[Sammelthread] Sophos UTM-Sammelthread

[TCM]

Machs halt beim nächsten Mal gleich konkret und nicht wie im Kindergarten "Ich habe was, ich habe was. Willst du wissen, was es ist? Rate mal!" Bis mal die konkreten Modellbezeichnungen vorlagen, war der Informationsgehalt für alle Anderen gleich Null.

Was die Dinger kosten sollen, wissen wir übrigens bis jetzt nicht, in keinem Preisvergleich verfügbar, Preise auf Anfrage. "Bezahlbar" bleibt also fragwürdig. Von den APUs weiß man wenigstens alles, was einen interessieren könnte, und die haben auch Intel-NICs.

 

[DanFu]

... und es gibt kaum bezahlbare Geräte mit Intel Nics und wenig Stromverbrauch die für zuhause geeignet sind.

Doch, gibt es-> Qotom-Q190G4

 

[Opticum]

@DanFu: Danke für den Tip. Gibt's dafür auch einen deutschen Distributor / Bezugsquelle?

 

[DanFu]

@DanFu: Danke für den Tip. Gibt's dafür auch einen deutschen Distributor / Bezugsquelle?

Was haltet ihr von den Qotom-Q190G4? 4x 2GHz, 4x Intel NIC's, klein und "Frauentauglich"

http://www.hardwareluxx.de/community/f101/hardware-empfehlung-firewall-1115423-3.html

Plus nachfolgende Beiträge. Nachteil is der fehlende AES Chip und das evtl langsame Frontend. Aber schau mal bei Amazon.com in den Bewertungen... -> https://www.amazon.com/dp/B01AJEJG1A?psc=1

 

[DanFu]

Ansonsten schreib mal Tyrant82 an, der hat die UTM auf der Qotom laufen http://www.hardwareluxx.de/community/f101/hardware-empfehlung-firewall-1115423-3.html

 

[layerbreak]

Bei Supermicro gibts auch noch was stromsparendes, kleines und mit 4 Intel nics.
https://www.supermicro.com/products/system/Mini-ITX/SYS-E200-9B.cfm

Müsste von der Leistung her ideal für die UTM sein.

 

[DanFu]

Bei Supermicro gibts auch noch was stromsparendes, kleines und mit 4 Intel nics.
https://www.supermicro.com/products/system/Mini-ITX/SYS-E200-9B.cfm

Müsste von der Leistung her ideal für die UTM sein.

Ja, aber das ist nur das Board. Mit SSD, RAM, Gehäuse und Netzteil bist dicke bei 350€

- - - Updated - - -

Doch, gibt es-> Qotom-Q190G4

Den gibts auch noch -> Qotom-Q190G4N

 

[layerbreak]

@DanFu; das wird leider nicht reichen:
https://www.heise.de/preisvergleich/supermicro-superserver-e200-9b-sys-e200-9b-a1348798.html

 

[Opticum]

Habe das Review zum scope7-1010 auf meiner Technikblog Seite freigeschaltet. Vielleicht kommt ja noch AES Support bei Sophos dazu, dann wäre das ein Vorteil zum J1900. Der Preis ist sicherlich auch der kompakten Bauweise geschuldet. Die Verarbeitung ist zumindest als "gefühlt" hochwertig einzustufen.

 

[DanFu]

Nach langem Suchen hab ich den jetzt gefunden. https://www.amazon.de/dp/B01MYUGHL5/
4x 2GHz (max. 2.42GHz)
4x Intel NIC

The height is 37mm,it only support msata SSD,Can not support 2.5" HDD.

Der Preis ist echt unschlagbar

 

[Opticum]

Da ein Bekannter überraschenderweise den besagten Qotom-Q190G4N bzw. J1900 basierenden Würfel hat, haben wir heute Abend einen Speedtest gegeneinander gemacht. Ich habe die Ergebnisse und bereite diese grad auf. Entgegen dem was ich vermutet hatte, unterstützt die Sophos scheinbar die AES Erweiterung der Atom CPU der scope7-1010. Ich update mein Review noch sobald wie möglich. Die Rohdaten:

OpenVPN J1900 zu J1900: iperf maximal 67.1 Mbits (76% CPU Last)
RED J1900 zu J1900: iperf maximal 75.4 Mbits (51% CPU Last)

"openssl speed -evp aes-256-cbc" & "openssl speed -evp aes-128-cbc"

Qotom-Q190G4 / J1900:
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 41302.43k 43952.09k 45036.12k 45316.44k 45397.33k

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 30304.31k 31365.42k 31814.49k 31965.18k 32017.07k

Landitec 1010 / E3825:
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 121862.10k 179881.19k 213149.10k 225600.51k 228215.47k

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 101026.59k 135569.92k 157063.08k 163266.22k 164025.69k

zum Vergleich ein Xeon 1220-V2 (VM mit 2 Cores)

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 587078.42k 598835.65k 629555.38k 622078.63k 576782.78k

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 416085.49k 439471.42k 421859.75k 441532.19k 436107.76k

 

[TCM]

Die openssl-Benchmarks sagen nur leider absolut nichts über die tatsächliche VPN-Leistung aus.

PS: Wenn man -evp bei openssl nutzt, sollte man unbedingt auch -elapsed angeben. Das hat nämlich in der Vergangenheit mit separaten Crypto-Beschleunigern gerne dazu geführt, dass durch das Auslagern der Crypto die User-Zeit nur wenige Millisekunden statt 3s betr-ug (wollt ihr mich verarschen? lächerliche Zensurscheiße!) und aberwitzige Werte zustandekamen. Das ist bei AES-NI nicht ganz der Fall, aber trotzdem sollte man die Option einfach mit angeben.

 

[Opticum]

Die openssl-Benchmarks sagen nur leider absolut nichts über die tatsächliche VPN-Leistung aus.

deshalb habe ich oben auch noch die passenden iperf Werte dazu geschrieben. OpenSSL tut sich nichts, RED bekomme ich bis ca. 180Mbit/s (atom) im Gegensatz zu 75.4Mbit/s (j1900)

Hier mit -elapsed (schaut ziemlich identisch aus)

E3825:

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 111707.23k 178316.31k 215978.50k 226024.79k 229051.05k

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 101248.63k 136463.64k 156790.02k 163296.60k 165074.26k

 

[besterino]

Wie misst man denn sowas vernünftig? Ich komme mit einem iperf-Test (extern hinter VPN=Server, VPN-Kiste=client) auf ca. 30Mbit max (bei ~40 parallelen Verbindungen, also -P 40, bei -P 50 wirds schon wieder weniger) und habe eine 100/40er Leitung.

Die CPU (1 Xeon Core) der VM dümpelt dabei bei max 7% Auslastung...RAM ist auch bei max 67% (von 1GB), daran sollte es also eigentlich nicht liegen.

Speedtest bei "wieistmeineip.de" durch den VPN-Tunnel ergibt dann aber zum Beispiel magere 8mbit Download, 4mbit Upload und 'nen Ping von 18ms. Das dumme, kann ja jetzt an allem möglichen liegen.

 

[Opticum]

besterino: direkt zwei Sophos UTM im LAN verbunden ohne Internet dazwischen. Alles andere ist ja durch andere Faktoren (ISP) beinflusst.

 

[besterino]

Puh, als ich gerade mal darüber nachdachte, wie ich das bei mir hinfrickele, ist mir direkt wieder etwas zum Verbessern aufgefallen... *seufz*

Hört das denn nie auf?

 

[TCM]

Gleich richtigmachen?

 

[DanFu]

Also reicht die Qotom Kiste für n kleinen 50/10 Anschluss mit IPS/AV-Scan/SSL-VPN(max. 2)/WP/DMZ/ATP


Gesendet von iPhone mit Tapatalk

 

[besterino]

Gleich richtigmachen?

Du machst mir Spaß - ist ja nicht so, dass ich das bewusst verkehrt mache... Na gut, manches fällt vielleicht in die Kategorie "läuft erstmal so, kümmer' ich mich dann später wieder drum", aber DAS gerade angesprochene Thema ist eigentlich ein (unbewusstes) Überbleibsel aus der Zeit, als die VM noch auf Baremetal mit einer NIC lief...

 

[Opticum]

Die Sophos SG105 nutzt übrigens fast dieselbe CPU wie der scope-1010 mit der E3825 (1.33Ghz), die Bezeichnung von der SG 105 lautet E3826 (1.46Ghz) - der Unterschied scheint hier nur in der Taktfrequenz zu liegen.
Die Angabe von Sophos sind da recht "optimistisch" - Ich hatte übrigens mit aktiven IPS noch knapp 100Mbit/s und Snort war auf einem Kern zu 99-100% ausgelastet.

 

[Olaf16]

Tut mir leid für ein bisschen Off Topic - Aber wenn wir schon bei HW FWs sind:


Damals ganz kurz Router auf Linux Basis - Danach Firewall mit WAN, LAN, DMZ. Der gute Schlumpf hat 512MB DDR Ram (SO-DIMM), 30 oder 40GB IDE Platte (Anfangs 20, irgendwann lag aber ne größere rum) und einen 700 oder 900 MHz VIA Prozessor. War glaube ich eig. mal als ThinClient oder so gedacht, war aber auf das Teil damals stolz. Erst letztens wieder gefunden und angeschlossen - Bootet immer noch die Linux Distri^^

Ob der aber mit Sophos zurechtkommt, bezweifle ich

 

[Philipp Beatdown]

Hi Zusammen , ich hoffe das passt hier rein.
Folgendes:
ich mir gestern die Arbeit gemacht mir in meiner AD und meiner Sophos ipv6 mal einzurichten.
Um ehrlich zu sein, bin ich mir nicht sicher ob das alles so passt.

Folgende Adressen haben:
InternetIpv6 20038:9bbf:512:3681:c4ff:fe0b:1a9e
Fritzbox fd00::3681:c4ff:fe0b:1a9a
SophosWAN 20038:9bc5:1100:215:5dff:fe02206/64 Standart GW fd00::3681:c4ff:fe0b:1a9a
SophosLAN 2001b8::116:100/64
DC1 2001b8::116:1/64 und Standart GW die 2001b8::116:100
DC2 2001b8::116:2/64 und Standart GW die 2001b8::116:100

Ich habe den Ipv6 DHCP aktiv auf meinem DC01, Dort dann beide DNS eingetragen.

Das müsste doch soweit passen -oder?
Intern funktioniert die auflösung schon mal Sauber.
Auch nach aussen zb google .
ABER, wenn ich zum Beispiel bei Speedtests schaue dann habe ich nach aussen keine IPV6 adresse,, obwohl mir die Fritzbox eine anzeigt. Ich verbinde mich über DUAL STACK
Vielen Dank
LG
Phil

 

[webman]

Hallo zusammen,
Ich habe ein paar fragen über Sophos XG Firewall. Bin ich hier richtig oder muss ich mich wo Andres wenden?

 

[Opticum]

Philipp: du müsstest dich z.B. entscheiden ob du globale IPv6 Adressen in deinem LAN verteilen möchtest oder ULAs. Wenn du globale Adressen verwendest sollten diese von der Fritzbox an deine Sophos per Prefix Delegation zugewiesen werden (Das tut bei der UTM derzeit nicht so toll und kein Fix in sicht) Du hast da einen seltsamen Mischmasch.

webman: XG ist hier kein Thema.

 

[Lightflasher]

Nabend zusammen, hat wer mal Probleme mit Skype gehabt? Bekomm es durch den Web-Proxy und Aplication Controll oder SOCKS Proxy nicht zum laufen :/

 

[Ekka]

Moin Moin, wir hatten an 2 Standorten Probleme mit den neuen Skype Versionen und der UTM.
Scheint an einer Änderung im Anrufaufbau von Skype zu liegen: Beide Teilnehmer sehen sich online, können Anrufe zwar starten aber die jeweiligen Gegenstellen erhalten keinen Anruf. Minuten später erschien dann aber ein verpasster Anruf
Wir konnten dies auf die Schnelle nur mit einem Downgrade von Skype auf Version 7.13.0.101 beheben.

 

[webman]

hallo,
ich weiss du bist nicht mehr im urlaub, aber ich hätte gerne gewusst ob du dich mit Email protection gut auskennst,wenn ja ob du mal zeit hast mir zu helfen ? lg

 

[Opticum]

webman: was hast du denn mit der email protection?

 

[Olaf16]

Gibt es hier Leute mit guter Erfahrung die Sophos UTM auf einem HyperV laufen zu lassen? Habe bisher in Sachen VM nur (gute) Erfahrung mit ESXi gesammelt, würde aber mal die Kiste auch mal auf Hyper-V probieren wollen. Basiert ja auf SUSE, sollte somit ja keine Probleme darstellen?
Google spuckt einige Threads von dem offizieln Forum aus wo einige Leute anscheinend auf 2012 (R2) Hyper-V UTM9 laufen lassen...

 

[paulianer]

Die UTM lief bei mir auf monatelang unter Hyper-V genau so unauffällig wie unter ESXi. Server 2012 R2 als Host.