[Sammelthread] Sophos UTM-Sammelthread

[fdsonne]

Irgendwie wollte das mitgelieferte SATA-Kabel mit dem abgewinkelten Stecker nicht auf den Port drauf. Hab dann doch mal Licht angemacht und gesehen, dass der Stecker andersherum drauf muss. Okay, nehmen wir halt die andere Seite mit geradem Stecker. Passt! Nun den abgewinkelten Stecker an die SSD - passt! Schnell den Deckel zu - passt nicht!
Hmmm, auch nach längerem Überlegen bin ich nicht drauf gekommen, wie die sich das gedacht hatten. Nagut, in der Kramkiste gesucht, Kabel mit abgewinkelten Stecker andersherum gefunden und auf Mobo gesteckt. Fein. Deckel zu - geht nicht. Anderer SATA-Stecker zu lang...
Fazit: man braucht ein SATA-Kabel mit beiden Enden abgewinkelt. Leider war so eins nicht in der Kramkiste zu finden, also muss die Kiste vorerst offen bleiben...

Ich hab die gleiche Büchse mittlerweile auch erhalten - der abgewinkelte Stecker muss aufs Boards, der gerade an die Disk. Das passt 1A und ergibt auch Sinn. Hab leider keine Bilder gemacht obwohl ich das eigentlich tun wollte
Wenn du mit abgeschraubten Seitenteil dann reinsiehst, sieht man dass die Stecker an der Disk dann mit leichtem Abstand überhalb des abgewinkelten SATA Steckers am Board enden. Die Enden werden auch nicht geknickt sondern verlaufen rund. Bisschen Geschick beim einfedeln sollte man aber mitbringen. Erst links SATA Stecker und Strom für die Disk in die gewünschte Position bringen und dann rechts das andere Ende der Disk am Gehäuserand vorbei nach unten fallen lassen - das passt bei mir wie Arsch auf Eimer. Deckel zu, Schrauben dran, fertig.

Mitten beim Nichtstun erscheinen auf der Konsole segfault-Meldungen. Also schnell ins kernel.log geschaut. Da sind noch mehr eigenartige Meldungen...
Kann damit jemand etwas anfangen?

Auch das kann ich bei mir nicht bestätigen... Wann kommen denn die Meldungen bei dir? Quasi gleich nach dem Start?
Wenn ich das richtig sehe gibt es wohl "Probleme" mit dem Proxy Dienst in der 9508 - in irgendwelchen Foreneinträgen im Sophos Forum fand ich dazu Aussagen von wegen, installier das Ding mal neu und spiel die Konfig zurück. Auch hieß es, installier die 9506 + Konfig und patch dann?
Ich für meinen Teil habe - aus mangel an einem Griffbereiten ISO aktueller Version meine alte 9501er DVD aus dem Regal gekramt und via externem USB DVD ROM installiert sowie dann einfach direkt auf die 9509 gepatcht via Update Funktion.
Und komische Meldungen habe ich bis dato nicht gesehen.


Das Einzige, was mir aufgefallen ist, bei mir ist im sekundentakt eine leichte CPU Last (1-5%) von ctipd.bin im top zu verzeichnen. Was mir so vorher in meiner UTM VM gar nicht über den Weg gelaufen ist - obwohl die Konfig der VM übernommen wurde.
-> das ist soweit ich das ausgeklingelt habe irgendwelches RBL Zeugs vom SMTP Dienst - der Check auf die "recommended lists" - wenn man den Haken entfernt, ist die Last auch weg.
Komischerweise ist das halt quasi ständig? Obwohl da am Tag vllt 10-20 Mails durchlaufen, wenn überhaupt??




Achso, falls es interessiert, ich hab die Box ohne Disk und RAM bestellt - wegen günstigerem Preis und Zoll.
Die Box kommt mit nem pro forma 60$ Invoice Zettel, den der Zoll nicht akzeptiert, zumindest bei mir. Ich musste an den DHL Ident-Boten Einfuhrumsatzsteuer abdrücken.
Als RAM Riegel nutze ich den günstigsten Crucial, den ich gefunden habe und der lieferbar war. (CT8G4SFD824A - DDR4-2400 1,2V CL17) und als Disk ne 120er SanDisk für 36€ von Amazon.
Doppelseitig bestückte RAM Riegel sollte man nur einzeln einsetzen. Ich hab versucht einen doppelt bestückten Riegel in den ersten Slot zu packen -> passt nicht, der stößt unten gegen eine Schraue, die das Board am Gehäuse fest schraubt!!! Wer also zwei Riegel verbaut, sollte den unteren definitiv Single Sided kaufen und drauf achten, dass die richtige Seite unbestückt ist!
Bei mir ist nur der eine Riegel drin, das bisschen weniger Performance ohne Dual Channel war mir egal -> also steckt der eine Riegel im oberen Slot und hat genügend Luft
CPU ist der i3-7100u. Unter Volllast erreicht das Ding bei mir ca 65°C im Cinebench auch nach mehreren Minuten. Die Wärmeabgabe an den passiv Kühler scheint ganz brauchbar. Das Gehäuse wird oben halt unangenehm bis heiß beim anfassen. Ggf. müsste man hier im Sommer mit einem drauf montierten Lüfter nachlegen?? Mal beobachten. CPU Leistung ist auch 1:1 die, wie sie sein sollte. Also da ist definitiv kein Fake Prozessor oder sowas drin (man weis ja bei so Chinazeugs nie so recht)
Das Ding hat sogar nen mSATA Slot - ich wollte erst ne mSATA SSD erstehen, leider sind die vergleichsweise teuer und meine 16GB mSATA SSDs die ich hier noch habe sind zu klein auf Dauer...

Wen die CPU Temps interessieren - auf der Kommandozeile mal folgendes ausführen:
sensors-detect
/etc/init.d/lm_sensors restart
/etc/init.d/lm_sensors status

Ersteres veranlasst das "Finden" der Sensoren - einfach mit YES bestätigen die Suche und letzteres spuckt schlussendlich die Temps der beiden CPU Cores aus...

 

[Cyrrel]

Magst du den Link zu der Kiste noch einmal posten?

 

[fdsonne]

6 Ethernet LAN lfterlose pfsense Mini PC Intel kabylake core i3 7100u DDR4 ram AES-NI linux Firewall Pfsense Router Netzwerk Server aus Mini PC auf AliExpress.com | Alibaba Group

 

[Cyrrel]

Vielen Dank

 

[Batey]

Habe die kiste auch und bin recht zufrieden. Laeuft problemlos ohne zicken.

IPS bei 300 Mbit Anschluss bringt es aber an seine Grenzen.

 

[Opticum]

Was zieht die Kiste wohl an Strom? Hab die andere Variante mit 5250u und 4x LAN, ich meine das wären so um 10 Watt rum. Würde mich wirklich interessieren da ich ggf. austauschen möchte.

 

[Batey]

Keine Ahnung. Lebe in den USA und gegen die Klimaanlage im Sommer ist das alles pillepalle.

 

[pumuckel]

Keine Ahnung. Lebe in den USA und gegen die Klimaanlage im Sommer ist das alles pillepalle.

bei ca 9 cent / KWH interessiert das auch nicht

 

[Sannyboy111985]

Hallo zusammen,

ich versuche gerade IPv6 auf meiner UTM zum laufen zu bekommen, aber irgendwie bekomme ichnoch keinen IPv6 Traffic raus. Testen tue ich das ganze mit einem Client under der Webseite: ip6.me
Hier wird nur meine IPv4 NAT Addresse angezeigt.
Wan Port hat IPv6 Dynmiac und Default GW angeschaltet. Prefix Assignment ist im LAN mit DHCPv6 Stateless integrated server aktiviert, renumbering ebenfalls. IPv6 Nating ist deaktiviert.
Vorgegangen bin ich nach dieser Anleitung.

So wie ich das sehe ist mine Problem ein default GW das mit fe80 (link local) beginnt.

Mein Client hat folgede IP Config:

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . : dtmb
   Description . . . . . . . . . . . : Intel(R) Centrino(R) Ultimate-N 6300 AGN
   Physical Address. . . . . . . . . : 00-24-D7-04-36-E8
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : 2003:e4:cbd4:a0fc:b893:56fb:99a8:ee0e(Preferred)
   Temporary IPv6 Address. . . . . . : 2003:e4:cbd4:a0fc:99ea:c8d2:9641:8a8c(Preferred)
   Link-local IPv6 Address . . . . . : fe80::b893:56fb:99a8:ee0e%14(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.40.149(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Donnerstag, 3. Mai 2018 18:59:57
   Lease Expires . . . . . . . . . . : Sonntag, 6. Mai 2018 20:36:59
   Default Gateway . . . . . . . . . : fe80::5054:ff:feb3:c902%14
                                       192.168.40.1
   DHCP Server . . . . . . . . . . . : 192.168.40.2
   DHCPv6 IAID . . . . . . . . . . . : 352330967
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1F-F7-C1-C0-70-5A-B6-9C-58-72
   DNS Servers . . . . . . . . . . . : 2003:e4:cbd4:a0fc::1
                                       192.168.40.2
   NetBIOS over Tcpip. . . . . . . . : Enabled
   Connection-specific DNS Suffix Search List :
                                       dtmb

IPv6 Connectivity der UTM (Interfaces & Routing --> IPv6):

Native over WAN: fd00:fb33::5054:ff:fed6:64cd
Subnet: fd00:fb33::/64
Delegated Prefix: 2003:e4:cbd4:a0fc::/62

LAN Ports der UTM, eth0 WAN, eth1 LAN:

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:d6:64:cd brd ff:ff:ff:ff:ff:ff
    inet 10.178.40.2/24 brd 10.178.40.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fd00:fb33::5054:ff:fed6:64cd/64 scope global deprecated dynamic 
       valid_lft 7173sec preferred_lft 0sec
    inet6 2003:e4:cbd4:a000:5054:ff:fed6:64cd/64 scope global dynamic 
       valid_lft 7174sec preferred_lft 1186sec
    inet6 fe80::5054:ff:fed6:64cd/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:b3:c9:02 brd ff:ff:ff:ff:ff:ff
    inet 192.168.40.1/24 brd 192.168.40.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet 192.168.40.252/24 scope global secondary eth1
       valid_lft forever preferred_lft forever
    inet6 fb33::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 2003:e4:cbd4:a0fc::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:feb3:c902/64 scope link 
       valid_lft forever preferred_lft forever

Jemand eine Idee wie ich IPv6 zum laufen bekomme?

 

[Opticum]

sanny: was hängt denn vor der Sophos? steht was im Log?
Das default gateway mit fd00: ist nicht zwingend ein Problem, je nach dem wie es vor der Sophos konfiguriert ist. Müsste mal das ganze Konstrukt sehen. Betreibe ipv6 an der Sophos schon 2-3 Jahre, es war ein ziemlicher K(r)ampf mit den ganzen Bugs...

 

[Sannyboy111985]

Ok, vor der UTM hängt eine FritzBox und die UTM ist als Exposed Host für IPv4 und IPv6 freigegeben. Auch ist die Firewall für die deligierten Prefixe lauf Fritzbox deaktiviert.
Ich habe keine Regeln für die fe80 (nicht fd00) Addressen hinterlegt.

Wie soll denn die UTM konfiguriert werden? Bzw. was sollte dort nicht sein?

 

[fdsonne]

Was hast du denn genau vor?
Weil der Proxy Dienst braucht für IPv6 keine interne IP mit v6, das reicht, wenn die UTM am "WAN" Port v6 spricht und dort auch sauber kommunizieren kann.

Um das zu testen log dich via SSH auf der Kiste ein und ping6 einfach mal ne public v6 IP - wenn das geht, geht generell erstmal der Traffic nach "außen" über v6. Alternativ einfach auf wtfismyip.com gehen -> der zeigt dir die v6 Adresse auch an.

Am Client ist es an der Stelle aber wichtig, wie die UTM da ins Spiel kommt. Sprich wie surft der Client?
- UTM fungiert als Proxy (statisch oder via Pacfile?)
- UTM fungiert als Firewall/Router (ggf. mit NAT)
- UTM fungiert als transparenter Proxy

Beim ersten musst du sicherstellen, dass A) dein Surftraffic zwingend über den Proxydienst läuft - der Client Browser also wirklich die UTM nutzt. Intern kannst du die IPv6 Adresse am Client komplett runter nehmen und die UTM v4 only ansprechen und das wird laufen (so nutze ich das bspw. bei mir seit mehreren Jahren - v4 only + v6 am Public Port der UTM)

Beim zweiten braucht der Client zwingend ne v6 Adresse und das Routing muss stimmen -> testen kannst du das simpel erstmal mit Ping oder Traceroutes vom Client aus. Ist eth1 der UTM erreichbar via v6? Ist die Firewall der UTM für den Traffic offen? Ist NAT wirklich aus? Was sagen die Logs der UTM? (bspw. mal ne Firewall Log Regel schreiben und schauen ob das Paket wirklich drüber geht oder via tcpdump auf der UTM sniffern was das Paket macht)

Beim dritten braucht der Client wieder nicht zwingend ne v6 Adresse, kann aber! Die UTM fingert jegliche HTTP/HTTPS Requests ab und schiebt diese über den Proxydienst. Selbst wenn die Website per v4 vom Client angefordert wird - der Proxy nutzt v6 wenn es aktiv ist.



Kurzum - um dir zu helfen brauchen wir mehr Infos!
Auch gibts möglicherweise Probleme mit dem v6 Routing, wenn die UTM hinter einer anderen Routerinstanz steht - du aber vom Provider keine ausreichend großen Netze bereit gestellt bekommst (das ist bspw. der Grund bei mir, warum ich intern v4 only fahre - die Telekom gibt mir nur ein /64er Netz - und der bekloppte Speedport versteht keine statischen Routen. Ich habe also mein zugewiesenes v6 Netz am WAN Interface der UTM und wenn ich intern v6 wollen würde müsste ich mit ULA Adressen (das sind diese fc00::/7) nutzen und NAT machen. Oder irgendwelche andere Späße mit NAT in das 64er Netz, was mir der ISP bereit stellt...

Möglicherweise ist aber schon Prefix Assignment (Router Advertisement) des Rätzels "Lösung" bei dir - nämlich wenn das v6 Adressen raus haut, die dann über die UTM + FB nicht geroutet nach extern kommunizieren können -> dann gehts nämlich nicht
Einfach mal ausschalten und sicherstellen (siehe oben) dass erstmal NUR! die UTM vom WAN Interface über die FB nach extern via v6 kommunizieren kann. WENN das funktioniert, den nächsten Schritt prüfen, nämlich über die UTM zu surfen oder den Proxy zu nutzen oder weis der Geier was...

Was auch sein kann, dein Client hast ne IP aus 2003:e4:cbd4:a0fc::/64, die UTM ist intern davon die ::1 -> aber weis die Fritzbox wirklich, dass dieses Netz (2003:e4:cbd4:a0fc::/64) nur über den Router 2003:e4:cbd4:a000:5054:ff:fed6:64cd/64 zu erreichen ist??
Gibts auf der FB ne Routingtabelle zum ansehen???

 

[Opticum]

Deine WAN IPv6 (eth0 was du gepostet hast) kann ich anpingen, ein traceroute sagt mir das es sich um einen Telekom Anschluss handelt.
Du brauchst eine Firewallregel für deine Clients das die per IPv6 vom Internen "Netz" raus dürfen.

Wenn eth1 dein LAN ist dann ist die v6 soweit korrekt konfiguriert.
Client hat auch eine korrekte IPv6.

Versuch mal von einem Client per windows "ping -6 www.heise.de" oder per linux "ping6 www.heise.de" ggf. eine tracert -6 bzw. traceroute6
Ansonsten mal in's Firewall LiveLog schauen.

@sanny: kleiner Sicherheitshinweis per PN.

 

[fdsonne]

@Opticum
Wenn er die UTM als Proxy nutzt, brauch es keine Regeln am Client noch muss das interne Netz bis zur Fritze geroutet werden - da zählt nur, dass die UTM mit v6 raus kommt, was du offenbar ja bestätigst.
Damit bleibt noch die Frage wie der TE die UTM nutzen will...

PS: v6 intern halte ich auch aufgrund der sich ändernden Netzzuweisung der ISPs zum Endkunden für problematisch -> kann die UTM dynamische DNS Updates im internen DNS bei sich ändernden Adressen?? Weil wenn nicht wird man intern wohl kaum die auto zugewiesenen v6 Adressen händisch eintippern wollen u d lieber v4 bzw. oder statisch v4@DNS fahren - das v6 Netz ändert sich definitiv irgendwann. (180 Tage?)

 

[Opticum]

@fdsonne: die UTM kann nur seinen WAN Endpunkt per Dyndns aktualisieren, nicht die IPv6 interner Adressen, das könnte aber auch direkt am client passieren (dyndns client)
Bei der Telekom soll man angeblich sein IPv6 Prefix statisch vergeben können (oder das nur bei business Anschlüssen)

Intern IPv6 macht schon Sinn beim Surfen wenn man die neue Technik einsetzen und sich damit auseinander setzen möchte.

Bei Sophos hatte ich selbst 2 Patches "provoziert" um Fehler zu beheben, war trotz Support Vertrag allerdings ein ziemlich zähes Unterfangen. IPv6 spielt im professionellen Umfeld (leider!) bis dato nur eine sehr kleine Rolle.

 

[Sannyboy111985]

Erstmal vielen Dank für die ganzen Hinweise und Ansätze!
Das ihr mehr Infos braucht ist verständlich und die sollt ihr auch haben.

Mein Ziel ist es die UTM als transparenten Proxy laufen zu lassen. Hier erwarte ich vor allem einen reibungslosen Betrieb seitens der Clients.
Allerdings scheinen hierbei schon ein paar Dinge nicht optimal zu laufen: Whatsapp zeigt regelmäßig "Sie könnten neue Nachrichten haben" bzw. das senden ist verzögert (Uhr statt Haken) und bie Amazon Prime läuft der Video Download nicht.
Das ganze habe ich mir noch nicht näher angesehen, da es aber ohne Web Protection funktioniert vermute ich darauf dass die etwas damit zu tun hat.
Um das Problem vorerst zu umgehen ist die UTM nur FW/Router. Bei IPv4 mit NAT, IPV6 sollte nativ sein.
Mit einen anderem Rechner funktioniert auch das IPv6 Routing. Später nochmal den anderen Client checken.

Die Fritzbox bringt leider mit ihrer Zwanghaften "ich bin ein Router" Mentalität einiges an Komplexität im Vergleich zu einem Modem.
Da ich vorher sowohl öffentliche Präfixe wie auch interne ULA sowie die Link-Local (fe80: an den Clients hatte, musste ich erst raus finden wie man das ganze Setup zwischen Fritzbox (Modem + Router) und UTM hinbekommt. Lösung hier war ULA in den Transfer Netzen zu deaktivieren.
Der nächste Schritt war zu begreifen, dass ich den internen Interfaces zunächst eins der 4 Netze (/62) welches die UTM bekommt dem internen Interface zuweisen muss. Interessant ist, dass die FritzBox sogar selbst ein /56 (256 Subnetze) hat. Nicht das ich es brächte, aber weiß jemand wie die UTM größere Netze Anfordern kann?
Das IPv6 Nat zu deaktivieren war dann die kleinste Aufgabe. Wobei mir der Sinn nicht ganz erschließt, da IPv6 kein NAT vorsieht.

Wie das mit den Präfix Änderungen so funktioniert werde ich dann noch sehen und genre berichten.
Zumindest verschickt die UTM schon fleißig Mails dass die die Präfixe geändert hat. Wie schnell die Clients das mit bekommen werde ich noch sehen. Und nein mein Privatkundenanschluss (ich meine auch schon BNG) bekommt bei jedem reconnect ein neues Präfix vergeben.

Intern benutze ich auch einiges mit statischen IPv4 Adressen, wobei IPv4 DHCP und DNS von PiHole verantwortet wird.
DHCP soll noch zur UTM umziehen, DNS aber bei dem PiHole bleiben. PiHole ist Upstream DNS der UTM.
DynDNS mache ich schon lange direkt von den Clients aus und wollte ich auch nicht umstellen. Spätestens mit IPv6 muss es eh der Client machen. Daher ist die Front unproblematisch.


Noch ein interessante Frage hinsichtlich der Proxies.
Gibt es einen Unterschied im Zertifikatshandling bei HTTPS zwischen Proxy (statisch/PAC) und transparent?
Bei HTTPS Interception binde ich mir ja das volle Paket mit Zertifikat Handling bzw. Warnmeldungen ans Bein oder?



Auf IPv6 zu verzichten halte ich heute für Fragwürdg. Ob man das zwinged in seinem Heimnetz braucht oder es nur am externen Gateway einsetzt ist dagegen ein anderes Thema. Aber spätestens wenn man einen IPv6 Only oder DS-Lite Anschluss hat, braucht man natives IPv6 um sich von außen erreichbar zu machen.


@Opticum: Was für Bugs hat du denn gefunden und beheben lassen?

 

[fdsonne]

@fdsonne: die UTM kann nur seinen WAN Endpunkt per Dyndns aktualisieren, nicht die IPv6 interner Adressen, das könnte aber auch direkt am client passieren (dyndns client)
Bei der Telekom soll man angeblich sein IPv6 Prefix statisch vergeben können (oder das nur bei business Anschlüssen)

Das meinte ich nicht mit dynamischen DNS - wenn du intern v6 fährst und das Netz nutzt, was der ISP dir zuweist, dann hast du spätestens nach den wie viel sind es per default? 180 Tagen oder so das Problem, dass du ein anderes v6 Netz vom ISP bekommst -> damit ändern sich also deine IPs im internen Netz. Damit du da aber nicht jedesmal den Spaß händisch mit statischen Einträgen irgendwo im DNS Server einklimperst gibts normalerweise dazu Autoupdates der Einträge.
Bei v4 informiert (bei richtiger Konfig) der DHCP Server bspw. den DNS Server über Updates von IPs bei bestehenden Namen. So weis ich bspw. immer, wenn ich reverse eine IP auflöse, welcher Host das ist. Und andersrum, wenn ich den Hostnamen kenne, weis ich welche IP der hat.

Bei v6 gibt es aber im Zweifel keinen DHCP für die Adressvergabe, wenn du eben die Autokonfigfeatures nutzt -> da aber im Fall von Sannyboy111985 die UTM ja die Autokonfig für die Clients rausgibt und auch die UTM nen DNS Server mitbringt wäre für mich die Frage ob man dem DNS der UTM hier mitgeben kann, dass der die Einträge bei IP Änderungen alleine umändert?
-> weil wenn das nämlich nicht geht, ist v6 mit Autovergabe intern völlig wertlos bzw. sogar kontraproduktiv. Eben weil du als User idR dir diese kryptisch zusammengewürfelten Adressen nicht merken willst/wirst und diese sich eben zyklisch noch ändern. Für Verbindungen im internen Netz wirst du also dann wahlweise DNS mit v4 Adressen nutzen oder v4 Adressen ohne DNS. -> dann kannste dir v6 intern auch direkt sparen. Nach extern surfst du ja über den Proxy der UTM und das auch via v6 wenn geht
Das mein ich damit...

Intern IPv6 macht schon Sinn beim Surfen wenn man die neue Technik einsetzen und sich damit auseinander setzen möchte.

Bei Sophos hatte ich selbst 2 Patches "provoziert" um Fehler zu beheben, war trotz Support Vertrag allerdings ein ziemlich zähes Unterfangen. IPv6 spielt im professionellen Umfeld (leider!) bis dato nur eine sehr kleine Rolle.

Wenn du über den Proxydienst surfst bei der UTM - funktioniert v6 eben auch ohne interne v6 Verteilung. Wie gesagt, ich fahr das seit Jahren so - du hast (fast) alle Vorteile von v6, erreichst alle Webserver via v6, sogar prefered über v6 und hast intern eben absolut keine Probleme. Mein Traffic auf der UTM stammt im Moment von gut 80% von googlevideo.com -> weil ich viel YT Videos einfach nur nebenbei dudeln lasse. Mit der v6 WAN IP der UTM absolut kein Problem - der Spaß geht via v6 raus und ich hab somit gut 80% v6 Traffic in Summe

Einziges Manko, schreibst du Exceptions für direkte Kommunikation, also am Proxy vorbei (bspw. im Pacfile für bestimmte Destinations oder wie auch immer), dann gehts natürlich nicht über v6 für diese Ausnahmen... Logisch.

Was v6 im Business angeht, da stimme ich dir (leider) zu - das Thema ist sehr sehr stiefmütterlich im Moment in den Köpfen. Teils aber eben auch, weil es Nachteile bringt, Dual Stack zu fahren und v6 only aktuell einfach noch nicht 100% funktioniert.
Gerade die größeren Hersteller im Business haben meist mit v6 ihre liebe Müh und Not. Ich selbst quäle mich da seit ein paar Jahren mehr oder weniger intensiv durch - mit dem Fazit, v6 im Business ist grausig im Moment...

Der nächste Schritt war zu begreifen, dass ich den internen Interfaces zunächst eins der 4 Netze (/62) welches die UTM bekommt dem internen Interface zuweisen muss. Interessant ist, dass die FritzBox sogar selbst ein /56 (256 Subnetze) hat. Nicht das ich es brächte, aber weiß jemand wie die UTM größere Netze Anfordern kann?

Das ist halt eigentlich nicht Sinn der Sache, dass du vorn viel größere Netze nutzt und hinten dann kleinere. Sondern die Wege sollten schon klar definiert sein. Oder versteh ich das gerade nur falsch??

Wahrscheinlich scheitert es aber dann dort bei der Fritzbox diese sauber konfigurieren zu können? Normalerweise müsste eigentlich auf dem Transferlink zwischen der FB und der UTM ein /64er Netz liegen. Hinter der UTM (also am intern Interface der UTM oder etwaigen anderen Interfaces außer WAN) gibt dann die UTM die Adressen raus -> die Netze, welche sie dafür nimmt, bekommt sie von der FB vorgegeben, in dem Fall das /62er Netz. Die UTM stückelt dann hier weiter aus diesem Bereich /64er Netze, eben wie sie benötigt.
Das WAN Interface der UTM wie auch das interne FB Interface sollten aber eben IPs aus nem anderen, sich nicht überlappenden Bereich des /62er haben! Sonst hast du da ggf. Probleme!
Wenn das gegeben ist, ist alles schick, wenn nicht? Ja dann wirds Dreckeffekte geben...

So wie das hier aber steht:
Wissensdatenbank | AVM Deutschland
sollte die FB das theoretisch sogar können...

Wie das mit den Präfix Änderungen so funktioniert werde ich dann noch sehen und genre berichten.
Zumindest verschickt die UTM schon fleißig Mails dass die die Präfixe geändert hat. Wie schnell die Clients das mit bekommen werde ich noch sehen. Und nein mein Privatkundenanschluss (ich meine auch schon BNG) bekommt bei jedem reconnect ein neues Präfix vergeben.

Die Clients sind da schmerzfrei - die haben so oder so mehrere IPs. -> siehste schon schön an deinem Screen oben, diese Temporären Adressen. Das ist quasi ein Privacy Feature. Die IPs der Clients ändern sich jetzt schon alle Nase lang.
Interessant wird das, wenn du eben versuchst den/einen Client über so ne IP anzusprechen. Denn irgendwann geht die halt nicht mehr Siehe oben...

Intern benutze ich auch einiges mit statischen IPv4 Adressen, wobei IPv4 DHCP und DNS von PiHole verantwortet wird.
DHCP soll noch zur UTM umziehen, DNS aber bei dem PiHole bleiben. PiHole ist Upstream DNS der UTM.
DynDNS mache ich schon lange direkt von den Clients aus und wollte ich auch nicht umstellen. Spätestens mit IPv6 muss es eh der Client machen. Daher ist die Front unproblematisch.

Kommt halt drauf an, was du willst - ich würde mich hüten einfach da jemanden vom INet aus bis direkt in die Innereien meines Netzes zu routen...
Die Verbindung terminiert die UTM/Firewall. Für Webfreigaben gibts ne WAF auf der UTM. Mir fällt spontan nur bedingt ein Fall ein, wo man direkt von Public bis auf einen Client geroutet werden müsste. Und wenn, dann kommt so ein Client in ne DMZ oder ein anderes abgeschottetes Netz...

Noch ein interessante Frage hinsichtlich der Proxies.
Gibt es einen Unterschied im Zertifikatshandling bei HTTPS zwischen Proxy (statisch/PAC) und transparent?
Bei HTTPS Interception binde ich mir ja das volle Paket mit Zertifikat Handling bzw. Warnmeldungen ans Bein oder?

Nö das ist gleich soweit ich weis.
Wenn du die Verbindung aufbrichst - braucht der Client das CACert der UTM um dem Spaß wieder zu vertrauen.
Bei Transparentem Proxy wäre eher URL Filtering only sinnig, es sei denn du kannst überall das UTM CACert hinterlegen.




Mal was anderes, wenn du sagst Telekom -> hast du irgendwas gemacht um da mehr wie ein einziges /64er Netz zugeteilt zu bekommen?
Mhhh - ich muss mal gucken, weil das nämlich bei mir klar die Spaßbremse Nummer 1 ist.

EDIT: OK ich bekomme doch mehr als ein /64er Netz, aber der Kollege Speedport beherscht keine Prefix Delegation und gibt nur ein einziges /64er Netz intern raus.
Die FB kann das hingegen -> deswegen funktioniert das bei dir.

Ich laß vorhin noch, dass die Firewall der FB nicht abschaltbar ist für die v6 Netze? Ist dem so? Weil dann wäre das für mich natürlich auch keine Option...
Mit dem Speedport Hybrid geht das angeblich, da sich über Telnet hidden Features freischalten lassen sollen - unter anderem der Spaß mit der Prefix Delegierung...

 

[TCM]

Mal was anderes, wenn du sagst Telekom -> hast du irgendwas gemacht um da mehr wie ein einziges /64er Netz zugeteilt zu bekommen?
Mhhh - ich muss mal gucken, weil das nämlich bei mir klar die Spaßbremse Nummer 1 ist.

Ich hab das nur grad aufgeschnappt. Ich hatte folgenden Ablauf damals im Debugging ermittelt:

1. Per PPPoE muss IPV6CP ausgehandelt sein, sonst geht gar nichts
2. Ist IPV6CP über PPP(oE) gelaufen, schickt der Telekom-Router periodisch router advertisements für ein /64er Transfernetz. Das kann man direkt nutzen oder sonstwas damit machen
3. Danach kann man sich per DHCPv6 ein zusätzliches /56er holen (was nicht das o.g. /64er umfasst)

 

[Sannyboy111985]

Ich antworte gerade mal kurz vom Tablet. Werde dann am Wochenende noch Details erganzdn, wenn nötig.

Zu den wechselnden Präfixen: mein Verständnis ist, dass die UTM damit umgehen kann. Gibt im IPv6 Menü einen renumbering Support. Werde das testen indem ich die Fritz Box neu verbinden lasse.
Ob das mit den Namen via IPv6 klapen wird zeigt sich dann. Die alle relevanten Server Dienste laufen auf statischen ipv4.


Zu den Subnetzen: laut FritzBox habe ich ein /56 zugewiesen. Solange ich zurück denken kann, hatte ich schon immer so ein Netz bekommen. Muste dafür nichts machen. Alerdings scheint die Box nur ein /62 zu deligieren.
Werde nachliefern ob das Netz zwischen der box und der UTM ein Teil oder ein extra Netz meines /56 Adressraums ist.

Mehrere IPv6 Adressen: Privacy Extention ist mir bekannt. Normal sollte ein Client folgende IPs haben: LinkLocal fe80, Service IP aus Präfix+MacAdresse (mein ich) und temporäre aus dem Präfix+gewürfelt.
Für den Teil mit der Mac gibt es eine genaue Vorschriften und die sind unique. Zumindest solange man keine Mac dupletten hat.

Erreichbarkeit aus dem Inet:
Die Services kommen noch in eine DMZ. Muss sukzessive umziehen.

Thema Zertifikate: die überall zu hintelegen fällt spätestens beim Blu-ray Player und SmartTV. Und bei allem anderen macht es reichlich Arbeit. Macht das jemand konsequent?

IPv6 Firewall der FritzBox: ja es gibt eine Einstellung die für die Delegierten Netze abzustellen bzw. Den traffic durchzulassen.


Gruß

 

[Opticum]

antworte nur ganz kurz:

IPv6 Renumbering funktioniert prima sobald sich der zugewiesene Prefix für die Sophos ändert, ändert er alle Interface Adressen und statischen Einträge im DNS ab
Die Fritzbox kann nur ein /62 vergeben. Feature Request hab ich schon bei AVM vor ca. 1 Jahr gestellt. Das die Firewall der Fritzbox überhaupt für delegierte Prefixe deaktiviert werden konnte, hat auch einige Support Anfragen gekostet (aber nicht nur von mir), vorher ging es nur "raus" aber nicht rein...

 

[DanFu]

nAbend zusammen.

Habe eine FritzBox Cable und möchte aus Spaß den DVB-C-Stream über die UTM an die internen Clients streamen.
Protokoll ist rtsp (554)

Test per Kabel an fritte klappt ohne Probleme
Test per WLAN an unifi AC-AP <- UTM <- fritte klappt zwar grundsätzlich. Allerdings bekomme ich da nur 2 Mbit von 10 erforderlichen, damit hakt das sehr und ich habe 2cm große Pixel
test per Kabel an Switch identisch zum wlan

Proxy, IPS, ApplC habe ich alles auf aus gestellt. Firewall auf intern-> any -> internet

Gibt es Ideen?

Dans

 

[Sannyboy111985]

Hallo zusammen,

hat jemand eine Idee wie ich bei einem Telekom VoiP Anschluss eine Gigaset C430a-GO VOIP Basis sauber druch die Firewall bekomme? der SIP Proxy funktioniert bei mir gar nicht, da schlägt schon die Anmeldung der Rufnummer in C430 fehl.

Mein Setup sieht so aus:

Fritzbox (PPPoE + SIP Server) <-> UTM <-> LAN mit C430a-Go
Derzeit habe ich eine Regel die allen Traffic zwischen der C430a-Go und der Fritzbox zulässt. Die Fritzbox dient damit als SIP Server vor der Firewall.


So wie ich das sehe Nutzt die Telekom folgende zwei FQDNS für VOIP (mehr ist in der C430 nicht eingetragen):
Für SIP werden 5060-5076 und für RTP 5004-5020 verwendet. Stun ist 3478. Kommunikation ist bidirectional erlaubt.


$ host tel.t-online.de
tel.t-online.de is an alias for ims.voip.t-ipnet.de.
ims.voip.t-ipnet.de is an alias for ims001.voip.t-ipnet.de.
ims001.voip.t-ipnet.de is an alias for do-epp-801.isp.t-ipnet.de.
do-epp-801.isp.t-ipnet.de has address 217.0.27.52

$ host stun.t-online.de
stun.t-online.de is an alias for stun-a01.isp.t-ipnet.de.
stun-a01.isp.t-ipnet.de has address 217.0.0.143
stun-a01.isp.t-ipnet.de has address 217.0.0.207
stun-a01.isp.t-ipnet.de has address 217.0.0.129
stun-a01.isp.t-ipnet.de has address 217.0.0.193


Interessanterweise versucht die C430 auch ständig die 148.251.243.162 via STUN zu erreichen, obwohl alle Gigaset Services deaktiviert sind. IP gehört wozhl zu Gigaset. Werde denen wohl mal einen Call spendieren.
Aber mein erster und einziger Kontakt mit denen war schon nicht toll. Die C430 schickt regelmäßig ein HTTP Packet mit seiner Seriennummer und internen IP an deren Server. Wenn man die URL selbst aufruft bekommt man einen Redirect auf seine lokale Box.
Aber Dokumentiert ist das nicht. Werde denen da wohl noch einmal Druck machen wenn die neue DSGVO im Kraft tritt...

 

[TCM]

Hier habe ich keine Probleme, ein Snom-Telefon einfach an tel.t-online.de anzumelden, ohne STUN, ohne Proxy. Ich muss nur das NAT-Keepalive auf 30s oder so setzen, weil meine Firewall sonst die States verliert und eingehende Gespräche nicht mehr gehen. Aber ansonsten hatte ich bisher absolut keine Probleme.

Dass beim SIP-Prokoll interne Adressen auftauchen, liegt daran, dass das absolut ranziger Mist ist, den anscheinend Telefonleute implementiert haben, die von Netzwerken keine Ahnung haben. SIP ist so ziemlich das Abartigste, was man als Protokoll finden kann.

 

[martingo]

Ich verstehe nicht, was du vorhast, da du dir widersprichst.

Soll
1.) Das Gigaset die Telekom Voip Daten bekommen? Dann hat die Fritzbox keine Aktien mehr. Dem widerspricht, dass du die FB als SIP Server bezeichnest.
2.) Die Fritzbox die Telekom Voip Daten bekommen und als SIP Server interne Nummern bereitstellen, auf die die externen Durchwahlen geroutet werden? Dem widerspricht, dass Du offensichtlich zwei Telekom SIP Server ins Gigaset eingetragen hast.

Prinzipiell beides gängige Szenarien, aber ich denke, dass Du irgendeinem Denkfehler aufsitzt. Erkläre doch mal, was Du vorhast.

 

[Sannyboy111985]

Hätte die beiden Szenarien vielleicht klarer von einander abgrezen müssen.
Das Ziel ist dass das Gigaset direkt mit den VoiP Systemen der Telekom spricht. Unabhänig ob der SIP Proxy an oder aus ist, kann ich keine Verbindung herstellen.
Damit die Telefonie zunächt überhaupt funktioniert, nutze ich die FB noch als SIP Server.

@TCM: Das heißt du hast nur ausgehenden Traffic zu tel.t-online.de erlaubt? Ohne SIP Proxy und STUN?
@Martingo: Ich will Szenario 1.

 

[TCM]

Eingestellt ist Tel-Nr. (Nummer mit Vorwahl, ohne +49 oder sonstiges), Benutzername und Realm tel.t-online.de, mehr nicht.

                <user_realname       idx="1" perm="R">[...]</user_realname>
                <user_name           idx="1" perm="R">0[...]</user_name>
                <user_host           idx="1" perm="R">tel.t-online.de</user_host>
                <user_pname          idx="1" perm="R">[...]@t-online.de</user_pname>
                <user_pass           idx="1" perm="R">[...]</user_pass>
                <keepalive_interval  idx="1" perm="R">25</keepalive_interval>

 

[bastis0]

Ich hab mal eine Frage an die etwas erfahrerenen Jungs von euch. Aktuell habe ich eine UTM 110/120 laufen, welche nur 60/25 D/U schafft. Verbaut ist noch die original Festplatte. Meint ihr, ich bekomme noch ein wenig mehr durch, wenn ich eine 64/128GB SSD einbaue oder eher nicht?
Ansonsten habe ich mal was von der Zotac ZBOX CI327 gelesen (Celeron N3450 und dual Netzwerk). Hat einer diese und kann mir sagen, wieviel Durchsatz diese schafft und wieviel Strom die verbaucht?

 

[Opticum]

bastis0: du könntest Logging mal deaktivieren und schauen ob der Durchsatz dadurch steigt. Ansonsten macht das eig. keinen Unterschied beim Durchsatz da der Traffic nicht über die Festplatte läuft. Den Zotac würde ich nicht nehmen da er keine dual intel Netzwerkkarten hat. Eher einen Qotom aus China oder was kleines mit extra Netzwerkkarten...

 

[MrDeluxe]

Hallo Community,

ich werde bei der Internetrecherche etwas Irre. Ich betreibe aktuell hinter einem Unitymedia Router (HorizonBox) eine Sophos UTM 9.5. Nun ziehe ich bald um und bekomme VDSL100 der Telekom. Da sich die Sophos UTM nicht alleine anmelden kann bzw. kein analogen TV-Anschluss besitzt und sich auch mit dem Entertain TV der Telekom etwas schwierig tut (Sprichwort: IGMP Proxy) benötige ich ein Endgerät, welches sowohl die Einwahl des VDSL2 übernimmt, Entertain TV ready ist, ein anolog Telefonanschluss bietet und auch auch bei einem BNG-Netz funktioniert. Könnt ihr mir dazu, zu einem preisgünstigen Endgerät raten?
Ich könnte mir den Speedport W724V holen für ca. 50€. Laut Internetberichtet ist das Teil etwas instabil. Dann gäbe es den DrayTek Vigor130 für schlappe 100€ dabei kann das Teil auch nur das was der W724V kann. Die Fritzbox 7490 für 189€ wäre von Stabilität und Features am besten. Das meiste brauche ich aber nicht aufgrund meiner Sophos UTM.

 

[Fatality]

Hallo Community,

ich werde bei der Internetrecherche etwas Irre. Ich betreibe aktuell hinter einem Unitymedia Router (HorizonBox) eine Sophos UTM 9.5. Nun ziehe ich bald um und bekomme VDSL100 der Telekom. Da sich die Sophos UTM nicht alleine anmelden kann bzw. kein analogen TV-Anschluss besitzt und sich auch mit dem Entertain TV der Telekom etwas schwierig tut (Sprichwort: IGMP Proxy) benötige ich ein Endgerät, welches sowohl die Einwahl des VDSL2 übernimmt, Entertain TV ready ist, ein anolog Telefonanschluss bietet und auch auch bei einem BNG-Netz funktioniert. Könnt ihr mir dazu, zu einem preisgünstigen Endgerät raten?
Ich könnte mir den Speedport W724V holen für ca. 50€. Laut Internetberichtet ist das Teil etwas instabil. Dann gäbe es den DrayTek Vigor130 für schlappe 100€ dabei kann das Teil auch nur das was der W724V kann. Die Fritzbox 7490 für 189€ wäre von Stabilität und Features am besten. Das meiste brauche ich aber nicht aufgrund meiner Sophos UTM.

7490 grad im angebot für 160 und du hättest potential alles mögliche zu testen bzw zu variieren. ansonsten hat der vigor130 einen guten ruf als single modem.