Sollte damit gehen:
https://www.sophos.com/en-us/support/knowledgebase/115322.aspx
https://www.sophos.com/en-us/support/knowledgebase/115322.aspx
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
morumbinas
Enthusiast
- Mitglied seit
- 01.12.2007
- Beiträge
- 403
Wahrscheinlich schon öfters hier beantwortet worden, aber warum kann ich den WebAdmin nicht erreichen?
Habe einen HP N36L Server, verwende ESXi 5.5 und habe der VM 2 Netzwerkadapter (2x E1000) hinzugefügt (HP N36L hat nur einen Netzwerkanschluss). Sophos UTM zeigt mir an dass "All configuration is done with WebAdmin. Go to https://192.168.2.100:4444 in your browser".
Leider kann ich nicht connecten. Auch anpingen funktioniert nicht.
Server hängt am Switch & ich mit meinem Rechner ebenfalls und der Switch hängt an einer FritzBox die die IPs vergibt. IPs laufen im Netzwerk unter 192.168.178.XXX
Vielen Dank für Ratschläge
Habe einen HP N36L Server, verwende ESXi 5.5 und habe der VM 2 Netzwerkadapter (2x E1000) hinzugefügt (HP N36L hat nur einen Netzwerkanschluss). Sophos UTM zeigt mir an dass "All configuration is done with WebAdmin. Go to https://192.168.2.100:4444 in your browser".
Leider kann ich nicht connecten. Auch anpingen funktioniert nicht.
Server hängt am Switch & ich mit meinem Rechner ebenfalls und der Switch hängt an einer FritzBox die die IPs vergibt. IPs laufen im Netzwerk unter 192.168.178.XXX
Vielen Dank für Ratschläge
teqqy
Enthusiast
Weil du sicherlich keine Route vom 178er ins 2er Netz hast. 
Gib dir mal temporär eine aus dem 2er Netz ohne Gateway etc. Dann solltest du dran kommen.
Gib dir mal temporär eine aus dem 2er Netz ohne Gateway etc. Dann solltest du dran kommen.
morumbinas
Enthusiast
- Mitglied seit
- 01.12.2007
- Beiträge
- 403
Danke! Hab jetzt bei der FritzBox unter Netzwerkeinstellungen / Statische Routing Tabellen folgendes eingestellt:Weil du sicherlich keine Route vom 178er ins 2er Netz hast.
Gib dir mal temporär eine aus dem 2er Netz ohne Gateway etc. Dann solltest du dran kommen.
IP-Netzwerk: 192.168.2.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.0
und kann mich trotzdem nicht verbinden. Gateway kann ich nicht freilassen. Hab jetzt mit mehreren Kombination gespielt (ua IP-Netzwerk 192.168.2.100) hat aber leider nichts funktioniert (hab nebenbei gepingt).
Danke im Voraus.
teqqy
Enthusiast
Gateway kann nicht die .0 am Ende sein. Das beschreibt immer das Netzwerk.
Gateway weglassen meinte ich auch an deinem Client. Also nur IP-Adresse und Subnetzmaske vergeben. Du wirst im 2er Netz noch kein vollständiges Gateway haben.
Gateway weglassen meinte ich auch an deinem Client. Also nur IP-Adresse und Subnetzmaske vergeben. Du wirst im 2er Netz noch kein vollständiges Gateway haben.
affabanana
Enthusiast
- Mitglied seit
- 16.10.2011
- Beiträge
- 275
Du musst die Ip der Sophos Wan Schnittstelle als Gateway IP angeben.
Diese findest du inder fritzbox inter den DHCP leases.
Oder auf einer Übersichtsseite.
Diese findest du inder fritzbox inter den DHCP leases.
Oder auf einer Übersichtsseite.
Diese Aussage ist relativ nutzlos, wenn Du nicht schreibst, wie die virtuellen Switches des ESXi konfiguriert sind und an welchen virtuellen Switches die beiden virtuellen Netzwerkkarten der Sophos angeschlossen sind.
Nebenbei gesagt ist eine Firewall mit nur einer physikalischen Netzwerkkarte nutzlos, außer man arbeitet mit VLANs, was Du aber soweit ich das sehe nicht machst.
Woher kommt denn die 192.168.2.100? Die muss sich die Sophos entweder manuell konfiguriert bekommen oder von einem DHCP-Server gezogen haben, denn im Grundzustand hat die die 192.168.0.1.
Was ist die aktuelle best practice bzgl. der UTM und WIFI?
AP an einem LAN Port (oder Router) bzw. eine PCIe Karte in der UTM?
Aktuell ist die UTM auf einem hp Microserver G8 installiert und eine alte AVM Fritzbox macht WIFI und VOIP Gateway.
Ich will das verbessern durch Umzug und anderen Provider...
Gibt es es empfehlenswerte Karten mit a/c Support?
Alte b/g Geräte müssten auch noch gehen - also 2,4 und 5 GHz Parallelbetrieb.
AP an einem LAN Port (oder Router) bzw. eine PCIe Karte in der UTM?
Aktuell ist die UTM auf einem hp Microserver G8 installiert und eine alte AVM Fritzbox macht WIFI und VOIP Gateway.
Ich will das verbessern durch Umzug und anderen Provider...
Gibt es es empfehlenswerte Karten mit a/c Support?
Alte b/g Geräte müssten auch noch gehen - also 2,4 und 5 GHz Parallelbetrieb.
![[SoD]r4z0r](/community/data/avatars/m/111/111944.jpg?1577437183){kind=avatar}
[SoD]r4z0r
Enthusiast
- Mitglied seit
- 11.04.2009
- Beiträge
- 3.950
Bei einer PCIe Karte brauchst du eine die unterstützt wird, das könnte ggf. nachteilig sein. Bei mir in der Firma haben wir einen WLAN-Router dran der als AP arbeitet und noch einen reinen AP.
Die Intel AC8260 wird auf jeden Fall vom 9.314er Iso nicht erkannt.
Die Intel AC8260 wird auf jeden Fall vom 9.314er Iso nicht erkannt.
Offiziell gibt es keine Support für WLAN Karten in der Software UTM Installation, es gibt Appliances mit Wifi bzw. die Sophos Access Points wo das Wifi über die UTM verwaltet werden kann.
Laut kurzer GoogleSuche exisitieren Mini-PCIe Module mit denen es funktioniert siehe hier, ist jedoch Glückssache.
teqqy
Enthusiast
Zu Information:
Ich habe gestern meine Hardware UTM 220 gg. eine selbstbau austauschen wollen und in diesem Zusammenhang direkt das neue Sophos XG Home nutzen wollen. Die Installation ist ein riesen grauß, aber hab ich auch hin bekommen. Was aber ganz wichtig ist:
SSL VPN zwischen Sophos UTM und Sophos XG ist NICHT möglich! Das ist auch so im neuen Forum zu finden. Da ich eine permante VPN Verbindung zu meinem Brötchengeber habe (arbeite nur im Homeoffice) flog die XG wieder runter.
Ich habe gestern meine Hardware UTM 220 gg. eine selbstbau austauschen wollen und in diesem Zusammenhang direkt das neue Sophos XG Home nutzen wollen. Die Installation ist ein riesen grauß, aber hab ich auch hin bekommen. Was aber ganz wichtig ist:
SSL VPN zwischen Sophos UTM und Sophos XG ist NICHT möglich! Das ist auch so im neuen Forum zu finden. Da ich eine permante VPN Verbindung zu meinem Brötchengeber habe (arbeite nur im Homeoffice) flog die XG wieder runter.
Die XG hat auch abartige HW-Requirements wie ich finde... Da will ich zu Hause lieber nicht basteln. Abwarten und Tee trinken. Irgendwann habe ich entweder in der Arbeit oder für einen meiner Kunden eine XG in der Hand. Da kann man sich dann besser befassen damit...
teqqy
Enthusiast
Auf dem System (siehe Sig) lief sie mit weniger Ressourcenverbrauch.
paulianer
HWLuxx SC2-Cup2 Silber#1
So Jungs wir sind auf der Suche nach einem Router für einen 100/5 Mbit Kabel Anschluss. Reicht da eine kleine Celeron-CPU um die UTM performant mit IPS zu betreiben? Gegebenenfalls virtualisiert.
Als Anhaltspunkt, die kleineste Hardware Appliance SG105 hatte einen Baytrail E3826 CPU und eine 64GB SSD diese schafft laut Datenblatt 350Mbit IPS.
Also sollte das hinhauen.
paulianer
HWLuxx SC2-Cup2 Silber#1
Vielen Dank @Fr3@k, dann werde ich es erst mal mit einem kleinen Celeron testen.
Fatality
Enthusiast
- Mitglied seit
- 29.12.2004
- Beiträge
- 1.868
moin,
habe mir die home utm jetzt auch mal zum test aufn esxi installiert.
da die firewall ja total dicht auch für outgoing war, hab ich das mal fritzbox-like für outgoing alles geöffnet (bedenken?!).
Natürlich in dem wisse falls was bei mir im netz unsauber ist es nur geloggt wird aber nicht beblockt.
zusätzlich würde ich gerne wissen ob es eine "das sollte für den heimgebrauch eingestellt sein" Liste oder ähnliches gibt?
danke
habe mir die home utm jetzt auch mal zum test aufn esxi installiert.
da die firewall ja total dicht auch für outgoing war, hab ich das mal fritzbox-like für outgoing alles geöffnet (bedenken?!).
Natürlich in dem wisse falls was bei mir im netz unsauber ist es nur geloggt wird aber nicht beblockt.
zusätzlich würde ich gerne wissen ob es eine "das sollte für den heimgebrauch eingestellt sein" Liste oder ähnliches gibt?
danke
Mhh keine Ahnung ob es so eine Liste gibt. Stelle ich mir aber schwer vor. Denn man weis ja vorher nicht, was du willst...
Im Grunde sind die Settings stark davon abhängig, was du willst -> also Proxy, ja/nein, WebServerProtection ja/nein usw.
Für reines Firewalling/NAT kann man es prinzipiel so bauen, wie es theoretisch auch ein normaler Homerouter ala Fritzbox xyz tun würde...
Das die Firewall per default Dicht ist, ist übrigens auch sinnvoll Denn in größeren Umgebungen gibts nicht nur einen Weg rein und einen Weg raus, sondern mehrere rein wie raus. Mit der default deny any Rule sagt man dem Teil einfach, kein Traffic von nirgendwo nach nirgendwo zulassen. -> ergo per default erstmal "sicher".
Sinnvollerweise machst du dann genau das auf, was du brauchst... Sowohl im Heinbereich, als auch in größeren Installationen. Ob das ganze Netze in Richtung public ohne Beschränkungen sein müssen oder nicht? Das musst du selbst entscheiden. Ich hab es bei mir nicht so. Da ist nur offen, was benötigt wird. Warum auch mehr? -> einzig hast du dadurch etwas mehr Aufwand initial. Und halt je nach Software musst du ggf. nacharbeiten.
Ansonsten würde es sich technisch noch anbieten, gleich den Proxy mit Kontentscanner zu nutzen. Kann dir bspw. bei ungewollten/unwissentlichen Downloads potentiellen Schadcode rausschmeißen, wenn richtig konfiguriert und die Download Size nicht übers Limit geht und solche Späße. Auch hast du damit noch eine "Cacheinstanz" zwischen INet und den Clients... Mehrere Clients auf die selbe Seite könnte/wird dir da Speedvorteile bringen... Oder sowas die Werbebanner, die teils schnarchlahm sind könn(t)en potentiell aus dem Cache kommen usw.
-> deine Entscheidung
Im Grunde sind die Settings stark davon abhängig, was du willst -> also Proxy, ja/nein, WebServerProtection ja/nein usw.
Für reines Firewalling/NAT kann man es prinzipiel so bauen, wie es theoretisch auch ein normaler Homerouter ala Fritzbox xyz tun würde...
Das die Firewall per default Dicht ist, ist übrigens auch sinnvoll
Denn in größeren Umgebungen gibts nicht nur einen Weg rein und einen Weg raus, sondern mehrere rein wie raus. Mit der default deny any Rule sagt man dem Teil einfach, kein Traffic von nirgendwo nach nirgendwo zulassen. -> ergo per default erstmal "sicher".Sinnvollerweise machst du dann genau das auf, was du brauchst... Sowohl im Heinbereich, als auch in größeren Installationen. Ob das ganze Netze in Richtung public ohne Beschränkungen sein müssen oder nicht? Das musst du selbst entscheiden. Ich hab es bei mir nicht so. Da ist nur offen, was benötigt wird. Warum auch mehr? -> einzig hast du dadurch etwas mehr Aufwand initial. Und halt je nach Software musst du ggf. nacharbeiten.
Ansonsten würde es sich technisch noch anbieten, gleich den Proxy mit Kontentscanner zu nutzen. Kann dir bspw. bei ungewollten/unwissentlichen Downloads potentiellen Schadcode rausschmeißen, wenn richtig konfiguriert und die Download Size nicht übers Limit geht und solche Späße. Auch hast du damit noch eine "Cacheinstanz" zwischen INet und den Clients... Mehrere Clients auf die selbe Seite könnte/wird dir da Speedvorteile bringen... Oder sowas die Werbebanner, die teils schnarchlahm sind könn(t)en potentiell aus dem Cache kommen usw.
-> deine Entscheidung
teqqy
Enthusiast
Ich hab das damals so gemacht, dass ich die Punkte "surfing" und "email" als erlaubt hinzugefügt habe. Dann hab ich mir mein Handy geschnappt und geguckt was nicht geht und ich aber brauche (iMessage, Push, Game Center, etc). Dafür jeweils die Ports raus gesucht und geöffnet.
Im Laufe der Zeit findet man aber immer mal wieder etwas, was nicht funktioniert. Steam oder PSN sind da so Kandidaten. Gerade bei letzterem habe ich meine PS4 eine feste IP im Netz verpasst und eine PS4->Any->WAN (Network) Regel gemacht. Anders war es mir zu eingeschränkt.
Wenn du die Sicherheit einer richtigen Firewall mitnehmen möchtest solltest du wirklich nur das aufmachen was auch sein muss. Sonst kannst du dir auch die Zeit sparen.
Im Laufe der Zeit findet man aber immer mal wieder etwas, was nicht funktioniert. Steam oder PSN sind da so Kandidaten. Gerade bei letzterem habe ich meine PS4 eine feste IP im Netz verpasst und eine PS4->Any->WAN (Network) Regel gemacht. Anders war es mir zu eingeschränkt.
Wenn du die Sicherheit einer richtigen Firewall mitnehmen möchtest solltest du wirklich nur das aufmachen was auch sein muss. Sonst kannst du dir auch die Zeit sparen.
KlimperHannes
Neuling
- Mitglied seit
- 25.12.2014
- Beiträge
- 77
@teggy: hast Du mal eine Liste, was Du alles erlaubt hast?
Für mich war bisher nur das Trennen der internen Netze wichtig. Eine DMZ und dass die Heimautomatisierung nur von bestimmten Clients erlaubt sind.
Outbound habe ich es ehrlich gesagt auch mit Any-To-Any gelöst.
Auf dem Computer ist eine Personal Firewall drauf, um bei Bedarf für Programme den Zugriff zu beschränken.
Was soll Deiner Meinung nach durch Regeln Outbound beschränkt werden? Ich denke mal Trojaner & Co werden mit der Intrusion Detection abgewehrt (Snort).
Für mich war bisher nur das Trennen der internen Netze wichtig. Eine DMZ und dass die Heimautomatisierung nur von bestimmten Clients erlaubt sind.
Outbound habe ich es ehrlich gesagt auch mit Any-To-Any gelöst.
Auf dem Computer ist eine Personal Firewall drauf, um bei Bedarf für Programme den Zugriff zu beschränken.
Was soll Deiner Meinung nach durch Regeln Outbound beschränkt werden? Ich denke mal Trojaner & Co werden mit der Intrusion Detection abgewehrt (Snort).
teqqy
Enthusiast
Da ich aus Performancegründen nie eine lokale Firewall installieren würde, habe ich alles auf die UTM verlagert. Ich kann heute Abend mal daheim gucken und mal eine Liste machen. Sind aber hauptsächlich Apple Services die aus dieser Liste entnommen worden sind.
DMZ habe ich gar nicht. Ich wähle mich mit dem notwendigen Gerät entsprechend via VPN (iPhone via IPSEC, rest SSL) ein und gehe auf den entsprechenden Server.
DMZ habe ich gar nicht. Ich wähle mich mit dem notwendigen Gerät entsprechend via VPN (iPhone via IPSEC, rest SSL) ein und gehe auf den entsprechenden Server.
Hat von euch jemand die AD Authentifikation in Verbindung mit SSL VPN bzw. VPN im Allgemeinen im Einsatz? Ich habe heute das SSO aktiviert um mich mit meinem AD User am VPN Client anmelden zu können - klappt auch. Nun ist es ja so, dass man die Vorkonfigurierte .exe im Benutzerportal downloaden kann. Wenn ich mich allerdings mit einem anderen User am VPN Client anmelden will, klappt das nicht, da der Client ja für einen anderen User konfiguriert wurde. Gibt es hier eine Möglichkeit, den Client umzukonfigurieren bzw. mehrere User zu hinterlegen?
Wenn Du dich mit dem zweiten Benutzer am Benutzerportal anmeldest, die VPN-Konfiguration herunterlädtst und installierst, dann hast Du mit einem Rechtsklick auf die "Ampel" ein Auswahlmenü, mit welchem Benutzer Du dich per VPN anmelden willst. Dort steht dann <Benutzername>@<externe IP-Adresse bzw. DNS-Name der Sophos>
Um das etwas benutzerfreundlicher zu gestalten, kannst Du die .ovpn-Datei in C:\Programme (x86)\Sophos\Sophos SSL VPN Client\config\<Benutzername>@<externe IP-Adresse bzw. DNS-Name der Sophos> umbenennen. Der Eintrag im Auswahlmenü entspricht dem Dateinamen der .ovpn-Datei.
Hat jemand schon Erfahrung mit der UTM und Paket Loss machen können? Ich habe jetzt schon alle Netzwerkkabel getauscht, die UTM virtualisiert statt auf Hardware laufen zu lassen und das Modem durch den Provider mehrfach tauschen lassen. Zwischen UTM und Modem gibt es in Tools wie Ping Plotter oder WinMTR immer Packetloss von ca 28%.
Dienste wie QoS habe ich schon mal test-weise deaktiviert.
Dienste wie QoS habe ich schon mal test-weise deaktiviert.