[Sammelthread] Sophos UTM-Sammelthread

MrDeluxe: könnte auch Application Control oder Intrustion Prevention sein. Ist nicht immer die Firewall.
ich habe mein internes Netz ausgehend komplett freigegeben. Wozu auch ausgehend Filtern? Die Firewall ist für mich (privat) zum Managen der Verbindungen. Klar, bei den PCs der Kinder meiner Verwandschaft habe ich ein paar Filter eingestellt. z.B. P2P verboten und diverse Seitenkategorien gesperrt.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@MrDeluxe
Wie sieht deine Firewall konfig genau aus? Habe leider kein Android hier zum testen...

sda2 schrieb:
Ich habe bei mir die Fritzbox 6360 zum Modem degradiert. So hast du kein Doppel NAT und keine Probleme bei der Terminierung von VPN Verbindungen an der Fritzbox.
Zum Vergrößern anklicken....
Es gibt noch einen Vorteil. Da die Fritz!Box ein integriertes VPN Gateway ist gibt es evtl. Probleme VPN durchzureichen. Ich hatte dies auf jeden Fall mal bei einem Kunden
 
okay und bevor ich loslege. Ur-Alt-Thema-Frage:

baremetal oder unter esxi :) ^^
 
hmm.sehe ich noch nicht so als natürlich....
 
Im privaten Umfeld? Natürlich ESXi :fresse:

Ich betreibe die UTM auf einer Hyper-V Kiste mit zwei vSwitchen. Vielleicht nicht die sicherste Variante aber irgendwie müssen die Kosten im privaten Umfeld im Rahmen bleiben.
 
Was denkst du was die ganzen Leute hier zuhause stehen haben :) Wenn ich mir die Signaturen von manchen hier anschaue Frage ich mich als ITler in einem Ministerium warum wir hier nur so wenig haben :)
 
Von denen betreiben das aber sicher ein paar als Nebengewerbe? :fresse:
Da reicht mir meine kleine UTM-DIY-Appliance daheim.
 
*grins* denkst du ? Ich Arbeite für Kollegen in Blauer Uniform und kann mir schon denken wofür die vielen TBs usw sind *grins*

Ich habe auch kein Gewerbe aber habe daheim auch ein ESXi laufen aber auch eher wegen dem Grund das ich beim Kunde keine Zeit habe etwas zu testen.

Ich werde mir jetzt auch mal die Sophos UTM zuhause installieren in den Sommerferien soll es bei uns endlich auch mal schnelleres DSL geben als 2000 :)


Werde das ganze auch erstmal unter ESXi oder Hyper-V testen und wenn das sauber läuft auch dort lassen weitere Hardware die 24/7 läuft ist mir zu teuer auf die dauer.
 
Zuletzt bearbeitet:
@LichtiF
Warum teuer? Mein ESX host ist ein NUC. OK, mit dieser Ausstattung ist er sicherlich einigen zu teuer ;) aber es geht auch günstiger :)
 
Nee meinte eigentlich dedizierte Hardware für die Sophos UTM (Stromkosten usw)
 
hmm.in wie weit spare ich denn mit dedizierter hardware mehr strom wenn meine sophos immer rennt?
 
*grins* Ok nochmal ich meinte ich werde Sophos UTM auf meinem ESXi laufen lassen weil mir dedizierte Hardware für eine Sophos UTM zu teuer ist auf die dauer :)
 
Anders herum:
Wenn bei dir sowieso ein Hypervisor läuft spart eine virtualisierte UTM Strom gegenüber einer Hardwareappliance ;)
 
Ok so kann man es auch ausdrücken :)
 
musste kurz weinen und dann kurz lachen und jetzt überlege ich noch welchen gemütszustand ich hier einrichten kann :(

sowas Dummes....


Betrieb als DSL-Modem nach FRITZ!OS-Update nicht möglich | FRITZ!Box 7390 | AVM Deutschland

-> http://www.heise.de/ct/hotline/Fritzbox-als-VDSL-Modem-1447058.html

EDIT:

Also es ist in der Tat so, dass ich die Firmware meiner Fritzbox 7390 downgraden müsste damit die Box nur als Modem fungiert. Ob das so sinnvoll ist sei aber mal dahingestellt. Morgen werde ich die Box dann doch weiter als Roter nutzen und zwischen Sophos und Box ein eigenes Netz machen, welches Sophos als Exposed Host eingerichtet bekommt.

Könnte das problematisch werden? Lese hier unterschiedliches zu VPN. Mal soll es so nicht gehen und mal soll es keine Probleme machen....
 
Zuletzt bearbeitet:
Opticum schrieb:
MrDeluxe: könnte auch Application Control oder Intrustion Prevention sein. Ist nicht immer die Firewall.
ich habe mein internes Netz ausgehend komplett freigegeben. Wozu auch ausgehend Filtern? Die Firewall ist für mich (privat) zum Managen der Verbindungen. Klar, bei den PCs der Kinder meiner Verwandschaft habe ich ein paar Filter eingestellt. z.B. P2P verboten und diverse Seitenkategorien gesperrt.
Zum Vergrößern anklicken....


Es liegt definitiv an der Firewall. Wenn ich den Verkehr nach außen freigebe für mein Android-Phone dann funktioniert alles wie es soll.
Ich möchte aber gern wissen, welcher Port muss für welches Ziel freigeben werden, wenn das überhaupt möglich ist.
____


Nun denn,
ich habe ein wenig Nachforschungen betrieben indem ich per tcpdump geschaut habe, was denn passiert, wenn ein Whatsapp-Call aufgebaut wird.
Zunächst wird eine TCP-Verbindung zum Facebook-Server nach Irland aufgebaut und anschließend eine UDP Verbindung. Das ganze geht über dynamische Ports, daher auch die Probleme. Mithilfe von connection tracking könnte man vielleicht das Problem lösen, nur leider wird nur TFTP, PPTP, IRC und FTP als Connection Tracking Helpers angeboten (unter Firewall -> Advanced).

Weitere Details kann ich gerne liefern, u.a. auch den TCP-Dump Mitschnitt, wenn Interesse besteht.

Wenn ihr komplett anderer Ansicht sein solltet, woran es liegt, immer her damit. Bin für jede Hilfe dankbar.
 
Zuletzt bearbeitet:
Das ist doch schonmal der erste Schritt, gute Arbeit. Anders hätte ich es auch nicht gemacht!

Ich kann mir jedoch nicht wirklich vorstellen, dass Whatsapp für Voip wechselnde Ports verwendet. Ich habe mal den Support angeschrieben. Vielleicht bekomme ich ja ne Antwort :)
 
Gilt das nur für den WhatsApp Call oder auch für Nachrichten? Habe bei mir auch öfters Probleme, dass Nachrichten nicht empfangen/gesendet werden.
 
@What9000: Habe ebenfalls das Phänomen, kann aber nicht genau deuten ob es nun an der Firewall liegt oder meinem AP. Fakt ist der Call geht nicht...

@cimbo: bin gespannt auf die Antwort.
 
Tr4c3rt: aus dem anderen Thread mit dem vultr vserver gelesen? Habe dort jetzt auch eine Sophos am laufen die per RED angebunden mich mit IPv4 versorgt. Klappt prima. (Ein- und Ausgehend)
 
Zuletzt bearbeitet:
ich habe utm jetzt drauf, nach anfänglichen erfolgen einen server im 2. netz für aussen freizuschalten habe ich jetzt große probleme. es läuft leider nichts mehr aussen. lustigerweise innen schon.

Folgender Aufbau:

WAN mit fester ip<->fritz.box 192.168.0.1 <-> UTM 192.168.0.2 (eth0)

Davon ab:
1. eth1 192.168.178.1 -> DHCP, verschiedene clints alle 192.168.178.xxx
2. eth2 192.168.1.1 -> feste ips dahinter, soll quasi eine dmz sein. darin befindet sich ein server, der einen bestimmten port bereit häält, sagen wir port 12345.

Folgendes habe ich bereits gemacht.
1. Zusätzliche Adresse unter dem eth0 angelegt mit der öffentlichen ip.
2. NAT Route angelegt: Quelle: ANY IP, Service:1-65xxx zu 12345,für Ziel:öffentliche ip, aktion ziel ändern in: serverip, ziel-service: 1-65xxx zu 12345.
3. Firewallregel: ANY, Service, Server.Allow.

Es funktioniert nicht.

Auch das einrichten meiner Webserver klappt nicht. Aus dem eth1 komme ich drauf, aber nicht von aussen. Was ist da los? Brauche Hilfe. Wenn jemand Teamviewer hat ;)
 
Fischje: Soll ich mir das mal anschauen? Schick mir einfach ne PN, bitte auch sowas wie Skype.
 
ja bitte, aber heute abend erst, wenns recht ist. Mittlerweile habe ich, nach einer fast durchgemachten nacht erstmal was ans laufen gebracht. aber richtig verstehen tu chs nicht ehrlich gesagt.

ich hab jetzt zwei nat regeln. 1 mal die öffentliche feste ip(netzwerk), mit dem service gebogen auf den internen server & einmal die verbindung fritz.box(wan), mit dem service, auf den server.

Also 2 NAT. Schalte ich eines ab von beiden gehen die anfragen irgendwo ins leere und landen sogar in der firewall.

im übrigen, wie kann ich in dem liveprotokoll einstellen, dass er mir auch ALLows anzeigt? das tut er nämlich nicht, sondern nur die geblockten ;(
 
Zuerst musst du deiner Fritz!Box sagen, dass sie alle eingehenden Pakete an die Sophos weiterleiten soll. Wie das heißt weiß ich nicht auswendig (extended host oder so, oder du gibst den Port 12345 für die Sophos frei). Dies ist nichts anderes als NAT und eine Firewallregel.

Anschließend kannst du checken, ob die Sophos auch Pakete erhält. Dies kannst du gut im Firewall-Log sehen. Wenn dies der Fall ist, musst du ein NAT und eine Firewallregel auf der Sophos einrichten:
DNAT --> Port 12345 eingehend auf eth0 soll weitergeleitet werden auf die interne IP des Servers in der DMZ.

Noch eine Firewallregel: Eingehend Port 12345 erlaubt auf DMZ

Schon sollte es gehen
 
die Sophos UTM muss in der Fritzbox als exposed Host eingetragen werden. Kannst natürlich auch die Ports einzeln freigeben, aber in Normalfall wirst du ja die Sophos hinter der Fritzbox für alles Nutzen.

In der Sophos werden dann DNAT Regeln angelegt, entsprechend für die Ports und die Zielserver.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh