[Sammelthread] Sophos UTM-Sammelthread

Ok und du reichst das Internet auch per Exposed Host an Sophos weiter oder wie hast du es realisiert? Kannst du ein bischen detaillierter auf die Konfiguration eibgehen? Was hast du bei Sophos beim Wan Port eingestellt? Ist die Wan IP Adresse im gleichen IP-Bereich wie die IP von der F!B?

Konfig in der Fritzbox:
- Manuelle IP der Fritzbox: 172.21.42.42
- Sophos als Exposed Host eingetragen
- Telefon per RJ-Stecker angeschlossen
- alles andere nicht benötigte zum Stromsparen deaktiviert

Konfig in der UTM (WAN-Interface):
- Manuelle IP: 172.21.42.21
- Default GW IP der Fritzbox
- 1500er MTU

Die Sophos ist außerdem für DHCP, DNS und NTP zuständig. Die DNS Forwarders werden automatisch vom ISP zugewiesen, alternativ habe ich die entsprechenden IPs auch manuell konfiguriert.
Mein Router ist im AP-Modus so konfiguriert das DHCP etc. von der Sophos erledigt wird.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mit dem Exposed Host machst Du die Tore zu Deinem internen Netzwerk auf. Musst Du Dir überlegen, ob Du das wirklich gleich zu Beginn machen möchtest. Selbst, wenn Du Dich mit Firewalls etc. auskennst, die UTM aber noch nicht so kennst, wäre ich da vorsichtig.

Just my 2 cents

Aber ist es nicht so, dass default alles geblockt ist und man selber öffnen muss was man braucht? Von daher sehe ich da sicherheitstechnisch nicht so das Problem.


@r4zor man muss neben der sophos ip, default gw auch eine dns forward ip eingeben. Was hast du dort eingeben?
 
@Ironcurtain
Meinst du bei der Sophos im Abschnitt Network Services -> DNS?
Da ist bei mir die Checkbox gesetzt das der die DNS von meinem ISP nutzt. Alternativ habe ich die IPs auch manuell angegeben.
 
Kann auch die IP der FB rein, macht ja auch DNS und bekommt ihre wiederum vom ISP.

Alternativ z.b. die von Google:
8.8.8.8 + 8.8.4.4
 
@Ironcurtain86: FreeNAS, SophosUTM, 1xDebian läuft prima bei mir (hab ebenfalls 32GB RAM) und ist Luft nach oben. Ich nutze jedoch Proxmox statt ESXi. Am besten natürlich die NICs per PCIe Passthrough durchgeben. Bei mir hängt als Router eine HorizonBox von Unitymedia. Die NIC der Horizonbox hat eine statische IP (10.1.1.1/30) und die vSophosUTM hat die Gegenstelle bekommen (10.1.1.2/30). Intern wird dann in ein neues Netz verteilt (zB. 10.1.2.0/24). Fernsehen und Telefonie bleibt der HorizonBox überlassen.
 
Aber ist es nicht so, dass default alles geblockt ist und man selber öffnen muss was man braucht? Von daher sehe ich da sicherheitstechnisch nicht so das Problem.

Ich denke schon. Rookie Alarm ... gesundes "Halbwissen" :) ... Mein Ansatz ist, dass ich auch bei diesem Model und explizit notwendigen Freigaben nicht immer 100% weiss, was da gerade passiert und was nicht. Von daher, ist die F!B Firewall meine Versicherung. Und ich taste mich sukzessive mit gutem Gefühl heran.

Zur Zeit habe ich in der Sophos DNS Server, DHCP Server, VPN Server eingerichtet und meine LANs aufgeteilt (ich trenne Clients von Servern, die Trennung von LAN und WLAN steht noch aus). Jetzt probe ich zwischen den getrennten LAN Subnetzen mein Wissen und taste mich langsam voran. Und wenn dann mal wieder nichts mehr geht kommt die ANY to ANY Regel und die Familie kann erst mal normal weiter machen. Bis ich bei nächster Gelegenheit weiter mache :)
 
Zuletzt bearbeitet:
Mahlzeit!

Wie kann ich einen dynamischen Ad-Filter in die UTM einpflegen?

Aktuell habe ich die folgenden Kategorien geblockt.
Spyware/Werbesoftware
Geparkte Domäne
Bösartige Sites
Spam-URLs
Web-Anzeigen
Phishing

ich würde das aber gern noch weiterführen, ala' AdBlock-Browsererweiterung

Eine dynamische Liste gibt es ja unter Easylist, aber die hat das falsche Format für die UTM.

Manuell pflegen will ich nicht.

Gruß und schönen Freitag!

- - - Updated - - -

Willst du eine Website aufrufen unter https://domain.de:10443 musst du diese per Firewallregel ausgehen erlauben.

Oder machst es per WAF und automatischen Firewallregeln. Dann kannst jeden Port annehmen und intern an einen x-beliebigen weiterreichen.

Aber du hast recht, die UTM ist nur für private Zwecke!
 
nAbend,

kennt einer von euch n POP3/IMAP Sammeldient, der die Mails abruft und an das interne smtp-relay (UTM) weiterleitet?
Das ganze soll unter Linux laufen.

Also ala' fetchmail. Nur das soll ja zu unsicher sein, daher fällt es raus.
 
Gegenfrage: was soll damit bezweckt werden? Dass die E-Mails nach Spam und Viren geprüft werden? Das macht der POP3-Proxy genauso, der hat die selben Mechanismen wie der SMTP-Proxy...
 
ich habe "nur" eine dynamische IP. ausgehende Mails werden von der UTM per smarthost-relay an smtp.strato geschickt. das klappt auch soweit.
Bei strato selbst habe ich ein catchall Postfach erstellt. Durch die dynamische IP kann ich:
a: bei Strato keinen MX-Eintrag anlegen
b: ist meine IP immer wieder geblacklistet

Ich stell mir das wie folgt vor
ausgehend
interner Mail-Server -> UTM -> smtp.strato -> . . .

Eingehend
pop/imap.strato -> pop/imap-Sammeldienst -> UTM (Spam/Viren) -> interner Mailserver

Ich in der UTM nichts gefunden, wo ich die Mails direkt bei Strato abrufen kann
 
Naja, der POP/IMAP-Sammler, der auf einem internen Mailserver läuft, muss auch zwangsläufig durch die UTM, die E-Mails werden dort durch den POP3-Proxy gefiltert. Wenn der Sammler die nochmal durch die UTM schickt, ergibt das keinen weiteren Sicherheitsvorteil, da exakt die selben Mechanismen (Spam-/Virenschutz) erneut auf die schon gefilterten E-Mails angewendet werden. Das erhöht nur die Last auf der UTM.

Ergo: aktiviere den POP3-Proxy auf der UTM, installiere irgendeinen POP3-Sammler und der schickt das dann an den internen Mailserver.
 
ich habe "nur" eine dynamische IP. ausgehende Mails werden von der UTM per smarthost-relay an smtp.strato geschickt. das klappt auch soweit.
Bei strato selbst habe ich ein catchall Postfach erstellt. Durch die dynamische IP kann ich:
a: bei Strato keinen MX-Eintrag anlegen
b: ist meine IP immer wieder geblacklistet

Ich stell mir das wie folgt vor
ausgehend
interner Mail-Server -> UTM -> smtp.strato -> . . .

Eingehend
pop/imap.strato -> pop/imap-Sammeldienst -> UTM (Spam/Viren) -> interner Mailserver

Ich in der UTM nichts gefunden, wo ich die Mails direkt bei Strato abrufen kann

Hi
Also bei mir läuft das seit 2011 folgendermaßen .
Exchange 2010 (damals) via strato smart host wird versendet.
In den Einstellungen hab ich dyn dns aktiviert. Die Fritz Box sendet mit einer selbst gebauten Update URL immer die ip und ganz wichtig den mx eintrag an strato. Der Exchange empfängt dann Alles. Man muss natürlich den port an der Fritzbox aufmachen. Und beim Exchange den Empfangsconnector richtig konfigurieren .
Strato brauche ich nur für den mx die doamin und den smarthost.
Läuft sauber.

Mittlerweile habe ich einen Exchange 2013 und die sophos dazu, dort wird mein outbound email Traffic auch nochmals gesacannt.
Sprich im Exchange trägst du als smarthost die utm ein und in der utm deine E-Mail von strato. Und ab geht die Post :)

Wenn Interesse an der URL besteht meldet euch :)
 
Zuletzt bearbeitet:
Den MX aktualisiert man nicht, der zeigt auf einen festen Hostnamen.
 
Hi
Sag mir mal deinen Mailserver, ist das ein Exchange?

Also, die URL: "https://dyndns.strato.com/nic/update?system=dyndns&hostname=DANFU.de&myip=&mx=DANFU.de"
Den Mx aktualisiert man nicht
So wie der link aber oben steht funktioniert das seit 2011

Das wars schon, einfach in die fritte und ab gehts. Wichtig zum empfangen ist , das der MX gesetzt wird, und der Mailserver direkt abhorcht.
Zum senden trägst du in den Exchange die UTM als Smarthost ein , und in der UTM trägst du deinen Strato mail acc ein.
 

Anhänge

  • exsendconn.PNG
    exsendconn.PNG
    37,7 KB · Aufrufe: 100
  • ports.PNG
    ports.PNG
    48,2 KB · Aufrufe: 104
  • fritz update url.PNG
    fritz update url.PNG
    41,8 KB · Aufrufe: 117
  • domainmxstrato.PNG
    domainmxstrato.PNG
    17,9 KB · Aufrufe: 101
Zuletzt bearbeitet:
Das stimmt, aber wenn man DYNDNS aktiv hat , kann man die Anderen DNS einstellungen bei Strato nicht mehr machen(bei mir ist das jedenfalls ausgegraut) , deswegen muss der mx dann in der Update URL immer gesetzt werden, sonst steht keiner drin.
 
Kann man DynDNS nur für einen bestimmten Namen anschalten? Das wäre nämlich wesentlich sinnvoller, z.B. dyn.example.com für DynDNS zu nehmen und den MX fest auf dyn zu setzen. Gleich die ganze Domain dynamisch upzudaten, ist eigtl. schlechter Stil, eben aus dem Grund, dass man immer alle Records angeben muss beim Update. Wenn mal Records dazukommen, weil man z.B. SPF auf der Domain konfigurieren will, dann müsste man die ja alle im DynDNS-Client eintragen, was der völlig falsche Ort dafür ist.
 
Sag mir mal deinen Mailserver, ist das ein Exchange?.

Nein.

Also, die URL: "https://dyndns.strato.com/nic/update?system=dyndns&hostname=DANFU.de&myip=&mx=DANFU.de"
Den Mx aktualisiert man nicht

Also nur die Domain eintragen, und fertig


Zum senden trägst du in den Exchange die UTM als Smarthost ein , und in der UTM trägst du deinen Strato mail acc ein.

Das is klar, danke dir!

- - - Updated - - -

Kann man DynDNS nur für einen bestimmten Namen anschalten? Das wäre nämlich wesentlich sinnvoller, z.B. dyn.example.com für DynDNS zu nehmen und den MX fest auf dyn zu setzen. Gleich die ganze Domain dynamisch upzudaten, ist eigtl. schlechter Stil, eben aus dem Grund, dass man immer alle Records angeben muss beim Update. Wenn mal Records dazukommen, weil man z.B. SPF auf der Domain konfigurieren will, dann müsste man die ja alle im DynDNS-Client eintragen, was der völlig falsche Ort dafür ist.

Das Problem bei Strato ist, dass du DynDNS nutzen kannst, dann ist A und MX ausgegraut.
Erstellst du eine subdomain mail.domain.de -> und machst da DynDNS und verweist den A von Domain.de auf mail.domain.de klappt das zwar mit dem A-Record, aber Strato will für den MX eine IP haben und die ist nunmal dynamisch.
 
aber Strato will für den MX eine IP haben und die ist nunmal dynamisch.

Das ist falsch. Ein MX ist immer ein Name, keine Adresse. Kannst du mal die Stelle im Interface zeigen, wo man den Sachverhalt sieht? Das würde mich wundern, dass Strato da solchen Mist macht.
 
Nein.



Also nur die Domain eintragen, ohne Anmeldedaten.




Das is klar, danke dir!

- - - Updated - - -



Das Problem bei Strato ist, dass du DynDNS nutzen kannst, dann ist A und MX ausgegraut.
Erstellst du eine subdomain mail.domain.de -> und machst da DynDNS und verweist den A von Domain.de auf mail.domain.de klappt das zwar mit dem A-Record, aber Strato will für den MX eine IP haben und die ist nunmal dynamisch.

zu2. Nein, du musst unter sicherheit ein DYNDNS passwort vergeben.
Benutzername ist deine Domain
PW das PW VOM DYNDNS account, nicht das web oder masterpw!

zu4.
Deswegen meine Update Url.

bei fragen , schreibst halt einfach :) -bin aber nachher beim faschingsumzug :fresse2:
 
Das ist falsch. Ein MX ist immer ein Name, keine Adresse. Kannst du mal die Stelle im Interface zeigen, wo man den Sachverhalt sieht? Das würde mich wundern, dass Strato da solchen Mist macht.

Pardon, du hattest recht.
MX -> domain.de
A -> IP


Aber beides brauchst du halt damit Mail und WebServer funktionieren
 
Also wäre es kein Problem, einen A unterhalb der Domain anzulegen, der auf die dynamische Adresse zeigt und dann den MX der Domain auf den Namen vom A. Das wäre langfristig sauberer, falls man irgendwann noch mehr mit der Domain macht.
 
Schreib mir mal eine PN, oder mach ein neues thema auf. hat ja indirekt was mit der Sophos zu tun...
erklär mir aber deine konfig, dann schau ich schnell drüber
 
Die Sache mit Dyndns und MX bei Strato ist ganz einfach, sofern man nicht einen zu kleinen zu kleinen Tarif gebucht hat.
Einfach eine Subdomain wie dyd.meine-domain.de anlegen und diese per Dyndns updaten. Bei der eigendlichen Domäne trägt man dann die Subdomäne als MX ein.
 
Hat hier jemand Erfahrung mit GTA Online und Sophos UTM? Habe seit neuerdings Probleme.
Seit Sommer bis Winter 2016 lief der Onlinemodus gut und ohne Probleme (Zumindest nicht bis auf das übliche...). Jetzt habe ich gestern gespielt - 45min lief alles Einwandfrei. Danach fing es an, heute geht es weiter.
Ich fliege ständig aus Lobbys raus - 3-5min und dann bin ich alleine. Dachte zuerst, es liegt an meiner schärferen Country Blocking Regel, aber auch mit CB deaktiviert passiert es weiterhin. IPS, Web Protection, AntiPort Scan usw. ist alles aktiviert. Social Club Login i. O.

Ich vermute es liegt irgendwie an NAT - Aber selbst mit der alten Config ausm Backup kriege ich jetzt Probleme. Hat da wer Erfahrungen gemacht? Will erstmal ausschließen, dass es an der FW/Netzwerk liegt, bevor ich das Game neuinstalliere und ewig rumtuhe...

Nach Außen hin ist aus LAN erstmal alles erlaubt - Sollte doch somit eig. i. O. sein? :/ In den Logs sehe ich auch nichts besonderes, außer normalen Traffic und dann hört es auf, wenn ich alleine bin im Onlinemodus.


Und ja, ich habe es hier geposted, obwohl es erstmal nur um GTA geht ;)
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh