[Sammelthread] Sophos UTM-Sammelthread

Guten Morgen!
Nachdem ich nun einige Zeit mit pfSense verbracht habe, schaue ich mir Sophos UTM 9.4 an.
Das erste was mir negativ aufgefallen ist, dass per default SSH (wenn aktiviert) und der WebAdmin access auch auf der WAN IP zu erreichen sind!!
Gibt es da noch mehr solcher Fallstricke zu beachten beim Aufsetzen? Ich war/bin echt schockiert!

Noch eine Diskussionsfrage: WiFi machen bei mir eine Fritte (die macht auch VOIP) und ein Fritzrepeater. Sollte man WiFi in ein separates VLAN packen oder kann es sich ruhig mit dem LAN tummeln.. was meint ihr?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
KlimperHannes schrieb:
Guten Morgen!
Nachdem ich nun einige Zeit mit pfSense verbracht habe, schaue ich mir Sophos UTM 9.4 an.
Das erste was mir negativ aufgefallen ist, dass per default SSH (wenn aktiviert) und der WebAdmin access auch auf der WAN IP zu erreichen sind!!
Gibt es da noch mehr solcher Fallstricke zu beachten beim Aufsetzen? Ich war/bin echt schockiert!
Zum Vergrößern anklicken....

Das ist aber nur per Default, weil der Zugriff auf das WebAdmin auf Any steht. Ist für das erste Einrichten aber auch sinnvoll, denn im gegensatz zur pfsense hat man nach der Installation keine Shell wo man alles konfigurieren kann. Das läuft alles nur über das Webinterface. Dort kann man nach dem Einrichten des lokalen Interfaces aber mit 2 Klicks die zugelassenen Netzwerke auf das WebAdmin einstellen. Die Sophos arbeitet halt etwas anders als es die pfsense tut. :)

KlimperHannes schrieb:
Noch eine Diskussionsfrage: WiFi machen bei mir eine Fritte (die macht auch VOIP) und ein Fritzrepeater. Sollte man WiFi in ein separates VLAN packen oder kann es sich ruhig mit dem LAN tummeln.. was meint ihr?
Zum Vergrößern anklicken....

Also ich habe es bei mir auf ein seperates Interface mit eigenem IP-Adressraum gepackt. Geht natürlich nur wenn du einen seperaten Access Point oder ne zweite Fritzbox hast. Hatte halt noch eine 3370 rumliegen die jetzt nur WLAN macht. Meine 7360SL macht VOIP und übergibt das DSL an die Sophos per Expanded Host. Hat den Vorteil, das WLAN und LAN in getrennten Netzen ist und man den Zugriff explizit per Firewall Regeln steuern kann. So kann ich z.b vom LAN aus ohne weiteres auf einen WLAN Drucker zugreifen aber umgekehrt können Freunde z.b vom WLAN aus nicht in mein LAN. Gibt aber tausend Gründe warum man sowas trennen sollte.
 
Zuletzt bearbeitet:
Danke für die Aufklärung. Klar aus der Perspektive macht es natürlich schon Sinn. Nicht jede Firewall hängt ja auch immer an einem WAN...

Ja, da ein Vigor 130 die Einwahl macht, steht die Fritzbox hinter der Sophos. Das hatte ich noch vergessen zu erwähnen.
Daher wäre es möglich, via VLAN oder getrenntem Interface das WiFi zu realisieren. Ich werde da mal drüber schlafen...

Apropos Fritzbox hinter Sophos.
Habt ihr Tipps bezüglich VOIP mit der Telekom hinter der Firewall?
Ich habe VOIP in der Sophos aktiviert und als Server tel.t-online.de und stun.t-online.de angegeben.
Jetzt verstehe ich nicht ganz, ob ich noch ein NAT einrichten muss oder ob das so reicht. Über Stun sollte doch die Verbindung reverse hergestellt werden können und meine Fritzbox macht alle 30 Sekunden ein Keepalive?
Ich habe schon sehr viel gelesen über VOIP hinter Firewalls. Aber alle Anleitungen unterscheiden sich von einander.
Habt ihr Best-Practice Tipps für VOIP mit der Telekom?
Danke vorab!
 
Hallo zusammen,

ich habe günstig bei ebay eine Astaro UTM 110/120 V.4 geschossen. Leider kann man auf dieser nicht ohne weiteres die Home Lizenz einspielen.

Nun versuche ich mich an der Firewall als loginuser einzuloggen jedoch immer wieder mit dem Fehler, dass mein PW nicht stimmt.
Ich habe nun nach dieser Anleitung https://www.sophos.com/en-us/support/knowledgebase/115346.aspx? die PW zurückgesetzt bzw. geändert. Das Problem bleibt jedoch weiterhin bestehen. Es scheint mir, dass der loginuser sowie root-user nachdem man im Browser ein PW für den admin vergeben hat nicht mehr funktionieren. Ich komme somit mit keinem PW auf die Kiste.

Hat da einer von Euch auch mal solche Probleme gehabt?
 
Ma$ter schrieb:
Hallo zusammen,

ich habe günstig bei ebay eine Astaro UTM 110/120 V.4 geschossen. Leider kann man auf dieser nicht ohne weiteres die Home Lizenz einspielen.

Nun versuche ich mich an der Firewall als loginuser einzuloggen jedoch immer wieder mit dem Fehler, dass mein PW nicht stimmt.
Ich habe nun nach dieser Anleitung https://www.sophos.com/en-us/support/knowledgebase/115346.aspx? die PW zurückgesetzt bzw. geändert. Das Problem bleibt jedoch weiterhin bestehen. Es scheint mir, dass der loginuser sowie root-user nachdem man im Browser ein PW für den admin vergeben hat nicht mehr funktionieren. Ich komme somit mit keinem PW auf die Kiste.

Hat da einer von Euch auch mal solche Probleme gehabt?
Zum Vergrößern anklicken....

In den Systemeinstellungen über den Browser kann man die Passwörter für den Loginuser und Rootuser setzen und einstellen von wo aus sich per Loginuser und Root eingeloggt werden kann.
 
Für was gehen die alten ASGs/UTMs so weg? Und werden die auf Ebay angeboten oder wo?
 
Nach meinem Gefühl kann man sich für das Geld auch eine DIY-UTM mit Software-Appliance bauen.
 
Auf eBay.com habe ich aktuell ein Angebot für 2 asg220 v4 für zusammen 350 Dollar. Man müsste dann nochmal jeweils 30$ für 4gb RAM investieren.

Für 180 € bekommt man natürlich schon auch viel gebrauchte Hardware, mit mehr CPU power und potentiell weniger Stromverbrauch.

Man kann sich aber z.b. Auch einen neuen Hp g8 microserver holen und eine gebrauchte Intel/ Hp/ Dell 4 Port Karte reinstecken...

- - - Updated - - -

Für den Hausgebrauch reicht den meisten wohl eine 110/120.
Die dürfte man teils für 40-80 bekommen.
 
Zuletzt bearbeitet:
Ich habe versucht ein Voucher System einzurichten finde allerdings nichts wo ich Passwörter generieren kann. Kann mir vielleicht jemand verraten wo sich das befindet?
 
Die Voucher kannst du im UserPortal generieren sofern für den angemeldeten User freigeschalten wenn du das meinst.
 
Neues Problem, seit vorgestern Nacht.
Der HTTP Proxy läuft die meiste Zeit auf Volldampf. Habe am System nichts geändert, läuft eigentlich immer ruhig vor sich hin. Als Lösung habe ich versucht den http Prtoxy neu zu starten, hat nichts gebracht. Auch der komplstte Neustart hat nichts geholfen. Bin ratlos... Firmwareversion:9.400-9 Patternversion: 98934Letzte Prüfung:7 Minuten zuvor


 
[SoD]r4z0r schrieb:
Für was gehen die alten ASGs/UTMs so weg? Und werden die auf Ebay angeboten oder wo?
Zum Vergrößern anklicken....

Ich habe meine für 86 Euro inkl. Versand geschossen. Die V.4 unterscheidet sich zur V.5 nur im Ram, denn diese hat nur 1 GB drin. Für das Geld bekommt man keine DIY-Kiste finde ich.

@figo-deluxe

Ich komme nicht so weit um in den Einstellungen irgendetwas vornehmen zu können. Sobald ich die Home-Lizennz hochlade wird mir gesagt, dass diese mit dieser Hardware nicht kompatibel ist. Ich habe daher versucht das ASG Verzeichnis zu finden und zu löschen. Leider wird mir jedoch gesagt, dass dieses Verzeichnis garnicht da ist.

Nun habe ich den Sophos Support angeschrieben. Wenn die mir nicht helfen können, werde ich die Softwareversion auf der Kiste installieren müssen.
 
Zuletzt bearbeitet:
Hat eigentlich einer die UTM mal als Hyper-VM ausprobiert? Ich suche noch nach einer gescheiten "Fertig-Firewall" und wollte mein Glück entweder mit der UTM öde pfSense versuchen. Hab aber keine Ahnung, ob die die nötigen Treiber mitbringen.

Edir: Schon gut, UTM9 kann's.
 
Zuletzt bearbeitet:
Cool einer mit Erfahrung! :)

Gen1 oder Gen2?
 
Habe es nun hinbekommen. Die Sophos läuft nun. Habe die /etc/asg Datei gelöscht und nun läufts. :banana:
 
Was meinst du mit Gen1 oder Gen2?

Ich betrieb die UTM 9.3 ein paar Monate auf Server 2012 R2, installiert auf einem HP ML310e Gen8 ;). Das System ist bei mir aber nur zum basteln da - aktuell ziehe ich ESXi drauf.
 
Gibt doch bei Hyper-V unterschiedliche Generationen (Generation 1 - insbesondere BIOS; und Generation 2 - UEFI).
 
Ach das meinst du, sorry! Bastel schon länger an ESXi herum ;)
Ich habe Gen1-VMs genutzt, Gen2 funktionierte damals nicht. Bei mir war alles wild gemixt, die meisten Windows-VMs auf Gen2, einige Windows-VMs und alle Linux-Geräte auf Gen1.
 
ESXi ist schon was feines, vor allem weil quasi auch das letzte OS als Gast unterstützt wird, lässt sich aber m.W. nicht "für lau zu Hause" clustern. Außerdem will ich mal fürs Office diese MS VDI Geschichte ausprobieren - da drängt sich halt Hyper-V auf.

Probier ich mal bei Gelegenheit UTM.
 
Es gibt mitlerweile einige Linux VM´s die die GEN2 unterstützen (Ubuntu Debian) man muss lediglich den Secure Boot deaktivieren.
Die Sophos läuft aber nur auf GEN1, verwendet man GEN2 kann man nicht einmal die Installation starten.
Ich betreibe die UTM seit ca 2 Jahren ohne Probleme unter Hyper V.
Es gibt lediglich eine Fehlermeldung seitens Hyper V, die Integrationsdienste sollen aktualisiert werden....
Mir sind aufgrund dieser Meldung noch keine Probleme untergekommen. (Eine Lösung hierfür habe ich leider nicht :) )

Gruß Rocker
 
Macht es eig Sinn diese "alte" Hardware zu betreiben, zahlt mann dass nicht in Form von Energie wieder drauf?
bzw, kann man diese Kisten z.B. mit SSd´s usw nachrüsten?

Gruß Rocker
 
die alten Kisten machen nur Sinn zu Testzwecken. Sind immerhin 8x Gigabit on Board bei einer 220 z.B. - als 24/7 würde ich es nicht betreiben wenn es mehr als 80 Watt verbraucht.
 
Rocker schrieb:
Macht es eig Sinn diese "alte" Hardware zu betreiben, zahlt mann dass nicht in Form von Energie wieder drauf?
bzw, kann man diese Kisten z.B. mit SSd´s usw nachrüsten?

Gruß Rocker
Zum Vergrößern anklicken....

Das nachrüsten einer SSD ist möglich. Ich werde mich jetzt ersteinmal austoben, bevor ich an die Hardware Hand anlege. ;)
 
Ich frage mal hier in die Runde: Wer von euch verwendet einen Ubiquiti? Ich habe einen UAP-AC-PRO und bekomme auf dem MacBook nur dann 1300 Mbit/s, wenn ich in Deutschland nicht erlaubte Frequenzen benutze.
Das ist sehr ärgerlich. Ansonsten lässt sich der Ubi sehr charmant mit der UTM koppeln.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh