[Sammelthread] Sophos UTM-Sammelthread

Hallo
das habe ich , die ports sind offen , es funktioniert aber trotzdem nicht!

dann ist was falsch eingestellt. Kontrollier es am Besten nochmal. Wenn der Teamspeak3 Server intern läuft dann ist das DNAT in der Fritzbox oder Sophos falsch eingestellt, vllt. fehlt auch die Firewall regel (auto firewall probieren falls nicht schon geschehen)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Weiß eig. jemand wann es bei Sophos Patches fuer Spectre/Meltdown gibt?
Langsam wirds arg... naja... ^^
 
Weiß eig. jemand wann es bei Sophos Patches fuer Spectre/Meltdown gibt?
Langsam wirds arg... naja... ^^

Wenn man bedenkt das viele patches (u.a. vmware) wieder zurückgezogen wurden, dann denke ich wird es noch einen Moment dauern bis Sohos da was rausbringt. Die sind ja auch abhängig von den Linux Kernel patches, da das Sophos UTM OS auf Suse Linux basiert.
 
Dank der Suuuuuper hilfe von "Opticum" haben wir es hinbekommen!

auch hier nochmal Vielen lieben Dank an dich , das du dir zeit für mich genommen hast !

LG
 
Ich schreibe das als kleinen Erfahrungsbeitrag, weil ich im Netz auch nichts dazu gefunden habe.

Ich hatte ein neues VLAN und eine neue Schnittstelle (GUEST) auf der UTM eingerichtet.
Die UTM ist in meinem Fall auch DHCP Server für das internal- und das guest-network.

Ich hatte auf der UTM auch einige statische DHCP Host's im internal. Dann habe ich einen neuen "DHCP-Server" für guest aufgesetzt.

Seit dem hatte ich Probleme mit dem Netz. Bis ich bei den Lizenzen rein geschaut habe. 199 verbrauchte Lizenzen.


Die "verbrauuchten"-IP-Adressen waren alles Adressen, welche ich nicht vergeben habe und auch von der Anzahl her was das absolut nicht nachvollziehbar.
Ich habe jedes verdammte Log durchsucht und nichts gefunden.

Warum, wieso, weshalb?
Also habe ich die Geräte einzeln abgeschaltet oder ganze Netze getrennt. Hat alles nichts gebracht.

Bis mich unser Dienstleiser auf die Hilfe gebracht hat. dort steht "Hinweis– Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen aus dem DHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht aus dem DHCP-Pool stammt. Zum Beispiel könnte die statische Zuordnung von 192.168.0.200 darin resultieren, dass zwei Systeme dieselbe IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100 – 192.168.0.210 umfasst."


Also habe ich meine festen etwas weiter unten angesiedelt und siehe da, kein Problem mehr mit den Lizenzen.

Ich weiß, man sollte feste und weiche nicht mischen, aber der Zusammenhang mit den Lizenzen ist mir einfach nicht gekommen. Was das ganze mit dem guest zu tun hat; keine Ahnung. Auch nicht warum es vorher funktionierte.
 
Ich vermute mal, dass die UTM eine Lizenz eben nicht freigibt, solange von der Traffic kommt, was eben bei statischen IPs in der Range des DHCP-Servers dann zumindest der Fall sein kann.

Das warum ist aber doch auch eigentlich Wurscht: manuelle feste IP-Adressen aus dem Adressbereich eines DHCP-Servers sind m.W. sowieso ein „no go“, schon weil man sich da gerne mal Adresskonflikte einhandelt. Zulässig ist nur, dem DHCP-Server zu sagen, dass er eben bestimmten MAC-Adressen immer (wieder die gleiche) IP aus seinem Pool geben soll, weil der DHCP-Server dann die Kiste kennt und weiß, das die IP eben „weg“ / in Benutzung ist.
 
Jup, entweder DHCP-Reservation (also eine bestimmte MAC-Adresse bekommt immer die gleiche IP-Adresse zugewiesen) oder eben dann ein entsprechender Eintrag, der die IP expiliz aus dem DHCP-Bereich ausnimmt.
bei der UTM weis ich nicht ob und wo das geht, aber der Windows-DHCP kann das, sollte also dann sicher auch die UTM können ;)

Wobei es ja nicht schlecht ist wenn man mit DHCP-Reservierungen arbeitet. - ist für Firewallrichtlinien auch nicht schlecht.
 
Reservation kann die UTM per Click. Einzelne IP-Adressen rausnehmen weiß ich auch grad nicht, die Range festlegen ist wiederrum simpel.
 
Guten Tag,

ich hätte eine frage bezüglich meiner UTM:

Ich bekomme die tage einen 2ten internetanschluss ins haus. Ich möchte nun gerne die 2 internen netze verbinden, sodass ich zb wenn ich in der Fritzbox (2) im wlan bin , in mein Lan von der sophos komme um zB auf shares zuzugreifen.

dazu müsste ich dohc lediglich eine statische route setzen von zu fritz/sophos und ein lankabel vom Lan port der sophos an die fritzbox(2) hängen.

ich hoffe ich habe mich gescheit ausdrücken können :wall:


Aktueller aufbau:

Vdsl 100k Telekom an Fritzbox(1) 7490 --> sophos -->lan mit meinen servern


Gewünschter aufbau:

VDSL 100k Fritzbox(1) -->sophos ----> lan mit meinen servern

VDSL 50K Fritzbox(2) ---->in die sophos---->lan mit meinen servern


Kurzgefasst. ich möchte das angeschlossene geräte an der fritzbox(2) INTERN an die ressourcen von meinem LAN kommen


LG
 
Ein Sophos Port benoetigt eine entsprechende Schnittstellen Definition.
Fuer Konnektivitaet mit anderen Netzen muessen die Firewall Regeln definiert werden.

Eine statische Route in der Sophos ist jedoch nicht erforderlich, das passiert meines Wissens transparent im Hintergrund automatisch.

Die Fritzbox benoetigt eine solche: Netz = Sophos Netz z.B. x.x.2.0/24. Gateway = Sophos IP im Fritzbox Netz, z.B. x.x.1.1.
 
Zuletzt bearbeitet:
Guten Tag,

ich hätte eine frage bezüglich meiner UTM:

Ich bekomme die tage einen 2ten internetanschluss ins haus. Ich möchte nun gerne die 2 internen netze verbinden, sodass ich zb wenn ich in der Fritzbox (2) im wlan bin , in mein Lan von der sophos komme um zB auf shares zuzugreifen.
LG

Ich würde dir empfehlen z.B. einen Ubiquiti AP zu verwenden und das WLAN der Fritzboxen zu deaktivieren. So hast du diese nicht "dazwischen" und vermutlich mehr Durchsatz und kein "Gefummel" mit mehreren Fritzboxen und WLANs.

Falls du es mit den Fritzboxen versuchen willst:
Die statischen Routen brauchst du in der Sophos tatsächlich nicht wie Batey schon schrieb, nur entsprechende Firewall Regeln auf der Sophos. Allerdings müsstest du Routen in dein internes LAN auf den beiden Fritzboxen einrichten. Beachte bitte bei der Einrichtung das du -nicht- auf Beiden Fritzboxen dasselbe Subnetz verwenden solltest (192.168.178.1 ist default für die Fritzbox)
 
Zuletzt bearbeitet:
Das Model scheint wohl Schule zu machen.... Fraglich ob pfSense so verzweifelt ist, oder ob QNAP das mit den virtuellen Switches tatsächlich hinbekommt...
 
naja pfsense ist bei mir sowas von raus, bei dem Geschäftsgebaren ... OPNsense.com - OPNsense, Your Next Open Source Firewall

Kurzversion: Netgate (pfsense) bzw. Inhaber/Geschäftsführer hat eine "Parodie" Website gegen Opnsense betrieben (übelster Sorte inkl. Szene aus dem Film "Der Untergang")

irgendwo meine ich gelesen zu haben, dass Netgate mit dem derzeitigen Geschäftsmodell von pfsense nicht rentabel wäre. Die Leute kaufen sich halt meist eigene Hardware. Vermutlich wird durch die QNAP Partnerschaft wieder Geld fließen.
 
Zuletzt bearbeitet:
Technisch ist ja OPNsense ein pfSense Nachfolger - Ich mag von der Bedienung usw. OPNsense deutlich mehr als die alte pfSense. (Deutlich intuitiver und ich glaub sogar technisch etwas neuer?)
Viele die früher pfSense hatten im Bekannten/Freundeskreis sind auch auf opnsense umgestiegen... Da liefen pfsense wohl die Leute davon :d
 
Das letzte Zugpferd von pfSense ist IMHO pfBlockerNG. Wenn OPNSense das hinbekommt, werde ich auch wechseln.
Was mich auch noch zum zögern bringt ist, dass die Update Frequenz bei OPNSense doch sehr hoch ist...
 
@KlimperHannes: Die Updatefrequenz ist für mich eher ein Pluspunkt. Fehler und Schwachstellen werden schnell gefixt. Bei Sophos UTM ist die Entwicklung grad auf einem langzeit Tief angekommen. Letztes Update am 21. November 2017.
 
@KlimperHannes: Die Updatefrequenz ist für mich eher ein Pluspunkt. Fehler und Schwachstellen werden schnell gefixt. Bei Sophos UTM ist die Entwicklung grad auf einem langzeit Tief angekommen. Letztes Update am 21. November 2017.

Der Vertrieb würde das anders ausdrücken, "Bei Sophos werden die Produkte eingehend geprüft, damit jeder Kunde ein zufriedener Kunde ist." NICHT!

IMHO kann ich Sophos im Business-Umfeld gerade gar nicht empfehlen. Update nur sehr träge und wenn welche kommen, müsse diese nochmals extra getestet werden.

das jeht ja jar nich
 
Sophos UTM ist halt nach wie vor eine schöne all-in-one Lösung mit keiner echten Alternative. Solange kritische Fehler noch beseitigt werden wird man damit noch fahren.
Für größere Umfelder (betrieblich) kann eine Kombination aus Sophos UTM & Paloalto Firewall interessant sein.

Was mir direkt fehlen würde ohne die UTM wäre die Webapplication Firewall & SMTP Proxy sowie die übersichtliche und funktionelle Firewall mit dem Regelwerk. Hier habe ich noch nichts brauchbares als Alternative gefunden. Man müsste alles einzeln zusammenbasteln bzw. aus Einzelprodukten zusammenstellen.
 
Und was ist an der Einzelprodukt-Auswahl so schlecht?
Aktuell habe ich hier eine Fortinet, die macht Firewall und Webapplication FW, so ganz überzeugt mich das aber nicht.
Ich muss gestehn, bei der ASA hab ich mich wohler gefühlt - ist aber natürlich nix für @home.
Webproxy und Application FW sowie SMTP-Proxy war eine Websense... - am Ende hat aber jede Lösung irgendwie so seine stärken und schwächen, kommt halt immer darauf an, was man genau braucht.

Als MailGW könnte man sich mal die Proxmox-Appliance, die jetzt ja Opensource ist anschauen...
 
Kurze Frage:
Mit der UTM stoße ich an das 50er IP Limit der Free-Lizenz.

Welche Funktionsbeschneidungen habe ich, wenn ich von der aktuellen UTM auf die XG Home umrüste?
(XG Unterstützt in der Free 4Cores und 6GB RAM - das sollte locker reichen).

Auf der UTM nutze ich die standard-tools wie dhcp, pppoe einwahl, firewall/nat, vpn, paar forwardings und rules.
Dann den Webproxy in Kombination mit Blacklists. Glaube das wars. Kann man das mit der XG auch umsetzen?

Danke und Grueße
 
Kurze Frage:
Mit der UTM stoße ich an das 50er IP Limit der Free-Lizenz.

Welche Funktionsbeschneidungen habe ich, wenn ich von der aktuellen UTM auf die XG Home umrüste?
(XG Unterstützt in der Free 4Cores und 6GB RAM - das sollte locker reichen).

Auf der UTM nutze ich die standard-tools wie dhcp, pppoe einwahl, firewall/nat, vpn, paar forwardings und rules.
Dann den Webproxy in Kombination mit Blacklists. Glaube das wars. Kann man das mit der XG auch umsetzen?

Danke und Grueße

Was aktuell bei der XG ein großer Show Stopper ist, ist der nicht veränderbare SSL VPN Port dieser ist nämlich TCP 10443 - somit ist der VPN nicht zu gebrauchen da dieser Port in Public Hotspots und Hotels so gut wie nie freigeschaltet ist.

Was ein eher Bedientechnisches Problem ist, ist die Langsame GUI - Die Menüs laden sehr lange egal auf welcher Hardware. Teilweise werden in verschiedenen Browsern(Chrome) Menüs einfach nicht angezeigt
Nur Internet Explorer funktioniert korrekt.
Was Auch störend ist sind sinnlose Hindernisse wie der Name von WLAN Netzwerken darf nicht länger als 15 Zeichen sein, Objekte lassen sich teilweise nicht nachträglich umbenennen (z.B. Name eines DHCP Servers). Es gibt/gab Bugs das IPSec Tunnel mit Fortinet Firewalls mit bestimmten DH Groups nicht funktionierten. Firmware Updates können nicht geplant werden.

Was gut funktioniert ist z.B. eine Zeitbasierte Bandbreitenbeschränkung für einen Firewall Regel - das ist besser gelöst als auf der UTM.
Das Failover von Internanbindungen lässt sich auch komfortabler realisieren.

Das System (obwohl es bereits einige Versions Schritte gab) wirkt noch immer nicht ganz ausgereift.
Ich hab letzten Herbst den XG Certified Architect gemacht und auch da war die Resonanz der Teilnehmer nicht so gut.

Overall das Konzept ist nicht so schlecht - die Umsetzung aber naja, für mich der tag täglich Firewalls betreut ist die GUI eine Zumutung.
 
Vielen dank fuer den ausfuehrlichen Post.
Dann wirds erstmal ne 2. UTM als VM fuer die Trash-Clients... Bis die XG soweit ist.

Will nur ungern zur PFSense Bastelstube zurueckwechseln ^^
 
Was aktuell bei der XG ein großer Show Stopper ist, ist der nicht veränderbare SSL VPN Port dieser ist nämlich TCP 10443 - somit ist der VPN nicht zu gebrauchen da dieser Port in Public Hotspots und Hotels so gut wie nie freigeschaltet ist.

korrekt, ist aber auf der Roadmap

Was ein eher Bedientechnisches Problem ist, ist die Langsame GUI - Die Menüs laden sehr lange egal auf welcher Hardware. Teilweise werden in verschiedenen Browsern(Chrome) Menüs einfach nicht angezeigt
Nur Internet Explorer funktioniert korrekt.

In v17 nun zügig. Auf völlig unterdemensionieter Hardware natürlich nicht.
Chrome wird aktuelle empfohlen zu nutzen.

Was Auch störend ist sind sinnlose Hindernisse wie der Name von WLAN Netzwerken darf nicht länger als 15 Zeichen sein,

SSID darf 32 Zeichen lang sein, Der Name für das Objekt nur noch 10


Objekte lassen sich teilweise nicht nachträglich umbenennen (z.B. Name eines DHCP Servers).

völlig richtig und völlig unnötig, das in der XG an den Namen fest zu machen. Die REF_ IDs in der SG haben immer wunderbar funktioniert.

Es gibt/gab Bugs das IPSec Tunnel mit Fortinet Firewalls mit bestimmten DH Groups nicht funktionierten. Firmware Updates können nicht geplant werden.

Einige Bugs im VPN IPSec sind wohl gefixt, aber gut sieht es hier leider immer noch nicht aus...

Was gut funktioniert ist z.B. eine Zeitbasierte Bandbreitenbeschränkung für einen Firewall Regel - das ist besser gelöst als auf der UTM.
Das Failover von Internanbindungen lässt sich auch komfortabler realisieren.

Das System (obwohl es bereits einige Versions Schritte gab) wirkt noch immer nicht ganz ausgereift.
Ich hab letzten Herbst den XG Certified Architect gemacht und auch da war die Resonanz der Teilnehmer nicht so gut.

Overall das Konzept ist nicht so schlecht - die Umsetzung aber naja, für mich der tag täglich Firewalls betreut ist die GUI eine Zumutung.

Hier stimme ich dir völlig zu. Sophos macht leider viel Marketing, aber das Produkt ist einfach nicht fertig. Die reden immer von Feature-Gleich aber die werden wohl erst 2019 auf dem Level der heutigen SG UTM sein. Und bis dahin haben die alten Astaro Progger auch schon wieder neue Sachen in die UTM eingebaut ^^

btw: SFOS 17.0.5 MR5 Released - Release Notes News - XG Firewall - Sophos Community

Liste ist lang, aber vom lesen her klingt das fast alles nach Kinderkrankheiten, die in einer "V17" nicht mehr auftreten sollten.
Wenn die mit V12 angefangen haben, dann ok... ;)
 
Gibt es eigentlich News zur let's encrypt Implementierung? Kommt die noch?

Gesendet von meinem Nexus 5X mit Tapatalk
 
Vielen dank fuer den ausfuehrlichen Post.

Will nur ungern zur PFSense Bastelstube zurueckwechseln ^^

Kannst Du kurz genaueres Feedback geben, was Dich an PfSense störte?
Ich nutze es derzeit noch und ja, es hat ein paar Bugs (HAProxy und DynDNS muessen immer restarted werden nach IP Wechsel), aber der PfBlockerNG begeistert mich nach wie vor. Sophos gefiel mir nicht, da ich Snort, VPN usw. lieber genau selber definiere und dafür dann besser verstehe was das system tut.
 
@Klimper:
Hauptsaechlich hatte ich sie ersetzt, da ich immer random Abbrueche bei der VOIP telefonie hatte.
Pakete blieben zum Teil noch halblebig installiert bzw aktiviert, Funktionen nach der Abschaltung noch aktiv.
Fuehlte sich einfach sehr sehr stark nach Bastelbude und unfertig an.

Gruesse
 
Ist angeblich immer noch auf der Roadmap: "Unfortunately we couldn't get Lets Encrypt in 9.5, but it is on our roadmap and something we want to add for sure."

Dann warte ich mal weiter.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh