[Sammelthread] Sophos UTM-Sammelthread

Warum sollte sie das auch können? Wenn man einen Pool zur Verwaltung für DHCP definiert, darf der Dienst davon ausgehen, dass er den Pool auch hat. Ist doch bei allem so: wenn Du z.B. den Port 22 dem ssh-Server gibst, geht der auch davon aus, dass er den exklusiv hat und du nicht nen anderen Dienst auch darauf legst.

Nachtrag: was die anderen Dinger im Prinzip machen, ist sicherstellen, dass ein bestimmte Kiste immer die gleiche IP bekommt. Dann bekommt in der Tat kein anderer diese IP und sie ist de facto "reserviert". Aber trotzdem wird der Pool - mit dieser Sonderdefinition - vom DHCP-Server verwaltet. Diese Funktionalität bietet bestimmt auch die UTM.

Gleiches Ergebnis wie im Client ne statische IP festzulegen, anderer Weg.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sinn ergibt das ganze der Ansicht nach. Je nachdem, wie ein Admin sein Netz verwalten möchte. Mir tut es der Übersicht sehr gut, zu wissen: "Adressen gibt's nur in dem und dem Bereich." Man erspart sich das Merken von 2 IP Bereichen/Netz. Und umso größer die Wurst wird, umso dankbarer wird jeder Admin für eine Übersicht sein.

- - - Updated - - -

besterino schrieb:
Nachtrag: was die anderen Dinger im Prinzip machen, ist sicherstellen, dass ein bestimmte Kiste immer die gleiche IP bekommt. Dann bekommt in der Tat kein anderer diese IP und sie ist de facto "reserviert". Aber trotzdem wird der Pool - mit dieser Sonderdefinition - vom DHCP-Server verwaltet. Diese Funktionalität bietet bestimmt auch die UTM.
Zum Vergrößern anklicken....
Nein, siehe Handbuch.
 
sleeplessnight2 schrieb:
Ok, jetzt ist's offiziell. Die Sophos kann das nicht :d Was für eine Lachnummer...
seht hier: (Ausschnitt aus dem Handbuch)
Anhang anzeigen 361785
Zum Vergrößern anklicken....
Nö, einfach nur eine strenge Auslegung von Dynamic Host Configuration Protocol - Adressen für Geräte, die keine statische IP-Adresse erhalten sollen, werden aus dem DHCP-Pool genommen, Adressen für Geräte, die eine statische IP-Adresse erhalten sollen eben nicht.

Wenn man's weiß, kann man doch den DHCP-Pool dementsprechend konfigurieren und fertig ist die Laube...
 
Naja, ich wüsste nicht, dass irgendwo spezifiziert ist, dass von einem DHCP-Server an einen Client statisch zugeordnete IP-Adressen aus der DHCP-Range für komplett dynamisch zugewiesene Clients kommen müssen...

Natürlich gibt es da unterschiedliche Auslegungen, aber wenn der Hinweis so im Handbuch steht, sollte das doch OK sein, oder nicht?
 
sleeplessnight2 schrieb:
...
Zum Vergrößern anklicken....

Man muss doch sowieso sowohl den dynamischen Pool als auch die festen Zuweisungen einmal anpacken und einstellen. Dann konfiguriert man die halt von vornherein disjunkt. Man spart sich also mit dieser sinnlosen Überlappung genau gar nichts. Der Referenz-dhcpd von ISC funktioniert seit zig Jahren so, und deswegen weiß das auch jeder Admin und deswegen habe ich das traditionell genannt.
 
[h=2]Add Static Mapping to New Host Definition[/h]You can use an existing lease as template for a static MAC
ExpandingClosed.GIF
/IP mapping with a host to be defined. Do the following:

  1. For the desired lease, click the button Make Static in the Make static column.
    The dialog window Make Static opens.
  2. Make the following settings:
    Action: Select Create a new host.
    Name: Enter a descriptive name for the new host.
    DHCP server: Select the DHCP server to be used for static mapping. The corresponding DHCP range is displayed below the drop-down list.
    IPv4 address: Change the IP address to an address outside the DHCP pool range.
    Note – When converting a lease to a static mapping you should change the IP address so that it is no longer inside the scope of the DHCP pool. However, if you change the IP address, the address used by the client will not change immediately, but only when it tries to renew its lease for the next time.
Zum Vergrößern anklicken....

Ich muss gestehen, dass ich das auch anders erwartet hätte, wenngleich es in der (sehr guten) online Hilfe genau dokumentiert ist.

Bei mir gab es in vielen Jahren mit ca 20-30 statischen Hosts innerhalb eines Pools von 90 allerdings nie Probleme. Mehr als 50 Ips gehen ja eigentlich eh nicht...

Bei ausreichender Poolgröße sehe ich da eher keine größere Einschränkung, da die statische IP meines Erachtens erst bei Knappheit anderweitig vergeben wird. Sicher bin ich mir allerdings nicht.
 
Zuletzt bearbeitet:
XTaZY schrieb:
J
Den neuen CPU-Kühler hab ich heut verbaut, den Radial-Lüfter über dem Chipsatz entfernt und schonmal ein Schutzpad auf dem Chipsatz aufgebracht.


Die Tage kommt eine neue Hitachi-HDD 320GB (HTS543232A7A384), ein Zalman ZM-NB32J Kühler und fünf leisere 40mm Lüfter.
Zum Vergrößern anklicken....

Welche 40mm Lüfter hast Du verbaut und würdest Du diese empfehlen?
Habe jetzt eine ASG220 V4, die extrem laut ist... :O

- - - Updated - - -

Noch eine ganz andere Frage:

Kennt jemand das Bios von der ASG220 V4?
Läßt sich da etwas zu Leistungs / Lüftersteuerung oder anderes spannendes einstellen?

Ich habe schon länger keinen VGA Monitor bei der Hand und würde nur ungern dafür einen anschaffen, wenn es sich nicht lohnt. Mein VGA-HMDI Converter zeigt nämlich keine Bild an... :(
 
Hab diese verbaut:

Cooltek Silent Fan 4020

40 x 20 mm Lüfter
Rifle-Bearing, 13,5 dBa, 4.000 U/min, 11,5 m³/h,

Sind zwar nicht die Leisesten, aber sie sind ertragbar.

Also bei der Rev.5 gibts keine Einstellungen bzgl. Lüfterdrehzahlen im BIOS.
 
Zuletzt bearbeitet:
Hallo

da mein Jetway Mini ITX nun mehrere Jahre (6) auf dem Buckel hat möchte ich ein neues Motherboard verbauen. Gehäuse ist ein LC-Power LC-1340.

Hat die Community eventuell eine Empfehlung? Gesucht wird ein Mini ITX

- Lüfterlos bzw sehr leise
- Mindestens 3x Lan evtl, Daughterboard?
- Stromsparend
- Sophos UTM 9 Kombatibel
 
moin,

hat jemand von euch einen wsus am laufen und transparenten proxy aktiviert?
hier würde mich mal interessieren wie ihr das für den wsus mit dem webfilter geregelt habt bitte (wsus hat bei mir probleme updates runterzuladen..)
z.b. webfilter regeln? wsus-host irgendwie vom proxy ausgenommen?
 
Zuletzt bearbeitet:
Neue Firmware

Code: 
Up2Date 9.403004 package description:

Remark:
 System will be rebooted

News:
 Security Release

Bugfixes:
 Fix [NUTM-3775]: [Access & Identity] IPsec Remote Access with backend group doesn't work after update to 9.401
 Fix [NUTM-3979]: [Access & Identity] SSL VPN will not add route(s) to Local networks
 Fix [NUTM-3813]: [Basesystem] Remove SSH weak algorithms
 Fix [NUTM-3973]: [Basesystem] OpenSSL security update 1.0.1t
 Fix [NUTM-3696]: [Network] Security Patches for BIND (9.4)

RPM packages contained:
 libopenssl1_0_0-1.0.1k-362.g81ee15e.i686.rpm      
 libopenssl1_0_0_httpproxy-1.0.1k-362.g81ee15e.i686.rpm
 openssl-1.0.1k-362.g81ee15e.i686.rpm              
 ep-branding-ASG-afg-9.40-17.g4ba2928.noarch.rpm   
 ep-branding-ASG-ang-9.40-17.g4ba2928.noarch.rpm   
 ep-branding-ASG-asg-9.40-17.g4ba2928.noarch.rpm   
 ep-branding-ASG-atg-9.40-17.g4ba2928.noarch.rpm   
 ep-branding-ASG-aug-9.40-17.g4ba2928.noarch.rpm   
 ep-init-9.40-11.gb9872c4.rb1.noarch.rpm           
 ep-mdw-9.40-364.g84aa14f.i686.rpm                 
 chroot-bind-9.9.8_P4-1.gb57f1f6.rb4.i686.rpm      
 ep-release-9.403-4.noarch.rpm
 
Hey,

ich benötige mal eure Hilfe, vielleicht könnt Ihr mir behilflich sein.
Mein Netzwerk ist wie folgt aufgebaut:
LAN1: 192.168.178.XXX / 24 Default VLAN 0 FritzBox
LAN2: 192.168.125.XXX / 24 VLAN 100

Leider kann ich die UTM nicht für die DSL Einwahl verwenden, da sonst die Telefonie nicht mehr funktioniert. Somit muss ich sie hinter der FritzBox verwenden.
Die UTM läuft in einer VMware Umgebung und hat 4 NICs zugewiesen bekommen. Zwei NICs sind bereits konfiguriert.
NIC1: 192.168.178.24 (vergeben bei der Installation, Default Gateway 192.168.178.1)
NIC2: 192.168.125.1 Ethernet VLAN mit Tag 100

Die VLANs sind sauber konfiguriert. Verwende einen HP ProCurve 1810-24G v2
Tagged sind Sie auf dem HP als auch auf dem vSwitch von VMware

Kann mir jemand mitteilen, wie ich es schaffe das meine VMs aus LAN2 ins Internet kommen?
Die UTM ist als Gateway eingetragen. Jedoch muss ich vermutlich auf der UTM noch Einstellungen tätigen damit die Pakete zum Gateway aus LAN1, sprich die FritzBox, geroutet werden.

Vielen Dank!
 
Da die UTM standardmäßig alles blockt, muss entweder über die Firewall Websurfing oder was auch immer Du willst freigegeben oder der Webfilter aktiviert werden. Mit einem aktivierten Webfilter brauchst Du keine Firewall-Regel mehr, um den Web-Verkehr (Port 80/443) aus dem LAN freizugeben, der Webfilter umgeht die Firewall.
 
Batey schrieb:
hihi, ja, aber dann hat er ja kein VDSL modem mehr.
Zum Vergrößern anklicken....
Rein im Modem-Modus kann man die FritzBox doch mit der aktuellen Firmware eh nicht mehr nutzen. Würde mir mit VDSL und UTM wohl immer ein dediziertes DSL-Modem holen.

Aber, es gibt einen Config-"Hack" in Verbindung mit einer älteren Firmware, dann geht der Modem-Modus.
 
Hallo zusammen.
Ich hoffe ihr könnt mir einen hilfreichen Ratschlag geben.

Ich habe die Sophos bereits fertig konfiguriert. Sie verteilt per DHCP IPs an die Clients und sich selbst als Gateway. Soweit sogut.
Funktionieren tut das ganze auch. Web-Filter funktionieren auch.
Vielleicht ist es wichtig: Internet wird über NAT->Maskierung von einer auf die andere Netzwerkkarte zur Verfügung gestellt.

Nur bekomme ich die Firewall (DateiScan) einfach nicht zum laufen. EICAR-Downloads laufen jedesmal gemützlich durch.
Unter Web Protection->Webfilter->Richtlinien->Default habe ich die Firewall aktiviert.
Unter Verwaltung->Systemeinstellungen->Scan-Einstellungen habe ich Sophos ausgewählt.

Jemand eine Idee?
 
Zuletzt bearbeitet:
Die Eicar Datei flutscht dann durch, wenn Du per Https abrufst und https webfilter nicht aktiviert hast.
 
Ich brauche eine fixe IPv4 Adresse, mein ISP bietet das nicht für Privatkunden.

Welche Lösungen gibt es um dies zu verwirklichen? Als Idee hatte ich:
-EInen VPN Dienst abbonieren welcher eine fixe IP bietet. Danach ein Site2Site VPN zu diesem mit der Sophos UTM. Diese scheint das aber nicht zu können (mittels OpenVPN)?
-Einen VPS mieten und dort die Sophos UTM Home als RED betreiben. Frage mich aber, ob das geht wenn nur ein Interface zur Verfügung steht?
-Andere Optionen?
 
Bei deinem ISP auf einen Business Tarif umstellen? Zum Beispiel bei der Telekom war das 5 Euro Aufpreis pro Monat gegenüber dem Consumer-Anschluss, dafür aber um Welten besserer Support und eben zusätzliche Möglichkeiten wie feste IP.
 
Geht nicht, wird nicht gehen bei meinem ISP. Daher überhaupt meine Frage.
 
Hier gab es vor ner Weile eine Anleitung um das über einen günstigen vServer zu realisieren (mittels RED Tunnel)
 
Die Anleitung gab es hier: Busche.org | Technikzeugs… - Sobald ich Zeit finde gibt es eine neue die verschiedenen "Nebenwirkungen" vorbeugt ...

Das Thema (feste)IPv4 hatte mir nach Wechsel zu einem CGN Provider einiges an Kopfschmerzen und lange Abende bereitet ... wird in Zukunft - grad bei neuen Providern - aber so sein.
 
Zuletzt bearbeitet:
hat noch jemand probleme mit .cc domains (genauer gesagt mit deren auflösung durch den DNS-Proxy)?
DNS-Forward -> G-DNS
G-DNS passt auch -> nslookup -debug dict.cc 8.8.8.8
wird aber trotzdem intern nicht aufgelöst

Edit:

in den DNS-Logs finde ich
error (unexpected RCODE REFUSED) resolving '230.117.189.193.in-addr.arpa/PTR/IN': 91.213.206.210#53
 
Zuletzt bearbeitet:
MaxRink schrieb:
hat noch jemand probleme mit .cc domains (genauer gesagt mit deren auflösung durch den DNS-Proxy)?
DNS-Forward -> G-DNS
G-DNS passt auch -> nslookup -debug dict.cc 8.8.8.8
wird aber trotzdem intern nicht aufgelöst
Zum Vergrößern anklicken....

Nutze hier BIND und kann sagen, dass ich keine Probleme hab. Liegt also nicht am DNS ansich.

in den DNS-Logs finde ich
error (unexpected RCODE REFUSED) resolving '230.117.189.193.in-addr.arpa/PTR/IN': 91.213.206.210#53
Zum Vergrößern anklicken....

Sieht unbeteiligt aus. Keine dieser Adressen hat was mit dict.cc zu tun.
 
Hallo zusammen,
ich stehe gerade vor einem Problem, bei dem ich leider nicht weiter komme, da mir etwas die Kenntnisse fehlen.
Und zwar habe ich zuhause eine UTM 9.402-7 mit dem Netzwerk 192.168.178.0/24
Ich habe entfernt ein Netzwerk 192.168.0.0/24

Nun habe ich nach folgender Anleitung:
https://klenzel.de/2654
einen Raspberry Pi2 hergerichtet und diesen mit der festen IP 192.168.0.2 in das entfernte Netzwerk gehängt.
Die SSL VPN Verbindung steht und funktioniert. Ich habe zugriff auf den Raspberry und kann diesen anpingen. Auf die Gerätschaften, die ebenfalls in dem entfernten Netzwerk sind habe ich jedoch keinen Zugriff. Wie kann ich dies ändern?
Muss da in der UTM etwas eingestellt werden oder muss der OpenVPN auf dem Raspberry Pi2 angepasst werden?
 
Überleg mal, ob die Gerätschaften wissen können, dass hinter 192.168.0.2 ein Netz 192.168.178/24 hängt.
 
TCM hat einen guten Gedanken:

im entfernten Netz muss der Raspi als Gateway verwendet werden, sonst dürfte es nicht gehen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh