelassene Benutzer/Gruppen: hier kein User/Gruppe eintragen, sondern leer lassen
Zeitraum: wie oben festgelegt (z.B. Mo-Fr 17:00-19:00) oder 'Always', wenn mehrere Zeiträume benötigt werden müssen mehrere Filterzuweisungen für diese Person angelegt werden
Filteraktion: PaulPanzer Filter
Das ist das Entscheidende, dass nichts bei User eingetragen wird, jetzt funzt der WebFilterProxy Hostbasiert und nicht mehr Personenbasiert.
WebProtection/Webfilter-Profile/Proxy-Profile
Name: Proxy PaulPanzer
Quellnetzwerke: hier die entsprechenen Hosts eintragen (z.B. PaulPanzerPC PaulPanzeriPad)
Filterzuweisungen: hier die personenbezogen Filterzuweisungen eintragen (z.B. PaulPanzer Filterzuweisung Mo-Fr 17:00-19:00 und PaulPanzer Filterzuweisung Sa-So 15:00-19:00
Ersatzaktion: PaulPanzer Filter
Betriebsmodus: Transparent
Aut.-Methode: Keine
HTTPS-Verkehr scannen aktiviert
Eine Alternative wäre die Ersatzaktion auf 'Standard-Filteraktion' zu setzen, dann würden all die Einstellungen unter WebProtection/Webfilter zum Tragen kommen.
Da HTTPS aktiviert ist, müssen noch ein paar Zusatzarbeiten gemacht werden, indem ALLE Clients/Hosts mit dem Proxy-CA-Zertifikat ausgestattet werden.
Der Firefox speichert die Zertifikate im eigenen Speicher. Es ist am einfachsten folgenden Link
http://passthrough.fw-notify.net/cacert.pem mit dem FF aufzurufen und es müsste IMHO reichen, wenn 'Dieser CA vertrauen, um Websites zu identifizieren' aktiviert wird. Zur Kontrolle ein kurzer Blick im FF in Einstellungen/Erweitert/Zertifikate Im Zertifikat-Manager steht die UTM jetzt bei den Zertifizierungsstellen als ProxyCA drinne.
Laut UTM-Onlinehilfe (HTTPS-Cas) gibt es noch Probleme mit Win-Update und dem Win-Defender. Deshalb muss das HTTPS-Proxy-CA-Zertifikat noch für den Systembenutzer importiert werden.
Ich beschreib den Vorgang trotzdem mal, falls der Hilfetext in der UTM-Onlinehilfe bei einem der nächsten Updates verloren geht.
WebProtection/Webfilter/HTTPS-Cas
Bei Signierungs-CA das eigene ProxyCA lokal herunterladen. Am besten auf ein Netzlaufwerk oder USB-Stick, da das Zertifikat auf jedem Host installiert werden muss.
mmc (als Admin ausführen)
Datei/Snap-in hinzufügen
ganz unten Zertifikate auswählen, hinzufügen, dann 'Computer-Konto' und danach 'Lokaler Computer' auswählen
Im gefüllten Konsolenstamm muss dann stehen 'Zertifikate (Lokaler Computer)', dort unter Vertrauenswürdige Stammzertifizierungsstellen Zertifikate auswählen. Mit Rechtsklick alle Aufgaben/Importieren auswählen. Im Assistenten die 'http_proxy_signing_ca.cer' auswählen und darauf achten, dass auf der nächsten Seite 'Alle Zertifikate in folgendem Speicher Speichern' aktiv ist und unter Zertifikatspeicher: 'Vertrauenswürdige Stammzertifizierungsstellen' eingetragen ist.
Beim Schließen vom mmc braucht die geänderte Konsoleneinstellung nicht gespeichert werden.
Im Sophos-Forum hab ich noch folgenden Beitrag gefunden, Diesen aber nicht integriert, da er vom Juni 2012 ist und da war UTM9.004 aktuell, momentan sind wir bei 9.106-17.
Das seltsame ist, dass bei PaulPanzer (Win7pro x86) das manuelle 'Nach Update suchen' funzt bei meiner Kiste kommt eine Fehlermeldung 'Code 80072EFE Unbekannter Fehler bei Windows Update'. Trotzdem werden die automatischen Updates bei meinem PC (Win7pro x64) installiert. Diesen Fehler hab ich noch nicht gefunden.
Beim Ipad mit Safari 'http://passthrough.fw-notify.net/cacert.pem' aufrufen und Certifikat im Profil installieren, dann geht der App-Store. Die Spiele auf dem iPad gehen erst, wenn in den Filterkategorien die Web-Anzeigen disabled werden.
Wenn der Zugang zum Internet schon 'geführt' werden soll, dann führt kein Weg an 'Application Control' vorbei.
Hier kann man einzelne Anwendungen, aber noch besser ist, einzelne Kategorien gezielt sperren, denn ich will ja nicht, dass Kazaa oder irgendwelche Torrents bei uns gesaugt werden.
Kategorien finde ich deshalb noch besser, weil neue Anwendungen von Sophos per update eingepflegt werden und ich so auf dem Laufenden bleibe. Sollten doch einzelne Anwendungen, wie z.B. bei FileTransfer Dropbox zulässig sein, muss Dropbox in einer Accept-Regel davor angelegt werden.
Große Probleme bereiten mir die ganzen fauligen Apfelprodukte.
App-Store neue Apps installieren, -.Update und Siri bring ich einfach nicht zum Laufen, leider finde ich keinen Ansatzpunkt woran es liegen könnte. Vielleicht kennt hier jemand die Lösung.
Zuletzt bearbeitet:
D
daheym
Guest
Gelesen bis hier hin:
LAN intern: 192.170.1.1/24
LAN Kinder: 192.170.2.1/24
WLAN: 176.10 .1.1/24
Hotspot: 172.12.28.1/24
Dann lieber schnell aufgehört - sorry
LAN intern: 192.170.1.1/24
LAN Kinder: 192.170.2.1/24
WLAN: 176.10 .1.1/24
Hotspot: 172.12.28.1/24
Dann lieber schnell aufgehört - sorry
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Wieso, hast du eine Leseschwäche?
D
daheym
Guest
LAN intern und Kinder auch nicht.
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Sorry Leute, da hab ich beim Schreiben nicht darauf aufgeachtet. 
Keine Ausrede --> glaub mir ich heiße auch nicht Paul Panzer.
Habs natürlich gleich geändert - siehe oben.
Keine Ausrede --> glaub mir ich heiße auch nicht Paul Panzer.
Habs natürlich gleich geändert - siehe oben.
H_M_Murdock
Urgestein
Ich bin vor kurzem auf Sophos UTM aufmerksam geworden und aktuell am Überlegen von IPFire umzusteigen.
Wichtig ist für mich allerdings dass die Einwahl über VDSL klappt und hinterher auch IPTV (Entertain) funktioniert.
Hat das von euch schon mal jemand gemacht?
Hardware wäre im Prinzip vorhanden, ist ein Supermicro X7SPA-HF-D525 mit Atom D525, 2 GB RAM und 120 GB SATA HDD.
LAN ist 2x onboard (Intel, GBit).
In dem Zug würde ich dann auch mein LAN VLAN mäßig aufteilen und neben dem "Normalen" LAN ein VLAN für's Gäste-WLAN, eines als DMZ für meinen externen Webserver und ggf. noch je eines für IPTV und VoIP konfigurieren.
Wäre mit dem IPFire grundsätzlich schon auch machbar aber halt dann eher über die Configfiles, bei Sophos geht halt doch viel mehr übers Webinterface.
Könnt ihr mir den Umstieg überhaupt empfehlen?
Wichtig ist für mich allerdings dass die Einwahl über VDSL klappt und hinterher auch IPTV (Entertain) funktioniert.
Hat das von euch schon mal jemand gemacht?
Hardware wäre im Prinzip vorhanden, ist ein Supermicro X7SPA-HF-D525 mit Atom D525, 2 GB RAM und 120 GB SATA HDD.
LAN ist 2x onboard (Intel, GBit).
In dem Zug würde ich dann auch mein LAN VLAN mäßig aufteilen und neben dem "Normalen" LAN ein VLAN für's Gäste-WLAN, eines als DMZ für meinen externen Webserver und ggf. noch je eines für IPTV und VoIP konfigurieren.
Wäre mit dem IPFire grundsätzlich schon auch machbar aber halt dann eher über die Configfiles, bei Sophos geht halt doch viel mehr übers Webinterface.
Könnt ihr mir den Umstieg überhaupt empfehlen?
Thema Home Entertain ist mein letzter Stand das es nicht gehen soll, ich habe aber mal im Forum gelesen das sie dran arbeiten, aber ich weiß nicht ob es bei der 9.1 umgesetzt ist. Generell gilt auch das die Telekom bei Problemen den Support verweigert wenn es Probleme geben sollte, falls der hauseigene Router nicht verwendet wird.
Ich habe schon verschiedene Firewalls probiert und muss sagen das mir schon seit Jahren die Astaro/Sophos am Besten gefällt, alleine schon von der konfiguration her, ist deutlich einfacher. IPFire hat allerdings weniger Hardwarehunger durch den sehr schlanken BSD-Unterbau.
Zuletzt bearbeitet:
H_M_Murdock
Urgestein
IPFire hat Linux drunter, nicht BSD.
Aber ja, der Hardwarehunger hält sich stark in Grenzen, auf meinem Atom D525 System bewegt sich die CPU Last im Schnitt unter 3% und 512 GB RAM würden eigentlich locker reichen.
Ich hab nur 2 GB RAM drin weil weniger preislich keinen Sinn gemacht hätte.
T-Home mit IPFire ist auch nicht ganz ohne, bin noch nicht so weit dass es laufen würde.
Aber ja, der Hardwarehunger hält sich stark in Grenzen, auf meinem Atom D525 System bewegt sich die CPU Last im Schnitt unter 3% und 512 GB RAM würden eigentlich locker reichen.
Ich hab nur 2 GB RAM drin weil weniger preislich keinen Sinn gemacht hätte.
T-Home mit IPFire ist auch nicht ganz ohne, bin noch nicht so weit dass es laufen würde.
Hatte PFsense vor Augen, irgendwie verwechsel ich die immer... Je nach dem was du alles einschaltest auf der UTM, sind deine 2GB von Vorteil, meine hat virtuell 1GB kommt im gerade so damit aus. Will mir seit Monaten schon eine physikalische kleine Maschine bauen komme aber irgendwie nicht dazu...
Du solltest vielleicht mal im Sophos-Forum schauen ich bin der Meinung es gibt dort schon einige Threads zum Thema T-Home IPTV (auch ältere Beiträge die die Astaro 7/8 betreffen).