[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
![[SoD]r4z0r](/community/data/avatars/m/111/111944.jpg?1577437183){kind=avatar}
[SoD]r4z0r
Enthusiast
- Mitglied seit
- 11.04.2009
- Beiträge
- 3.950
Liegt nicht am BIOS. Ich hatte das gleiche Board nur mit H-Chipsatz und habe dort die neueste Bios-Version verwendet.
Die Verwendung von DVI bringt keine Abhilfe, ein HDMI auf DVI Adapter funktioniert auch nicht.
Diverse Komponenten im Bios ausschalten (alles was das Bios her gibt außer das notwendigste) hat bei mir auch nicht funktioniert.
Ich würde aktuell behaupten, dass es an der integrierten GPU liegt. Auf meinem normalen PC konnte ich das ganze problemlos installieren, trotz Verwendung von DisplayPort und USB-Stick.
Die Verwendung von DVI bringt keine Abhilfe, ein HDMI auf DVI Adapter funktioniert auch nicht.
Diverse Komponenten im Bios ausschalten (alles was das Bios her gibt außer das notwendigste) hat bei mir auch nicht funktioniert.
Ich würde aktuell behaupten, dass es an der integrierten GPU liegt. Auf meinem normalen PC konnte ich das ganze problemlos installieren, trotz Verwendung von DisplayPort und USB-Stick.
Frage
Ich setze die WAF (web Application FIrewall) für Webservices ein, welche nicht Port 80 oder 443 nutzen (Synology z.B. 5001)
Nun habe ich dann beim virtuelle Webserver den Port 5001 und beim realen Webserver Port 443 und die Domain xyz.domain.com (Pass Post Header aktiv).
Wenn ich nun intern im LAN auf die Domain https://xyz.domain.com zugreife, wird das dann automatisch nur im internen LAN abgehandelt oder geht das aussenrum über WAN? Das wäre ungünstig wegen der Geschwindigkeit.
Wäre es denn möglich, dass interne Abfragen auch nur intern bleiben? Wie?
Ich setze die WAF (web Application FIrewall) für Webservices ein, welche nicht Port 80 oder 443 nutzen (Synology z.B. 5001)
Nun habe ich dann beim virtuelle Webserver den Port 5001 und beim realen Webserver Port 443 und die Domain xyz.domain.com (Pass Post Header aktiv).
Wenn ich nun intern im LAN auf die Domain https://xyz.domain.com zugreife, wird das dann automatisch nur im internen LAN abgehandelt oder geht das aussenrum über WAN? Das wäre ungünstig wegen der Geschwindigkeit.
Wäre es denn möglich, dass interne Abfragen auch nur intern bleiben? Wie?
Zuletzt bearbeitet:
AvantFighter
Enthusiast
Bräuchte mal eure hilfe.
Habe einen Exchange 2010, auf der UTM ist mein Smarthost eingetragen, senden und empfangen funktioniert ohne probleme, habe die Empfängerverifizierung "Mit Serveranfrage",
doch das funktioniert nicht, die firewall leitet auch Emails an den Exchange wo es keine Adresse gibt, der Exchange schickt dann die RDNS zurück.
Muss die FIrewall solche Emails nicht ablehnen, ohne es an den Exchange zu schicken?
Hab schon viele Einstellungen probiert, ohne erfolg, keine Ahnung ob es an der Firewall oder am Exchange liegt.
Habe einen Exchange 2010, auf der UTM ist mein Smarthost eingetragen, senden und empfangen funktioniert ohne probleme, habe die Empfängerverifizierung "Mit Serveranfrage",
doch das funktioniert nicht, die firewall leitet auch Emails an den Exchange wo es keine Adresse gibt, der Exchange schickt dann die RDNS zurück.
Muss die FIrewall solche Emails nicht ablehnen, ohne es an den Exchange zu schicken?
Hab schon viele Einstellungen probiert, ohne erfolg, keine Ahnung ob es an der Firewall oder am Exchange liegt.
@Eye-Q
Danke, aber so einfach ist es leider nicht - wegen dem Port-Translating was die WAF macht.
Wenn ich intern https://xyz.domain.com (was ja Port 443 ist) aufrufe, komme ich nirgends hin - weil die Webapplikation auf Port 5001 hört.
Edit:
Lösung hier: http://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058-65.html#post24372067
Danke, aber so einfach ist es leider nicht - wegen dem Port-Translating was die WAF macht.
Wenn ich intern https://xyz.domain.com (was ja Port 443 ist) aufrufe, komme ich nirgends hin - weil die Webapplikation auf Port 5001 hört.
Edit:
Lösung hier: http://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058-65.html#post24372067
Zuletzt bearbeitet:
Ah, jetzt verstehe ich das...
Du kannst einfach einen weiteren virtuellen Webserver erstellen, der eben auf dem internen anstatt dem externen Interface lauscht. Ansonsten wird der identisch konfiguriert, dann musst Du im internen DNS-Server die interne IP-Adresse der Sophos als A-Record für xyz.domain.com eintragen.
So wird dann ein interner Client auf die interne IP-Adresse der Sophos verbinden, wenn er auf https://xyz.domain.com will, und die wird das dann dementsprechend über den virtuellen Webserver an die Synology schicken.
Du kannst einfach einen weiteren virtuellen Webserver erstellen, der eben auf dem internen anstatt dem externen Interface lauscht. Ansonsten wird der identisch konfiguriert, dann musst Du im internen DNS-Server die interne IP-Adresse der Sophos als A-Record für xyz.domain.com eintragen.
So wird dann ein interner Client auf die interne IP-Adresse der Sophos verbinden, wenn er auf https://xyz.domain.com will, und die wird das dann dementsprechend über den virtuellen Webserver an die Synology schicken.
[SoD]r4z0r
Enthusiast
- Mitglied seit
- 11.04.2009
- Beiträge
- 3.950
@traxxus
Ich kann dir sagen wie wir das bei uns in der Firma machen, vlt. hilft dir das weiter:
Die Server stehen in ner DMZ. Global erreichbar sind die Server über sub.domain.tld. Aufrufe von intern würden natürlich über die WAF laufen. Da wir in manchen Fällen die Prüfung (z. B. SQL Injection) der WAF nicht benötigen bzw. diese manche Aktionen verhindert haben wir noch intern-sub.domain.tld. Die passenden IPs sind im internen DNS eingetragen, somit landen sowohl intern-sub als auch sub Aufrufe beim Server, wobei erste auf Grund der privaten IP nur intern sind. Wegen der DMZ sind intern natürlich noch alle benötigten Ports freigeschaltet.
Ich kann dir sagen wie wir das bei uns in der Firma machen, vlt. hilft dir das weiter:
Die Server stehen in ner DMZ. Global erreichbar sind die Server über sub.domain.tld. Aufrufe von intern würden natürlich über die WAF laufen. Da wir in manchen Fällen die Prüfung (z. B. SQL Injection) der WAF nicht benötigen bzw. diese manche Aktionen verhindert haben wir noch intern-sub.domain.tld. Die passenden IPs sind im internen DNS eingetragen, somit landen sowohl intern-sub als auch sub Aufrufe beim Server, wobei erste auf Grund der privaten IP nur intern sind. Wegen der DMZ sind intern natürlich noch alle benötigten Ports freigeschaltet.
Gab es da eigentlich Interesse wie man sich eine feste IPv4 Adresse nach Hause holen kann mittels eines vServers für 5,- € im Monat?
Ich habe jetzt diverse Anbieter durchprobiert und könnte dazu eine Anleitung schreiben, aber nur wenn Interesse vorhanden ist und die Arbeit nicht für die Tonne ist.
Die IP Adresse liegt direkt auf einem virtuellen Netzwerkinterface, wie eine zusätzliche Internetverbindung ein-/ausgehend. Inkl. IPSec Support. Ohne NAT!
Ich habe jetzt diverse Anbieter durchprobiert und könnte dazu eine Anleitung schreiben, aber nur wenn Interesse vorhanden ist und die Arbeit nicht für die Tonne ist.
Die IP Adresse liegt direkt auf einem virtuellen Netzwerkinterface, wie eine zusätzliche Internetverbindung ein-/ausgehend. Inkl. IPSec Support. Ohne NAT!
besterino
Legende
Für 5 Euro im Monat bekomme ich von meinem Internet-Anbieter direkt eine feste IP.
Rocker
Enthusiast
das ist aber nicht bei allen so... Die Tkom zB. bietet eine Feste ip nur an Business Anschlüssen.
Gruß Rocker
Gruß Rocker
ich bekomme nicht mal für Geld und gute Worte eine (nicht feste) IPv4 Adresse sondern nur Carrier Grade NAT. Die 5,- € Aufpreis würde ich sofort zahlen.
@oc_parts: theoretisch könnte man 2 DSL Anschlüsse zusammenschalten über den vServer, ich habe das noch nicht probiert, hättest du Lust das mit mir zu testen?
@oc_parts: theoretisch könnte man 2 DSL Anschlüsse zusammenschalten über den vServer, ich habe das noch nicht probiert, hättest du Lust das mit mir zu testen?
@oc_parts: scheint so, als wenn man mit der Sophos UTM direkt kein DSL Bond machen kann. Hier habe ich was dazu gefunden, man müsste dann zuerst zwei Ubuntu Maschinen miteinander verbinden, dann die Sophos davor hängen. Simon Mott - VPN Bonding - vielleicht gibt es da auch noch "schönere" Lösungen.
- - - Updated - - -
Habe mal eine Rohversion der Anleitung um eine IPv4 per RED nach Hause zu holen erstellt. Je nach Interesse und Freizeit werde ich noch den Part mit der vServer Einrichtung hinzufügen.
- - - Updated - - -
Habe mal eine Rohversion der Anleitung um eine IPv4 per RED nach Hause zu holen erstellt. Je nach Interesse und Freizeit werde ich noch den Part mit der vServer Einrichtung hinzufügen.
Zuletzt bearbeitet:
Funktioniert tiptop auf diese Weise
- Danke!-bestehenden virtuellen Server "klonen" und einfach beim Interface auf Internal bzw LAN stellen.
-optional im geklonten virtuellen Server die "Firewall-Profile" noch ausschalten, damit's noch mehr Performance gibt.
-auf dem DNS den Eintrag xyz.domain.com erstellen welcher als Ziel-IP die der Sophos UTM hat.
Zuletzt bearbeitet:
paulianer
HWLuxx SC2-Cup2 Silber#1
Interessante Idee. Angenommen ich habe darüber eine zweite IPv4 angelegt, nutze aber gleichzeitig meine private IPv4 - gibt es dann eine Möglichkeit, Websiten über den transparenten Proxy je Domain über die eine oder die andere IP-Adresse anzusteuern? Also praktisch Multipath-Rules für den Proxy?
Rocker
Enthusiast
Hallo,
Danke für die Anleitung, ich werde das dieses oder nächstes Wochenende mal testen.
Gibt es eine Anleitung für den Mail Gateway?
den ich suche etwas, wie ich ein Outlook mit mehreren Mailfächern hinter der Sophos betreiben kann und am liebsten wäre mir, die Mails wären schon mal gefiltert.
Gruß Rocker
Danke für die Anleitung, ich werde das dieses oder nächstes Wochenende mal testen.
Gibt es eine Anleitung für den Mail Gateway?
den ich suche etwas, wie ich ein Outlook mit mehreren Mailfächern hinter der Sophos betreiben kann und am liebsten wäre mir, die Mails wären schon mal gefiltert.Gruß Rocker
Wenn ich richtig viel Zeit dieses WE habe, dann erstelle ich noch Youtube Videos mit Anleitungen. Sophos als Mailfilter ist kein Hexenwerk.
@Rocker: soll ich das mal mit dir zusammen einstellen? Ich betreibe kein Outlook, sollte aber ähnlich sein.
- - - Updated - - -
@paulianer: ich nutze den Webproxy nicht, aber für Multipath funktioniert es.
@Rocker: soll ich das mal mit dir zusammen einstellen? Ich betreibe kein Outlook, sollte aber ähnlich sein.
- - - Updated - - -
@paulianer: ich nutze den Webproxy nicht, aber für Multipath funktioniert es.
Rocker
Enthusiast
@Opticum hast PM
Gruß Rocker
Gruß Rocker
Hallo Leute,
da ich @home etwas umgeräumt habe steht sowohl mein Drucker als auch mein Access Point an einer ungünstigen Position. Ich nutze momentan einen AP 15 um die Wohnung mit WLAN zu versorgen. Dieser Bridged in das LAN. Nun möchte ich einen 2. AP 15 in der Whg. einsetzen a) für einen besseren Empfang in allen Räumen und b) um über einen kleinen Switch noch den Drucker ins Netzwerk zu bekommen?
Bis eben wollte ich alles schnell bestellen. Dann habe ich "vorsorglich" mal schnell nach der richtigen Konfiguration schauen wollen und bin auf folgenden Link gestoßen, der mich etwas verunsichert:
https://www.sophos.com/de-de/support/knowledgebase/119138.aspx
Und zwar unterscheidet Sophos hier zwischen Mesh und Bridge-Mode - ich denke aber das ich eigentlich beides möchte: Sowohl WLAN in LAN bridgen (LAN <-> AP1 <-> WLAN1 <-> AP2 <-> WLAN1) und (LAN <-> Switch1 <-> AP1 <-> AP2 <-> Switch2 <-> LAN) LAN in LAN bridgen.
Geht das nun oder nicht?
da ich @home etwas umgeräumt habe steht sowohl mein Drucker als auch mein Access Point an einer ungünstigen Position. Ich nutze momentan einen AP 15 um die Wohnung mit WLAN zu versorgen. Dieser Bridged in das LAN. Nun möchte ich einen 2. AP 15 in der Whg. einsetzen a) für einen besseren Empfang in allen Räumen und b) um über einen kleinen Switch noch den Drucker ins Netzwerk zu bekommen?
Bis eben wollte ich alles schnell bestellen. Dann habe ich "vorsorglich" mal schnell nach der richtigen Konfiguration schauen wollen und bin auf folgenden Link gestoßen, der mich etwas verunsichert:
https://www.sophos.com/de-de/support/knowledgebase/119138.aspx
Und zwar unterscheidet Sophos hier zwischen Mesh und Bridge-Mode - ich denke aber das ich eigentlich beides möchte: Sowohl WLAN in LAN bridgen (LAN <-> AP1 <-> WLAN1 <-> AP2 <-> WLAN1) und (LAN <-> Switch1 <-> AP1 <-> AP2 <-> Switch2 <-> LAN) LAN in LAN bridgen.
Geht das nun oder nicht?
Nach positivem Feedback und der Anfrage zu weiteren Anleitungen werde ich hier in einem Blog ab und zu Anleitungen zur Sophos UTM und evtl. anderen Themen veröffentlichen:
Busche.org | Technikzeugs…
Aktuell habe ich eine Anleitung für die Einrichtung einer 2. IP Adresse zur Heim Sophos & Erzeugung eines HTTPS Zertifikats über Letsencrypt und Einbindung in den UTM Zertifikatsmanager.
Busche.org | Technikzeugs…
Aktuell habe ich eine Anleitung für die Einrichtung einer 2. IP Adresse zur Heim Sophos & Erzeugung eines HTTPS Zertifikats über Letsencrypt und Einbindung in den UTM Zertifikatsmanager.
