[Sammelthread] Sophos UTM-Sammelthread

Ganz einfach, im internen DNS-Server trägst du die lokale IP des Servers ein, bei deinem Provider gibst du die Online-IP des virtuellen Servers an.

Aus dem WAN: cloud.opti.cum: 5.6.7.8
Aus dem LAN: cloud.opti.cum: 10.0.0.123


Falls mich gerade nicht alles täuscht sollte das funktionieren und du hast intern- wie auch extern das selbe valide Zertifikat.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
cimbo schrieb:
Du benötigst nur ein Zertifikat für die UTM. Sie dient ja als Proxy zwischen dem "Internet" und deinem internen Netz. Also alles was hinter der UTM passiert, ist eine Blackbox
Zum Vergrößern anklicken....

OK ich trage dann aber pro DNS Host ein Zertfikat in die UTM ein? Bsp.

owncloud.opticum.xxx
www.opticum.xxx

da bräuchte ich dann 2 Zertifikate weil unterschiedliche Subdomain?
 
ok, danke!
Das mit dem Wildcard-Zertifikat wird teuer wenn ich das richtig recherchiert habe?
Sorry für die "dummen" Fragen, aber mit den Zertifikaten habe ich ansonsten nie-nie-nie zu tun ;)
 
Wildcard- und Multidomainzertifikate kenne ich auch nur in sehr teuer, habe mich bis jetzt aber nur im Umfeld der Firma damit beschäftigt. Wofür brauchst du sie denn? Privat oder professionell?
 
Wie löse ich eigentlich ein Site-to-Site VPN mit mehreren DSL-Anschlüssen?

Szenario A:
1. Kunde hat im HQ zwei Internetzugänge (ADSL und VDSL). Fällt VDSL Verbindung aus, sollen Filialen über die ADSL Leitung angebunden werden.
2. Filiale besitzt einen Internetzugang (ADSL)
3. Branch erhält eine Sophos UTM
4. Filiale erhält eine Sophos UTM

Szenario B:
1., 2 und 3. siehe oben
4. Filiale erhält eine RED

Szenario C:
1., 2 und 3. siehe oben
4. Filiale baut VPN Verbindung mit bestehendem IPsec fähigen Router auf (Lancom, Bintec oder ähnlich)

Ich wüsste jetzt zwar, wie ich in den IPsec Einstellungen eintrage, dass die Sophos auf beiden WAN Ports lauscht. Die Sophos kann ja auch versuchen sich bei mehreren Hosts einzuwählen. Oder geht das nicht? Geht dies denn mit einer Red oder einen anderen Router auch?
 
Zuletzt bearbeitet:
Deine Formulierung ist etwas kompliziert :P

Mit Branch-Office meinst du die Zentrale, mit Filiale eine Zweigstelle welche eine Verbindung in die Zentrale aufbauen soll?

Dann würde ich die VPN-Verbindung von der Zentrale zur Filiale aufbauen.
Voraussetzung: Feste IPs oder DynDNS in den Zweigstellen

In der Zentrale:
Du bindest die beiden DSL-Leitungen als redundante Uplink-Interfaces ein, entweder active / active mit Multipath Rules oder active / standby.
Die VPN-Verbindungen stellst du dann auf "Initiate connection"

In den Zweigstellen stellst du das IPSec Gateway auf "Respond only"


Das sollte funktionieren wenn du in den Zweigstellen jeweils eine UTM oder ein vergleichbares Produkt anderer Hersteller nutzt.

Ob es mit einer RED funktioniert weiß ich aus dem Stehgreif nicht, ich tippe auf ja. Falls du es testen willst: Eine UTM kann als RED konfiguriert werden.
 
Zuletzt bearbeitet:
Japp stimmt, hast recht. Irgendwie hatte ich heute Mittag eine Denkblockade... Der Ansatz ist gut, so mache ich es glaube auch.

Eine Red haben wir zum "spielen" sogar im Büro ;)

Sry hab die Begriffe durcheinander geworfen. Branch ist natürlich Filiale und HQ ist dann Zentrale. So hab ichs zumindest bei meinem CCNA gelernt ^^
 
Mahlzeit,
ich habe mir gestern bei eBay eine Astaro 110/120 rev 4 ersteigert, auch recht günstig. Der Haken an der Sache ist, dass das Netzteil fehlt. Nun bin ich mir unsicher Welches Netzteil dafür geeignet ist. Das Original Netzteil soll wohl 12V und 1.6A haben. Kann mir evtl. jemand sagen welches Netzteil ich dafür kaufen kann?
Grus
 
kleines Feedback zu Sophos, Owncloud und SSL Zertifikat:

Bei der Owncloud Installation kann man direkt das ganze SSL Setup vergessen. Das braucht man nur auf der Sophos einrichten. Die Sophos handelt es über http mit der Owncloud Installation aus. Zum Internet hin läuft die Sophos und gibt per https und dem passenden Zertifikat die Daten raus :)
 
Hallo,

mich würde mal interessieren, wie die Sophos UTM die täglichen/wöchentlichen/monatlichen Gesamtberichte erstellt. Sind die Werkzeuge dafür OpenSource? In welcher Programmier/Scriptsprache wurde es geschrieben? Ich würde das gerne für meine Bedürfnisse ein wenig anpassen.

LG
MrDeluxe
 
Danke für deine Mühe! Vielleicht sollte das mal mit in den Startpost :d
 
cimbo schrieb:
Wie löse ich eigentlich ein Site-to-Site VPN mit mehreren DSL-Anschlüssen?

Szenario A:
1. Kunde hat im HQ zwei Internetzugänge (ADSL und VDSL). Fällt VDSL Verbindung aus, sollen Filialen über die ADSL Leitung angebunden werden.
2. Filiale besitzt einen Internetzugang (ADSL)
3. Branch erhält eine Sophos UTM
4. Filiale erhält eine Sophos UTM

Szenario B:
1., 2 und 3. siehe oben
4. Filiale erhält eine RED

Szenario C:
1., 2 und 3. siehe oben
4. Filiale baut VPN Verbindung mit bestehendem IPsec fähigen Router auf (Lancom, Bintec oder ähnlich)

Ich wüsste jetzt zwar, wie ich in den IPsec Einstellungen eintrage, dass die Sophos auf beiden WAN Ports lauscht. Die Sophos kann ja auch versuchen sich bei mehreren Hosts einzuwählen. Oder geht das nicht? Geht dies denn mit einer Red oder einen anderen Router auch?
Zum Vergrößern anklicken....

Aus Erfahrung mit Kunden würde ich REDs nehmen. 1. weil günstiger und 2. weil viel einfacher zu handeln.
 
@mUK

Haben leider keinen Kunden, der solch Hardware einsetzt. Kann dir leider keine Auskunft geben. Schick Sophos einfach eine Mail

@teqqy

Naja günstiger ist es nicht. Kunde hat schon Router in den einzelnen Standorten. Leichter zu handeln? Naja kommt drauf an. Man kann lokalen Clients leider keine Möglichkeit bieten, direkt an ins Internet zu kommen.
 
Zuletzt bearbeitet:
Rocker schrieb:
aktuell macht die Fritte noch das VoIP, ich möchte aber gerne eine Asterix mit MobyDick aufsetzen und das ausprobieren.
Zum Vergrößern anklicken....

Hast du die Mobydick schon mal eingerichtet gehabt? Da hänge ich etwas fest. Vielleicht lohnt sich zu dem VoIP/Asterisk auch ein eigener Thread, aber bisher wenig Bedarf gesehen.
 
Ich hätte mal ne kurze Frage zur Einrichtung:
Ich habe einen Windowsserver mit Active Directory hinter der einzurichtenden Sophos Firewall.
DHCP Server gibt es keinen, die IPs werden alle händisch bezogen.
Trage ich den Server als primären DNS, die UTM als sekundären DNS und keinen Gateway ein, kriege ich keine Verbdinung zum Internet. Kann mir einer sagen, wieso das so ist und was ich tun muss, damit die Rechner Internetzugang bekommen? :d
Danke!
 
auf dem AD ist ein DNS-Sever installiert? Der Windowsserver kann ins Internet?
Wenn der Windowsserver nicht ins internet kann, woher soll er dann die IP's zu den Domänen abfragen?!
Als Gateway muss die Firewall eingetragen werde, da diese den "Weg ins Internet" kennt.
 
Niemals bei Domänennetzwerken die Firewall als DNS (weder primär noch sekundär) eintragen. DNS sollte so aufgebaut sein: Deine Clients fragen den Windows Server. Dieser fragt die Firewall. Diese fragt die DNS Server des Providers...

Wie sollen deine Clients denn ins Internet? Sollen sie "direkten" Zugriff haben? Also so, wie z.b. hinter ner Fritzbox? Dann müssen Pakete auch geroutet werden. Dies geht nur, wenn bei deinen Clients auch die Sophos als std. Gateway definiert ist. Stellt die Sophos einen Proxyserver dar, brauchst du dies nicht. Dann muss aber der Proxyserver auch in den Interneteinstellungen des Clients hinzugefügt sein.

Wie ezzq auch schon sagt, muss dein Windows Server auch Internetzugriff haben, oder zumindest DNS Anfragen an die Sophos stellen können (einzutragen unter Weiterleitungen).

Auf der Sophos müssen auch noch viele weitere Einstellungen vorgenommen werden, damit du surfen kannst (NAT, Firewall usw.). Wer hat die Sophos konfiguriert? Wurde der Assistent am Anfang der Installation verwendet? Dieser legt alle wichtigen Einstellungen fest. Zumindest wenn man surfen will :)
 
Zuletzt bearbeitet:
Hallo,

@Opticum
Ich habe die Mobydick aktuell nur als VM unter Hyper V installiert.
Aus Zeitlichen Gründen habe ich mit der Konfig noch nicht angefangen.
Bevor ich damit beginnen kann, muss ich meinen Switch und die Sophos umkonfigurieren und das wird bestimmt nicht reibungslos gehen :d

Dafür benötige ich ausreichend Zeit und Muse.

Es gibt aber einige Tutorials von Pascom da ist viel dabei https://www.youtube.com/user/pascomnet

zu deinem Vorschlag mit dem eigenen VoIP-Thread --> ich finde ihn super!


Gruß Rocker
 
Wie willst du deinen Switch und die Sophos umkonfigurieren? *neugierig*
 
Ich hab auf der Sophos und den Switchen mal ein VLAN für VoIP eingerichtet. Vielleicht meint Rocker das?
Hab auf der Mobydick DHCP aktiviert und ein angeschlossenes SNOM 760 auto provisionieren lassen.

Mehr noch nicht. Sammelthread ist erstellt. Vielleicht hätte man es auch allgemeiner halten sollten, nicht Mobydick spezifisch, aber es scheint so wie die Sophos eine "komplette" GUI vorweisen zu können, sollte daher auch relativ! einfach bedienbar sein.
 
Wo wir grad bei Sammelthreads sind, gibt es eigentlich einen für Netzwerke, Routing und Switching?
 
@ chimbo

ich muss die VLANS erstellen. (Sophos und Switch)
Ein oder zwei Seiten vorher in diesem Thread steht was ich vorhabe, nur fehlt mir dafür aktuell die Zeit.

Gruß Rocker
 
Hallo UTM-Freunde,

für mich ist das Thema sehr neu und leider blicke ich noch nicht so durch.
Folgendes Setup habe ich:

VDSL mit Telefonie von Vodafone an Easybox 904
Sophos UTM Home in einer Hyper V VM installiert auf einem HP Microserver.
Der HP Microserver hat 3 NICs. Eine interne und zusätzlich eine Dualport NC360t.

Nun habe ich die zwei NICs der Dualport dem Hyper zugewiesen und will beide für die UTM nutzen, einmal ans WAN, einmal fürs LAN.
Die Easybox muss weiter in Betrieb bleiben, weil ich darüber die Telefonie am Leben halten muss.

Leider bekomme ich es nicht hin die Internetverbindung auf die UTM zu bringen.
Habe in der Easybox DMZ aktiviert auf die IP der UTM. Funktioniert leider nicht.

Was muss ich noch einstellen damit ich die UTM sinnvoll nutzen kann? (vor allem das VPN / SSL / html5)?

Könntet ihr mir da helfen?

Danke und Gruß,
Marko
 
markan: kommt die UTM raus über das Tools Menü? hast du Carrier Grade NAT?
Masquarading aktiviert?

Die Frage was man noch einstellen muss ist so individuell und schwer zu beantworten ohne weitere Infos das es am sinnvollsten wäre, das man sich das mal per Teamviewer/Anydesk bei dir schauen müsste.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh