[Sammelthread] Sophos UTM-Sammelthread

[WebY]

WebY: den Packetloss hast du auch direkt zur Sophos oder nur zum Internet? Was für ein Modem hast du hinter der Sophos? MTU manuell verändert?

Provider: Unitymedia

UTM --> Fritz!Box Cable von UM --> Internet Hops x bis y

MTU nicht verändert oder angepasst


Er zeigt direkt Packetlos an der UTM an...das Modem wurde mehrfach getauscht, weil auch ein Laptop direkt am Modem Paket Loss anzeigt. Heute wurde sogar der Verstärker im Haus getauscht....immer noch keine Lösung.


\\EDIT:

Std. Wert 1500 in der UTM

Nach der Änderung auf 1460 hatte ich nur noch 1-5% PL
Bei 1440 habe ich nun 0% PL


Ist das so wirklich korrekt?

 

[Opticum]

WebY: hast du mal direkt auf der Sophos Shell probiert? Hätte jetzt auch noch kurz einen Moment mir das direkt per Teamviewer oder Anydesk anzuschauen. Bei Interesse PN.

 

[WebY]

WebY: hast du mal direkt auf der Sophos Shell probiert? Hätte jetzt auch noch kurz einen Moment mir das direkt per Teamviewer oder Anydesk anzuschauen. Bei Interesse PN.

Ja direkt auf der Shell oder im CMD auf einem Client gab es nie Packetloss. Aber diese ganzen Tools wie Win MRT / Ping Plotter zeigen Loss an sämtlichen Hops an. Danke für dein Angebot.

Bei MTUPATH wurde mir auch die Zahl 1440 vorgeschlagen.

 

[danielmayer]

Ziemlich versteckt gibts einen Hinweis, was die XG (noch) nicht kann:
https://community.sophos.com/cfs-fi...002D00_xg_2D00_migration_2D00_faq_2D00_na.pdf

"Are there UTM 9 features I need that are not in XG
Firewall?
There are a few feature gaps you should be aware of. If you are dependent on any of these
features, you will want to wait until the gaps are closed in a subsequent release of XG
Firewall. Watch the Sophos Corporate Blog for XG Firewall updates and news.
Here are the most significant initial feature gaps:
Ì Multi-node clustering of 3 or more appliances is not supported initially
(two appliance clustering for Active-Active or Active-Passive is supported)
Ì Clustering of “w” (integrated wireless) models is not supported initially
Ì Site-to-Site RED Tunnels are not supported initially
(RED devices are fully supported in XG Firewall but not RED tunnels between firewalls)
Ì A couple of Advanced Web Protection features are not supported
initially including block page override using a password and categorybased
quota time policies (global quotas are supported)
Ì Two-Factor Authentication is not supported initially
Ì Sophos Mobile Control integration is not supported initially
Ì Sophos Endpoint Deployment and Management from within the UTM
is not supported (customers are encouraged to switch to Sophos
Cloud Endpoint to take advantage of Security Heartbeat™)"

Es bleibt aber ein trauriger Zustand, dass Sophos keine "Feature-Vergleichsmatrix" zeigt - was eigentlich Standard sein sollte...

 

[skrae]

Hallo zusammen,

ich habe seit gestern Abend eine unstabile Internetverbindung hinter meiner Sophos XG Firewall.
Kurz zum Setup:

• Die Firewall ist in einer VM auf ESXi installiert (4 GB RAM, 2 vCPU's, derzeit 2 Netzwerkadapter, Sophos-Firmware: SFOS 15.01.0).
• Der komplette Internettraffic wird über die Firewall geschickt. Netzwerkadapter 1: Lokales Netzwerk, Netzwerkadapter 2: Fritz!Box. Bis gestern hat alles einwandfrei geklappt.
• Eine Regel aktiv: "Accept any service going to "WAN" zone, when in "LAN" zone, and coming from any network" (also ohne Virenscan etc.)

Leider ist die Verbindung sehr instabil, sprich Paketverluste von ca. 25% und Pingwerte ~ 200ms. Jetzt im Moment hängt die Fritz!Box wieder direkt am Netzwerk (keine Paketverluste und Ping bei stabilen 11ms), d. h. es liegt definitiv an der Firewall. Zum Testen habe ich die VM ausgeschalten, anschließend neugestartet und währenddessen "ping www.google.de -t" auf der Konsole ausgeführt:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=14ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=14ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=16ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=14ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=14ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=15ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=22ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=180ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=186ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=208ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=125ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=210ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=106ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=154ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=137ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=189ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=104ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=133ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=119ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=158ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=159ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=181ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=128ms TTL=55
Zeitüberschreitung der Anforderung.
Antwort von 173.194.112.55: Bytes=32 Zeit=137ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=156ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=200ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=131ms TTL=55
Zeitüberschreitung der Anforderung.
Antwort von 173.194.112.55: Bytes=32 Zeit=182ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=179ms TTL=55
Antwort von 173.194.112.55: Bytes=32 Zeit=188ms TTL=55

Ganz am Anfang wird eine Zeitüberschreitung protokolliert, da die Firewall noch hochfährt. Anschließend ist für ein paar Sekunden der Ping im grünen Bereich und direkt danach wird die Internetverbindung instabil (hoher Ping bei 25% Paketverlust). Hat jemand von euch eine Idee woran das liegen könnte?

Vielen Dank im Voraus!

 

[Fr3@k]

Es gab da doch vor kurzem jemanden der ein ähnliches Problem hatte, auch mit einer Fritzbox dort brachte die Änderung der MTU von 1500 auf 1440 Abhilfe/Besserung

 

[Batey]

Hallo zusammen,

ich bräuchte bitte Hilfe bei folgender Herausforderung:

Umgebung:
Ich habe hier in den USA eine Sophos UTM (192.168.2.1) als Router/Gateway zu meinem Provider. Die UTM hat direkt eine externe IP, die sie vom Cable PRovider per DHCP bezieht. Mein lokales Netz ist 192.168.2.0/24
Mittels IPSEC habe ich eine stabile Site to Site VPN Verbindung zu der Fritzbox in Deutschland. Ich kann problemlos auf die deutsche Fritzbox (192.168.1.101) und das dortige lokale Netz 192.168.1.0/24 zugreifen.

Ich möchte diese Möglichkeiten nun nutzen, um deutsche Services / Inhalte nutzen zu können, die mit amerikanischer IP nicht erreichbar sind.
Versucht habe ich, eine statische Route für das Zielnetzwerk auf der Sophos anzulegen, aber dies führt nicht zum Erfolg. Tracert meldet: "192.168.2.1 reports: Destination host unreachable."
Die Routendefinition war: Gateway Route für [Zielnetzwerk] über 192.168.1.101 (Deutsche Fritzbox).

ALternativ wäre mir auch geholfen, jeglichen Traffix zeitweise über die deutsche Fritzbox zu tunneln. Letzteres würde ich mit direkter VPN Einwahl auf der dortigen Box von einem PC hier auch erreichen können, aber das hilft mir im konkreten Fall nicht, da auch andere Geräte über Deutschland geroutet werden sollen.

Hat jemand eine Idee, wie ich das auf der Sophos einstelle?

 

[Opticum]

Batey: das geht geht sehr komfortable über RED Interfaces. Du kannst dann dieses Interface als WAN Interface in den USA benutzen.

Bei mir funktioniert derzeit das Pattern Update nicht, Packetloss hatte ich teilweise auch, jetzt wo advanced threat protection aus ist, ist auch der Packetloss weg. Hatte allerdings auch Probleme mit dem Provider, von daher noch nicht sicher was da im Busch ist ...

 

[Batey]

hehe, ja, ich habe sogar ein RED device, letztes jahr für kleines geld bei ebay.com geschossen. hat trefflich in deie andere richtung funktioniert, als ich überwiegend noch in deutschland war.
Leider habe ich die Box mitgenommen und ich komme die nächsten Monate nicht mehr nach deutschland. Daher versuche ich mit den vorhandenen mitteln, also mit dem stehenden VPN Site to Site Tunnel (USA Sophos <-> DE Fritz) zurechtzukommen.

- - - Updated - - -

Folgende Anleitung hat mir nicht weitergeholfen:
https://www.sophos.com/en-us/support/knowledgebase/115661.aspx
liegt sicherlich daran, dass auf der Gegenseite eben keine Sophos steht, sondern nur eine Fritz Box.
@Opticum: ich habe in DE eben keine Sophos mehr stehen, sonder nur noch eine Fritzbox. Der VPN Tunnel zu dieser steht aber stabil.

Wenn es einfacher wäre, könnte ich auf dieser Seite des Oceans auch noch eine Fritz ins Spiel bringen. Dann hätten wir ein Routing [SOPHOS USA -> FRITZ USA <-> FRITZ DE] aufzusetzen. Wird aber eher noch komplexer, da ich dann auch noch der deutschen Fritzbox die verschiedenen Netze hinter dem Kollegen in den USA beibringen muss.

 

[Opticum]

Batey: ich hab ne Sophos bei einem vServer Anbieter (10€/Monat) - dort bekommst auch ne deutsche IP Adresse. Dann kannst du Sophos <-> Sophos über RED verbinden. Ein RED Device brauchst du nicht. Die Sophos kann auch als Client arbeiten. Ich schicke dir gleich ne PN mit Link.

 

[morumbinas]

Wie sicher bzw unsicher ist es eigentlich die Utm virtualisiert unter esxi auf nem Server mit nur einem physischen LAN Anschluss im privaten umfeld zu betreiben? Der Server dient auch als Filrserver für private Dateien.

Hilft es den generell wenn man für die Utm 2 pysischepysische LAN Anschlüsse verwendet? Also zb mittels eingebauter PCI Karte (habe da aber das Problem das meine CPU nicht durchreichen kann).

Bin stark am überlegen mir eine Hardware Utm zu bauen (zb auf atom Basis. Habt ihr Empfehlungen?). Am Ende ist es aber auch ne Preisfrage.

2. Frage: Welches DSL Modem kann man empfehlen? Hab hier nen DSL 18mbit Anschluss. Aktuell läuft alles über ne alte Fritzbox...

 

[Eye-Q]

Hilft es den generell wenn man für die Utm 2 pysischepysische LAN Anschlüsse verwendet? Also zb mittels eingebauter PCI Karte (habe da aber das Problem das meine CPU nicht durchreichen kann).

Ja, es hilft generell, denn mit zwei physikalischen Netzwerkkarten gibt es überhaupt keine Möglichkeit, die Firewall zu umgehen. Wenn man nur eine physikalische Netzwerkkarte hat, muss man mit VLANs arbeiten, und das ist erstens weitaus komplizierter und zweitens kann prinzipiell jeder, der die IP-Adresse des Standardgateways, was die Firewall nimmt, kennt, diese IP-Adresse bei sich im Rechner als Standardgateway eintragen und schon hat er die Firewall umgangen.

Dass die Netzwerkkarte nicht durchgereicht werden kann, ist kein Problem, dann wird eben ein virtueller Switch erstellt, an den der WAN-Port der Firewall und der LAN-Port des ESXi-Hosts, der mit dem Router/dem DSL-Modem verbunden ist, angeschlossen werden.

 

[traxxus]

@morumbinas

Ich rate dir zu einer extra Hardware für die Firewall aus dem einfachen Aspekt, dass bei einem ESX - Downtime (Ausfall oder geplant) keine Firewall mehr hast. Das spart dir viel Zeit und Nerven.

 

[morumbinas]

@morumbinas

Ich rate dir zu einer extra Hardware für die Firewall aus dem einfachen Aspekt, dass bei einem ESX - Downtime (Ausfall oder geplant) keine Firewall mehr hast. Das spart dir viel Zeit und Nerven.

Stimmt schon, gerade in der heutigen Zeit schmerzt ein Internetausfall extrem

Bzgl. Hardware: Könnt Ihr eine Empfehlung aussprechen? Habe jetzt ein wenig nachgegoogelt, generell werden 4GB und ein ITX Baytrail Mainboard mit integrierter CPU empfohlen: ASRock Q1900-ITX Mainboard Sockel: Amazon.de: Computer & Zubehör

Möchte gerne über kurz oder lang auf 19 Zoll umrüsten. Die Auswahl bzgl. ITX Gehäuse sieht sehr schlecht aus, bei diesem hier wäre gleich ein Netzteil vorhanden: Inter-Tech 1U-K-125L, 250W Flex-ATX, 1HE, Mini-ITX (88887059) Preisvergleich | Geizhals Deutschland

Wie sieht es hier bzgl. Stromverbrauch aus. Verbraten die Netzteil viel?


Alternative wäre auf ATX Formfaktor zu gehen. Könnt Ihr mir hier Empfehlungen aussprechen? Die Auswahl bzgl 19 Zoll Gehäuse wäre hier definitiv besser.

Und noch ein Frage: Wie sieht es mit Dauerbetrieb von 2,5 Zoll Notebook HDDs aus? Habe hier noch einige rumliegen und könnte mir dann halt ne SSD sparen.


Vielen Dank für Vorschläge

 

[traxxus]

Ich kann dir folgende wichtige Anhaltspunkte geben:
-Für beste Performance, nimm unbedingt den am höchsten getakteten Core i3 CPU. Die IPS Funktion der Sophos nutzt Snort, welcher Singelthreaded arbeitet. Mehr MHz = Mehr Netzwerkdurchsatz bei IPS. Glaub mir (und allen anderen im astaro.org Forum), das lohnt sich.
-Verwende INTEL NICs
-Verwende eine SSD

 

[Opticum]

@traxxus: *unterschreib* alles was aufgelistet ist. SSD würde ich auch dringend empfehlen wenn man seine Ruhe haben will am Besten eine Samsung Pro oder was man präferiert.

Biete hier auch gern nochmal allgemein Hilfe bei der Ersteinrichtung der Sophos an per Skype/Teamviewer. Möchte noch meinen "Sophos certified engineer" demnächst machen und je mehr Szenarien man durchspielt, desto sattelfester ...

 

[Fr3@k]

Stimmt schon, gerade in der heutigen Zeit schmerzt ein Internetausfall extrem

Bzgl. Hardware: Könnt Ihr eine Empfehlung aussprechen? Habe jetzt ein wenig nachgegoogelt, generell werden 4GB und ein ITX Baytrail Mainboard mit integrierter CPU empfohlen: ASRock Q1900-ITX Mainboard Sockel: Amazon.de: Computer & Zubehör

Möchte gerne über kurz oder lang auf 19 Zoll umrüsten. Die Auswahl bzgl. ITX Gehäuse sieht sehr schlecht aus, bei diesem hier wäre gleich ein Netzteil vorhanden: Inter-Tech 1U-K-125L, 250W Flex-ATX, 1HE, Mini-ITX (88887059) Preisvergleich

Wie sieht es hier bzgl. Stromverbrauch aus. Verbraten die Netzteil viel?


Alternative wäre auf ATX Formfaktor zu gehen. Könnt Ihr mir hier Empfehlungen aussprechen? Die Auswahl bzgl 19 Zoll Gehäuse wäre hier definitiv besser.

Und noch ein Frage: Wie sieht es mit Dauerbetrieb von 2,5 Zoll Notebook HDDs aus? Habe hier noch einige rumliegen und könnte mir dann halt ne SSD sparen.


Vielen Dank für Vorschläge

Bezüglich 19" ITX Gehäuse hab ich in kürze eines abzugeben.
Kannst mich gerne diesbezüglich mal per PN kontaktieren.

Zum Thema 2,5" Platten und Dauerbetrieb, einen 500GB Seagate aus einem neuen Notebook ausgebaut (ersetzt durch eine SSD) hat etwa 8000h Betriebsstunden in meinem ESX durchgehalten dann gabs die ersten defekten Sektoren. Eine Western Digital Black (WD3200BEKT) läuft seit fast 3 Jahren im Dauerbetrieb ohne Probleme.

Eine Samsung 840 Pro 256GB hab ich auch seit 3 Jahren im Dauerbetrieb als Datastore in meinem ESX, bis jetzt Problemlos

 

[oc_parts]

Hat ein i3 vorteile gegenüber nem Pentium wovon die utm profitiert?

 

[WebY]

Ich würde gerne VPN Zugänge für Benutzer anlegen, wo der entsprechende User nur auf eine bestimmte IP im lokalen Netzwerk zugreifen kann. In der Vergangenheit habe ich Cisco VPN für das gesamte Netzwerk genutzt.

 

[LichtiF]

Ich habe mal paar Frage zum Netzwerk Design mit einer Sophos UTM und Fritz!Box 7490 ( Version für Quix also nicht ganz offen wie eine direkt von AVM).

Da ich bis jetzt DSL bei O2 hatte (DSL 6000 aber nur ca 2500 kommen an mehr ging nicht bei uns im Dorf) habe ich noch nicht mit dem Gedanken gespielt mir eine UTM hinzustellen.

Ab dem 01.03 bekomme ich bei Quix eine 100.000 Leitung das ganze Dorf wurde von der Firma ausgebaut (25000 - 100000 ist jetzt Möglich).


Jemand schon Erfahrung mit Fritz!Box von Anbieter wo man eine IPv4 und IPv6 Adresse bekommt ?

Was muss man alles beachten bei der Planung und wie sollte man am besten das ganze Aufbauen.

Vermutlich wird das ganze dann erstmal Virtuell in meinem ESXi getestet und dann entschieden ob ich mit dafür eine eigene Hardware hinstelle.


Danke

 

[Batey]

Batey: ich hab ne Sophos bei einem vServer Anbieter (10€/Monat) - dort bekommst auch ne deutsche IP Adresse. Dann kannst du Sophos <-> Sophos über RED verbinden. Ein RED Device brauchst du nicht. Die Sophos kann auch als Client arbeiten. Ich schicke dir gleich ne PN mit Link.

Danke für den Tipp, das kommt evtl auch in Frage, da es mit RED wirklich Charme hätte.
Allerdings gebe ich noch nicht auf, die vorhandene Infrastruktur und die Fritzbox in DE zu nutzen.

- - - Updated - - -

Jemand schon Erfahrung mit Fritz!Box von Anbieter wo man eine IPv4 und IPv6 Adresse bekommt ?

Was muss man alles beachten bei der Planung und wie sollte man am besten das ganze Aufbauen.

Ich hatte längere Zeit die UTM hinter einer 7490 im Betrieb. Ging problemlos per Doppel NAT. Also die UMT hing an der Fritz und hat von dieser eine private IP Adresse per DHCP bezogen. Hinter der UTM musst du dann ein anderes privates Netz verwenden, z.b. 192.168.1.0.

Für Zugriffe direkt auf die UTM von aussen, müssen dann entsprechende Port Weiterleitungen in der Fritz definiert werden. z.B. für VPN Zugriff auf / durch die UTM.
Wenn hier IPSEC als Protokoll verwendet werden soll, ist zu beachten, dass dann der VPN Zugriff direkt auf die Fritz nicht aktiv sein kann, da die entsprechenden Ports ja auf die UTM durchgeleitet werden müssen.
Trotzdem kann man ja die Fritzbox von aussen ansprechen, indem man VPN auf die UTM macht und dann die interne IP der Fritzbox aufruft.

Ingesamt bin ich mit der Konstellation gut gefahren.
Ursprünglich hätte ich mir vorgestellt, die 7490 nur als Modem zu verwenden, so dass die UTM direkt eine öffentliche IP bekommt. Dies reduziert natürlich die Komplexität etwas. Kam für mich aber nicht infrage, da die 7490 in der GUI den Modembetrieb nicht mehr anbietet und ich dann auch die Telefoniefunktion meines Providers verloren hätte.

 

[LichtiF]

Danke für die Info. Das hilft mir schon mal weiter dann werde ich das auch mal so testen sobald ich die 7490 bekommen habe.

 

[Eye-Q]

Ich würde gerne VPN Zugänge für Benutzer anlegen, wo der entsprechende User nur auf eine bestimmte IP im lokalen Netzwerk zugreifen kann. In der Vergangenheit habe ich Cisco VPN für das gesamte Netzwerk genutzt.

War das eine Frage? Wenn ja: Ja, das geht.




Ach, Du möchtest auch wissen, wie das geht? Na dann...

Du kannst mehrere SSL-VPN-Profile anlegen. In jedem Profil gibt es die Möglichkeit, den Benutzer bzw. die Benutzergruppe einzutragen und einzutragen, auf welche internen Ressourcen der Zugriff haben darf. Dafür müssen diese IPs einzeln als Hostdefinitionen in der Sophos eingetragen werden, dann kannst Du die in das SSL-VPN-Profil ziehen.

 

[WebY]

merciiii


\\Edit: Gibt es eigentlich von der XG UTM keien Home Edition? Konnte nur die abgespeckte Firewall Edition finden...da fehlen aber Funktionen wie z.B. Mailgateway.

 

[affabanana]

Heißt glaub sophos home.
Ist nur im Raum und Cpu?? Beschränkt.
Nicht mehr auf 50 IP's

 

[pumuckel]

https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM (d.h. der Rest wird einfach nicht verwendet ) ... also trotzdem usable auf nen z.B. Supermicro X11SBA-LN4F mit 2*4GB (stehen halt nur 6GB zur Verfügung)

 

[BloodyNL]

Hi Pumuckel,

das Board schaut gut aus, das ist doch mit integriertem Prozessor oder?

Kannst du dazu noch ein Gehäuse mit Netzteil empfehlen?

Als SSD sollte ja ne 120 GB locker langen.

Wo hast du denn das Board her bezogen?

Danke für den Tip. Ich hatte ewig nach nem itx mit Quad Lan gesucht.

 

[Opticum]

Sophos XG ist der letzte Müll (meine Meinung). Es ist ein rebranded Cyberoam wo Sophos ihr Logo draufgesetzt hat. Das kann man mit der UTM nicht vergleichen. Die UTM leidet derzeit zwar unter schlechten und verzögerten Patches aber ist ansonsten ein gutes Produkt.

 

[Eye-Q]

Naja, die Sophos UTM sind ja auch weiterentwickelte und umbenannte Astaro ASGs.

 

[Opticum]

@Eye-Q: genau, da wurde auch nie ein Geheimnis draus gemacht die XG Firewall wurde als total super Neuerung angepriesen.