[Sammelthread] Sophos UTM-Sammelthread

Hast du vielleicht ein link den ich prüfen kann? Hab jetzt diverse ausgetestet aber keine Probleme festgestellt. Zu Amazon kann ich nichts sagen, meide das Unternehmen wo ich nur kann. ;)

Jedensfalls ist die UTM Performance nach den clean install von 9.4xx definitiv besser.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nicht direkt; teilweise laufen sie durch und teilweise hängt es nach 10m ohne das es weiterlädt. Könnte aber auch an der YouTube App liegen, direkt über die Website habe ich es nicht getestet.
 
xri12 schrieb:
Endpoint Protection nutzen ich nicht und in Webprotection sind Streams ausgenommen.

Das längere laden wäre nicht so schlimm aber bei YouTube brechen die Streams komplett ab und lassen sich nicht mehr starten...
Zum Vergrößern anklicken....

Kannst du es mal bitte hier einstellen, wie du es mit den Streams bei der UTM gemacht hast.
Denn ich habe bei WP/Filteroptionen/Sonstiges "Streaminginhalte nicht scannen" aktiviert, trotzdem hab ich bei YouTube und Amazon Prime die gleichen beschriebenen Probleme auch.
 
layerbreak schrieb:
Kannst du es mal bitte hier einstellen, wie du es mit den Streams bei der UTM gemacht hast.
Denn ich habe bei WP/Filteroptionen/Sonstiges "Streaminginhalte nicht scannen" aktiviert, trotzdem hab ich bei YouTube und Amazon Prime die gleichen beschriebenen Probleme auch.
Zum Vergrößern anklicken....
Die Option habe ich gemeint; hat aber nichts gebracht, bzw wäre es sonst schlimmer ;)
Überlege noch ob es etwas bringt wenn man den Websites an sich noch als Proxy ausnahmen aufnimmt.
 
Ich habe jetzt mal unter Web Protection -> Filtering Options -> Exceptions eine Ausnahme für folgende Muster definiert:
Code: 
^https?://([A-Za-z0-9.-]*\.)?amazon\.(de|com)/
^https?://([A-Za-z0-9.-]*\.)?cloudfront\.net/
Zum Testen habe unter "Skip these checks" ALLES aktiviert. Und ich bilde mir ein, dass die Amazon Streams jetzt schneller starten. Jedenfalls konnte ich die ersten Sekunden in SD nicht mehr wahrnehmen.
 
Kurze Frage: Frisch installierte, aktuelle Sophos UTM. Wie aktiviere ich Endpoint Protection? Ich kriege den nervigen Fehler "Socket failed, unable to get ip for sss1-d369.broker.sophos.com."
Verbindung ins Inet hat die Sophos, Regeln waren keine. Hab aber mal alle Länder in Exception bei Country Blocking genommen usw.
 
Klar. Alles geht. Der kann sogar nach Firmwares suchen (Sagt aktuelle natürlich) - Deshalb wundert es mich ja. DNS Forwarder usw. ist eingerichtet (Setze atm für nen Freund das Teil auf - Hängt also hinter meiner FW/"Router" im eigenen Netzwerk, um dann nur noch den Host drüben aufzustellen. In der FW ist für das "Aufbau/Test"Netzwerk alles nach außen frei)
Ich hatte schonmal vor einigen Monaten den gleichen Fehler. Bei Google findest nur so Random Zeug im Sophos Forum von 2014 meist. Ich hatte sogar schon getestet, obs net an den ETH0 und ETH1 liegt und vertauscht. Irgendwie nervig, Lizenz ist ja auch eingespielt :/

Edit: Jetzt ging es - Habe diesmal nach Neuinstallation direkt eth0 ausgewählt als Internal, eth1 als WAN...
 
Zuletzt bearbeitet:
Guten Morgen,

kann mir vielleicht jemand mit der Funktionsweise der Spoof Protection (Network Protection -> Firewall -> Advanced) weiterhelfen? Wenn ich die auf "Normal" stelle, läuft alles prima, aber wenn sie auf "Strict" steht, werden alle Pakete zwischen den Subnetzen der einzelnen NICs (z.B. von WLAN nach LAN) als Spoof verworfen. Ich bin bislang noch nicht dahinter gekommen, woran das liegen könnte, wobei hier die Besonderheit besteht, dass die UTM virtualisiert unter Promox mit Bridge Networking läuft.

Zur Erläuterung der Topologie: Die Sophos UTM läuft virtualisiert in einer VM (unter Proxmox). Die UTM sieht vier virtuelle NICs (eth0 bis eth3 für WAN, DMZ, LAN, WLAN). Diese vier virtuellen NICs sind unter Proxmox jeweils Teil einer Bridge (vmbr0 bis vmbr3). Die physikalischen NICs sind unter Proxmox als Ports der Bridges konfiguriert (also physeth0 an vmbr0, physeth1 an vmbr1 etc.).

In der Sophos UTM-VM sind den virtuellen NICs jeweils eigene Subnetze zugewiesen, die sich nicht überlappen (DMZ: 172.30.1.1/24, LAN: 192.168.172.1/24, WLAN: 192.168.178.1/24, WAN: externe IP/30).

Unter Proxmox hat nur die LAN-Bridge eine IP (192.168.172.2), die übrigen Bridges sind unkonfiguriert, weil der komplette Verkehr über die UTM-VM laufen soll.

Nach meinen Recherchen ist diese Konfiguration nicht unüblich. Nur: Warum schlägt die Spoof Protection bei Paketen zwischen den Subnetzen (z.B. WLAN-LAN) an, wenn sie auf strict steht? Entsprechende Firewall Rules, die den Verkehr zulassen, sind konfiguriert, wobei ich irgendwo gelesen habe, dass die Spoof Protection schon vor den Rules und vor dem NAT greift.

Vielleicht hat ja jemand mit vergleichbarer Konfiguration das Mysterium schon gelöst ;-)

Gruß
cif1378
 
Hallo,

weiß jemand ob die Wireless Protection mit Ubiquiti APs funktioniert?
Ich vermute mal nicht.....da diese einen Controller brauchen...

Grüße
Higgs
 
Das kommt darauf an, was du genau mit Wireless Protection meinst. Du kannst die Ubiquitis nicht über die UTM verwalten, dazu brauchst du den Verwaltungsserver von Ubiquiti.
Aber du kannst die Ubiquitis einzeln verkabeln / in VLANs schachteln und so in ein eigenes Netz verpacken. Darauf kannst du dann z.B. die Hotspot-Funktion anwenden.
 
Die andauernden Verbindungsaufbau-Probleme halten weiterhin an.
Hab jetzt schon sämtliche Netzwerkkabel für die UTM ausgetauscht, ferner die 4er-Intel-Netzwerkkarte und vom unitymedia-shop hab ich eine FritzBox leihweise erhalten. Auch ein Techniker war vor Ort, hat ein paar Teile getauscht und alles gemessen und jetzt als OK befunden.

Heute hab ich das Leihteil zurückgebracht und da sagte mir die nette Beraterin, dass unitymedia seit Anfang November mit ihren eigenen Servern Probleme hätte, u.a. auch mit den DNS-Servern.

Wie kann ich bei der UTM andere externe DNS-Server, als die meines ISP einrichten?
 
Unter Network Services, DNS, Forwarders den Haken rausnehmen und eigene DNS Server eintragen.

Bezüglich der Streaming Probleme habe ich auch ohne Webprotection keine Besserung gespürt.
Aber ich habe unseren TP-LINK AP mit openwrt ausgestattet und finde, das es insgesamt besser geworden ist. Der Empfang ist genauso gut wie vorher aber evtl arbeitet openwrt anders... u.a. Hatte die Sophos etliche Multicast Verbindungen von TP-LINK blockiert.
 
xri12 schrieb:
Unter Network Services, DNS, Forwarders den Haken rausnehmen und eigene DNS Server eintragen.
Zum Vergrößern anklicken....
Das ist mir schon klar.
Was mir fehlt, ist wie ich die neuen DNS-Hosts eintragen soll und ob ich in der Firewall auch noch Einträge vornehmen muss und welche.

Jetzt hab ich im Netz was gefunden, dass in der Fritze zwei alternativDNS-Server eingetragen werden können und da hab ich Diese hier genommen:
194.150.168.168 (dns.as250.net; Berlin/Frankfurt)
213.73.91.35 (dnscache.berlin.ccc.de)
Die google-Server wollte ich nicht nehmen.

Jetzt mal schauen, obs besser wird.
Daumen-drück

xri12 schrieb:
Bezüglich der Streaming Probleme habe ich auch ohne Webprotection keine Besserung gespürt.
Aber ich habe unseren TP-LINK AP mit openwrt ausgestattet und finde, das es insgesamt besser geworden ist. Der Empfang ist genauso gut wie vorher aber evtl arbeitet openwrt anders... u.a. Hatte die Sophos etliche Multicast Verbindungen von TP-LINK blockiert.
Zum Vergrößern anklicken....
Danke für die Info, aber wegen obigem Problem bin ich bisher nicht weiter auf Suche gegangen.
Wenn ich an die Fritze direkt mein Surface hänge, klemmt da beim youtube-streamen nichts.
 
Firewall Regeln musst du nicht machen, sind schon in der Gruppe Websurfing vorhanden, die sollte per default erlaubt sein.
 
Gibt es irgendwo vorkonfigurierte Regeln für Steam(Spiele), Rockstar Social Club/GTA Online und so Gaminggedöns? Müsste man mal echt einrichten und zur Verfügung stellen, merke ich gerade :fresse: Hab bei mir irgendwie das Zeug gelöscht und darf die ganzen Ports wieder raussuche :d
 
Olaf16: Nein, leider nicht. Bei Spielerechnern würde ich die Firewall einfach großzügig öffnen nach Aussen. Deny All nach Aussen ist schon sehr paranoid und Aluhutverdächtig im privaten Umfeld ;-)
 
Ja... Ich hab halt uPlay, MS Live, Steam und so Zeug nach Außen offen gehabt mit Port Ranges. Leider kann man glaub ich ja nicht einzelne Sachen Backup machen, sondern nur das ganze System. Wäre sonst nice sowass bereitzustellen. Naja, mal schauen was ich morgen mache. Heute keine Lust, Zeit und nerven mehr^^ Dieses mal bin ich aber so schlau und mache mir ne schöne Doku in Word - Habe ich nach einigen Problemen bei ownCloud usw. jetzt auch angefangen wie in Arbeit, sonst muss man sich immer wieder alles zamsuchen
 
Ich mach das mit der Doku inzwischen hier (siehe Hyper-V gedöns) :d Klar, nicht bis runter ins Detail der individuellen Configs aber dieses "Woran musst Du denken, wenn..." habe ich für meinen Geschmack einfach zu oft vergessen und mir wieder von neu zusammengefrickelt... ;)
 
Hallo, momentan habe ich ein kleines Problem mit dem ich nicht wirklich weiterkomme.
Ich habe im lokalen Netz einen Baikal-Server für Kalender und Adressen Sync mit meinem Smartphone.
Extern ist er erreichbar über https://xxxxxxxxx.de:8888. Einträge in der Firewall sind vorhanden sowie ein DNAT Eintrag.
Greife ich von Außen auf den Server zu ist alles OK, aber sobald ich im lokalem Netzt bin und ebenfalls die Adresse https://xxxxxxxxx.de:8888 aufrufe bekomme ich keine Verbindung.
Mein DNAT Eintrag hat als Quelle ANY und mapt den Port 8888 intern auf 443 um mit der internen IP.
Problem ist das der Sync nicht reibungslos funktioniert wenn ich im lokalem Netz bin.
Hat jemand einen Tip wo mein Fehler liegt bzw. wie ich das Problem lösen könnte das ich im lokalen und externen Netz mit der https://xxxxxxxxx.de:8888 zugriff habe?
 
devil77 schrieb:
Einträge in der Firewall sind vorhanden
Zum Vergrößern anklicken....
Was für Einträge? Da kann man tausende Einträge machen, die alle falsch sein können, deswegen ist ein einfaches "Einträge sind vorhanden" nicht aussagekräftig...
 
Habe aktuell eine Teststellung von zwei Landitec Firewall Appliances zuhause. Die kleinere ist so große wie 2 Musik CD Hüllen übereinander, nimmt ca. 6-7 Watt an Strom auf, 3x Intel Netzwerk, 1x Konsole und dürfte jeden Heimanwender mit der Sophos UTM ziemlich glücklich machen. Testberichte mit Fotos und Messwerten folgen in den nächsten Wochen ...
 
Opticum schrieb:
Habe aktuell eine Teststellung von zwei Landitec Firewall Appliances zuhause. Die kleinere ist so große wie 2 Musik CD Hüllen übereinander, nimmt ca. 6-7 Watt an Strom auf, 3x Intel Netzwerk, 1x Konsole und dürfte jeden Heimanwender mit der Sophos UTM ziemlich glücklich machen. Testberichte mit Fotos und Messwerten folgen in den nächsten Wochen ...
Zum Vergrößern anklicken....

Das sieht einfach nach http://pcengines.ch/apu2c4.htm aus. Da kann man auch direkt zur Quelle gehen und muss nicht Dritte durchfüttern, die da einfach nur ihr Logo draufpappen.
 
nochmal, ich teste keinen APU was auch immer. Es ist u.a. die 1010 mit dual core atom. Fuer die Größe, Strom und Durchsatz .. ohne Lüfter .. die Sophos läuft auf jeden Fall super drauf und hab auch am 500/100 Anschluss keine Probleme. Da kackt jede APU vorher ab wenn dann noch bisschen VPN drüber läuft.
 
Dual Core Atom Klump und 500 Down? Ja, vllt. wenn die Sophos nur als Router dient. Wenn da bissl was an ist (Und ich rede hier noch nicht von AV Scan) bricht das Ding doch ein... Selbst so nen kleiner i3 mit 3,2GHz und HT (4. Gen odre sowass) ist eingebrochen bei der 400er Leitung von nem Freund - und der hatte wenig an und noch nix mit AV... (Zumindest bei mehreren PCs im Netz surfen und bissl Zeug, net ein einziger Download oder Videostream)
 
Opticum schrieb:
Die kleinere ist so große wie 2 Musik CD Hüllen übereinander, nimmt ca. 6-7 Watt an Strom auf, 3x Intel Netzwerk, 1x Konsole
Zum Vergrößern anklicken....

Na dann haben wir das ja endlich geklärt nach 5 Posts, dass mit 2 CD-Hüllen übereinander das hier gemeint sein soll https://www.landitec.com/images/stories/virtuemart/product/scope7-1010_front7.jpg und nicht näherliegend das https://www.landitec.com/images/stories/virtuemart/product/scope7-APU_front9.jpg

Was bringt das eigtl, so nebulös rumzueiern, anstatt das Review dann zu posten, wenn es fertig ist und solange wenigstens konkrete Modelle zu verlinken?
 
es kommt halt drauf an was man an Leistung und Features laufen lassen möchte. Sobald IPS läuft kommt auch kein Xeon mehr mit (capt ca. bei 300 Mbit bei mir mit einem 1220-v2)

- - - Updated - - -

@TCM: Gegenfrage: was bringt dir das Rumgenöhle? Im anderen Thread wurde Interesse bekundet und es gibt kaum bezahlbare Geräte mit Intel Nics und wenig Stromverbrauch die für zuhause geeignet sind. Dann warte einfach auf das Review und versuch nicht alles gleich schlecht zu reden. Typisch Deutsch halt ;-)

Ich schreibe grad alles zusammen, Durchsatz VPN, dann gibts auch alle Modellbezeichnungen dazu.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh