[Sammelthread] Sophos UTM-Sammelthread

Natürlich kann die Sophos VLANs. Das macht unter gewissen Umständen bei dir auch Sinn.

Vorab zwei Fragen:
- Wird WLAN über Sophos realisiert? Oder willst du es autark aufbauen?
- Du redest von Telefonen. Wer ist das Gateway? Oder nutzten die Endgeräte einen direkten Zugang zum SIP Gateway?

Rein logisch würde ich es so aufbauen:

Sophos:
ETH0 --> LAN (VLAN kannst dir aussuchen, ich nehme erstmal DEFAULT: 1): 192.168.1.253 --> angeschlossen am Switch
ETH0 --> LAN (VLAN 30): 192.168.30.253
ETH0 --> LAN (VLAN 70): 192.168.70.253
ETH1 --> Einwahl über Fritzbox ins Internet (oder halt auch per IP, nicht zu empfehlen)

Router (braucht ja nur ein Netzwerkport):
VLAN 1: 192.168.1.254, Std. Gateway 192.168.1.253
VLAN 10: 192.168.10.254
VLAN 20: 192.168.20.254
VLAN 60: 192.168.60.254

VLAN 10 --> 192.168.10.0/24 --> Std. GW Router --> Die Clients
VLAN 20 --> 192.168.20.0/24 --> Std. GW Router --> Interne Server z.B. Storage
VLAN 30 --> 192.168.30.0/24 --> Std. GW Sophos --> externe Server z.B. Owncloud --> über sophos web protection eingebunden
(VLAN 40 --> 192.168.40.0/24 --> Telefonie / Fax) || Welches Gateway?
(VLAN 50 --> 192.168.50.0/24 --> WLAN/ es ist kein Gast Wlan geplant) || Wenn WLAN über Sophos realisiert wird, ist dies nicht nötig
VLAN 60 --> 192.168.60.0/24 --> Std. GW Router --> Drucker TV Sonstiges
VLAN 70 --> 192.168.70.0/24 --> Std. GW Sophos --> Evtl Tunnel zu meinem Bruder

Mit der Sophos kannst du den Internetzugang zu allen Netzen granular einstellen. Der Router leitet nur die Anfragen aus den unterschiedlichen Netzen weiter. Du willst jedoch nicht den kompletten Traffic über die Sophos routen. Deshalb ist der Router auch eine gute Idee.
Die Sophos dient in den Netzen der DMZ (VLAN 30) sowie im Netz deines Bruders als Gateway. Dann ist es sogar möglich, den Verkehr intern abzugrenzen.

Ich hoffe, das war jetzt verständlich ausgedrückt :)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wow. Danke für die ausführliche Antwort!
Ich denke so werde ich es machen!
Wenn ich am Router aber alles über einen Port mache, bau ich mir da nicht einen Flaschenhals?

Gruß Rocker
 
1 Port ist vllt. etwas schmal wenn alles gleichzeitig genutzt wird (inkl. Fileserver), bin mir nicht ganz sicher, aber du kannst mehrere physikalische Interfaces auf einen vswitch binden. Das sollte dann vom ESXi automatisch verteilt werden von der Last. (So habe ich es eingerichtet)
 
Da ist immer die Frage: Was hast du alles vor? Ich behaupte mal, es reicht.

Ist dies ein privates Umfeld?

Wie schon geschieben würde ich immer einen Layer3 Switch nehmen. Diese routen die Pakete direkt intern.

Ja, ESXi kann auch mehrere Ethernet Ports gleichzeitig ansteuern. Diese werden aber nicht gleichzeitig genutzt um die Geschwindigkeit zu erhöhen. LACP wird erst mit einem Distributed Switch verwendet (was meistens die Lizenz nicht hergibt). Hier wird jedoch eh Hyper-V verwendet. Hyper-V kann LACP :)
 
Es geht um ein privates Umfeld, aber ich möchte ja lernen, bzw ist es auch Hobby :-)
Mir geht es auch um best practise usw... und gerade Sicherheit ist ja gerade in "Mode"

Es gibt viel Traffic durch die Clients die aktuell laufen + VOD, Backup usw... usw...
bzw. möchte ich die Dienste die von draußen erreichbar sind vom "internen" Netz unbedingt trennen.

So ein Mikrotik Router kostet ja nicht die Welt, und sollte soweit alles können was ich benötige.

Zu den Fragen:
aktuell macht die Fritte noch das VoIP, ich möchte aber gerne eine Asterix mit MobyDick aufsetzen und das ausprobieren.
Das Wlan kommt momentan von einem TP-link Wlan Router, aber es ist geplant entweder einen Ubiquiti AP zu kaufen, oder direkt einen AP von Sophos

Gruß Rocker
 
Zuletzt bearbeitet:
So ein Mikrotik Router kostet ja nicht die Welt, und sollte soweit alles können was ich benötige.

Zu den Fragen:
aktuell macht die Fritte noch das VoIP, ich möchte aber gerne eine Asterix mit MobyDick aufsetzen und das ausprobieren.
Das Wlan kommt momentan von einem TP-link Wlan Router, aber es ist geplant entweder einen Ubiquiti AP zu kaufen, oder direkt einen AP von Sophos

Gruß Rocker

- Sophos WLAN APs würde ich dir von abraten. Schlechtes P/L Verhältnis und in den letzten Firmware Ständen sehr buggy.
- Die Fritzbox als VoIP Anlage ist ne super Sache weil für kleinen Haushalt perfekt ausreichend.
- Mikrotik Router sind sehr komplex, P/L super, klar. Ich würde mittlerweile eher zu einem Lancom Router raten. Da kannst du zwar auch viel einstellen, aber alles auf Deutsch (wenn man möchte) und mit Erklärung und diversen Assistenten.
 
Von wie viel Clients redest du denn Rocker?

Ich verstehe ehrlich gesagt nicht, warum die die Clienten hinter der Sophos noch ein weiteres mal mit einem Router versehen willst. Warum trennst du nicht direkt in der Sophos dein Netz in die gewünschten VLANs und bildest darüber LAN, DMZ und Co ab?

Dann kannst du in den Logs die Clients sauber anhand ihrer IP unterscheiden (wird spätestens dann wichtig, wenn du etwas unerwünschtes entdecken solltest!), schießt dir beim Einrichten der Webserverprotection nicht durch ein zusätzliches Masquerading in die Knie und sparst die Strom- und Anschaffungskosten für weitere Geräte. Und wenn du das persönlich als Hobby betreibst wäre selbst der Aufbau schon sehr beachtlich und professionell.


Zum W-LAN: Ich nutze ebenfalls einen TP-Link Router für mein W-LAN. In Kombination mit DD-WRT ist das integrierte Switch anscheinend VLAN-fähig, ich hatte aber leider noch nicht die Zeit das final einzurichten. Mein Plan war einen getaggten Port in zwei unterschiedliche W-LAN Netze zu hängen, um über VLAN die Netze trennen zu können.
 
Ok Vielen Dank!
dann versuche ich es erst einmal so bevor ich einen Router anschaffe. Ich sehe ja dann die Auslastung der Sophos.
Es sind aktuell 5 Win Clients, (max 4 gleichzeitig) +die Wlan Geräte.
Die Hauptlast entsteht beim Backup... das mir pers. jetzt schon zu langsam ist ;-)

Gruß Rocker
 
Bei der Anzahl deiner Clients kannst wohl wirklich auf den Router verzichten, die Sophos wird dies locker umsetzen können!
Wenn du VoIP hinter einer Sophos einsetzen willst, gibts ein paar Dinge zu beachten. Siehe dazu diesen Beitrag :)

- Sophos WLAN APs würde ich dir von abraten. Schlechtes P/L Verhältnis und in den letzten Firmware Ständen sehr buggy.

P/L ist wirklich schlecht. Aber warum sind die Buggy? Wir haben schon zig AP30 verkauft. Fast keine Probleme gehabt. Und wenn welche da waren, wurden sie schnell behoben.

Wer zu Hause ein managed WLAN über einen Controller aufbauen will, bekommt keine günstigere Lösung als die von Sophos. Einzige Alternative wäre hier vielleicht noch ZyXEL (NXC2500). Aber da kostet der Controller schon mehr als zwei AP15 von Sophos... Oder kennst du eine Selbstbaulösung? Würde mich auch interessieren :)

Lancom ist wirklich ein guter Einwand, kann ich nur empfehlen.

@Rocker
wie sieht dein Backupkonzept aus?
 
Zuletzt bearbeitet:
cimbo: schau dir nur mal das Forum an, das spricht Bände. Der WLAN AP hat nur Ärger gemacht. Niedrige Übertragungsraten oder gar keine Übertragung. Dann gab es gefühlte 3-4 neue Firmware Updates bis es lief.

Es spricht ja nichts dagegen, ein WLAN Netz über die Sophos einzurichten, aber dann kann ich auch APs von Ubiquiti, Linksys oder Lancom einsetzen und bin nachher nicht an Geräte gebunden, die nur mit der Sophos Firewall zusammen funktionieren.
 
Ubiquiti :love:

ICh habe immer noch das Problem, dass meine DNS-Auflösung nicht gescheit funktioniert, wie ich das will.

Intern sollen alle netzte einen bestimmten Namen auf eine interne Domain auflösen.

Extern habe ich bei Schlund den NS auf meine WAN-IP eingestellt.

Leider funktioniert das nicht. Wenn ich den NS konfiguriere, dann löst das interne Netz auch auf die externe IP auf und das ist nicht gewollt. Wenn jemand so ein Szenario lauffähig bei sich hat, wäre ich für Unterstützung dankbar. Opticum und ich konnten das Problem nicht beheben. :(
 
@Fischje:
Ich habe deinen Aufbau gar nicht verstanden, kannst du das noch mal etwas weiter ausführen wie du den DNS Server nutzen willst?
 
@Opticum
wenn du autarke APs betreiben willst, kannst du natürlich verwenden was du möchtest. Da greife ich auch gerne zu Lösungen, die DDWRT unterstützen. Aber ein WLAN Controller hat eben auch Vorteile. Wenn jemand z. B. VoIP über WLAN nutzen will und roaming benötigt, kann die Verbindung beim wechseln des APs abbrechen.

@Fischje
Du hast eine interne Domain und eine Externe? Ist die Sophos dein DNS Server?
Schon eine Netzwerkdefinition hinzugefügt (sozusagen statischer Eintrag):

Definitionen & Benutzer
- Netzwerkdefinitionen
- Typ: Host
- IP eintragen
- unter DNS-Einstellungen den internen Namen eintragen
 
Zuletzt bearbeitet:
cimbo: genau das haben wir bei Fischje gemacht. Es schaut echt nach nem Bug aus. Ich hab 2 anderen Sophos Installationen wo dass, das Fischje machen will, problemlos funktioniert.

Es geht darum, dass der public DNS der Netzwerkdefinition vorgezogen wird.

Public DNS IP: host.blah.com 123.123.123.124
Sophos Definition: host.blah.com 10.10.10.10

Auf der Sophos mit den Tools (PING/DNS) bekommen wir immer 10.10.10.10 so wie es ja gewünscht ist.
Auf dem Windows PC von Fischje kommt aber bei der Auflösung immer 123.123.123.124 heraus.

Ja, Sophos ist DNS. Ja, dns geflusht (sowohl unter windows als auch auf der sophos) bevor wir das getestet haben.
Nach Fischje's Angaben verhalten sich andere Clients bei ihm im Netz genau so (falsch).
 
Bin grad zufällig bei einem Kunden mit Sophos und konnte es mal testen (Firmware 9.309-3). Hier funktioniert es. Hast du es mal mit nslookup getestet? Evtl. ist das Problem nicht unbedingt in der Sophos Konfig zu finden.
 
cimbo: ja nslookup auf der windows maschine gibt auch die public dns raus. der DNS ist eindeutig die sophos. es ist wie verhext. bei meinen Installationen klappt es überall.
 
Hmm,
er will ja lernen. Setz eine VM mit virtuellen Windows Server auf und nutzen den DNS ;)

Weiß leider grad keine andere Lösung. Oder du installierst mal ne neue Sophos VM und nutzt diesen DNS bzw schaust ob das Problem auch besteht
 
ja, neue Sophos VM wäre interessant. Es kann eig. nur ein Bug sein oder irgendwas "vergrabenes" was man auf den ersten Blick nicht sieht. (Interface ANY bei der Definition bevor jdn. fragt ;) )
 
ja ihr seid lustig mit VM. Ausgerechnet die Sophos läuft aber nicht auf ner VM sondern eigenständig.

D.h. ich muss auf meinem ESXi ein extra netz bauen mit 1sophos vm und einer client vm und einer server vm und dann dns ausprobieren....
 
Ich wollte deinen Aufbau gestern kurz bei mir testen, doch bei mir selbst ist ein ganz komisches Problem aufgetreten: Auf einer frisch aufgesetzten UTM kann ich am lokalen Interface (eth0) nicht alle Geräte in meinem LAN per Ping erreichen. Ich weiß ehrlich gesagt nicht wo der Fehler liegt, an der UTM, an Hyper-V oder an einem anderen Bug im Netzwerk.

Wenn das funktioniert hättest du das bei mir nachstellen können - da ist alles jungfräulich installiert und Snapshot-fähig ;)

Mal blöd in die Runde gefragt: Ich sollte doch von der UTM-Konsole aus per Ping das komplette interne Netzwerk erreichen können?
 
Fischje: naja, eigentlich nicht. Es funktioniert ja auf anderen Installationen. Das wäre dann eher nur um zu bestätigen, dass deine jetzige Installation wohl verbuggt ist und es grundsätzlich bei dir funktionieren müsste.
 
Falls es jemanden interessiert: Ich habe jetzt zumindest eine Vermutungen, warum ich mit meiner Sophos UTM nur ausgewählte Geräte im Netzwerk anpingen konnte. Die Hyper-V Maschine scheint defekt gewesen zu sein. Die Zeit wich um 30 Minuten von der Zeit des Host-Servers ab. Weder ein Reset auf Werkseinstellungen noch eine Neuinstallation der UTM brachte Besserung.

Lösung: Die VM gelöscht, die vHDD gelöscht und beides neu angelegt. Seit dem ist die Zeit korrekt und ich kann per Ping das komplette Netzwerk erreichen.


Hatte jemand schon mal so einen Fehler?
 
Nein, aber Hyper -V ist für mich "Neuland" :)

Mein Problem konnte ich immer noch nicht lösen. Vielleicht am WE mal paar ausgiebigere Tests.
 
paulianer da bringst du mich auf eine Idee. Ich habe ein ähnliches Phänomen mit einem Hyper-V Host, jedoch auf der Externen Schnittstelle. Ich versuch es gleich mal und installiere die VM komplett neu.

Komisch, unter VMware habe ich gar keine Probleme!

Kannst du mir Screens schicken wie du dein Host eingerichtet hast? Mich interessiert hier eigentlich nur die Netzwerkinterfaces und die Einstellungen des virtuelen Switches
 
Bin grad an dem Thema Sophos UTM & Owncloud noch mal dran.
Ich möchte für die Owncloud ein SSL Zertifikat einrichten für meine public domain um https "vernünftig" nutzen zu können.
Über die Sophos möchte ich das über die Webserver Protection absichern.

Muss ich jetzt für die Owncloud UND die UTM ein Zertifikat besorgen oder nur für die UTM oder reicht auch nur das für die Owncloud? Mir ist der Zusammenhang dort nicht ganz klar. Bei den großen Installationen gehen die wohl immer davon aus, dass man ein großes CA Zertifikat hat und alles selbst signiert.
 
paulianer da bringst du mich auf eine Idee. Ich habe ein ähnliches Phänomen mit einem Hyper-V Host, jedoch auf der Externen Schnittstelle. Ich versuch es gleich mal und installiere die VM komplett neu.

Komisch, unter VMware habe ich gar keine Probleme!

Kannst du mir Screens schicken wie du dein Host eingerichtet hast? Mich interessiert hier eigentlich nur die Netzwerkinterfaces und die Einstellungen des virtuelen Switches

Klar kann ich heute abend machen, falls ich dran denke :P
Da ist aber nichts spannendes konfiguriert. 2012 R2 Basisinstallation mit GUI, Hyper-V Rolle und drei Switche (vLAN mit Host an LAN-NIC, vWAN ohne Host an der WAN-NIC und ein internes Netz ohne Host und ohne NIC).


Ansonsten hatte ich bis jetzt überhaupt keine Probleme mit Hyper-V, weder in Kombination mit meinen Debian-Maschinen noch mit IPFire oder der UTM. Das ist jetzt das erste Mal, dass ich einen mir nicht zu erklärenden Bug hatte. Aber vielleicht war auch irgendwas nicht richtig konfiguriert.

[...]Muss ich jetzt für die Owncloud UND die UTM ein Zertifikat besorgen oder nur für die UTM oder reicht auch nur das für die Owncloud?[...]
Das Zertifikat muss zum Hostnamen passen. Wenn dein virtueller Server unter dem gleichen DNS-Eintrag zu finden ist wie der interne Server dann solltest du das gleiche Zertifikat nutzen können.
 
Das Zertifikat muss zum Hostnamen passen. Wenn dein virtueller Server unter dem gleichen DNS-Eintrag zu finden ist wie der interne Server dann solltest du das gleiche Zertifikat nutzen können.

Wie soll das denn gehen? Meinst du er hat intern öffentliche IP-Adressen? Dann würde es natürlich auch klappen :)

Du benötigst nur ein Zertifikat für die UTM. Sie dient ja als Proxy zwischen dem "Internet" und deinem internen Netz. Also alles was hinter der UTM passiert, ist eine Blackbox
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh