Das HA von zwei virtuellen UTMs funktioniert nicht!
Hab grad die Info bekommen, nächste Woche kommt ein Update (9.101)das einige Bug Fixes enthält.
das HA Problem von virtuellen UTMs wird erst in der 9.102 gefixt soll Anfang Juli kommen.
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Das HA von zwei virtuellen UTMs funktioniert nicht!
Hab grad die Info bekommen, nächste Woche kommt ein Update (9.101)das einige Bug Fixes enthält.
das HA Problem von virtuellen UTMs wird erst in der 9.102 gefixt soll Anfang Juli kommen.
Hier mal eine kleine Timeline:
Sophos UTM 9.100 Technical Notification
Sophos UTM 9.100 Technical Notification
Version 9.101-12.1 ist released ! 
Quelle: http://www.astaro.org/gateway-produ...e-licensing/47832-utm-9-101-soft-release.html
Code:
Sophos UTM v. 9.101-12.1
[B]News[/B]
Bugfix Release
Fixed: Fixed problems with AD backend groups and SSL VPN
Fixed: Some stability improvements for SMTP proxy
Fixed: Some localization corrections
Changed: Block password guessing feature enabled per default only for WebAdmin/Portal/SSH
Changed: Increase timeout for RED downloads
[B]Remarks[/B]
System will be rebooted
Configuration will be upgraded
Connected Wifi APs will perform firmware upgrade
Connected RED devices will perform firmware upgrade
[B]Bugfixes[/B]
25305 IE8: Some object tables remain empty
25730 Wifi [AP50] mesh: space in mesh_id leads to a reboot loop
25736 RED firmware update fails if upload takes longer than 3 minutes
25748 Sending overlay-fw on every Takeover/Restart of the UTM takes too long until all REDs are online again
25787 SSL VPN autopacketfilter rules are not set for backend group objects
25794 HA: After takeover, several services fail because interfaces are incorrectly marked as offline
25868 performance regression in ins_accounting(): Postgres running on 100%
[B]Download:[/B]
Up2date Link: [URL="http://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.100016-101012.tgz.gpg"]http://ftp.astaro.com/UTM/v9/up2date...101012.tgz.gpg[/URL]
Up2Date MD5Sum: baac7083b47ff5012779f9b8ed29e7a8
Up2Date Size: ~48MBQuelle: http://www.astaro.org/gateway-produ...e-licensing/47832-utm-9-101-soft-release.html
Zuletzt bearbeitet:
Hallo,
habe ich das richtig verstanden, dass die UTM bis 50 IP-Adresse zwar gratis ist, aber der Virenschutz "Sophos End User Protection" pro Arbeitsplatz kostet?
Wie habt ihr das gelöst oder setzt ihr das in einer Business Umgebung ein?
lg
habe ich das richtig verstanden, dass die UTM bis 50 IP-Adresse zwar gratis ist, aber der Virenschutz "Sophos End User Protection" pro Arbeitsplatz kostet?
Wie habt ihr das gelöst oder setzt ihr das in einer Business Umgebung ein?
lg
Du kannst HIPS sowie den Antivirus kostenlos auf 12 Clients installieren.
Welches Windows Betriebssystem die Clients / Server haben ist Sophos egal ...
Zuletzt bearbeitet:
Einen Activation Code hast du normaler nur bei einer gekauften Lizenz,
habs gerade selbst nochmal versucht über diese Seite:
https://secure2.sophos.com/de-de/products/free-tools/sophos-utm-home-edition/download.aspx
Musste nichts weiter angeben außer den beschriebenen Daten.
habs gerade selbst nochmal versucht über diese Seite:
https://secure2.sophos.com/de-de/products/free-tools/sophos-utm-home-edition/download.aspx
Musste nichts weiter angeben außer den beschriebenen Daten.
Danke Fr3@k.
Ich habe es über das Portal versucht. Unter https://my.astaro.com/ ->create new license. Da brauche ich de ACT Key.
Also wenn ich es jetzt richtig verstanden habe muss ich einen komplett neue User anlegen ?
Gruß
---------- Post added at 11:36 ---------- Previous post was at 10:39 ----------
mal eine andere Frage:
Ich habe meine Astaro auf einem Acer Easy Store H340 am laufen. Das ist ein Atom Z230 mit 1,6 GHz und einer 80 GB 2,5" Festplatte und eine Intel Gbit PCI-e Netzwerkkarte. Der Stromverbrauch liegt bei ca 34 Watt (Idle). Unter last kommt er auf ca. 37 Watt Das kommt mir hoch vor. Wie sieht den euer Stromverbrauch so aus ?
Ich habe es über das Portal versucht. Unter https://my.astaro.com/ ->create new license. Da brauche ich de ACT Key.
Also wenn ich es jetzt richtig verstanden habe muss ich einen komplett neue User anlegen ?
Gruß
---------- Post added at 11:36 ---------- Previous post was at 10:39 ----------
mal eine andere Frage:
Ich habe meine Astaro auf einem Acer Easy Store H340 am laufen. Das ist ein Atom Z230 mit 1,6 GHz und einer 80 GB 2,5" Festplatte und eine Intel Gbit PCI-e Netzwerkkarte. Der Stromverbrauch liegt bei ca 34 Watt (Idle). Unter last kommt er auf ca. 37 Watt Das kommt mir hoch vor. Wie sieht den euer Stromverbrauch so aus ?
Ich habs über den besagten Link gemacht da wurde mir dann einfach die Lizenz zugesendet.
der Stromverbrauch ist für den Atom normal, sind ja nicht so die Sparmeister die ersten Atoms.
Zum Vergleich meine Server mit Xeon E3-1260L, 16GB RAM, 256GB SSD und 320GB HDD läuft Idle so mit 40 Watt, ist Leistungs und Preis mäßig natürlich in einer anderen Liga.
der Stromverbrauch ist für den Atom normal, sind ja nicht so die Sparmeister die ersten Atoms.
Zum Vergleich meine Server mit Xeon E3-1260L, 16GB RAM, 256GB SSD und 320GB HDD läuft Idle so mit 40 Watt, ist Leistungs und Preis mäßig natürlich in einer anderen Liga.
Zuletzt bearbeitet:
Liistefano
Neuling
- Mitglied seit
- 09.10.2011
- Beiträge
- 152
Möchte bei mir zuhause nun auch die sophos auf esxi nutzen. Wollte hier mal fragen eure ich das realisieren kann.
Bei mir zuhause ist unten eine fritzbox 7270 die die Einwahl ins Internet über nimmt oben habe ich dann noch eine fritzbox 7360 stehen. Die beiden boxen sind mit wds gekoppelt. An der 7360 ist der esxi angeschlossen und ein Gigabit switch. An dem switch sind mein Rechner und die 2.te Netzwerkkarte vom esxi angeschlossen.
Gesendet von meinem GT-I9300 mit der Hardwareluxx App
Bei mir zuhause ist unten eine fritzbox 7270 die die Einwahl ins Internet über nimmt oben habe ich dann noch eine fritzbox 7360 stehen. Die beiden boxen sind mit wds gekoppelt. An der 7360 ist der esxi angeschlossen und ein Gigabit switch. An dem switch sind mein Rechner und die 2.te Netzwerkkarte vom esxi angeschlossen.
Gesendet von meinem GT-I9300 mit der Hardwareluxx App
Ok. Jetzt bin ich doch mal ins grübeln gekommen.
Folgende Situation:
Z.ZT. läuft bei mir eine SBS 2011 auf dieser Hardware:
Asrock H61M-ITX
Intel i3-3220
8 GB RAM
1x SSD 256 GB
1x 500 GB HDD
Der Verbrauch liegt bei ca 26 Watt im idle. Es sind nur 2 Clients angebunden.
Überlegung:
Wäre es möglich den SBS Rechner auf Hyper-V (z.b. Hyper-V Server 2012) umzustellen und SBS 2011 und Sophos als VM gleichzeitig zu betreiben ? (Hyper-V deswegen weil ESXi den Realtek nicht erkennt und ich auch nicht rumpatchen möchte.)
Netzwerkkarten (Intel PCIe GB) und Festplatten (verschiedene größen) habe ich noch einige rumfliegen . D.h. 1x Netzwerkarte könnte ich noch einbauen.
Es sollen nur diese beiden System darauf laufen.
Wie könnte/müsste das System dann konfiguriert werden ? Würde für Sophos 1 GB + 1 vCore reichen ?
Vielen Dank im Voraus
Hi,
hat hier einer eine aktuelle. Sophos (9,x) in Verbindung mit OWA im Einsatz?
Wenn über eine Nat Regel der https Verkehr an den Exchange weitergeleitet wird -> wird scheinbar auch die SSL VPN Verbinsung dort hingereicht, ergo keine VPN mehr...
Wie hab ihr das gelöst ?
Danke im voraus.
Gruß Snap
hat hier einer eine aktuelle. Sophos (9,x) in Verbindung mit OWA im Einsatz?
Wenn über eine Nat Regel der https Verkehr an den Exchange weitergeleitet wird -> wird scheinbar auch die SSL VPN Verbinsung dort hingereicht, ergo keine VPN mehr...
Wie hab ihr das gelöst ?
Danke im voraus.
Gruß Snap
Ist ja logisch wenn du mittels DNAT den SSL Traffic auf den Exchange weitergibst dann kann natürlich der VPN nichtmehr gehen.
Gibt nur 2 Lösungen:
- eigene externe IP für VPN bzw. Exchange verwenden
- SSL VPN auf einen anderen Port als 443 legen - Nachteil, nach der Änderung verliert man den Vorteil eines SSL VPN das er fast überallfunktioniert da 443 als Port (fast)immer freigeschalten ist (Anm. in öffentlichen Hotspots zb)
---------- Post added at 20:03 ---------- Previous post was at 20:01 ----------
Bist du dir da sicher?
Soweit ich gesehen habe hat das Mainboard einen RTL8111E LAN Chip,
der funktioniert sehrwohl mit ESXi 5.1 habe ich selbst am laufen.
Hast du das getestet ?
Hi Fr3@k,
Nein - das habe ich nicht probiert. Das ist die Erfahrung die ich mit anderen Realtek Anschlüssen hatte. Wenn Du sagst das es geht dann probier ich das mal.
Wäre natürlich sehr schön wenn der RTL8111E gehen würde.
Dennoch bräuchte ich ja einen 2ten Anschluss. Ich mag mich irren aber die Netzwerkkarte kann ich nicht durchreichen weil kein VT-d.
Aber ich werde das am WE mal testen...
Nein - das habe ich nicht probiert. Das ist die Erfahrung die ich mit anderen Realtek Anschlüssen hatte. Wenn Du sagst das es geht dann probier ich das mal.
Wäre natürlich sehr schön wenn der RTL8111E gehen würde.
Dennoch bräuchte ich ja einen 2ten Anschluss. Ich mag mich irren aber die Netzwerkkarte kann ich nicht durchreichen weil kein VT-d.
Aber ich werde das am WE mal testen...
So... nach ein paar Stunden schrauben wollte ich noch ein kurzes Feedback geben:
Ursprüngliche Hardware:
Asrock H61M-ITX
Intel i3-3220
8 GB RAM
1x SSD 256 GB
1x 500 GB HDD
Geänderte Hardware:
1 x 250 GB 3,5" für Datastore
1 x 250 GB 3,5" als Ersatz für die SSD
1 x 500 GB 2,5" SBS 2011 Datenplatte
1 x Intel Pro 1000 PCI-e 1x als 2ten LAN Anschluss
1 x 8 GB USB Stick für ESXi
Da die CPU kein VT-d kann konnte ich nicht einfach die Festplatten an die VM durchreichen. Geholfen hat mir dieser Link. Somit ist es möglich die Festplatten trotzdem über einem Umweg an die VM durch zureichen. Alles andere lief Out-of-the-Box inkl. RTL8111E Land Anschluss. Die SSD habe ich ersetzt weil ich keine Info gefunden habe ob TRIM in dieser Konstellation funktioniert
Vorher:
2 Systeme mit einem Verbrauch von ca 60-65 Watt
Nachher:
1 System mit einem verbrauch von 38-40 Watt.
Geplant:
RAM Erweiterung auf 16 GB
Alles in allem bin ich sehr zufrieden und auch die Performance ist gut.
Jetzt muss ich mir nur noch überlegen was ich mit meinem Acer Easystore H340 anfange
Vielen Dank Fr3@k für die Tipps
Ursprüngliche Hardware:
Asrock H61M-ITX
Intel i3-3220
8 GB RAM
1x SSD 256 GB
1x 500 GB HDD
Geänderte Hardware:
1 x 250 GB 3,5" für Datastore
1 x 250 GB 3,5" als Ersatz für die SSD
1 x 500 GB 2,5" SBS 2011 Datenplatte
1 x Intel Pro 1000 PCI-e 1x als 2ten LAN Anschluss
1 x 8 GB USB Stick für ESXi
Da die CPU kein VT-d kann konnte ich nicht einfach die Festplatten an die VM durchreichen. Geholfen hat mir dieser Link. Somit ist es möglich die Festplatten trotzdem über einem Umweg an die VM durch zureichen. Alles andere lief Out-of-the-Box inkl. RTL8111E Land Anschluss. Die SSD habe ich ersetzt weil ich keine Info gefunden habe ob TRIM in dieser Konstellation funktioniert
Vorher:
2 Systeme mit einem Verbrauch von ca 60-65 Watt
Nachher:
1 System mit einem verbrauch von 38-40 Watt.
Geplant:
RAM Erweiterung auf 16 GB
Alles in allem bin ich sehr zufrieden und auch die Performance ist gut.
Jetzt muss ich mir nur noch überlegen was ich mit meinem Acer Easystore H340 anfange
Vielen Dank Fr3@k für die Tipps
Möglichkeit 3 wäre ggf. noch die Reverseproxy Funktion?
Auch wenn ich zugegeben muss, dies noch nicht in der freien Lizenz versucht zu haben
In den Lizensierten Modellen, die wir nutzen, geht das aber definitiv. Sprich das aufklamüsern von Traffic eines bestimmten Ports/Protokolls an ein und der selben Public IP anhand der aufgerufenen URL. Die Astaro/UTM reicht den Spaß dann anhand der übermittelten Daten jeweils an die Server weiter, die eben dafür zuständig sind.
Das könnte mit SSL VPN auch funktionieren, ist ja im Grunde nix anderes als "VPN" over SSL bzw. HTTPS.
Oder als vierte Option die VPN Funktionen der Astaro/UTM nutzen -> sofern dies in der freien Lizenz geht
Kurze Zwischenfrage, für was musst du unbedingt RDM nutzen?
Und auch VT-d benötigt man ja nicht zwingend... Im Grunde eigentlich ist das Durchreichen nichtmal in vielen Fällen überhaupt notwendig bzw. angebracht...
hi fdsonne,
Ich wollte mir damit das konvertieren (P2V) und/oder aufwendige Backup/Restore Aktionen sparen. Leider kann man die Festplatten nicht direkt an die VM weitergeben. Dafür hätte ich VT-d benötigt dann hätte ich den ganzen Controller bzw. einzelne Platten an die VM weiterleiten können. Durch RDM konnte ich die Platten direkt in die VM einbinden. SBS ist auch sofort gestartet und bis auf die Neustarts wegen neuer Hardware und Installation der VMware Tools musste nichts mehr gemacht werden.
Der größte Aufwand war das ersetzen der SSD durch eine normale Platte.
Ich wollte mir damit das konvertieren (P2V) und/oder aufwendige Backup/Restore Aktionen sparen. Leider kann man die Festplatten nicht direkt an die VM weitergeben. Dafür hätte ich VT-d benötigt dann hätte ich den ganzen Controller bzw. einzelne Platten an die VM weiterleiten können. Durch RDM konnte ich die Platten direkt in die VM einbinden. SBS ist auch sofort gestartet und bis auf die Neustarts wegen neuer Hardware und Installation der VMware Tools musste nichts mehr gemacht werden.
Der größte Aufwand war das ersetzen der SSD durch eine normale Platte.
Auch mit VT-d wäre das so wohl nicht gegangen
Denn VT-d reicht nur nur den Storagecontroller weiter. Und das dediziert an eine VM. Du hast aber wie es klingt mehrere VMs... Somit hättest du für das Durchreichen jeweils immer einen Controller pro VM + nen weiteren Controller für die Ablage der sonstigen Daten, die noch benötigt werden um die VM zu betreiben (VMX File, Swapfile usw.) benötigt.
Bei einer VM mag das funktionieren, bei mehreren? Ist zumindest fraglich
Und RDMs machen sich da aus meiner Sicht auch etwas umständlicher. Gerade die VMDK Files auf simplen Datastores sind ja gerade ein Vorteil, weil es ne zusätzliche Abstraktionsschicht ist. Somit ist gegeben, das man die Daten einfach wegschieben kann/könnte. Ist halt einfach transparent, wenn man darauf angewiesen ist, die VMs hin und wieder mal zu transferieren.
Stimmt das würde wohl auch noch gehen ist aber ein bisschen aufwand
Jupp, müsste man mal testen, obwohl es sein könnte, das die VPN Funktion das nicht verträgt... Aber testen wäre defintiv ne Option
Möglichkeit 3 wäre ggf. noch die Reverseproxy Funktion?
Auch wenn ich zugegeben muss, dies noch nicht in der freien Lizenz versucht zu haben
In den Lizensierten Modellen, die wir nutzen, geht das aber definitiv. Sprich das aufklamüsern von Traffic eines bestimmten Ports/Protokolls an ein und der selben Public IP anhand der aufgerufenen URL. Die Astaro/UTM reicht den Spaß dann anhand der übermittelten Daten jeweils an die Server weiter, die eben dafür zuständig sind.
Das könnte mit SSL VPN auch funktionieren, ist ja im Grunde nix anderes als "VPN" over SSL bzw. HTTPS.
Oder als vierte Option die VPN Funktionen der Astaro/UTM nutzen -> sofern dies in der freien Lizenz geht
Kurze Zwischenfrage, für was musst du unbedingt RDM nutzen?
Und auch VT-d benötigt man ja nicht zwingend... Im Grunde eigentlich ist das Durchreichen nichtmal in vielen Fällen überhaupt notwendig bzw. angebracht...
Zur vierten Option: Es geht ja gerade um die VPN Funktion der UTM, die user bauen die Verbindung mit der Astaro auf, oder was meinst du ?