[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Nein Hop 1 und 2 haben 10% und nur 2xx Pakete.
Die Leitung wurde schon unzählige mal durchgemessen, da der PL auch direkt am Modem angeschlossen besteht. TV wird nicht genutzt und intern gibt es keine Probleme. Der Switch wurde aber auch schon wegen der Sicherheit per RMA getauscht.
Die Pakete der letzten Hops müssen doch zwangsläufig auch durch den 1. und 2. Hop und das geht problemlos.
Passt hier vielleicht rein. Ich verkaufe gerade im Marktplatz eine Sophos SG115 sowie einen Sophos AP30. Falls ihr Interesse haben solltet, hier gehts lang 
http://www.hardwareluxx.de/community/f168/sophos-sg115-sophos-ap30-1132378.html#post24863040
http://www.hardwareluxx.de/community/f168/sophos-sg115-sophos-ap30-1132378.html#post24863040
ChrisM243
Enthusiast
Hallo zusammen,
vielleicht habt ihr ja noch Ideen - ich versuche schon seit einigen Tagen, eine Verbindung zur UTM bzw. zum Webaccess zu bekommen.
Bei mir läuft das ganze auf einer Zotac Zbox, dazu noch ein USB3 auf Gigabit-Adapter. Ich bekomme nach Ende des Setups auch eine IP angezeigt, aber dahin bekomme ich keinerlei Verbindung, trotz https.
Da ich nicht weiß, was das System nun als WAN-Port nutzt, habe ich beide NICs an meinen Switch angeschlossen, aber auch hier gibt es dasselbe.
Diese Website ist nicht erreichbar
Die Antwort von ... hat zu lange gedauert.
Versuchen Sie Folgendes:
Verbindung prüfen
Proxy und Firewall prüfen
Braucht man da ggf. eine Portfreigabe o.ä.?
vielleicht habt ihr ja noch Ideen - ich versuche schon seit einigen Tagen, eine Verbindung zur UTM bzw. zum Webaccess zu bekommen.
Bei mir läuft das ganze auf einer Zotac Zbox, dazu noch ein USB3 auf Gigabit-Adapter. Ich bekomme nach Ende des Setups auch eine IP angezeigt, aber dahin bekomme ich keinerlei Verbindung, trotz https.
Da ich nicht weiß, was das System nun als WAN-Port nutzt, habe ich beide NICs an meinen Switch angeschlossen, aber auch hier gibt es dasselbe.
Diese Website ist nicht erreichbar
Die Antwort von ... hat zu lange gedauert.
Versuchen Sie Folgendes:
Verbindung prüfen
Proxy und Firewall prüfen
Braucht man da ggf. eine Portfreigabe o.ä.?
Den 4444er Port gibst du aber mit an im Browser?
Also https://IP:4444
Ansonsten, installierst du native oder als VM? Spontan würde ich auf fehlende Treiber tippen, wenn du native installierst... Vor allem der USB Adapter dürfte ziemlich sicher keinen Treiber haben.
Also https://IP:4444
Ansonsten, installierst du native oder als VM? Spontan würde ich auf fehlende Treiber tippen, wenn du native installierst... Vor allem der USB Adapter dürfte ziemlich sicher keinen Treiber haben.
ChrisM243
Enthusiast
Ja, den Port gebe ich mit an. 
Ich habe es nativ installiert. Gut, das mit dem Adapter dachte ich auch, aber auch ohne diesen mit nur einem NIC müsste ich doch trotzdem eine Verbindung bekommen, um das Webaccess aufrufen zu können?
Kann man eventuell fehlende Treiber installieren? Im Grunde ist das ja ein reguläres Linux auf "Konsolenbasis".
Ich habe es nativ installiert. Gut, das mit dem Adapter dachte ich auch, aber auch ohne diesen mit nur einem NIC müsste ich doch trotzdem eine Verbindung bekommen, um das Webaccess aufrufen zu können?
Kann man eventuell fehlende Treiber installieren? Im Grunde ist das ja ein reguläres Linux auf "Konsolenbasis".
Das wird die 192.168.0.1 sein, was die Standard-LAN-IP einer neu installierten UTM ist. Nur um sicher zu gehen: hast Du deinem PC/Notebook eine statische IP-Adresse im selben Subnetz gegeben? Vor der Grundkonfiguration ist kein DHCP-Server aktiv.
Jaein. Es ist ein Linux, allerdings speziell gehärtet, womit soweit ich weiß die Installation eigener Treiber nicht mögich ist.
Es ist doch nach wie vor ein SLES11 (mit ich glaube SP3)
Man kann regulär bspw. rpm Pakete istallieren bei bedarf, das läuft grundsätzlich schon.
Sollte es am Treiber liegen, kann man das schon hinbekommen, denke ich. Nur muss man natürlich nen passenden Treiber finden
Auch müsste man sich ansehen, wie man da ran/rein kommt. Per default ist der Console Zugriff doch gesperrt?? Das mach sich also generell also etwas schwierig.
PW Reset über Single User Mode Mode geht, wenn ich das recht in Erinnerung habe, ggf. den root login an der Konsole noch erlauben über einen Boot eines externen Systems und dann, wenn man rein kommt die entsprechenden Pakete nachinstallieren. Ggf. muss man händisch Repos von den notwendigen Paketen setzen.
PS: Das bringt mich zu einer anderen Frage...
Jemand schonmal versucht einen (oder mehrere zusätzliche) Serverdienste zu installieren?
Bei NetCup gibts aktuell die VPS, die ja so schon günstig sind, für 3 Monate kostenfrei.
Bin nun am überlegen, ne UTM dort zu installieren. 120GB Storage ist mehr als genug, 2-4x vCPU sollte generell auch taugen und mit 6-12GB dediziertem RAM sollte das auch aufgehen... ISOs gehen auch, es ist ein KVM based VPS.
Warum ne UTM? Ja das ist die Frage, es ist einfach einzurichten und vermeindlich "sicher". Ich suche effektiv nach nem definierten Endpunkt um VPNs einzusammeln (fixe IP), da dies mit Hardware Routern und dynDNS bei IPSec teils nicht geht. Hab aber auch keine wirkliche Lust mich dort dediziert mit OpenVPN oder anderen Ansätzen auf Linux Basis, zu beschäftigen. Geht halt nur um ne Hand voll Tunnel, die auch nicht permanent aktiv sein werden. Ggf. aber noch Client Einwahl und vielleicht Mailrouting.
Wenn die Kiste aber einmal steht, wäre so ein ARK Gameserver, ggf. noch ein TS3 Server eigentlich nicht verkehrt.
Das geht zwar grundsätzlich gegen die Regel, nur so wenig wie möglich Dienste auf dem Kasten zu aktivieren, für privat only sehe ich das aber weniger direkt kritisch.
die hatten wohl irgendwann deren KVM geändert. Vor mehr als 1 Jahr wo ich es am laufen hatte konntest du es einfach installieren. Vor 1 Woche nicht mehr. Im Forum stand was von anderen Treibern. Da die dich eh drossel wenn du mehr als 80Mbit für x Minuten hast habe ich von meinem Widerrufsrecht gebrauch gemacht.
Ich PM dir mal eine gute Alternative ohne Laufzeit und super zum Testen.
Ich PM dir mal eine gute Alternative ohne Laufzeit und super zum Testen.
Hab nun mal Traceroute auf die WAN-IP durchgeführt und hier wird der PL (10%) nur auf dem UTM Interface ausgegeben:
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| 192.168.178.1 - 10 | 721 | 651 | 0 | 0 | 4 | 1 |
| WAN IP - 0 | 1307 | 1307 | 0 | 0 | 11 | 1 |
|________________________________________________|______|______|______|______|______|______|
WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider
Also ich habe keine Bandbreiten und Drossel Probleme bei NC. Und solltest du wirklich Bandbreite benötigen, kann man sich ja eine dedizierte 1 GBit Leitung dazu buchen.
Vielleicht bringt dich das weiter
https://community.sophos.com/kb/en-us/115343
https://community.sophos.com/kb/en-us/115343
THX, jedoch ist das ganze Linux, was nicht so mein Fall ist.
Die Sophos hat leider von Haus aus, keine Möglichkeit etwas darzustellen, bzw. habe ich nichts dazu gefunden.
davidof2001
Enthusiast
Reichen die Logs z.B. Vom Proxy nicht aus?
Irgendwo könnte man doch auch den Umfang des Loggings einstellen, oder?
Gesendet von iPhone mit Tapatalk
Irgendwo könnte man doch auch den Umfang des Loggings einstellen, oder?
Gesendet von iPhone mit Tapatalk
affabanana
Enthusiast
- Mitglied seit
- 16.10.2011
- Beiträge
- 275
ob sich das jemand Freiwillig antut?
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Ich bräuchte dringend eure fachmännische Hilfe.
In den letzten Monaten hatte ich gesundheitsbedingt nicht die Möglichkeit an meinen PC zu kommen, um zu arbeiten. Dadurch konnte ich wichtige Arbeiten nicht termingerecht ausführen.
Also jetzt muss dringendst und schnellstens eine Lösung her, damit mir das nicht noch einmal passiert.
WLAN-Zugang wäre gegen Bezahlung vorhanden, ob natürlich Ports gesperrt sind, weis ich nicht.
Im Zweifel müsste ich mir einen anderen Telefontarif holen, in dem Zugang zum Internet mit dabei ist (Ja, ich benutze mein Telefon nur zum Telefonieren und zu nichts anderem). Dann muss ein Smartphone als Hotspot her halten.
Laptop bzw. Surface 4pro ist inzwischen vorhanden.
WAN kommt von Unitiymedia mit einer IP4 (100/5 Mbit/s), kein DS-Lite (dies hatte ich mal vor Jahren bei Kabel-BW so noch hinbekommen)
WAN ------> Fritz!Box6360 Cable Firmware 6.50 (IP:192.168.185.63)-------> durchgereicht als "Exposed Host" an die UTM v.9.406-3 (IP:192.168.185.180)
DynDNS bei noip.com vorhanden und in der FritzBox konfiguriert und aktiviert, auch konfiguriert in der UTM aber nicht aktiviert.
Lan (intern) 192.168.2.0/24
Arbeits-PC 192.168.2.50
So wie komme ich jetzt auf die UTM bzw. an meinen PC?
In der Vergangenheit hatte ich mal in dem UTM-Handbuch was gelesen von Remote Access per VPN - also bin ich im Web auf Suche gegangen und hab folgendes gefunden:
Anleitung von Sophos: https://www.sophos.com/de-de/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_SSL_geng.pdf
IP-Sec-Client: https://www.sophos.com/de-de/support/utm-downloads.aspx
Unterschiedlich Konfiguration?
SSL VPN: https://www.youtube.com/watch?v=_csPF3hKITU
SSL VPN: https://www.youtube.com/watch?v=YQ4Xja-lN3E
Setup: https://www.youtube.com/watch?v=hEmZRLqWaNI
Ist das der richtige Weg?
Kann und soll ich so meine UTM konfigurieren?
Angenommen ja, wenn ich es richtig verstehe, dann bin mit dem Surface per VPN in meinem LAN (intern), nur wie komme ich dann an bzw. auf meinen ArbeitsPC?
Per UltraVNC oder RDP?
In den letzten Monaten hatte ich gesundheitsbedingt nicht die Möglichkeit an meinen PC zu kommen, um zu arbeiten. Dadurch konnte ich wichtige Arbeiten nicht termingerecht ausführen.
Also jetzt muss dringendst und schnellstens eine Lösung her, damit mir das nicht noch einmal passiert.
WLAN-Zugang wäre gegen Bezahlung vorhanden, ob natürlich Ports gesperrt sind, weis ich nicht.
Im Zweifel müsste ich mir einen anderen Telefontarif holen, in dem Zugang zum Internet mit dabei ist (Ja, ich benutze mein Telefon nur zum Telefonieren und zu nichts anderem). Dann muss ein Smartphone als Hotspot her halten.
Laptop bzw. Surface 4pro ist inzwischen vorhanden.
WAN kommt von Unitiymedia mit einer IP4 (100/5 Mbit/s), kein DS-Lite (dies hatte ich mal vor Jahren bei Kabel-BW so noch hinbekommen)
WAN ------> Fritz!Box6360 Cable Firmware 6.50 (IP:192.168.185.63)-------> durchgereicht als "Exposed Host" an die UTM v.9.406-3 (IP:192.168.185.180)
DynDNS bei noip.com vorhanden und in der FritzBox konfiguriert und aktiviert, auch konfiguriert in der UTM aber nicht aktiviert.
Lan (intern) 192.168.2.0/24
Arbeits-PC 192.168.2.50
So wie komme ich jetzt auf die UTM bzw. an meinen PC?
In der Vergangenheit hatte ich mal in dem UTM-Handbuch was gelesen von Remote Access per VPN - also bin ich im Web auf Suche gegangen und hab folgendes gefunden:
Anleitung von Sophos: https://www.sophos.com/de-de/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_SSL_geng.pdf
IP-Sec-Client: https://www.sophos.com/de-de/support/utm-downloads.aspx
Unterschiedlich Konfiguration?
SSL VPN: https://www.youtube.com/watch?v=_csPF3hKITU
SSL VPN: https://www.youtube.com/watch?v=YQ4Xja-lN3E
Setup: https://www.youtube.com/watch?v=hEmZRLqWaNI
Ist das der richtige Weg?
Kann und soll ich so meine UTM konfigurieren?
Angenommen ja, wenn ich es richtig verstehe, dann bin mit dem Surface per VPN in meinem LAN (intern), nur wie komme ich dann an bzw. auf meinen ArbeitsPC?
Per UltraVNC oder RDP?
Zuletzt bearbeitet:
Die ersten beiden Anleitungen laufen auf's selbe hinaus, die eine ist etwas umständlicher, weil die einzelnen Dinge, die benötigt werden, einzeln in den jeweiligen Unterpunkten angelegt werden, obwohl man sie anlegen kann, während man andere Dinge anlegt.
Die dritte Anleitung ist unsicher, da PPTP eingerichtet wird. Diese Verschlüsselung kann heutzutage sehr leicht geknackt werden.
Gehe am besten nach der zweiten Anleitung vor, allerdings sollten admin und SuperAdmins nicht da reingezogen werden, nur der Benutzer, der sich wirklich von extern per VPN einwählen soll.
Das kannst Du halten wie ein Dachdecker, nur nicht ganz so hoch.
Je nachdem was Du arbeiten musst ist die eine oder die andere Lösung besser. Welche Programme werden verwendet und wie performant muss das ganze sein?
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Danke @Eye-Q; dass du mir antwortest und mir weiterhilfst.
PPTP geht gar nicht, sagt er aber auch selbst, dass das unsicher ist.
Ich hab mir gedacht, dass ich hierfür einen extra User anlege.
Was ist mit L2TP über IPSec oder IPsec, sind die sicherer eventl. besser als SSL? Und funktioniert da auch der VPN-Client von Sophos?
Buchhaltungsprogramm, Lohn und Gehalt, VMwarePlayer dort eine VM mit WinXP (kein WAN-Zugang)
Was meinst du mit performant? Ich versteh es so, dass die Programme auf meinem Arbeits-PC per RDP bzw. UVNC ausgeführt werden und "nur" der Bildschirm und die Tasteneingabe übertragen werden.
Wenn ich hier in meinem lokalen Netz UVNC benutze, um einen der PCs zu warten, sind leider die Tastatureingaben nicht immer gleich zu sehen, am Bildschirm meine ich.
Ich habe aber noch VMs auf denen auch WinXP noch laufen muss und da wird per RDP zugegriffen. Da hab ich das Empfinden, dass alles viel schneller und direkter geht.
Eigentlich hab ich mit RDP auf einem PC der real auch genutzt wird keinerlei Erfahrung. Was ich damit meine ist, dass ich nicht weis, wenn an dem PC es nur einen User "xyz" gibt, meine Frau sich an diesem PC als xyz angemeldet hat und ich jetzt per VPN-Client auf diesen PC als xyz zugreifen will. Was passiert da und geht das überhaupt, wenn xyz bereits angemeldet ist?
PPTP geht gar nicht, sagt er aber auch selbst, dass das unsicher ist.
Ich hab mir gedacht, dass ich hierfür einen extra User anlege.
Was ist mit L2TP über IPSec oder IPsec, sind die sicherer eventl. besser als SSL? Und funktioniert da auch der VPN-Client von Sophos?
Das kannst Du halten wie ein Dachdecker, nur nicht ganz so hoch.
Je nachdem was Du arbeiten musst ist die eine oder die andere Lösung besser. Welche Programme werden verwendet und wie performant muss das ganze sein?
Buchhaltungsprogramm, Lohn und Gehalt, VMwarePlayer dort eine VM mit WinXP (kein WAN-Zugang)
Was meinst du mit performant? Ich versteh es so, dass die Programme auf meinem Arbeits-PC per RDP bzw. UVNC ausgeführt werden und "nur" der Bildschirm und die Tasteneingabe übertragen werden.
Wenn ich hier in meinem lokalen Netz UVNC benutze, um einen der PCs zu warten, sind leider die Tastatureingaben nicht immer gleich zu sehen, am Bildschirm meine ich.
Ich habe aber noch VMs auf denen auch WinXP noch laufen muss und da wird per RDP zugegriffen. Da hab ich das Empfinden, dass alles viel schneller und direkter geht.
Eigentlich hab ich mit RDP auf einem PC der real auch genutzt wird keinerlei Erfahrung. Was ich damit meine ist, dass ich nicht weis, wenn an dem PC es nur einen User "xyz" gibt, meine Frau sich an diesem PC als xyz angemeldet hat und ich jetzt per VPN-Client auf diesen PC als xyz zugreifen will. Was passiert da und geht das überhaupt, wenn xyz bereits angemeldet ist?
RDP ist viel besser optimiert als VNC deshalb auch um einiges zackiger.
Bezüglich Anmeldung das hängt vom OS ab, bei einem Desktop OS kann immer nur ein Benutzer angemeldet sein entweder lokal oder per RDP, mit einem Server OS geh beides gleichzeitig.
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
So hab jetzt mal meine UTM so konfiguriert:
Ich kann mit dem Surface eine Verbindung aufbauen, wenn
a) das Surface per WIFI Netzwerk, Sophos AP10,
b) das Surface per WAN, am Hotspot meiner Tochter ihrem Smartfone,
verbunden ist.
Ein ping auf meinen ArbeitsPC 192.168.2.50 geht aber nicht.
Dann muss ich wohl zuerst per VNC den Benutzer abmelden, um dann danach per RDP mich vom Surface an meinem Arbeits-PC anzumelden und dann daran zu arbeiten.
Wenn ich aber meinen ArbeitsPC nicht mal pingen kann, da das Surface durch den VPN Tunnel in dem 10.242.2.0/24 Netz ist, wie soll dann eine RDP-Verbindung funktionieren?
Ich kann mit dem Surface eine Verbindung aufbauen, wenn
a) das Surface per WIFI Netzwerk, Sophos AP10,
b) das Surface per WAN, am Hotspot meiner Tochter ihrem Smartfone,
verbunden ist.
Ein ping auf meinen ArbeitsPC 192.168.2.50 geht aber nicht.
Danke, für die Aufklärung.@Fr3@k; schrieb:
Dann muss ich wohl zuerst per VNC den Benutzer abmelden, um dann danach per RDP mich vom Surface an meinem Arbeits-PC anzumelden und dann daran zu arbeiten.
Wenn ich aber meinen ArbeitsPC nicht mal pingen kann, da das Surface durch den VPN Tunnel in dem 10.242.2.0/24 Netz ist, wie soll dann eine RDP-Verbindung funktionieren?
Eine Frage in die Runde:
Ich lade mir gerade im UPlay "Watchdogs" runter. Dabei bekomme ich dann eMails von der UTM und der Download ist auch bei sagenhaften 6kb/s
In der eMail wird mir mitgeteilt dass ein Netzwerk Trojaner gefunden wurde.
Beim ersten Versuch kam die Info:
Was kann ich mit der info jetzt anfangen?
Ich lade mir gerade im UPlay "Watchdogs" runter. Dabei bekomme ich dann eMails von der UTM und der Download ist auch bei sagenhaften 6kb/s
In der eMail wird mir mitgeteilt dass ein Netzwerk Trojaner gefunden wurde.
Beim ersten Versuch kam die Info:
Intrusion Prevention Alert
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE binary download while text expected
Details........: https://www.snort.org/search?query=38619
Time...........: 2016-09-17 16:55:41
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected
IP protocol....: 6 (TCP)
Source IP address: 95.101.80.129 (a95-101-80-129.deploy.akamaitechnologies.com)
Source port: 80 (http)
Destination IP address: 192.168.2.20
Destination port: 59749
--
System Uptime : 3 days 6 hours 33 minutes
System Load : 0.01
System Version : Sophos UTM 9.405-5
Please refer to the manual for detailed instructions.
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE binary download while text expected
Details........: https://www.snort.org/search?query=38619
Time...........: 2016-09-17 16:55:41
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected
IP protocol....: 6 (TCP)
Source IP address: 95.101.80.129 (a95-101-80-129.deploy.akamaitechnologies.com)
Source port: 80 (http)
Destination IP address: 192.168.2.20
Destination port: 59749
--
System Uptime : 3 days 6 hours 33 minutes
System Load : 0.01
System Version : Sophos UTM 9.405-5
Please refer to the manual for detailed instructions.
Intrusion Prevention Alert
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE binary download while text expected
Details........: https://www.snort.org/search?query=38619
Time...........: 2016-09-18 08:44:06
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected
IP protocol....: 6 (TCP)
Source IP address: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx.hsi7.kabel-badenwuerttemberg.de)
Source port: 80 (http)
Destination IP address: 192.168.2.20
Destination port: 60491
--
System Uptime : 3 days 22 hours 21 minutes
System Load : 0.08
System Version : Sophos UTM 9.405-5
Please refer to the manual for detailed instructions.
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE binary download while text expected
Details........: https://www.snort.org/search?query=38619
Time...........: 2016-09-18 08:44:06
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected
IP protocol....: 6 (TCP)
Source IP address: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx.hsi7.kabel-badenwuerttemberg.de)
Source port: 80 (http)
Destination IP address: 192.168.2.20
Destination port: 60491
--
System Uptime : 3 days 22 hours 21 minutes
System Load : 0.08
System Version : Sophos UTM 9.405-5
Please refer to the manual for detailed instructions.
Was kann ich mit der info jetzt anfangen?