[Sammelthread] Sophos UTM-Sammelthread

[paulianer]

Du musst das interne Netz als Extern konfigurieren und an eine der NICs binden. Auf dem Switch erlaubst du dem Hyper-V Host ebenfalls die Kommunikation.

Das externe Netz zur Fritz.Box konfigurierst du ebenfalls als Extern auf einer anderen NIC, hier erlaubst du dem Hyper-V Host keine Kommunikation. Da musst du auch keine IP auf dem Hyper-V konfigurieren, da dieser gar nicht mit dem Bereich der Fritz.Box kommunizieren sollte. Die IP musst du dann auf dem WAN-Interface der Sophos UTM konfigurieren, welches am entsprechenden Switch hängt.

 

[waste]

Ja genau, so habe ich das nach einer englischen Anleitung auch gemacht. Pingen klappt auch schon. Nur der Browser will noch keine Seite auflösen.

Edit: jetzt funktioniert auch das Surfen Mir war nicht klar, dass die Firewall erstmal alles blockt. Danke nochmal für deine Hilfe.

 

[waste]

Ich habe leider noch Probleme beim Einrichten der DMZ. Ich will in der DMZ meine Cloud (Ubuntu Server) betreiben und habe es mittlerweile schon so weit konfiguriert, dass ich von der DMZ aus meinen Router pingen kann. Ein Ping in das interne Netz klappt wie gewünscht nicht. Nur leider kann ich wenn ich meinen Laptop in das 172er Netz hänge weder das DMZ Interface pingen noch den Server in der DMZ. Ich denke, der Fehler liegt irgendwo im Bereich Firewall/NAT/Maskierung, nur wo? Ich hab schon einiges ausprobiert, leider ohne Erfolg. Im Anhang habe ich ein paar Screenshots eingefügt.

Hier noch kurz mein derzeitiger Aufbau:
DMZ: 192.168.178.0/24
WAN: 172.16.0.0/24
LAN: 10.0.0.0/24

Sophos UTM 10.0.0.5
FritzBox 172.16.0.1
WAN Interface in der Sophos 172.16.0.2
DMZ Interface in der Sophos 192.168.178.1
Server in der DMZ: 192.168.178.2

Wenn man auf der Sophos mittels DynDNS eine Adresse einträgt, wie sieht es dann eigentlich mit Portforwarding auf der FritzBox aus?

Außerdem würde mich interessieren, wie gut die Endpoint Protection auf Client PCs ist. Ich habe sie mal auf meinem Desktop und meinem Laptop installiert. Im Internet findet man leider keine aktuellen Test über die Endpoint Security and Control. Taugt die was? Also im Zusammenhang mit Hirn einschalten beim surfen und Adblock.

Grüße

Sebastian

 

[paulianer]

Ist es gewollt, dass die Regeln (Firewall, Masquerading) teilweise deaktiviert sind?
Wie "hängst" du das Notebook in die DMZ? Schließt du das Notebook an einem Switch an welches in der DMZ hängt? Oder ist das Notebook im LAN mit der DMZ-IP?

 

[Eye-Q]

Nur leider kann ich wenn ich meinen Laptop in das 172er Netz hänge weder das DMZ Interface pingen noch den Server in der DMZ. Ich denke, der Fehler liegt irgendwo im Bereich Firewall/NAT/Maskierung, nur wo? Ich hab schon einiges ausprobiert, leider ohne Erfolg. Im Anhang habe ich ein paar Screenshots eingefügt.

Wie schon von paulianer geschrieben, müssen die Firewall-Regeln nach dem Erstellen auch noch aktiviert werden (Schieber auf "I"). Das DNAT brauchst Du nicht und kannst es wegschmeißen, die Maskierung External -> DMZ ebenfalls.

Wenn man auf der Sophos mittels DynDNS eine Adresse einträgt, wie sieht es dann eigentlich mit Portforwarding auf der FritzBox aus?

DynDNS setzt ja nur die ständig wechselnde öffentliche IP-Adresse in einen festen DNS-Namen um, das tangiert die Fritzbox überhaupt nicht und die lässt erstmal nichts von außen rein. Die Fritzbox bekommt auch überhaupt nicht mit, ob jemand von extern den DynDNS-Namen oder die IP-Adresse in den Browser, den FTP-Client oder wasauchimmer eingetippt hat, denn letztendlich wird die immer über die IP-Adresse angesprochen.
Deswegen muss auf jeden Fall ein Portforwarding gemacht werden, und um es zu vereinfachen, sollte die UTM als Exposed Host eingerichtet werden, damit jedweder Verkehr an die UTM geht und die dann filtern kann. Sonst könnte es sein, dass z.B. Port 443 auf der UTM weitergeleitet ist, aber nie irgendwelcher Verkehr dafür kommt, weil die Fritzbox das schon nicht an die UTM weiterleitet.

 

[waste]

Ist es gewollt, dass die Regeln (Firewall, Masquerading) teilweise deaktiviert sind?
Wie "hängst" du das Notebook in die DMZ? Schließt du das Notebook an einem Switch an welches in der DMZ hängt? Oder ist das Notebook im LAN mit der DMZ-IP?

Ja das ist gewollt, hier habe ich ein bisschen rumprobiert, was welche Auswirkungen hat. Das Notebook schließe ich am am zweiten LAN Port der FritzBox an, es ist also nicht im Netz der DMZ. Sorry falls das etwas falsch rüber gekommen ist.

Wie schon von paulianer geschrieben, müssen die Firewall-Regeln nach dem Erstellen auch noch aktiviert werden (Schieber auf "I"). Das DNAT brauchst Du nicht und kannst es wegschmeißen, die Maskierung External -> DMZ ebenfalls.


DynDNS setzt ja nur die ständig wechselnde öffentliche IP-Adresse in einen festen DNS-Namen um, das tangiert die Fritzbox überhaupt nicht und die lässt erstmal nichts von außen rein. Die Fritzbox bekommt auch überhaupt nicht mit, ob jemand von extern den DynDNS-Namen oder die IP-Adresse in den Browser, den FTP-Client oder wasauchimmer eingetippt hat, denn letztendlich wird die immer über die IP-Adresse angesprochen.
Deswegen muss auf jeden Fall ein Portforwarding gemacht werden, und um es zu vereinfachen, sollte die UTM als Exposed Host eingerichtet werden, damit jedweder Verkehr an die UTM geht und die dann filtern kann. Sonst könnte es sein, dass z.B. Port 443 auf der UTM weitergeleitet ist, aber nie irgendwelcher Verkehr dafür kommt, weil die Fritzbox das schon nicht an die UTM weiterleitet.

Ok danke, ich werde mich morgen Abend nochmal hinsetzen und deine Schritte befolgen und dann Rückmeldung geben ob es klappt oder nicht

 

[waste]

N´abend, ich schon wieder

Ich habe jetzt die FritzBox als Exposed Host konfiguriert und alle überflüssigen Regeln(Firewall, NAT, Masquerading) über Bord geworfen. Nur leider bekomme ich immer noch keine Verbindung vom 172er Netz in die DMZ rein. Außerdem habe ich bemerkt, dass ich von der DMZ aus nicht ins Internet komme, es funktioniert kein Ping z.B. in Richtung Google. Er löst allerdings die Adresse richtig auf, also liegt es an der Rückroute?

 

[affabanana]

Es gibt einen Menu Punkt wo IGMP weiterleiten angehackt sein muss.
Darum Kommt beim Ping ins Internet Hinaus nix retour.
Arbeitet wife angedacht.

Du musst noch ein paar Firewallregel erstellen.
Von Dmz ins Internet
Von Lan ins Dmz

Dann noch eine Nat Regel vom DMZ ins Internet. Jee nach netzaufbau bei Dir.

 

[Gelöschtes Mitglied 201764]

du kannst es mal mit einer Regel versuchen das alles raus darf

 

[waste]

Nachdem ich die Firewallregeln erstellt habe, geht der Ping von der DMZ jetzt auch in Richtung Internet. DynDNS habe ich auf der Sophos auch schon eingerichtet. Das letzte was mir jetzt noch fehlt, ist der Zugriff von extern auf die Cloud via der DynDNS Adresse. Intern via IP-Adresse funktioniert schon. Bisher bekomme ich immer die Meldung "Forbidden You don't have permission to access / on this server." wenn ich von extern darauf zugreifen will.

 

[o$$!ram]

HI Leute,

ich bin gerade dran bei mir im Geschäft die Sophos Essential zu installieren.
Internet von den Clients/Servern klappt alles. Nur leider bekomme ich die VPN (PPTP) Verbindung nicht hin - also das Forwarding an den Server.

Wir haben es so installiert:
VDSL 50 -> Fritzbox 7390 (192.168.178.1) -> Sophos UTM (192.168.178.2) -> Firmennetzwerk (10.10.10.x)

Auf der Firtzbox habe ich ein Portforwarding der VPN (PPTP) Protokolle (TCP 1723 & GRE) an die Sophos (192.168.178.2) eingerichtet. Und auf der Sophos dann eine Weiterleitung per dNAT (laut Sophos Anleitung eingerichtet) auf den Server (10.10.10.4) und auch die entsprechenden Firewall Regeln erstellen lassen.

Soweit so gut, doch leider funktioniert es nicht. Im Firewall Protokoll werden die Anfragen protokolliert, allerdings abgewiesen bzw. verworfen.

Kann mir jemand weiterhelfen?


EDIT: ich hab es hinbekommen!
Ich hab eine andere Anleitung gefunden: http://www.virtualizationhowto.com/2015/02/configure-port-forwarding-sophos-utm/ nun hat es geklappt. Entweder hab ich die von Sophos falsch verstanden oder ich war einfach nur zu doof

Egal, es funktioniert!

 

[Fischje]

huhu. ich wollte kurz berichten, falls jemand noch probleme haben sollte mit vpn client:

mann muss das teil wegen den änderungen an den netzwerk adaptern immer als administrator unter wíndows starten.

nervt bisschen, weil wenn der service nur installiert wird das nicht direkt bei mir klappte. dachte ich erwähne es hier mal....

 

[defg1]

Mahlzeit der Gemeinde.

Hoffe, dass ich mit meinem anliegen hier richtig bin. Wenn nicht, bitte in den richtigen Bereich verschieben.
Zu meinem Problem:

Habe bist Dato immer eine private UTM (ASG) am laufen gehabt, bis sich meine ISP 2150 vor zwei Wochen nach langer Dienstzeit verabschiedet hat. Hab mir eine Sophos SG 135 zugelegt. Mit der 30 Tage Test Lizenz funktioniert alles wie gewohnt. Nur wenn ich die Voll Lizenz einspiele hab ich plötzlich kein W-Lan und keinerlei Protektion mehr am Laufen. Wo könnte da der Fehler liegen? Bitte um Hilfe.

 

[Eye-Q]

huhu. ich wollte kurz berichten, falls jemand noch probleme haben sollte mit vpn client:

mann muss das teil wegen den änderungen an den netzwerk adaptern immer als administrator unter wíndows starten.

nervt bisschen, weil wenn der service nur installiert wird das nicht direkt bei mir klappte. dachte ich erwähne es hier mal....

Zur Sicherheit: Du meinst den SSL-VPN-Client, richtig?

Bei mir funktioniert der Dienst einwandfrei, ich habe inzwischen 18 Einwahl-VPNs zu Kunden darüber laufen und das klappt wunderbar auch ohne Start des Clients als Administrator.
Wahrscheinlich wurde der Client bei der Installation nicht als Administrator installiert.

Nur wenn ich die Voll Lizenz einspiele hab ich plötzlich kein W-Lan und keinerlei Protektion mehr am Laufen. Wo könnte da der Fehler liegen? Bitte um Hilfe.

Was hast Du für eine "Voll-Lizenz"? Die SG braucht eine andere Lizenz als eine alte ASG oder UTM.

 

[Fischje]

Zur Sicherheit: Du meinst den SSL-VPN-Client, richtig?

ja

Wahrscheinlich wurde der Client bei der Installation nicht als Administrator installiert.

Doch. Habe ihn extra noch einmal installiert als Administrator. Selbes Ergebnis.

Ein Neustart dannach hats übrigens behoben

 

[defg1]

@ Eye-Q

Ist mir schon klar, dass die ASG nicht auf der SG funktioniert. Habe auch eine SG-Lizenz für die SG mit dem mitgelieferten Schlüssel erstellt. Nur wenn ich die erstellte Lizenz einspiele, sind die Felder wie zb. W-Lan ausgegraut und ich kann zb. die W-Lanknoten AP 30 nicht administrieren. Wenn ich die Test-Lizenz für die SG zurückspiele, kann ich alles wie gewohnt administrieren.

 

[Eye-Q]

Mach' mal bitte einen Screenshot von Verwaltung -> Lizenzen (bzw. Management -> Licensing, wenn der WebAdmin auf englisch eingestellt ist), während die "Voll-Lizenz" eingespielt ist.

 

[defg1]

So hier mal einige Screenshots

 

[Fr3@k]

Leider kann man auf den Screenshots nicht wirklich was erkennen. Aber du wirst die SG ja bei einem Partner gekauft haben also würd ich mich einfach an diesen wenden.

 

[defg1]

Der Partner ist Future-X und die haben mich an Sophos direkt verwiesen, von denen ich auch den Lizenschlüssel bekommen habe. Hab heute in MY UTM gesehen, dass wenn ich die erstellte Lizenz anklicke da drinnen steht das die für die SG210 ist. Glaube da liegt der fehler.

 

[Cyrrel]

Hi,

weiß jemand ob es für Schulen eine Art EDU Lizenz gibt? Konnte auf der Homepage nur herausfinden dass auch Schulen als Kunden gelistet werden, aber da das Geld immer klamm ist...

 

[Opticum]

Cyrrel: es gibt Rabatte für öffentliche Einrichtungen, aber keine speziellen EDU Lizenzen. Die Angaben sind ohne Gewähr die Rabatte bewegen sich nicht in einem Rahmen wo man eine Entscheidung von abhängig machen würde.

 

[Cyrrel]

hm schade, dann wird das wohl doch auf ipFire bei dem Projekt hinauslaufen.

Danke dir!

 

[defg1]

Guten Morgen,

hab jetzt die korrigierte Lizenz(SG135) erhalten. Wenn ich die aber einspiele, sehe ich in der Lizenz kein Anfangs und Enddatum der Protektion (siehe Fotos). Muss ich da jetzt noch was dazukaufen? Bei der Testlizenz sehe ich die Daten und kann alles Administrieren.

 

[Opticum]

defg1: schaut seltsam aus, wieso wendest du dich nicht an deinen Sophos Partner der dir das verkauft hat?

 

[defg1]

Hab schon wie gesagt den Partner angesprochen, aber die haben mich an Sophos weitergeleitet, da die nur die Hardware verkaufen.

 

[Saburr]

Hallo,

ich benötige folgende Einstellung.

Intern im Netzwerk gibt es einen Server. Dieser soll von extern über einen bestimmten Port erreichbar sein. Firewallregel dafür ist angelegt und funktioniert auch.

In der Software, welche über extern erreichbar sein soll steht die feste IP und der Port. Und hier ist das Problem. Möchte ich die Software intern nutzen geht es nicht, da er die feste externe IP aufruft.

Wie muss ich eine Regel anlegen, dass er sozusagen merkt, dass er bei uns schon intern ist, und dann direkt auf den internen Server geht?

Vielen Dank.

Grüße

 

[Fr3@k]

Eine saubere Lösung wäre in der Software statt der IP einen Hostnamen einzugtragen, dieser wird intern bei dir im Netzwerk einfach direkt auf die interne IP aufgelöst und von extern auf die externe IP.
Evtl. könnte es funktionieren wenn du eine DNAT Regel baust die wie folgt aussieht:

 

[Saburr]

Vielen Dank für die Hilfe.

 

[teqqy]

Ich habe gestern Abend meine zwei AP15 in Betrieb genommen. Nach anfänglichen Startschwierigkeiten laufen sie sehr gut.

Nun möchte ich noch ein Gastnetzwerk erstellen, dass abgeschottet vom Rest ist. Kann mir jemand ein Tipp geben, wie ich das am Besten realisiere? Die HotSpot Funktion möchte ich dabei aber nicht unbedingt nutzen.