[Sammelthread] Sophos UTM-Sammelthread

[paulianer]

Ich würde so vorgehen:
Die gewünschten NICs bridgen mit einer IP.
An jede NIC ein Gerät aus dem gleichen Subnetz hängen.
Bridge <> Gerät anpingen.

Wenn das funktioniert bist du schon einen großen Schritt weiter. Dann muss noch geklärt werden, warum sich die Gertäte "über die Bridge hinweg" nicht erreichen können.


Am Rande: Die Firewall hat damit gar nichts zu tun, eine Bridge arbeitet auf Layer 2, die Firewall erst auf 3. Stell nur sicher, dass die UTM selbst auf Pings antwortet.

 

[Tr4c3rt]

Bridge <> Gerät anpingen.

Funktioniert nicht, genau so habe ich es gerade nochmal aufgebaut.
DHCP auf der Brücke funktioniert aber.

 

[TCM]

Sicherheitspaket UTM von Sophos löchrig | heise Security

Falls noch irgendjemand Bedenken hat, ob es eine tolle Idee ist, eine "Firewall" mit soviel Schnickschnack zu überladen.

 

[paulianer]

Funktioniert nicht, genau so habe ich es gerade nochmal aufgebaut.
DHCP auf der Brücke funktioniert aber.

Antwortet die UTM auf Pings wenn du keine Bridge einsetzt?

 

[Tr4c3rt]

Antwortet die UTM auf Pings wenn du keine Bridge einsetzt?

Ja

Endgerät an der Bridge:
Ping 192.168.11.1 (UTM) Zeitüberschreibung der Anforderung
Ping 192.168.11.2 (erster Switch): Zielhost nicht erreichbar

Wie gesagt die Adresszuweisung klappt 1a, das kann es also nicht sein.
Firewall steht komplett auf Durchzug

 

[besterino]

Du musst aber schon ALLE Ports, die miteinander sprechen sollen, in die Bridge einbeziehen?

Das Feature heißt wirklich "bridging" und Du musst eine spezielle Schnittstelle (br0) definieren. Hier ein Beispiel für eine WLAN/Eth bridge. Sollte genauso laufen, nur dass Du eben mehrere Eth-Ports auswählst.

 

[Tr4c3rt]

Ich hab doch 3 Stück ausgewählt, die derzeit miteinander kommunizieren sollen?!
(eth3, eth4, eth5)

 

[paulianer]

So also ich habe dein Vorhaben gerade in einer VM getestet und es funktioniert bei mir wie erwartet. Auf welcher Hardware läuft deine UTM?

 

[Tr4c3rt]

Wow vielen Dank für den Aufwand...
Das rennt bei mir auf einem ESXI 6.0 Host und wird weitergeleitet an 7 Intel Gigabit Nics.
Ich hab die entsprechenden eth Ports alle einzeln getestet, an einer fehlerhaften Zuordnung/Weiterleitung kann es nicht liegen.

Hast du bei der Brücke noch irgendwelche zusätzlichen Einstellungen vorgenommen?



Hab ich sonst noch irgendwelche Einstellungen vergessen? (Firewall steht auf br0 -> Any -> Any -> Allowed, sonst habe ich Nichts mehr hinzugefügt)

ädit: Was mir jetzt gerade eingefallen ist, zur allergrößten Not könnte ich die entsprechenden Netzwerkports über esxi auch einem v switch zuweisen und dann der UTM nur einen Netzwerkanschluss durchreichen.
Aber die sauberere Lösung wäre natürlich Dein Weg!
Wenn er denn funktioniert.

 

[Eye-Q]

Der Aufwand, drei physikalische Netzwerkkarten in der Sophos zusammenzuschalten ist deutlich höher als im ESXi, wo man die einfach an den virtuellen Switch hängt, an dem die Sophos mit dem WAN-Port hängt, deswegen würde ich das so machen.

 

[paulianer]

[...]
Das rennt bei mir auf einem ESXI 6.0 Host und wird weitergeleitet an 7 Intel Gigabit Nics.
[...]

Da fehlt dann vermutlich nur eine Einstellung, die Lösung hatte besterino schon eine Seite zuvor angedeutet:

Netzwerkbrücke ist grds. schon richtig. Wenn ich mich richtig erinnere: Ich glaube, Du musst die NICs in den promiscious mode setzen, wenn sie alle im selben Subnetz sein sollen, damit sie auch Pakete bearbeiten die nicht unmittelbar für sie selbst bestimmt sind.[...]

Getestet habe ich das auf Hyper-V, da kannst du in den erweiterten Einstellungen der virtuellen Netzwerkkarte MAC-Spoofing erlauben. Sobald erlaubt kann ich über alle virtuellen Karten die IP der Brücke erreichen, ohne nur über die NIC mit der niedrigsten MAC. Kommunikation über die Brücke hinweg konnte ich heute mangels VMs noch nicht testen

Bitte berichte, ob es damit wie gewünscht funktioniert!

 

[besterino]

Unter ESXi helfen Dir vielleicht folgende Links weiter:

How promiscuous mode works at the virtual switch and portgroup levels
Configuring promiscuous mode on a virtual switch or portgroup

Und ein älteres HowTo (vielleicht fängst Du damit an)

 

[Tr4c3rt]

Vielen Dank an euch Alle.
Werde es jetzt gleich teste, Rückmeldung bekommt ihr natürlich.

ädit: Volltreffer, vielen Dank.
Genau da lag der Fehler.

Ich hab die Switche umgestellt, die UTM einmal neugestartet und schon klappt es genau wie gewünscht.

 

[besterino]

Na also und Glückwunsch. Mach ein kleines HowTo draus und stell es doch hier rein, also welche Einstellungen genau unter ESXi und was in der UTM.

 

[Tr4c3rt]

In der UTM war es jetzt unter dem Strich wirklich nur die Bridge ohne Sondereinstellungen.
Dazu natürlich die Firewallregeln.

Zu den esxi Einstellungen mache ich morgen etwas fertig, muss jetzt dringend ins Bett.

Vielen Dank auf jeden Fall nochmal an Alle.

ädit: Das hier trifft es im Kern, da muss ich eigentlich nicht mehr groß was schildern:


Log into the ESXi/ESX host or vCenter Server using the vSphere Client.
Select the ESXi/ESX host in the inventory (in this case, the Snort server).
Click the Configuration tab.
In the Hardware section, click Networking.
Click Properties of the virtual switch for which you want to enable promiscuous mode.
Select the virtual switch or portgroup you wish to modify and click Edit.
Click the Security tab.
From the Promiscuous Mode dropdown menu, click Accept.

Ich schreib aber trotzdem morgen nochmal ein bisschen was dazu.

 

[Lightflasher]

Moin zusammen,

mal eine kleine kurze Frage am Rande. Bei aktiver Webprotection greift diese vor den normalen Firewall Regeln oder?

Grüße

 

[paulianer]

Also zumindest im transparenten Modus greif der Proxy die Ports vor der Firewall ab. Im Standard-Modus weiß ich es aus dem Stegreif nicht.

 

[[SoD]r4z0r]

Hallo zusammen,

habe mir jetzt auch für zu Hause Hardware für eine UTM gegönnt. Aber da ich ein gutes Händchen habe klappt natürlich noch nicht einmal die Installation.
Meine Hardware:
- Intel i3-6100
- Gigabyte GA-H170N-WIFI
- 2x4GB G.Skill 2400 Value RAM 1.2V
- Kingston 120GB SSD (M.2, läuft aber über SATA bzw. AHCI)
Die auf dem Board verbauten Netzwerkcontroller sind: Intel I211-AT, Intel I219-V, Intel Dual Band Wireless AC8260.

Ich versuche UTM 9.317 per USB-Stick mit folgendem Tutorial zu installieren: Fastvue Sophos Reporter Creating Your Own Sophos UTM Bootable USB Installation Drive
Beim Setup kommt erst die Meldung das nur ein NIC erkannt wurde (der Intel 219-V wird nicht erkannt) und dann bleibt er bei dem Schritt "Hardware Detection" bei 66% (Detecting other devices) hängen.
Habe natürlich schon die Google-Suche bemüht und im Bios sämtliche nicht benötigte Sachen ausgeschaltet. Leider ohne Funktion. Ob ich DVI oder HDMI verwende macht keinen Unterschied.

Habt ihr Tipps oder selber schon mal das Problem gehabt?

 

[bacon]

Aktuell versuche ich einen Webserver aufzusetzen der mit der WAF geschützt werden soll.

Da dies im Moment nicht so klappt wie ich mir das vorstelle muss ich hier mal nachfragen.

Umgebung sieht wiefolgt aus:
Proxmox mit laufender UTM und einer Debian Jessie 8 Container

Ansich kein Thema:
In der WAF den Real Webserver angelegt und einen virtuellen Webserver angelegt.
Im Apache die vHost angelegt und getestet.
Nur lande ich immer wieder auf der default-site des Apache und nicht im Verzeichnis das im vHost angelegt ist.

Nach langem hin und her habe ich es auf den Apache geschoben.
Jetzt habe ich einen weitern Container angelegt und den mit dem externen LAN verbunden, Apache mit PHP installiert und einen vHost angelegt. Siehe da geht.

Somit muss das wohl an der Sophos liegen. Aber was macht mir da nen Strich durch die Rechnung?
Habe auch eine HTTPS Verbindung angelegt und getestet. Nur wenn ich auf den HTTPS-Real-Webserver verweise kommt ein oranges Ausrufezeichen im virt. Webserver
und beim Aufruf ein 503 Error. Verweise ich auf den HTTP-virt Webserver klappt auch eine HTTPS Verbindung.

Habe mir bei Neise.de und andere Tutorials angeschaut und die haben ja auch nichts anderes gemacht wie ich. Also in der Basis-Config zumindest.

Was mache ich falsch?

 

[Fr3@k]

Hast du beim Virtuellen Webserver unter "Advanced" die Option "Pass-Host Header" aktiviert? Falls nicht würde ich das mal testen.

 

[bacon]

Habe ich gemacht, leider ohne den gewünschten Erfolg.

Mal noch ne Frage in die Runde zu nem anderen Thema:
Wer hat von euch eine laufende VPN zwischen UTM und FritzBox?
Ich habe eine über IPSec eingerichtet nur kackt die nach ein paar Minuten ab und lässt sich nicht mehr herstellen.
Ich muss dann in der Fritzbox die Verbindung deaktivieren und wieder aktivieren

 

[Fr3@k]

Was hast du den im virtuellen Webserver als Domain eingestellt?
Wie sieht den die vHost Konfiguration am Apache aus?

 

[bacon]

Warum auch immer akt. funktionierts jetzt.
Habe nur die UTM neugestartet.
Wollte das ganze jetzt über HTTPS versuchen aber da taucht immer noch das orange Ausrufezeichen auf.
Die ersten drei Domains im virtuellen HTTPS Server kommen aus dem ausgewählten Zertifikat

Hier mal meine Screenshots






hier noch meine beiden vHosts auf dem Apache

Spoiler

<VirtualHost *:80>
# The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request's Host: header to
# match this virtual host. For the default virtual host (this file) this
# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.

ServerName cloud.domain.de
ServerAdmin webmaster@localhost
DocumentRoot /var/www/cloud/

<Directory /var/www/cloud/>
Require all granted
</Directory>

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn

ErrorLog ${APACHE_LOG_DIR}/error_cloud.log
CustomLog ${APACHE_LOG_DIR}/access_cloud.log combined

# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
</VirtualHost>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Spoiler

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
ServerName cloud.anspnet.de
DocumentRoot /var/www/cloud/

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/cloud>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

<LocationMatch "/(data|conf|bin|inc)/">
Order allow,deny
Deny from all
Satisfy All
</LocationMatch>

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn

ErrorLog ${APACHE_LOG_DIR}/cloud_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/cloud_ssl_access.log combined

# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on

# A self-signed (snakeoil) certificate can be created by installing
# the ssl-cert package. See
# /usr/share/doc/apache2/README.Debian.gz for more info.
# If both key and certificate are stored in the same file, only the
# SSLCertificateFile directive is needed.
SSLCertificateFile /etc/ssl/certs/anspnet.de.crt
SSLCertificateKeyFile /etc/ssl/private/anspnet.de.key
SSLCertificateChainFile /etc/ssl/certs/sub.class2.server.ca.pem
SSLCACertificateFile /etc/ssl/certs/ca.pem

# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCACertificatePath /etc/ssl/certs/
#SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

# Certificate Revocation Lists (CRL):
# Set the CA revocation path where to find CA CRLs for client
# authentication or alternatively one huge file containing all
# of them (file must be PEM encoded)
# Note: Inside SSLCARevocationPath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCARevocationPath /etc/apache2/ssl.crl/
#SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

# Client Authentication (Type):
# Client certificate verification type and depth. Types are
# none, optional, require and optional_no_ca. Depth is a
# number which specifies how deeply to verify the certificate
# issuer chain before deciding the certificate is not valid.
#SSLVerifyClient require
#SSLVerifyDepth 10

# SSL Engine Options:
# Set various options for the SSL engine.
# o FakeBasicAuth:
# Translate the client X.509 into a Basic Authorisation. This means that
# the standard Auth/DBMAuth methods can be used for access control. The
# user name is the `one line' version of the client's X.509 certificate.
# Note that no password is obtained from the user. Every entry in the user
# file needs this password: `xxj31ZMTZzkVA'.
# o ExportCertData:
# This exports two additional environment variables: SSL_CLIENT_CERT and
# SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
# server (always existing) and the client (only existing when client
# authentication is used). This can be used to import the certificates
# into CGI scripts.
# o StdEnvVars:
# This exports the standard SSL/TLS related `SSL_*' environment variables.
# Per default this exportation is switched off for performance reasons,
# because the extraction step is an expensive operation and is usually
# useless for serving static content. So one usually enables the
# exportation for CGI and SSI requests only.
# o OptRenegotiate:
# This enables optimized SSL connection renegotiation handling when SSL
# directives are used in per-directory context.
#SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>

# SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait for
# the close notify alert from client. When you need a different shutdown
# approach you can use one of the following variables:
# o ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates
# the SSL/TLS standard but is needed for some brain-dead browsers. Use
# this when you receive I/O errors because of the standard approach where
# mod_ssl sends the close notify alert.
# o ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation
# works correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
# their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
# "force-response-1.0" for this.
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

</VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Das spuckt mir der WAF-Log aus

Spoiler

2015:12:23-20:19:25 utm reverseproxy: [Wed Dec 23 20:19:25.177853 2015] [proxy:error] [pid 7558:tid 4122348400] AH00959: ap_proxy_connect_backend disabling worker for (192.168.2.10) for 60s
2015:12:23-20:19:25 utm reverseproxy: [Wed Dec 23 20:19:25.177857 2015] [proxy_http:error] [pid 7558:tid 4122348400] [client xxx.xxx.xxx.xxx:60707] AH01114: HTTP: failed to make connection to backend: 192.168.2.10
2015:12:23-20:19:25 utm reverseproxy: id="0299" srcip="xxx.xxx.xxx.xxx." localip="192.168.10.254" size="299" user="-" host="xxx.xxx.xxx.xxx" method="GET" statuscode="503" reason="-" extra="-" exceptions="-" time="19871" url="/" server="www.anspnet.de" referer="-" cookie="-" set-cookie="-"
2015:12:23-20:19:25 utm reverseproxy: [Wed Dec 23 20:19:25.936040 2015] [proxy:error] [pid 7558:tid 4088777584] (111)Connection refused: AH00957: HTTPS: attempt to connect to 192.168.2.10:443 (192.168.2.10) failed
2015:12:23-20:19:25 utm reverseproxy: [Wed Dec 23 20:19:25.936055 2015] [proxy:error] [pid 7558:tid 4088777584] AH00959: ap_proxy_connect_backend disabling worker for (192.168.2.10) for 60s
2015:12:23-20:19:25 utm reverseproxy: [Wed Dec 23 20:19:25.936059 2015] [proxy_http:error] [pid 7558:tid 4088777584] [client xxx.xxx.xxx.xxx:60710] AH01114: HTTP: failed to make connection to backend: 192.168.2.10
2015:12:23-20:19:25 utm reverseproxy: id="0299" srcip="xxx.xxx.xxx.xxx" localip="192.168.10.254" size="299" user="-" host="xxx.xxx.xxx.xxx" method="GET" statuscode="503" reason="-" extra="-" exceptions="-" time="18874" url="/" server="wwwdomain.de" referer="-" cookie="-" set-cookie="-"
2015:12:23-20:21:18 utm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="165" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="265" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
2015:12:23-20:23:53 utm reverseproxy: [Wed Dec 23 20:23:53.511718 2015] [proxy:warn] [pid 7558:tid 4071992176] [client 37.24.22.34:58211] AH01092: no HTTP 0.9 request (with no host line) on incoming request and preserve host set forcing hostname to be www.domain.de for uri /
2015:12:23-20:24:03 utm reverseproxy: id="0299" srcip="37.24.22.34" localip="192.168.10.254" size="11112" user="-" host="37.24.22.34" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="9833431" url="/" server="www.domain.de" referer="-" cookie="-" set-cookie="-"
2015:12:23-20:24:43 utm reverseproxy: [Wed Dec 23 20:24:43.212851 2015] [proxy:error] [pid 7558:tid 4063599472] (111)Connection refused: AH00957: HTTPS: attempt to connect to 192.168.2.10:443 (192.168.2.10) failed
2015:12:23-20:24:43 utm reverseproxy: [Wed Dec 23 20:24:43.212901 2015] [proxy:error] [pid 7558:tid 4063599472] AH00959: ap_proxy_connect_backend disabling worker for (192.168.2.10) for 60s
2015:12:23-20:24:43 utm reverseproxy: [Wed Dec 23 20:24:43.212922 2015] [proxy_http:error] [pid 7558:tid 4063599472] [client 109.193.166.28:64442] AH01114: HTTP: failed to make connection to backend: 192.168.2.10
2015:12:23-20:24:43 utm reverseproxy: id="0299" srcip="xxx.xxx.xxx.xxx" localip="192.168.10.254" size="299" user="-" host="xxx.xxx.xxx.xxx" method="GET" statuscode="503" reason="-" extra="-" exceptions="-" time="54860" url="/" server="www.domain.de" referer="-" cookie="-" set-cookie="-"

 

[bacon]

hat hier zu niemand eine Lösung warum das bei mir nicht funktioniert?

Da habe ich gerade noch eine Frage:
Ich habe die Lösung glaube ich schon mal gefunden, nur weiß ich gerade nicht wo nach ich googeln soll.
Wie bekomme ich das hin wenn ich eine externe Adresse (z.B. cloud.domain.de) aufrufe, die UTM mir das so hinbiegt dass diese Anfrage dann auf meinem lokalen Server landet?

Alles was ich mir dazu an Suchbegriffe eingefallen ist, hat mir nicht das gewünschte Ergebnis geliefert.

 

[MaxRink]

Das läuft über einen DNS server

 

[paulianer]

[...]
Wie bekomme ich das hin wenn ich eine externe Adresse (z.B. cloud.domain.de) aufrufe, die UTM mir das so hinbiegt dass diese Anfrage dann auf meinem lokalen Server landet?

Wie MaxRink schon sagt, im ersten Schritt musst du deinem Provider sagen auf welche Adresse cloud.domain.de zeigen soll. Dies wäre dann die WAN-IP deiner UTM (Feste IP oder z.B. DynDNS).
Damit die UTM die Pakete korrekt weiterleiten kann musst du eine D-NAT Regel anlegen (und natürlich in der Firewall freischalten).

 

[traxxus]

hat hier zu niemand eine Lösung warum das bei mir nicht funktioniert?

Da habe ich gerade noch eine Frage:
Ich habe die Lösung glaube ich schon mal gefunden, nur weiß ich gerade nicht wo nach ich googeln soll.
Wie bekomme ich das hin wenn ich eine externe Adresse (z.B. cloud.domain.de) aufrufe, die UTM mir das so hinbiegt dass diese Anfrage dann auf meinem lokalen Server landet?t.

Wegen des WAF:
Wenn der virtuelle Webserver ein oranges Ausrufezeichen hat, besteht ein Verbindungsproblem von der Sophos zum realen Webserver.
Die einfachste Lösung: Beim virtuellen Server "Cloud-HTTPS" wählst du als Real Webserver den "Debian-Proxmox" Eintrag. Zudem stellst du oben bei Type auf "Encrypted HTTPS & redirect" um.
Wenn nun jemand von extern zugreift per http, leitet die Sophos die Anfrage automatisch auf https um. Von der Sophos geht's dann intern unverschlüsselt weiter zum Debian-Proxmox. (Das nennt man SSL-Offload).

Damit cloud.domain.de bei dir intern auf die Debian-Proxmox zeigt, musst du auf deinem DNS Server (wahrscheinlich agiert die Sophos bei dir als DNS) einen Eintrag erstellen. Findest du in der Sophos unter Definitions & Users -> Network Definitions. Siehe Bild1

 

[WebY]

Hab bei einem Kollegen ein kleine Sophos Home Projekt vor mir. Zwecks Onlinegaming und Streaming hat er zwei Internet Leitungen. Ich möchte quasi alle Protokolle über WAN A laufen lassen, außer das Online Gaming soll über die dedizierte DSL Leitung laufen. Muss ich hier auf Dual-WAN-Loadbalancing zugreifen und quasi nur die Protokolle für das Online Gaming über die andere Leitung routen?

Hier mal der Hardware Build:
http://geizhals.de/eu/?cat=WL-622816

 

[oc_parts]

Loadbalancing wird hier nicht helfen. Am einfachsten wird sein das dein Kollege für die gaming-ip ein anderes gateway nimmt.

 

[WebY]

Loadbalancing wird hier nicht helfen. Am einfachsten wird sein das dein Kollege für die gaming-ip ein anderes gateway nimmt.

Aber kann ich nicht das Routing so anpassen. Protokoll A (Portrange der Spiele) nimmt WAN X und alles andere WAN Y?