dann ist was falsch eingestellt. Kontrollier es am Besten nochmal. Wenn der Teamspeak3 Server intern läuft dann ist das DNAT in der Fritzbox oder Sophos falsch eingestellt, vllt. fehlt auch die Firewall regel (auto firewall probieren falls nicht schon geschehen)
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
dann ist was falsch eingestellt. Kontrollier es am Besten nochmal. Wenn der Teamspeak3 Server intern läuft dann ist das DNAT in der Fritzbox oder Sophos falsch eingestellt, vllt. fehlt auch die Firewall regel (auto firewall probieren falls nicht schon geschehen)
Weiß eig. jemand wann es bei Sophos Patches fuer Spectre/Meltdown gibt?
Langsam wirds arg... naja... ^^
Langsam wirds arg... naja... ^^
Wenn man bedenkt das viele patches (u.a. vmware) wieder zurückgezogen wurden, dann denke ich wird es noch einen Moment dauern bis Sohos da was rausbringt. Die sind ja auch abhängig von den Linux Kernel patches, da das Sophos UTM OS auf Suse Linux basiert.
Philipp Beatdown
Experte
Dank der Suuuuuper hilfe von "Opticum" haben wir es hinbekommen!
auch hier nochmal Vielen lieben Dank an dich , das du dir zeit für mich genommen hast !
LG
auch hier nochmal Vielen lieben Dank an dich , das du dir zeit für mich genommen hast !
LG
Ich schreibe das als kleinen Erfahrungsbeitrag, weil ich im Netz auch nichts dazu gefunden habe.
Ich hatte ein neues VLAN und eine neue Schnittstelle (GUEST) auf der UTM eingerichtet.
Die UTM ist in meinem Fall auch DHCP Server für das internal- und das guest-network.
Ich hatte auf der UTM auch einige statische DHCP Host's im internal. Dann habe ich einen neuen "DHCP-Server" für guest aufgesetzt.
Seit dem hatte ich Probleme mit dem Netz. Bis ich bei den Lizenzen rein geschaut habe. 199 verbrauchte Lizenzen.
Die "verbrauuchten"-IP-Adressen waren alles Adressen, welche ich nicht vergeben habe und auch von der Anzahl her was das absolut nicht nachvollziehbar.
Ich habe jedes verdammte Log durchsucht und nichts gefunden.
Warum, wieso, weshalb?
Also habe ich die Geräte einzeln abgeschaltet oder ganze Netze getrennt. Hat alles nichts gebracht.
Bis mich unser Dienstleiser auf die Hilfe gebracht hat. dort steht "Hinweis– Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen aus dem DHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht aus dem DHCP-Pool stammt. Zum Beispiel könnte die statische Zuordnung von 192.168.0.200 darin resultieren, dass zwei Systeme dieselbe IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100 – 192.168.0.210 umfasst."
Also habe ich meine festen etwas weiter unten angesiedelt und siehe da, kein Problem mehr mit den Lizenzen.
Ich weiß, man sollte feste und weiche nicht mischen, aber der Zusammenhang mit den Lizenzen ist mir einfach nicht gekommen. Was das ganze mit dem guest zu tun hat; keine Ahnung. Auch nicht warum es vorher funktionierte.
Ich hatte ein neues VLAN und eine neue Schnittstelle (GUEST) auf der UTM eingerichtet.
Die UTM ist in meinem Fall auch DHCP Server für das internal- und das guest-network.
Ich hatte auf der UTM auch einige statische DHCP Host's im internal. Dann habe ich einen neuen "DHCP-Server" für guest aufgesetzt.
Seit dem hatte ich Probleme mit dem Netz. Bis ich bei den Lizenzen rein geschaut habe. 199 verbrauchte Lizenzen.
Die "verbrauuchten"-IP-Adressen waren alles Adressen, welche ich nicht vergeben habe und auch von der Anzahl her was das absolut nicht nachvollziehbar.
Ich habe jedes verdammte Log durchsucht und nichts gefunden.
Warum, wieso, weshalb?
Also habe ich die Geräte einzeln abgeschaltet oder ganze Netze getrennt. Hat alles nichts gebracht.
Bis mich unser Dienstleiser auf die Hilfe gebracht hat. dort steht "Hinweis– Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen aus dem DHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht aus dem DHCP-Pool stammt. Zum Beispiel könnte die statische Zuordnung von 192.168.0.200 darin resultieren, dass zwei Systeme dieselbe IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100 – 192.168.0.210 umfasst."
Also habe ich meine festen etwas weiter unten angesiedelt und siehe da, kein Problem mehr mit den Lizenzen.
Ich weiß, man sollte feste und weiche nicht mischen, aber der Zusammenhang mit den Lizenzen ist mir einfach nicht gekommen. Was das ganze mit dem guest zu tun hat; keine Ahnung. Auch nicht warum es vorher funktionierte.
besterino
Legende
Ich vermute mal, dass die UTM eine Lizenz eben nicht freigibt, solange von der Traffic kommt, was eben bei statischen IPs in der Range des DHCP-Servers dann zumindest der Fall sein kann.
Das warum ist aber doch auch eigentlich Wurscht: manuelle feste IP-Adressen aus dem Adressbereich eines DHCP-Servers sind m.W. sowieso ein „no go“, schon weil man sich da gerne mal Adresskonflikte einhandelt. Zulässig ist nur, dem DHCP-Server zu sagen, dass er eben bestimmten MAC-Adressen immer (wieder die gleiche) IP aus seinem Pool geben soll, weil der DHCP-Server dann die Kiste kennt und weiß, das die IP eben „weg“ / in Benutzung ist.
Das warum ist aber doch auch eigentlich Wurscht: manuelle feste IP-Adressen aus dem Adressbereich eines DHCP-Servers sind m.W. sowieso ein „no go“, schon weil man sich da gerne mal Adresskonflikte einhandelt. Zulässig ist nur, dem DHCP-Server zu sagen, dass er eben bestimmten MAC-Adressen immer (wieder die gleiche) IP aus seinem Pool geben soll, weil der DHCP-Server dann die Kiste kennt und weiß, das die IP eben „weg“ / in Benutzung ist.
konfetti
Urgestein
Jup, entweder DHCP-Reservation (also eine bestimmte MAC-Adresse bekommt immer die gleiche IP-Adresse zugewiesen) oder eben dann ein entsprechender Eintrag, der die IP expiliz aus dem DHCP-Bereich ausnimmt.
bei der UTM weis ich nicht ob und wo das geht, aber der Windows-DHCP kann das, sollte also dann sicher auch die UTM können
Wobei es ja nicht schlecht ist wenn man mit DHCP-Reservierungen arbeitet. - ist für Firewallrichtlinien auch nicht schlecht.
bei der UTM weis ich nicht ob und wo das geht, aber der Windows-DHCP kann das, sollte also dann sicher auch die UTM können
Wobei es ja nicht schlecht ist wenn man mit DHCP-Reservierungen arbeitet. - ist für Firewallrichtlinien auch nicht schlecht.
besterino
Legende
Reservation kann die UTM per Click. Einzelne IP-Adressen rausnehmen weiß ich auch grad nicht, die Range festlegen ist wiederrum simpel.
Philipp Beatdown
Experte
Guten Tag,
ich hätte eine frage bezüglich meiner UTM:
Ich bekomme die tage einen 2ten internetanschluss ins haus. Ich möchte nun gerne die 2 internen netze verbinden, sodass ich zb wenn ich in der Fritzbox (2) im wlan bin , in mein Lan von der sophos komme um zB auf shares zuzugreifen.
dazu müsste ich dohc lediglich eine statische route setzen von zu fritz/sophos und ein lankabel vom Lan port der sophos an die fritzbox(2) hängen.
ich hoffe ich habe mich gescheit ausdrücken können
Aktueller aufbau:
Vdsl 100k Telekom an Fritzbox(1) 7490 --> sophos -->lan mit meinen servern
Gewünschter aufbau:
VDSL 100k Fritzbox(1) -->sophos ----> lan mit meinen servern
VDSL 50K Fritzbox(2) ---->in die sophos---->lan mit meinen servern
Kurzgefasst. ich möchte das angeschlossene geräte an der fritzbox(2) INTERN an die ressourcen von meinem LAN kommen
LG
ich hätte eine frage bezüglich meiner UTM:
Ich bekomme die tage einen 2ten internetanschluss ins haus. Ich möchte nun gerne die 2 internen netze verbinden, sodass ich zb wenn ich in der Fritzbox (2) im wlan bin , in mein Lan von der sophos komme um zB auf shares zuzugreifen.
dazu müsste ich dohc lediglich eine statische route setzen von zu fritz/sophos und ein lankabel vom Lan port der sophos an die fritzbox(2) hängen.
ich hoffe ich habe mich gescheit ausdrücken können
Aktueller aufbau:
Vdsl 100k Telekom an Fritzbox(1) 7490 --> sophos -->lan mit meinen servern
Gewünschter aufbau:
VDSL 100k Fritzbox(1) -->sophos ----> lan mit meinen servern
VDSL 50K Fritzbox(2) ---->in die sophos---->lan mit meinen servern
Kurzgefasst. ich möchte das angeschlossene geräte an der fritzbox(2) INTERN an die ressourcen von meinem LAN kommen
LG
Ein Sophos Port benoetigt eine entsprechende Schnittstellen Definition.
Fuer Konnektivitaet mit anderen Netzen muessen die Firewall Regeln definiert werden.
Eine statische Route in der Sophos ist jedoch nicht erforderlich, das passiert meines Wissens transparent im Hintergrund automatisch.
Die Fritzbox benoetigt eine solche: Netz = Sophos Netz z.B. x.x.2.0/24. Gateway = Sophos IP im Fritzbox Netz, z.B. x.x.1.1.
Fuer Konnektivitaet mit anderen Netzen muessen die Firewall Regeln definiert werden.
Eine statische Route in der Sophos ist jedoch nicht erforderlich, das passiert meines Wissens transparent im Hintergrund automatisch.
Die Fritzbox benoetigt eine solche: Netz = Sophos Netz z.B. x.x.2.0/24. Gateway = Sophos IP im Fritzbox Netz, z.B. x.x.1.1.
Zuletzt bearbeitet:
Ich würde dir empfehlen z.B. einen Ubiquiti AP zu verwenden und das WLAN der Fritzboxen zu deaktivieren. So hast du diese nicht "dazwischen" und vermutlich mehr Durchsatz und kein "Gefummel" mit mehreren Fritzboxen und WLANs.
Falls du es mit den Fritzboxen versuchen willst:
Die statischen Routen brauchst du in der Sophos tatsächlich nicht wie Batey schon schrieb, nur entsprechende Firewall Regeln auf der Sophos. Allerdings müsstest du Routen in dein internes LAN auf den beiden Fritzboxen einrichten. Beachte bitte bei der Einrichtung das du -nicht- auf Beiden Fritzboxen dasselbe Subnetz verwenden solltest (192.168.178.1 ist default für die Fritzbox)
Zuletzt bearbeitet:
naja pfsense ist bei mir sowas von raus, bei dem Geschäftsgebaren ... OPNsense.com - OPNsense, Your Next Open Source Firewall
Kurzversion: Netgate (pfsense) bzw. Inhaber/Geschäftsführer hat eine "Parodie" Website gegen Opnsense betrieben (übelster Sorte inkl. Szene aus dem Film "Der Untergang")
irgendwo meine ich gelesen zu haben, dass Netgate mit dem derzeitigen Geschäftsmodell von pfsense nicht rentabel wäre. Die Leute kaufen sich halt meist eigene Hardware. Vermutlich wird durch die QNAP Partnerschaft wieder Geld fließen.
Kurzversion: Netgate (pfsense) bzw. Inhaber/Geschäftsführer hat eine "Parodie" Website gegen Opnsense betrieben (übelster Sorte inkl. Szene aus dem Film "Der Untergang")
irgendwo meine ich gelesen zu haben, dass Netgate mit dem derzeitigen Geschäftsmodell von pfsense nicht rentabel wäre. Die Leute kaufen sich halt meist eigene Hardware. Vermutlich wird durch die QNAP Partnerschaft wieder Geld fließen.
Zuletzt bearbeitet:
Technisch ist ja OPNsense ein pfSense Nachfolger - Ich mag von der Bedienung usw. OPNsense deutlich mehr als die alte pfSense. (Deutlich intuitiver und ich glaub sogar technisch etwas neuer?)
Viele die früher pfSense hatten im Bekannten/Freundeskreis sind auch auf opnsense umgestiegen... Da liefen pfsense wohl die Leute davon
Viele die früher pfSense hatten im Bekannten/Freundeskreis sind auch auf opnsense umgestiegen... Da liefen pfsense wohl die Leute davon
KlimperHannes
Neuling
- Mitglied seit
- 25.12.2014
- Beiträge
- 77
Das letzte Zugpferd von pfSense ist IMHO pfBlockerNG. Wenn OPNSense das hinbekommt, werde ich auch wechseln.
Was mich auch noch zum zögern bringt ist, dass die Update Frequenz bei OPNSense doch sehr hoch ist...
Was mich auch noch zum zögern bringt ist, dass die Update Frequenz bei OPNSense doch sehr hoch ist...
Der Vertrieb würde das anders ausdrücken, "Bei Sophos werden die Produkte eingehend geprüft, damit jeder Kunde ein zufriedener Kunde ist." NICHT!
IMHO kann ich Sophos im Business-Umfeld gerade gar nicht empfehlen. Update nur sehr träge und wenn welche kommen, müsse diese nochmals extra getestet werden.
das jeht ja jar nich
Sophos UTM ist halt nach wie vor eine schöne all-in-one Lösung mit keiner echten Alternative. Solange kritische Fehler noch beseitigt werden wird man damit noch fahren.
Für größere Umfelder (betrieblich) kann eine Kombination aus Sophos UTM & Paloalto Firewall interessant sein.
Was mir direkt fehlen würde ohne die UTM wäre die Webapplication Firewall & SMTP Proxy sowie die übersichtliche und funktionelle Firewall mit dem Regelwerk. Hier habe ich noch nichts brauchbares als Alternative gefunden. Man müsste alles einzeln zusammenbasteln bzw. aus Einzelprodukten zusammenstellen.
Für größere Umfelder (betrieblich) kann eine Kombination aus Sophos UTM & Paloalto Firewall interessant sein.
Was mir direkt fehlen würde ohne die UTM wäre die Webapplication Firewall & SMTP Proxy sowie die übersichtliche und funktionelle Firewall mit dem Regelwerk. Hier habe ich noch nichts brauchbares als Alternative gefunden. Man müsste alles einzeln zusammenbasteln bzw. aus Einzelprodukten zusammenstellen.
konfetti
Urgestein
Und was ist an der Einzelprodukt-Auswahl so schlecht?
Aktuell habe ich hier eine Fortinet, die macht Firewall und Webapplication FW, so ganz überzeugt mich das aber nicht.
Ich muss gestehn, bei der ASA hab ich mich wohler gefühlt - ist aber natürlich nix für @home.
Webproxy und Application FW sowie SMTP-Proxy war eine Websense... - am Ende hat aber jede Lösung irgendwie so seine stärken und schwächen, kommt halt immer darauf an, was man genau braucht.
Als MailGW könnte man sich mal die Proxmox-Appliance, die jetzt ja Opensource ist anschauen...
Aktuell habe ich hier eine Fortinet, die macht Firewall und Webapplication FW, so ganz überzeugt mich das aber nicht.
Ich muss gestehn, bei der ASA hab ich mich wohler gefühlt - ist aber natürlich nix für @home.
Webproxy und Application FW sowie SMTP-Proxy war eine Websense... - am Ende hat aber jede Lösung irgendwie so seine stärken und schwächen, kommt halt immer darauf an, was man genau braucht.
Als MailGW könnte man sich mal die Proxmox-Appliance, die jetzt ja Opensource ist anschauen...
Kurze Frage:
Mit der UTM stoße ich an das 50er IP Limit der Free-Lizenz.
Welche Funktionsbeschneidungen habe ich, wenn ich von der aktuellen UTM auf die XG Home umrüste?
(XG Unterstützt in der Free 4Cores und 6GB RAM - das sollte locker reichen).
Auf der UTM nutze ich die standard-tools wie dhcp, pppoe einwahl, firewall/nat, vpn, paar forwardings und rules.
Dann den Webproxy in Kombination mit Blacklists. Glaube das wars. Kann man das mit der XG auch umsetzen?
Danke und Grueße
Mit der UTM stoße ich an das 50er IP Limit der Free-Lizenz.
Welche Funktionsbeschneidungen habe ich, wenn ich von der aktuellen UTM auf die XG Home umrüste?
(XG Unterstützt in der Free 4Cores und 6GB RAM - das sollte locker reichen).
Auf der UTM nutze ich die standard-tools wie dhcp, pppoe einwahl, firewall/nat, vpn, paar forwardings und rules.
Dann den Webproxy in Kombination mit Blacklists. Glaube das wars. Kann man das mit der XG auch umsetzen?
Danke und Grueße
Was aktuell bei der XG ein großer Show Stopper ist, ist der nicht veränderbare SSL VPN Port dieser ist nämlich TCP 10443 - somit ist der VPN nicht zu gebrauchen da dieser Port in Public Hotspots und Hotels so gut wie nie freigeschaltet ist.
Was ein eher Bedientechnisches Problem ist, ist die Langsame GUI - Die Menüs laden sehr lange egal auf welcher Hardware. Teilweise werden in verschiedenen Browsern(Chrome) Menüs einfach nicht angezeigt
Nur Internet Explorer funktioniert korrekt.
Was Auch störend ist sind sinnlose Hindernisse wie der Name von WLAN Netzwerken darf nicht länger als 15 Zeichen sein, Objekte lassen sich teilweise nicht nachträglich umbenennen (z.B. Name eines DHCP Servers). Es gibt/gab Bugs das IPSec Tunnel mit Fortinet Firewalls mit bestimmten DH Groups nicht funktionierten. Firmware Updates können nicht geplant werden.
Was gut funktioniert ist z.B. eine Zeitbasierte Bandbreitenbeschränkung für einen Firewall Regel - das ist besser gelöst als auf der UTM.
Das Failover von Internanbindungen lässt sich auch komfortabler realisieren.
Das System (obwohl es bereits einige Versions Schritte gab) wirkt noch immer nicht ganz ausgereift.
Ich hab letzten Herbst den XG Certified Architect gemacht und auch da war die Resonanz der Teilnehmer nicht so gut.
Overall das Konzept ist nicht so schlecht - die Umsetzung aber naja, für mich der tag täglich Firewalls betreut ist die GUI eine Zumutung.
Vielen dank fuer den ausfuehrlichen Post.
Dann wirds erstmal ne 2. UTM als VM fuer die Trash-Clients... Bis die XG soweit ist.
Will nur ungern zur PFSense Bastelstube zurueckwechseln ^^
Dann wirds erstmal ne 2. UTM als VM fuer die Trash-Clients... Bis die XG soweit ist.
Will nur ungern zur PFSense Bastelstube zurueckwechseln ^^
- Mitglied seit
- 27.03.2007
- Beiträge
- 1.104
korrekt, ist aber auf der Roadmap
In v17 nun zügig. Auf völlig unterdemensionieter Hardware natürlich nicht.
Chrome wird aktuelle empfohlen zu nutzen.
SSID darf 32 Zeichen lang sein, Der Name für das Objekt nur noch 10
völlig richtig und völlig unnötig, das in der XG an den Namen fest zu machen. Die REF_ IDs in der SG haben immer wunderbar funktioniert.
Einige Bugs im VPN IPSec sind wohl gefixt, aber gut sieht es hier leider immer noch nicht aus...
Hier stimme ich dir völlig zu. Sophos macht leider viel Marketing, aber das Produkt ist einfach nicht fertig. Die reden immer von Feature-Gleich aber die werden wohl erst 2019 auf dem Level der heutigen SG UTM sein. Und bis dahin haben die alten Astaro Progger auch schon wieder neue Sachen in die UTM eingebaut ^^
btw: SFOS 17.0.5 MR5 Released - Release Notes News - XG Firewall - Sophos Community
Liste ist lang, aber vom lesen her klingt das fast alles nach Kinderkrankheiten, die in einer "V17" nicht mehr auftreten sollten.
Wenn die mit V12 angefangen haben, dann ok...
KlimperHannes
Neuling
- Mitglied seit
- 25.12.2014
- Beiträge
- 77
Kannst Du kurz genaueres Feedback geben, was Dich an PfSense störte?
Ich nutze es derzeit noch und ja, es hat ein paar Bugs (HAProxy und DynDNS muessen immer restarted werden nach IP Wechsel), aber der PfBlockerNG begeistert mich nach wie vor. Sophos gefiel mir nicht, da ich Snort, VPN usw. lieber genau selber definiere und dafür dann besser verstehe was das system tut.
@Klimper:
Hauptsaechlich hatte ich sie ersetzt, da ich immer random Abbrueche bei der VOIP telefonie hatte.
Pakete blieben zum Teil noch halblebig installiert bzw aktiviert, Funktionen nach der Abschaltung noch aktiv.
Fuehlte sich einfach sehr sehr stark nach Bastelbude und unfertig an.
Gruesse
Hauptsaechlich hatte ich sie ersetzt, da ich immer random Abbrueche bei der VOIP telefonie hatte.
Pakete blieben zum Teil noch halblebig installiert bzw aktiviert, Funktionen nach der Abschaltung noch aktiv.
Fuehlte sich einfach sehr sehr stark nach Bastelbude und unfertig an.
Gruesse
Eher unwahrscheinlich, da es recht unüblich ist im Businessumfeld auf ein LE-cert zu setzen.
War das angeblich nicht schon so gut wie fertig implementiert? Ich dachte ich hätte Mal sowas gelesen...
Gesendet von meinem Nexus 5X mit Tapatalk
Kann ich nicht sagen, es gibt einen inoffiziellen workarround der ein LE implementiert, aber nichts offizielles