[Sammelthread] Sophos UTM-Sammelthread

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Scheint ja immernoch ein Problem darzustellen es ohne große Tweaks zum Laufen zu bekommen... Schade.
 
Ich hab's mit dem IPTV mit dem IPFire jetzt hinbekommen.
Jetzt leide ich halt dran dass meine Switches kein IGMP Snooping können (bzw. mein WLAN leidet darunter).

Mal schauen ob ich den Schritt auf Sophos mache. Bin mir da noch nicht sicher.
 
Hi Leute vielleicht kann mir wer helfen.
Hab seit einigen Tagen diese Meldung per mAil meiner FW:

Data Disk is filling up - please check. Current usage: 75%
--
System Uptime : 81 days 16 hours 40 minutes
System Load : 0.32
System Version : Sophos UTM 9.106-16

Hab schon nachgesehen ob ich überflüssige Backups oder der gleichen löschen kann, find aber nix, was die Data Disk betrifft. Hat wer eine Idee was da zum löschen ist?
 
Hast du den Webfilter an? Dann lösche mal den cache (unter advanced)
Ansonsten ist das SQL-Log noch ziemlich groß und die coredumps. Beides geht nur über die CLI zu löschen
 
Zuletzt bearbeitet:
Hast du den Webfilter an? Dann lösche mal den cache (unter advanced)
Ansonsten ist das SQL-Log noch ziemlich groß und die coredumps. Beides geht nur über die CLI zu löschen

Super DAnke für den Tip, dass wars ist jetzt wieder auf 5% Data Disk:d:d:d
Danke schönes WE
 
Was würdet ihr denn derzeit an Hardware kaufen für eine Eigenbau UTM? 2 Netzwerkports wenn sie VLANs unterstützen wären ok sonst würde ich 4 benötigen.
 
Neues Up2Date-Package :)

UTM 9.107

Code:
Up2Date 9.107033 package description:

Remarks:
 System will be rebooted
 Configuration will be upgraded
 Connected REDs will perform firmware upgrade
 Connected Wifi APs will perform firmware upgrade

News:
 Update to UTM 9.107

Bugfixes:
 Fix [21794]: Support UTM 9 install on ASG 120 Rev4 with 2GB Memory
 Fix [22571]: UTM-RED Client with dynamic IP doesn't re-establish the tunnel
 Fix [23727]: Wifi: it should not be possible to set the same Mesh name twice
 Fix [24059]: Aua fails to handle customized user group attributes
 Fix [24430]: Sporadic reboots probably caused from sip helper
 Fix [24572]: Automatic Monitoring shows Uplink Interface as ONLINE although it is down
 Fix [25219]: If Inline PGP decryption fails the customer is getting an empty mail
 Fix [25323]: Obviously wrong traffic counting
 Fix [25459]: WiFi Separate Zone: Suddenly it's not possible to process traffic via the AP due to incorrect RED peer address
 Fix [25492]: Policy routing not working together with full transparent mode of HTTP proxy
 Fix [25572]: Default gateway for DSL interface not set probably in link failover setup
 Fix [25657]: Do not imply filename and next-server when specifying DHCP options 66/67
 Fix [25910]: [e1000] Reset Adapter after Update to 9.100 and some Intel Interfaces
 Fix [25931]: False Positive during WAF Upload
 Fix [25940]: Several core dumps in __kernel_vsyscall (/usr/apache/bin/httpd -k restart)
 Fix [25980]: DHCP server does not provide IP address if address pools are used
 Fix [26077]: WAF real server is switching to error state every 5-10 min without any known reason
 Fix [26273]: Improvement of Notification Information in notifier.log
 Fix [26388]: RED50 Traffic not possible, red_server reports "Unable to get proc entry"
 Fix [26450]: Upon upgrade, "The web filtering URL regular expression object with the name 'Any domain expressions' already exists"
 Fix [26656]: RAS Manager is not able to change or create SSL VPN Profiles
 Fix [26850]: Default gateway for PPPoE interface not set after reconnect
 Fix [26929]: If username contains a '\' SSL VPN config is not stored correctly on the client
 Fix [26933]: hotspot doesn't work in an active active cluster environment
 Fix [27084]: high cpu load from postgres. Caused from pfilter reporter
 Fix [27198]: Not possible to decrypt an email if there are more than one empty lines between header and body
 Fix [27253]: Search Engine reports do not work if uppercase domain name is used
 Fix [27362]: SAA doesn't work for AD users
 Fix [27421]: Disabled RED devices are always able to establish a connection to the UTM
 Fix [27455]: Adding an additional interface to PPPoE interface takes it down
 Fix [27473]: Visit of ZDF mediathek will cause a display bug in websec reporting.
 Fix [27479]: mdw died on UTM100/110 if QoS is enabled without a selector
 Fix [27597]: red_server dies after RED reconnect - no further connection possible until UTM reboot
 Fix [27685]: New Packetfilter block rules doesn't work for established connections
 Fix [27777]: WiFi: Radius packets which should be going to a server routed via IPSec goes out on external interface
 Fix [27789]: RED status overview not matching real tunnel status
 Fix [27862]: User accounts with less then 3 characters in the username are not consider from the reporting
 Fix [27865]: Transparent Split mode doesn't resolve names correctly on RED50
 Fix [27887]: [e1000e] Reset adapter unexpectedly
 Fix [27910]: Unable to configure the HTTP default profile in the global section caused by AP connected via RED
 Fix [28053]: swap partition did not get a UUID
 Fix [28223]: The websecurity manager is not able to change or create some proxy settings
 Fix [28323]: Unable to create or change any additional address at the ASG
 Fix [28327]: HTTP Proxy segfault in PCRE match()
 Fix [28413]: Multipath is routing packets on wrong interface after one load balanced ipsec connection fails
 Fix [29164]: UTM failover although the syncing process is not finished (prefered master option enabled)
 Fix [29900]: RED50 freeze after update to 9.107 SR
 Fix [29954]: Endpoint: Not working anymore after update to 9.107 SR

RPM packages contained:
 libevent-1_4-2-1.4.5-24.21.495.g000604f.rb2.i686.rpm
 libevtlog0-0.2.7-4.22.902.ge4b8fa1.rb1.i686.rpm   
 libnetfilter_conntrack-1.0.2-4.g5cfbcdf.i686.rpm  
 libtiff3-3.8.2-141.150.1.1008.g61ccc04.rb1.i686.rpm
 aaa_base-11-6.75.1.958.gfd2813d.rb1.i686.rpm      
 binutils-2.21.1-0.7.25.816.g06392a7.rb1.i686.rpm  
 ctasd-5.00.0042-2.g0346c9a.rb2.i686.rpm           
 gpg2-2.0.9-25.33.31.1.942.g5fdba77.rb1.i686.rpm   
 grub-0.97-162.13.12.1.995.g17fe6b2.rb2.i686.rpm   
 hwinfo-15.46-0.9.1.975.g9aac543.rb1.i686.rpm      
 modcookie-9.10-45.g5ce7f15.i686.rpm               
 modsecurity2-2.5.12-630.gaabd4d0.rb2.i686.rpm     
 modurlhardening-9.10-43.gc5d31f8.i686.rpm         
 openssh-5.1p1-41.55.1.914.gcd8e721.rb1.i686.rpm   
 perf-tools-3.8.6-39.g8a65a05.i686.rpm             
 red-firmware2-2026-0.g6e286d0.noarch.rpm          
 rrdtool-1.4.7-1.g81b2a2b.rb1.i686.rpm             
 smartmontools-5.42-1.1.g200796c.rb1.i686.rpm      
 smartmontools64-5.42-1.1.g200796c.rb1.x86_64.rpm  
 udev-147-0.65.1.1050.gb2db9fc.i686.rpm            
 ulogd-2.1.0-47.gb6f30ae.i686.rpm                  
 wireless-firmware-ath9k-4027-1.gef81435.i586.rpm  
 wireless-firmware-rt2x00-3029-0.148411878.geb8d5b7.rb1.i586.rpm
 xorg-x11-7.4-9.47.1.800.g114f0fe.rb1.i686.rpm     
 xorg-x11-Xvnc-7.4-27.66.1.875.g77c280f.rb3.i686.rpm
 xorg-x11-libICE-7.4-1.15.49.gb65ae06.rb2.i686.rpm 
 xorg-x11-libSM-7.4-1.18.47.gb65ae06.rb2.i686.rpm  
 xorg-x11-libX11-7.4-5.9.1.722.g338214c.rb2.i686.rpm
 xorg-x11-libXau-7.4-1.15.45.gb65ae06.rb2.i686.rpm 
 xorg-x11-libXdmcp-7.4-1.15.43.gb65ae06.rb2.i686.rpm
 xorg-x11-libXext-7.4-1.16.21.484.g0c49caf.rb1.i686.rpm
 xorg-x11-libXfixes-7.4-1.14.41.gb65ae06.rb2.i686.rpm
 xorg-x11-libXmu-7.4-1.17.39.gb65ae06.rb2.i686.rpm 
 xorg-x11-libXp-7.4-1.14.38.gb65ae06.rb2.i686.rpm  
 xorg-x11-libXpm-7.4-1.17.37.gb65ae06.rb2.i686.rpm 
 xorg-x11-libXprintUtil-7.4-1.17.36.gb65ae06.rb2.i686.rpm
 xorg-x11-libXrender-7.4-1.14.35.gb65ae06.rb2.i686.rpm
 xorg-x11-libXt-7.4-1.17.34.gb65ae06.rb2.i686.rpm  
 xorg-x11-libXv-7.4-1.14.33.gb65ae06.rb2.i686.rpm  
 xorg-x11-libfontenc-7.4-1.15.50.gb65ae06.rb2.i686.rpm
 xorg-x11-libs-7.4-8.26.32.1.723.g338214c.rb2.i686.rpm
 xorg-x11-libxcb-7.4-1.20.34.485.g0c49caf.rb1.i686.rpm
 xorg-x11-libxkbfile-7.4-1.14.40.gb65ae06.rb2.i686.rpm
 xorg-x11-xauth-7.4-9.47.1.800.g114f0fe.rb1.i686.rpm
 ep-reporting-9.10-15.g26477ef.rb1.i686.rpm        
 ep-reporting-c-9.10-97.gf73271d.i686.rpm          
 ep-reporting-resources-9.10-15.g26477ef.rb1.i686.rpm
 ep-confd-9.10-216.g2a4de59.i686.rpm               
 ep-confd-tools-9.10-166.g57b8fee.rb2.i686.rpm     
 ep-confd-turksat-xml-rpc-proxy-9.10-3.gb15d411.rb2.i686.rpm
 ep-epsecd-9.10-43.ga942ccd.i686.rpm               
 ep-ha-9.10-2.g20f5384.rb1.i686.rpm                
 ep-ha-confd-9.10-5.gd319a90.rb1.i686.rpm          
 ep-ha-daemon-9.10-1.g1384cc9.i686.rpm             
 ep-hardware-9.10-0.g235b824.rb1.i686.rpm          
 ep-libs-9.10-11.g05854bd.rb1.i686.rpm             
 ep-localization-afg-9.10-63.g35c9a2c.rb1.i686.rpm 
 ep-localization-ang-9.10-63.g35c9a2c.rb1.i686.rpm 
 ep-localization-asg-9.10-63.g35c9a2c.rb1.i686.rpm 
 ep-localization-atg-9.10-63.g35c9a2c.rb1.i686.rpm 
 ep-localization-aug-9.10-63.g35c9a2c.rb1.i686.rpm 
 ep-logging-9.10-2.g4e26e17.rb2.i686.rpm           
 ep-mdw-9.10-150.gbb6b850.i686.rpm                 
 ep-notifier-9.10-7.ga3692ac.rb1.i686.rpm          
 ep-red-9.10-81.g9632739.i686.rpm                  
 ep-red-windows-driver-9.10-0.g6ddfd31.rb1.i686.rpm
 ep-red-windows-service-9.10-2.g5d6c534.rb1.i686.rpm
 ep-repctl-0.1-0.148996212.g69ce19a.i686.rpm       
 ep-screenmgr-9.10-0.gfa1fd0b.rb23.i686.rpm        
 ep-service-monitor-1.0-19.gece67ce.i686.rpm       
 ep-ulogd-9.10-1.gaa06d05.rb1.noarch.rpm           
 ep-urid-9.10-2.g23806c4.i686.rpm                  
 ep-webadmin-9.10-158.g2feaa13.i686.rpm            
 ep-webadmin-contentmanager-9.10-7.g9403139.rb1.i686.rpm
 ep-chroot-smtp-9.10-22.g1560209.rb1.i686.rpm      
 chroot-httpd-mod-fcgid-2.3.7-27.gd79bacd.i686.rpm 
 chroot-ipsec-9.10-4.g9c0ddf5.i686.rpm             
 chroot-openvpn-9.10-9.g2ba798f.i686.rpm           
 chroot-reverseproxy-2.4.4-94.g15e07d7.i686.rpm    
 dhcp-chroot-client-4.1.2_ESV_R8-2.ge83d069.i686.rpm
 dhcp-chroot-server-4.1.2_ESV_R8-2.ge83d069.i686.rpm
 ep-httpproxy-9.10-100.g44f0b71.i686.rpm           
 kernel-smp-3.8.6-39.g8a65a05.i686.rpm             
 kernel-smp64-3.8.6-39.g8a65a05.x86_64.rpm         
 ep-release-9.107-33.noarch.rpm
 
Hallo Gemeinde,

habe mir schon gedacht das ich sehr wahrscheinlich hier auch bald nach Antworten fragen werde. Meine Konfig ist eine Soft UTM 9.1 aktueller Stand auf Eigenbau HW. An der HW mangelt es nicht. Speicher und CPU Auslastung sind im grünen Bereich.

Ich habe ein DSL-Modem auf Bridge am WAN-Port der UTM für Wartungszwecke hat das Modem die IP 192.168.1.5.

Meine UTM hat 192.168.1.199 und macht DHCP von 192.168.1.11 - 192.168.1.150.
nts.
Auf der LAN Seite der UTM hängen 2 Switches und an der einen noch ein WLAN-AP(192.168.1.1) sowie diverse Windows und Androiden Clients(IP's via DHCP).

Die Konfig läuft soweit, allerdings habe ich das Problem das sobald ich IPS(Intusion Prevention) auf aktiv schalte, an sämtlichen Clients kein Internet Connection mehr habe. Beim Browser bleibt er bei Suche Host stehen. Im IPS selber habe ich schon alle Regeln deaktiviert, hilft aber nicht, im IPS Protokoll stehen keine Einträge.

IPS inaktiv läuft es soweit wie es soll.

Ich komm grad irgendwie nicht drauf wo das Problem liegt. Ursprünglich dachte ich es läge daran das ich ganz am Anfang das Modem auf ner anderen Netwzwerk-Adresse hatte(192.168.178.1) allerdings auch Bridge zur UTM. Rest gleich wie o. beschrieben.

Hatte dann heute morgen Modem auf o.g. IP umprogrammiert und hatte das Gefühl es ginge. Dann ganzes IP-Netz auf 192.168.167.0 umgebaut. Idee war IP 1-10 für UTM, Modem und WLAN-AP zu nehmen, dann DHCP von IP 11 bis IP 150 und darüber bis zu IP 254 für statische LAN-Cients. Dannach ging IPS wieder nichts mehr.

Bin nun wieder IP-Technisch zurück zur Konfig welche ich meinte es ginge, wie ich aber bereits vermutete geht es nicht. War wohl zu schnell nach dem Aktiv schalten der IPS zum Browser auf Aktualisieren. Für ein paar Sekunden geht's und dann scheint die IPS Aktiv zu sein und geht nichts mehr.

Jemand eine Idee?

Besten Dank und Grüsse
 
Na ja, so ne UTM ist für Home zwecke oversized, es seiden man hat Kinder, dann ist OK.
Intrusion Prevention wird in der DMZ Umgebung angewendet, alles andere führt zu Problemen.
 
Sonst siehst du im Livelog welcher Client Ärger macht. Diesen kannst du auch ausschließen. Machen weitere Clients Ärger, kannst du auch die ausschließen. Machst du aber die Ausnahmen die ich erwähnt habe, kannst du gleich IPS deaktivieren.
Hast du vielleicht irgendein Server, NAS oder Router im Netz?
 
Ja Kinder gibts hier auch... Im übrigen wollte ich damit VPN-Tunnel von extern Devices nach Hause implementieren, da ich öfters mal in Pub-WLANS unterwegs bin. Ev. auch noch meine Verbindung von hier zu Hause nach irgendwo Tunneln.

Intrusion Prevention wird in der DMZ Umgebung angewendet, alles andere führt zu Problemen.

Willst du mir damit sagen das die Firewall ausreicht sofern ich keine DMZ definiere?

Ich dachte drum bis anhin das die IPS zusätzlich zur FiWa laufen soll um sozusagen den Schutz zu erhöhen. Wenn dies allerdings nicht geht bzw. unnötig ist, dann lass ich dies halt weg.

Ich danke dir für eine weitere Antwort.

- - - Updated - - -

Wie gesagt es gibt keine LOG-Einträge bei IPS. Die Regeln sind zu Testzwecken alle deaktiviert(kann dementsprechend nicht an einer Regel liegen?), da ich mir dachte ev. ist da eine Regel wo Probleme macht. Mir scheint es mittlerweile als ob das alleinige aktivieren der IPS-Funktion(ohne irgendwelche Aktiven Regeln) irgendwie dazu führt das meine LAN-Clients nicht auf Internet DNS-Zugreifen können. Danke!
 
Was hast du unter DNS konfiguriert und wie sehen deine FireWall Regeln aus sowie Schnittstellen? mache bitte Screenshot.
Sinnvolle FW Regeln und NAT Regeln reichen völlig aus.

Ohne DMZ und Admin vor Ort mache ich IPS nicht an, da selbst perfekt konfiguriertes IPS nach nem Update die Umgebung lahm legen kann.
Auch blockt IPS gerne PopCon (holt emails ab und leitet an Exchange weiter), wenn die Email mit Virus verseucht ist. Somit bekommt der User auch andere Emails nicht.
In der Citrix Umgebung ähnlich.
 
Zuletzt bearbeitet:
Hallo Sandy,

anbei die Bilder, was ich soeben noch bemerkt habe ist das Anti-Portscan sich aktivieren lässt und auch weiterhin meine Clients Internetzugriff haben. Allerdings aktiviere ich IPS vom ersten Tab(Allgemein) geht nach wie vor nichts mehr. Hab nach wie vor das Gefühl das IPS meine Clients darin hindert DNS Anfragen auszuführen.

Ich danke dir für deine Zeit und freue mich von dir zu lesen...

Grüsse Dani

BTW: mir ist noch aufgefallen das unter LIZENZ: verwendete IP immernoch 0 von 50 steht, dies obwohl schon etliche Clients via DHCP und mit fest def. IP verbunden sind. Sollten da nun nicht eigentlich die IP drinstehen? Oder auf was bezieht sich die 50 IP welche ich mit der Home-Lizenz verwenden darf?

SchnSt1.jpgSchnSt2.jpgDNS_1.jpgDNS_2.jpgFiWa.jpgIPS_1.jpgIPS_2.jpg
 
Zuletzt bearbeitet:
mach einmal eine Firewall Regel mit

Source:Internal
Service: Any
Desitination: Any

Setze diese Regel an die unterste Stelle.

Gemacht, Regel eingeschaltet in FiWa, IPS eingeschaltet.

Browser auf, Statusmeldung Host auflösen... 30 Sec. dann Seite konnte nicht geladen werden, Neuladen? Ja geklickt, nochmal das gleiche... IPS wieder aus, Neuladen nochmals auf Ja, Webseite wird geladen...

Danke und Grüsse
 
Soweit fast alles OK.
Unter Schnittstellen wurde ich Haken für tägliche Wiedereinwahl setzen, damit die Providertrennung (Zwangstrennung) nicht tagsüber sondern irgendwann nachts erfolgt.

Die erste FW Regel DNS wurde ich löschen, da unter DNS schon internes Netz ausgewählt ist. Deine netzinterne Geräte fragen Sophos UTM nach DNS und gehen nicht raus über die Regel. Sophos selbst fragt den ISP nach DNS. Willst du DNS Abfragen beschleunigen, kannst du Anstelle von ISP unter DNS Tab Weiterleitungen eine Verfügbarkeitsgruppe mit 8.8.8.8 und 8.8.4.4 <- Google DNS erstellen, ist aber Geschmacksache. Haken bei Forwarders musst du aber dann rausnehmen, sonst nimmt er weiter ISP IP.

Auch um die UTM performant zuhalten, würde ich die FW Regeln anders anordnen.
Falls VoIP benutz wird, dann an erster Stelle. Web Surfing an zweiter, Email an dritter Stelle usw. Sachen (Dienste) die oft genutzt werden, müssen oben sein.

Warum hast du bei IPS unter Angriffsmuster die Häkchen entfernt?

Hast du WebProxy auch aktiviert?
 
Zuletzt bearbeitet:
Damit öffnest du aber die Tore und setzt die Firewall so gut wie ausser Kraft..
Temporär zum Testen OK, aber keinesfalls immer.

nicht ganz.

Ich öffne nur die Ports von innen nach ausen.

Auch um die UTM performant zuhalten, würde ich die FW Regeln anders anordnen.
Falls VoIP benutz wird, dann an erster Stelle. Web Surfing an zweiter, Email an dritter Stelle usw. Sachen (Dienste) die oft genutzt werden, müssen oben sein.

Es gibt bei der UTM wie auch bei vielen anderen FW first-match. Das hat mit der Geschwindigkeit gar nicht zu tun.
 
Zuletzt bearbeitet:
Hallo zusammen,

@layerbreaker:
  • ist klar, hab das nur kurz zum Test erstellt und war mir bewusst was es bedeutet. Hat eh nichts gebracht und deshalb auch gleich sofort die FiWa Regel deaktiviert. Aber danke trotzdem für die Info!

@Sandy:
  • Zwangstrennung gibts bei mir ned, deshalb vorerst mal aussen vor gelassen ;)
  • FiWa DNS-Regel deaktiviert, System läuft wie von dir beschrieben trotzdem.
  • Andere FiWa-Regeln hab ich neu geordnet und einige deaktiviert da mom. nicht benötigt werden.
  • DNS auf Google umstellen mach ich ned, da 1. meine DNS Anfragen via ISP mom. gut laufen, 2. google = usa = nsa = nein danke :) Aber den Tip werd ich mir mal merken.
  • Betreffend IPS-Angriffsmuster hab ich Schritt für Schritt deaktiviert da ich dachte ev. liegt mein IPS-Problem an den Regeln in den Angriffsmustern. Schlussendlich war alles deaktiviert aber Problem immer noch da. Werde dies mal so lassen bis IPS bei mir funktioniert und dann die Angriffsmuster wieder Schrittweise in Betrieb nehmen.
  • Falls du mit Webproxy die Webprotection > Webfilter meinst, dann ja das ist an. Ebenso die Application-Control.

Nun ist es aber nach wie vor so, wenn IPS auf Aktiv schalte Schluss mit Outgoing-Connections der Lan-Clients nach Internet ist. Das Problem betrifft den gesamten Traffic und nicht nur Webbrowsing, sobald IPS Aktiv ist komplett Feierabend mit Internet an allen Lan-Clients. Irgendeine Idee wo es noch eventuell dran liegen könnte?

Danke und Grüsse

- - - Updated - - -

@ Hugo
  • Ich seh dein Punkt allerdings wirst du den ganzen Reverse Connect Trojanern so schon Tür und Tor öffnen. Dementsprechend halte ich diese FiWa-Regel auch für eher Sicherheitskritisch im Dauerbetrieb.

Nachtrag:
WebProtection mal Testweise ausgeschaltet und IPS Aktiviert, Problem immer noch gleich vorhanden.

Google DNS Forwarder eingetragen und getestet, ohne IPS funktioniert alles, mit IPS Aktiv Problem immer noch gleich vorhanden....

Bin ja mal gespannt ob wir den Wagen noch zum fahren kriegen... ;)
 
Zuletzt bearbeitet:
Es gibt bei der UTM wie auch bei vielen anderen FW first-match. Das hat mit der Geschwindigkeit gar nicht zu tun.

Die Regeln werden von oben nach unten abgearbeitet. Wenn eine WebSurfig FW Regel auf Platz 10 ist und ich ja permanent den Dienst benutze, dann warum sollen erst die anderen 9 FW Regeln abgearbeitet werden?
Ich sehe da keinen Sinn und gehe immer so vor, die meist benutzte Dienste nach oben zu schieben. So wurde mir damals bei der Linux FW erklärt.
In SoHo Bereich macht es vielleicht nichts aus, aber in Enterprise denke schon.
 
  • Falls du mit Webproxy die Webprotection > Webfilter meinst, dann ja das ist an. Ebenso die Application-Control.

Wenn du Webprotection on hast, dann deaktiviere mal die Firewall-Regel Websurfing bzw.
wenn du den https-Verkehr nicht über Webfilter scannst, dann musst du in der Firewall den Port 443 https explizit frei geben.
für alle
Internal (Network) --- https;443 --- Any
oder einzelne Hosts
192.168.2.78 (Host) --- https;443 --- Internet IPv4

Bin ja mal gespannt ob wir den Wagen noch zum fahren kriegen... ;)
Klar - ist nur die Frage wann. :angel:

Hast du oben nicht geschrieben, dass im IPS-Log nichts kommt, eventl. blockt was anderes.
Schalt mal Webfilter und Applikation-Control ab, dann natürlich die Firewall-Regel Websurfing aktivieren und check dann mal, ob du rauskommst.
 
@Schludidi,
da du Webproxy an hast, ist auch die FW Regel WebSurfung nicht nötig, da der Verkehr den WebProxy passiert und nicht die FW Regel.
Fallst du beim Webproxy Häckchen SSL Verkehr scannen o.ä. nicht gesetzt hast, dann musst du eine HTTPS FW Regel erstellen:-)
 
Zuletzt bearbeitet:
Hast du oben nicht geschrieben, dass im IPS-Log nichts kommt, eventl. blockt was anderes.
Schalt mal Webfilter und Applikation-Control ab, dann natürlich die Firewall-Regel Websurfing aktivieren und check dann mal, ob du rauskommst.

Ja im IPS-Log ist kein Einziger Eintrag abgelegt, das Problem tritt nur auf wenn ich unter Network Protection > Intrusion Prevention > Allgemein den Schalter auf "ON" stelle. Ab diesem Zeitpunkt ist das Internet für alle LanClients an allen Diensten tot!!!

Mit dem Schalter auf IPS-Schalter "Off" funktioniert alles wunderbar...

Also mein ich liegts schon irgendwie am IPS, allerdings wohl nicht an den Angriffsmusterregeln(sind ja alle nicht Aktiv!!!) sondern irgendwo tiefer drin...

Den Test ohne Webprotection habe ich wie oben unter Nachtrag beschrieben bereits ohne Erfolg durchgeführt. Irgendwas ist hier "Crazy".

Danke für deine Ausführungen zum Webprotect, habe die FiWa-Regel mal deaktiviert und Https-Scanning in WebProt aktiviert. Diese Konfig funktioniert ohne IPS gut, mit IPS gleiches Problem...

Danke und Grüsse

- - - Updated - - -

Habe zum Test nun mal nur einen Host(einen einzigen Lan-Client-Rechner) unter Lokale Netzwerke bei IPS gesetzt. Ich hätte erwartet das nun beim Aktiv Schalten von IPS nur dieser Rechner betroffen ist. Dem ist aber nicht so! Es wird trotzdem beim Aktivschalten von IPS mein gesamtes LAN nach Internet abgewürgt... Arghhh

Wie hoch ist die Chance das ganze Theater ev. an einer HW-Komponente(Netzwerkkarte?) liegt oder einer zerschossenen Install(welche zwar ohne Fehlermeldung durchlief)? Oder das es an meiner Modembridge liegt? Oder seit ihr fest davon überzeugt das es ein Konfigurationsproblem der UTM ist? Komisch find ich halt nur das es nur Auftritt wenn man IPS einschaltet, der Rest geht ja bis jetzt alles Perfekt.

Thanks and Greets
 
Ja im IPS-Log ist kein Einziger Eintrag abgelegt, das Problem tritt nur auf wenn ich unter Network Protection > Intrusion Prevention > Allgemein den Schalter auf "ON" stelle. Ab diesem Zeitpunkt ist das Internet für alle LanClients an allen Diensten tot!!!

Mit dem Schalter auf IPS-Schalter "Off" funktioniert alles wunderbar...

Also mein ich liegts schon irgendwie am IPS, allerdings wohl nicht an den Angriffsmusterregeln(sind ja alle nicht Aktiv!!!) sondern irgendwo tiefer drin...

Den Test ohne Webprotection habe ich wie oben unter Nachtrag beschrieben bereits ohne Erfolg durchgeführt. Irgendwas ist hier "Crazy".

Deshalb mein Rat - schalte ab was geht und dann eins ums andere on. Wenns fehlerfrei läuft, dann unter Verwaltung ein Backup machen - mit kleiner Beschreibung.
So kannste immer Schritt für Schritt zurück gehen.

Danke für deine Ausführungen zum Webprotect, habe die FiWa-Regel mal deaktiviert und Https-Scanning in WebProt aktiviert.
Haste Transparentmodus? Ohne Authentifizierung?
Jetzt machst du eine neue RiesenBaustelle auf. Lass mal lieber https-scanning off. :hail:
Ein Neustart könnte sicherlich nicht schaden - auch wenn es auf OpenSuse basiert - kann ja mal ein Dienst klemmen.
 
Zuletzt bearbeitet:
Hast du UTM schon neu gestartet?
Ich denke nicht dass es an der NIC bzw. Modem liegt.
Hast du unter IPS Tab erweitert was eingetragen?
 
Tach zusammen,

also ich komm nicht weiter mit der IPS, Server Neustart brachte nichts. Hab alles deaktiviert bis auf FiWa, IPS AKtivieren immer noch das gleiche Problem. Hab auch alle Livelogs aufgemacht und während IPS Aktiv durchgesehen. Kann nichts erkennen was auf das Problem hinweisen könnte. IPS Log ist nach wie vor komplett Leer seit das System in Betrieb ist(2 Tage).

Hab ein Backup gemacht und werd nun das System Neuinstallieren, werde dabei mal die WAN und LAN Nic's vertauschen und dann nochmals sehen.

Anbei noch Screenshoot vom Prozesse, Routen, Lan-Verbindungen und Schnittstellen. Sind hier Aufälligkeiten/Probleme zu erkennen?

Besten Dank und Grüsse

BTW: Transparent-Modus ohne CA ist korrekt, Https Scanner wieder ausgeschaltet und in FiWa als Regel erstellt(Allow Https>Internet).
Unter IPS>Erweitert ist nicht eingetragen.
Prozesse_1.jpgProzesse_2.jpgRouten.jpgLanVerbindungen.jpgSchnittstellen.jpg
 
GELÖST: IPS Problem > keine Internetverbindung

Hallo Leute,

habe nun die Neuinstall gemacht und dabei die Netzwerkkarten beim installieren getauscht LAN<>WAN. Danach lief alles inkl. IPS wie gewünscht und das Problem war nicht mehr vorhanden.

Um den bisherigen Fehler mit der Internetverbindungs-Blockierung bei Aktivieren von IPS einzugrenzen, habe ich gleich nochmals neu installiert. Diesmal wieder mit der Netzwerkkarten Auswahl wie damals wo der Fehler auftrat. Nach dieser Install lief auch alles inkl. IPS wie gewünscht und das Problem war nicht mehr vorhanden.

Ich habe dann noch zur weiteren Eingrenzung das Backup der Konfig mit dem Problem eingespielt, auch hier ist nun kein Problem mehr vorhanden beim Aktivieren von IPS!!!

Aufgrund dessen muss ich wohl auf einen Installationsfehler abstellen, welcher dieses Problem ausgelöst hatte...

Es könnte sein das ich bei der Anfangsinstall bei der Installation unter Interner-Adresse das Optionale-Feld Gateway benutzt habe. Dies habe ich nun nicht mehr benutzt und leer gelassen. Ich glaube allerdings nicht das es daher kam, da ja das Backup der Konfig mit dem Problem nun auch funktioniert. Wollte dies aber Vollständigkeitshalber noch niederschreiben.

Ich möchte allen Beteiligten für die schnelle, konstruktive und kompetente Hilfestellung bestens Danken. Ich habe nebenbei einiges gelernt und werde dies bei der weiteren Konfig versuchen umzusetzen.

Sollten weitere Probleme/Fragen/Unklarheiten auftauchen oder ich einfach nur eine zweite Meinung benötigen, werde ich sicher wieder auf die Kompetenz hier zurückgreifen.

Dementsprechend noch einen schönen Tag und einen guten Start in die Arbeitswoche :)

Beste Grüsse
 
Schön dass du es wieder zum Laufen gebracht hast. :wink:

Astaro bzw jetzt Sophos UTM hat mich schon einige graue Haare erzeugt.
Stunden, nein Tage hat es mich schon gekostet, um was zum Laufen zu bringen. Das Sophos Board ist oft auch nicht hilfreich zumindest der deutsche Teil, im Englischen ist es etwas besser. Die Sophos Fachleute mögen die "Hobby-Admins" und Community-Leute nicht sehr - so meine Erfahrung.
So freut es mich sehr, dass @Sandy987 zeigt, dass es auch andere Fachleute gibt, welche bereit sind zu helfen und mehr als eine Antwort abgeben.

Für mich ist die UTM aber nach wie vor, die beste "Schutz-Appliance", die es gibt.
Richtig interessant wird es, wenn Firewall, WebProtection mit Webfilter-Profile und Applikation Control, zum Schutz der Kinder zum Einsatz kommt. :fresse2:
Hier mal ein paar Beispiele: andere Betriebssystem, Steam, Multiplayer, Teamspeaker, Torrents, Filesharing, Teamviewer, Apple, Smartphones, Tablets, Freunde der Kids.

Ein kleiner Tipp,
richte dir automatische Backups ein, welches dir auch per eMail die Daten auf deinen lokalen PC schickt.
Mach VOR jeder Änderung ein Backup, mach NACH jeder Änderung ein Backup und schreib in das Kommentarfeld was du geändert hast.
Wenn du WLAN brauchst, denk erst einmal über die Investition in einen oder mehrere AP10 nach. Die Dinger kosten zwar unverschämt viel - 155 € Stand: 09/13, lohnen sich aber wirklich und es ist der Hammer, was die alles können.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh