[Sammelthread] Sophos UTM-Sammelthread

entweder ich oder ihr habt es verkehrt herum verstanden :).

Homenetz mit der UTM
192.168.178.0/24
UTM hat die 192.168.178.254
Gateway 192.168.178.254

Das entfernte Netz
192.168.0.0/24
Router hat die 192.168.0.1
Gateway 192.168.0.1
Raspberry hat die 192.168.0.2
Gateway 192.168.0.1

VPN über SSL läuft. Ich habe vom Homenetz also 192.168.178.0/24 Verbindung zum Raspberry also 192.168.0.2 der den OpenVPN Server stellt.
Vom Homenetz habe ich sonst auf kein Gerät zugriff
Vom entfernten Netz habe ich allerding auf das komplette Homenetz zugriff

Ich vermute, dass ich der UTM also auf der Homeseite sagen muss, wenn ich den IP Bereich 192.168.0.0/24 will muss es über die VPN Verbindung geleitet werden.
Oder habe ich da ein Denkfehler und der UTM schickt es schon da rüber aber der Raspberry blockt da dann ab und leitet die Infos nicht weiter


EDIT:
wenn ich mir aber weiter darüber Gedanken mache, kann es ja fast nicht an der UTM liegen. Denn diese weiß ja von der 192.168.0.2 auch nichts, sondern nur den Breich 192.168.0.0/24
Somit müsste die UTM ja alles brav weiter reichen.
Somit muss ich dem Raspberry irgendwie sagen, was er mit der Anfrage machen soll. Ist in dem Fall ein Gatewayeintrag im Raspberry das richtige? Muss ich nicht der VPN Config sagen, es gibt nicht nur dich sondern den ganzen Bereich?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
das habe ich im laufe des gestrigen Abends aktiviert. Jedoch brachte dies alleine keine Verbesserung.
raspberrpiroute.JPG
So siehen aktuell die routen auf dem raspberry aus.

muss ich auf dem raspberry noch eine route in die config schreiben? z.B. so
push "route 192.168.X.0 255.255.255.0"

Welche Adresse müsste dies dann sein? Irgendwie steh ich da etwas auf dem Schlauch
 
Ich habe hier ein ähnliches Problem, allerdings zwischen der UTM und einer FritzBox auf IPSec Basis.

Die Config habe ich laut dieser Seite durchgeführt
https://www.bergercity.de/networking/sophos-astaro-lan-lan-mit-fritzbox/comment-page-1/

Von meinem Netz 192.168.2.0/24 komme ich in das entfernte Netz 192.168.4.0/24
Aber umgekehrt geh gar nichts, wobei ich die Firewall-Regel automatisch erstellen ließ.
Nach langem hin und her hatte ich auch mal dran gedacht, wenn ich physisch im anderen Netz war, einen Tracert los zu schicken.
Dieser blieb erfolglos, da er aus meiner Sicht nicht wusste wo hin er die Anfrage schicken sollte.
Auch im Firewall Log der UTM waren zu dem Zeitpunkt keine blockierten Anfragen aus dem Netz noch von der externen Adresse zu sehen.

Weiß von euch einer woran das liegen kann?
Das ist meine FritzBox Config
Code: 
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
		keepalive_ip = 192.168.2.254;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;                
        remote_virtualip = 0.0.0.0;
        remotehostname = "dyndns2"; 
        localid {
            fqdn = dyndns1;
        }
        remoteid {
            fqdn = dyndns2;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "Key";  
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.4.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.2.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
azazul schrieb:
Hallo

da mein Jetway Mini ITX nun mehrere Jahre (6) auf dem Buckel hat möchte ich ein neues Motherboard verbauen. Gehäuse ist ein LC-Power LC-1340.

Hat die Community eventuell eine Empfehlung? Gesucht wird ein Mini ITX

- Lüfterlos bzw sehr leise
- Mindestens 3x Lan evtl, Daughterboard?
- Stromsparend
- Sophos UTM 9 Kombatibel
Zum Vergrößern anklicken....

Hast Du etwas passendes gefunden?
 
Ich suche auch noch etwas passendes. Lower Power, AES-NI. IPS und Web Filter wird nicht benutzt. Es gibt was von Lanner aber kostet um die 450,- € hat dafür aber auch Intel NICs.
 
Hallo zusammen,

nachdem ich kürzlich günstig einen Server mit einem 4-Core-Xeon geschossen habe (HP DL320e Gen8v2, 32 GB RAM), dachte ich mir, ich baue mir mein Homelab mal ein bisschen professioneller auf - der Microserver steht schon bei Ebay :-)

Der Server hat zwei LAN-Ports on board, laufen lasse ich eine vSphere 6 (U2) Umgebung.
Als Modem wird eine Fritzbox 7490 benutzt (welche aufgrund von Telefonie auch weiterlaufen soll) - Exposed Host ist eingeschaltet und zeigt auf die Sophos mit einer statischen Adresse 192.168.178.2, DHCP ist ausgeschaltet.
Von Netcologne kommt eine feste IPv4.

Aufbau ist folgendermaßen:
Fritzbox Port 1 (192.168.178.1) -> Server Port 1 (eth0)
HW-Switch Internes LAN (10.0.0.5) -> Server Port 2 (eth1)
In vSphere sind 2 Switche definiert, vSwitch0 für internes LAN und Management, vSwitch1 für WAN.

In Sophos ist eth1 als internes Netz deklariert mit der IP 10.0.0.1 - Haken bei default Gateway ist nicht gesetzt.
eth0 ist das externe Netz (= Fritzbox). Hier ist die IP 192.168.178.2 eingetragen, der Haken bei default Gateway ist gesetzt und als IP steht da 192.168.178.1 (die Adresse der Fritzbox).

Irgendwas scheine ich falsch gemacht zu haben, da ich von meinen Clients die am HW-Switch hängen nur im internen Netz rumgurken kann, Zugang zum Internet besteht nicht.
FW-Regel besteht derzeit testweise auf Any-Any-Any.

Hat jemand eine Idee für mich?
 
Zuletzt bearbeitet:
salnet: DNS konfiguriert in der Sophos und auf den Clients? Ansonsten kannst du unter Support -> Tools -> DNS-Lookup testen, ob die Sophos überhaupt richtig auflösen kann.

2016-07-04 08_55_30.png
 
Zuletzt bearbeitet:
Belatis: Ja, DNS ist als Availability Group definiert wie in der Anleitung von Sophos beschrieben, die Clients kriegen den DNS (=Sophos 10.0.0.1) über DHCP mitgeteilt.
Ich krieg auch keinen Ping nach draußen raus, auch nicht auf eine IP.
 
salnet: hast du NAT Masquarading eingerichtet? Intern -> WAN, Firewall Regel angelegt Intern -> Any -> WAN ? (Any bitte durch die gewünschten Dienste ersetzen)
 
salnet: kommt die UTM selbst denn in's Internet? (Support, Tools, Ping Check) - Kannst du die UTM von den Clients aus anpingen? Steht die UTM bei den Clients als Gateway drin? (ipconfig checken)
 
Sorry, dass ich mich jetzt erst melde. Als ich gestern Abend von der Arbeit kam, hatte sich das Problem in Rauch aufgelöst - keine Ahnung warum, aber die Clients kommen ins Netz, warum, weiß ich auch nicht - geändert hatte ich nichts mehr.
 
Kleine Frage in die Runde:



Wieso kann ich bei "Interface" nichts auswählen beim Erstsetup? Das ist mir schon mit der letzten 9.403 Version aufgefallen. Weder VMXNET3 Adapter noch PCI-Geräte per Passthrough werden zum auswählen angezeigt (Beim Setup selber ganz am Anfang wird alles sauber aufgelistet - auch später in der Weboberfläche)

Jetzt bei 9.404 (Neueste Software) auf ESXi das gleiche als für nen Freund seine Sophos einrichten wollte. Nichts schlimmes, geht aber auf die Nerven weil man danach alles Manuell machen muss :fresse:
 
weil faule schweine bei sophos sitzen denen es wurscht is ob sich anfänger damit schwer tun^^

mir ist das auch aufgefallen und weil ich mir das nicht merken will habe ich mir 5 screenshots gemacht falls die das jetzt die nächsten 10versionen so beibehalten (was wahrscheinlich ist).
 
Das nervt halt einfach. Ich komme damit zurecht, sogar Sophos Certified Engineer :fresse:
Es macht eine (schnelle) Ersteinrichtung einer Testfirewall bzw. neuen Umgebung nur unnötig komplizierter. Sind zwar wenige Schritte, aber sind halt auch wieder 5 min vom Leben :d
 
Ich suche noch ein funktionierendes "6tunnel" binary für die UTM. Ich hatte mal eine, aber brauchte ich zu dem Zeitpunkt nicht. Wäre cool wenn das jemand hat?
 
Gibt es irgendeine schnelle Lösung für ein per ABS File eingespielte SSL VPN (Sophos ist Client) den Zielhost zu ändern und alle anderen Einstellungen beizubehalten?
Kann man so ein ABS irgendwie wieder downloaden oder bekommt man über die Shell zugriff?

Das File und die Zertifikate sind weg, daher müsste ich sonst Alles komplett neu aufsetzen und dabei hat sich nur der Zielhost geändert.
 
Zuletzt bearbeitet:
cimbo schrieb:
Der Sammethread gefällt mir, ich spiele auch grad mit Sophos rum :)

Hat jemand die virtuelle UTM (9.3) auf Hyper-V 2012 R2 laufen? Ich habe damit nervige Netzwerkprobleme. Als beispiel:

Ständige Pingverluste, manchmal über mehrere Sekunden:
Code: 
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=49ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=46ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=58ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=39ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=51ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=49ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=52ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42

Auf VMware läuft ein Testgerät jedoch super. Kann bei diesem Test aber nicht auf Hyper-V verzichten. Habe ähnliche Probleme schon im Netz gelesen aber bis jetzt keine Lösung gefunden :(
Zum Vergrößern anklicken....



Ich habe EXAKT das gleiche Problem - gibt es dafür eine Lösung? Bzw weiß jemand woran es liegt? Unter Esxi lief bei mir alles super. NIC ist Intel Pro 1000. MTU von 1400 in der UTM getestet. UTM ist hinter o2 Homebox (Bald Modem) - aber mit der ging es ja unter esxi auch...

Danke schonmal :)
 
Zuletzt bearbeitet:
Da es im Moment eine Aktion gibt in dem der Werber $30 und der Geworbene $20 Bonus Guthaben bekommt bei Vultr, biete ich an Hilfestellung zu geben (per Mail oder Teamviewer) falls sich jemand dort eine VM für Sophos einrichten möchte für eine feste IPv4 für zuhause (Sophos zuhause vorausgesetzt). Einfach PN.
 
Ich habe zwei Fragen bzw. Probleme die ich nicht in den Griff bekomme.

1. Mein Interner Webserver ist von außen erreichbar, jedoch werden die Hyperlinks auf der Seite auf den Internen Server verwiesen, was so nicht funktionieren kann.

Bsp. Öffentliche IP --> Webseite X --> Link zum Anmelden = 192.168.178.20 (http://192.168.178.20/Login?returnurl=/)

Was mache ich verkehrt?

2. Beim Surfen von Webseiten, werden mir einige Verlinkungen die einen anderen Port ansprechen nicht angezeigt.

Bsp. Ich möchte einen Link öffnen, hinter dem ein Webserver über Port 8085 Inhalt zur verfügung stellt. Beim Aufrufen des Hyperlinks bzw. Inhalts, gibt es ein Timeout und somit auch nichts zu sehen. Dieses Problem tritt nur im Internen Netzwerk auf. Die Leute im WWW können den Inhalt jedoch ohne Probleme aufrufen.

Ich würde mich freuen, wenn mir bei meinen beiden Problemen helfen könnte.
 
Ma$ter schrieb:
1. Mein Interner Webserver ist von außen erreichbar, jedoch werden die Hyperlinks auf der Seite auf den Internen Server verwiesen, was so nicht funktionieren kann.

2. Beim Surfen von Webseiten, werden mir einige Verlinkungen die einen anderen Port ansprechen nicht angezeigt.

Bsp. Ich möchte einen Link öffnen, hinter dem ein Webserver über Port 8085 Inhalt zur verfügung stellt. Beim Aufrufen des Hyperlinks bzw. Inhalts, gibt es ein Timeout und somit auch nichts zu sehen. Dieses Problem tritt nur im Internen Netzwerk auf. Die Leute im WWW können den Inhalt jedoch ohne Probleme aufrufen.
Zum Vergrößern anklicken....

@1. Hast Du NAT für den internen Server eingerichtet oder verwendest Du Web Application Firewall?

@2. Wer sind diese Leute im WWW? Der Webserver steht extern? Dann musst Du den entsprechenden Port in der FW auch erlauben. Oder eben alle "Any" nach extern erlauben.
 
Moin Moin,

habe seit einiger Zeit das Problem das meine Sophos auf der Version 9.311-3 hängt.
Die anstehenden Updates schlagen alle Fehl :(
Wenn man ins Log schaut kommt folgende Meldung bei den einzelnen Paketen:


' ep-up2date-pattern-install is needed by u2d-savi-9-9506.i686


Jemand ne Idee hierzu?
 
@ Batey

Sorry, dass ich erst jetzt antworte. Habe zu viel Stress auf Arbeit und bin am Ende nicht dazu gekommen, dir zu antworten.

Zu 1. Ich habe den Port 8087 in den Misc Setting (Web Protection --> Filtering Options) eingetragen, sowie den Proxy auf den Clients eingetragen, Nun läufts.

Zu 2. Ich verwende den Web Application Server.

Hierzu die Lösung: Im Virtuellen Server musten paar Häckchen gesetzt werden (Pass host header und Rewrite HTML)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh