[Sammelthread] Sophos UTM-Sammelthread

VivianMeally schrieb:
@Meza100
Das ist recht easy.
Du musst ein vSwitch in esxi/hyperV erstellen zB mit dem namen "intern" für interne Kommukation.
Die Standard Netzwerk in esxi heisst "VM Network", diesen kannst du umbenennen (extern), oder auch so belassen.

Dann erstellst du eine Router VM mit 2 Netzwerkkarten, eine nic soll auf das Netzwerk "Intern" und eine andere nic auf das Netzwerk "extern" zeigen.
Dann installierst du Sophos ganz normal und im Wizard kannst du dann einstellen, welche nic für externe und welche für interne kommunikation benutzt werden soll. Auf interne nic kannst du dann dhcp, dns firewall usw einstellen.


Bei der Konfiguration der weitere VMs musst du in den nic einstellungen einfach "extern" eingeben.
Das wars. Falls du dhcp eingerichtet hast in der RouterVM (das macht sophos automatisch) hat die neue VM sofort internet zuganz.
Bei bedarf musst du halt noch NAT und Firewall einpassen, damit du von außen auf die neue vm per ssh, rdp, http usw zugreifen kannst.
Zum Vergrößern anklicken....

Cool, dass es sich recht einfach anhört! :d Ist auch gut zu wissen, dass es wirklich funktioniert. Was würde mir das nutzen, wenn ich mir einen Server kaufe, wenn die VM nicht den kompletten Server schützen kann. Welche Voraussetzungen hat UTM eigentlich? Welche werden "empfohlen"? Da ich nur eine leise Ahnung habe welche Komponente ich nehmen würde, würde ich erstmal die Voraussetzungen abhaken.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wieviel Watt braucht Eure UTM im Durchschnitt, und welche Hardware verwendet Ihr?

Ich rufe im Outlook meine Emails (GMX), über IMAP ab.

Kann ich die Email Protection hier aus verwenden?
 
Zuletzt bearbeitet:
Wenn ich das mit VMware Workstation mache, wäre es sinnvoller die nic direkt durchzureichen oder?
 
Lustig, was man so alles mit UTMs machen kann...

Ein Kunde von uns hat mehrere Außenstandorte, die per IPsec-Site-to-Site-VPN an die Zentrale angebunden sind. Nun ist die Verbindung zu einem Außenstandort langsam (Ping von den Zentrale Richtung Außenstandort 130 ms) und der Kunde hatte die Idee, das VPN über einen anderen Außenstandort zu routen, weil der ordentliche Ping-Zeiten sowohl zum langsamen Außenstandort als auch zur Zentrale hat (jeweils ca. 40 ms).

Gesagt, getan, vier neue VPN-Konfigurationen erstellt (die alten noch belassen, aber abgeschaltet, damit man immer zurück kann und die Verbindungen nicht kaputtkonfiguriert):
Zentrale: VPN zu Standort 1 mit entfernen Netzwerken Standort 1 + Standort 2
Standort 1: VPN zu Zentrale mit lokalen Netzwerken Standort 1 + Standort 2 sowie VPN zu Standort 2 mit lokalen Netzwerken Zentrale + Standort 1
Standort 2: VPN zu Standort 1 mit entfernen Netzwerken Standort 1 + Zentrale

Das funktioniert so ohne weitere Routen oder Firewall-Regeln, und der Ping von der Zentrale zum Standort 2 ist jetzt nicht mehr 130 ms, sondern nur noch 50... :fresse:
Mal sehen, ob die Bandbreite im Standort 1 reicht, da geht eigentlich nur RDP-Verkehr in die eine und Druckjobs in die andere Richtung...
 
Gibt es irgendwas zu beachten wenn man die UTM in eine VM unter ESXI installieren will?
Der Installer spuckt mir immer nach der Hardwareerkennung aus er würde keine Aplliance HW finden.
 
Ah. Ok. Ich hatte den Link aus der Mail genommen.
Welcher wäre denn korrekt?
 
Du musst die UTM v9 software appliance runterladen, warscheinlich hast du die UTM v9 hardware appliance installiert.
 
Hallo zusammen, super dass es dieses Forum gibt!

Ich beabsichtige einen Server mit Hyper-V und 2 VMs zu konfigurieren. In der einen VM läuft Server 2012 R2 Essential (WSE) als Home Server, in der anderen VM Sophos UTM.
Der Server hat 2 NICs, 1NIC für Sophos Richtung Internet, der andere für Sophos und WSE/Hyper-V Richtung Intranet.
Der WSE sollte als AD Server agieren, der Sophos als DHCP.

Dazu 2 Fragen:
- Gibt es einfache HOW-TOs für dieses Setup, also eine step-by-step Anleitung für Dummies
- Im Moment stehe ich an, die Benutzer Authentifizierung via AD über den WSE hinzubekommen, Fehlermeldung Error:Connection to ldaps://192.168.2.103:389 failed.

Besten Dank und Gruss
Carpoffel
 
Moin allerseits,

ich habe seit dem neuesten Update ein Problem das die CPU in regelmäßigen Abständen auf bis zu 50% ansteigt ohne Grund. Dieses verhalten tritt jede ca. 1,5-2h auf für ca. 10 min.
Einer ne Erklärung? :(
 
@Evil Master: Was ist für dich das neueste Update? 9.307 oder 9.211? Ansonsten müsste man bei dir mal ein atop laufen lassen damit man sieht welcher Prozess die CPU Last verursacht.
 
Ich hab ein sehr nerviges "Problem"-Verhalten mit IPSec Standort VPNs, evtl hat ja jemand eine Idee dazu:

RZ: Sophos UTM 9.307, Virtual Appliance unter KVM, 1GBit Uplink der Hardware, Intel Nic im Host, 2 externe IPs, WAN Uplink Balancing mit Pinning der IPSec Services auf eine externe IP. System hat 2 Cores und 2GB Ram.

Home: UBNT EdgeMax Lite HW Router, davor FritzBox mit Kabel Deutschland 100/16MBit Business Line, FB macht Full-NAT auf den EdgeMax

Auf beiden Geräten ist der IPSec identisch eingerichtet im Profil, er läuft auch stabil, beide internen Netze vom RZ sind korrekt erreichbar etc, nur mit der Bandbreite gibt es Probleme.
Im Upstream von Home nach RZ komme ich mit iPerf auf gute 12MBit mit einer TCP Session, also alles im Rahmen, CPU Last auf beiden Routern im grünen Bereich. Im Downstream komme ich mit einer Session auf ~8MBit, bei 25 Session ~18MBit, 100 Session ~24MBit, also absolut nicht im Rahmen der theoretischen 100MBit und auch kein Vergleich zum Upstream.

Leider fehlen mir aktuell andere Systeme mit entsprechenden Up- oder Downstream die mal anzubinden und damit gegen zu testen ob es evtl an KD liegt das diese IPSec im Down drosseln oder hat noch jemand eine andere Idee? IPS, IDS und co hab ich auch testweise mal alles komplett deaktiviert aber bringt auch keine Besserung.
 
Zuletzt bearbeitet:
Killer Chris schrieb:
Ich hab ein sehr nerviges "Problem"-Verhalten mit IPSec Standort VPNs, evtl hat ja jemand eine Idee dazu:

RZ: Sophos UTM 9.307, Virtual Appliance unter KVM, 1GBit Uplink der Hardware, Intel Nic im Host, 2 externe IPs, WAN Uplink Balancing mit Pinning der IPSec Services auf eine externe IP. System hat 2 Cores und 2GB Ram.

Home: UBNT EdgeMax Lite HW Router, davor FritzBox mit Kabel Deutschland 100/16MBit Business Line, FB macht Full-NAT auf den EdgeMax

Auf beiden Geräten ist der IPSec identisch eingerichtet im Profil, er läuft auch stabil, beide internen Netze vom RZ sind korrekt erreichbar etc, nur mit der Bandbreite gibt es Probleme.
Im Upstream von Home nach RZ komme ich mit iPerf auf gute 12MBit mit einer TCP Session, also alles im Rahmen, CPU Last auf beiden Routern im grünen Bereich. Im Downstream komme ich mit einer Session auf ~8MBit, bei 25 Session ~18MBit, 100 Session ~24MBit, also absolut nicht im Rahmen der theoretischen 100MBit und auch kein Vergleich zum Upstream.

Leider fehlen mir aktuell andere Systeme mit entsprechenden Up- oder Downstream die mal anzubinden und damit gegen zu testen ob es evtl an KD liegt das diese IPSec im Down drosseln oder hat noch jemand eine andere Idee? IPS, IDS und co hab ich auch testweise mal alles komplett deaktiviert aber bringt auch keine Besserung.
Zum Vergrößern anklicken....

Hast du mal mit iperf geprüft wie hoch der Speed ohne VPN ist? ich bekomme zwischen Hetzner + Kabeldeutschland (Proxmox (KVM)+UTM) und Microtik CCR1009 ca. 60mbit im Downstream über IPSEC, leider macht der Microtik kein UDP mit OpenVPN, mit UDP sollte noch deutlich mehr gehen, besonders wenn man TCP Verbindungen im VPN laufen lässt.
 
Hallo,

ich bin von der Barracuda SPAM Firewall gewohnt, in E-Mails reingehen zu können und diese ggf. manuell zuzustellen oder für die Zukunft als SPAM zu markieren.
Hierfür müsste dann jede Mail erstmal auf der HDD zwischengespeichert werden. Ist dieses mit der Sophos UTM nicht möglich?
 
Hab es noch nie gesehen. Aber da die UTM eigentlich fürs Geschäftsumfeld ist, glaube ich es eher weniger.
 
WebY schrieb:
Hallo,

ich bin von der Barracuda SPAM Firewall gewohnt, in E-Mails reingehen zu können und diese ggf. manuell zuzustellen oder für die Zukunft als SPAM zu markieren.
Hierfür müsste dann jede Mail erstmal auf der HDD zwischengespeichert werden. Ist dieses mit der Sophos UTM nicht möglich?
Zum Vergrößern anklicken....
Es gibt den Mail-Manager, wo die als Spam markierten Mails freigegeben und als "False Positive" eingestuft werden können. Bei Mails, die nachträglich als Spam eingestuft werden sollen, gibt es die Funktion meines Wissens nach nicht.
 
Eye-Q schrieb:
Es gibt den Mail-Manager, wo die als Spam markierten Mails freigegeben und als "False Positive" eingestuft werden können. Bei Mails, die nachträglich als Spam eingestuft werden sollen, gibt es die Funktion meines Wissens nach nicht.
Zum Vergrößern anklicken....

Ja mit dem arbeite ich auch. Schade bei der Barracuda geht jede Mail in den internen Log-Speicher und kann zu not nachträglich zugestellt und gewhitlisted werden.
 
Das, was Du beschreibst, kann die Sophos natürlich auch, dafür ist die SMTP- bzw. POP3-Quarantäne zuständig, wo man Mails, die fälschlicherweise als Spam markiert wurden, freigeben und ggf. als "False Positives" einstufen kann, so dass der Spamfilter dementsprechend lernt. Nur der andere Weg (also durchgekommene Mails als Spam markieren) geht nicht.
 
Ich hab ne Frage bzgl. der Home Version - diese ist auf 50 IPs limitiert - bezieht sich das auf 50 IPs gleichzeitig!? Oder kann ich da nur eine IP Range von z.B. 1-49 haben und alles drüber darf einfach nicht ins Netz?
 
Er zählt die IPs welche sich über die Sophos irgendwo hin verbinden, diese eingetragenen laufen auch irgendwann ab wenn sie nicht mehr kommunizieren.

Schaut dann so aus:

Unbenannt.PNG
 
Zuletzt bearbeitet:
In welchem Zeitraum die ablaufen weisst du aber nicht zufällig?
 
Hallo,

ich möchte mir gerne eine Multi Wan Lösung mit Sophos zuhause einrichten um mehrere Internetanschlüsse zu verwalten. Da ich gerne mal online Zocke und dabei immer wieder Probleme mit dem Ping haben wenn meine Eltern auch online sind möchte ich gerne wissen ob ich das über Load Balancing oder Qos realisieren kann und ob das auch für einen "Noob" machbar ist. Ich habe aktuell einen TP Link Dual Wan Router aber da komme ich nicht weiter, auch die Portfreischaltung für dieverse Spiele klappt nicht, auch beim Support nachgefragt und die können mir leider nicht weiter helfen. Bin ich da mit Sophos besser bedient?
Hardware zum teste hätte ich, nur bevor ich da etwas Anfange was ich nicht beenden kann frage ich mal lieber.

Bitte um kurze Info
 
gmbh07 schrieb:
Hallo,

ich möchte mir gerne eine Multi Wan Lösung mit Sophos zuhause einrichten um mehrere Internetanschlüsse zu verwalten. Da ich gerne mal online Zocke und dabei immer wieder Probleme mit dem Ping haben wenn meine Eltern auch online sind möchte ich gerne wissen ob ich das über Load Balancing oder Qos realisieren kann und ob das auch für einen "Noob" machbar ist. Ich habe aktuell einen TP Link Dual Wan Router aber da komme ich nicht weiter, auch die Portfreischaltung für dieverse Spiele klappt nicht, auch beim Support nachgefragt und die können mir leider nicht weiter helfen. Bin ich da mit Sophos besser bedient?
Hardware zum teste hätte ich, nur bevor ich da etwas Anfange was ich nicht beenden kann frage ich mal lieber.

Bitte um kurze Info
Zum Vergrößern anklicken....
Hallo,

stellt mit der UTM kein Problem dar, ist nur teilweise nicht ganz trivial in der Konfiguration.
 
Hallo,

danke erstmal für die Info, habe jetzt die Sophos auf einem alten Dell Poweredge 2900 installiert und läuft soweit im Testbetrieb. Der hat allerdings nur 2 Lan Ports. Die Einstellmöglichkeiten sind ja enorm, da raucht der Kopf jetzt schon :-)

Wäre ein Supermicro A1SAi-2550F für diesen Einsatz mit ca. 8GB Ram geeignet? Das hat 4 Lan Ports und müsste für meine Anwendung passen, 1x LTE u. 2x ADSL, und 1x Lan auf den Switch. Netzteil, Gehäuse u. SSD habe ich noch und somit müsste ich alles kompl. haben. Oder soll ich eine kompl. Einheit von Sophos kaufen?

Die Teile würden ca. 350€ kosten und da bin ich noch recht günstig denke ich, habe auch schon eine Fortigate zum Testen hier gehabt, diese kann sich aber nicht über PPPoA einwählen und kostet noch ein schönes Stück mehr, Draytek habe ich auch schon angefragt, ist aber von den Kosten her auch 800+, das ist mir dann doch schon etwas zuviel.

Wäre über noch ein paar Infos zur Hardware dankbar.

MfG
GmbH07
 
Geht es hier nur um Pings beim zocken?
Warum gibst du dann deinen Eltern nicht ein anderes Gateway als dir?
 
sicher ein Hauptgrund dafür, da ich aktuell nur über 5Mbit pro Leitung verfüge und ein Download bei Steam gleich mal 50GB hat kann ich in der aktuellen konfig. beide Leitungen zum download nutzen. Ich hatte vorher 2 Gateways, da konnte ich aber die zweite Leitung nie verwenden. Ein weiterer Grund dafür ist auch das ich den Router von A1 nicht benutzen möchte da das Port weiterleiten nur selten klappt und die immer wieder abstürzen wenn mehrere Geräte im DHCP laufen bzw. Online sind. Des weiteren sind trennt der A1 auch immer wieder die Verbindung bei deren Modems, und bei den anderen bekommst du keinen Support. Meine aktuelle konfig. sieht wie folgt aus:

2x Pirelli im SU Modus dahinter mein TP Link Dual Wan Router, dahinter mein Switch mit ca. 30 Endgeräte.

Deshalb sind immer wider Verbrauch im Netz die Upload u. Download benötigen und auch z.B. Amazon Prime u. Netflix genutzt werden, deshalb ein Zentraler Router der wenn Bandbreite frei ist diese verteilt. Das mit 2 oder mehr Gateways wird da nix weil man mit der Aufteilung nicht fertig wird.
 
Hast du dir die neuen Fitlets schon mal angeschaut? Die sollten für deine Zwecke eigentlich locker reichen und haben auf 4 LAN-Ports:

fitlet models specifications

4,5W TDP, passiv gekühlt, schön klein und nicht zu teuer
 
Anmelden, um zu antworten.

Ähnliche Themen

R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh