[Sammelthread] Sophos UTM-Sammelthread

Was wenn du das CA-Zertifikat manuell in den FF Zertifikatespeicher importierst?

IE nimmt den von Windows, genau wie Chrome


Gesendet von iPhone mit Tapatalk
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich bin gerade dabei, mal die Sophos UTM auszuprobieren und wäre für den ein oder anderen Schubser in die richtige Richtung dankbar.

Ich möchte zunächst einmal ein von der UTM "zusätzlich geschütztes" Netz hinter dem bisherigen Fritzbox-Netz aufbauen.

Zur Konfig: Die UTM läuft momentan virtuell auf einem ESXi-Host (6.5, hab Suse Enterprise 11 als Linux ausgewählt, jetzt meckert ESXi das sei nicht richtig... egal, läuft momentan).

Die UTM hat momentan 3 (virtuelle) NICs:

NIC 1. Internal: 192.168.50.1 (mit DHCP-Server)
NIC 2. External (WAN): Ethernet (wegen Fritze), Static IP
NIC 3. zurzeit unbenutzt (zukünftig 10Gbit-Netz, können wir erst einmal ausblenden)

Ich will nun in einem ersten Schritt zwei Dinge erreichen:

1. Kein Rechner hinter der UTM (also an NIC1) soll auf einen Rechner aus dem Fritzbox-Netz in irgendeiner Weise zugreifen können und umgekehrt. Vielleicht vergleichbar mit einem "Gast-Netz" oder einer DMZ?

2. Ich will einen VPN-Zugang mit/zur UTM einrichten, über den dann (ausschließlich) ein SSH-Zugriff auf einen speziellen Rechner im internen Netz (an NIC1) möglich ist (vermutlich auch mit einer Static IP, z.B. 192.168.50.2). Dieser Rechner soll dann aber auch normal ins Internet können, nur eben nicht ins Netz der Fritzbox. Bisher war ich ein großer Freund von OpenVPN, aber das gibt es ja offenbar in "Reinkultur" so nicht in der UTM. Was nutzt Ihr denn mit der UTM als VPN-Server-Dienst? L2TP over IPSEC?

Geht das Gewollte überhaupt? Weil jetzt aus Sicht der UTM ja das Internet über die Fritzbox (z.B. mit 192.168.178.1) läuft und die UTM selbst ja auch in dem Netz hockt, auf z.B. der 192.168.178.250, bin ich unsicher ob die UTM von Haus aus den Rest des 192.168.178.0/24er Netzes in beide Richtungen blockt?

Wie würdet Ihr die UTM für die Trennung der Netze konfigurieren (grobe Konzept-Vorschläge würden mir schon helfen)?

Danke vorab!
 
Zuletzt bearbeitet:
@besterino: der Traffic zwischen verschiedenen Netzen ist grundsätzlich nicht erlaubt, außer du legst entsprechende Regeln in der Sophos an. Was NAT angeht (z.B. der erwähnte Port 22), den kannst du durchreichen an dein internes Netz. Ich vermute jetzt mal das du NIC 1/2 vertauscht hast und das meinst was ich grad schreibe.

Wenn du Fragen hast ansonsten einfach her damit ;)
 
Jau, NICs hatte ich versehentlich vertauscht, ist korrigiert im Post oben.

Habe es mit etwas Frickelei jetzt auch mit DNAT hinbekommen, dass ich SSH über einen "Rogue-Port" extern (also z.B. 11122) auf den normalen 22er auf dem Rechner intern durchleite.

Interessante Erkenntnis am Rande: dafür musste ich ja zunächst auch den Port in der Fritzbox zur UTM durchleiten - die gibt die Verbindung aber komischerweise mit der externen IP und einem anderen hohen Port (33000+) als Source weiter und nicht - wie von mir erwartet von Port 11122 an 11122. Soll heißen, in der UTM sieht die Kontaktaufnahme genauso aus, wie an der Fritzbox (z.B. www.google.com:41900-->WAN-Adresse-UTM:11122).

Wenn ich die UTM für HTTP/HTTPS mit Any als Destination aufmache, kommt man für diese Dienste (natürlich) auch ins Fritzbox-Netz. Kann ich die mit einer Extra-Regel irgendwie für 192.168.178.0/24 "deny" auch noch sperren? Oder muss ich das Gateway und z.B die feste IP der UTM (.250 im Beispiel) davon ausnehmen?

In einem nächsten Schritt würde ich gerne das Durchleiten der SSH-Verbindung durch einen VPN-Zugang ersetzen. Welche VPN-Zugangsart sollte ich nehmen?
 
Zuletzt bearbeitet:
Jau, NICs hab ich versehentlich vertauscht, korrigiere ich später mal im Post oben.

Habe es mit etwas Frickelei jetzt auch mit DNAT hinbekommen, dass ich SSH über einen "Rogue-Port" extern (also z.B. 11122) auf den normalen 22er auf dem Rechner intern durchleite.

Interessante Erkenntnis am Rande: dafür musste ich ja zunächst auch den Port in der Fritzbox zur UTM durchleiten - die gibt die Verbindung aber komischerweise mit der externen IP und einem anderen hohen Port (33000+) als Source weiter und nicht - wie von mir erwartet von Port 11122 an 11122. Soll heißen, in der UTM sieht die Kontaktaufnahme genauso aus, wie an der Fritzbox (z.B. www.google.com:41900-->WAN-Adresse-UTM:11122).

Wenn ich die UTM für HTTP/HTTPS mit Any als Destination aufmache, kommt man für diese Dienste (natürlich) auch ins Fritzbox-Netz. Kann ich die mit einer Extra-Regel irgendwie für 192.168.178.0/24 "deny" auch noch sperren? Oder muss ich das Gateway und z.B die feste IP der UTM (.250 im Beispiel) davon ausnehmen?

In einem nächsten Schritt würde ich gerne das Durchleiten der SSH-Verbindung durch einen VPN-Zugang ersetzen. Welche VPN-Zugangsart sollte ich nehmen?

Mach doch eine mit
any-any-any Alow
und eine Regel mit einem Netz statt Host
Any-any-192.168.178.0 deny

Nimm ssh, is nix anderes wie OpenVPN
Und funktioniert. Der Client den du im userportal laden kannst is auch nur OpenVPN client


Gesendet von iPhone mit Tapatalk
 
Wenn ich die UTM für HTTP/HTTPS mit Any als Destination aufmache, kommt man für diese Dienste (natürlich) auch ins Fritzbox-Netz. Kann ich die mit einer Extra-Regel irgendwie für 192.168.178.0/24 "deny" auch noch sperren? Oder muss ich das Gateway und z.B die feste IP der UTM (.250 im Beispiel) davon ausnehmen?

Is dann immer ein bisschen schwierig...
Du kannst die Web Protection anschalten und den IP Range der Fritzbox rekategorisieren und damit auf untrustet reputation stellen.

Wird denn das FB-Netz wirklich benötigt?
Ich persönlich hätte dann ein 2. Netz hinter der Sophos aufgebaut und die FB nur noch für die I-Neteinwahl und VoIP genommen.

Das Verhalten der FB ist normal, da diese den eingehenden Traffic mit der Quelladresse maskiert.
 
Also ich habe jetzt mit etwas zittrigen Händen eine Firewall-Regel von Internal(Network 192.168.50.0/24)-->Any-->External(WAN)(Network, 192.168.178.0/24) auf DROP an Platz 2 (vor den "allow"-Regeln) gesetzt und das scheint genau das zu machen, was ich wollte. Wie du (G6_of_UNSATO) sagst, ein komplett separates Netz nur mit dem Unterschied, dass es ZUSÄTZLICH quasi neben dem FB-Netz laufen soll.

SMB, SSH, Napp-It usw. in meinem "Fritzbox-Netz" für besagte Kiste alles tot, aber der Rechner kommt noch über HTTP/HTTPS/SSH (als ausdrücklich freigegebene Dienste) raus ins Internet.

attachment.php
 

Anhänge

  • UTM_SSH_DMZ.jpg
    UTM_SSH_DMZ.jpg
    29,7 KB · Aufrufe: 336
Zuletzt bearbeitet:
besterino: niemals "any" als Ziel freigeben, außer du weisst was du tust ;) Aber das machen viele so (falsch). Gib als Ziel Internet IPv4/v6 an. Any würde ALLES bedeuten (alle Interfaces, VPNs etc)

liegt denn jetzt noch ein Problem vor?
 
Danke für den Hinweis. IPv4 müsste in der Tat eigentlich reichen.

Problem eigentlich nicht. Funktioniert ja alles bzw. "alles nicht" wie gewollt. ;) Das dürfte sich auch mit der Umstellung des Ziels von "any" auf IPv4 nicht ändern.

Bin nur noch unsicher, wie ich mittelfristig einen vernünftigen VPN-Zugang realisiere, insbesondere was denn ein vernünftiger (sicherer) Standard als Ausgangsbasis ist. Ich will eben nicht lauter Einzel-Löcher in die Firewall bohren, sondern eben nur eines für VPN und dann an das VPN entsprechende Berechtigungen hängen.

Momentan habe ich eben zwei Löcher in meiner Fritzbox in ihrer Funktion als primäre "Firewall": 1. Portforwarding zur UTM für den oben skizziert SSH-Zugang und 2. Portforwarding zu einem OpenVPN-Server, der mir das komplette Fritzbox-Netz erreichbar macht.

Ziel wäre eben, das heutige Fritzbox-Netz auch hinter die UTM zu hängen. Natürlich könnte ich auch einfach meinem heutigen OpenVPN-Server dahin umziehen und ein Loch zum OpenVPN-Server in die UTM bohren. Aber eigentlich würde ich meinen, dass ich diese Dienste doch besser zentral auf der UTM realisiere? Dann eben mit 2 VPNs mit unterschiedlichen Rechten/Netzen, also z.B. ein VPN für mich mit "Vollzugang" und ein zweites VPN für spezifische Einsatzzwecke, z.B. Admin-Zugang zu Kisten in einer DMZ - ist halt noch unausgegoren).
 
Wie läuft das eigentlich mit der Lizenz ab? Meine UTM Lizenz läuft jetzt nach 3 Jahren demnächst ab, kann ich dann einfach in meinen Account eine neue Lizenz erstellen? Muss ich vorher die alte löschen bzw. auslaufen lassen?
 
Alte löschen und neue erstellen - easy.
 
Ok, danke. War auch easy.
 
An diejenigen, die die UTM als VM unter ESXi laufen lassen: welches Gastsystem habt Ihr ausgewählt, damit ESXi nicht meckert?

Mit Suse 11 gibt's bei mir mit der UTM-VM (Release 9.501-5) folgende Meldung:
Das konfigurierte Gastbetriebssystem (SUSE Linux Enterprise 11 (64 Bit)) für diese virtuelle Maschine stimmt nicht mit dem aktuell ausgeführten Gast überein (Anderer Linux-Kernel 3.x oder höher (64 Bit)). Sie müssen das richtige Gastbetriebssystem angeben, um gastspezifische Optimierungen zu ermöglichen.
 
Zuletzt bearbeitet:
Mensch, ich will doch wissen, AUF was ich umstellen muss, damit die Meldung weg geht. :) Keine Ahnung, wohinter sich ein 3er Kernel oder höher verbirgt... Ubuntu?
 
Es gibt einen Eintrag, der so heißt: "Anderer Linux-Kernel 3.x oder höher (64 Bit)" oder "Anderes Linux Kernel 3.x oder höher (64 Bit)"
 
Hallo Leute,

ich habe ein massives Problem mit der Sophos UTM und Google Chrome. Bei mir ist der WebProxy (transparent) aktiviert, HTTPS Scanning deaktiviert, aber leider ist youtube extremst lahm, so als hätte man eine 500kbit/s Leitung. Im IE und FF funktioniert alles Bestens, da das Problem auf allen PCs mit Chrome, aber nicht am Handy (Chrome Browser) auftritt, tendiere ich ein Problem mit Chrome und der Sophos UTM. Selbst der Aufruf auf die Weboberfläche dauert ewig.

YT am gerooteten Android Device ist auch nicht zumutbar, glaub 140p oder so.

Die Internetverbindung an sich ist flott genug, ist eine 80/15er Leitung. Das Problem ist seit ca. 3 oder 4 Monaten und die UTM wurde seit 9.3 hochgepatched. Vielleicht habt ihr da eine Idee, selbst wenn man den WebProxy ausschaltet wirds nicht besser, Chrome wurde auch schon zurückgesetzt.
 
Was hast du denn für eine Hardware drunter? Mach mal die IPS aus. Wenns dann besser läuft schalte nach und nach die IPS wieder ein und schaue welche Punkt das ist


Gesendet von iPhone mit Tapatalk
 
Gerade getestet bei einem anderen PC, Chrome frisch installiert, YT Stream über HTML5 VPN Portal gestartet, läuft instant mit 720p und die CPU Auslastung liegt bei ca. 40% bei der UTM.
 
Hi,

nachdem ich einen ziemlich blöden Fehler mit meiner Sophos Installation in einer Hyper-V VM habe und sich aus der Sophos Community leider noch gar keiner gmeldet hat, dachte ich mir ich frage hier auch mal nach ;)

Kurz zum Setup:
1 VM mit Sophos UTM 9.501-5 auf Server 2016 Datacenter mit Hyper-V
Verbunden mit 2 virtuellen Netzwerkadapter desselben V-Switches.
Der V-Switch ist an eine physikalische Intel-Netzwerkkarte gebunden.
Mac-Adressen sind aktuell statisch (waren beim erstellen noch auf dynamisch)
LAN- und WAN-Interface sind im gleichen Netz und lassen sich atm beide anpingen.
Webinterface ist über beide erreichbar (Primär LAN)

Fehlerbild:
Starte ich die VM neu funktioniert kein Ping mehr und das Webinterface ist nicht erreichbar.

"Abhilfe"/ bisherige Versuche:
Unterschiedlich. Am Ende würde ich sagen ich tippe einfach solange blöd rum bis es wieder geht. Meistens hilft ein mehrmaliges Interfaces ein und ausschalten (ifconfig eth* down/up), kombiniert mit einem ändern und zurückändern der IP (ifconfig eth* ip netmask mask), oder MAC Adresse hin und her schieben (ip link set dev eth* address mac), oder route eintragen (route add default gateway gateway eth*).
Das ändern der MAC auf statisch hat nichts geändert -> Neustart -> Keine Verbindung
In der Sophos zusätzlich virtuelle MACs zu aktiveren hat auch nix geändert
Auch das Update über das Webinterface auf die neuste Version führt zum gleichen Fehlerbild...

Ich bin echt ratlos und für jede Hilfe dankbar :)

Gruß

Basti
 
Hat wer schon ne 9.5er WAF am laufen?
Ich hab soeben festgestellt, dass komischerweise die WAF beim URL hardening und aktiviertem Form-Authentication die Anmeldemaske selbst blockt... Und man bekommt es nicht so ohne weiteres weg. Sprich Ausnahmen schreiben ist nicht, weil greift nicht, es sei denn man arbeitet mit Wildcards, was unsinnigerweise aber eben dann ALLES erlaubt.

Jemand ne Idee wie das zu lösen ist? Ich hätte gern, wie bis 9.4 die Pfade festgebrannt auf die, welche erlaubt sein sollen. Das Form bis 9.4 lief weiterhin unabhängig der WAF-Firewall/Exceptionregeln, wenn die URL richtig war.
- Gehe ich also auf https://webmail.domain.tld redirectet mich die WAF auf https://webmail.domain.tld/xxxx_form?yyy irgendwas und zeigt das Form an. Nach der Anmeldung gehts wie gewohnt weiter.
- Gehe ich also auf https://webmail.domain.tld/abcdef kommt "no signatur found" weil dieser Pfad nicht erlaubt ist -> exakt so gewollt.
- Nun mit der 9.5er WAF geht "/xxxx_form?yyy" aber nicht mehr durchs URL hardening... Sprich ich sehe kein Form und nur die Meldung, no signatur found... Was ja theoretisch auch richtig ist, weil keine Ausnahme/Regel dafür existiert. Aber der soll doch nur das Form vorschalten!?
Bei Basic ohne Form gibts kein Problem, ist für mich bei ein paar Portalen aber keine Option...





@HunterMuc
wieso 2x NICs im selben Netz? Was soll das bringen (außer Ärger)?
Von wo aus wird versucht zuzugreifen? Da du von irgendwelchen Routen sprichst -> wenn du von außerhalb des Netzes kommst, könnte ein 2x NIC Konstrukt für Fehler sorgen, nämlich wenn die Datenpakete an der warscheinlich dann davor liegenden Firewall/am Router verworfen werden. (Hinpaket von der IP, Rückpaket zur anderen IP bspw.)
Zur Eingrenzung des Fehlers -> eine NIC ausschalten/deaktivieren. In der VM oder der UTM, egal, hauptsache aus und gucken ob es dann sauber tut (wovon ich ausgehe)
Ebenso sinnigerweise mal aus dem selben Subnet pingen...
 
Zuletzt bearbeitet:
Hat hier jemand mal UTM auf einem T400 Thinkpad ausprobiert? Ich hab hier eins erhalten wo der Bildschirm defekt ist, ansonsten läuft es.
Verbaut ist ein Intel Core 2 Duo P8400 / 2.26 GHz mit einem Mobile Intel GM45 Express Chipsatz, den RAM müsste ich natürlich aufrüsten da nur 2GB vorhanden und noch zusätzlich eine ExpressCard mit einem Gigabit Port.
 
Hat hier jemand mal UTM auf einem T400 Thinkpad ausprobiert? Ich hab hier eins erhalten wo der Bildschirm defekt ist, ansonsten läuft es.
Verbaut ist ein Intel Core 2 Duo P8400 / 2.26 GHz mit einem Mobile Intel GM45 Express Chipsatz, den RAM müsste ich natürlich aufrüsten da nur 2GB vorhanden und noch zusätzlich eine ExpressCard mit einem Gigabit Port.

Könnte gut funktionieren, Hardware reicht sicher (für die einfachen Funktionen) aus.

Nach Möglichkeit Intel NICs verwenden, Realtek funktioniert auch.

Btw, du könntest auch das BIOS modifizieren und dir eine WLAN Karte einbauen, die mit der Software zurecht kommt. Da du ja Antennen verbaut hast, wäre das doch eine gute Kombination. (google mal danach, Stichwort WLE200NX UTM)
 
Hat wer schon ne 9.5er WAF am laufen?
Ich hab soeben festgestellt, dass komischerweise die WAF beim URL hardening und aktiviertem Form-Authentication die Anmeldemaske selbst blockt... Und man bekommt es nicht so ohne weiteres weg. Sprich Ausnahmen schreiben ist nicht, weil greift nicht, es sei denn man arbeitet mit Wildcards, was unsinnigerweise aber eben dann ALLES erlaubt.

Jemand ne Idee wie das zu lösen ist? Ich hätte gern, wie bis 9.4 die Pfade festgebrannt auf die, welche erlaubt sein sollen. Das Form bis 9.4 lief weiterhin unabhängig der WAF-Firewall/Exceptionregeln, wenn die URL richtig war.
- Gehe ich also auf https://webmail.domain.tld redirectet mich die WAF auf https://webmail.domain.tld/xxxx_form?yyy irgendwas und zeigt das Form an. Nach der Anmeldung gehts wie gewohnt weiter.
- Gehe ich also auf https://webmail.domain.tld/abcdef kommt "no signatur found" weil dieser Pfad nicht erlaubt ist -> exakt so gewollt.
- Nun mit der 9.5er WAF geht "/xxxx_form?yyy" aber nicht mehr durchs URL hardening... Sprich ich sehe kein Form und nur die Meldung, no signatur found... Was ja theoretisch auch richtig ist, weil keine Ausnahme/Regel dafür existiert. Aber der soll doch nur das Form vorschalten!?
Bei Basic ohne Form gibts kein Problem, ist für mich bei ein paar Portalen aber keine Option...

Das ist ein Bug in der aktuellen Version. Du musst eine Exception bauen für den Pfad, der den Fehler wirft. Also in deinem Fall für https://webmail.domain.tld/xxxx_form. Da xxxx änder sicht nicht.
 
Derzeit über ein nettes Forumsmitglied eine APU2C4 mit Sophos UTM 9.5 "am Start" - VPN Durchsatz über RED Tunnel: 75/75Mbit. Macht einen Super Eindruck. 500/100Mbit/s Routing auch ohne Probleme. IPS nutze ich privat nicht.
3x Intel NIC, quad core AMD CPU, verbraucht so 6-8 Watt lt. Strommessgerät. PC Engines apu2c4 product file
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh