[Sammelthread] Sophos UTM-Sammelthread

Ich habe gestern Abend meine zwei AP15 in Betrieb genommen. Nach anfänglichen Startschwierigkeiten laufen sie sehr gut.

Nun möchte ich noch ein Gastnetzwerk erstellen, dass abgeschottet vom Rest ist. Kann mir jemand ein Tipp geben, wie ich das am Besten realisiere? Die HotSpot Funktion möchte ich dabei aber nicht unbedingt nutzen.

Das ist ganz easy, du legst einfach unter Wireless Networks ein neues Netzwerk an.

Vergibst einen Namen die gewünschte SSID und das Passwort. Dann wählst du unter Client Traffic "Separate Zone" aus, evtl. noch die weiteren Einstellungen anpassen (Client Isolation wäre in dem zusammenhang noch interessant das verhindert das die Wireless Clients sich untereinander sehen können). Nach dem abspeichern wird für dieses Netzwerk ein virtuelles Netzwerk angelegt. Unter Interfaces legst du dann ein neues Interface an
als Hardware wählst du dann die virtuelle Netzwerkkarte für das WLAn aus die angelegt wurde. Noch eine IP vergeben und speichern. Dann noch einen DHCP Server für dieses Interface anlegen und entsprechende Firewallregeln für dies Netzwerk anlegen. Dann das Wireless Netzwerk noch einem AP zuordnen das wars dann schon.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Kleiner Hinweis: das aktuelle Up2Date 9.314013 sollte noch nicht installiert werden, es gibt ein IPSEC und "Concurrent Connection" Problem.
 
Hallo,

falls es jemanden interressiert, oder jemand die gleichen Probleme mit dem Endpointprotection Client haben.
Ich habe auf WIN 10 upgedated und danach einen clean Install gemacht, danach, gab es Probleme den Sophos Endpointprotection Client zu installieren.
Es konnte keine Netzwerkverbindung hergestellt werden.

Ändert man den Link ab der in der UTM zur Verfügung gestellt wird, klappt es problemlos.
Es ist nur am Ende des Linkes das "slim" durch ein "full" zu ersetzen.
Schon sollte die Installation funktionieren.

Gruß Rocker
 
Zuletzt bearbeitet:
Der UTM Nachfolger "Copernicus" ist jetzt in einer geschlossenen Beta. Soll wohl zum Ende des Monats eine "Public Beta" werden.

https://www.astaro.org/gateway-products/general-discussion/58350-project-copernicus.html

das ganze soll dann "Sophos OS" heißen, basiert alles auf "Cyberoam" die von Sophos aufgekauft wurden. Nach und nach sollen jetzt Features der Astaro/Sophos integriert werden.

Das erste Feedback aus der Community scheint wohl nicht so toll zu sein weil die UI starke Nachteile aufweisen soll und noch viele Features fehlen. Allerdings sollte man bedenken das es halt noch eine Beta ist.

Auf Seite 3, 3 Post in dem oben aufgeführten Link, findet man einen Link über den man auf die Beta Seite gelangt, falls man das ganze mal ausprobieren möchte.
 
Ich habe gestern SSL VPN eingerichtet. Leider funktioniert es nur, wenn ich die DNAT Regel für meinen Webserver (Cloud über Port 8001) ausschalte. Dann ist allerdings der Zugriff auf die Cloud nicht mehr möglich (Permission Denied).

Getestet habe ich das SSL VPN über OpenVPN mit meinem Androidhandy. Kann es sein, dass hier ein Problem vorliegt, da ich für beide Dienste meine dyndns Adresse benutzen möchte. Allerdings mit unterschiedlichen Ports (SSL VPN über Port 443 und den Webserver über Port 8001).
 
Ich habe gestern SSL VPN eingerichtet. Leider funktioniert es nur, wenn ich die DNAT Regel für meinen Webserver (Cloud über Port 8001) ausschalte. Dann ist allerdings der Zugriff auf die Cloud nicht mehr möglich (Permission Denied).

Getestet habe ich das SSL VPN über OpenVPN mit meinem Androidhandy. Kann es sein, dass hier ein Problem vorliegt, da ich für beide Dienste meine dyndns Adresse benutzen möchte. Allerdings mit unterschiedlichen Ports (SSL VPN über Port 443 und den Webserver über Port 8001).
Nein das sollte gleichzeitig funktionieren sofern unterschiedliche Ports verwendet werden.
Was sagt das Firewall LiveLog wenn du dich verbinden willst ? Bzw. das Log des SSL VPN Clients.
 
Man darf gespannt sein wohin der Zug fährt mit der NextGen Firewall bei Sophos. Die Sophos UTM 9 soll ja noch weitere 3 Jahre supported werden. Ich bin mit der Sophos auf der Arbeit sehr gut zufrieden (Web und E-Mail und ein bisschen VPN für ca. 120 Benutzer) und ich hab kein gutes Gefühl diese gegen etwas anderen eintauschen zu müssen.

Daheim stelle ich grad von Sophos auf Lancom um, das hat zwar nicht ein so schönes Interface und es gibt Dinge die dort schwieriger abzubilden sind, aber zumindest bin ich dann bei einer Firewall die nur ein paar Watt verbraucht und auf einer guten Plattform aufgestellt ist die mir nicht in 2-3 Jahren unter den Füßen weggezogen wird.

Das was mir hinsichtlich der UTM 9 Sorge bereit ist, das Sophos für die nächsten 3 Jahre, 3 Plattformen pflegen muss!

- Sophos UTM 9
- Cyberoam
- Sophos OS / Copernicus / NextGen Firewall

Jetzt darf sich jeder gerne selbst ausrechnen wo der Fokus liegen wird, wo noch Features hinzukommen und wo die Bugs schneller ausgemerzt werden.

Mein Post sollte nicht als allgemeines Bashing gesehen werden, aber zum Nachdenken anstimmen was die Richtung angeht.
 
Daheim stelle ich grad von Sophos auf Lancom um, das hat zwar nicht ein so schönes Interface und es gibt Dinge die dort schwieriger abzubilden sind, aber zumindest bin ich dann bei einer Firewall die nur ein paar Watt verbraucht und auf einer guten Plattform aufgestellt ist die mir nicht in 2-3 Jahren unter den Füßen weggezogen wird.
D.h. du baust deine VPNs demnächst über IPSec auf?
 
Fischje: das läuft schon alles. Lancom <-> UTM über IPSec über IPv6 ;)
Der Lancom zieht mir 4,8-5,5 Watt unter 100 Mbit Last aus dem Internet.
 
Nein das sollte gleichzeitig funktionieren sofern unterschiedliche Ports verwendet werden.
Was sagt das Firewall LiveLog wenn du dich verbinden willst ? Bzw. das Log des SSL VPN Clients.

Funktioniert jetzt. Die DNAT Regel war falsch und hat einfach alles was kam an den Webserver weitergeleitet. Jetzt bekommt dieser nur noch das, was er wirklich braucht.
 
Hallo,

Da ich mir momentan Gedanken über die Sicherheit meines Netzwerkes mache wollte ich mal gerne eure Einschätzung bezüglich der Anschaffung einer Sophos UTM hören.

Die Aktuelle Situation sieht folgendermaßen aus:
Internetanschluss VDSL 100Mbit Telekom
Als Router ist eine Fritz box 7490 im Einsatz. (VOIP wird von der Fritz box übernommen soll auch so bleiben)

An dieser sind ca. 25 Geräte angeschlossen Darunter auch zwei Server welche per IIS 8 unter Server 2012 r2 Jeweils 2 Portfreigaben im Router nutzen. (einmal ein FTP Server und einmal der Remotwebacces vom Server 2012 R2 Essentials)

Des Weiteren ist eine VPN Verbindung zu meinem Tablet (Microsoft Surface unter Windows 8.1) in der Fritz box eingerichtet.
Da ich aber auch noch einen ABUS DVR sowie 2 Eigenbau NAS Systeme im selben netzt betreibe kam mir der Gedanke eine Sophos UTM (Eigenbau) hinter die Fritz box zu setzen als Exposed Host.

Diese soll dann eine DMZ für die Beiden Virtuellen Server bereitstellen. (welche den IIS nutzen)

Eventuell den Netzwerkverkehr der anderen Geräte auf Viren untersuchen.

Und meine VPN Verbindung bereitstellen.

Meine Frage lautet daher ob sich der Aufwand sowie die entstandenen Betriebskosten für den Privaten Einsatz rechen (nur im Punkt Sicherheit die anderen Funktionen sind erst einmal nicht relevant) oder ob die Aktuelle Konfiguration mir der einfachen Fritz Box ausreichend ist.

Die Hardware die ich für die UTM einsätzen würde wäre folgende:

Supermicro X9SCMf + 4 GB ECC Ram + E3-1265L V2 + Quad Port Nic (Ja die Hardware ist ziemlich übertrieben :stupid: aber ich habe die Komponenten halt gerade zur Verfügung und müsste somit keine neuen Teile kaufen)
Geplante Software: Sophos UTM Home Edition oder die Essentials Version.

Ich freue mich auf eure Meinungen.:banana:
 
Zuletzt bearbeitet:
Die Sicherheit wird wenn man nicht eine any -> any Regel nutzt sicherlich erhöht werden. Wie hoch liegt dann daran welchen Komfort du haben möchtest.

Die Hardware ist für eine UTM übrigens viel zu überdimensioniert. Ein Aktueller großer Celeron und ein normales Board reichen aus. Dafür würde ich eher 8 GB Ram nehmen. Zumindest wenn du IPS und ATD nutzen möchtest.
 
Hallo,

Da ich mir momentan Gedanken über die Sicherheit meines Netzwerkes mache wollte ich mal gerne eure Einschätzung bezüglich der Anschaffung einer Sophos UTM hören.

Die Aktuelle Situation sieht folgendermaßen aus:
Internetanschluss VDSL 100Mbit Telekom
Als Router ist eine Fritz box 7490 im Einsatz. (VOIP wird von der Fritz box übernommen soll auch so bleiben)

An dieser sind ca. 25 Geräte angeschlossen Darunter auch zwei Server welche per IIS 8 unter Server 2012 r2 Jeweils 2 Portfreigaben im Router nutzen. (einmal ein FTP Server und einmal der Remotwebacces vom Server 2012 R2 Essentials)

Des Weiteren ist eine VPN Verbindung zu meinem Tablet (Microsoft Surface unter Windows 8.1) in der Fritz box eingerichtet.
Da ich aber auch noch einen ABUS DVR sowie 2 Eigenbau NAS Systeme im selben netzt betreibe kam mir der Gedanke eine Sophos UTM (Eigenbau) hinter die Fritz box zu setzen als Exposed Host.

Diese soll dann eine DMZ für die Beiden Virtuellen Server bereitstellen. (welche den IIS nutzen)

Eventuell den Netzwerkverkehr der anderen Geräte auf Viren untersuchen.

Und meine VPN Verbindung bereitstellen.

Meine Frage lautet daher ob sich der Aufwand sowie die entstandenen Betriebskosten für den Privaten Einsatz rechen (nur im Punkt Sicherheit die anderen Funktionen sind erst einmal nicht relevant) oder ob die Aktuelle Konfiguration mir der einfachen Fritz Box ausreichend ist.

Die Hardware die ich für die UTM einsätzen würde wäre folgende:

Supermicro X9SCMf + 4 GB ECC Ram + E3-1265L V2 + Quad Port Nic (Ja die Hardware ist ziemlich übertrieben :stupid: aber ich habe die Komponenten halt gerade zur Verfügung und müsste somit keine neuen Teile kaufen)
Geplante Software: Sophos UTM Home Edition oder die Essentials Version.

Ich freue mich auf eure Meinungen.:banana:

Mehr RAM reinstecken und die UMT virtualisieren. Dann kannst du den Rest der Ressourcen für andere Applikationen zusätzlich nutzen :)
 
Danke für die Antworten.

Mehr RAM reinstecken und die UMT virtualisieren. Dann kannst du den Rest der Ressourcen für andere Applikationen zusätzlich nutzen :)

Über eine Virtuele UTM habe ich auch schon nachgedacht. Aber wäre die Sicherheit nicht stark gefärdetet durch den Hypervisor?

Es wären ja alle Netze der UTM (WAN, DMZ, LAN) auf einem Hoste vertreten. Wenn es jemandem also gelingen würde aus dem Virtuellen Switch auszubrechen, wäre ein zugrif auf das gesamte netzt möglich ohne das die UTM handeln könnte.

Im menem Fall wurde ich dann auf Hyper-V setzen. Eventuell im Failover mit dem bestehenden Server:xmas:
 
Zu virtualisieren ist nicht so sicher wie eine bare metal installation. Unsicher würde ich es dennoch bei weitem nicht bezeichnen.

Im Failover Cluster müsstest du aber auch deine Verkabelung komplett clustern. Das können ein paar viele Switche werden. ;)
 
Im Failover Cluster müsstest du aber auch deine Verkabelung komplett clustern. Das können ein paar viele Switche werden. ;)

War ja auch nur so ein Gedanke:bigok:

Welche Erfahrungen habt ihr eigentlich mit der Sophos entpoint Protection gemacht?

Kann die mit Kaspersky oder Norton/ Samantec Mithalten?

Das wäre ja ein schöner Bonus und Anreiz eine UTM zu installieren bei 12 Geschützen Rechnern.
 
Zuletzt bearbeitet:
Auf jeden Fall besser als das was Microsoft abliefert :d

Microsoft überascht mich nach "ich verkaufe alle deine Daten 10" nicht mehr :wut:

Bevor ich jetzt anfange die UTM aufzusetzen, hab ich noch eine Frage.

Ich will natürlich die zeit in der meine Server nicht ereichbar sind so gering wie möglich halten. Funktioniert die Portweitereleitung bei der UTM genauso wie bei den standart Routern oder muss ich noch weitere einstellungen tätigen bevor die UTM den Servern die Ports wieder frei gibt? (Nur bezüglich der Portweiterleitung, die Grundkonfiguration mache ich bevor ich die UTM vor mein Netz hänge).
 
Port-Weiterleitung (DNAT) funktioniert analog zu jeder Fritz Box.

Bei Webserver (du hattest doch IIS im Einsatz?) hast du auf der UTM alternativ noch die Möglichkeit, statt einer Port-Weiterleitung einen Reverse Proxy zu benutzen. Der bietet noch weitere Sicherheitsfunktionen und die Möglichkeit, hintern einem Socket mehrere Webserver anzubinden.
 
Ich hab die Sophos immer mal wieder ein einer VM laufen um mich einwenig durch zu klicken und damit rum zu spielen.
Tendenziell würde ich die schon gerne nutzen auch wenn es mehr der nice to have Aspekt ist.

Mir stellt sich gerade nur die Frage ob ich die WLAN-Protection auch ohne die AP von Sophos nutzen kann.
[URL="https//www.neise.de/sophos-utm-astaro/wireless-protection/gast-wlan-mit-lancom-ap-sophos-utm.html[/URL] hier hat das jemand für ein Gäste WLAN beschrieben mit Lancom HW.
Leider geht die Seite akt. bei mir nicht und ich weiß das genaue Modell nicht, ich weiß nur dass es recht teuer war.
Kann man sowas auch mit günstiger HW hinbekommen oder geht kein Weg an den Sophos AP´s vorbei, wobei die AP10 glaube recht erschwinglich wären.
 
Du kannst die Hotspot-Funktion auf einzelne LAN-Interfaces legen. Damit steht dir jede erdenkliche Möglichkeit offen, das anzubinden:
  • An eine einzelne NIC > physikalische Trennung der Netze LAN und WLAN
  • VLAN an ein Switch > du kannst ein VLAN-fähiges Switch verwenden und auf diesem in physikalische Netze trennen
  • VLAN im Netzwerk > wenn dein AP (und die verwendeten Switche) VLANs beherrschen kannst du den Aufbau aus deiner Anleitung umsetzen: klick

Es gibt auch günstigere APs, die VLAN fähig sind. Ich nutze z.B. einen geflashten TP-Link Router mit OpenWRT und VLANs in Kombination mit der UTM. Das ist dann natürlich eine Bastellösung mit all ihren Vor- und Nachteilen.


Die Sophos APs sind meiner Meinung nach für die gebotene Leistung recht teuer, erst recht im privaten Umfeld.
 
Zuletzt bearbeitet:
Hallo Zusammen,

ich habe ein DNS problem mit der UTM und vielleicht hat spontan jemand ein Tip wie ich das lösen kann.

Ich habe hier eine UTM laufen, bei der ich geplant hatte vorerst nur den DNS zu nutzen.
Als forwarder sind die Provider DNS eingegeben und die einzige Aufgabe sollte sein, für Anfragen aus dem internen Netz meine DynDNS Adresse (host.noip.me) auf die interne IP meines Servers zu verbiegen, damit vom LAN der Traffic für meine Privat-Cloud nicht durch den Router muss (der Sync ist nicht so schnell wie er sein könnte).

Auf dem "großen" PC kann ich das mit einem Eintrag in der hosts Datei lösen und das fürht auch zu dem gewünschten gewindigkeits Schub, für mobile Geräte die auch mal von außen kommen geht das nicht. Darum die Idee mit dem eigenen DNS welcher diesen Eintrag statisch auf eine interne IP biegt.

Hier geht das Problem los, den statischen Host kann ich zwar einrichten, aber sobald ich eine IP aus dem Internen LAN angebe, kommt keine DNS Auflösung mehr zurück (Adresse wird nicht gefunden). Mappe ich den Eintrag z.B. auf einen belibige externe IP (z.B. 8.8.8.8) dann wird host.noip.me auf diese Adresse gelinkt. Warum geht das nicht mit internen IPs? Ich habe diesbezüglich kleine Einstellungen gefunden die das verbieten würden.

Beste grüße
Matthias
 
Welchen Router von TP-Link hast du?
Wenn ich bei Geizhals nach OpenWRT suche gibt es da jede Menge von TP-Link die wohl, so verstehe ich das gerade mal, von Haus aus mit OpenWRT laufen. KLICK
 
Ich betreibe privat einen TL-WDR4300. Aber wie gesagt, das ist eine Bastellösung. Und nicht alle TP-Links können VLANs auf dem Ethernet-Switch.
 
Ich hätte da mal eine Verständnisfrage.

Bevor ich evtl. mit der Sophos wirklich in Betrieb gehen will, habe ich das ganze unter einer VM laufen.

Ziel war es einen TS-Server dahinter zu betreiben.
Geholfen haben die diese beiden Seiten:
Seite1
und
Seite2

Nach etwas Missverstädnis hats dann doch geklappt.
Nur frage ich mich warum muss ich die NAT-Regel so einstellen?
sophos.JPG

Ich hätte jetzt eigentlich so gedacht:
Datenverkehrsquelle: Internet
Datenverkehrsdienst: TS-Ports
Datenverkehrsziel: S-Debian-VM

Das Ziel hätte ich nicht geändert, aber ohne dies wollte er die Regel schon nicht erstellen.
HW-technische Sieht das so aus:
INET->Fritzbox mit Exposed Host die UTM->ich nenne es mal ein vSwitch von VirtualBox

Wo fehlt mir hier gerade das Verständnis?
Auch die FW-Regel die ich beim erstellen der NAT-Regel automatisch erstellen ließ sehe ich nicht, oder
gibt im Webmin nen Button damit man die sehen kann?

edit:
Habe den Button gefunden
 
Ich hätte da mal eine Verständnisfrage.

Bevor ich evtl. mit der Sophos wirklich in Betrieb gehen will, habe ich das ganze unter einer VM laufen.

Ziel war es einen TS-Server dahinter zu betreiben.
Geholfen haben die diese beiden Seiten:
Seite1
und
Seite2

Nach etwas Missverstädnis hats dann doch geklappt.
Nur frage ich mich warum muss ich die NAT-Regel so einstellen?
Anhang anzeigen 333244

Ich hätte jetzt eigentlich so gedacht:
Datenverkehrsquelle: Internet
Datenverkehrsdienst: TS-Ports
Datenverkehrsziel: S-Debian-VM

Das Ziel hätte ich nicht geändert, aber ohne dies wollte er die Regel schon nicht erstellen.
HW-technische Sieht das so aus:
INET->Fritzbox mit Exposed Host die UTM->ich nenne es mal ein vSwitch von VirtualBox

Wo fehlt mir hier gerade das Verständnis?
Auch die FW-Regel die ich beim erstellen der NAT-Regel automatisch erstellen ließ sehe ich nicht, oder
gibt im Webmin nen Button damit man die sehen kann?

edit:
Habe den Button gefunden

Wenn du dich wie in deinem Fall mit einem Teamspeakserver im Internet verbindest gibst du ja deine externe IP Adresse/Hostnamen als Serveradresse an. Somit landet die Verbindung auf deiner Fritzbox wird durch den Exposed Host direkt an die UTM auf die IP des WAN Interfaces weitergeleitet. Die UTM muss diese Verbindung nun an den jeweiligen Server weiterleiten. Jegliche Kommunikation von und ins Internet erfolgt ja über die UTM und einzig die External Network (Address) ist aus dem Internet erreichbar.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh