teqqy
Enthusiast
Die AP10 ist aber auf 150 MBPS beschränkt. Die AP30 mit 300 MBit ist da schon interessanter, kostet dann aber auch das doppelte. Sonst würde ich auch so eine Variante wählen.
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Hallo zusammen,
da ich von Firewalls gar keine Ahnung habe, soll man mir bitte vergeben.
Ich spiele eigentlich nur mit der Sophos bzw. IPFire rum, da ich mal darauf gestoßen bin und es prinzipiell interessant finde.
Der Gedanke so was produktiv einzusetzen fände ich ganz toll, jedoch schreckt mich meine Unkenntnis ab.
Habe nun mittels VirtualBox eine UTM aufgesetzt und auf den akt. Stand gebracht.
Diese VM hat zwei Netzwerkkarten, wobei LAN1 ein Host-only Adapter ist und LAN2 auf meine Ethernetschnittstelle des Rechners zeit.
Um im "gesicherten Netz" zu spielen habe ich ein Ubuntu aufgesetzt das auch auf den Host-only Adapter zeigt.
Meinem Grundgedanken nach, sollte ich ja jetzt mit der Ubuntu VM im Inet surfen können, da im Installwizard mein Router als DNS-Forwarder konfiguriert wurde.
Leider ist das nicht so. Erst duch das aktivieren einer Anfrageroute klappt dies.
Warum ist das so? Oder habe ich da einfach nur Müll bei der Konfiguration definiert?
Oder gehört eine UTM prinzipiell dann erst richtig eingestellt?
Das so was nachtürlich nicht out of the box funktioniert ist schon klar, aber zumindest in gewissen Grundzügen habe ich daran gedacht.
Danke
da ich von Firewalls gar keine Ahnung habe, soll man mir bitte vergeben.
Ich spiele eigentlich nur mit der Sophos bzw. IPFire rum, da ich mal darauf gestoßen bin und es prinzipiell interessant finde.
Der Gedanke so was produktiv einzusetzen fände ich ganz toll, jedoch schreckt mich meine Unkenntnis ab.
Habe nun mittels VirtualBox eine UTM aufgesetzt und auf den akt. Stand gebracht.
Diese VM hat zwei Netzwerkkarten, wobei LAN1 ein Host-only Adapter ist und LAN2 auf meine Ethernetschnittstelle des Rechners zeit.
Um im "gesicherten Netz" zu spielen habe ich ein Ubuntu aufgesetzt das auch auf den Host-only Adapter zeigt.
Meinem Grundgedanken nach, sollte ich ja jetzt mit der Ubuntu VM im Inet surfen können, da im Installwizard mein Router als DNS-Forwarder konfiguriert wurde.
Leider ist das nicht so. Erst duch das aktivieren einer Anfrageroute klappt dies.
Warum ist das so? Oder habe ich da einfach nur Müll bei der Konfiguration definiert?
Oder gehört eine UTM prinzipiell dann erst richtig eingestellt?
Das so was nachtürlich nicht out of the box funktioniert ist schon klar, aber zumindest in gewissen Grundzügen habe ich daran gedacht.
Danke
Aufbau von VLAN so möglich???
Hallo zusammen,
bevor ich nun Stundenlang rumprobiere und am Schluss ev. feststelle das es nicht geht Frage ich mal eure Kompetenz hier an.
Ich habe folgenden Aufbau im Kopf den ich gerne implementieren möchte:
Internet <> Modem <> UTM 9.1 <> Switch(VLAN-fähig):
Die Idee dahinter ist, ich möchte ein Guestnetzwerk welches keine Kommunikation zu meinem LAN sowie Privaten WiFi hat, also nur Internetzugang(Surfing).
Als zweites möchte ich für alle mir bekannten Clients im Privaten WiFi Kommunikation mit dem LAN zulassen und umgekehrt LAN <> Privat WiFi.
Alle unbekannten Host im Privaten WiFi möchte ich an der UTM an sämtlichen Zugang blockieren, falls das Private WiFi gehackt werden sollte! Diese Umsetzung denk ich lässt sich über Firewall lösen, indem ich jeden mir bekannten Private-WiFi-Host einzeln freischalte. Somit sind ja alle mir unbekannten Host im Private-WiFi blockiert.
Nun meine Fragen:
Ist so ein Aufbau an 3 VLANS mit der UTM 9.1 möglich(meine UTM hat nur 1 LAN Port, welcher auf die Switch geht! Alle anderen Devices(2 WLAN Router, diverse LAN-Clients hängen an der Switch)?
Ist es möglich über die UTM VLAN 1 und VLAN 2 Clients miteinander Kommunizieren zu lassen, wenn diese andere IP-Bereiche besitzen? Falls ja, Stichwortartig was ich dazu einrichten muss(Bridge, Adressmaskierung, oder etc.). Das ich mich einlesen kann.
Ich danke euch im voraus für eure Antworten.
Besten Dank und Grüsse
Hallo zusammen,
bevor ich nun Stundenlang rumprobiere und am Schluss ev. feststelle das es nicht geht Frage ich mal eure Kompetenz hier an.
Ich habe folgenden Aufbau im Kopf den ich gerne implementieren möchte:
Internet <> Modem <> UTM 9.1 <> Switch(VLAN-fähig):
- <> VLAN1 = Kabelgebunde Clients (192.168.167.xxx)
- <> VLAN2 = WLAN Router 1 (Mir bekannte Clients(192.168.100.xx))
- <> VLAN3 = WLAN Router 2 (Mir unbekannte Gast-Clients(192.168.200.xx))
Die Idee dahinter ist, ich möchte ein Guestnetzwerk welches keine Kommunikation zu meinem LAN sowie Privaten WiFi hat, also nur Internetzugang(Surfing).
Als zweites möchte ich für alle mir bekannten Clients im Privaten WiFi Kommunikation mit dem LAN zulassen und umgekehrt LAN <> Privat WiFi.
Alle unbekannten Host im Privaten WiFi möchte ich an der UTM an sämtlichen Zugang blockieren, falls das Private WiFi gehackt werden sollte! Diese Umsetzung denk ich lässt sich über Firewall lösen, indem ich jeden mir bekannten Private-WiFi-Host einzeln freischalte. Somit sind ja alle mir unbekannten Host im Private-WiFi blockiert.
Nun meine Fragen:
Ist so ein Aufbau an 3 VLANS mit der UTM 9.1 möglich(meine UTM hat nur 1 LAN Port, welcher auf die Switch geht! Alle anderen Devices(2 WLAN Router, diverse LAN-Clients hängen an der Switch)?
Ist es möglich über die UTM VLAN 1 und VLAN 2 Clients miteinander Kommunizieren zu lassen, wenn diese andere IP-Bereiche besitzen? Falls ja, Stichwortartig was ich dazu einrichten muss(Bridge, Adressmaskierung, oder etc.). Das ich mich einlesen kann.
Ich danke euch im voraus für eure Antworten.
Besten Dank und Grüsse
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Zum reinen Websurfen reicht IMHO aber die AP10 locker aus, da braucht man keine 300 Mbits.
Dann war es bei mir ganz klar eine finanzielle Überlegung, denn ich brauchte 3 von den Dingern, um Alles abzudecken - da war mir der Preis der AP30 dann in der Summe zu viel.
Meinen Beitrag #420 hast du aber schon gelesen?
Ich sag mal jetzt großspurig, ja es geht. Die Frage ist nur, mit welchen Glimmzügen du es so zum Laufen bringst, wie du es haben willst.
Als ich WLAN erstmalig bei uns im Netz einsetzen wollte, hatte ich es auch mit einem fremden WLANrouter probiert, bin aber an dem administrativen Aufwand verzweifelt. Leider lief es nie so, wie ich es mir vorgestellt hatte.
Bei den Sophos Teilen kannst du es bis auf den einzelnen Host runterbrechen, das gelang mir nicht bei dem Fremdprodukt, das dann ja auch noch VLAN beherrschen muss.
Mein Aufbau sieht inzwischen so aus:
4-Port Intel Karte
Internet1 ---- KabelInternet
Internet2 ----Modem --- Vodafone (fall-back)
Kabel1 --- internes Netz (192.168.5.x)
Kabel2 --- Kindernetz (192.168.6.x)
WLAN1 --- Zugriff auf 192.168.5.x, dafür kein WANzugang (gebridged), z.B. RemoteZugriff
WLAN2 --- WANzugang, keinen allgemeinen Zugriff auf internes Netz, nur von einzelne Hosts auf einzelnen Host, nur bestimmte Ports (172.16.29.x) z.B. per App TV fernsteuern
WLAN3 --- Hotspot (10.10.28.x)
Hotspot kann jeder rein, keine Verbindung zu unseren Netze - zum Surfen ja, aber auch um sich z.B. sein Windows Updaten zu lassen. Weitere Downloads, FileTransfers, nicht mal OwnCloud, ist gestattet und gewisse Webfilter-Kategorien sind auch nicht erlaubt. Hotspot ist von 10 Uhr bis 23 Uhr zugänglich.
Hallo zusammen,
@Layerbreaker: Ja ich hab dein Post Nr. 420 gelesen und verstanden
ich danke dir für deinen Beitrag. Allerdings kommen für mich Sophos APs momentan zumindest nicht in Frage. Da erstens zu Teuer und zweitens ich erst frisch mit der UTM arbeite und sozusagen in einer Testphase bin. Später ist es ev. eine Überlegung Wert solche Geräte anzuschaffen.
Nun zum aktuellen Punkt, ich danke dir einfach mal für dein grossspuriges Ja es geht
Mir ist klar das ich die Wireless-Protection nicht nutzen kann, da diese nur mit Sophos APs funktioniert. Auch ist mir klar das bei meiner Methode mit Fremdgeräten nicht die Sicherheit, sowie Flexibilität des WLAN-Managments über UTM vorhanden ist. Deshalb ich entsprechend mehr Admin.-Aufwand haben werde.
Nun aber möcht ich trotzdem 2 VLANs anlegen und darin jeweils einen Wireles-AP(nicht Sophos) integrieren, die IP Verteilung soll aber über einen jeweils eigenen UTM-DHCP Dienst passieren. Geht das so auch? Eines dieser VLAN soll Zugriff zu meinem LAN erhalten das andere nur zum Internet.
Könnt ihr mir in groben Zügen schildern wie ich dies Konfigurieren muss, ev. noch was dabei wichtig ist und wo Fehler auftreten könnten?
Besten Dank und Grüsse
@Layerbreaker: Ja ich hab dein Post Nr. 420 gelesen und verstanden
ich danke dir für deinen Beitrag. Allerdings kommen für mich Sophos APs momentan zumindest nicht in Frage. Da erstens zu Teuer und zweitens ich erst frisch mit der UTM arbeite und sozusagen in einer Testphase bin. Später ist es ev. eine Überlegung Wert solche Geräte anzuschaffen.Nun zum aktuellen Punkt, ich danke dir einfach mal für dein grossspuriges Ja es geht
Mir ist klar das ich die Wireless-Protection nicht nutzen kann, da diese nur mit Sophos APs funktioniert. Auch ist mir klar das bei meiner Methode mit Fremdgeräten nicht die Sicherheit, sowie Flexibilität des WLAN-Managments über UTM vorhanden ist. Deshalb ich entsprechend mehr Admin.-Aufwand haben werde.
Nun aber möcht ich trotzdem 2 VLANs anlegen und darin jeweils einen Wireles-AP(nicht Sophos) integrieren, die IP Verteilung soll aber über einen jeweils eigenen UTM-DHCP Dienst passieren. Geht das so auch? Eines dieser VLAN soll Zugriff zu meinem LAN erhalten das andere nur zum Internet.
Könnt ihr mir in groben Zügen schildern wie ich dies Konfigurieren muss, ev. noch was dabei wichtig ist und wo Fehler auftreten könnten?
Besten Dank und Grüsse
Hallo zusammen,
ich hab ein Problem mit meiner UTM 9.1.
Diese soll auf einem EXSI 5.1 HP Mircroserver zum Einsatz kommen, ich bekomme jedoch leider keine Verbindung zum Internet.
Als Modem läuft ein Allnet AS126AS2 im Switch Mode, Anbindung ist eine V-DSL2 50k Leitung von 1und1.
Als Netzwerkcontroller habe ich einen Intel PCI-E Gigabit Nic drin.
Ich hab mich für die SoftIso 9.1 entschieden, weil die Virtual Appliance kein Vlan Tagging zu unterstützen scheint (oder wenn zumindest irgendwo versteckt)
Ich hab das Modem mittlerweile soweit konfiguriert, dass eine PPPoE Einwahl von Windows aus problemlos von statten geht. (Am Modem scheints also nicht zu liegen!)
Aber aus Sophos will die PPPoE Einwahl ums verrecken nicht klappen.
Ich hoffe ihr könnt mir helfen, ich beiß hier so langsam echt in die Tischkante:
Hier das PPPoE Log:
Hier sind meine ESXI Einstellungen:
Das ist meine Sophos Einstellung:
ich hab ein Problem mit meiner UTM 9.1.
Diese soll auf einem EXSI 5.1 HP Mircroserver zum Einsatz kommen, ich bekomme jedoch leider keine Verbindung zum Internet.
Als Modem läuft ein Allnet AS126AS2 im Switch Mode, Anbindung ist eine V-DSL2 50k Leitung von 1und1.
Als Netzwerkcontroller habe ich einen Intel PCI-E Gigabit Nic drin.
Ich hab mich für die SoftIso 9.1 entschieden, weil die Virtual Appliance kein Vlan Tagging zu unterstützen scheint (oder wenn zumindest irgendwo versteckt)
Ich hab das Modem mittlerweile soweit konfiguriert, dass eine PPPoE Einwahl von Windows aus problemlos von statten geht. (Am Modem scheints also nicht zu liegen!)
Aber aus Sophos will die PPPoE Einwahl ums verrecken nicht klappen.
Ich hoffe ihr könnt mir helfen, ich beiß hier so langsam echt in die Tischkante:
Hier das PPPoE Log:
2014:01:08-02:43:18 XXXXX pppoe-sh: DSL connection time shorter then 60 seconds (35 sec): Error? - wait 5 seconds
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: Plugin rp-pppoe.so loaded.
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Timeout waiting for PADO packets
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Unable to complete PPPoE Discovery
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Exit.
2014:01:08-02:43:58 XXXXX pppoe-sh: DSL connection time shorter then 60 seconds (35 sec): Error? - wait 5 seconds
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: Plugin rp-pppoe.so loaded.
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Timeout waiting for PADO packets
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Unable to complete PPPoE Discovery
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Exit.
2014:01:08-02:44:38 XXXXX pppoe-sh: DSL connection time shorter then 60 seconds (35 sec): Error? - wait 5 seconds
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: Plugin rp-pppoe.so loaded.
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Timeout waiting for PADO packets
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Unable to complete PPPoE Discovery
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Exit.
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: Plugin rp-pppoe.so loaded.
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:23 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:28 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:43:38 XXXXX pppd-pppoe[6970]: [service-name] [host-uniq 3a 1b 00 00]
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Timeout waiting for PADO packets
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Unable to complete PPPoE Discovery
2014:01:08-02:43:58 XXXXX pppd-pppoe[6970]: Exit.
2014:01:08-02:43:58 XXXXX pppoe-sh: DSL connection time shorter then 60 seconds (35 sec): Error? - wait 5 seconds
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: Plugin rp-pppoe.so loaded.
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:03 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:08 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:18 XXXXX pppd-pppoe[6986]: [service-name] [host-uniq 4a 1b 00 00]
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Timeout waiting for PADO packets
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Unable to complete PPPoE Discovery
2014:01:08-02:44:38 XXXXX pppd-pppoe[6986]: Exit.
2014:01:08-02:44:38 XXXXX pppoe-sh: DSL connection time shorter then 60 seconds (35 sec): Error? - wait 5 seconds
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: Plugin rp-pppoe.so loaded.
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.6
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: pppd 2.4.6 started by root, uid 0
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:43 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:48 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: Send PPPOE Discovery V1T1 PADI session 0x0 length 12
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: dst ff:ff:ff:ff:ff:ff src 0:c:29:bd:9d:a9
2014:01:08-02:44:58 XXXXX pppd-pppoe[7003]: [service-name] [host-uniq 5b 1b 00 00]
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Timeout waiting for PADO packets
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Unable to complete PPPoE Discovery
2014:01:08-02:45:18 XXXXX pppd-pppoe[7003]: Exit.
Hier sind meine ESXI Einstellungen:
Das ist meine Sophos Einstellung:
Zuletzt bearbeitet:
Hätte ich gekonnt, soll aber nicht die komplette Leitung ausnutzen können.
Das Problem ist gelöst, für alle die Sophos in einer Exsi Umgebung betreiben und die gleichen Probleme haben:
1. Nicht die Virtual Appliance nehmen, sondern Sophos in einer VM installieren. Als Guest OS anderes 64 Bit OS auswählen und dann den Network Controller Type auf E1000E.
2. Beim Ethernet Controller V-DSL und Vlan Tagging NICHT aktivieren, ansonsten kommt keine Verbindung zustande.
3. Biem PPPOE Login die Anbieterkennung nicht vergessen (bei 1und1 also in folgendem Format: H1und1/ptxxxx-xxx@online.de)
Dann klappts auch mit dem PPPoE und Sophos.
Eine Frage stellt sich mir noch.
Ich habe diverse Ports eingehend geöffnet, unter anderem Port 80.
Warum kann ich aus dem lokalen Netzwork nicht auf meine Wan IP zugreifen, aber von einem anderen Anschluss klappts?
Ausgehend sind testhalber alle Verbindungen erlaubt.
Das Problem ist gelöst, für alle die Sophos in einer Exsi Umgebung betreiben und die gleichen Probleme haben:
1. Nicht die Virtual Appliance nehmen, sondern Sophos in einer VM installieren. Als Guest OS anderes 64 Bit OS auswählen und dann den Network Controller Type auf E1000E.
2. Beim Ethernet Controller V-DSL und Vlan Tagging NICHT aktivieren, ansonsten kommt keine Verbindung zustande.
3. Biem PPPOE Login die Anbieterkennung nicht vergessen (bei 1und1 also in folgendem Format: H1und1/ptxxxx-xxx@online.de)
Dann klappts auch mit dem PPPoE und Sophos.
Eine Frage stellt sich mir noch.
Ich habe diverse Ports eingehend geöffnet, unter anderem Port 80.
Warum kann ich aus dem lokalen Netzwork nicht auf meine Wan IP zugreifen, aber von einem anderen Anschluss klappts?
Ausgehend sind testhalber alle Verbindungen erlaubt.
Zuletzt bearbeitet:
D
daheym
Guest
Das halte ich für ein Gerücht
Entweder du stellst auf FullNAT um, oder du brauchst eine weitere NAT (Ausnahme-) Regel.
- - - Updated - - -
Gute Entscheidung, die Sophos APs können nichts - und das Lizenzmodell noch viel weniger.
Am besten holst du dir APs mit VLAN tagging und Multi-SSID. Dann kannst du jeweils eine SSID einem VLAN zuordnen. (schreib mir mal ne PN wenn du mehr als 2 benötigst)
Falls du APs ohne VLAN support hast, brauchst du einen Switch zwischendrin, der den Tag "auflöst" auf einen Accessport.
Hallo zusammen,
Ich stehe auf vor einem kleinen Problem...
Ich habe seit heute auch eine HP Microserver und darauf einem ESXi 5.5 am laufen. Darauf läuft aktuell die neuste Sophos Appliance. Habe im ESXi zwei Netzwerkkarten konfiguriert, eine die Lan ist für das interne Netzwerk (192.168.2.0/24) und die andere ist als Wan konfiguriert mit dem VLAN Tag 7.
Nun habe ich meine Telekom Speedport W724V so konfiguriert, dass man ihn auch als Modem nutzen kann.
Jetzt kommt jedoch mein Problem...ich schaffe es mit dem eth0, konfiguriert als External, eine Verbindung mit dem PPPoE aufzubauen. Als Verbindung ist ein Anschluss von der Telekom vorhanden, Entertain mit VDSL50.
Kann mir da vielleicht jemand helfen?
Danke imi voraus!
VG U3mi
Ich stehe auf vor einem kleinen Problem...
Ich habe seit heute auch eine HP Microserver und darauf einem ESXi 5.5 am laufen. Darauf läuft aktuell die neuste Sophos Appliance. Habe im ESXi zwei Netzwerkkarten konfiguriert, eine die Lan ist für das interne Netzwerk (192.168.2.0/24) und die andere ist als Wan konfiguriert mit dem VLAN Tag 7.
Nun habe ich meine Telekom Speedport W724V so konfiguriert, dass man ihn auch als Modem nutzen kann.
Jetzt kommt jedoch mein Problem...ich schaffe es mit dem eth0, konfiguriert als External, eine Verbindung mit dem PPPoE aufzubauen. Als Verbindung ist ein Anschluss von der Telekom vorhanden, Entertain mit VDSL50.
Kann mir da vielleicht jemand helfen?
Danke imi voraus!
VG U3mi
Das war bei mir am Ende die letzte Änderung, danach hats geklappt...
Frag mich nicht warum, but never change a running system
Was meinst du damit?
Ich habe einen Dnat der alle eingehenden Verbindungen (Source Any) and Wan mit Zielport 80 auf meinen Webserver Port 80 umleitet.
Ausgehend (local Network -> Any) sind alle Verbindungen zugelassen (soll nicht dauerhaft so bleiben, nur in der Testphase)
Ich seh den Fehler nicht, warum das nicht geht. Im Firewall log wird auch nichts geblockt.
Nochmal zusätzlich gleich die nächste Frage:
Hat hier schon jemand erfolgreich eine Fritzbox über IP Sec Site-to-Site an die Sophos gekoppelt?
Alle meine versuche bisher verlaufen sich im Sand.
Die Fritzbox bekommt die ganze Zeit einen IKE0X2027 (Zielhost nicht erreichbar) und ausgehend funktioniert auch nichts:
Eine generelle Frage vorweg: Ist es mittlerweile möglich die Fritte bei beidseitigem Dyndns zu verbinden?
Ansonsten kann ich mir die Versuche nämlich sparen und den Traffic gleich über unseren Root tunneln.
Hier mal die Configs, vielleicht findet ja war einen Fehler:
Fritte:
Hier die Astaro:
Die Astaro hat lokal 192.168.10.1
Die Fritte hat lokal 192.168.0.1
Hier die Astaro:
Die Astaro hat lokal 192.168.10.1
Die Fritte hat lokal 192.168.0.1
Zuletzt bearbeitet:
D
daheym
Guest
Ja so wie ich es geschrieben habe
Stelle es mal auf FullNAT um, neue Source deine interne Adresse. Dann siehst du auf deinem Webserver aber nur noch Pakete von der Firewall, was mir persönlich nicht so gut gefällt. Die alternative wäre daher eine DNAT-Regel davor zu erstellen: Source internal network, Destination external address, Service HTTP, change Destination to blaJa, diese Anleitung funktioniert: http://blog.andreseck.de/wp-content/uploads/2010/11/ASG_CFG.pdf
Ja
Besten Dank erstmal für die Links, endlich was zu lesen zu dem Thema
Alternative wäre daher eine DNAT-Regel davor zu erstellen: Source internal network, Destination external address, Service HTTP, change Destination to bla
Okay das habe ich verstanden, habe ich aus dem von dir genannten Grund garnicht in Betracht gezogen.
So habe ich es im Endeffekt auch gemacht, verstehe nur einfach nicht warum es nicht vorher schon lief.
Wenn alle ausgehenden Anfragen zu jeder IP und jeder Adresse erlaubt sind und eingehend am Wan Port 80 erfolgreich weitergeleitet wird (den Test hatte ich je gemacht), warum klappts dann aus dem internen Netz nicht?
Theoretisch dürfte sich eine Anfrage aus dem lokalen Netz an Wan ja exakt so verhalten wie eine Anfrage aus dem Web.
ädit: Also nach der von daheym veröffentlichten Anleitung funktioniert es bei mir auf jeden Fall nicht.
In der Fritzbox steht unter Freigabe->VPN->Adresse im Internet 255.255.255.255
Im Log der Fritte weiterhin Fehler 0x2027, als wenn die irgendwie nicht durchkommen würde.
Wenn wenigstens überhaupt irgendein Kontakt stattfinden würde, könnte ich ja hier das log posten aber im ipsec log steht nichts drin.
ädit: Ich hab in der Zwischenzeit alle Configs getestet, keine Chance... (Auch mit statischer IP)
Die Fritte hat ihren IKE Error und das wars, ich weiß nicht mehr was ich noch machen soll.
Alternative wäre daher eine DNAT-Regel davor zu erstellen: Source internal network, Destination external address, Service HTTP, change Destination to bla
Okay das habe ich verstanden, habe ich aus dem von dir genannten Grund garnicht in Betracht gezogen.
So habe ich es im Endeffekt auch gemacht, verstehe nur einfach nicht warum es nicht vorher schon lief.
Wenn alle ausgehenden Anfragen zu jeder IP und jeder Adresse erlaubt sind und eingehend am Wan Port 80 erfolgreich weitergeleitet wird (den Test hatte ich je gemacht), warum klappts dann aus dem internen Netz nicht?
Theoretisch dürfte sich eine Anfrage aus dem lokalen Netz an Wan ja exakt so verhalten wie eine Anfrage aus dem Web.
ädit: Also nach der von daheym veröffentlichten Anleitung funktioniert es bei mir auf jeden Fall nicht.
In der Fritzbox steht unter Freigabe->VPN->Adresse im Internet 255.255.255.255
Im Log der Fritte weiterhin Fehler 0x2027, als wenn die irgendwie nicht durchkommen würde.
Wenn wenigstens überhaupt irgendein Kontakt stattfinden würde, könnte ich ja hier das log posten aber im ipsec log steht nichts drin.
ädit: Ich hab in der Zwischenzeit alle Configs getestet, keine Chance... (Auch mit statischer IP)
Die Fritte hat ihren IKE Error und das wars, ich weiß nicht mehr was ich noch machen soll.
Zuletzt bearbeitet:
onlyReaver
Experte
- Mitglied seit
- 07.07.2013
- Beiträge
- 316
So, habe bis in die Nacht meine UTM eingerichtet, läuft nun fast alles perfekt. 
Die ganze Kiste läuft auf nem Mikroserver mit 4 GB Ram und der mitgelieferten 250 GB Platte, ESXi 5.5 und darauf dann die UTM als Appliance.
100 GB Speicher reichen bei mir angeblich für ca. 2400 Tage Protokolle.
Abgesehen davon dass POP3S von AOL nicht gescannt werden will, warum auch immer, und Java das auf einigen Seiten vorhanden ist nur langsam läd, ist alles perfekt.
Die ganze Kiste läuft auf nem Mikroserver mit 4 GB Ram und der mitgelieferten 250 GB Platte, ESXi 5.5 und darauf dann die UTM als Appliance.
100 GB Speicher reichen bei mir angeblich für ca. 2400 Tage Protokolle.
Abgesehen davon dass POP3S von AOL nicht gescannt werden will, warum auch immer, und Java das auf einigen Seiten vorhanden ist nur langsam läd, ist alles perfekt.
D
daheym
Guest
Wenn du willst kannst du mir Screenshots von deiner UTM Konfig schicken und dein VPN File, dann schau ich mal drüber.
- - - Updated - - -
Keiner eine Idee?
Du hast das VLAN7 wahrscheinlich auf deiner UTM konfiguriert oder?
Erstelle dir auch mal ein VLAN7-Adapter auf ESX-Basis (Anleitungen findest du über google) und häng dein externes Interface da rein. Theoretisch kannst du dann auf der UTM auch den VLAN-Tag wieder entfernen, da kannst du dann mal rumspielen
Zuletzt bearbeitet:
Hi danke für die schnelle Antwort!
Das Logfile zeigt genau das an, was es bei dir war. Habe die Zugangsdaten auch schon bereits aus dem Router gelöscht, nicht das eine Zweiteinwahl stattfindet.
Ich mache zuhause mal ein paar Screenshots, dann zeig ich dir das mal.
Was ich mir irgendwie einbilde ist, dass der Telekom Router es nicht schafft PPPoE durchzureichen...
VG U3mi
Das Logfile zeigt genau das an, was es bei dir war. Habe die Zugangsdaten auch schon bereits aus dem Router gelöscht, nicht das eine Zweiteinwahl stattfindet.
Ich mache zuhause mal ein paar Screenshots, dann zeig ich dir das mal.
Was ich mir irgendwie einbilde ist, dass der Telekom Router es nicht schafft PPPoE durchzureichen...
VG U3mi
Das kannst du ganz einfach testen.
Häng einen Windows Rechner hintendran und erstell eine Breitbandverbindung mit deinen Logindaten.
Von Windows aus hat es bei mir immer funktioniert.
Und wenn das mit den Einstellungen nicht klappt schmeiß die Virtual Appliance runter, erstell eine leere VM mit "anderem 64bit OS" und stell den Netzadapter auf E1000E (er wurde dadurch bei mir schon ganz anders angezeigt, eben als Intel Nic, vorher stand da einfach nur eth0 oder eth1)
Wenn du dann die Vm Config durchgehst und defintiv die richtigen Daten eingibst, musst du eigentlich nix mehr weiter einstellen.
Zumindest hats bei meinem Modem dann nach 12 Stunden so geklappt
Häng einen Windows Rechner hintendran und erstell eine Breitbandverbindung mit deinen Logindaten.
Von Windows aus hat es bei mir immer funktioniert.
Und wenn das mit den Einstellungen nicht klappt schmeiß die Virtual Appliance runter, erstell eine leere VM mit "anderem 64bit OS" und stell den Netzadapter auf E1000E (er wurde dadurch bei mir schon ganz anders angezeigt, eben als Intel Nic, vorher stand da einfach nur eth0 oder eth1)
Wenn du dann die Vm Config durchgehst und defintiv die richtigen Daten eingibst, musst du eigentlich nix mehr weiter einstellen.
Zumindest hats bei meinem Modem dann nach 12 Stunden so geklappt
Zuletzt bearbeitet:
Hi,
ich werde das mal versuchen. Als ich das damals mit meinem Rechner, Windows 7 und 8 versucht hatte, bekam ich immer einen Fehler 651. Ich schau mal was ich da noch machen kann.
VG U3mi
Danke aber für deine Tipps, melde mich heute Abend wieder!
ich werde das mal versuchen. Als ich das damals mit meinem Rechner, Windows 7 und 8 versucht hatte, bekam ich immer einen Fehler 651. Ich schau mal was ich da noch machen kann.
VG U3mi
Danke aber für deine Tipps, melde mich heute Abend wieder!
So mein erstes Problem mit dem VPN ist gelöst, Fritzbox 1 verbindet sich jetzt wunderbar.
Der Fehler war der, dass no-ip.com entweder von Sophos nicht unterstützt wird, oder generell nur ein dyndns Host verwendet werden darf, der von Sophos selbst registriert wird.
Mit FreeDNS läufts jetzt jedenfalls einwandfrei.
Nun wollte ich die zweite hinzufügen und siehe da, die nächste Fehlermeldung: (Preshared Key conflicts with ....)
Hier die Configs:
Die keys sind definitiv unterschiedlich (64 Stellen Zufallsziffern)
Der Fehler war der, dass no-ip.com entweder von Sophos nicht unterstützt wird, oder generell nur ein dyndns Host verwendet werden darf, der von Sophos selbst registriert wird.
Mit FreeDNS läufts jetzt jedenfalls einwandfrei.
Nun wollte ich die zweite hinzufügen und siehe da, die nächste Fehlermeldung: (Preshared Key conflicts with ....)
Hier die Configs:
Die keys sind definitiv unterschiedlich (64 Stellen Zufallsziffern)
Zuletzt bearbeitet:
Danke für die Info, ich habe es ebenfalls mit no-ip.com probiert. Dann werde ich ebenfalls mal einen anderen Anbieter testen.
Edit:
Nach welcher Beispiel vpncfg hast du das eingerichtet?
Zuletzt bearbeitet:
Hi,
cooler thread. Bin auch seit gut drei Jahren UTM user.
Warum man allerdings eine braucht wenn man Kinder hat, kapier ich nicht so ganz.... Es sei denn man ist ein Sympathisant von (weltfremder) Webzensur ^^. Meine Kinder (9 und 11) sind aber (ganz die Eltern) so nerdig, dass sie eine Sperre auch durchaus zu umgehen wüssten, daher fangen wir so einen Zensur-Käs erst garnicht an sondern.
Frage zur Hardware:
Hatte mir damals ein Dual Atom N550 ITX Setup mit 4GB RAM und SSD gebaut und mich relativ schnell darüber geärgert, dass die Performance für IPS z.B. bei Weitem nicht ausreicht. Das Webinterface zeigt im Dashboard nie die richtige Auslastung an, kurzer Blick mit SSH und siehe da: IPS an und die CPU Last ist bei viel traffic direkt auf 100% obwohl Dashboard 40% anzeigt --> pfusch! Über 20Mbit/s komme ich dann mit meiner 100Mbit/s Leitung nicht.
Bin die Tage auf UTM 9.1 (von 8.311) umgestiegen und erwähne auch die Hardware mal upzugraden. Auch hier ist die Dashboard-Lastanzeige weiterhin verbuggt.
Aussagen wie ich sie hier im thread lese
==============================================================================
==============================================================================
Da ich auf absehbare Zeit nicht mehr brauche, reichen mir eigentlich zwei NICs. Ich dachte jetzt an ein Celeron ITX board, sowas:
Zotac NM70-ITX (NM70ITX-C-E) | Dualcore Celeron 1007U 1,5GHz
Oder doch ein ITX board mit nem kleinen i3 drauf --> gleich doppelt so teuer.
Zielgrößen sind:
Danke
cooler thread. Bin auch seit gut drei Jahren UTM user.
dem kann ich aber so garnicht zustimmen, alles eine Frage des Einsatzes (iPhone VPN on demand) und ob's denn ein Hobby ist.
Warum man allerdings eine braucht wenn man Kinder hat, kapier ich nicht so ganz.... Es sei denn man ist ein Sympathisant von (weltfremder) Webzensur ^^. Meine Kinder (9 und 11) sind aber (ganz die Eltern) so nerdig, dass sie eine Sperre auch durchaus zu umgehen wüssten, daher fangen wir so einen Zensur-Käs erst garnicht an sondern.
Frage zur Hardware:
Hatte mir damals ein Dual Atom N550 ITX Setup mit 4GB RAM und SSD gebaut und mich relativ schnell darüber geärgert, dass die Performance für IPS z.B. bei Weitem nicht ausreicht. Das Webinterface zeigt im Dashboard nie die richtige Auslastung an, kurzer Blick mit SSH und siehe da: IPS an und die CPU Last ist bei viel traffic direkt auf 100% obwohl Dashboard 40% anzeigt --> pfusch! Über 20Mbit/s komme ich dann mit meiner 100Mbit/s Leitung nicht.
Bin die Tage auf UTM 9.1 (von 8.311) umgestiegen und erwähne auch die Hardware mal upzugraden. Auch hier ist die Dashboard-Lastanzeige weiterhin verbuggt.
Aussagen wie ich sie hier im thread lese
können also eigentlich nicht zutreffen. (Diese Antwort stand irgendwo auf Seite 12 oder so auf die Anfrage hin: IPS bei 75Mbit/s down).
==============================================================================
==============================================================================
Da ich auf absehbare Zeit nicht mehr brauche, reichen mir eigentlich zwei NICs. Ich dachte jetzt an ein Celeron ITX board, sowas:
Zotac NM70-ITX (NM70ITX-C-E) | Dualcore Celeron 1007U 1,5GHz
Oder doch ein ITX board mit nem kleinen i3 drauf --> gleich doppelt so teuer.
Zielgrößen sind:
- Ausreichend Performance für 100Mbit/s down, 10 up
- IPS
- VPN (IPSEC und SSL)
- AV / Endpoint protection (keine Ahnung/Erfahrung, was das an power braucht)
- geringer Stromverbrauch
- möglichst silent
- günstig = nicht overpowered
Danke
Zuletzt bearbeitet:
Naja sofern Sophos als erstes Gerät im Netz hängt und ausgehend außer die benutzten Ports nix erlaubt ist wird das schon schwierig.
Da hätte ich mit 11 so meine Probleme gehabt
Bezüglich Hardware, wirf doch mal einen Blick auf den HP Microserver N54l.
Die Leistungs reicht dicke aus und für 200 Euro (inkl. 2ter Intel Gbit NIC) hast du noch jede Menge Reserven für andere Anwendungen bei moderatem Stromverbrauch.
So ein ähnliches Board hatte ich mir auch rausgesucht: Gigabyte GA-C1037UN Preisvergleich | Geizhals Deutschland
Wäre für mich aber auch geschätzt.
Die Leistung der UTM220 ist aber auch nicht größer, da werkelt auch ein Celeron DualCore mit 1,5GHz rum.
Von daher denke ich das man damit eigentlich ganz gut bedient ist. So viele User hat man zuhause ja nun auch nicht.
Wäre für mich aber auch geschätzt.
Die Leistung der UTM220 ist aber auch nicht größer, da werkelt auch ein Celeron DualCore mit 1,5GHz rum.
Von daher denke ich das man damit eigentlich ganz gut bedient ist. So viele User hat man zuhause ja nun auch nicht.
D
daheym
Guest
Die 220 rev4 und rev5 hat einen Celeron E1500 mit 2,2GHz