[Sammelthread] Sophos UTM-Sammelthread

Moin zusammen,

habe nen Problem mit dem Sophos VPN, vielleicht hat einer von euch einen Rat?
Umgebung: Fritzbox und dahinter meine Sophos. In der Fritzbox habe ich alles was in Richtung Firewall geht deaktiviert. An der Fritzbox hängt nur die Sophos mit ner statischen IP dran. In der Sophos ist das entsprechende Interface als WAN mit Default GW konfiguriert.
In der Sophos ist Remote Access mit SSL eingerichtet. Interface ist WAN, als override interface ist mein DynDNS Name eingegeben. In der Fritzbox ist auch mein DynDNS konfiguriert und das funktioniert auch.

Wenn ich jetzt versuche ne VPN-Verbindung aufzubauen kommt folgende Meldung im Logfile:
1.1.1.1:443 failed, will try again in 5 seconds: Das System hat versucht, einem Verzeichnis, das sich auf einem mit JOIN zugeordneten Laufwerk befindet, ein Laufwerk mit SUBST zuzuordnen.

Einer ne Idee wo das Problem liegt?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
[SoD]r4z0r: Hast du die IP Adresse der Sophos als exposed Host in der Fritzbox eingetragen? Ich würde nicht den port 443 verwenden, nimm lieber sowas wie 44443, die Fritzbox hat auch bestimmte Ports für sich reserviert, u.A. https (und somit 443). Wenn du das änderst, müsstest du die Config Datei nochmal neu übertragen.
 
Hast Du etwas passendes gefunden?

Zotac ZBOX nano CI323 für ~150?

Ich überlege gerade ob die Box etwas ist...Bin mir nicht sicher ob sie zu langsam ist für Sophos utm home

Chipsatz: System-on-Chip (SoC) • CPU: Intel Celeron N3150, 4x 1.60GHz, 2MB Cache, 6W TDP • RAM: 2x DDR3 SO-DIMM, dual
 
Dell T20 der gerade für 299 (abzlg. 80 € Cashback) im Angebot ist nehmen und dort eine 2 oder 4 Port Netzwerkkarte von Ebay rein. Soll wohl wenig Strom ziehen (10-20 Watt vermutlich) und ist unschlagbar im P/L Verhältnis.
 
@Opticum:
Habe in der Fritzbox nur das gemacht was ich beschrieben habe, sprich DynDNS eingerichtet und statische IPs.
Ist die Einstellung bzgl. dem Exposed Host in der Fritzbox selbsterklärend zu finden oder irgendwo gut versteckt?
 
@Opticum:
Würde sagen das hat geklappt, danke :) Habe die Sophos als Exposed Host eingetragen und seit dem läuft es, musste in der Sophos nichts ändern.
Fritzboxen find ich zwar sch* aber wenigstens gibts für jeden Driss nen How-To.

Edit sagt: Funktioniert per 443 übrigens perfekt. Allerdings hat die Fritzbox auch nichts auf 443 laufen.
 
Zuletzt bearbeitet:
[SoD]r4z0r: ich würde als "best practise" trotzdem empfehlen den Port zu ändern wenn du nur die eine IP und Anschluss hast.
 
Zuletzt bearbeitet:
Dell T20 der gerade für 299 (abzlg. 80 € Cashback) im Angebot ist nehmen und dort eine 2 oder 4 Port Netzwerkkarte von Ebay rein. Soll wohl wenig Strom ziehen (10-20 Watt vermutlich) und ist unschlagbar im P/L Verhältnis.

habe ich auch gesehen, halte ich allerdings als overkill und zudem will ich das Teil nicht im Wohnzimmer am Anschluss stehen haben (laut, groß, hässlich und somit nicht Frauenkompatibel!) Den T20 braucht man erst bei Glasfaser, die Zotac box reicht bis 100-200 mbit
 
habe ich auch gesehen, halte ich allerdings als overkill und zudem will ich das Teil nicht im Wohnzimmer am Anschluss stehen haben (laut, groß, hässlich und somit nicht Frauenkompatibel!) Den T20 braucht man erst bei Glasfaser, die Zotac box reicht bis 100-200 mbit

Was haltet ihr von den Qotom-Q190G4? 4x 2GHz, 4x Intel NIC's, klein und "Frauentauglich"
 
solange man eine Abstellkammer hat kann man den T20 gut hinstellen denke ich. Wohnzimmertauglich ist das natürlich nicht.

Falls noch jemand Hilfe braucht mit der Sophos UTM (Einrichtung, VPN usw) kann sich gern melden, hab Urlaub und Langeweile :)
 
Einen ähnlichen wie den qotom hatte icb mir auch mal überlegt. Aber mehr als max 150 sollte der net Kosten und bisher habe ich den nur teurer gesehen.
Aber als Firewall z.b. bestimmt fein
 
Naja zu dem Geratepreis kommt noch Versand EinfuhrUSt und Zoll Gebühren dazu, da bist schnell bei 200€


Gesendet vom iPhone mit Tapatalk
 
solange man eine Abstellkammer hat kann man den T20 gut hinstellen denke ich. Wohnzimmertauglich ist das natürlich nicht.

Falls noch jemand Hilfe braucht mit der Sophos UTM (Einrichtung, VPN usw) kann sich gern melden, hab Urlaub und Langeweile :)

Ich habe mal im Januar versucht, mir bei VULTR eine deutsche IP über RED zu basteln. Hat aber nicht funktioniert. Die Verbindung wurde nur auf einer Seite als aufgebaut erkannt.

Ich habe dann nicht weiter rumprobiert, auch weil ich Bedenken hatte, wie mit nur 1 Schnittstelle bei der VULTR VM sinnvol Firewall Regeln gebaut werden können....
 
du brauchst ja nur mehr als 1 Schnittstelle wenn du was filtern willst LOKAL - auf der Vultr Maschine brauchst du nur 1 Schnittstelle, der Rest ist ja Remote. Anleitung hatte ich dazu mal in meinem Blog gepostet, ansonsten hat sich niemand per PN gemeldet.
 
Hallo Leute,

ich habe aktuell einen Server 2012 R2 und 3 Windows 10 Pro Clients daheim stehen. (inkl. verschiedenste Sachen über Hyper-V)

Außerdem an Hardware vorhanden: Netgear GS116E-200PES Gigabit Web Managed (Plus) Switch (16-Port)

Jetzt habe ich auf allen Clients den Virenschutz von Sophos (Home) installiert.

Allerdings habe ich gesehen, dass es eine UTM-Lösung für Privat gibt. Dafür brauche ich ja zwingend einen eigenen PC oder?

Wie viele LAN Ports benötige ich hier?

[Ich habe noch einen Mini-PC rumliegen (relativ schwache Intel CPU on board, 4GB RAM und 128 GB SSD, jedoch nur einen LAN-Port). Kann man den dafür verwenden? Falls nicht bitte kurzen Tipp geben welche Hardware denn super wäre]

Vielen Dank schonmal ;)

Grüße

Axxl1994

EDIT_1:
ist das theoretisch nicht auch möglich das in Hyper-V zu installieren? bitte kurze vorgehensweise schildern, sofern möglich! Danke!
 
Zuletzt bearbeitet:
Hallo Leute,

ich habe aktuell einen Server 2012 R2 und 3 Windows 10 Pro Clients daheim stehen. (inkl. verschiedenste Sachen über Hyper-V)

Außerdem an Hardware vorhanden: Netgear GS116E-200PES Gigabit Web Managed (Plus) Switch (16-Port)

Jetzt habe ich auf allen Clients den Virenschutz von Sophos (Home) installiert.

Allerdings habe ich gesehen, dass es eine UTM-Lösung für Privat gibt. Dafür brauche ich ja zwingend einen eigenen PC oder?

Wie viele LAN Ports benötige ich hier?

[Ich habe noch einen Mini-PC rumliegen (relativ schwache Intel CPU on board, 4GB RAM und 128 GB SSD, jedoch nur einen LAN-Port). Kann man den dafür verwenden? Falls nicht bitte kurzen Tipp geben welche Hardware denn super wäre]

Vielen Dank schonmal ;)

Grüße

Axxl1994

EDIT_1:
ist das theoretisch nicht auch möglich das in Hyper-V zu installieren? bitte kurze vorgehensweise schildern, sofern möglich! Danke!

Geht nativ auf deiner übrigen kiste oder auch als VM. Wobei die sophos-vm dann vor den server-vm's booten sollte ;) du misst für die installation nur die software iso nehmen. Die home-lizenz für privat ist kostenlos und kann 50ips verwalten. Google einfach mal nach sophos utm home

Gesendet von unterwegs
 
Hallo zusammen,

ich habe auch eine Frage zum Thema Virtualisierung. Im Moment beschäftige ich mich gerade mit ESXi. Ich habe einen Dell T20 "übrig" und würde auf diesem gerne neben anderen VMs, wie einer für tvheadend, die Sophos UTM betreiben. Der Dell T20 verfügt über einen LAN Port, also habe ich mir noch eine Netzwerkkarte mit 4 Ports bestellt, um entsprechende Möglichkeiten mit der Sophos UTM zu haben (HP NC364T, steht auch in der Compatibility List von ESXi)

Meine Frage an euch: Macht es Sinn, die Netzwerkkarte direkt an die Sophos UTM über ESXi durchzureichen? Dies ist mir leider im ersten Anlauf nicht gelungen. TV Karte durchreichen geht ohne Probleme, aber wenn ich versuche, die Netzwerkkarte durchzureichen (PCI Passthrough aktivieren und dann in der VM zuweisen) kann ich die Karte nicht als PCI Gerät sehen. Sollte man diese durchreichen oder reicht es, wenn ich auf die physischen NICs virtuelle lege und diese dann der Sophos zuweise?

Viele Grüße
 
CaptainBlack: ich hatte meine 4 Port NIC eine Zeit lang durchgereicht und bin wieder zurück zu VMXNET3 und ohne Durchreichen. Man ist flexibler und so kannst du weiterhin Snapshots der Maschine machen.
 
ein netter Zeitgenosse hat sein Let's Encrypt Script veröffentlicht: Hier der Eintrag bei Sophos im Forum, hier der Link auf Github
Ich hab dem Programmierer direkt mal eine Pizza donated :) So kann man per Cronjob all seine Zertifikate über Lets Encrypt erneuern lassen. Deutsche Anleitung mit Screenshots folgt noch in meinem Tech Blog...

Sicherheitsbedenken gibt es hier eher nicht weil man nichts großartig ändert, an den Firewall Einstellungen nicht bastelt sondern nur die Zertifikate automatisiert abholt und austauscht.
 
Ich kriege das Packet Loss Problem einfach nicht gelöst....alles schon ausgetauscht. UTM statt Hardware nun virtuell aber auf Hop 1 (Internal NIC UTM) und Hop 2 (External NIC UTM) immer Packetloss.
Von Anti Portscan, App FW, IPS / IDS usw. habe ich schon alles deaktiviert. ICMP und Traceroute weiterleiten + Ping habe ich aktiviert bzw. erlaubt. Kabel und Switch sind alle ausgetauscht und die Netzwerkkarte ist auch gewechselt worden.

|------------------------------------------------------------------------------------------|

| WinMTR statistics |

| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |

|------------------------------------------------|------|------|------|------|------|------|

| 192.168.178.1 - 10 | 264 | 240 | 0 | 0 | 1 | 0 |

| domain.de - 10 | 264 | 240 | 0 | 0 | 13 | 0 |

| No response from host - 100 | 48 | 0 | 0 | 0 | 0 | 0 |

| 81.210.140.44 - 0 | 467 | 467 | 8 | 14 | 89 | 16 |

| 84.116.196.194 - 0 | 467 | 467 | 13 | 18 | 102 | 21 |

| 84.116.197.198 - 0 | 467 | 467 | 12 | 25 | 102 | 21 |

| de-fra01b-ri1-ae0-0.aorta.net - 0 | 467 | 467 | 12 | 19 | 89 | 23 |

| 213.46.177.54 - 0 | 467 | 467 | 13 | 19 | 62 | 28 |

| zielanbieter.net - 0 | 467 | 467 | 16 | 25 | 106 | 33 |

| zielserver.de - 0 | 467 | 467 | 16 | 22 | 86 | 19 |

|________________________________________________|______|______|______|______|______|______|

Kann ich noch etwas auf dem Gerät prüfen? Logs? Interface Errors keine vorhanden!
 
WebY: hast noch bisschen mehr Infos zu deinem Anschluss? Ist noch ein Router vor der Sophos? Hast du den Packetloss auch auf der Firewall selbst? (Über Shell)
 
WebY: hast noch bisschen mehr Infos zu deinem Anschluss? Ist noch ein Router vor der Sophos? Hast du den Packetloss auch auf der Firewall selbst? (Über Shell)

Ja eine Fritz!Box 6490 Cable die schon 4 mal ausgetauscht wurde. Über die Shell habe ich es noch nicht gemacht - Nur eth Errors gecheckt. Gibt es hier etwas vergleichbares zu MTR? Normaler Traceroute ist ja nicht so detailliert (?)
 
das wäre auch meine nächste Frage gewesen. Für Tips zu deinem Problem müsstest du schon mehr Infos liefern und das ganze ohne Sophos dazwischen ausprobieren.
 
Ich hatte statt der Sophos einen DD-WRT Router probiert. Auch das gleiche Problem. Laptop direkt am AVM Modem auch Probleme. Aber es ist trotzdem komisch, das der PL schon am Router und am Modem angezeigt wird.
 
Wenn das Problem bereits an der Fritzbox auftritt, bringt es doch wenig an der Sophos zu suchen.

Die FB 6490 ist ja auch ein vollwertiger Router und nicht nur ein Modem, das problem tritt aber auch auf wenn du per Kabel direkt daran hängst?
Mal ein anderes Endgerät getestet? Kabelnetzverteiler lt Betreiber okay? Störsignale auf dem Weg Verteiler --> FB? Netzwerkkabel getauscht? Treiber aktuell?

Klingt für mich fast so als wenn bei dir im Haus irgendwas massive Störungen verursacht, die sich auf den ganzen Verkehr (Intern und Extern) niederschlagen...

Wenn du am Switch hängst und die FB Ping'st gibt es dann auch Packet Loss?
Verbindung FB --> PC Direkt?
PC --> Switch --> PC?
 
Wenn das Problem bereits an der Fritzbox auftritt, bringt es doch wenig an der Sophos zu suchen.

Die FB 6490 ist ja auch ein vollwertiger Router und nicht nur ein Modem, das problem tritt aber auch auf wenn du per Kabel direkt daran hängst?
Mal ein anderes Endgerät getestet? Kabelnetzverteiler lt Betreiber okay? Störsignale auf dem Weg Verteiler --> FB? Netzwerkkabel getauscht? Treiber aktuell?

Klingt für mich fast so als wenn bei dir im Haus irgendwas massive Störungen verursacht, die sich auf den ganzen Verkehr (Intern und Extern) niederschlagen...

Wenn du am Switch hängst und die FB Ping'st gibt es dann auch Packet Loss?
Verbindung FB --> PC Direkt?
PC --> Switch --> PC?

Es gibt aber schon den PL ab der Sophos. Müsste es dann nicht erst am Interface Hop2 Modem auftauchen?

Die Fritz Box arbeitet nicht als Router wegen der statischen IP-Adresse! Daher kann ich nicht direkt am Switch testen.

Also die Fritz Box wurde schon mehrfach getauscht. Die komplette Kabelanlage wurde schon zwei mal rund erneuert. Wir gehen auch schon von Strahlungen im Keller aus. Kann ich das Kabel und die Box irgendwie abschirmen um eine eventuelle Verbesserung zu testen? Oder ich baue das Modem woanders auf und verlege ein Cat 7 Kabel in den Tresor Keller, weil Patchpanel und Server kann ich nicht einfach umziehen.
 
Zuletzt bearbeitet:
Zusätzlich abschirmen wird nicht einfach machbar außer du kannst die Sachen in einer Bleikiste unterbringen.

Wenn Modem wo anders aufbauen geht, würde ich das auch mal testen.

Funktioniert TV einwandfrei oder gibt es da auch Probleme / Artefakte?
Funktioniert das restliche interne Netzwerk einwandfrei oder gibt es da auch Probleme?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh