[Sammelthread] Sophos UTM-Sammelthread

Die 9.1 ist mittlerweile final ...
Ich kann mir aber gut vorstellen, dass es hin und wieder bei einigen Features Probleme gibt.

Sophos UTM 9.1 Released

So hatte ich es auch formuliert. Sie ist halt noch nicht lang im Finalstatus, daher kann es durchaus passieren, dass nicht alle Szenarien ausführlichst getest wurden.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sorry, dann hab ich mich verlesen ;)
 
Hatte zwei 9.0 UTMs unter ESXi 5.1 im HA laufen ohne Probleme,
seit dem Update funktioniert es nichtmehr.

Das Problem äußert sich wie folgt:

sobald die zweite UTM eingeschalten und hochgefahren ist, der HA Sync beginnt sind plötzlich VMs die hinter der UTM im Netzwerk stehen und sich aber auf einem anderen Host als die UTM sind plötzlich nichtmehr erreichbar,
bzw. sind andere Firewalls die über ein Transfernetz erreichbar sind nichtmehr erreichbar. Wird eine Firewall im HA abgeschalten funktioniert es wieder ohne Probleme.
Habe da gestern alles probiert was mir eingefallen ist - hab auf beiden UTMs für die NICs die selben MAC-Adressse vergeben und den IgnoreDuplicateMac Wert auf der VM gesetzt, auch ein expremientieren mit den VM Versionen 8 u. vmx9 hat nichts geholfen, auch das deaktivieren der Virtual MAC auf der UTM half nichts. Auch diverse Änderungen auf den vSwitches haben keine besserung gebracht.

Hallo,
ich hatte auch eine böse Überraschung mit der UTM 320 v. 9 beim Kunden erlebt...
Habe HA manuell konfiguriert, Backup Interface am Master aktiviert, den Slave vorsichtshalber einmal neu gestartet und dann mit Master verbunden. Was dann passierte, kann ich mir bis heute nicht erklären. Beide UTMs waren ca. 10Min auf Volllast. Master war nicht erreichbar, Slave dagegen war ab und zu da. Arbeiten mit Slave gings überhaupt nicht, da die Verbindung ständig weg war.
Was ist passiert? Der Master hat Slave Config gezogen. Aus Master wurde Slave, aus Slave Master. Ärger ohne Ende...

Gestern habe ich auf ner ESXi 5.1.0 Maschine die Umgebung mit der Version 9.1 nachgestellt... Ergebnis, aus Master wurde Slave, aus Slave Master. Drei mal probiert, mit autom. und auch mit der manuelle Konfiguration, Ergebnis bleibt gleich.
Morgen werde ich das alles umgekehrt machen, Master lasse ich unkonfiguriert, Slave passe ich komplett an. Theoretisch sollte dann aus Slave Master werden.
----------------------------------

Bin der Meinung das es mit den neuen Fritz!OS keine Möglichkeit mehr gibt die Fritzbox als reines Modem laufen zu lassen.
Warum nicht die UTM als Expost Host einrichten und gut ist.

Doch, kannst du noch:-)
Version 5.50
Was gegen Exposed Host spricht? Ein weiterer Hop :-) Die Fritte ist immer noch als Router da. Für Performance Junkies ist das schon ein gewaltiger Unterschied:-)
Jede Firewall Regel macht das System langsamer, auch wenn die Fritte Any, Any, Any Regelwerk darstellt, müssen die Pakete erst durch die Fritte durch.
Getestet habe ich aber nicht, kannst du mal mit Tracert ausprobieren und berichten.
 
Zuletzt bearbeitet:
UMTS-Stick sowie SIM-Karte sind bei mir eingetroffen.

Die Einrichtung vom UMTS-Failover hat erst nach der Festlegung von Überwachungskriterien funktioniert.
Die "Automatische Überwachung" hat entweder nicht richtig funktioniert oder ich war etwas zu ungeduldig.


unbenannt67.png



Hab das Failover jetzt so eingerichtet, dass das UMTS-Modem aktiviert wird wenn die primäre WAN-Schnittstelle mehrere bestimmte DNS-Hosts im Internet nicht erreichen kann.

Das UMTS-Modem muss ich demnächst noch anders platzieren, da der Empfang im Server-Schrank sehr "bescheiden" is :fresse:




unbenannt68.png


Sollte ich den MTU-Wert des UMTS-Modems verringern, wieder auf den Defaultwert 1500 setzen oder ist das eher egal ?


Deine MTU Werte sind kontraproduktiv.
Unterstützen deine NICs, Switch, Treiber etc. Jumbo Frames von 9000?
MTU Wert für Huawei Stick ist falsch, hier sagt der Provider welcher MTU Wert optimal ist. MTU 1500 ist auch nicht suboptimal, hier kommt es auf das PPPoE Protokoll an. In DEU unterstützen die ISP wie Telekom MTU Werte von 1492, Arcor unter 1492.

Telekom sagt du sollst MTU Wert 1492 verwenden, du stellst am ASG MTU von 1500 ein. Ergebnis: Verbindungsprobleme bei div. Internetseiten, so die Theorie...

MTU Size kann mittels PING ermittelt werden. Wie man unten sehen kann, beträgt der optimale MTU Wert 1472. Zu den 1472 addiert man noch 28 Bytes (ICMP- & IP Header) und erhält MTU Wert von 1500, was optimal für meinen Anschluss ist :-)

Du sprichst, dass d. Huawei Stick ein Backup IF ist, falls ein DNS Server nicht erreichbar ist. Wie hast du DNS am ASG denn konfiguriert, als Verfügbarkeitsgruppe oder einzeln? Mach bitte Schreenshot.

Anhang anzeigen 235603
 
Zuletzt bearbeitet:
Einen Client sollte man da aber wohl eher nicht eintragen ;-)

Durch die Bank schafft kein einziger Rechner mehr als die 60mbit.

Ich habs jetz einfach ausgelassen.

Gesendet von meinem Galaxy Nexus mit der Hardwareluxx App
 
Schau dir mal die CPU-Auslastung der VM und des ESX-Hosts an wenn du Traffic erzeugst
 
Hallo,
ich hatte auch eine böse Überraschung mit der UTM 320 v. 9 beim Kunden erlebt...
Habe HA manuell konfiguriert, Backup Interface am Master aktiviert, den Slave vorsichtshalber einmal neu gestartet und dann mit Master verbunden. Was dann passierte, kann ich mir bis heute nicht erklären. Beide UTMs waren ca. 10Min auf Volllast. Master war nicht erreichbar, Slave dagegen war ab und zu da. Arbeiten mit Slave gings überhaupt nicht, da die Verbindung ständig weg war.
Was ist passiert? Der Master hat Slave Config gezogen. Aus Master wurde Slave, aus Slave Master. Ärger ohne Ende...

Gestern habe ich auf ner ESXi 5.1.0 Maschine die Umgebung mit der Version 9.1 nachgestellt... Ergebnis, aus Master wurde Slave, aus Slave Master. Drei mal probiert, mit autom. und auch mit der manuelle Konfiguration, Ergebnis bleibt gleich.
Morgen werde ich das alles umgekehrt machen, Master lasse ich unkonfiguriert, Slave passe ich komplett an. Theoretisch sollte dann aus Slave Master werden.

Da wirst du Probleme haben, mit der 9.1 funktioniert das HA auf virtuellen UTMs nicht, auf Hardware hab ichs noch nicht getestet.
 
Schau dir mal die CPU-Auslastung der VM und des ESX-Hosts an wenn du Traffic erzeugst
Die CPU-Auslastung wird mit ~40% angegeben und der Server 2012 (läuft unter Hyper-V) gurkt bei 10% rum.

Von den Ressourcen her is die VM wirklich ausreichend bestückt.
 
Deine MTU Werte sind kontraproduktiv.
Unterstützen deine NICs, Switch, Treiber etc. Jumbo Frames von 9000?
MTU Wert für Huawei Stick ist falsch, hier sagt der Provider welcher MTU Wert optimal ist. MTU 1500 ist auch nicht suboptimal, hier kommt es auf das PPPoE Protokoll an. In DEU unterstützen die ISP wie Telekom MTU Werte von 1492, Arcor unter 1492.

Telekom sagt du sollst MTU Wert 1492 verwenden, du stellst am ASG MTU von 1500 ein. Ergebnis: Verbindungsprobleme bei div. Internetseiten, so die Theorie...

MTU Size kann mittels PING ermittelt werden. Wie man unten sehen kann, beträgt der optimale MTU Wert 1472. Zu den 1472 addiert man noch 28 Bytes (ICMP- & IP Header) und erhält MTU Wert von 1500, was optimal für meinen Anschluss ist :-)

Du sprichst, dass d. Huawei Stick ein Backup IF ist, falls ein DNS Server nicht erreichbar ist. Wie hast du DNS am ASG denn konfiguriert, als Verfügbarkeitsgruppe oder einzeln? Mach bitte Schreenshot.

Anhang anzeigen 235603

Die MTU-Werte der WAN-Schnittstelle und des UMTS-Sticks hab ich bereits wieder auf 1500 herabgesetzt - da ich tatsächlich hin und wieder Probleme mit der Internetverbindung hatte ;)

Die Realtek-Karte ist jetzt die WAN-Schnittstelle und die beiden Ports der Intel Dual-Port Karte wurden als Linkbündelung eingebunden und ebenfalls mit einem MTU-Wert von 1500 konfiguriert.


Den UMTS-Stick hab ich als Uplink-Ausgleich (Standby) konfiguriert.


Danke für deine Hilfe ! :)
 
Zuletzt bearbeitet:
Hallo zusammen,
Sophos hat die Version 9.1 wieder zurückgenommen... Mehr Bugs als in der Beta FW.
 
Doch, kannst du noch:-)
Version 5.50
Was gegen Exposed Host spricht? Ein weiterer Hop :-) Die Fritte ist immer noch als Router da. Für Performance Junkies ist das schon ein gewaltiger Unterschied:-)
Jede Firewall Regel macht das System langsamer, auch wenn die Fritte Any, Any, Any Regelwerk darstellt, müssen die Pakete erst durch die Fritte durch.
Getestet habe ich aber nicht, kannst du mal mit Tracert ausprobieren und berichten.

Habe gerade nochmal die Quelle für meine Info rausgesucht.
Der Grund, wollte eine 7390 als reines Modem konfigurieren. Die Suche ergab folgendes : Betrieb als DSL-Modem nach Firmware-Update nicht möglich | FRITZ!Box 7390 | AVM-SKB

Naja, und der eine Hop über die Fritzbox macht nicht wirklich was aus. Ping bei 14-15ms ins fremde Netz reicht um bei BF3 bestehen zu können ;)
Netzintern, also zum gleichen ISP sogar unter 10ms....

Wenn nicht die ganze Telefonigeschichte über die Fritzbox laufen würde, wäre das Thema ein anderes. Nur hab ich ganz wenig Lust mich damit auseinander zu setzen. Dafür gibt es wirklich Bereiche die mich mehr begeistern.
 

Anhänge

  • ping.jpg
    ping.jpg
    117,8 KB · Aufrufe: 357
wo wir gerade beim Thema sind.
Vermisse seit dem Update nähere Infos zu den Viren. Bekomme im Dashboard angezeigt, dass Angriffe blockiert wurden, aber im Webfilter log wird nichts weiter angezeigt. Bislang glückte noch die manuelle Suche im Webfilter log nach "Virus". So konnte ich noch rausfinden was Sache bzw. Bedrohung war.
Meine sogar, das ich vor noch nicht all zu langer Zeit im daily executive report genauere Infos zum Virus und dem Zielhost bekommen habe.
 
so meine Herren und Damen, werde mich auch mal ein klinken:

Hab mit Sophos erstmal zum "lernen" geladen und um die Software besser kennen zu lernen^^ *G* geile Wort wahl, rennt aktuell auf einem Bladeserver, Typ HS22 und ja das funktioniert gut, ok bischen XXL aber egal.

PS: dickes danke schön an: Fr3@k
 
So Checkerkids hier mal was neues von mir.

Da die Telekom die nächsten Tage bei mir 2x 200MBit Fiberanschlüsse schaltet muss ich Firewalltechnisch auch mal etwas upgraden.
Ich hatte bis dato ein Cluster aus 2x Symantec 5420 (mit ASG v8) im Einsatz. Leider sind nur 10/100er NICs verbaut, so dass etwas anderes her muss.
Also 2 Symantec 5620 besorgt und dort nach einer laaangen Nacht die UTM V9 zum laufen bekommen. Noch schnell jeweils 4GB ECC Ram rein und ich bin (hoffentlich) erst mal gerüstet. Evtl. die CPUs noch upgraden, mal schauen...

Hier mal Bilder:
img1622px.jpg

img1623ev.jpg


Das 5420 Cluster habe ich auch schon zerrissen und habe eine Maschine erfolgreich auf V9 geupgradet, läuft auch mit 1GB erst mal ganz vernünftig (das Board kann zum Glück 2GB). Falls jemand interesse an den Cluster hat -> PN
Jo und ne ASG120v3 habe ich in dem Zuge auch gleich auf V9 geupgradet.

Sieht doch ganz nett aus oder? V.a. habe ich jetzt jede Menge USB-Ports um mein Handy zu laden :d
 
Zuletzt bearbeitet:
Sieht scharf aus :d
Normale Menschen kaufen sich ein USB Steckernetzteil um das Handy zu laden *gg*
 
1HE ist idR immer laut...
Also die 5420 machen schon etwas Lärm. Die 5620 haben ne Lüftersteuerung, sind aber trotzdem nicht leise ;)

@Fr3@k: Normale Menschen haben zuhause auch nur ne FritzBox und gut ist. In dem Thread bin ich schon unter Gleichgesinnten :d
 
Zuletzt bearbeitet:
Hi Leute,
Habe jetzt das Sophos UTM9 schon seit ein paar Wochen auf meinem Server als VM installiert und ich bin begeistert.
Da in letzter Zeit mein Modem leider etwas spinnt (muss immer wieder den Netzstecker ziehen, sonst geht Garnichts mehr), will ich mir ein neues kaufen. Jetzt bin ich mal auf die Idee gekommen, dass es vielleicht irgend eine art Modem gibt, wo ich als Betriebssystem vielleicht gleich das Sophos installiern kann. Kann mir ned vorstellen, dass große Firmen auch irgend eine art Fritzbox und danach erst die Firewall haben.
Währe über jeden Tipp dankbar.
 
Wird eig immer über ein Modem realisisert. Es gibt zwar WAN Schnittstellen mit Modemfunktion z.B. bei Cisco als Einschübe, die sind jedoch einfach nur sackteuer.
Nen eigenständiges Modem ist kosteneffizienter und is im Störfall auch fix ausgetauscht.

Edit: und fritzbox != modem
 
wie "laut" sind die -> das Bladecenter ist auf dauer auch keine Lösung und das intel Atomteil ist irgenwie nicht so der Burner, das Mainboard will nicht so recht.

Was für Probleme hasten mit dem Atom ?
Was für ein Atom-Board haste den ?
 
Hi Leute,
Habe jetzt das Sophos UTM9 schon seit ein paar Wochen auf meinem Server als VM installiert und ich bin begeistert.
Da in letzter Zeit mein Modem leider etwas spinnt (muss immer wieder den Netzstecker ziehen, sonst geht Garnichts mehr), will ich mir ein neues kaufen. Jetzt bin ich mal auf die Idee gekommen, dass es vielleicht irgend eine art Modem gibt, wo ich als Betriebssystem vielleicht gleich das Sophos installiern kann. Kann mir ned vorstellen, dass große Firmen auch irgend eine art Fritzbox und danach erst die Firewall haben.
Währe über jeden Tipp dankbar.
Es kommt auf die Anschlussart an. Meist bekommen die Kunden eigene IP zugewiesen oder bekommen halt Modem von ISP.
Ich empfehle immer "nur" einen richtigen Modem zukaufen ohne irgendwelche Schnickschnack Funktionen, also nicht Fritzbox!
Was sagen deine PPPoE Logs? Es ist bekannt dass div. Fritzbox-Modelle Sync Probleme mit ASG haben.

---------- Post added at 09:07 ---------- Previous post was at 08:53 ----------

Sophos Tools:
http://www.astarosupport.org/Downloads/
 
Zuletzt bearbeitet:
Übrigens: Die V9.1 läuft bisher ohne Probleme im Cluster, allerdings Hardware, keine VM
 
Was für Probleme hasten mit dem Atom ?
Was für ein Atom-Board haste den ?

Das Atommainboard ist irgenwie "defekT" es möchte hochfahren hängt aber, nach dem 2. Hochfahren geht es -> BIOS geflasht aber es bringt nichts aber - hey - geschenkt bekommen, ist diese Krücke:

Intel D2500HN bulk, NM10 (PC3-8500U DDR3) (BLKD2500HN) Preisvergleich | Geizhals Deutschland

Dazu hab ich eine alte PCI-NIC genutzt, nunja es war zum Testen nur da, aber es kommt wieder weg.

EVENTUELLE Vermutung, warum das Mainboard nicht will:

Es ist einfach schlicht kaputt - es lag sehr lange OHNE Verpackung bei meinem Kollegen aber egal, es kommt ein neues Mainboard inkl dual LAN und blabla oder ich kaufe mir so ein 19" Teil, wie von daheym
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh