[Sammelthread] Sophos UTM-Sammelthread

Hi, ich hätte mal eine klein bisschen hilfe nötig und zwar, habe ich Sophos UTM 9.2 auf einer VM installiert. Das hat auch alles geklappt nur wenn ich versuche auf die webkonfig zu kommen bekomme ich immer ein "Bad Request error 403". Ich hab es schon mit Firefox und IE versucht und geguckt ob SSL und TLS auch aktiv ist. Bei IE sind die es und bei Firefox finde ich die funktion nicht mehr (FF vers. 28), war früher immer unter verschlüsselung.

Die frage ist weiß jemand woran das liegt das ich nicht auf die webkonfig zugreifen kann

MfG
Dogma
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Welches der beiden nachfolgenden Boards samt CPU würdet ihr eher für den Einsatz mit Sophos UTM empfehlen?

GA-J1900N-D3V Mainboard mit Intel Celeron J1900 und UEFI sowie Realtek RTL8111F Gb LAN

oder

Gigabyte GA-C1037UN-EU Mainboard mit Intel Celeron 1037U und sowie Realtek Gb LAN (Chip nicht bekannt)
 
Zuletzt bearbeitet:
Wie hast du die Ip eingegeben ?

Eventuell hast du https davor vergessen und oder vielleicht auch den Port :4444 ?!

Nur so ein Gedanke weil 403 meine ich für https steht.

Was auch noch seien könnte das du deine kp Adresse im LAN Adapter von Hand ändern müsst weil sophos in einem anderen kp Bereich liegt. Beispiel dein pc hat 192.168.178.10
Und sophos hat 192.168.1.1

Dann müsstest du deine ip auf 192.168.1.10 ändern. Allerdings nur wenn ihr keinen gemeinsamen DHCP server habt.
 
Bei der Installation hab ich die Adresse 192.168.0.100 vergeben und am DHCP Server diese auch fest der NIC zugewiesen. Den Port 4444 hab ich immer dahinter gemacht allerdings hab ich immer http://192.168.0.100:4444 oder die IP:4444 ohne http geschrieben, auf https bin ich noch gar nicht gekommen. Das werd ich nachher mal versuchen :)
 
Hi,

ich habe ein Problem mit meiner Astaro und dem Besuch eines Forums... ich habe echt überhaupt keine Ahnung woran das liegen kann - vllt kann hier jemand das PRoblem nachstellen und / oder hat eine Idee dazu?
Also - ich setze ASG V8.311 ein im Transparent Mode ohne Authent.
Wenn ich nun z.B. einen Link in besagtem Forum versuche zu öffnen (z.B.: Blitz-Synchronkabel verwenden Nikon 1 V2 mit Metz BL400 - DSLR-Forum) dann klappt es nicht - Seite kann nicht geladen werden.
Wenn ich aber ein & an die URL anhänge, dann klappt es (also Blitz-Synchronkabel verwenden Nikon 1 V2 mit Metz BL400 - DSLR-Forum).

Deaktivierter WebFilter ändert nichts. Anderer Browser ändert nichts. Anderes Gerät (PC/Tablet etc.) ändert ebenfalls nichts, das wird schon die Astaro sein.

In den Live-Logs finde ich überhaupt nichts zu der Problematik, kein block/ oder irgendwas was mich weiterbringen würde.

Hier mal ein Auszug aus dem Live-Filter bei einem Aufruf der Seite, die aber nicht geladen werden kann:
Code: 
2014:04:05-09:43:13 astaro httpproxy[30772]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.3" dstip="128.65.210.45" user="" statuscode="000" cached="0" profile="REF_HttProStandardWo (Std)" filteraction="REF_HttCffStandard (Standard)" size="0" request="0x10442458" url="http://www.dslr-forum.de/showthread.php?t=1414231" exceptions="av,auth,content,url,mime,cache,fileextension" error=""

Hat irgendwer eine Idee / einen Ansatz wo ich da mal weiter gucken könnte?


Danke & Gruß
 
Wie bekomme ich folgendes hin?

Ich möchte bei zwei VMs eine Sophos VM dazwischenschalten, sodass ich den Traffic filtern kann. Die zwei VMs haben auch öffentliche IPs. Können diese die IPs behalten oder sollte ich private IPs vergeben und die Sophos VM erhält alle öffentlichen IPs und leitet den Traffic an die privaten IPs weiter?

Gibt es eine "transparente" Möglichkeit mit der Sophos VM es so hinzubekommen, dass die zwei VMs die öffentlichen IPs behalten können?
 
Zuletzt bearbeitet:
Die Frage ist natürlich, warum du die VMs überhaupt im Internet stehen hast?
Das ist ja der Sinn einer UTM:

Firewall hat die öffentliche IP also die Schnittstelle in das Internet und die internen Dienste werden darüber veröffentlicht.
 
Ich habe mal wieder ein Problem mit der Installation...wollte mittels USB Stick noch eine UTM aufsetzen.
Mit dem mounten und kopieren der Daten kommt der install.tar Fehler nun nicht mehr (damaliges Problem)...dafür bricht er nun ab, sobald er die .rpm Pakete kopiert.

Hat das jemand schonmal gehabt? Habe es mit der 9.1 und 9.2 ISO probiert. Zwei USB Sticks getestet.


Lösung gefunden:
https://blackdot.be/2014/01/sophos-utm-9-x-usb-install/
 
Zuletzt bearbeitet:
Hallo,

bevor ich mir HW anschaffe, dachte ich mir ich teste die Sophos mal um zu schauen ob mit ihr auch das eine oder andere
Vorhaben umsetzen lässt.

Mein Aufbau:
PC mit 2x Gbit/Laptop 1x Gbit.
Sophos in eine VirtualBox auf dem Rechner geworfen und die beiden NIC´s in der VM als Brücke eingestellt.
Eine NIC geht an die KabelFritte und die andere an einen Switch an dem dann der Laptop soll.

Nach der installation bin ich über den Switch und statisch vergebenen IP´s nicht an das Webinterface gekommen.
Nach ein wenig rumspielen bin ich dann über die Konstelation Laptop an der Fritte mit IP´s aus dem internen LAN der Sophos auf das Interface gekommen.
Dort wurde mir nach dem Einrichten der Port für extern als down angezeigt nach 2min dann als aktiv.
Nach draußen bin ich jedoch nicht gekommen.

Kann mir jemand da weiterhelfen?
Ist meine Idee dies so zu testen überhaupt möglich?
Bisher hatte ich die Sophos als VM auf dem Laptop und bin dann über einen Host-only Adapter ins interne LAN gekommen.
Da ich jetzt aber noch mit einem weitern Rechner div. Dinge testen möchte wollte ich dies eben in einer externe und interens LAN hardware-mäßig aufteilen.

Danke.
 
bacon schrieb:
Hallo,

bevor ich mir HW anschaffe, dachte ich mir ich teste die Sophos mal um zu schauen ob mit ihr auch das eine oder andere
Vorhaben umsetzen lässt.

Mein Aufbau:
PC mit 2x Gbit/Laptop 1x Gbit.
Sophos in eine VirtualBox auf dem Rechner geworfen und die beiden NIC´s in der VM als Brücke eingestellt.
Eine NIC geht an die KabelFritte und die andere an einen Switch an dem dann der Laptop soll.

Nach der installation bin ich über den Switch und statisch vergebenen IP´s nicht an das Webinterface gekommen.
Nach ein wenig rumspielen bin ich dann über die Konstelation Laptop an der Fritte mit IP´s aus dem internen LAN der Sophos auf das Interface gekommen.
Dort wurde mir nach dem Einrichten der Port für extern als down angezeigt nach 2min dann als aktiv.
Nach draußen bin ich jedoch nicht gekommen.

Kann mir jemand da weiterhelfen?
Ist meine Idee dies so zu testen überhaupt möglich?
Bisher hatte ich die Sophos als VM auf dem Laptop und bin dann über einen Host-only Adapter ins interne LAN gekommen.
Da ich jetzt aber noch mit einem weitern Rechner div. Dinge testen möchte wollte ich dies eben in einer externe und interens LAN hardware-mäßig aufteilen.

Danke.
Zum Vergrößern anklicken....


Hast du testweise mal eine Any -> Any -> Any Regel erstellt?
Wenn das klappt änderst du die einfach mal auf Internal --> Any --> Any
 
Danke für den Tipp werde ich mal testen. Habe mir im Moment mal so beholfen, dass ich die NIC fürs interen Netz auf einen Host-only Adapter gelegt und den DHCP aktiviert habe.
Somit konnte ich mit einer VM auch auf denm Host-only dann das testen was ich wollte.

Und genau dazu habe ich eine Frage.
Ich möcht folgendes umsetzen und habe dazu im Geschäft aus der IT ein wenig was aufgeschnappt.
Ich benutze eine Domain zuhause.de als DDNS. Ich kann ich nun per Subdomain z.b. ts.zuhause.de auf meinen TS-Server verbinden
und mit z.b. web.zuhause.de auf den Webserver. Manche Dienste laufen auch auf anderen Ports, dass müsste halt auch irgendwie hingebogen werden.

Meine erste Idee wäre hier mit NAT zu arbeiten. Allerdings waren meine ersten Erfolge nicht ganz so wie ich das gedacht hatte.
Ich bin sowohl mit ts.zuhause.de und zuhause.de auf den TS gekommen.
Kann ich das mit der Sophos machen oder brauche ich hinter der Sophos noch einen aufwendigern Router/Proxy o.ä.?
 
bacon schrieb:
Danke für den Tipp werde ich mal testen. Habe mir im Moment mal so beholfen, dass ich die NIC fürs interen Netz auf einen Host-only Adapter gelegt und den DHCP aktiviert habe.
Somit konnte ich mit einer VM auch auf denm Host-only dann das testen was ich wollte.

Und genau dazu habe ich eine Frage.
Ich möcht folgendes umsetzen und habe dazu im Geschäft aus der IT ein wenig was aufgeschnappt.
Ich benutze eine Domain zuhause.de als DDNS. Ich kann ich nun per Subdomain z.b. ts.zuhause.de auf meinen TS-Server verbinden
und mit z.b. web.zuhause.de auf den Webserver. Manche Dienste laufen auch auf anderen Ports, dass müsste halt auch irgendwie hingebogen werden.

Meine erste Idee wäre hier mit NAT zu arbeiten. Allerdings waren meine ersten Erfolge nicht ganz so wie ich das gedacht hatte.
Ich bin sowohl mit ts.zuhause.de und zuhause.de auf den TS gekommen.
Kann ich das mit der Sophos machen oder brauche ich hinter der Sophos noch einen aufwendigern Router/Proxy o.ä.?
Zum Vergrößern anklicken....


Der Sophos Kasten ist eine UTM Lösung...die kann so gut wie alles. Du solltest dir hierfür mal di eKaterogie Webserver Protection ansehen. Hier kannst du über die Abschnitte "Virtueller Server" und "Echter Server" deine Weiterleitungen bauen.
 
Habe ich mal getestet. Allerdings kann ich da doch nur Webserver anlegen die dann auf Port 80/443 hören. Aber TS z.B. hat ja andere Ports.
Oder gibts da noch eine Option die ich nicht gefunden habe? Oder hatte ich mich vorhin nur flasch ausgedrückt?
 
bacon schrieb:
Habe ich mal getestet. Allerdings kann ich da doch nur Webserver anlegen die dann auf Port 80/443 hören. Aber TS z.B. hat ja andere Ports.
Oder gibts da noch eine Option die ich nicht gefunden habe? Oder hatte ich mich vorhin nur flasch ausgedrückt?
Zum Vergrößern anklicken....



Du kannst abweichende Ports nutzen. Genauso muss eine Regel unter Firewall her. Die kannst du definitiv eine Portweiterleitung konfig. Da ist std immer lauschen auf 1:65xxx und Ziel Port was du halt angibst.

Ich habe mit z.b einen Artikel angesehen wie man Exchange owa veröffentlicht und dass dann mit anderen Ports nachgebaut.
 
Seit der Verwendung von Sophos UTM funktioniert die Software Fritz!Fax nicht mehr. Das Programm scheint keine Verbindung zur Fritzbox aufbauen zu können, es erscheint lediglich die Fehlermeldung: COMMON-ISDN-API Version 2.0 ist nicht installiert. Wie gesagt bevor ich Sophos UTM verwendet habe, funktionierte es noch einwandfrei. Die Fritzbox ist aber ganz normal über den Browser (sowohl per IP, als auch per fritz.box) erreichbar.

Setup sieht so aus: fritz!box -> eth1 (extern) -> Sophos UTM -> eth0 (intern) -> switch/internes Netzwerk
 
Zuletzt bearbeitet:
N'Abend miteinander.
Bin am überlegen mir die kostenlose Version für zu Hause zuzulegen. Allerdings ist mir folgendes momentan unklar...
Habe ein Marke Unknown Modem von NetCologne, daran ist ein NetGear WNR3500v1 W-LAN Router. Ich brauche eigentlich nur das WLAN, LAN wird nicht gebraucht. Höchstens nen Port zum Konfigurieren.

Würde die UTM auf nen kleinen PC hauen und den PC zwischen Modem und WLAN Router. Klappt dann noch Verbindungsaufbau zum Internet? Momentan geschieht das über den Router, dort habe ich die entsprechenden Zugangsdaten eingegeben.
Und wäre es möglich in den Rechner der UTM noch ne WLAN Karte einzubauen und das ganze dann als "Firewall und WLAN Router in einem" zu verwenden? Oder macht das die UTM nicht mit? Weil zumindest in der Version für B2B gibt es ja die Sophos APs, die doch über die UTM gesteuert wird...
 
[SoD]r4z0r schrieb:
Würde die UTM auf nen kleinen PC hauen und den PC zwischen Modem und WLAN Router. Klappt dann noch Verbindungsaufbau zum Internet? Momentan geschieht das über den Router, dort habe ich die entsprechenden Zugangsdaten eingegeben.
Zum Vergrößern anklicken....
Logindaten in die Sophos eintragen, im Router (bzw. dann nur noch Access Point) einstellen, dass eine vorhandene Internetverbindung mitgenutzt wird.

[SoD]r4z0r schrieb:
Und wäre es möglich in den Rechner der UTM noch ne WLAN Karte einzubauen und das ganze dann als "Firewall und WLAN Router in einem" zu verwenden? Oder macht das die UTM nicht mit? Weil zumindest in der Version für B2B gibt es ja die Sophos APs, die doch über die UTM gesteuert wird...
Zum Vergrößern anklicken....
Naja, einen separaten Access Point, dessen Software speziell geschrieben wurde, um zentral über die UTM verwaltet zu werden und eine direkt in der Kiste eingebaute WLAN-Karte sind schon zwei grundverschiedene Dinge. Ob das funktioniert weiß ich nicht, erstmal müsste die WLAN-Karte vom Sophos-Betriebssystem erkannt werden und dann müsste das noch so eingestellt werden können dass das WLAN-Interface ein Netzwerk mit SSID, WPA2-Key etc. aufspannt.
 
So nun habe ich mal wieder Zeit gefunden.
Leider konnte ich den Infos von WebY nicht ganz folgen.

Ziel: Ich würde gerne über ts.domain.tld auf meinem TS-Server landen und über web.domain.tld auf meinem Webserver.
Das hatte ich unter der Webserver-Protection versucht. Wie WebY meinte kann ich hier die Ports umbelegen.
Allerdings ist hier doch in der Auswahl Typ "reiner Text HTTP" und "verschlüsselt HTTPS" auszuwählen.
Ich kann zwar den Port ändern aber wie passt das zusammen?
sophos1.JPG

Hat jemand zufällig so einen Anwendungsfall und kann mir hier ein bisschen unter die Arme greifen?
Danke
 
Teamspeak läuft über UDP, das kannst Du über die Web Application Firewall soweit ich weiß nicht absichern, nur die Verwaltungsoberfläche könntest du darüber sicher von außen erreichbar machen.

Zur Änderung der Ports: standardmäßig ist HTTP auf Port 80, HTTPS auf Port 443. Nur wenn Du willst, dass die UTM auf dieser Subdomain auf einem anderen Port lauscht, musst Du den Port ändern, dann muss derjenige, der sich darauf verbinden will, natürlich auch mit web.domain.tld:<Portnummer> verbinden anstatt nur mit web.domain.tld.

Der echte Webserver muss natürlich auch noch aktiviert werden, sonst wird das auch nicht funktionieren. ;)
 
Hat jemand Erfahrungen, der eine schnelle Internetanbindung hat >100 Mbit/s?

Ich habe 150 Mbit/s Kabel BW und einen Dell Poweredge R200 mit Core 2 Duo E6700 und 4GB RAM als UTM.
Ferner ist eine Intel Pro1000 Quad-Port PCIe NIC verbaut.
Leider bekomme ich hinter der Astaro nur ca 55 Mbit/s Durchsatz. Egal, ob die Web-Protection aktiviert ist, oder nicht.
Die CPU ist bei diesen 55 Mbit/s aber auch nicht voll ausgelastet...

Habe auch den Verdacht, dass die HDD mal gegen eine schnellere ersetzt werden sollte, ich lade von der UTM
nach einem Download durch den Webfilter mit nur 15-20 Mbit/s herunter.

Hat da jemand Erfahrunswerte?
 
Zuletzt bearbeitet:
Auch ich habe eine Frage:

ich habe eine UTM 9.2 auf Hardware im Einsatz.

Mein Webfilter Profil steht auf Transparent, und ich möchte gerne dass bestimmte Seite für einen User aus dem AD nicht abrufbar sind, bzw. sich explizit nur dieser User via Browser authentifizieren muss.
Wie kriege ich das hin? Ich habe es bisher leider nur geschaftf dass sich alle am Browser authentifizieren müssen zum surfen, aber nicht explizit bei nur einem User
 
@EvoluT1oN: Ist deine Sophos UTM Mitglied in der AD? Habe es so eingerichtet, wie Du es vor hast. Wenn Deine UTM in der AD ist, kannst Du über Webfilter-Profile für bestimmte User Zugriffsregeln einrichten. Beispielsweise auch Seiten verbieten... Kannst bei Fragen zu meiner Konfiguration ja ne PN schicken...

So, hat zu meiner Frage keiner eine Ahnung, bzw Erfahrung?
 
Hallo.

Gibt es bei der utm eine Möglichkeit regeln zur Nutzung von 2 Dsl Anschlüssen zu erstellen?

Gesendet von meinem GT-N7000 mit der Hardwareluxx App
 
Ja.

Ach, Du möchtest weitergehende Informationen haben? Dann wäre es hilfreich, wenn konkrete Ziele formuliert werden, was erreicht werden soll, damit wir auch konkrete Antworten geben können. :)
 
Szenario ist folgendes derzeit sind 2 Gebäude in einem Netz.
Jedes hat seinen eigenen Dsl Anschluss und in einem macht ein Router Dhcp und Dns.
Da die Nutzung im 2. Gebäude aber ausgeprägter ist wird dort teilweise mit festen Ips und dem anderen Gateway gearbeitet.

Ich frage deswegen mal pauschal in die Runde ob es da auch elegantere Lösungen gibt.
 
oc_parts schrieb:
Szenario ist folgendes derzeit sind 2 Gebäude in einem Netz.
Jedes hat seinen eigenen Dsl Anschluss und in einem macht ein Router Dhcp und Dns.
Da die Nutzung im 2. Gebäude aber ausgeprägter ist wird dort teilweise mit festen Ips und dem anderen Gateway gearbeitet.

Ich frage deswegen mal pauschal in die Runde ob es da auch elegantere Lösungen gibt.
Zum Vergrößern anklicken....
Ja, gibt es u.a. mit der UTM, Uplink-Ausgleich, Multipathregeln etc.

Was heißt "ausgeprägtere Nutzung"? Sind einfach mehr Endgeräte dort, oder sind weniger dort, die werden aber intensiver genutzt? Irgendwelche Dienste, die exklusiv über den einen oder anderen Anschluss geroutet werden sollen? Solche schwammigen Aussagen sind nicht hilfreich, denn dann können wir nicht konkret helfen.

Hypocrisy schrieb:
Der DL-Link zur ISO bei Astaro ist 404.
Zum Vergrößern anklicken....
Vollkommen normal, da es Astaro seit längerem nicht mehr gibt und das eben jetzt Sophos heißt. Es gibt aber im selben Post auch einen Link zur Übersichtsseite Sophos UTM Home, wo es dann ein "Get Started" gibt und wo man sich die aktuelle Version herunterladen kann.
 
Jop das hab ich wohl gefunden. Dachte eher, dass das vllt jemand fixen will. Egal - danke ;)
 
Hallo zusammen,
ich habe ein Problem mit meiner frisch aufgesetzten UTM. Ich habe hier folgendes Szenario:

Fritzbox (192.168.0.1) -> ESXi mit UTM (192.168.0.254) {Gateway für Clients} -> Linux Mailserver (192.168.0.202)

Früher hatte ich auf der Fritzbox eine NAT Regel auf den Mailserver. Diese ist auch gleich geblieben. In der UTM hab ich eine Firewall-Regel erstellt welche sagt

Internet V4 -> IMAP, IMAP SSL, SMTP, SMTP SSL -> Mailserver

Dennoch werden mir die Pakete geblockt. Ich habe via Telnet von meinem vServer im Internet getestet. Muss ich dafür noch etwas zusätzlich einrichten, oder hab ich einfach nur ein Denkfehler gemacht.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh