[Sammelthread] Sophos UTM-Sammelthread

Habe nen Problem mit der UTM meines Bruders und hoffe ihr könnt mir weiterhelfen.
Der hat ein paar Server gehostet (Web, File und Spiele) und nebenher Rechner 24/7 am laufen.

Nun sind seit gestern Abend ca 650-700 gleichzeitige Verbindungen im Log (Netzwerknutzung). Das bleibt so recht konstant, die Wochen vorher waren es im Durchschnitt 200-250 gleichzeitige Verbindungen. Auf den Servern hat mein Bruder keine Änderungen gefunden, zumal Datei- und Spieleserver nur im LAN sind.

Nun meine Frage: Wie kann ich rausfinden was das für Verbindungen sind, wo die hingehen und woher die stammen? Habe in der Oberfläche nichts gefunden was mir da weiterhelfen würde. Einen Anstieg von Bandbreitendurchsatz im internen LAN konnte ich im Vergleich zur letzten Zeit nicht feststellen.

Edit:
Version ist 9.2 wenn das eine Rolle spielt. Läuft auf eigener Hardware.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du kannst in der Firewall Log Datei dir alles raussuchen was du wissen musst über die Zugriffe.

Dort kannst du z.B. die Source und Destination IP sowie Port sehen. Was dir eigentlich alle Informationen über die Verbindungen geben kann.
 
Zuletzt bearbeitet:
Hier mal ein aktueller Stand zur UTM-Problematik.
Es ist wieder passiert!
Was? Siehe meine Posts hier: http://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058-26.html#post22387628

Neues Update auf der UTM auf aktuelle Version 9.204-20 - Reboot - NICs wieder durcheinander gewürfelt.

Habe nun folgendes gefunden und probiere es aus:

https://www.astaro.org/gateway-prod...up2date-licensing/44330-vmware-nic-order.html

So ein Kack, Leute -.-
Hat das wirklich noch niemand von Euch in ner ESX-Umgebung gehabt?
Hab selbst die UTM seit Version 8 auf ESX (4.1, 5.0, 5.1 u. 5.5) im Einsatz sowohl Zuhause als auch auf der Arbeit.
Über dieses Problem bin ich auch noch nie gestolpert. Welche NICs verwendest du? Erfahrungsgemäß laufen die E1000 am problemlosesten mit der UTM.

- - - Updated - - -

Betreibt hier jemand erfolgreich eine JuniperSA mit der UTM als ReverseProxy (Webserver Protection)?
Ich komme leider nicht über die Anmeldeseite hinweg :(

Edit: Wo sind denn die Jungs die hier immer rumprahlen, dass die bei so vielen Enterprise Kunden unterwegs sind???

Wie hast du den das ganze konfiguriert
 
Leider nicht, bei mir kommt ein Thomson Modem davor.
 
Weil ich mich gerade selbst damit Beschäftigt habe hier eine kleine Anleitung um HA auf zwei virtuellen UTMs einzurichten.

per SSH auf die konfigurierte UTM verbinden und folgende Befehle ausführen:

"set cc ha advanced virtual_mac 0"

Damit die Interfaces bei aktiviertem HA keine virtuellen MAC-Adressen bekommen, kann zu Problem führen.

empfohlen wird von Sophos bei HA auf virtuellen Appliances die E1000 NIC zu verwenden. Für HA muss im aktuell implementierten Treiber auf der UTM
TSO(TCP Segement Offload) und GRO deaktiviert werden dies funktioniert wie folgt:
"ethtool -K eth0 tso off"


"ethtool -K eth0 gro off"

Dies muss für jede der UTM zugewiesenen NIC durchgeführt werden.

Nun können wir auf der UTM HA aktivieren:

Wir wählen Hot Standby (active-passive) aus.
Wählen eine NIC für die Synchronisation der beiden UTM aus. Anmerkung: Ich verwende immer eth3 da dies auch bei den Hardware Appliances das Interface für HA ist.
Geben einen Device Name ein.
Wählen die Device Node ID aus, diese ist bei der fertig konfigurierten Firewall "1". ACHTUNG: wird ihr 2 ausgewählt so wird später die leere Konfiguration auf die Firewall synchronisiert.
Geben noch einen Encryption Key ein und speichern das ganze. HA ist nun auf der Firewall aktiv.

Nun machen wir uns an die zweiten Firewall, wir installieren eine zweite Firewall, die Anzahl und Konfiguration der NIC muss identisch zur bereits aktiven Firewall sein(Zuweisung der Netzwerke in der VMware). Bei der Konfiguration dieser Firewall können getrost irgenwelche Werte für Hostname und dergleichen verwendet werden da die Konfiguration später von der anderen Firewall synchronisiert wird. Es müssen keine Updates installiert werden, diese werden später automatisch installiert um auf denselben Stand zukommen.

Wir gehen wie auf der bereits konfigurieren Firewall vor und deaktivieren Virtual_Mac, TSO und GRO auf den NICs.

Nun können wir auf der zweiten Firewall HA aktivieren, der Vorgang ist analog zur ersten Firewall, es muss nur ein anderer Device Name vergeben werden. Als Device ID ist "2" auszuwählen, die Config wird also von der anderen Firewall übernommen.

Wir speichern des ganze. im HA Log sollte nun der Eintrag "Access granted to Node 2" erscheinen die zweite Firewall wird nun automatisch aktualisiert und konfiguriert. der Status der Zweiten Node wechselt in der Status übersicht auf "Up2Date" Nach der Aktualisierung wechselt der Status dann nach einer Weile auf "Syncing", ist der Vorgang abgeschlossen so wird das mit dem Status "Ready" angezeigt, HA ist nun fertig eingerichtet.


Ich habe bewusst nur die wichtigsten Punkte beschrieben. Falls es fragen eine PN schreiben.
 
Neues Update:

Code:
Up2Date 9.206035 package description:

Remarks:
 System will be rebooted
 Configuration will be upgraded
 Connected RED devices will perform firmware upgrade
 Connected Wifi APs will perform firmware upgrade

News:
 Bugfix Release
 Enhancement: Web filter allows to define exceptions based on User Agent
 Enhancement: SMC Wifi synchronisation also syncs PSK

Bugfixes:
 Fix [21170]: Exchange 2010 OWA notifications don't work
 Fix [24360]: improve handling of rpmdb corruptions
 Fix [24556]: SAVI engine scan failed: Unknown SAVI error [0x80040237]
 Fix [26721]: WiFi: Sometimes syslogd on AP is not running after AP booted up
 Fix [27774]: Remote access reporting shows incorrect information about duration of vpn user
 Fix [27861]: 3G USB modem intermittently not assigned after reboot
 Fix [29030]: Prevent ulogd coredumps in case of database issues
 Fix [29141]: Input username is not updated to directory notation in case of custom user name attribute
 Fix [30695]: Hostnames with utf-8 characters are not shown in PDF executive report
 Fix [30863]: PIM SM does not work between two networks
 Fix [30883]: Graphs in Executive Report are only shown if "Daily executive report" option is enabled
 Fix [31252]: UMTS failover doesn't work after HA takeover
 Fix [31309]: Make httpproxy more tolerant to invalid Content-Length value from Server
 Fix [31320]: httpproxy coredumps during shutdown time
 Fix [31392]: [SR] Saving blacklist/whitelist fails in User Portal
 Fix [31530]: ulogd coredump caused by an error message from postgreSQL "integer out of range"
 Fix [31582]: Mails stuck in work queue due to duplicate key value violates unique constraint "primary_m"
 Fix [31644]: Segmentation fault in serve_local_file from /usr/lib/libglib-2.0.so.0
 Fix [31671]: changing time steps of individual OTP tokens results in authentication failure
 Fix [31784]: smtpd is restarting and creates coredumps in 9.201
 Fix [31806]: dhcpd not started after up2date
 Fix [31812]: Extended information from web security reporting results table shows nothing
 Fix [31835]: It's not possible to send automatic backups if INFO-011 is disabled
 Fix [31895]: smtpd causes high disk I/O after update to 9.2
 Fix [31907]: mails with attachments are causing scanner timeout or deadlock
 Fix [32008]: Using lag interfaces in a bridge setup is not reboot save
 Fix [32019]: Japanese double byte text in "Device Specific Text" of notification mail broken
 Fix [32027]: Packetfilter rules numbering in webadmin and livelog doesn't match
 Fix [32043]: IPsec Auto-Packetfilter rules depolyed by SUM (4.2) again and again
 Fix [32108]: Country blocking exceptions with empty country doesn't work if destination is local to UTM
 Fix [32126]: The SMC connection test didn't work before applying the configuration
 Fix [32127]: smtpd dieing without Coredump
 Fix [32129]: RED: rewrite cert files after cert change
 Fix [32150]: confd sync daemon runnnig on slave node
 Fix [32165]: Don't allow usage of disabled interface in user portal
 Fix [32180]: smtp connection is lost during unnecessary config reload
 Fix [32183]: RED10: potentially no reboot after firmware update
 Fix [32214]: System freeze using uplink balancing and IPsec bind to interface
 Fix [32236]: bounced spx encrypted mail is shown as delivered
 Fix [32252]: Installer breaks formatting in 70-persistent-net.rules
 Fix [32254]: Master shows slave device name as "unknown"
 Fix [32376]: Problems with form reverse authentication in reverseproxy for OWA / ActiveSync
 Fix [32378]: Reset Adapter and Hardware unit hang after update to v9.204 for intel ethernet controller 82579LM Gigabit Network Connection
 Fix [32387]: Change snort links to vendor homepage [9.2]
 Fix [32393]: Denial of service in mod_deflate's request body decompression (CVE-2014-0118)
 Fix [32401]: dhcp option 43 , scope server is not working on one system
 Fix [32412]: Sync WiFi preshared keys to SMC
 Fix [32519]: vpn-reporter.pl segfault in libc-2.11.3.so
 Fix [32539]: The default "nf_conntrack_max" value is too low for new SG550/SG650 series.

RPM packages contained:
 libconan-2.0.1-0.174663526.gd57887d.i686.rpm      
 libsaviglue-9.20-11.g8616c8a.i686.rpm             
 ImageMagick-6.8.9.4-1.5.gda7f96d.i686.rpm         
 client-iphone-9.20-3.g06e86a1.noarch.rpm          
 cm-nextgen-agent-9.20-39.gae70983.i686.rpm        
 modauthnzaua-9.20-147.gdc35ed6.i686.rpm           
 modsecurity2-2.7.4-18.g63c379a.i686.rpm           
 modwafexceptions-9.20-138.g8f290a2.i686.rpm       
 perf-tools-3.8.13.27-0.173454012.g3d22934.i686.rpm
 red-firmware2-3056-0.g3321e26.noarch.rpm          
 ulogd-2.1.0-97.g6d0b0d0.i686.rpm                  
 usb-modeswitch-1.2.5-16.gfac1549.i686.rpm         
 ep-reporting-9.20-61.g0c480b7.i686.rpm            
 ep-reporting-c-9.20-40.g8980b03.i686.rpm          
 ep-reporting-resources-9.20-61.g0c480b7.i686.rpm  
 ep-aua-9.20-62.g28f223c.i686.rpm                  
 ep-branding-ASG-afg-9.20-17.g30e663e.noarch.rpm   
 ep-branding-ASG-ang-9.20-17.g30e663e.noarch.rpm   
 ep-branding-ASG-asg-9.20-17.g30e663e.noarch.rpm   
 ep-branding-ASG-atg-9.20-17.g30e663e.noarch.rpm   
 ep-branding-ASG-aug-9.20-17.g30e663e.noarch.rpm   
 ep-confd-9.20-544.gdc7c8e8.i686.rpm               
 ep-confd-tools-9.20-487.g2f3d767.i686.rpm         
 ep-ha-confd-9.20-8.ga1a73b6.i686.rpm              
 ep-ha-daemon-9.20-21.g87ad643.i686.rpm            
 ep-hardware-9.20-50.g2b687a1.i686.rpm             
 ep-hotspot-web-9.20-20.gc3f19db.i686.rpm          
 ep-init-9.20-17.g82b6e7b.noarch.rpm               
 ep-libs-9.20-67.g75dc535.i686.rpm                 
 ep-localization-afg-9.20-17.gee7006b.i686.rpm     
 ep-localization-ang-9.20-17.gee7006b.i686.rpm     
 ep-localization-asg-9.20-17.gee7006b.i686.rpm     
 ep-localization-atg-9.20-17.gee7006b.i686.rpm     
 ep-localization-aug-9.20-17.gee7006b.i686.rpm     
 ep-mdw-9.20-350.g9b098d9.i686.rpm                 
 ep-notifier-9.20-5.gdee5936.i686.rpm              
 ep-raidtools-9.20-55.g301eee3.i686.rpm            
 ep-red-9.20-28.gb32c7fe.i686.rpm                  
 ep-screenmgr-9.20-16.gd855eff.rb1.i686.rpm        
 ep-sms-client-9.20-0.170522457.ga5e8c48.i686.rpm  
 ep-tools-9.20-14.g2c6c151.i686.rpm                
 ep-up2date-9.20-4.g8c4ff3e.i686.rpm               
 ep-up2date-downloader-9.20-4.g8c4ff3e.i686.rpm    
 ep-up2date-pattern-install-9.20-4.g8c4ff3e.i686.rpm
 ep-up2date-system-install-9.20-4.g8c4ff3e.i686.rpm
 ep-webadmin-9.20-554.g7f98816.i686.rpm            
 ep-webadmin-contentmanager-9.20-61.gcf1fbcc.i686.rpm
 ep-wireless-firmware-5029-0.gd31ef55.i586.rpm     
 ep-chroot-dhcps-9.20-4.g266d5fe.noarch.rpm        
 ep-chroot-smtp-9.20-187.g0d7e2a9.i686.rpm         
 ep-chroot-xorp-9.20-2.gd893fe9.noarch.rpm         
 chroot-httpd-2.4.4-27.g036ff2e.i686.rpm           
 chroot-ppp-2.4.6-8.g076996f.i686.rpm              
 chroot-pppoe-2.4.6-8.g076996f.i686.rpm            
 chroot-reverseproxy-2.4.4-356.gb4faa92.i686.rpm   
 chroot-xorp-9.20-6.g9dc6921.i686.rpm              
 ep-httpproxy-9.20-176.gfeae029.i686.rpm           
 kernel-smp-3.8.13.27-0.173454012.g3d22934.i686.rpm
 kernel-smp64-3.8.13.27-0.173454012.g3d22934.x86_64.rpm
 ep-release-9.206-35.noarch.rpm
 
Hallo,

ich habe von der UTM 9.201-25 auf 9.205 geupdated. Seit dem kriege ich einen "Daily Executive Report" OBWOHL das in der Berichterstellung deaktiviert ist. (Protokolle & Berichte -> Gesamtbericht -> Konfiguration -> täglicher Gesamtbericht kein Haken)

Der tägliche Report enthält noch die alte Version 9.201-25. Wie kriege ich diesen Fehler behoben?
 
Eventuell hilft es, den Haken ein Mal zu setzen, das zu übernehmen und den Haken danach wieder zu entfernen. Vielleicht hat sich im Hintergrund die Einstellung umgestellt und die GUI zeigt den Haken nur nicht an.
 
Hat ich schon versucht, kein Erfolg. Irgendwas lief nicht sauber beim Update.
 
Bekomme seit gestern mal wieder tausende Meldung über IPS rein
2014:09:12-11:18:33 Firewall-PC snort[7746]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.2.100" dstip="192.168.2.71" proto="17" srcport="53" dstport="2057" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"

Die IP Adresse 192.168.2.100 ist meine UTM 9 mit aktuellster Software
Firmwareversion:9.206-35
Patternversion: 66516

Angezeigt als srcip ist immer die Astaro, Zieladressen sind alle meine Geräte im Netzwerk.
Mich würde brennend interessieren, ob ich nicht gezielt die Snort Regeln bearbeiten kann, wie in diesem Fall die sid="19187

Hat da jemand evtl. Erfahrung mit?
 
Zuletzt bearbeitet:
Ich hab gerade mal eine neue UTM mit neuer Lizenz-Datei eingespielt.

Das neue Lizenz-Modell für den Privatanwender ist ja nur noch ein Witz :shake:


Zum Glück hatte ich noch ein Backup ...



Hab ich beim Erstellen der neuen Lizenzdatei irgendetwas falsch gemacht oder speckt Sophos wirklich die UTM für den Heimgebrauch so ab ?
 
Zuletzt bearbeitet:
Das wäre zeimlich uncool.

Habe meine Lizenz gerade neu beauftragt und die "normale" bekommen, das war Mitte Juni. Die alte war doch tatsächlich schon fast drei Jahre alt ;)

#Edit

sieht aber doch so aus, als wäre deine Lizenz falsch eingelesen worden. Die Infos in Header fehlen irgendwie.

Das "Spezial: Home use only" fehlt als Info komplett. Ich würde mal direkt nachfragen bei Sophos

Kontakt: nsglicensing@sophos.com

- - - Updated - - -

öffne deinen Lizenz File doch mal. Dort sollten die Infos zur Lizenz ja auch zu lesen sein im Klartext.
 
Zuletzt bearbeitet:
Das sieht für mich aus als hättest du dir eine kostenlose Network Protection Lizenz erstellt und keine Home Use Lizenz.

Ich hab gerade mal eine neue UTM mit neuer Lizenz-Datei eingespielt.

Das neue Lizenz-Modell für den Privatanwender ist ja nur noch ein Witz :shake:


Zum Glück hatte ich noch ein Backup ...



Hab ich beim Erstellen der neuen Lizenzdatei irgendetwas falsch gemacht oder speckt Sophos wirklich die UTM für den Heimgebrauch so ab ?
 
HA auf einem VM Host hätte ja den charmanten Vorteil, das bei einem Update der UTM kein Verbindungsabbruch entsteht.
Wenn ich hier auf der Arbeit ein Update starte aktualisiert erst die eine, dann die andere Kiste, 0 Downtime.

Vielleicht teste ich das noch mal an, besten Dank für die Anleitung!
 
Nabend zusammen!

Ich habe mal eine schnelle Frage.
ist es möglich den Astaro v8 auf den Sophos v9 upzudaten ohne Neuinstallation?

Besten Dank!

Gruß
Benni
 
ich frage mich nur wie das gemacht wird, weil ich dazu leider nicht wirklich was finde. Vielleicht könnt ihr mir ja einen kurzen Stichpunkt geben nach was ich gucken müsste.
 
Du musst in bei up2date den FTP Serverpfad von sophos angeben. Ist teils von 9.1 auf 9.2 auch so.
 
Hallo,

Ich habe die aktuelle sophos in eine hyper v installiert auf einem ws 2012.
Ich bekomme aber keine verbindung hin...
Muss ich für jeden lan adapter ein v switch erstellen oder muss ich die nic direkt durchreichen?
Ich habe 3 nic im dell t 20 die onboard und eine dual intel nic.
Der plan war die intel dual für die sophos zu nutzen und die onboard für den server selbst.

Edit:
Ich habe esgeschafft :) ich komme in die web maske.
Aber ich habe ein neues Problem sobald ich die Lan schnittstelle zur Fritzbox aktiviere oder einschalte freezt die sophos und ich habe keine möglichkeit mehr das webinterface zu erreichen.
Ich habe es bereits mit static ip und dynamic ip over ethernet verucht. Als dns habe ich den dns der sophos eingetragen.
Bei den clients ist als gateway die sophos eingetragen.
Dhcp ist auf der fritzbox aus.
Muss ich evtl eine andere verbindungsart auswählen?

Gruß Rocker
 
Zuletzt bearbeitet:
Hallo,

nutzt einer von euch Intel PRO/1000 GT Gigabit Quad Port Server Adapter oder Intel PRO/1000 GT Gigabit Dual Port Server Adapter in der Sophos UTM? Auf der Sophos Seite habe ich leider keine Kompatibilitätsliste gefunden.

Gruß
black shadow
 
Malzeit.. ich nochmal :)

Ich versuche mich gerade am DynDNS. habe allerdings das Problem das es meinen Anbieter nicht zur Auswahl gibt. Ich benutze FlexDNS - istes irgendwie wöglich den Anbieter mit in die Liste aufzunehmen? Habe momentan immernoch die ASG v8.3 installiert.
Die UTMv9 weiss ich nicht ob die Hardware das schafft.

Gruß
Benni
 
Hallo zusammen,
habe ne blöde Frage,
ich hab meine 9.2 UTM folgendermaßen konfiguriert. Da ich keine öffentliche feste IP-Adresse besitze habe ich der UTM einen Sub-Domainnamen gegeben. Z.B. "sub.domain.de" damit die UTM für VPN auch darunter erreichbar ist habe ich die Dyndns-Adresse auf die Sub-Domain umgeleitet. Funktioniert auch alles wunderbar. Nur ist es so, dass wenn ich eine Dnydns-Adresse in der UTM aktiv habe wird die VPN Autokonfig mit der Dyndns-Adresse ausgegeben. Dies möchte ich jedoch nicht. Kann man dies irgendwo deaktivieren? Ich möchte trotz eingetragener Dyndns-Adresse die fest vergebenen UTM Adresse nehmen.
Hat hierzu jemand eine Idee?
Vielen Dank!
Gruß
 
Hallo,

wie kann man den die Integration Services updaten?
bei meinen NIC Adaptern steht, das diese Downgegraded wurden aufgrund von "veralteten Integration Services"

Gruß Rocker
 
Zuletzt bearbeitet:
Hallo zusammen,
habe ne blöde Frage,
ich hab meine 9.2 UTM folgendermaßen konfiguriert. Da ich keine öffentliche feste IP-Adresse besitze habe ich der UTM einen Sub-Domainnamen gegeben. Z.B. "sub.domain.de" damit die UTM für VPN auch darunter erreichbar ist habe ich die Dyndns-Adresse auf die Sub-Domain umgeleitet. Funktioniert auch alles wunderbar. Nur ist es so, dass wenn ich eine Dnydns-Adresse in der UTM aktiv habe wird die VPN Autokonfig mit der Dyndns-Adresse ausgegeben. Dies möchte ich jedoch nicht. Kann man dies irgendwo deaktivieren? Ich möchte trotz eingetragener Dyndns-Adresse die fest vergebenen UTM Adresse nehmen.
Hat hierzu jemand eine Idee?
Vielen Dank!
Gruß

Servus,

ich bin mir nicht 100% sicher ob ich verstanden hab wie du das meinst, aber du kannst unter "Remote Access" -> "SSL" -> "Settings" den zu verwendenden Hostnamen für den VPN überschreiben. Wenn du den Hostnamen änderst muss du allerdings die VPN Config neu herunterladen da der Hostname in der config steht.


- - - Updated - - -

Hallo,

nutzt einer von euch Intel PRO/1000 GT Gigabit Quad Port Server Adapter oder Intel PRO/1000 GT Gigabit Dual Port Server Adapter in der Sophos UTM? Auf der Sophos Seite habe ich leider keine Kompatibilitätsliste gefunden.

Gruß
black shadow

Ich hab eine von den DualPort Karten rumliegen, werde ich mal testen wenn ich Zeit habe. Denke aber das die ohne Problem laufen sollten.
 
die läuft, ich nutze diese Karte, unter Hyper V und die UTM arbeitet damit Problemlos.

Gruß Rocker
 
@ Fr3@k
Vielen dank. Scheint genau das zu sein was ich gemeint habe. Werde ich mal probieren.
Also wenn ich die Konfig Datei bisher geladen habe, musste ich immer den Dyndns Eintrag deaktiviert. Danach wurde der eigentliche Hostname der UTM genutzt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh