[Sammelthread] Sophos UTM-Sammelthread

Ich weiß, dass die 7490 ein Top Gerät ist aber die ganzen Funktionen sind überflüssig eigentlich. Ich tendiere aktuell zum Speedlink 5501. Reicht aus und gibs bei ebay für schlappe 23€.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Der Speedport wäre auch "stabil" - ich hab mittlerweile keine wirklichen Probleme mehr mit der Stabilität. Wenn es hakt, hakt es meist global...
Was mich am Speedport stört ist die nicht vorhandene Funktion der statischen Routen Netzintern (du musst die UTM also in das lokale Netz des Speedports "naten") und dass die IPv6 Prefix delegation nicht tut.

Thema IGMP Proxy - es gibt für die UTM ein rpm, was nen IGMP Proxy hinzufügt als Dienst. Das drunter liegende Paket ist aus irgend nem Linux Repo - mittlerweile sogar offiziell in den 17.04 und neueren Repos bei Ubuntu bei.
Das Ding tut, hab das ne ganze Weile so betrieben. Du musst aber den Stream vom IPS ausnehmen, sonst deckelt die UTM bei wenigen MBit/sec und der Entertain Stream ruckelt übel.
Falls es dich interessiert, ich hab das Paket noch irgendwo. Irgendwo weiter oben hier im Thread gibts da auch Links zum Sophos Forum, wo jemand das Paket bereit stellte. Glaube aber die Links gehen mittlerweil enich tmehr??
 
Aus Interesse kannst du mir das Paket gerne mal zukommen lassen. Ich denke aber nicht, dass ich es produktiv so betreiben werde, schon allein, weil ich mein Analog-Telefon damit nicht zu fliegen kriege. Außerdem, wenn ich mir die IGMP-Proxy Konfig so anschaue, puh, da wird mir schon ganz anders. So viel Aufwand will ich mir nicht antun. Außerdem ist mein Fernseher sehr nah an der TAE Dose und meine UTM genau am anderem Ende des Raumes. Glaube das wäre etwas schwierig bei der Verkabelung. Ich gehe erstmal den komfortablen Weg mit dem Speedlink 5501, dahinter 1xEntertain TV, 1xTelefon und 1xUTM. Von der UTM gehts dann ins LAN+WLAN.
 
Als Ersatz für den Entertain Receiver tut der IGMP Proxy so oder so nicht - es sei denn du kannst A) auf alle privaten HD Sender verzichten (sofern du das überhaupt gebucht hast) und B) auch auf alle, die unsinnigerweise auch SD verschlüsseln (DMAX und N24 fallen mir da spontan ein)
Die IGMP Proxy Konfig sind im Endeffekt ne Hand voll Zeilen. Du gibst ihm die Multicast Netze mit, du gibst dein lokales Netz an und welches Interface - thats it.
In der UTM muss dann nur noch der Portbereich ausgeklammert werden für die Inspection - das war irgendwie udp oder tcp 10000 bis irgendwas, muss ich gucken. Das Ding spamt dir aber das Log voll - also auch einfach zu finden.

Was halt interessant ist - du kannst am PC via VLC oder anderer Software den Stream abgreifen - also alles was hinter der UTM steht kann das dann. ;) Die BQ ist deutlich besser als bei dem 0815 Receiver der Telekom. Ich lass halt bei mir wenn ich an der Workstation sitze oft irgendwas mitlaufen. Meist irgendwelches Dokuzeugs, was gerade so kommt. ZDF Info/neo oder Phoenix oder auch mal Arte und son Kram, wo halt gerade was läuft.



Kannst ja mal berichten wie es so tut... Für paar Euronen würde ich mir das auch mal zum probieren hinstellen. Angeblich soll das Teil laut Handbuch statische Routen intern können und IPv6 Prefix Delegation soll gehen. Der Entertain Spaß lüppt wohl mittlerweile auch. Also eigentlich alles was ich bräuchte. Einziges Manko - bei 100Mbit/sec ist Ende.
Für die von dir genannten 23€ bei Ebay wäre das durchaus nen Test wert...
 
Danke für die Aufklärung fdsonne. Ich vermute mal, dass ich wohl erstmal auf das IGMP an der UTM verzichten kann. Dennoch interessant, dass es die Möglichkeit gibt.

Bei 100Mbit/s ist zumindest für VDSL zu Ende, mehr geht aktuell eh noch nicht bei der Telekom. Wann und ob bei mir Super Vectoring mit 250Mbit/s kommt ist fraglich. Im Lan sind wohl auch 2x1000Mbit/s möglich: http://www.produktinfo.conrad.com/datenblaetter/1300000-1399999/001378406-da-01-de-TELEKOM_SPEEDLINK_5501.pdf Was mich eher stutzig macht, dass es "nur" IGMP v2 spricht und nicht v3. Würde heißen, meine UTM wird dann von der Zyxel-Kiste mit Multicastpaketen geflutet, weil kein IGMP Spoofing möglich ist. Werde ich mal beobachten, ob es zu Problemen führt.
 
Zuletzt bearbeitet:
nAbend zusammen.

Habe eine FritzBox Cable und möchte aus Spaß den DVB-C-Stream über die UTM an die internen Clients streamen.
Protokoll ist rtsp (554)

Test per Kabel an fritte klappt ohne Probleme
Test per WLAN an unifi AC-AP <- UTM <- fritte klappt zwar grundsätzlich. Allerdings bekomme ich da nur 2 Mbit von 10 erforderlichen, damit hakt das sehr und ich habe 2cm große Pixel
test per Kabel an Switch identisch zum wlan

Proxy, IPS, ApplC habe ich alles auf aus gestellt. Firewall auf intern-> any -> internet

Gibt es Ideen?

Dans

Keine Ideen?
 
ich habe folgendes Problem:

ich habe zwischen zwei Sophos UTM Site2Site VPN aufgebaut. Soweit funktioniert alles.

Problem:
Sophos B ist ein Rechner, der über DNAT aus dem Inet erreichbar ist
Sophos A Client MUSS über die Öffentliche IP/Port der Sophos B auf den Rechner zuzugreifen. Ich muss den Traffic von Client A auf den Site2Site Tunnel zu routen.

Wie soll man da vorgehen?
 
@danfu - haste davon mal n grobes Bild?
Wo hängt das Kabel am Switch? - und wo ist der Unifi angeschlossen?

@dimonw - same here, pics?
 
Zeichnung.jpg
 
Also die XX.XX.XX.102 und 202 hängen hinter der UTM-A ?
d.h. das System hat entsprechend eine interne IP hinter UTM-A? - dann würde man doch von einem System hinter UTM-B direkt das System hinter UTM-A anwählen, anstatt die öffentliche Adresse auf der WAN-Seite von UTM-A

nur falls ich das jetzt richtig verstanden hab.
 
ich weiß, dass ich die Internen von IP Device nutzen kann (wäre auch einfach einzurichten), aber in diesem Fall MUSS ich die öffentlichen nehmen und durch VPN tunnel routen.
 
Das würde nur gehen, wenn Du auf UTM-B eine Route einträgst, die sagt, das eben die beiden öffentlichen Adressen nur über UTM-A als GW erreichbar wären.
Andernfalls sucht sich der Client ja den direktesten Weg selbst, der ist nunmal über den öffentlichen Anschluss an UTM-B... (also laut eigener Routing-Tabelle)

Was anderes fällt mir da grad sonst nicht ein, wozu das auch immer Gut ist...

-edit:
besser natürlich, Du kannst die Route direkt auf dem entsprechenden Client eintragen, so das die UTM-B da vlt. garnicht ihre Hände im Spiel hat ;)
Routingtabelle – Wikipedia
 
Zuletzt bearbeitet:
Wie müsste die Route auf der UTM B aussehen. Das IP Device ist "dumm". Kann da keine Route eintragen..
Ich weiß, dass es verwirrend klingt, aber wenn ich die internen IP-Adressen nehmen würde, dann hätte ich an einer anderen Stelle viel Administrationsaufwand (keine Firewall). Ist hier ein Spezialfall
 
Zuletzt bearbeitet:
ich hab leider grad keine UTM da, um mir das auf der GUI anzuschauen, aber wenn Du mir nen Screenshot gibst, versuch ich Dir zu helfen.

@Danfu,

Was hast Du denn sonst noch für Dinge auf der UTM laufen? - da es prinzipiell geht, scheint ja irgendwas beim durchreichen nicht zu passen.
Hast Du testweise mal den AP direkt an die Fritzbox gehängt und geschaut ob die Clients da das Signal ohne Störungen bekommen? - liegts vlt. am parallelen Zugriff?

Ggf. der UTM mehr Ressourcen zuweisen?
 
Zuletzt bearbeitet:
Was hast Du denn sonst noch für Dinge auf der UTM laufen? - da es prinzipiell geht, scheint ja irgendwas beim durchreichen nicht zu passen.
Hast Du testweise mal den AP direkt an die Fritzbox gehängt und geschaut ob die Clients da das Signal ohne Störungen bekommen? - liegts vlt. am parallelen Zugriff?

Ggf. der UTM mehr Ressourcen zuweisen?

Die UTM langweilt sich, WebProxy ist aus, habe testweise auch mal IPS und ApplicationControl deaktiviert. Macht keinen Unterschied. Wenn ich Smartphone oder Rechner direkt an die Fritzbox hänge läuft alles prima.
Alles andere wie Youtube, Download oder sonnstige sachen laufen an meinem 100M VF-Kabel Anschluss mit ~90-95M durch.
 
@dimonw

fw.jpg

Ich geh mal davon aus, die UTM-A hat als LAN-IP die 10.10.10.1? - dann sollte das mit der Route im linken Feld reichen.
Optional kannst Du natürlich auch sowas für einen bestimmten Service einrichten - dann nur den rechten Teil verwenden.
Für den Port 11005 (UDP oder TCP) wirst Du halt was anlegen müssen -> geht vermutlich nur, wenn die XX.XX.XX.102 und 202 im selben Netz sind. - sonst ist die Variante links die bessere, muss aber eben für jede der beiden IPs separat gemacht werden

mit dem /32 gibst Du eben an, das diese Route nur für diese 1 IP gilt, ansonsten kannst Du natürlich auch das Subnet, das ihr vom ISP bekommen habt darüber laufen lassen, musst dann aber die Netzadresse verwenden.

@DanFu

hm... Du hast für RTSP ne Regel von außen nach innen, die auch geht, sonst käme ja nix an. aber irgendwas blockt das wohl noch - hast Du mal ins Log geschaut? - ggf. muss man noch irgendwo exceptions machen? - vlt. die Source vom rtsp mal anschauen?

ändert sich die CPU-Leistung, die vom Host abgerufen wird? - ich hab z.B. ein phänomen auf der pfsense gehabt, das die CPU in der VM nicht richtig "nachtaktet" - in Hardware wars kein Problem, die VM hat gelaggt... - Auslastung der CPU selber aber lediglich max. 2-10% (bei nem Atom D2550 als auch Intel Xeon E5645)
 
hm... Du hast für RTSP ne Regel von außen nach innen, die auch geht, sonst käme ja nix an. aber irgendwas blockt das wohl noch - hast Du mal ins Log geschaut? - ggf. muss man noch irgendwo exceptions machen? - vlt. die Source vom rtsp mal anschauen?

ändert sich die CPU-Leistung, die vom Host abgerufen wird? - ich hab z.B. ein phänomen auf der pfsense gehabt, das die CPU in der VM nicht richtig "nachtaktet" - in Hardware wars kein Problem, die VM hat gelaggt... - Auslastung der CPU selber aber lediglich max. 2-10% (bei nem Atom D2550 als auch Intel Xeon E5645)

Hab's sogar mal mit any-any-any versucht. Es kommt ja auch was an, aber wird eben nur "20%"
aktuell hat die VM 4 Cores (j1900) und 3GB RAM zurgeordnet
 
Wie gesagt, ich würde es mal baremetal probieren, also die UTM direkt auf der Hardware ausführen, nicht in einer VM.

Ansonsten hat vlt. noch jemand anders eine Idee, ich nutze einen VDSL-Anschluß, kein Kabel, aber eben auch kein Entertain oder sowas.
 

2 von x MBit klingt nach IPS. Auch wenn du sagst, dass du das schon ausgeschalten hast. Bei mir hab ich das gleiche Verhalten mit Entertain über den IGMP Proxy (nachinstalliert) gehabt. Um das zu umgehen brauchte ich eine Exception für die Intrusion Prevention.

-> für Entertain ist das udp 10000 vom Multicast Netz der Telekom
 
ich habe folgendes Problem:

ich habe zwischen zwei Sophos UTM Site2Site VPN aufgebaut. Soweit funktioniert alles.

Problem:
Sophos B ist ein Rechner, der über DNAT aus dem Inet erreichbar ist
Sophos A Client MUSS über die Öffentliche IP/Port der Sophos B auf den Rechner zuzugreifen. Ich muss den Traffic von Client A auf den Site2Site Tunnel zu routen.

Wie soll man da vorgehen?

Ich behaupte, dass es nicht funktionieren kann. Zumindest nicht mit Routing!
Ich hatte die Situation auch immer wieder...

Wenn der Traffic vom IP-Device über UTM B geroutet wird und dann sozusagen von Intern (VPN) auf der UTM A aufschlägt, kann dieser Traffic nicht genattet werden, weil nicht "von Aussen" auf das WAN-Interface kommt.


Ich würde folgendes machen:
NAT-Regel
DNAT
Quelle: 10.1.1.240
Ziel: x.x.x.102 (ISP 1 an UTM A)
Neues Ziel: Interne IP hinter UTM A des Trafficziels

Somit sollte UTM B den Traffic umbiegen und dann per routing das durch den VPN zu UTM A schieben. Diese leitet es an das Ziel weiter. (ohne weiteres NAT)
Das Ziel sieht als "Absender" die IP 10.1.1.240 und gibt das Paket an sein Std-GW (UTM A) die es dann wieder über den Tunnel zurückschiebt.

Beim Routing besteht die Gefahr, dass die UTM B dann versucht die UTM A selbst über den VPN zu erreichen, was ja Sinnfrei ist.
 
Hi,

ich hatte mal vor einiger Zeit eine virtuelle Sophos UTM am laufen.
Als Grundlage nutzte ich eine Intel NUC mit i5 CPU und 8 gig Ram.
Da die Intel NUC nur ein 1 gbit Lan Port hat, hatte ich erst mit USB3 / LAN Adapter gefummelt, war aber mit der Performance nicht zufrieden.

Also habe ich das "Problem" mit einem trunk port auf meinem Switch gelöscht.

Wie auch immer, die Sophos ist kaputt gegangen und möchte jetzt neu installieren.
Entweder wieder so wie vorher oder ich knüppel mir eine eigene kleine Maschine zusammen.

Gibt es hier Empfehlungen zur Hardware?
Habe ein wenig im Thread quergelesen, bin aber kaum fündig geworden.

Zu meiner Anforderung:
Derzeit setze ich noch eine Checkpoint 1100 appliance ein.
Große Downloads machen die Maschine fertig und es macht keinen Spaß zu surfen.
Genutzt wird hier Firewall und IPS. AV musste ich von vornherein ausschalten, da die Download raten für'n Arsch waren.

Auf der Sophos XG (oder UTM) möchte ich nutzen:
Firewall
IPS
AV
Ipsec VPN

Mein Internetzugang ist demnächst eine 500 Mbit synchrone Glasleitung und ich möchte diese auch nutzen und keine Einbußen haben.

- - - Updated - - -

So wie ich das sehe, scheint die Zotac Box CI327 mit Sophos XG ganz gut zu laufen ...
Sophos XG Firewall and Home Network Description | EB-Home : Home automation, Homelab, Web dev...

Bist nicht wirklich was negatives dazu gelesen.
Hier noch Erfahrungen?
 
Ahoi,

ich nutze auf meiner Sophos UTM einen i3-6100, 16gb ram, ne SSD und Intel Netzwerkkarten.
Die von dir angesprochenen Dienste stimmen mit meinen ueberein.

Anbindung ist ne vdsl mit 100/40. Das Ding geht bei 100mbit Downstream zum Teil auf ~25% CPU Load.
Ich weiß nicht inwiefern die Software multicore supported. Sieht mir jedoch nach nem Single Thread auf 100% aus.

Die 100/40 kommen dennoch in allen Lebenslagen durch die Leitung. Egal ob direkt im Netz oder übers VPN.

Du brauchst jedenfalls nen moeglichst hohen Takt und viel IPC. Mit kleinem Celeron J gefummel und dem ganzen Scharm wuerde ich erst gar nicht anfangen.

Grueße
 
500 Mbit/s IPS wird kaum möglich, snort ist single-thread pro Verbindung, also brauchst du möglichst viel Takt statt cores.
 
Ich nutze aktuell einen i3-7100 mit 8GB und SSD. Bei aktiver FW+IPS+AW im Proxy sind so 360-380 Mbps möglich.



Ohne IPS dann 480 Mbps.

 
Danke für die Aufklärung fdsonne. Ich vermute mal, dass ich wohl erstmal auf das IGMP an der UTM verzichten kann. Dennoch interessant, dass es die Möglichkeit gibt.

Bei 100Mbit/s ist zumindest für VDSL zu Ende, mehr geht aktuell eh noch nicht bei der Telekom. Wann und ob bei mir Super Vectoring mit 250Mbit/s kommt ist fraglich. Im Lan sind wohl auch 2x1000Mbit/s möglich: http://www.produktinfo.conrad.com/datenblaetter/1300000-1399999/001378406-da-01-de-TELEKOM_SPEEDLINK_5501.pdf Was mich eher stutzig macht, dass es "nur" IGMP v2 spricht und nicht v3. Würde heißen, meine UTM wird dann von der Zyxel-Kiste mit Multicastpaketen geflutet, weil kein IGMP Spoofing möglich ist. Werde ich mal beobachten, ob es zu Problemen führt.

Ich muss meinen vorherigen Beitrag korrigieren. Mit der neuesten Firmware ist auch IGMP v3 möglich. Für das Geld und die Funktionen ist das Gerät ein absoluter Kauftipp für VDSL50/100 Kunden mit IPTV. Von meinen 100Mbit/s kommen ca. 92-94MBit/s (down) und 35 (up) an. Laut Speedlink habe ich eine Datenrate von 102784 Kbit/s aber das kommt leider nicht durch. Vielleicht weiß einer von euch warum (sorry für Offtopic). Der Speedlink 5501 hat auch die Modemfunktion mit am Board, dann würde aber mein Analogtelefon nicht mehr funktionieren, weshalb ich es nicht testen kann. Jedenfalls wird das Teil super vor der Sophos UTM funktionieren.
 
Moin!
Mal eine andere Frage: hat jemand probiert bzw weiß jemand, ob man die snort-binary(-ies?) durch 3.0alpha austauschen kann? Die beherrschen ja angeblich nun multithreading und würden den Performanceeinbruch bei der UTM mit IPS beheben, denke ich. Im offiziellen Forum ist mehrfach die Frage nach Update gestellt worden, aber das kann wohl noch lange dauern - falls für die UTM überhaupt noch...
 
Kurzes Feedback zu der öffentlichen IPv4 Tunnel "Geschichte"; Hab den IPv4 Tunnel zu mir jetzt seit gut einer Woche am Laufen (Mein Warenkorb - vServer.site) - Hab mir noch den v4 Tunnel für 5,- € / Monat dazu geholt, man bekommt direkt eine RED Provisionierungsdatei und die IPv4 Adresse vom Tunnelendpunkt des Anbieters. Danach die öffentliche v4 daheim auf das Interface eingestellt und Gateway (eine private 172er v4) und schon war die (virtuelle) Leitung benutzbar. NAS dann einfach per NAT freigeben, fertig. Remote VPN auch problemlos nutzbar damit.

Vielleicht für den einen oder anderen noch interessant der eine v4 oder eigenes IPv4 Subnetz nach Hause geroutet haben möchte;

Der Red-Tunnel Anbieter vserver.site hat sein Portofolio etwas umgebaut, Transfervolumen jetzt "fair use" und Backbone wohl ausgebaut. Den 5,- € Preis mit 1x v4 bekommt man nur noch per Gutscheincode "SOPHOS5" (hatte für einen Bekannten angefragt und diesen bekommen) evtl. kombinierarbar mit "NOSETUP" der ne Zeit lang mal aktiv war und die Setup Gebühr einspart.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh