[Sammelthread] Sophos UTM-Sammelthread

Würde es den für IPS reichen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Als Info: Falls ihr den Proxy mit AD SSO verwendet und auf die 9.502-4 updatet dann müsst ihr die Firewall aus dem AD rausnehmen und neu joinen damit die Authentifizierung wieder funktioniert.
Hatte deswegen grad ein Ticket offen bei Sophos.
 
@HunterMuc
wieso 2x NICs im selben Netz? Was soll das bringen (außer Ärger)?
Von wo aus wird versucht zuzugreifen? Da du von irgendwelchen Routen sprichst -> wenn du von außerhalb des Netzes kommst, könnte ein 2x NIC Konstrukt für Fehler sorgen, nämlich wenn die Datenpakete an der warscheinlich dann davor liegenden Firewall/am Router verworfen werden. (Hinpaket von der IP, Rückpaket zur anderen IP bspw.)
Zur Eingrenzung des Fehlers -> eine NIC ausschalten/deaktivieren. In der VM oder der UTM, egal, hauptsache aus und gucken ob es dann sauber tut (wovon ich ausgehe)
Ebenso sinnigerweise mal aus dem selben Subnet pingen...

Sorry für die späte Antwort

Die Sophos soll aktuell nur als Mailgateway dienen. Firewall, DHCP, DNS und co macht ein anderer Router.
Nic ausschalten/ entfernen bringt nichts..
Auf dem Hyper-V Host funktioniert Ping dann auch nicht (gleichs Subnet)
 
Das ist ein Bug in der aktuellen Version. Du musst eine Exception bauen für den Pfad, der den Fehler wirft. Also in deinem Fall für https://webmail.domain.tld/xxxx_form. Da xxxx änder sicht nicht.

Das Problem ist, genau das geht nicht... Also er interessiert sich für die Ausnahme einfach nicht -> die greift nicht...
Sobald ich aber mit einer Wildcard arbeite, also bspw. "https://webmail.domain.tld/*xxxx_form" gehts wiederum. Oder eben "https://webmail.domain.tld/xxxx*". Ist es fix auf den kompletten Pfad (ob mit oder ohne den Teil hinter dem Fragezeichen, egal, macht keinen Unterschied), greift es nicht...

Die Sophos soll aktuell nur als Mailgateway dienen. Firewall, DHCP, DNS und co macht ein anderer Router.
Nic ausschalten/ entfernen bringt nichts..
Auf dem Hyper-V Host funktioniert Ping dann auch nicht (gleichs Subnet)

Dann ist irgendwas anderes faul und du solltest dich in erster Linie damit beschäftigen. (ich gehe davon aus, dass die UTM auf Ping generell antwortet!!)
Denn die Basics müssen erstmal laufen... Aber das scheint schon nicht zu gehen. Möglicherweise ein ARP Problem? Oder der Hyper-V macht zicken Netzwerkseitig??

Als Info: Falls ihr den Proxy mit AD SSO verwendet und auf die 9.502-4 updatet dann müsst ihr die Firewall aus dem AD rausnehmen und neu joinen damit die Authentifizierung wieder funktioniert.
Hatte deswegen grad ein Ticket offen bei Sophos.

Interessant... Und ich dachte es lag an meiner Umgebung, warum ein Rejoin notwendig ist/war...
 
Die UTM antwortet nur auf Ping, wenn man ihr das explizit gestattet. Von Haus ist sie "unsichtbar".
 
Ah sorry. Schätze mal, die UTM oder der vswitch kommt wegen der zwei NICs im gleichen Switch und der nachträglich geänderten bzw. sich ändernden Konfig (MAC-Adressen) durcheinander. Sophos selbst rät ja z.B. davon ab, bei einer ESXi-Installation nachträglich virtuelle NICs hinzuzufügen oder zu löschen, weil dann die Reihenfolge durcheinander geraten kann. Vielleicht wirkt sich das bei Hyper-V ja ähnlich aus. Ich würde die Installation mal herunter fahren, eine zweite parallele VM zum Testen mit nur EINER VM-NIC am fraglichen Switch aufsetzen und dann gleich mit der gewünschten festen MAC. Dazu eben NICs in benötigter Zahl vor Installation der UTM einrichten, aber einfach erst einmal nicht mit einem vswitch verbinden (oder link "down" Konfigurieren oder ähnliches).

Ansonsten hätte ich noch zwei default-Routen im Verdacht, wenn die NICs in der UTM entweder über DHCP als Clients konfiguriert werden oder versehentlich bei beiden eine default route eingetragen ist.
 
Zuletzt bearbeitet:
Das mit den Routen war auch schon meine Vermutung -> das Durcheinander kommen mit den NICs ist definitiv auch so -> lässt sich aber lösen indem man einfach neu zuordnet -> auf der CLI einfach mit ifconfig die MAC Adressen/IPs angucken und dann in den VM-Settings sauber und richtig neu zuweisen.
 
Danke für die zahlreichen Rückmeldungen.
Ich habe jetzt die UTM noch einmal neu installiert.
Der VM habe ich 3 Netzwerkadapter gegeben. Einer davon ist über den VSwitch mit der physikalischen Onboard NIC verbunden. die anderen 2 habe ich einem internen Switch und einer 2ten NIC zugeordnet.
Vor der Installation habe ich Feste Macs vergeben. Nach der Instalaltion erfolgt ja der automatische Reboot.. Danach komme ich nicht per Webinterface drauf...
Hab dann im Hyper-V Mac Spoofing angemacht und schon komme ich wieder drauf.. Erneuter Restart und wieder keine Verbindung möglich (Ping zu beiden NIcs geht nicht)...
In der UTM schreibt er bei ping google.de unkown host und wenn ich das Gateway anpingen will ping: sendmsg: Operation not permitted
Beides klappt, wenn ich auch vom HV-Host anpingen kann....
Wenn ich das Interface andem die Onboard NIC verbunden ist neustarte geht es nach 1 - 4 Minuten plötzlich...

Was kan ndas jetzt noch sein? Die NIC des T20?
 
Hatte auch mal kurz eine SophosUTM auf einem Windows Server 2016 HyperV am laufen mit 3 virtuellen NICs (WAN, LAN, DMZ). Ohne ein Update des HyperV Servers, Sophos oder sonst etwas, kam manchmal nach einem Neustart des Servers oder (eher seltener) auch nur der Sophos VM die Reihenfolge durcheinander... Am besten löst man es indem man einfach eine echte NIC per Passthrough zuweist finde ich, damit noch nie Probleme...
 
Hallo zusammen,

ich habe mal eine Frage:

Ich habe einen Microserver Gen8 und dort ESXi 6.0 laufen. Der MS Gen8 hat zwei NIC's. Ich habe momentan eine Sophos (XG) VM laufen und habe einen der beiden NIC's durchgeschliffen und der Sophos diesen zugewiesen.

Meine Idee ist es (und da weiß ich nicht ob das überhaupt geht mit 2 NIC's), dass die Sophos die physische NIC hat und ich das LAN-Kabel, welches vom Router kommt, dort reinstecke. Im Anschluss soll die Sophos natürlich den Datenverkehr überprüfen, an den zweiten (nicht durchgeschliffenen) NIC weitergeben bzw. an die anderen VM's und dann von dort aus an den Switch und die restlichen Geräte die dort angeschlossen sind.

Wäre das möglich? Und wenn ja, könnt ihr mir einen kurzen Tipp geben wie ich das realisieren kann?

Danke im Voraus :)
 
Da ich nun zu dem Punkt gekommen bin eine Website zu hosten, möchte ich gerne sowohl die Website als auch meine nextcloud in eine DMZ zu packen. Mein Server läuft mit Proxmox und die beiden Applikationen laufen in je einen lxc Container. Ich würde im Zuge dessen eine dualport Intel nic verbauen.
Die DMZ soll nur intern im proxmox Server sein. Wie erstelle ich das alles am besten? Reicht für die DMZ eine vNIC? Ich würde WAN (kommt von nem Kabelmodem, das alles durchreicht) gerne mit der onboard realtek gehen und die beiden Intel Ports OVZ-Bond verbinden. Geht das so? Oder kann so proxmox selber nicht mehr ins LAN? Oder geht das über vNICs?
Ist Sophos utm 4free?

Grüße
 
Ja, bis 50 IP-Adressen.
 
Jo, leider. Vor allem, wenn du mehrere Subnetze fährst. Ich hab mal eine Anfrage gestellt, was eine Lizenz kostet, aber irgendwie noch keine Antwort bekommen.
 
Hab auch noch nicht geschnallt, wie er die 50 zählt. Ich hab gerade mal 8 IPv4 leases, aber laut Management/Licensing/Active IP Adresses exakt 0 IP-Adressen "in scope" oder "outside scope of license"...? So darf der natürlich gerne weiter zählen... :d
 
Zuletzt bearbeitet:
@Fr3@k: spitze, vielen Dank!

Dann dürfte ich die 50 IPs anscheinend kaum voll bekommen.

Alle internen Subnetze, die "durch die UTM" raus wollen, haben ein default gateway (nämlich die UTM und die Clients bekommen das über den DHCP-Server der UTM).

Ein Subnetz hat kein default gw, aber von dort geht auch nichts raus.

Jetzt frag ich mich, in welcher Konstellation ich überhaupt gegen die Lizenz zählende IPs haben werde. VPN-Verbindungen?

@DanFU: ah ok. Das ändert dann wahrscheinlich das Bild. Den Proxy benutzt man wahrscheinlich, sobald man die Filter und Protection wie Webfiltering, IPS usw. einsetzt? (Steht bei mir noch auf der todo-Liste.)
 
Zuletzt bearbeitet:
Ich bräuchte mal eure Hilfe.

Meine UTM scheint verrückt zu spielen und ich hab keine Ahnung warum.

Heute morgen bekomme ich eine Alarmmeldung:
Data Disk is filling up - please check. Current usage: 93%

Im Webmin zeigt er mir an, dass die Datenpartition zu 95% voll ist üblich sind so um die 30-40 %

data-part.JPG

data-cpu.JPG

Was geht hier ab 09:30 Uhr auf meiner UTM ab? :hmm:
Wo finde ich die Dateien, wie diese Partion so auffüllen und wie lösche ich die Dateien?
Neustart hat nicht geholfen.

Jetzt eine weitere email erhalten:
Http proxy not running - restarted
--
System Uptime : 0 days 0 hours 2 minutes
System Load : 7.33
System Version : Sophos UTM 9.502-4

Da stimmt doch was gehörig nicht.
 
Zuletzt bearbeitet:
Da bist du nicht alleine mit dem Problem, der Grund sind Cores Dumps vom WebProxy in /var/storage/cores ich vermute es gab ein fehlerhaftes Pattern Update da ich den Fehler heute bereits bei einigen Kunden Firewalls gesehen habe.

EDIT:
Hab gerade mit dem Support telefoniert - wie vermutet, fehlerhaftes Pattern Update - Workaround die Application Control deaktivieren.
und die Core Dumps vom WebProxy im /var/storage/cores löschen.
 
Zuletzt bearbeitet:
Da bist du nicht alleine mit dem Problem, der Grund sind Cores Dumps vom WebProxy in /var/storage/cores ich vermute es gab ein fehlerhaftes Pattern Update da ich den Fehler heute bereits bei einigen Kunden Firewalls gesehen habe.

EDIT:
Hab gerade mit dem Support telefoniert - wie vermutet, fehlerhaftes Pattern Update - Workaround die Application Control deaktivieren.
und die Core Dumps vom WebProxy im /var/storage/cores löschen.

Danke @Fr3@k für die schnelle Hilfe.

Puh, ich dachte schon, dass es ein Angriff von Außen ist.

Gehören dann diese Warnungen mit zu dem Problem?
[utm][CRIT-310] Up2Date prefetch failed
[utm][WARN-129] Spam Filter cannot query database servers
[utm][INFO-141] Http proxy not running - restarted

Verstehe ich dich richtige, dass sich ein Bug im Update eingeschlichen hat, DER dann aber mit einem der nächsten Updates hoffentlich behoben wird.

Wie komme ich auf /var/storage/cores ?
Ich kann mich nicht erinnern, dass ich für root oder loginuser ein Passwort bei der Installation vergeben hätte.
 
Zuletzt bearbeitet:
Du kannst im Webadmin unter "Management" -> "Shell Access" den SSH Zugriff aktivieren und Passwörter für root und loginuser vergeben- dann einfach mitPutty per SSH verbinden
 
Du kannst im Webadmin unter "Management" -> "Shell Access" den SSH Zugriff aktivieren und Passwörter für root und loginuser vergeben- dann einfach mitPutty per SSH verbinden
Danke, bin drinne.

Als loginuser komme ich aber nicht auf /var/storage/cores/, sondern nur als root.

utm:/var/storage/cores # dir
total 7607360
-rw-r--r-- 1 root root 12734464 Aug 30 2014 admin-reporter..17303
-rw-r--r-- 1 root root 37572608 Apr 6 2015 awed.4583
-rw-r--r-- 1 root root 37572608 Apr 5 2015 awed.4603
-rw-r--r-- 1 root root 37572608 Apr 4 2015 awed.4610
-rw-r--r-- 1 root root 37609472 Nov 7 2015 awed.4647
-rw-r--r-- 1 root root 37609472 Aug 8 2015 awed.4653
-rw-r--r-- 1 root root 26427392 Jul 7 2015 confd.plx.18612
-rw-r--r-- 1 root root 45379584 Oct 29 2016 confd.plx.2164
-rw-r--r-- 1 root root 46104576 Apr 22 2015 confd.plx.3235
-rw-r--r-- 1 root root 937058304 Aug 7 10:42 httpproxy.NAVLWorker_02.444
-rw-r--r-- 1 root root 1789931520 Aug 7 11:03 httpproxy.NAVLWorker_22.7343
-rw-r--r-- 1 root root 1984573440 Aug 7 10:54 httpproxy.NAVLWorker_26.6020
-rw-r--r-- 1 root root 1940377600 Aug 7 10:38 httpproxy.NAVLWorker_27.31004
-rw-r--r-- 1 root root 720416768 Aug 7 10:46 httpproxy.NAVLWorker_31.1067
-rw-r--r-- 1 root root 10199040 Jun 3 16:04 mailsec-reporte.29551
-rw-r--r-- 1 root root 11141120 Feb 2 2017 pfilter-reporte.8160
-rw-r--r-- 1 root root 29020160 May 7 2014 ulogd.22856
-rw-r--r-- 1 root root 36360192 Apr 24 2014 ulogd.4843
-rw-r--r-- 1 root root 12247040 Sep 5 2014 waf-reporter.pl.22305
utm:/var/storage/cores #

Welche sind die core dumps, die ich löschen soll? Oder alle Dateien in diesem Verzeichnis löschen?
 
Zuletzt bearbeitet:
Danke, bin drinne.

Als loginuser komme ich aber nicht auf /var/storage/cores/, sondern nur als root.



Welche sind die core dumps, die ich löschen soll? Oder alle Dateien in diesem Verzeichnis löschen?

Das sind die Dumps

-rw-r--r-- 1 root root 937058304 Aug 7 10:42 httpproxy.NAVLWorker_02.444
-rw-r--r-- 1 root root 1789931520 Aug 7 11:03 httpproxy.NAVLWorker_22.7343
-rw-r--r-- 1 root root 1984573440 Aug 7 10:54 httpproxy.NAVLWorker_26.6020
-rw-r--r-- 1 root root 1940377600 Aug 7 10:38 httpproxy.NAVLWorker_27.31004
-rw-r--r-- 1 root root 720416768 Aug 7 10:46 httpproxy.NAVLWorker_31.1067

das Problem ist übrigens lt. Support bereits gefixt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh