[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
nun, ich verstehe halt nicht, warum ich zwei NAT bauen musste. nach meinem verständnis her sollte doch eigentlich eine nat regel reichen.
Hallo,
ich habe sophos in denn letzen wochen getestet und überlege mir mein System umzustellen.
Hat schon jemand Erfahrungen mit einem
Dell PowerEdge T20 und der HP nc364t?
Ich brauche min. 3 Lan, besser wären 4 und das würde mir vom Preis auch auch noch passen, sind ca. € 500,- für die Hardware und verwenden würde ich die kostenlose Home Edition
Habe schon ein wenig gegoogelt, sollte laufen nur möchte ich bei so einer Summe sicher gehen das es auch klappt. Bin für jede Hilfe dankbar
ich habe sophos in denn letzen wochen getestet und überlege mir mein System umzustellen.
Hat schon jemand Erfahrungen mit einem
Dell PowerEdge T20 und der HP nc364t?
Ich brauche min. 3 Lan, besser wären 4 und das würde mir vom Preis auch auch noch passen, sind ca. € 500,- für die Hardware und verwenden würde ich die kostenlose Home Edition
Habe schon ein wenig gegoogelt, sollte laufen nur möchte ich bei so einer Summe sicher gehen das es auch klappt. Bin für jede Hilfe dankbar
gmbh07: nimm doch einen HP Microserver Gen8 für um 200,- - da kannst du auch eine Netzwerkkarte einbauen. Bist dann dann deutlicher günstiger und stromsparender unterwegs. 2 GB Ram sind dabei, die reichen für den Heim Betrieb der Sophos i.d.R. auch aus.
Ja richtig, aber ich musste im Sophos UTM 2 Nat Regeln erstellen. Das verwundert mich. Einmal für eth0 (das wan) und einmal für die "zusätzliche adresse" (öffentliche ip), bei mir eth2.
ich bin leider auf der Arbeit, deswegen kann ich dir das nicht zeigen.
Opticum,
hervorragend. Vielen Dank für deine tolle Unterstützung per Skype! Jetzt klappt alles!
hervorragend. Vielen Dank für deine tolle Unterstützung per Skype! Jetzt klappt alles!
Hat jemand eine Fritzbox hinter einer Sophos UTM am laufen die VOIP bereitstellt? Mal läuft es, mal nicht. Es ist zum ...
@cimbo: Es war vom Prinzip schon richtig eingestellt. Die WAN IP musste durch das Doppel-NAT aber nicht noch mal in der Sophos angelegt werden.
EDIT: VoIP auf der "Fritze" scheint jetzt zu tun. Kein Nat aber "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" auf 5 Minuten gestellt. Mal gucken und beobachten ob das jetzt Hilft...
@cimbo: Es war vom Prinzip schon richtig eingestellt. Die WAN IP musste durch das Doppel-NAT aber nicht noch mal in der Sophos angelegt werden.
EDIT: VoIP auf der "Fritze" scheint jetzt zu tun. Kein Nat aber "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" auf 5 Minuten gestellt. Mal gucken und beobachten ob das jetzt Hilft...
Zuletzt bearbeitet:
danke, ich habe mir die HP schon angesehen, dachte mir von der Leistung her sind sie zu schwach. Ich habe mir jetzt nur die Netzwerkkarte best. da ich noch einen Atom D510 zuhause habe und werde es mit dem voher nochmals testen. Der hat sogar 4GB Ram und eine SSD, vielleicht reicht der ja schon
Opticum ich habe dieses Szenario neulich in der Firma getestet, da diese Anforderung bald relativ häufig auf uns zukommt (umstellung der Telekom auf IP Anschlüsse)
Einstellungen an der Sophos:
Unter Network-protection --> VoIP hast du aktiviert und Gateway sowie Fritzbox angelegt?
Einstellungen Fritzbox:
Anschließend habe ich die Fritzbox im IP-Client-Modus betrieben, eine Feste IP vergeben, und unter Eigene Rufnummern --> Anschlusseinstellungen --> Sprachpakete "Portweiterleitung des Internet Routers aktiv halten" auf 30 sekunden gestellt.
Damit hat es funktioniert. Hörere Werte führen zu Fehlern (Habe es nicht genau geprüft, 5 Min waren zu viel)
Problem sind sicherlich deine eingehenden Anrufe. Die Fritzbox baut eine Verbindung zum SIP Gateway auf. Dieser registriert die Verbindung, merkt sich also die IP der Fritzbox. Da die Fritzbox aber hinter einem NAT Router steht gibt es hier Probleme. NAT hat die Eigenschaft, eine aufgebaute Session nach einiger Zeit zu verwerfen. Dies ist bei jedem Router unterschiedlich lange.
Bei eingehendem Anruf kontaktiert dein SIP Gateway die hinterlegte IP. Ist hier keine aktive NAT Session vorhanden, blockt die Sophos diese Pakete. Sonst hätte die Firewall auch keinen Sinn
Mit der oben genannten Einstellung baut die Fritzbox alle 30 Sekunden erneut eine NAT Verbindung auf. Eingehende Anrufe können somit ungehindert eingehen
Einstellungen an der Sophos:
Unter Network-protection --> VoIP hast du aktiviert und Gateway sowie Fritzbox angelegt?
Einstellungen Fritzbox:
Anschließend habe ich die Fritzbox im IP-Client-Modus betrieben, eine Feste IP vergeben, und unter Eigene Rufnummern --> Anschlusseinstellungen --> Sprachpakete "Portweiterleitung des Internet Routers aktiv halten" auf 30 sekunden gestellt.
Damit hat es funktioniert. Hörere Werte führen zu Fehlern (Habe es nicht genau geprüft, 5 Min waren zu viel)
Problem sind sicherlich deine eingehenden Anrufe. Die Fritzbox baut eine Verbindung zum SIP Gateway auf. Dieser registriert die Verbindung, merkt sich also die IP der Fritzbox. Da die Fritzbox aber hinter einem NAT Router steht gibt es hier Probleme. NAT hat die Eigenschaft, eine aufgebaute Session nach einiger Zeit zu verwerfen. Dies ist bei jedem Router unterschiedlich lange.
Bei eingehendem Anruf kontaktiert dein SIP Gateway die hinterlegte IP. Ist hier keine aktive NAT Session vorhanden, blockt die Sophos diese Pakete. Sonst hätte die Firewall auch keinen Sinn
Mit der oben genannten Einstellung baut die Fritzbox alle 30 Sekunden erneut eine NAT Verbindung auf. Eingehende Anrufe können somit ungehindert eingehen
Zuletzt bearbeitet:
Danke für den Klugschiss, hast meine Posts anscheind nicht gelesen. Aber wenn du der Herr so schlau ist, welche Ports werden denn nun benötigt?
@cimbo: besten Dank für die Hinweise. Ich werde das bei nächster Gelegenheit mal testen. Hab schon alles rück gebaut. VoIP ist teilweise leider wirklich suboptimal aufgebaut.
Betreibt hier zufällig jemand einen Lancom Router vor der Sophos?
Betreibt hier zufällig jemand einen Lancom Router vor der Sophos?
Betreibt jemand mehrere Webserver hinter einer IP mit der UTM und nutzt die reverse-proxy eigenschaften aus der webserver-protection?
was habt ihr dafür in euren firewall-regeln eingestellt? Nat?
was habt ihr dafür in euren firewall-regeln eingestellt? Nat?
Webserver jetzt nicht direkt (ok OWA ist ein Webserver). Unsere Kunden verwenden die Webserver protection hauptsächlich zur Veröffentlichung der E-Mail via OWA, ActiveSync oder Outlook Anywhere.
Da die Firewall direkt zugriff auf das interne Netz hat und als Proxy dient, brauchst du keine Firewall oder NAT Regeln definieren. Wenn ich mich nicht irre, funktioniert dann die Webserver-protection auch gar nicht.
Genauso verhält sich ja der Surfproxy. Hier gibtst du keinerlei zusätzliche Regeln in der Firewall an.
Da die Firewall direkt zugriff auf das interne Netz hat und als Proxy dient, brauchst du keine Firewall oder NAT Regeln definieren. Wenn ich mich nicht irre, funktioniert dann die Webserver-protection auch gar nicht.
Genauso verhält sich ja der Surfproxy. Hier gibtst du keinerlei zusätzliche Regeln in der Firewall an.
Hmmm.so der eine Webserver ist erreichbar.Der andere bekommt irgendwie nicht die domain mit und antwortet daher nur mit dem default Eintrag des Apache anstatt mit der vhost....
Mittlerweile habe ich die Einstellung unter "Erweitert" bei den realen Webserver gefunden, die die Header durchreicht.
Die Server lassen sich aus meinem internen Netz problemlos erreichen.
Von aussen lassen die sich leider noch nicht erreichen. Oh mann....
Die Server lassen sich aus meinem internen Netz problemlos erreichen.
Von aussen lassen die sich leider noch nicht erreichen. Oh mann....
habs gelöst mit hilfe von Opticum.
Es war diese extra Adresse die ich noch eingerichtet habe unter schittstellen. die brauche ich aber nicht, weil die sophos ja hinter meiner fritz.box sitzt. das führte nur zu problemen.
Es war diese extra Adresse die ich noch eingerichtet habe unter schittstellen. die brauche ich aber nicht, weil die sophos ja hinter meiner fritz.box sitzt. das führte nur zu problemen.
Verzeih mit den Bezug zu Post #960 habe ich nicht hergestellt.Danke für den Klugschiss, hast meine Posts anscheind nicht gelesen. Aber wenn du der Herr so schlau ist, welche Ports werden denn nun benötigt?
Zu schauen welche Ports geblockt werden ist nun wirklich der grundlegenste Umgang mit der UTM...
Guck ich gleich mal rein, klingt jedenfalls sehr interessant...
ädit: Wenn ich das richtig sehe bist du jetzt bei Netcup?
Aber man muss wohl auch bei denen mindestens 15 Euro hinblättern für einen Server der ein eigenes Image schluckt...
Zuletzt bearbeitet:
Nein, bei vultr, Netcup habe ich nicht mehr. Zu Vultr schicke ich dir eine PM. Läuft auf jeden Fall perfekt soweit.
Habe endlich eine Antwort des Whatsapp Supports erhalten. Leider haben sie nicht beigeschrieben ob TCP Ort UDP. Von Proxy hab ich gar nichts erwähnt :-/
Hi,
Sorry for the delay! We have received many emails recently, and we do our best to answer them all. Thank you for your patience.
WhatsApp is not designed to be used with proxy configurations or restricted networks, and we cannot provide support for these network configurations.
If you are a network administrator, you should allow traffic on all subdomains of *.whatsapp.net. WhatsApp uses Internet ports 443 and 5222. Due to the number of hosts and frequency of turnover, we do not provide specific IP addresses used by WhatsApp hosts.
If you have any other questions or concerns, please feel free to contact us. We would be happy to help!
Hi,
Sorry for the delay! We have received many emails recently, and we do our best to answer them all. Thank you for your patience.
WhatsApp is not designed to be used with proxy configurations or restricted networks, and we cannot provide support for these network configurations.
If you are a network administrator, you should allow traffic on all subdomains of *.whatsapp.net. WhatsApp uses Internet ports 443 and 5222. Due to the number of hosts and frequency of turnover, we do not provide specific IP addresses used by WhatsApp hosts.
If you have any other questions or concerns, please feel free to contact us. We would be happy to help!
Ah dank cimbo, dass du uns das mitteilst. Das ist doch schonmal etwas. Ist ja auch klar, dass die sich nicht die Mühe machen und jedes Netzwerkszenario supporten können.
Gibt es bei der UTM denn die Möglichkeit für Wildcards in der Firewalleinstellung oder reicht es nun Port 5222 und 443 frei zu schalten? Ich kenne das mit den Wildcards nur beim Proxy.
Gibt es bei der UTM denn die Möglichkeit für Wildcards in der Firewalleinstellung oder reicht es nun Port 5222 und 443 frei zu schalten? Ich kenne das mit den Wildcards nur beim Proxy.
Zuletzt bearbeitet:
Ja natürlich. Du kannst einfach den Port 5222 nach Außen komplett öffnen. Ob das Sinnvoll ist? Muss jeder selber entscheiden.
Alternativ kann man auch den Port 5222 (ich denke UDP) mit DNS Domain freigeben. Ob das Sinnvoll ist oder ob ein Reverselookup der Sophos gemacht wird, weiß ich nicht
Alternativ kann man auch den Port 5222 (ich denke UDP) mit DNS Domain freigeben. Ob das Sinnvoll ist oder ob ein Reverselookup der Sophos gemacht wird, weiß ich nicht
Rocker
Enthusiast
Hallo,
macht es Sinn hinter der Sophos einen Router (z.B. Mikrotik oder Ubiqiti) zu verwenden, der das Interne LAN in Segmente unterteilt, oder sollte man das mit der Sophos machen.
Idee wäre folgende:
Internet mit Fritte (7390) --> Sophos UTM --> Router --> Switch (HP 1810G 24) verschiedene V-LAN
Die Sophos soll den ein und ausgehenden Verkehr überwachen und die Webserverprotection weiter zur Verfügung stellen
Das VLAN soll wie folgt aufgebaut werden:
VLAN 10 --> Die Clients
VLAN 20 --> Interne Server z.B. Storage
VLAN 30 --> externe Server z.B. Owncloud --> über sophos web protection eingebunden
VLAN 40 --> Telefonie / Fax
VLAN 50 --> WLAN/ es ist kein Gast Wlan geplant
VLAN 60 --> Drucker TV Sonstiges
VLAN 70 --> Evtl Tunnel zu meinem Bruder
Gruß Rocker
macht es Sinn hinter der Sophos einen Router (z.B. Mikrotik oder Ubiqiti) zu verwenden, der das Interne LAN in Segmente unterteilt, oder sollte man das mit der Sophos machen.
Idee wäre folgende:
Internet mit Fritte (7390) --> Sophos UTM --> Router --> Switch (HP 1810G 24) verschiedene V-LAN
Die Sophos soll den ein und ausgehenden Verkehr überwachen und die Webserverprotection weiter zur Verfügung stellen
Das VLAN soll wie folgt aufgebaut werden:
VLAN 10 --> Die Clients
VLAN 20 --> Interne Server z.B. Storage
VLAN 30 --> externe Server z.B. Owncloud --> über sophos web protection eingebunden
VLAN 40 --> Telefonie / Fax
VLAN 50 --> WLAN/ es ist kein Gast Wlan geplant
VLAN 60 --> Drucker TV Sonstiges
VLAN 70 --> Evtl Tunnel zu meinem Bruder
Gruß Rocker
Zuletzt bearbeitet:
Wenn du zwischen den VLANs eine Firewall benötigst, macht es sinn. Wenn nicht, dann würde ich es über einen Router machen. Besser wäre hier sogar ein Layer3 Switch.
Welche Sophos setzt du ein? Diese kann schnell in die Knie gehen. Die Sophos verlangsamt den Traffic.
Welche Sophos setzt du ein? Diese kann schnell in die Knie gehen. Die Sophos verlangsamt den Traffic.
Rocker
Enthusiast
Ich setze die sophos als vm unter hyper v ein.
meine idee war die sophos generell zwischen inet und meinem lan zu schalten und dann mit dem router zu segmentieren.
Die sophos, könnte ja auch in dem ich vom switch mit einem tagged port arbeite und in der utm dann entsprechent route, oder hab ich nen Denkfehler?
Gruß Rocker
meine idee war die sophos generell zwischen inet und meinem lan zu schalten und dann mit dem router zu segmentieren.
Die sophos, könnte ja auch in dem ich vom switch mit einem tagged port arbeite und in der utm dann entsprechent route, oder hab ich nen Denkfehler?
Gruß Rocker
Zuletzt bearbeitet: