[Sammelthread] Sophos UTM-Sammelthread

Hallo zusammen,

seid einigen Tagen ghet mein VoiP Telefon hinter der UTM9 nicht mehr richtig.
Das heißt es klingt und man kann auch Anrufe annehmen. Nur ist die Kommunikation in beide richtungen Digitalsalat.
An den Regeln habe ich nichts geändert. Den SIP-Proxy habe ich gar nicht ans laufen bekommen.
Schließe ich die Basis vor der FW, direkt ans WAN an, klappt alles.

Hat jemand eine Idee wo der Fehler liegen könnte bzw. wie ich ihn eingrenzen kann?

Vielen Dank.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei Problemen mit SIP ist gerne mal das IPS Schuld, genauer gesagt die Flood Protection. Schau mal ins IPS Log ob sich da Einträge finden.
 
Koennte auch sein dass fragmentierte UDP Pakete verworfen werden. SIP hat gerne mal laengere UDP Pakete als 1500... Kann man irgendwo in den Einstellungen der Sophos dennoch durchlassen :)
 
Moin Moin

ich würde gerne auch mal Sophos XG auf einer VM (esxi6.5) testen. gibt es fertige vm-temps die man herunterladen muss oder installier man komplett neu ?
Gibt es für das neue XG auch eine Home Lizenz mit 50 ip limits ? Wenn ja gilt dieser Limit je Subnetz oder komplett für die komplette Firewall ?

Folgende Funktionen interessieren mich:
Firewall
IPS
E-Mail Protect
AV
Ipsec VPN (max. 3 Verbindungen nötig)

Anbindung habe ich nur 100/25 Mbit Mein ESXI6.5 Server hat zur Zeit 32 GB davon sind 20 GB reserviert und 4 Cores ebenfalls, CPU ist ein Xeon 1230v3
Die Verlustleistung wegen IPS macht mir etwas sorgen aber vielleicht kann man da einiges optimieren???
 
Du kennst aber schon sowas wie 'ne Suchmaschine, in die man "sophos xg home" eintippen könnte, oder? ;) Auf der entsprechenden Seite steht keine Unterstützung für virtuelle Umgebungen, im Gegensatz zur Sophos UTM Home, wo explizit "Virtual appliance can be run directly in any VMware vSphere Edition." steht. Da die Home-Edition der XG sowieso auf maximal 4 Cores und 6 GB RAM beschränkt ist, sollte dein ESXi ausreichen. Ob das dann performant genug ist, wird dir keiner sagen können, da es viele verschiedene Einstellungen gibt, die die Performance beeinflussen können, auch innerhalb der Features, die Du nutzen willst.
 
Hallo,
der Hang zur Bastelei lässt mich gerade überlegen ob ich mir auf Basis eines APU.4B4 Boards neue Hardware zulege.
Zum Einsatz kommen soll das ganze im Heimnetz mit einem 200/100er Telekom Glasfaser-Anschluss.
Momentan läuft Sophos schon an dem Anschluss mit allem was so möglich ist (IPS, WAF, VPN, WIFI, Antivirus usw.)
Es sind ca. 20 Geräte die an der Box hängen (2 User, Laptops, Synlogy, Amazon TV usw.)
Ist die APU Hardware dafür ausreichen da ja "nur" 1GHz Speed oder was denkt ihr?
 
nabend zusammen,

ich mach es zwar nicht gerne, würde aber gernen auf mein offenes Thema verlinken.
https://www.hardwareluxx.de/community/f67/ipsec-zwischen-fritzbox-und-sophos-utm-kein-zugriff-von-b-nach-1202831.html

Ich hatte die Thematik glaube hier im Allgemeinen angesporchen, damals wollte glaube ich nicht mal die Verbindung zustande kommen.
Evtl. ist hier noch jemand dabei der mir beim Thema Debugging weiterhelfen kann.
Ich kenne zwar die Support-Funktion der Fritzbox, aber keinen Schimmer was ich da genau anklicken soll.

Wie geschrieben, ich bekomme keinen Zugriff von B nach A sehe aber auch keinerlei Logeinträge die auf ein Blocken der Firewall hinweisen.
Sonst wüsste ich echt nich was am Setup so falsch sein soll.
 
Moin zusammen,

Ich muss auch mal eine Hardwarefrage an die Erfahreren stellen.
Aktuell: Momentan setze ich eine ältere Sophos UTM 110/120 mit einer Homelizenz ein. Aktuell ist Firewall , VPN und IPS aktiv und so kommt schon von meinen 84MBit nur noch zwischen 65-71MBit an. Ich möchte jedoch gerne noch den Webproxy mit der AV Engine aktivieren und dann bricht die kleine ein. Aktuell sind maximal 3 Notebooks, 1 PC, 1 Server, 4 Handy's, 1 Firestick, 1 Fernseher und 2 Tabletts gleichzeitig aktiv (im schlimmsten fall)

Zukunft: Eine neue Hardware wird wohl her müssen. Aktuell kann man ja eine 105er Rev3 nehmen und durch ein eigenes Ram-Upgrade zu einer 115er umbauen. Jedoch liege ich aktuell locker bei 450€ für eine neue und so stellt sich die Frage, ob es nicht auch ein eigenbau lohnt. Also das übliche: Maximale Performance, Geringe Stromkosten und darf nix kosten ;)
Ich hatte mir mal folgende Konfiguration angeschaut (ich weiß, nur 100€ günstiger):

Mainboard: Supermicro A1SRi-2558F SoC So.BGA Dual Channel DDR3 Mini-ITX Retail
Speicher: 8GB G.Skill Ripjaws DDR3L-1600 SO-DIMM CL11 Dual Kit
Gehäuse: Inter-Tech E-3002 ITX Tower 60 Watt schwarz
HDD: Samsung 120GB EVO 860 (vorhanden)

Was sagt ihr dazu? Würde das reichen von der Performance oder gibt es verbesserungsvorschläge?

Gruß,
Bastian
 
Zuletzt bearbeitet:
Hey,
ich würde das SM Paket nicht nehmen. Cpu ist von 2013 und nur ne Geringe Taktung von 2,4Ghz.
Nimm lieber nen stinknormales 1151 Board mit nem aktuellem i3 oder Pentium G.
8GB Ram und ne SSD dazu - fertig ist die Huette.
Du brauchst gelinde gesagt einfach nur SingleCore Power. Dann bekommst auch deine Bandbreite samt saemtlichem Scanning durch die Leitung.

Grueße
 
Also ich habe mal eben mit nem kleinsten i3, 8GB Ram, Mainboard, Gehäuse und einer 4Port Karte durchgerechnet.
Da komme auch auf locker 600€ +/- 50€ wenn man doch nen Pentium G nimmt.

Hatte ich oben vergessen zu erwähnen: Ich brauche mindestens 3 Netzwerkports
 
Bzgl 3 Ports:
Nimm ein Board was nen Intel-Chip Onboard besitzt und krall dir ne Dualport ausm Gebrauchtmarkt. Bekommst fuer nen Appel und n Ei hinterhergeworfen.
 
Das mit dem Intel Nic weiß ich inzwischen, aber Danke Dir.
Da ihr direkt einen i3 empfehlt...wie sind denn die Stromverrbauchswerte bei euch? Ich meine, ich will nicht auf Teufel komm raus jedes Bit heraus kitzeln, um am Ende von meiner Frau erschlagen zu werden, wenn Sie die Stromrechnung sieht...;)
 
Nutz doch dein Notebook mit 2 USB3-Gbit-Adaptern um... 8gb Ram sind vorhanden, SSD müsstest du austauschen, vergleichsweise Sparsam ist es wohl auch
und mit UMTS hättest du ja sogar ein Fallback...

Außerdem fließen dann die Scheine die du in neue Hardware stecken wolltest, in ein Ersatznotebook
und wenn es nicht wie gewünscht klappt, baust du die alte SSD wieder ein und das war´s
 
Also die CPU von dem SM Board entspricht einer SG135. In der SG210 ist auch nur ein Dualcore Celeron drin. https://community.sophos.com/cfs-fi...2D00_all_2D00_models_2D00_tech_2D00_specs.pdf

Ich hatte bei mir einen Celeron N3150 laufen, verbaut in einer Zotec ZBOX. Hatte keine Performance Probleme, Web Proxy und ATP/IPS aktiv. Bin davon nur weg weil mir die 2 Ports an der ZBOX zu wenig waren, und ich nicht alles via VLAN lösen wollte.
Verbrauch Idle 7w

Mit dem SM Board hatte ich auch mal geliebäugelt, es aber erstmal gelassen. Statt dessen läuft die UTM bei mir gerade virtuell auf nem i5 (der sowieso laufen würde) mit ner Intel i350-4.
Als alternative hatte ich aber mal sowas überlegt:
6 Ethernet LAN lfterlose pfsense Mini PC Intel kabylake core i3 7100u DDR4 ram AES-NI linux Firewall Pfsense Router Netzwerk Server aus Mini PC auf AliExpress.com | Alibaba Group

Edit:
Falls du selbst baust kannst auch auf ein Apollo / Gemini Lake Board mit 2x LAN und dem schon genannten USB LAN Adapter setzen. Das wird beim Stromverbrauch auf jeden Fall sparsamer als die i3 Variante. Ich persönlich würde auch eher auf ein richtiges Netzteil setzen, und nicht auf die Intertech Tröte aus deinem ersten Beitrag.
 
Zuletzt bearbeitet:
Ich habe den Stromverbrauch meiner Moehre nicht gemessen.
Aber mehr als 25w kann ich mir nicht vorstellen. Eher im Bereich 15w.

Bitte nicht mit irgendwelchen USB Nics und so nem Pfusch anfangen. Sowas macht man einfach nicht bei ner FW!

Was bei dem Aliexpress Ding sein koennte: Evtl. Ist die Sophos UTM Installation nicht moeglich (Weil die IGPU nicht ansprechbar ist).
Ich musste bei meiner Moehre ne richtige GPU einsetzen (i3-6100), erst dann habe ich die Installation durchbekommen.
ist allerdings schon ueber ein Jahr her, vllt. hat Sophos hier nachgebessert (Zutrauen tu ich's ihnen allerdings nicht ^^)

Grueße
 
Mit dem Hystou Teil funktioniert das 1A ;)
Hab das Ding - geht ganz brauchbar. Leistung ist wie zu erwarten eben ein i3-7100u, nix besonderes, bis zu schlechtes. IGP usw. geht alles. Alle 6x NICs sind da, keine sonstigen Fehler oder Probleme. Und das Ding ist passiv und wird unter Last nicht unangenehm warm, wenn man das Gehäuse anpackt.

Verbrauch hab ich nicht gemessen - die NICs brauchen bisschen Strom, die sind alle samt extern (also auf dem Board aufgelötet, nix Chipsatz intern oder so). Die CPU nimmt unter Volllast ihre ~15W laut Softwaremessungen. Wie hoch der Wirkungsgrad des NTs ist, weis ich aber nicht. Also irgendwo im Bereich 10-40W wird das Teil liegen.
 
Hallo zusammen mal eine ganz andere Frage, was für Use Cases bildet ihr privat mit dem IDS/IPS ab?
Habe es seid geraumer Zeit laufen und meistens Triggert bei mir nur eine Oracle Webloig Rule.
Aktiviert habe ich die OS, HTTP (Common,PHP,CGI), SSH, ClientSoftware und Malware patterns mit der Action Drop.
 
p4n0 schrieb:
Ich musste bei meiner Moehre ne richtige GPU einsetzen (i3-6100), erst dann habe ich die Installation durchbekommen.
Zum Vergrößern anklicken....

Bei der SW Appliance Installation bleibt die Hardware Erkennung hängen wenn man keinen VGA Anschluss hat. Ob das gefixt wurde weiß ich noch nicht, könnte aber durchaus sein. Zumindest die HW Appliances haben in der aktuellen Revision keinen VGA mehr, ist also durchaus denkbar dass hier was passiert ist.

Deinen Einwand mit dem USB Teilen verstehe ich zu gut! Aber es passt halt nicht in jeden Rechner eine gescheite Netzwerkkarte rein (da bin ich wieder bei den Apollo Lake Teilen), und irgendwie muss man eben auf die Ports kommen.
 
Zuletzt bearbeitet:
Hmmm...ich habe bei Aliexpress mal ein wenig geschaut und dabei viel mir folgendes System auf: https://de.aliexpress.com/item/Pfsense-Hardware-Qotom-Barebone-Mini-PC-Nano-itx-Core-i7-4500U-Fanless-Mini-Computer-X86-Router/32799048185.html?spm=a2g0x.search0103.3.153.474b470eUZNfd3&ws_ab_test=searchweb0_0,searchweb201602_1_10320_10152_10151_10065_10321_10344_10068_10342_10547_10343_10322_10340_10548_10341_10696_10084_10083_10618_10304_10307_10820_10821_10302_10846_10843_10059_100031_10319_10103_524_10624_10623_10622_10621_10620,searchweb201603_12,ppcSwitch_5&algo_expid=82636c0a-7cd8-49b3-a836-a357fb89739a-21&algo_pvid=82636c0a-7cd8-49b3-a836-a357fb89739a&transAbTest=ae803_2&priceBeautifyAB=0

Dieses System in der Q355G4 Version (I5-5250U CPU) mit 8GB einzeln gekauft und meiner vorhandenen 120er SSD sollte doch genug leistung bieten, oder? Hat 4x Intel NICs onboard und selbst wenn Mwst hinzukommt, liegt man mit ~265€ doch relativ gut. Was sagen die Kenner von euch dazu?
 
Habe heute etwas mit der UTM gekaempft. Schade, dass bei aktivierter WebProtection soviel 'magic' per 'default' beim Firewalling passiert.
Hintergrund: Habe mir ein LogitechHarmony Set zugelegt, welches schoen brav per Cloud deinen Hof und Haus fernsteuern kann.
Gibt es eine andere Methode als per WebProtectionPolicies direkt den IP Verkehr von meinem Internen Host (HarmonyHub) auf das WAN zu unterbinden?

Normale FW Rules von [Harmony] --> [AnyService] --> [WAN / AnyIPv4]
Greifen leider nicht. Weil die aktivierte WebProtection engine sich den Kram davor schon abfischt.. :/
 
So richtig habe ich nicht verstanden, ob Du nun den Zugriff verhindern oder erlauben möchtest. Einerseits schreibst Du "schön brav per Cloud fernsteuern kann", andererseits willst Du etwas unterbinden - was denn nun?
 
Es geht um das Sperren. Sorry.

[edit] Habs - wie gesgt schon hinbekommen.
Eigenes Profile fuer den zu sperrenden Host erstellt und nur den Host bei AllowedNetworks eingetragen.
Flutscht soweit auch, der Dienst mit dem ganzen HarmonyHub auf Logitech ist nichtmehr aus dem WAN
Funktionsfaehig.
Wenn ich jedoch auf der Sophos tcpdumpe sehe ich noch etwas kleinmist in Richtung Logitech.
Und mein Ziel war es urspruenlich alles von diesem Device aus in richtung WAN zu droppen.
 
Zuletzt bearbeitet:
Wie nutzt ihr die Wireless Protection mit euren selbstgebauten utms. Geht das problemlos?
 
Anmelden, um zu antworten.

Ähnliche Themen

R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh