[Sammelthread] Sophos UTM-Sammelthread

Habe esxi mal neu gestartet wegen anderer Einrichtung von Vms.

jetzt will sophos von mir aber eine andere Ip von der Web GUI. Und zwar diese 192.168.178.80

Dies ist aber die ip welche eigentlich zum Router geht.

Nee, die geht nicht zum Router, die kommt vom Router.

Wie kann ich die Ip in der Shell ändern sodass ich für diel webgui wieder 192.178.2.200 habe ?
Ich sitze hier schon wieder 3 h wegen diesem scheiß. Ich weis auch nicht worum sophos die ip einfach geändert hat????

Kann es sein, dass du am deinem Server die Netzwerkkabel anderst eingesteckt hast.
Oder an ESXi selbst unter Konfiguration/Netzwerk Änderungen vorgenommen hast oder an der UTM VM die Einstellungen geändert hast.

Kann der scheiß nicht einfach am funktionieren ?

Sorry bin genervt .....

Hört man. Das vergeht wieder. :angel:

Ich hatte dir bezüglich WebProtection noch nicht geantwortet.
Wenn ich mich richtig erinnere, richtest du die UTM im Hause deiner Eltern ein und du ziehst eh demnächst aus.

Mit WebProtection kannst du den ausgehenden Verkehr reglen. Ich denke, das ist nicht was deine Eltern wollen, dass sie nur eingeschränkt auf irgend welche Webseiten (nicht) zugreifen können.
Sicherlich wollen deine Eltern nicht, dir abends anrufen und dich bitten die ...tube oder otto.de Seite frei zu schalten.

Der einzige Sinn den ich darin sehe, in deinem Falle, wäre die Spywareinfizierung und -.verkehr zu blocken und alle Downloads durch den UTM eigenen Virenscanner zu jagen.
Wenn du das willst helfe ich dir gerne weiter.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nee, die geht nicht zum Router, die kommt vom Router.



Kann es sein, dass du am deinem Server die Netzwerkkabel anderst eingesteckt hast.
Oder an ESXi selbst unter Konfiguration/Netzwerk Änderungen vorgenommen hast oder an der UTM VM die Einstellungen geändert hast.



Hört man. Das vergeht wieder. :angel:

Ich hatte dir bezüglich WebProtection noch nicht geantwortet.
Wenn ich mich richtig erinnere, richtest du die UTM im Hause deiner Eltern ein und du ziehst eh demnächst aus.

Mit WebProtection kannst du den ausgehenden Verkehr reglen. Ich denke, das ist nicht was deine Eltern wollen, dass sie nur eingeschränkt auf irgend welche Webseiten (nicht) zugreifen können.
Sicherlich wollen deine Eltern nicht, dir abends anrufen und dich bitten die ...tube oder otto.de Seite frei zu schalten.

Der einzige Sinn den ich darin sehe, in deinem Falle, wäre die Spywareinfizierung und -.verkehr zu blocken und alle Downloads durch den UTM eigenen Virenscanner zu jagen.
Wenn du das willst helfe ich dir gerne weiter.

Nee hatte eben nichts an den netzwerkeinstellungen geändert.
Der Witz ist das sophos nur die ip der wbgui geändert hat alle anderen Einstellungen bleiben gleich. webgui ip ist 192.168.178.80 aber der eingerichtete dhcp server vergibt ip von 192.168.2.xxx . Esxi hat auch ne ip im Bereich des dhcp Servers. Muss also immer die ip 4 Eigenschaften meines lan Adapters von Hand ändern um auf sophos zugreifen zu können. Habe dann aber keinen Zugriff mehr auf esxi via vsphere was ziemlich nervt.

Ich Dussel hab leider keinen snapshot vor dem runterfahren gemacht.

Leider wurde meine Frage noch nicht beantwortet : Kann ich die Webgui ip ändern und wenn dann wie ?


Und ja deine Vermutung ist richtig ich möchte nur den spyware und antivieren Schutz von sophos nutzen. Seiten werden nicht gesperrt.
 
Zuletzt bearbeitet:
Dir scheint immer noch nicht klar zu sein, dass die FritzBox keine weitere Funktion, in deinem ganzen Netz, mehr hat als ein popliges "Modem" zu KabelDeutschland.
Die UTM ist jetzt für alles zuständig, auch wenn du ein VPN aufbauen willst.

Nicht ganz! Die Fritzbox gilt weiter als Router. Mit Exposed Host wird nur die Firewall der Fritte von außen nach innen ausgeschaltet. Diverse Ports von außen nach innen bleiben aber weiter der Fritte reserviert, wie VoIP. Es steht auch auf der AVM Seite welche Ports reserviert sind. Modemfunktion gibt es seit der Version 5.50 nicht mehr bei der Fritzboxen.
 
Eine WebGui IP ändern kannst du nicht, die ist ja an deiner Interface Schnittstelle gebunden ist. Du kannst auf die GUI von allen definierten Schnittstellen zugreifen. Da du ja esx hast, kannst du auch ein weiteres Interface der Sophos zuweisen und so auf die GUI zugreifen, als Not- bzw. Backuplösung
 
Statische Einträge im DNS der UTM lassen sich einfach anlegen. Unter Definitionen ein Hostobjekt anlegen und dann unter Netzwerkdienste DNS auf den Reiter Statische DNS Einträge gehen.

Das habe ich gerade probiert -> DNS static entries are managed within Network Host definitions.

ädit:

Okay den statischen Host habe ich nun angelegt.
Aber die Weiterleitung per Dnat klappt nicht.

Wenn ich von den Clients aus meine Domain anpinge wird korrekt nach meinen Wünschen auifgelöst.
Also lege ich die Domain auf die Sophos IP (192.168.10.1) und setz dann eine DNAT nach folgendem Schema:

Traffic from: Internal Network
Service: HTTP
Going to: Internal Address

Change Destination to: Ziel VM IP

Wo liegt der Fehler?

ädit: Also die cname Verwaltung funktioniert wohl dank strao bei dyndns net :-(
 
Zuletzt bearbeitet:
Traffic from: Internal Network
Service: HTTP
Going to: Internal Address
Change Destination to: Ziel VM IP
Wo liegt der Fehler?
Das der UTM kein NAT innerhalb des selben Netzes macht. Erstelle eine DMZ mit einen Getrennten IP-Bereich für die Server dann geht es.
ädit: Also die cname Verwaltung funktioniert wohl dank strao bei dyndns net :-(
Läuft hier problemlos:
Subdomain1 per Strato DYNDNS
Subdomain2 und Subdomain3 haben als CNAME die Subdomain1 drinstehen. Das ganze funktioniert allerdings erst ab Powerweb Basic. Das reine Domainpaket kann das nicht.
 
Ich benötige noch ein Feedback betreffend folgender Hardware.
Nutzungsbereich: 3 Benutzer, AV on, 250mbit down /25mbit up


Sophos UTM Fanless Setup

CPU:
Intel Core i3 3220T BOX (LGA 1155, 2.80GHz)
CHF 125.00

Mainboard:
Intel DQ77KB
Thin-Mini ITX, Intel Q77 Express, Sockel 1155, 2x SO DDR3 1600Mhz, 1x PCI-E x4, 2xG-LAN
CHF 169.00

RAM:
Corsair ValueSelect 8GB SO-DIMM, DDR3-1600
CHF 74.40

SSD:
Kingston SSDNow KC300 60GB (60GB, 2.5")
CHF 72.10

Gehäuse inkl. Netzteil:
Akasa Euler, Slim-Mini-ITX, inkl. ext. 120 Watt Netzteil
CHF 141.00

Mir geht es darum dass das System leise und stromsparend ist.
 
Ich versteht das Internet zwischen UTM und RDP nicht ganz.
Du willst dich mit deinem Client per SSL (ich nehme mal Openvpn auf einem Windoof-Rechner) auf der UTM einwählen und per RDP auf einen Client im UTM Netzwerk zugreifen?
Das wäre genau der andere Weg :d

Falls dem so ist, musst du das UTM Netz im Client routen (bei openvpn kann man das über die Client.conf) und in der Firewall Anfragen der VPN Client IP auf Port 3389 zum zu steuernden Rechner durchlassen.
Es wäre hilfreich, wenn der Client nicht im gleichen Subnetz liegt wie die UTM. (Daher wenn die die UTM im 192.168.1.0/24 liegt sollte der Client im 192.168.nicht1.0/24 Netz liegen)
Dann wirds nämlich schwieriger...

Nein, nicht so wirklich.

RDP ist bei Kunden nur für unsere externe IP frei gegeben. Wenn ich jetzt von daheim aus via RDP zum Kunden verbinden möchte, geht das nicht, weil fast aller Traffic über die eigene Leitung geht. Es soll dann RDP über die VPN Leitung geroutet werden, sodass für den Kundenserver die IP des Firmennetzes sichtbar und nicht meine "private".
 
Läuft hier problemlos:
Subdomain1 per Strato DYNDNS
Subdomain2 und Subdomain3 haben als CNAME die Subdomain1 drinstehen. Das ganze funktioniert allerdings erst ab Powerweb Basic. Das reine Domainpaket kann das nicht.


Ah okay, dann liegts wohl daran.

Das der UTM kein NAT innerhalb des selben Netzes macht. Erstelle eine DMZ mit einen Getrennten IP-Bereich für die Server dann geht es.

Habe ich jetzt so gemacht und läuft 1a! Danke für den Tip!

Ich benötige noch ein Feedback betreffend folgender Hardware.

Für 3 Benutzer reicht auch ein N54l, wenn sonst nix laufen soll.
Btw. wo gibts 250mbit Leitungen?

- - - Updated - - -

RDP ist bei Kunden nur für unsere externe IP frei gegeben. Wenn ich jetzt von daheim aus via RDP zum Kunden verbinden möchte, geht das nicht, weil fast aller Traffic über die eigene Leitung geht. Es soll dann RDP über die VPN Leitung geroutet werden, sodass für den Kundenserver die IP des Firmennetzes sichtbar und nicht meine "private".
Ich gehe immer noch davon aus, dass openvpn auf einer windows Kiste rennen hast...

Dein Problem ist ganz klar das Routing.

Bei einem vollwertigen Openvpn Server geht das via push "redirect-gateway"
Diese Option scheint es in Sophos nicht zu geben, daher musst du die Route manuell schreiben oder die client.ovpn abändern.

Lösung 1: Statische Route am Client hinzufügen
(Ziel IP des Kunden über gateway Sophos VPN Pool IP)

Vorteil: Der Client tunnelt nicht den gesamten Traffic, sondern nur die Pakete zum Zielhost für den VPN gebraucht wird!

Lösung 2: Am Ende der client.ovpn redirect-gateway hinzufügen. Ab jetzt muss openvpn als Admin ausgeführt werden, weil sonst keine Rechte bestehen das Routing zu ändern!
Außerdem wird jetzt der GESAMTE Traffic getunnelt!
Das Gateway über die Client Konfig zu ändern ist unüblich, normalerweise wird redirect-gateway vom server gepusht. Es soll auch funktionieren, getestet habe ich es aber noch nicht.
Insbesondere im Zusammenspiel kann ich für nix garantieren...

Die Firewallregeln und statischen Routen sind in der Sophos Konfig entsprechend anzupassen, damit die Anfragen auch nach extern weitergeleitet werden dürfen!
 
Zuletzt bearbeitet:
@ Interch,
wozu SSD? Willst du die nach paar Mon. austauschen?
Für 3 User ist die Hardware ganz klar überdimensioniert
 
Ich benötige noch ein Feedback betreffend folgender Hardware.
Nutzungsbereich: 3 Benutzer, AV on, 250mbit down /25mbit up

Diesen Upload hätte ich auch gerne. :d

Sophos UTM Fanless Setup

CPU:
Intel Core i3 3220T BOX (LGA 1155, 2.80GHz)
CHF 125.00

Nimm die kleinste CPU die es für das Board gibt.

Mainboard:
Intel DQ77KB
Thin-Mini ITX, Intel Q77 Express, Sockel 1155, 2x SO DDR3 1600Mhz, 1x PCI-E x4, 2xG-LAN
CHF 169.00

RAM:
Corsair ValueSelect 8GB SO-DIMM, DDR3-1600
CHF 74.40

4 GB sind genug

SSD:
Kingston SSDNow KC300 60GB (60GB, 2.5")
CHF 72.10
@ Interch,
wozu SSD? Willst du die nach paar Mon. austauschen?
Für 3 User ist die Hardware ganz klar überdimensioniert

Nimm lieber eine kleine 2.5 Zoll HDD keine SSD. UTM schreibt ständig irgendwelche logs und da macht dir die SSD bald die Krätsche.

Schau hier schreibt Sophos, was recommend ist für eine virtuelle Maschine.

@Tr4c3rt hat dir eine HP Kiste vorgeschlagen, die kostet z.Zt. gerade mal rund 180 Euro plus 2.5 HDD und fertig ist die Kiste.
 
@Tr4c3rt hat dir eine HP Kiste vorgeschlagen, die kostet z.Zt. gerade mal rund 180 Euro plus 2.5 HDD und fertig ist die Kiste.
leider kostet diese Kiste in der Schweiz umgerechnet 260 euro, plus noch eine zweite netwerkkarte.

als Speicher nehme ich dann wohl diese: WD Blue Mobile (320GB, 2.5", Notebook) (41 euro)

ich will die UTM übrigens nicht als virtual appliance laufen lassen, sondern nativ auf der hardware.
oder findet ihr das es Sinn macht diese als VM laufen zu lassen? Durch den esxi-overhead lohnt sich dann evtl. die etwas dickere cpu und 8gb ram, oder? :rolleyes:
 
Wenn die HW ja schon genügend Reserve hat, wäre das ja kein abwegiger Gedanke, oder?
 
Also ich würde die 250 mbit und Echtzeit AV nicht unterschätzen.
Der N54l wurde von mir mit exsi und einer 50 mbit Leitung verwendet.
Neben der Virtual Appliance lief eigentlich nur eine Debian VM mit Samba.
Bei voller Auslastung und 5 Clients ist der Download teilweise schon eingebrochen.

leider kostet diese Kiste in der Schweiz umgerechnet 260 euro, plus noch eine zweite netwerkkarte.

Dann bestell bei Mindfactory, dort kostet die Kiste unter 200 Euro inkl. Versand in die Schweiz.

Ansonsten hier: http://www.pcp.ch/product-1a17004190.htm?parnr=12832879

Versandkostenfrei für 220 Euro..
 
Zuletzt bearbeitet:
Ich gehe lieber auf Nummer sicher.
Der N54L wird in den Tests als Lärmmaschine bezeichnet. Ich möchte aber keinen zusätzliche Lärm haben.
 
Ist er nicht, keine Ahnung wo die Tests herkommen.
Das Teil stand bei mir im Wohnzimmer und war defacto nicht zu hören...

Das surren der Festplatten war lauter als die Lüfter.
 
Hmm komisch, ich weiß nicht wie sich das verhält wenn man da Hardware verbaut, die nicht von HP ist.
Beim HP G8 wird der Lüfter zum Beispiel lauter, wenn man eine Raidkarte eines Fremdherstellers verbaut.
Aber ich hatte eine Intel Lan Karte im N54l und das war in Ordnung.

Wenn das Geräte nicht in 30cm Entfernung auf Kopfhöhe steht ist es in Ordnung ;-)

Aber da müsste man jedes Standard-Gehäuse auch dämmen...

Ansonsten kauf deine Selbstbaulösung, aber stabiler läuft mit Sicherheit der N54l, sofern du nicht richtig Geld für ein C2xx Board und ECC Ram in die Hand nimmst.
 
Zuletzt bearbeitet:
@Intertech

bei Digitec sind viele Pfeifen unterwegs.
also der N54L macht nicht wirklich Lärm.
Ausser man klemmt nen P222 Raidkontroller rein.

bekommt man aber mit kleinen Modifikationen wieder leise und Sicher gekühlt.
 
leider kostet diese Kiste in der Schweiz umgerechnet 260 euro, plus noch eine zweite netwerkkarte.

als Speicher nehme ich dann wohl diese: WD Blue Mobile (320GB, 2.5", Notebook) (41 euro)

ich will die UTM übrigens nicht als virtual appliance laufen lassen, sondern nativ auf der hardware.
oder findet ihr das es Sinn macht diese als VM laufen zu lassen? Durch den esxi-overhead lohnt sich dann evtl. die etwas dickere cpu und 8gb ram, oder? :rolleyes:

Du hast ja schon preisliche Möglichkeiten genannt bekommen.

So war das von mir auch nicht gemeint, das war auf die Schnelle eine Möglichkeit dir zu zeigen, welche Hardwareanforderungen die UTM hat.
Wenn ich es richtig gelesen habe, gibt es sogar von HP eine ESXi Variante für den kleinen Server.
Wenn du keine weiteren VMs brauchst, macht das definitiv gar keinen Sinn.
 
Mit WebProtection kannst du den ausgehenden Verkehr reglen. Ich denke, das ist nicht was deine Eltern wollen, dass sie nur eingeschränkt auf irgend welche Webseiten (nicht) zugreifen können.
Sicherlich wollen deine Eltern nicht, dir abends anrufen und dich bitten die ...tube oder otto.de Seite frei zu schalten.

Der einzige Sinn den ich darin sehe, in deinem Falle, wäre die Spywareinfizierung und -.verkehr zu blocken und alle Downloads durch den UTM eigenen Virenscanner zu jagen.
Wenn du das willst helfe ich dir gerne weiter.

Und ja deine Vermutung ist richtig ich möchte nur den spyware und antivieren Schutz von sophos nutzen. Seiten werden nicht gesperrt.

Na, dann versuch ich es einmal.

Aktiviere Webfilter und trag in 'zugelassene Netzwerke' das gesamte Netzwerk ein. [grünes Icon, ...(Network)]
HTTPS würde ich jetzt auf 'Do not scan' setzen. Der Hintergrund ist, dass dieser Scan im Grunde wie ein "Man in the Middle" Angriff ist, viele Webserver reagieren nicht darauf, aber z.B. die Apple-Server schon, die weisen den Verkehr dann ab.
Was 'URL filtering only' bedeutet weis ich noch nicht, ist neu in v9.2.
Die Hilfe sagt: Nur URL-Filterung: Prüfungen werden basierend auf der URL durchgeführt, der tatsächliche HTTPS-Datenverkehr wird jedoch nicht gescannt.
Wenn mit Prüfungen damit die Filteraktionen im WebProtektion gemeint sind, würde ich diesen Punkt aktivieren, aber wie gesagt ich weis die genaue Bedeutung nicht.
Betriebsmodus auf Transparenzmodus, dann musst du bei den einzelnen Hosts bzw. Browsers nichts einstellen.
Dann übernehmen.

So und jetzt ist noch mehr in 9.2 neu, deshalb ein bisschen im Trüben fischen und ich hab einzelne Profile angelegt.
'Default content filter profile assignment' ist vermutlich vorangelegt - für deine Bedürfnisse nichts ändern.
'Default content filter action' würde ich jetzt "Inhalt zulassen" aktivieren und in den Category dies auf 'Block' stellen, welches mit deinen Eltern besprochen hast. Der unterste Punkt 'Webanzeigen/ads' kannste auf Block stellen.
'Spyware-Infizierung ...' aktivieren, wenn er nicht schon aktiv ist.
Der Tab "Antivirus" ist selbsterklärend. Anm: Wenn ein Download durchgeführt wird, wird eine UTM-Webseite angezeigt, nach dem Scan ist die Datei per Rechtsklick lokal zu speichern.
Bei WebProtection/Filteroptionen/Exceptions musst du z.B. die Adressen der lokalen PC-Virenscanner eintragen
Falls der Webfilter bei deinen Eltern zuschlägt und sie wollen partout diese Seite öffnen, dann richte unter WebProtection/Filteroptionen/Bypass Users einen User ein.
Bei WebProtection/Filteroptionen/Sonstiges deaktiviere nicht "Streaming-Inhalte nicht scannen", sonst läuft dir u.U. der Cachespeicher voll, dann ruckelt es bzw. bleibt stehen. Cache leeren - einen Punkt darüber zu finden.

In Firewall musst du den Port 80 jetzt deaktivieren oder kannst ihn auch löschen.
Wenn du https in WebProtection nicht aktiviert hast musst du in der Firewall den Port 442 aktiv lassen, sonst gehen die https-Seiten nicht.

Wenn sich jetzt was nicht aufrufen lässt, schau im WebProtection/Webfilter/Live-Protokoll nach, da kannst du genau sehen wann und warum welche Seite auf welchem Host geblockt wurde.
So sieht das dann aus:
2014:04:01-20:07:44 utm httpproxy[6011]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.2.79" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3300" request="0x17296440" url="http://w1.macropinch.com/swan/swan.php" exceptions="" error="" authtime="0" dnstime="0" cattime="39223" avscantime="0" fullreqtime="39885" device="0" auth="0" country="United States" category="9998" reputation="neutral" categoryname="Uncategorized" application="http"

Hoffe es hilft dir weiter, bei Fragen einfach melden.

.
.
.
.
.
------------------------------------------------------

Hat hier jemand einer 100er Home-Lizenz?
Ja, Warum? (eigentlich sogar ne 125er)

@daheym; und @TheSpawn;

Ich hab meine Home-Lizenz erst Anfang März 2014 wieder verlängert bzw. ich musste die Alte erst löschen um dann eine Neue anlegen zu können.
Hab aber nur wieder eine 50er erhalten.

Wie bekommt man eine 100 bzw 125er Lizenz? Vorgehensweise?
 
Zuletzt bearbeitet:
@daheym; und @TheSpawn;
Ich hab meine Home-Lizenz erst Anfang März 2014 wieder verlängert bzw. ich musste die Alte erst löschen um dann eine Neue anlegen zu können.
Hab aber nur wieder eine 50er erhalten.
Wie bekommt man eine 100 bzw 125er Lizenz? Vorgehensweise?

Die kannst Du weder für Geld noch gute Worte bekommen.
Die 100 IP Home Lizenz gab es mal als Dankeschön nach der Betaphase V6-> V7.
Wenn man aktiv mitgemacht und auch Bugs entdeckt / gemeldet hat hat man hinterher (ohne Ankündigung vorher) ein Upgrade auf 100 IP´s bekommen.
Die extra 25 IPs waren ein dankeschön des Support weil ich seinerzeit mal bei einem generellen Lizenzproblem dem Support mehrere Wochen lang immer wieder Zugriff auf meine private ASG gewährt habe.
Das war aber alles noch zu Astaro Zeiten, ist also schon ne ganze Weile her...

Es grüßt
TheSpawn
 
Hallo @All,

mal eine Frage:
Wird in der 9.2er Version KVM nicht mehr unterstützt. Sprich: Sind keine VIRTIO Treiber mehr enthalten?
Habe die 9.2er auf Proxmox am laufen - funktioniert soweit auch sehr gut allerdings nur mit den Standardtreibern (e1000, sata).
Die 9.1er hatte diese...

Gruß
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh