[Sammelthread] Sophos UTM-Sammelthread

Hallo,
habt ihr auch das Problem, das ab und zu das WEB-GUI nicht funktioniert?
Bei mir bestimmt einmal die Woche error 503 angezeigt. Doch nach dem neustart funktioniert alles wieder.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Habe mal eine Anfrage:

Habe meine UTM soweit am laufen. Statische Adressen und soweit so gut. Per VPN SSL scheitere ich irgendwie die Verbindung steht aber ich kann pertou nicht ins selbe netz um auf die Shares und drucker zuzugreifen.

Per dyndns eingerichet und überschreibe den hostname mit der Dyndns adresse.... Hilfe... wo muss ich drauf achten?
 
VivianMeally schrieb:
Hallo,
habt ihr auch das Problem, das ab und zu das WEB-GUI nicht funktioniert?
Bei mir bestimmt einmal die Woche error 503 angezeigt. Doch nach dem neustart funktioniert alles wieder.
Zum Vergrößern anklicken....

Passiert ab und an mal eber eher selten, lässt sich auch ohne Neustart beheben sofern man den SSH Zugriff konfiguriert hat.

/etc/init.d/httpd restart

- - - Updated - - -

exelzur schrieb:
Habe mal eine Anfrage:

Habe meine UTM soweit am laufen. Statische Adressen und soweit so gut. Per VPN SSL scheitere ich irgendwie die Verbindung steht aber ich kann pertou nicht ins selbe netz um auf die Shares und drucker zuzugreifen.

Per dyndns eingerichet und überschreibe den hostname mit der Dyndns adresse.... Hilfe... wo muss ich drauf achten?
Zum Vergrößern anklicken....

Was sagt denn das Firewall Live Log?
Eine Firewall Regel damit du aus dem SSL VPN Pool ins Interne Netzwerk darfst wirst du ja vmtl. angelegt haben?
 
Zuletzt bearbeitet:
Hi Leute,

ich plane derzeit meine Sophos UTM (Free Lizenz 50 IP) für den Einsatz an einem
FTTH-Anschluss (200Mbit/s down 10Mbit/s) mit folgender Hardware:

  • 40-60GB SSD
  • Intel DQ77KB
  • Core i5-2400s tray
  • 4GB Corsair DDR3-1333 SO-DIMM

Da das Mainboard ebenfalls die Möglichkeit bietet eine WLAN-Karte zu verbauen hatte
ich überlegt eine Intel Wireless-AC 7260 zu verbauen. Kann die Sophos UTM die
WLAN-Karte direkt erkennen und das WLAN als Hotspot bereitstellen? Damit würde
ich mir einen zumindest einen WLAN-Router dahinter ersparen.

Gruß

Sc0rc3d
 
Sc0rc3d schrieb:
Hi Leute,

ich plane derzeit meine Sophos UTM (Free Lizenz 50 IP) für den Einsatz an einem
FTTH-Anschluss (200Mbit/s down 10Mbit/s) mit folgender Hardware:

  • 40-60GB SSD
  • Intel DQ77KB
  • Core i5-2400s tray
  • 4GB Corsair DDR3-1333 SO-DIMM

Da das Mainboard ebenfalls die Möglichkeit bietet eine WLAN-Karte zu verbauen hatte
ich überlegt eine Intel Wireless-AC 7260 zu verbauen. Kann die Sophos UTM die
WLAN-Karte direkt erkennen und das WLAN als Hotspot bereitstellen? Damit würde
ich mir einen zumindest einen WLAN-Router dahinter ersparen.

Gruß

Sc0rc3d
Zum Vergrößern anklicken....

Mit etwas Glück ja, die neueren SG Appliances gibt es ja auch mit eingebautem WLAN.
Probiert habe ich das aber selber Mangels passender Hardware noch nicht.
 
Nein dachte ist nicht nötig da bei ssl auto Firewall aktiv ist?!

Wie muss ich die Firewall einrichten das das klappt?
 
Genau das ist auch soweit drin. Nur Leider kann ich nicht drucken noch finde ich die shares vom filer. Nur fällt mir auf das der die vpn im subnet 255.255.255.252 landet obwohl sonst 255.255.255.0

Kann man das irgendwo festlegen?
 
exelzur schrieb:
Habe mal eine Anfrage:

Habe meine UTM soweit am laufen. Statische Adressen und soweit so gut. Per VPN SSL scheitere ich irgendwie die Verbindung steht aber ich kann pertou nicht ins selbe netz um auf die Shares und drucker zuzugreifen.

Per dyndns eingerichet und überschreibe den hostname mit der Dyndns adresse.... Hilfe... wo muss ich drauf achten?
Zum Vergrößern anklicken....

Ich vermute mal, das du keine NAT Maskierung für den VPN pool eingerichtet hast ?
 
Ja genau das scheinbar nicht, nur was genau muss man dort einstellen, habe das noch nie gemacht?
 
ivey schrieb:
Ich vermute mal, das du keine NAT Maskierung für den VPN pool eingerichtet hast ?
Zum Vergrößern anklicken....
Eine NAT Regel ist hier grundsätzlich auch nicht nötig damit es funktioniert. Sofern deine NAS oder der Drucker auf die du zugreifen möchtest sich hinter der UTM befinden und die IP der UTM als Standard Gateway verwenden solltest du ohne Probleme zugreifen können.

- - - Updated - - -

exelzur schrieb:
Ja genau das scheinbar nicht, nur was genau muss man dort einstellen, habe das noch nie gemacht?
Zum Vergrößern anklicken....
 
Irgendwie stelle ich mich zu ungeschickt an...

Fernzugriff ist wie folgt eingerichtet:
Name: SSL Profil
Nutzer: VPN1
Lokale Netzwerke: Internal (Network)
Automatische Firewallregeln JA

Bei SSL Einstellungen:

Schnittstellen-Adresse: Any
Protokoll TCP
Port 443
Hostnamen umgehen : meine DYNdns addresse

Virtueller POOl SSL Range ( Typ Netzwerk IPv4 192.168.5.0 / 24 )

Fernzugriff Erweitert:
DNS1 und 2 192.168.5.5 ( UTM intern )
Wins1 und 2 192.168.5.5
Domäne Workgroup


Vielleicht findet ihr ja mein Fehler ich hab kein plan mehr selbst NAT inst angelegt und bringt nichts...
 
Was wollt ihr denn hier mit NAT? ;)

Sag mal bitte die Netzadresse von deinem Internal Netzwerk.

Wenn du automatische Firewallregeln auf "Ja" setzt wird auch automatisch eine Packetfilter Rule mit Dienst "Any" erstellt.
 
exelzur schrieb:
Irgendwie stelle ich mich zu ungeschickt an...

Fernzugriff ist wie folgt eingerichtet:
Name: SSL Profil
Nutzer: VPN1
Lokale Netzwerke: Internal (Network)
Automatische Firewallregeln JA

Bei SSL Einstellungen:

Schnittstellen-Adresse: Any
Protokoll TCP
Port 443
Hostnamen umgehen : meine DYNdns addresse

Virtueller POOl SSL Range ( Typ Netzwerk IPv4 192.168.5.0 / 24 )

Fernzugriff Erweitert:
DNS1 und 2 192.168.5.5 ( UTM intern )
Wins1 und 2 192.168.5.5
Domäne Workgroup


Vielleicht findet ihr ja mein Fehler ich hab kein plan mehr selbst NAT inst angelegt und bringt nichts...
Zum Vergrößern anklicken....

Da hilft dann nur im Firewall Live Log mit schauen was passiert.
Alles andere ist tappen im Dunkeln.
 
Die utm hat 192.168.5.5 und interal network 192.168.5.

in der firewall steht nur sowas:

20:01:14 Fingiertes Paket UDP
192.168.5.6 : 137

192.168.5.5 : 137

len=78 ttl=128 tos=0x00
Zum Vergrößern anklicken....

\\EDIT:

Habe jetzt die standart SSL Range die Vorgegeben ist genommen, jetzt kann ich schonmal die shares benutzen und das klappt. Außer Drucken aber das ist nicht so tragisch.
 
Zuletzt bearbeitet:
Hattest du für SSL VPN das Selbe IP Netz verwendet wie für das Interne Netzwerk?
 
Ja Richtig, aber das scheint darin zu enden das die UTM das Subnetz anpasst
 
Zwei Netze, die per VPN verbunden werden, können niemals das selbe Subnetz besitzen, sonst weiß der Router nicht, zu welchem Subnetz welche Pakete gehören und es kommen solche Dinge dabei heraus. Bei Einwahl-VPN-Verbindungen ist es das selbe.
 
Was soll ich sagen, hab jetzt was dazu gelernt ;D und vielleicht findet sich ja jemand der mal das Selbe Problem hat und kann hier nachlesen :)
 
Eye-Q schrieb:
Zwei Netze, die per VPN verbunden werden, können niemals das selbe Subnetz besitzen, sonst weiß der Router nicht, zu welchem Subnetz welche Pakete gehören und es kommen solche Dinge dabei heraus. Bei Einwahl-VPN-Verbindungen ist es das selbe.
Zum Vergrößern anklicken....

Doch das geht, OpenVPN kann das auch, Sophos hat die Funktionalität aber nicht mit ins Webinterface übernommen (siehe OpenVPN Ethernet Bridging)

By bridging a physical ethernet NIC with an OpenVPN-driven TAP interface at two separate locations, it is possible to logically merge both ethernet networks, as if they were a single ethernet subnet.
Zum Vergrößern anklicken....

 
Layer 2 VPN ist halt mit Vorsicht zu genießen weil du bei Verwendung eines einzelnen Subnets die Broadcast Domains übers VPN ausweitest.
 
Jepp, dafür klappt dann auch jede andere Schweinerei, wie DHCP, Zeroconf, usw.
 
Ist es mit Sophos eigentlich möglich, mit einem WLAN-Stick den Router um WLAN zu erweitern? Damit würde ich mir einen Linksys dahinter sparen.
 
DHCP klappt per DHCP Relay Agent auch Subnet übergreifend.
Klar, viele Consumerfeatures die nur innerhalb des selben Subnets arbeiten oder auch LAN-Games etc. haben Subnet-übergreifend ein Problem wenn sie sich nicht "sehen" weil da ja viel mit Broadcasts gearbeitet wird.
 
Hallo zusammen,

ich hoffe, dass ich in diesem Thread richtig bin: Auf die Sophos UTM-Lösung bin ich gestoßen, weil ich eine Möglichkeit suche, die Photo Station meiner SynologyNAS, die ich gerne im Internet (für einen begrenzten Personenkreis) zur Verfügung stellen möchte, zusätzlich abzusichern. Auf dem NAS liegen jedoch neben der Photo Station auch unsere ganzen persönlichen Dateien. Bisher habe ich die Notwendigkeit einer zusätzlichen, sprich über das was die Fritzbox tut, Absicherung des LANs nicht für notwendig gehalten, aber manchmal muss man sich ja erst mit etwas beschäftigen, um möglichen Bedarf zu erkennen ;-)

Derzeitige Situation: Die Fritzbox stellt WLAN und VPN zur Verfügung und leitet einen ISDN-Anschluss per VoIP zu einem VoIP-Telefon weiter. Gelesen habe ich, dass ich das WLAN der Fritzbox nicht weiter nutzen kann, wenn ich eine Sophos UTM anschließe - korrekt?

VPN könnte ja durch die Sophos UTM übernommen werden. Wie sieht das mit VoIP aus - bekomme ich das irgendwie aus der vorhandenen Fritzbox raus?

Falls hier größere Probleme auftauchen, die Sophos sofort als Komplettabsicherung zu nutzen, wäre folgendes denkbar und realisierbar:
Ich weiß, dass es ein wenig dem Prinzip der UTM widerspricht, aber wäre es möglich, dass ich zunächst das vorhandene Netzwerk so wie es ist weiter betreibe und die Sophos ausschließlich nutze, um die offenen Ports des NAS über die Webserver Protection mit zusätzlicher Authentifizierung zu schützen? Eventuell ein bisschen mit Kanonen auf Spatzen geschossen? Kennt ihr eine "kleinere" Alternative, die einen ähnlichen Zweck erfüllt?

Als Hardware gefällt mir Specifications (all models) ganz gut, weil ich die Möglichkeit, dass man ein Failback über UMTS realisieren könnte (geht das mit Sophos UTM?) im Falle des Netzausfalls. Hintergedanke dabei: Einige Hausautomationsdienste, die hier bei uns laufen, funktionieren natürlich nur einwandfrei, wenn die Internetverbindung besteht. Im Falle eine Internetausfalls/Stromausfalls könnten diese Komponenten dann trotzdem den Status(wechsel) diverser Sensoren ans Handy übermitteln. Sophos und Hausautomationsserver natürlich hinter USV.

Schon jetzt vielen Dank für die Beantwortung meiner leider noch etwas unsortierten Fragen.
Fabian
 
Bezüglich VoIP würd ich sagen lass das wie es ist.

Grundsätzlich könntest du das WLAN der Fritzbox weiternutzen, der Sinn einer Firewall ist aber ja den Zugriff von extern nach intern und umgekehrt Regeln zu können. Nutzt du das WLAN der Fritzbox weiter so geht das natürlich nicht da sich die Geräte nicht "hinter" der Firewall befinden.

Dein Vorschlag das Netzwerk wie gehabt weiter zu betreiben und nur die Absicherung der Synology NAS über die Webserver Protection zu realisieren halt ich für die einfachste und günstigste Lösung. Da du außer der Hardware für die UTM nichts weiter benötigst, wenn auch wie du sagst vl. mit Kanonen auf Spatzen geschossen.

Konfiguration könnte dann wie folgt aussehen:

Zugriff über DynDNS Provider
example.dyndns.org -> ext. IP der Fritzbox -> (via Portweiterleitung auf die) Sophos UTM -> (via Webserver Protection auf der UTM) Synology NAS

Ein UMTS Failback kannst du mit der UTM realisieren sofern das UMTS Modem von der UTM erkannt wird eine konkrete Liste der unterstützen Modems gibt es nicht, Huawei hat sich aber als sehr Problemlos erwiesen. Läuft aber trotzdem aufs ausprobieren hinaus.
 
Ich verzweifel so langsam mit IPv6 über PPPoE mit der Sophos. Delegated Prefix funktioniert nicht sauber, es wird nur eine Link Lokal Adresse angezeigt usw.

Hat jemand Erfahrung damit?
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh