[Sammelthread] Sophos UTM-Sammelthread

[layerbreak]

Nicht, wenn entsprechende Regeln in der Firewall eingerichtet sind, in der z.B. der Verkehr von PC A zu Website B gesperrt ist.

Mann sei nicht so maulfaul.
Gib mal bitte ein Beispiel dazu.

Wenn ich es richtig weis, wird wenn WebProtection on ist der http (https) Verkehr über den WebProtection-Proxy geleitet und nicht mehr über Port 80 (443). Dann wird die Firewall ansich umgangen. So zumindest hab ich dies aus dem Sophosforum mal geschrieben bekommen.

 

[xpate]

Steht doch da, was ich meine.

Deine Aussage ist ja auch nicht falsch, die Firewall wird trotzdem nicht "umgangen".

Wenn ich nun aber folgendes in der Firewall sperre:

PCimLand 10.9.64.234 zu ServerimWAN 45.23.45.23 auf Port 80 deny

Dann wird das trotzdem geblockt, unabhängig von der Webprotection.

 

[layerbreak]

Steht doch da, was ich meine.

Deine Aussage ist ja auch nicht falsch, die Firewall wird trotzdem nicht "umgangen".

Wenn ich nun aber folgendes in der Firewall sperre:

PCimLand 10.9.64.234 zu ServerimWAN 45.23.45.23 auf Port 80 deny

Dann wird das trotzdem geblockt, unabhängig von der Webprotection.

Cool.
Wenn das Ziel ein Host ist, dann hat die Firewall Priorität.
Anderst ist es wenn das Ziel Internet IP4(6)ist, dann bestimmt WebProtection.

YEAH, wieder was gelernt.

 

[treeshort]

Jo Moin. So langsam erkenn ich ein Bild xD.

Also es funktioniert soweit schonmal, die ip der fritzbox kann ich auch erreichen nur nicht die Domain?? Hängt irgendwie mit dem dns zusammen.

Habe aber noch ein Problem und zwar lässt mich die Firewall nicht diablo zocken ^^ habe in der Firewall die Ports welche auf der Seite bei Blizzards für Diablo3 stehen als Filter eingerichtet.

Quelle=Host ip von pc
Filter= die entsprechenden Ports wobei bei einzelnen Ports Ziel und Quellprogramm derselbe sind. Und bei portgruppen der kleinere Port als Quellprogramm und der größere als Ziel eingestellt wurde.(hoffe das ist so richtig?) beil. diablo tat sich nix. Auch hay Day wird wohl geblockt wie ich zu hören bekam.

 

[xpate]

Quelle= IP vom Host
Ziel= IP vom Zielserver oder Hostgruppe erstellen dafür

Beim erstellen der Ports darauf achten, ob du TCP und/oder UDP dafür brauchst. Wenn du den Port erstmal erstellt hast, kannst du die Einstellung nicht mehr ändern und müsstest den Port neu erstellen und die Regel anpassen.

Quellport lässt du auf 1:65...
Zielport ist der Port vom Diablo Server. Willst du ne Range, dann bitte so: kleinsterPort:größterPort

Wenn das nicht klappt, bitte Screenshot von der Firewallregel und deinen Porteinstellungen der verwendeten Ports der Regel.

 

[treeshort]

Jo funktioniert jetzt hatte ja bei quell port den gleichen port eingetragen daran wirds gelegen haben.
Ziel ist wie bei den vorkonfigurierten Regeln Any.

Hätte da aber noch einiege Fragen.
und zwar

1. in der fritzbox kann man ja Upnp anschalten was den anwendungen im inneren des Netzwerkes erlaubt selbst regeln für Portfreigaben zu erstellen.
ich weis das es fall s man einen trojaner auf den Computer zieht eher schlecht ist. Jedoch soll die astaro im Heimnetwerk funktionieren bei meinen Eltern.
Und ich werde bald ausziehen daher kann ich dann nicht jedes mal wenn irgend ein Programm nen bestimmten Port braucht, den zuhause einrichten, zwar wäre
es über inet möglich aber trotzdem auf dauer nervig.

2. Ich habe nun die Ports für Diablo frei gegeben bin ich nun über diese irgendwie angreifbar?

3. Wie richte ich nun eine VPN verbindung zur firewall ein damit ich auch aus dem internet auf diese zugreifen kann und auf die dahinter angeschlossenen Geräte?

4. wie konfiguriert man nun den Webfilter? Würde den schon gerne nutzen wenn es ihn schon gibt ^^.


schonmal vorab vielen dank für eure Mühen einem Leihen was bei zu bringen

 

[xpate]

Quellport ist in den meisten Fällen ungleich Zielport.

Zu deinen Fragen: 1. upnp würde ich nicht benutzen, müsste jetzt auch lügen, ob das überhaupt implementiert ist. Man liest es gerne mal bei den Wünschen...
Mache dir einmal die Mühe und schalte die passenden Ports frei und dann sollte das passen.

2. Du hast die Ports ausgehend geöffnet und nicht eingehend, daher sollte das kein echtes Problem darstellen.

3. Entweder hast du eine feste IP oder du benutzt einen Dynamischen DNS Dienst, damit du unter einer festen Adresse von außen erreichbar bist. Wenn du das hast, kannst du die weiteren Schritte machen.

 

[treeshort]

hab leider noch ein Problem.

Hay day kriegt keine verbindung zum server vom ipad aus habe die ports gegoogelt und eigentlich alle frei gegeben.

Bei Quelle hatte ich erst internal network (192.168.2.0 was ja dann eigentlich alle Geräte einbeziehen müsste oder?)
es ging nur leider nicht. Dann hab ich nun über dem DHCP server jedem Host eine Definition zugeordnet und mit diesen dann eine Netzwerkgruppe erstellt. Und diese dnan als Quelle eingefügt. Dienst wären die Ports und Ziel wäre wieder Any.

Leider funktioniert es immer noch nicht.

 

[xpate]

Internal Network wäre eigentlich richtig.
Pack mal nur die IP vom iPad rein und dann alle Ports öffnen und gucke ob es dann geht. Wenn ja, stimmen die Ports nicht oder du hast die falsch eingerichtet.

 

[treeshort]

Kann man die Verbindung die das Ipad versucht auf zu bauen nicht irgendwie in Sophos herrausfinden?

müsste doch eigentlich irgendwo geloggt werden welche Ip wohin verbinden möchte???


Edit : wenn alle ports offen sind gehts .....habe aber eigentlich alle standard Ports die Google mir lieferte geöffnet. genau so wie bei D3 muss also irgend einer sein der nicht gelistet ist.

Wegen so ner frickelei wäre upnp schon ganz schön ^^.



EDIT2: OK hat sich erledigt waren die falschen ports und ja man kann unter Protokolle nachsehen welche Hosts probleme mit der Firewall hatten und welche Ports betroffen waren.

Ich danke nochmal für die nette Hilfe

mfg tree

 

[layerbreak]

Dir scheint immer noch nicht klar zu sein, dass die FritzBox keine weitere Funktion, in deinem ganzen Netz, mehr hat als ein popliges "Modem" zu KabelDeutschland.
Die UTM ist jetzt für alles zuständig, auch wenn du ein VPN aufbauen willst.
@xpate hat dir jetzt vorgeschlagen einen dynDNS Dienst einzurichten, solltest du keine feste IP von KabelDeutschland zugewiesen/gebucht haben.
Vorher musst du noch abklären, ob du von KabelDeutschland eine echte IP/4 oder IP/6 zugewiesen bekommen hast, wenn nicht dann hast wieder ein Problem mit dynDNS.

Kann man die Verbindung die das Ipad versucht auf zu bauen nicht irgendwie in Sophos herrausfinden?

müsste doch eigentlich irgendwo geloggt werden welche Ip wohin verbinden möchte???

Na klar - Firewall/Live-Protokoll

Ports öffnen für Spiele.
Schau mal hier:


Das ist für Steam und Battlefield.

 

[xpate]

Live-Protokoll der Firewall zeigt dir das an.
Wenn du eine Regel dort sehen willst, musst du in der Regel den Haken setzen bei Verkehr protokollieren.

Edith zu layerbreak: Wie Kabel Deutschland so etwas behandelt, weiß ich nicht. Bin nun von dem Standard-Verfahren, wie es jeder DSL-Anbieter nutzt, ausgegangen.

 

[Tr4c3rt]

Ich hab via Dyndns über Strato auf Sophos eine DE Domain gelegt.
Der Webserver läuft auf einer VM mit der ip 192.168.10.30.
Nat redirect port 80 (inkl. Firewallrules) ist auf die VM gesetzt.

Wenn ich von den lokalen Clients meine DE Domain ansurfe, kriege ich eine Netzwerk-Zeitüberschreitung.
Surfe ich via lokaler IP an klappts.
Surfe ich von einem anderen Anschuss die Domain an, klappts auch.
Im Firewall Log, tauchen keine geblockten Anfragen auf.

Woran könnte das liegen?

btw: Es betrifft scheinbar nur Port 80, wenn ich aus dem lokalen Netz zum Teamspeakserver auf der Domain verbinden will klappt das wunderbar.

 

[katzenhai]

Ich hab via Dyndns über Strato auf Sophos eine DE Domain gelegt.
Der Webserver läuft auf einer VM mit der ip 192.168.10.30.
Nat redirect port 80 (inkl. Firewallrules) ist auf die VM gesetzt.
Wenn ich von den lokalen Clients meine DE Domain ansurfe, kriege ich eine Netzwerk-Zeitüberschreitung.
Surfe ich via lokaler IP an klappts.

Hast du in deinen internen Netz auch einen DNS Eintrag für den Webserver angelegt, der auf die interne Adresse zeigt?

 

[xpate]

Das wird mit Sicherheit fehlen.

 

[teqqy]

Hallo zusammen,

kann man via SSL VPN einzelne Ports tunneln? Sprich Internet über Port 80 und so über die eigene Leitung, SMB und RDP über den VPN Tunnel?

Grüße

 

[Tr4c3rt]

Hast du in deinen internen Netz auch einen DNS Eintrag für den Webserver angelegt, der auf die interne Adresse zeigt?

Das habe ich bisher nicht gemacht und auf Dauer soll das auch so laufen.
Aber es sollte doch auch so klappen?
Die Anfrage geht ganz normal raus, wie an jeden anderen Webserver und wird übers Internet beantwortet. Lokal->Wan->Internet->Wan->Webserver VM->Wan->Internet->Wan->Lokal

Das Problem scheint auch irgendwie nicht der DNS zu sein, denn anpingen kann ich problemlos und zum Teamspeak-Server kann ich mich auch verbinden.

kann man via SSL VPN einzelne Ports tunneln? Sprich Internet über Port 80 und so über die eigene Leitung, SMB und RDP über den VPN Tunnel?

Ich nehme mal an es geht um ausgehende Kommunikation von Clients hinter der UTM?

Ja das geht, sogar hervorragend einfach. (Weil die VPN Clients automatisch eine Network Definition bekommen)
Einfach eine Nat Regel setzen und fertig...

 

[layerbreak]

Ich hab via Dyndns über Strato auf Sophos eine DE Domain gelegt.
Der Webserver läuft auf einer VM mit der ip 192.168.10.30.
Nat redirect port 80 (inkl. Firewallrules) ist auf die VM gesetzt.

Wenn ich von den lokalen Clients meine DE Domain ansurfe, kriege ich eine Netzwerk-Zeitüberschreitung.
Surfe ich via lokaler IP an klappts.
Surfe ich von einem anderen Anschuss die Domain an, klappts auch.
Im Firewall Log, tauchen keine geblockten Anfragen auf.

Woran könnte das liegen?

btw: Es betrifft scheinbar nur Port 80, wenn ich aus dem lokalen Netz zum Teamspeakserver auf der Domain verbinden will klappt das wunderbar.

@Tr4c3rt,
das interessiert mich auch, denn in nächster Zeit möchte ich meinen eigenen Webserver, auch eine VM, online bringen.

Kannst es detailiert hier mal online stellen, wie und welche Einstellungen du bei Strato und der UTM gemacht hast?

 

[Tr4c3rt]

Das ist eigentlich kein Hexenwerk gewesen.
Bei Strato gehst du in der Domainverwaltung auf DNS Einstellungen->DynDns->Aktivieren
Das kann beim ersten mal bsi zu 24h dauern.

Dann legst du unter Sicherheit->Passwörter noch ein Masterpasswort fest.

In Sophos unter Network Services kannst du den DynDNS Account dann hinzufügen.
Der Service von Strato ist sogar schon vorgegeben, sodass du nur deine Domain als Nutzernamen und das Masterpasswort einsetzen musst.

Dann noch einen NAT Eintrag für Port 80:

Quelle: Any Protocol: Http Goint to: External Wan
Change Destination to: IP der Webserver VM.


Jetzt besteht von außen Zugriff auf die Website, nur aus dem lokalen Netz klappts irgendwie nicht.
(Also dass der Datenverkehr so nicht intern bleibt ist klar, aber das ist eine ganz normale Wan Anfrage, deswegen versteh ich es net)

 

[layerbreak]

@xpate hat dir jetzt vorgeschlagen einen dynDNS Dienst einzurichten, solltest du keine feste IP von KabelDeutschland zugewiesen/gebucht haben.
Vorher musst du noch abklären, ob du von KabelDeutschland eine echte IP/4 oder IP/6 zugewiesen bekommen hast, wenn nicht dann hast wieder ein Problem mit dynDNS.

Edith zu layerbreak: Wie Kabel Deutschland so etwas behandelt, weiß ich nicht. Bin nun von dem Standard-Verfahren, wie es jeder DSL-Anbieter nutzt, ausgegangen.

So, hab gefunden.

Bei den Kabelanbietern erhält man nur noch Dual-Stack lite
Das heißt man bekommt keine öffentliche IP4 mehr zugewiesen.

Schau mal in deiner FritzBox Übersicht, ob da sowas ähnliches steht, wie:
Internet verbunden seit 18.03.2014, 10:00 Uhr, IPv4 über DS-Lite
Internet, IPv6 verbunden seit 18.03.2014, 10:00 Uhr, IPv6-Präfix: 2a02:8070:c4fd:6f00::/56

Wenn du DS-Lite hast, haste du keine Chance mehr per IP4 an dein internes Netz zu kommen, da du faktisch keine eigene öffentliche IPv4 Adresse mehr hast, da du bei KabelDeutschland ge'nat'ed wirst.

Welchen dynDNS Dienst kann man denn noch benutzen, denn dyndns.org geht schon seit geraumer Zeit nicht mehr automatisch. Da muss man sich jetzt nach x Tagen händisch auf der Webseite einloggen?

 

[GuNa]

Nochmal Danke an layerbreak und xpate für Eure Hilfe.

Hier ein kurzes Feedback:
Ich hatte große Probleme Sophos 9.2 unter Proxmox 3.2 zu installieren. Erst als ich alle VIRTIO Komponenten raus genommen habe (nur SATA als Festplatte und Intel e1000 NIC) UND nur mit der 32 Bit Version ließ sich die neue Version installieren.
Das einspielen des Backups lief ohne Probleme und jetzt läuft die 9.2er Version.
Vielleicht lag es ja nur an meiner Konstellation ??

Just sharing...

Gruß

PS: Bin mittlerweile wieder von Hyper-V abgekommen. Proxmox ist einfacher in der Handhabung und die VM's sind besser zu administrieren.

 

[layerbreak]

Das ist eigentlich kein Hexenwerk gewesen.
Bei Strato gehst du in der Domainverwaltung auf DNS Einstellungen->DynDns->Aktivieren
Das kann beim ersten mal bsi zu 24h dauern.

Dann legst du unter Sicherheit->Passwörter noch ein Masterpasswort fest.

In Sophos unter Network Services kannst du den DynDNS Account dann hinzufügen.
Der Service von Strato ist sogar schon vorgegeben, sodass du nur deine Domain als Nutzernamen und das Masterpasswort einsetzen musst.

Dann noch einen NAT Eintrag für Port 80:

Quelle: Any Protocol: Http Goint to: External Wan
Change Destination to: IP der Webserver VM.


Jetzt besteht von außen Zugriff auf die Website, nur aus dem lokalen Netz klappts irgendwie nicht.
(Also dass der Datenverkehr so nicht intern bleibt ist klar, aber das ist eine ganz normale Wan Anfrage, deswegen versteh ich es net)

WOW, das ging aber schnell.
Vielen Dank.

Kannst du einen Screenshot von dem NAT-Eintrag einstellen?
Und welche Firewall-Regeln braucht man noch so?

- - - Updated - - -

Nochmal Danke an layerbreak und xpate für Eure Hilfe.

Hier ein kurzes Feedback:
Ich hatte große Probleme Sophos 9.2 unter Proxmox 3.2 zu installieren. Erst als ich alle VIRTIO Komponenten raus genommen habe (nur SATA als Festplatte und Intel e1000 NIC) UND nur mit der 32 Bit Version ließ sich die neue Version installieren.
Das einspielen des Backups lief ohne Probleme und jetzt läuft die 9.2er Version.
Vielleicht lag es ja nur an meiner Konstellation ??

Just sharing...

Gruß

Immer gern.

 

[Tr4c3rt]

Screen siehe Anhang.
Firewall-Rule habe ich auf automatisch.

 

[teqqy]

[...]

Ich nehme mal an es geht um ausgehende Kommunikation von Clients hinter der UTM?

Ja das geht, sogar hervorragend einfach. (Weil die VPN Clients automatisch eine Network Definition bekommen)
Einfach eine Nat Regel setzen und fertig...

Client -> VPN -> UTM -> Internet -> RDP

So wäre der Verbindungsweg. Dafür einfach ein NAT von Netzwerk VPN bei Port 3389 auf Internet? Ums laienhaft auszudrücken.

 

[Tr4c3rt]

Ich versteht das Internet zwischen UTM und RDP nicht ganz.
Du willst dich mit deinem Client per SSL (ich nehme mal Openvpn auf einem Windoof-Rechner) auf der UTM einwählen und per RDP auf einen Client im UTM Netzwerk zugreifen?
Das wäre genau der andere Weg

Falls dem so ist, musst du das UTM Netz im Client routen (bei openvpn kann man das über die Client.conf) und in der Firewall Anfragen der VPN Client IP auf Port 3389 zum zu steuernden Rechner durchlassen.
Es wäre hilfreich, wenn der Client nicht im gleichen Subnetz liegt wie die UTM. (Daher wenn die die UTM im 192.168.1.0/24 liegt sollte der Client im 192.168.nicht1.0/24 Netz liegen)
Dann wirds nämlich schwieriger...

 

[xpate]

Der Client aus der Ferne ist gemeint?

 

[Tr4c3rt]

Jetzt versteh ich garnix mehr. Seit ich Port 80 auf die Webserver VM durchgereicht habe, komme ich mit den lokalen Clients auch nicht mehr auf den Teamspeak-Server...
Irgendwas stimmt doch da nicht..

Hast du in deinen internen Netz auch einen DNS Eintrag für den Webserver angelegt, der auf die interne Adresse zeigt?

Das versuche ich gerade, wie geht das denn?

Dabei zu beachten ist, dass der DNS nicht generell alle Anfragen auf einen Rechner umlenken soll. Ich müsste schon noch Einfluss auf die entsprechenden Ports nehmen können.
(Teamspeak läuft nicht auf dem Webserver, soll aber auch über die Domain erreichbar sein)

 

[katzenhai]

Per DNS hast du keinen Einfluß auf die Ports. Name = Adresse. Wobei durchaus mehrere Namen auf einen Host weisen dürfen wie auch umgekehrt.
Folglich braucht dein Webserver einen anderen Namen als der Teamspeekserver.
Einfach die Namen bei Strato den Teamspeekserver mit einem neuen Namen anlegen. In der DNS Verwaltung für diesen Namen gehst du auf CNAME verwalten und trägst dort den Webserver ein.

Statische Einträge im DNS der UTM lassen sich einfach anlegen. Unter Definitionen ein Hostobjekt anlegen und dann unter Netzwerkdienste DNS auf den Reiter Statische DNS Einträge gehen.

 

[Tr4c3rt]

Folglich braucht dein Webserver einen anderen Namen als der Teamspeekserver.

Das ist ja eine blöde Lösung, ich würde gerne von den lokalen Endgeräten sowohl Teamspeak, als auch Mailing, als auch den Webserver über die .de Domain erreichen.
Kann ich den Fall nicht lösen indem ich einen statischen DNS Eintrag für die .de Domain auf die interne Sophos IP lege und dann per Nat weiterleite?
Das müsste doch funktionieren?

 

[treeshort]

Hi all, NEED HELP!

Habe esxi mal neu gestartet wegen anderer Einrichtung von Vms.

jetzt will sophos von mir aber eine andere Ip von der Web GUI. Und zwar diese 192.168.178.80

Dies ist aber die ip welche eigentlich zum Router geht.
Wie kann ich die Ip in der Shell ändern sodass ich für diel webgui wieder 192.178.2.200 habe ?
Ich sitze hier schon wieder 3 h wegen diesem scheiß. Ich weis auch nicht worum sophos die ip einfach geändert hat????

Kann der scheiß nicht einfach am funktionieren ?

Sorry bin genervt .....