[Sammelthread] Sophos UTM-Sammelthread

R222 schrieb:
Das einzige was bei mir noch nicht funktioniert sind die VLANs.
Ich hab am Switch (HP ProCurve 1810-24G v2) ein paar Ports zu einem VLAN hinzugefügt, und im UTM das interface auf Ethernet-VLAN gestellt und entsprechend getagged.
Zum Vergrößern anklicken....

Hmm, ich habe einen ähnlichen Aufbau im Einsatz: HP-Server, ESXi 5.5, 1810er Switch.
Das funktioniert auch tadellos, ich habe allerdings das Tagging der Netze auf dem ESXi vorgenommen, nicht auf der Sophos. Sprich mehrere Netzwerkkarten angelegt und mit dem entsprechenden vSwitch verbunden, welches dann das externe Tagging vornimmt.

Hast du das mal getestet? Wenn das funktionieren sollte kann man zumindest ausschließen, dass es an den NICs liegt.

Ich weiß ehrlich gesagt auch gar nicht, wie ESXi auf dem Standardswitch getaggte Pakete handhabt. Werden die einfach weitergeleitet oder vielleicht verworfen?

NiclasM schrieb:
ich bekomme per SMB nur noch etwa an die 20-30 MBps hin.
Zum Vergrößern anklicken....

Von welchem Client zu welchem Server greifst du denn per SMB zu? LAN > WAN? Alle anderen Verbindungen sind normal performant?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also es gibt sonst keine Performance Probleme. Clients und Server sind in unterschiedlichen VLANs. Sophos macht das Inter VLAN Routing.

Hyper V Host hängt mit 8x GBps Trunk am Switch.
 
Na dann wird das der Grund dafür sein, warum in R222 Aufbau die Pakete verworfen werden - und gleichzeitig auch die Antwort auf seine Frage.
Danke für den Link.

@NiclasM: Wenn du IPS schon deaktiviert hast und das Problem nur mit SMB auftritt weiß ich auch nicht weiter. Schau doch mal ob du im Sophos-Board Hilfe bekommst: https://www.astaro.org/



Eine Frage habe ich noch: Bei uns melden die Windows-Desktops immer "Kein Internetzugriff" obwohl die Verbindung ins Internet besteht. Jemand eine Idee, wie ich das weg bekomme bzw. was die Sophos da blockt?
 
Zuletzt bearbeitet:
Hallo Leute!

Ich bin irgendwie schon total verzweifelt! Ich dachte ich bekomme es alleine hin - aber nun bin ich schon das 6. Wochenende in Folge mit meinem Heimnetzwerk im "unreinen".

Nun zu meinem Case: Ich hatte vor, mein Netzwerk hinter die Sophos UTM zu legen. Ich habe die UTM schon lange in Betrieb gehabt für VPN Verbindungen.

Ist: KDG Fritze 6360 (aktives WLAN) - Cisco-Switch - Clients (u.a. vSphere v5.5 mit Sophos UTM)

Wegen der sehr schlechten WLAN Leistung und dem verlagern des WLANs in die sichere Zone habe ich mir ein AP15 von Sophos zugelegt.

Nun habe ich einfach alles an meinen Switch angeschlossen. Danach der Appliance 3 Netzwerkkarten zugewießen und beim ESXi 3 Switche angelegt (einen Intern mit der VMs + Management und 2 Physichen NICs, dann 2 weitere mit jeweils nur der UTM und jeweils einem eigenen NIC - einmal für WAN und einmal für eventuell später DMZ).

Im nächsten Step einmal die UTM auf Werkseinstellungen zurück - Konfigurator - eth0 Intern (DHCP-Server 10.0.0.1/24), eth1 WAN mit fester IP (192.168.178.100 an Fritze 192.168.178.1/24)
Eingeloggt - WLAN Eingerichtet (Gast-Erst-Konfi genutzt) und AP in Bridge-Mode gewechselt. Fritte Exposed Host auf 192.168.178.100.

Nun dachte ich: alles mal neu Starten und freuen. Denkste.. irgendwie funktioniert nichts... mit den Clients in Intern komm ich kein Netz. In vSphere und vCenter lassen sich die IPs nicht ändern - bzw. bin ich zu blöd dazu ;) Ich komme irgendwie mit meinem ganzen Konzept noch nicht zurecht und dazu habe ich den Verdacht, dass ich schon grundsätzliches falsch angegangen bin! Aber ich komme noch nicht dahinter, wie ich es beheben kann eventuell VLANs oder 2 Switche oder Direktverbindung - oder den Server neu aufsetzen etc. :wut:

Ist es denn eigentlich ein Problem, dass die Appliance den DHCP-Server stellt? Diese Startet ja erst, nachdem der Host geladen ist, bzw. hat ja auch das Supermicro-Board keinen DHCP-Server mehr wenn es aus ist. Irgendwie bin ich total verwirrt ;)

Habt ihr eine Ahnung?
 
Zuletzt bearbeitet:
Mit so einer verwirrenden Beschreibung komme ich nicht zurecht...

Am besten Du zeichnest deine Umgebung mal auf (MSPaint reicht), sonst kommt man schlecht auf einen grünen Zweig. Die Fritzbox muss auf jeden Fall direkt mit dem physikalischen LAN-Port des ESXi verbunden werden, wo der virtuelle Switch mit dem WAN-Port der UTM hinter hängt. Der Cisco-Switch wird dann mit dem physikalischen LAN-Port des ESXi verbunden, wo der virtuelle Switch mit dem LAN-Port der UTM angeschlossen ist.

Was meinst Du mit "das Supermicro-Board hat keinen DHCP-Server mehr wenn es aus ist"? Wozu braucht das Board einen DHCP-Server?
 
Netzwerk_v1.jpg

Sorry wegen der schlechten Beschreibung. Ist nicht gerade meine Stärke!!!

Danke für den Tipp mit der Direktverbindung. Ich häng mal meine Paintzechnung an!

Das Board bekommt seine IP für die Fernwartung ja von dem DHCP-Server von der Appliance, dieser liegt auf dem Server.

PS: Habe eben wieder alles resetten müssen! Bin erstmal froh, das wenigstens die Fritze wieder WLAN bietet - der Rest ist erstmal ohne Netz [emoji22]
 
Zuletzt bearbeitet:
Ja nee, so wie Du das aufgezeichnet hast sollte das zwar funktionieren, man könnte aber, wenn man sich eine IP-Adresse mit passendem Gateway manuell vergibt, an der Sophos vorbei ins Internet.

Also wie geschrieben:
- NIC des vSwitch1 direkt mit der Fritzbox verbinden
- NIC des vSwitch2 erstmal außen vor lassen, wenn der vSwitch überhaupt eine physikalische NIC benötigt; wenn in die DMZ nur virtuelle Server sollen, braucht der vSwitch gar keine physikalische NIC.
- Den Rest so belassen, dann sollten die Clients ihre IP-Adresse vom DHCP-Server der UTM bekommen
- Für Fernwartung empfehle ich sowieso eine statische IP-Adresse, sonst gibt es, wie Du schon festgestellt hast, das Henne-Ei-Problem.

Die UTM muss natürlich dementsprechend konfiguriert werden, u.a. müssen Masquerading und Firewallregeln eingerichtet werden. Die Frage ist auch, was die Clients aktuell für eine IP-Konfiguration erhalten (sowohl IP-Adresse als auch Subnetzmaske, DNS-Server und Standardgateway), und wenn Du die Netzwerkverkabelung so belässt und der DHCP-Server der Fritzbox noch aktiv ist, kann es sogar sein, dass die Clients die IP-Adresse wieder von der Fritzbox erhalten und somit komplett an der Sophos vorbeigehen.
 
xalur: Fritzbox direkt an die WAN NIC (vswitch1) der Sophos VM.
Switch kommt nachher an den vSwitch0 NIC.

Wenn du Fritzbox und Sophos gleichzeit als DHCP Server im selben physikalischen Netz betreibst, gibt es Probleme.

Ansonsten kann ich dir noch anbieten das ich mal per Teamviewer drauf schauen falls du nicht weiterkommst.
 
Gibts gerade ein guten Tip für ein bezahlbares Barebone mit 2 Lan Ports am besten mit j1900 cpu ? Oder ist immer noch Selbstbauen angesagt?
 
Hallo zusammen,

ich werde von der Firma eine UTM 220 REV5 als dauerleihgabe bekommen. Ich möchte das Ding etwas modifizieren und zwar die 2 x 1 GB Riegel gg. 2 x 2 GB austauschen sowie die 3,5 " HDD gegen eine 2,5" SSD. Ist das bei beiden Dingen problemlos möglich, wenn ich mich an die Gegebenheiten halte? Oder geht nur zertifizierte Hardware wg. spezieller Firmware?

Lizenz wird dann die Homeuse verwendet.
 
teqqy: hab hier auch noch 2 UTM 220 "rumfliegen", es lohnt sich einfach nicht. Die Lüfter sind laut und pro Blech um die 80 Watt IDLE Verbrauch.

Wenn du mit der Sophos UTM daheim rumtesten möchtest, hol dir einfach eine günstige HP Kiste, z.B. HP Microserver Gen8, der verbraucht IDLE um die 30 Watt., Die Anschaffungskosten hast du nach 2-3 Jahren durch die Stromersparnis wieder drin)

Wenn es denn trotzdem unbedingt das 220er Blech sein "muss" -> Ram kannst du wechseln, Festplatte habe ich nicht probiert, sollte bei Verwendung der Home Lizenz aber kein Problem sein.
 
Das sie nicht die stromsparenste ist, ist mir klar. :) Ich bekomme sie allerdings für lau. Alles andere muss ich jetzt erst mal kaufen. Lautstärke ist mir egal, da sie im Keller hängt. Wenn ich ein eigenbau im 19" Format in ähnlicher Größe haben will, bin ich mind. 300 Euro los. Da kann ich das Ding lange betreiben bis sich der Anschaffungspreis armotisiert hat. Hätte auch lieber ne 110 oder 120, aber da nutzt derzeit kein Kunde das TradeIn Programm von Sophos. -.-

Dann werde ich das mit der Festplatte einfach mal testen. Zur Not muss das große Ding halt drin bleiben. Danke dir für die Infos.
 
Hat hier schon jemand einen AP100 Wireless AP im Einsatz ? Mich würde Interessieren ob der WLAN Durchsatz gut ist wenn man Mischbetrieb nutzt.Also 2,4 u 5Ghz
 
bigghost schrieb:
Hat hier schon jemand einen AP100 Wireless AP im Einsatz ?
Zum Vergrößern anklicken....
Leider haben wir bis jetzt erst die AP 55 im Einsatz bei Kunden. Interessiert der dich auch?

bigghost schrieb:
Gibts gerade ein guten Tip für ein bezahlbares Barebone mit 2 Lan Ports am besten mit j1900 cpu ? Oder ist immer noch Selbstbauen angesagt?
Zum Vergrößern anklicken....
Ich habe es mit einem Intel Nuc gelöst. Du benötigst jedoch einen VLAN fähigen Switch, da nur ein Interface

teqqy schrieb:
Ich möchte das Ding etwas modifizieren und zwar die 2 x 1 GB Riegel gg. 2 x 2 GB austauschen sowie die 3,5 " HDD gegen eine 2,5" SSD.
Zum Vergrößern anklicken....
Es wird nicht jeder RAM akzeptiert. Ein Kollege hatte damit schon rumgespielt. Schau mal bei Amazon. Dort wird spezieller RAM angeboten. Vorsicht: Falls Garantie vorhanden ist, verliert die Hardware diese sofort. SSDs haben wir leider nicht getestet
 
@cimbo.

denke wie gut sich der 50er verhält mit dual band aktiv wird sich auf der ap100 nicht übertragen lassen.
ich selber habe hier einen devolo ac wireless lan ap im einsatz im 5ghz bereich schlägt der sich gut.da wir aber noch ein laptop
haben das keine 5ghz kann.habe ich dual band aktiv und das zieht die übertragungsrate massiv runter auf den 5ghz tauglichen geräten.
ich werde bald den ap100 selber bekommen dann kann ich berichten.

das über eine lan mit vlan mag zwar gehen aber nicht die perfekte lösung.denke ich werden in meinen server eine lan karte stecken und das system virtualisieren und 2 ports fest an die vm durchreichen. hat aber den nachteil das wenn ich dort probleme habe auch kein inet verfügbar ist.
 
Zuletzt bearbeitet:
Das wäre auch eine Möglichkeit. Auf meinem NUC läuft z. B. ein DNS-Server, Exchange, Sophos und einmal vCenter. Alles unter ESXi 6.0. Läuft echt super (16 GB RAM, 1TB SSD). Verbraucht fast keinen Strom und ist deutlich schneller als manch Kundensystem ;)

Untagged habe ich das Management VLAN eingestellt, also komme ich immer auf den ESX Host. Ist zwar nicht so 100%ig optimal aber für einen Netzwerker kein Problem in der Umsetzung. So kann ich auf dem Switch die UTM Ports darstellen bzw. Simmulieren.

Einzig Probleme habe ich bei der Performance. Ein 1gbit/s NIC ist schon limitiert wenn man z. B. zwischen VLANs und VMs Daten kopiert. Dann durchläuft es die Netzwerkkarte mehrfach
 
Hallo,

ich habe mir die UTM von Sophos geladen und würde gerne am Wochenende damit ein bisschen spielen. :)

Kurz zu meiner Config:
-DSL 16k 1&1 ohne statische IP mit FritzBox 7330 SL (steht im 1.OG)
-Domain ohne Webspace bei Strato
-Dell T20 mit Hyper-V (steht im Keller)

Auf dem T20 laufen ein paar VMs, z.B. meine Cloud (Seafile), eine Download VM, Samba, etc.. Ich würde gerne meine Cloud besser absichern und mich mittels VPN in mein Heimnetzwerk verbinden können. Wenn ich soweit richtig informiert bin, wäre eine DMZ nicht das schlechteste, dafür sind aber 2 Verbindungen zur FritzBox notwendig oder? Es sind zwar zwei Cat7 Kabel zwischen FritzBox und T20 verlegt, aber auf einem der beiden Kabel läuft das DSL vom Keller zur FritzBox. Eigentlich könnte ich die Box auch in den Keller stellen, aber der DECT Sender des Gigasets reicht dann im Garten wohl nicht mehr so weit.. Oder kann man den DECT Sender mit dem CAT7 Kabel mit der FritzBox verbinden? Zwei 1Gbit Intel NICs würden noch rumliegen. :)

Grüße

Sebastian
 
Zuletzt bearbeitet:
Nein, die DMZ kommt an eine separate Netzwerkschnittstelle der UTM, das kann prinzipell auch über virtuelle Hyper-V-Switches gelöst werden.
Du brauchst auf jeden Fall zwei physikalische Netzwerkschnittstellen im T20: eine, die extern mit der Fritzbox und intern mit dem virtuellen Switch verbunden ist, wo die WAN-Schnittstelle der UTM dran hängt, und eine, die extern mit dem LAN-Switch und intern mit der LAN-Schnittstelle der UTM verbunden ist.
Die DMZ wird dann so gelöst, dass Du einen weiteren virtuellen Switch erstellst, wo einerseits der/die Server dran hängt/hängen, der/die in der DMZ stehen soll/en, und andererseits die DMZ-Schnittstelle der UTM.

Somit kannst Du aber den integrierten Switch und das WLAN in der Fritzbox nicht mehr für deine weiteren Clients verwenden, sonst könnte man an der UTM vorbei ins Internet.
 
Wenn du deine Sophos hinter der Fritzbox installierst, wirst du mit IPSEC VPN Probleme bekommen, da die Sophos selber VPN kann. Vielleicht wurde dies mittlerweile per Firmwareupdate behoben. Soll die Fritzbox weiterhin die Verbindung zum Internet aufbauen? Oder wäre es auch denkbar, diese nur als VoIP Gateway zu nutzen?
 
bei mir ist es auch noch so das die fritze das internet an die sophos als exposed host weiter gibt. möchte ich auch ändern, aber wie ich die fritzbox als VoIP Gateway nutzen kann, habe ich noch nicht raus.
 
Du brauchst ein Modem, dass die Einwahl übernimmt. Die PPPOE Daten gibst du in der Sophos ein. Dann hast du also eine Verbindung ins Internet aufgebaut.

Anschließend kannst du die Fritz!Box hinter der Sophos betreiben. Wie dies geht, habe ich hier kurz erklärt.

Oder funktioniert bei dir IPSEC VPN, wenn du als exposed host die Sophos angibst? Ich hatte damit nur Probleme.
 
Ich habe heute versucht, mein Netzwerk (AD mit DNS) hinter einer Sophos Firewall ins Internet zu bringen.
Aufbau ist folgendermaßen:
WLAN Router - Sophos UTM - Switch - Firmennetzwerk
So weit so gut. Allerdings gelingt es mir nicht, mit den Firmen-PCs ins Internet zu kommen, wenn ich den Windows Server als primären DNS drinlasse, was ich ja tunlichst machen sollte.
Ich kriege lediglich eine Verbindung, wenn ich als primären DNS die Sophos angebe.
Wenn ich im DNS des Windows Server 2012 eine Weiterleitung anlege, findet er den Hostnamen nicht. Gebe ich den Hostnamen an, findet er die IP nicht. Auch dann nicht, wenn ich diese händisch im DNS eintrage.
Kann mir einer sagen, was ich falsch mache?
 
Du hinterlegst ja schon die Sophos IP auf dem AD-Server in den Netzwerkeinstellung beim Feld "Bevorzugter DNS-Server", oder?
 
fuku schrieb:
Ich habe heute versucht, mein Netzwerk (AD mit DNS) hinter einer Sophos Firewall ins Internet zu bringen.
Aufbau ist folgendermaßen:
WLAN Router - Sophos UTM - Switch - Firmennetzwerk
So weit so gut. Allerdings gelingt es mir nicht, mit den Firmen-PCs ins Internet zu kommen, wenn ich den Windows Server als primären DNS drinlasse, was ich ja tunlichst machen sollte.
Ich kriege lediglich eine Verbindung, wenn ich als primären DNS die Sophos angebe.
Wenn ich im DNS des Windows Server 2012 eine Weiterleitung anlege, findet er den Hostnamen nicht. Gebe ich den Hostnamen an, findet er die IP nicht. Auch dann nicht, wenn ich diese händisch im DNS eintrage.
Kann mir einer sagen, was ich falsch mache?
Zum Vergrößern anklicken....

Normalerweise sollte die DNS Reihe wie folgt sein:
Client -> Interner DC -> Sophos -> Provider
Entsprechend also die Sophos im DC als Weiterleitung eintragen und in der Sophos die DNS des Providers (oder sonst irgendwelche öffentlichen).

Hast du DNS Anfragen in der Firewall frei gegeben?
 
Hallo!
Danke für den interessanten Thread. Ich hoffe, Ihr habt nix dagegen, wenn ich kurz eine Zwischenfrage einwerfe:
Ich habe in der Bucht eine günstige RED10 bekommen. Leider ist die jedoch "kaputt geflasht" worden. Da das offizielle Recoverytool von Sophos aber scheinbar nur das RootFS enthält und auf die "Existenz" eines SquashFS oder JFFS (?) hofft bzw. dieses wohl auch beschreiben möchte wäre meine bescheidene Bitte, ob jemand mit einer funktionierenden RED10 folgendes ausprobieren könnte:

Client auf IP 192.168.9.8 setzen und am LAN-Port des RED10 anschließen
RED10 einschalten und nach ca. 5sec eine Telnetsession zu Port 9000 der IP 192.168.9.9 aufbauen
Wenn der Prompt RedBoot erscheint, einfach mal fis list eintippen und das Ergebnis posten

Dann könnte ich sehen, welche Bereiche im Flash angelegt sind (und wie die heißen sollen).

Vielen Dank ;-)
 
Eye-Q schrieb:
Nein, die DMZ kommt an eine separate Netzwerkschnittstelle der UTM, das kann prinzipell auch über virtuelle Hyper-V-Switches gelöst werden.
Du brauchst auf jeden Fall zwei physikalische Netzwerkschnittstellen im T20: eine, die extern mit der Fritzbox und intern mit dem virtuellen Switch verbunden ist, wo die WAN-Schnittstelle der UTM dran hängt, und eine, die extern mit dem LAN-Switch und intern mit der LAN-Schnittstelle der UTM verbunden ist.
Die DMZ wird dann so gelöst, dass Du einen weiteren virtuellen Switch erstellst, wo einerseits der/die Server dran hängt/hängen, der/die in der DMZ stehen soll/en, und andererseits die DMZ-Schnittstelle der UTM.

Somit kannst Du aber den integrierten Switch und das WLAN in der Fritzbox nicht mehr für deine weiteren Clients verwenden, sonst könnte man an der UTM vorbei ins Internet.
Zum Vergrößern anklicken....

Danke erstmal für den Input. Ich habe letztes Wochenende leider keine Zeit gehabt, mir aber unter der Woche noch ein paar Gedanken dazu gemacht. Wäre der Aufbau den ich im Anhang angehängt habe prinzipiell so richtig? Vor allem mit dem TP-Link Router als Switch und WLAN AP. Ist das WLAN so nutzbar? Die UTM habe ich heute bereits auf einer virtuellen Maschine installiert, aber noch nicht eingerichtet.

Als IP Konfiguration der "WAN Seite" habe ich auf dem Bild das Standard Netz der FritzBox genommen, dieses könnte aber ohne Probleme geändert werden. Die "LAN Seite" mit 10.0.0.0/24 würde ich gerne so beibehalten, da ich dieses Netz derzeit nutze und nur ungern an allen Virtuellen Maschinen die IP ändern möchte :-)
 

Anhänge

  • Sophos_Aufbau.PNG
    Sophos_Aufbau.PNG
    7,4 KB · Aufrufe: 129
Zuletzt bearbeitet:
irgendwie klappt das ganze nicht so recht -,-

Ich denke das Problem liegt bei den virtuellen Switches in Hyper-V. Ich bin mir nicht sicher, wie ich diese konfigurieren muss. Extern, intern oder privat?
Meiner Meinung nach brauche ich für die Sophos UTM zwei virtuelle Switche. Einmal einen der zur WAN Seite (172.16.0.0/24) zeigt und einen der in mein LAN (10.0.0.0/24) zeigt.

FritzBox: 172.16.0.1
Sophos UTM: 10.0.0.5

Muss ich dann den WAN Netzwerkadapter (eth1) unter Hyper-V mit z.b. 172.16.0.2 anlegen?

Falls das etwas zur Sachte tut, ich habe in meinen Server jetzt zwei zusätzliche Intel Desktop Gigabitkarten eingebaut. Die Onboard Netzwerkkarte ist immer noch mit der 10.0.0.3/24 aktiv.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh