[Sammelthread] Sophos UTM-Sammelthread

No offense, aber bist du sicher dass so n komlexes Geraet das Richtige fuer dich ist?
Offensichtlich fehlen dir fundamentale Grundlagen fuer den korrekten Betrieb von so nem Ding.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
No offense, aber bist du sicher dass so n komlexes Geraet das Richtige fuer dich ist?
Offensichtlich fehlen dir fundamentale Grundlagen fuer den korrekten Betrieb von so nem Ding.

Völlig unnötiger Kommentar... warum lasst ihr die Leute nicht einfach damit rumspielen, wenn sie Spaß daran haben?
Learning by Doing und wer hier nicht helfen mag, muss es ja nicht.



@ AvantFighter:
Was sagen denn die Livelogs beim Download?
 
Völlig unnötiger Kommentar... warum lasst ihr die Leute nicht einfach damit rumspielen, wenn sie Spaß daran haben?
Learning by Doing und wer hier nicht helfen mag, muss es ja nicht.
Üben kann man im LAB, aber nicht wenn die FW zum Spielen auch die einzigste FW zwischen Drinnen und Draußen ist...

Ich bleibe da aber inzwischen auch eher Neutral. Solange es mich nicht betrifft, kann man helfen - Muss jeder selbst wissen.
 
Eine kleine Frage in die Runde:

Mein Internet kommt von Unitymedia. Vor ca 6 Wochen haben die mir eine neue Config ins Modem eingespielt, was ich auch nur gemerkt hatte nachdem mein Nextcloud Sync auf dem Handy nicht mehr wollte.
Somit habe ich jetzt aktuell eine IPv6 Adresse bzw. DS-Lite. Im Chat wollte man mich auch wieder zurück stellen. Irgendwas wurde gemacht, aber dazu gleich.
Bevor ich jetzt mit denen telefoniere hätte ich noch die ein oder andere Frage:

Wenn ich das richtig verstehe, ist es mit DS-Lite nicht möglich ein Portforwarding zu betreiben. Ich gebe zu das hat einfach noch nicht klick gemacht, was IPv6 und DS-Lite betrifft.
Hätte ich eine, ich nenne es mal vollwertige, IPv6 könnte ich in den Einstellungen der ConnectBox das bestimmt wieder zum Laufen bekommen.
Ich habe auch in div. Foreneinträgen im Community Forum von Unitymedia gelesen, dass man z.b. per ipv6-test.com seine "Daten" abfragen soll.
Vor 6 Wochen kam definitiv noch was anderes raus, akt. habe ich eine IPv4 Adresse, IPv6 ist nicht supported und nur ein DNS6 + V4 ist reachable.

In der ConnectBox kann ich nach wie vor keine IPv4 Portforwardings erstellen, nur IPv6.
Dazu müsste ich natürlich erstmal noch im Heimnetz div. Voraussetungen schaffen. Dazu habe ich im Moment recht wenig Lust.

Wie ist eure Erfahrung mit DS-Lite/IPv6?
Im Endeffekt brauche ich nur einen TS-Server und div. Web-Dienste die ich von extern erreichen möchte. VPN auf OpenVPN/SSL VPN der Sophos wäre auch gut.
Läuft das alles irgendwie unter DS-Lite? OpenVPN soll wohl nicht gehen, IPsec wird wohl von v6 unterstützt.

Danke
 
Wie die haben das geändert?
Wenn du vorher IPv4 hattest, dann bleibt es bei IPv4, die können das nicht einfach so ändern und schon mal gar nicht ohne dich vorher zu informieren.

Ansonsten ja UM nutzt DS-Lite und da wirst du Port Mapper nutzen müssen um deine IPv4 Geräte weiterhin erreichen zu können.

Ich hab natives IPv6 von der Telekom, funktioniert einwandfrei mit der UTM.
 
Die Dame am Chat hat das wohl auch so gesehen, dass ich mal v4 hatte und das umstellen lassen wollen.
Aber wie gesagt, umgestellt haben die das, oder etwas, laut Testseite bin ich jetzt wohl nur noch auf v4

Laut ConnectBox Status habe ich auch nur eine v6 Adresse bzw. eine Config die ds-lite im Namen enthält.
Ich blick es echt nicht was die da genau getrieben haben.

Noch irgendwo nen Dienst nutzen zu müssen wollte ich umgehen.
Wenn das nicht geändert werden kann, ist es evtl. so. Dann kann man sich das auch noch mal Überdenken die Sophos auf ne dedizierte HW zu packen bzw. ob ich den ganzen Aufwand dann überhaupt noch weiter betreiben will.

Bevor ich jetzt was durcheinander würfel: PortMapper ist dann etwas in der Sophos oder ein ext. Dienst von einen dyndns Anbieter o.ä.?
Wenn ich meine Infrastruktur bis zur UTM WAN seitig auf v6 umgestellt bekomme klappt das nur eingeschränkt?
 
Naja, Du könntest Dir ja nen günstigen VPS holen und ein VPN von der UTM zur dem VPS aufbauen und darüber die Dienste dann betreiben - nicht schön, aber vlt. die einfachere Methode.
 
Das einfachste ist einfach da anzurufen oder von mir aus in den Chat rein und die sollen die TechSpecs wieder so herstellen wie sie waren, nämlich IPv4. Da hat mal wieder jemand bei der Provisionierung im backend gepennt.
 
Das einfachste ist einfach da anzurufen oder von mir aus in den Chat rein und die sollen die TechSpecs wieder so herstellen wie sie waren, nämlich IPv4. Da hat mal wieder jemand bei der Provisionierung im backend gepennt.

Naja - Die stellen das wahrscheinlich um, weil es 99% der User ähh nicht merken. Die wenigen Technerds zählen da einfach nicht - Zumal im Freundeskreis gehen die meisten jetzt auch eher richtung irgendwo etwas mieten, statt im Keller nen kleinen Server zu haben...
 
Naja - Die stellen das wahrscheinlich um, weil es 99% der User ähh nicht merken. Die wenigen Technerds zählen da einfach nicht - Zumal im Freundeskreis gehen die meisten jetzt auch eher richtung irgendwo etwas mieten, statt im Keller nen kleinen Server zu haben...

Kein Kommentar. :lol:
 
Hi,

ich habe aktuell in der Firma ein kleines Problem, evtl. hat einer einen Ansatz für mich.

Aufbau:
- Firewall A ( externe IP 0.1 )
- Firewall B ( externe IP 0.2 )
Beide verbunden mit der Astaro (8er).
Die Astaro scheint mir hier ein Routing zu betreiben, wenn ich mir eine interne IP Adresse gebe 10.10, dann gehe ich über FW A raus, wenn ich mir die 10.11 gebe, gehe ich über FW B raus.
Ich kann in keinem Routing herausfinden, wie das passiert, aber traceroute fängt immer mit der Astaro an...
Gibt es etwas auf der Astaro Shell was man dazu noch prüfen könnte was man nicht über die Config-Page sehen kann? Oder hat irgendwer einen anderen Ansatz das zu checken? Der Netzwerkadmin der das eingerichtet hat ist leider nicht greifbar ^^
 
klingt erstmal nach NAT (Networkprotection ==> NAT ==> Masquerading und NAT) oder Multipath rules (Interface & Routing => Interfaces => Multipath Rules)

gibt es dort aktive Einträge?
 
Hi,

danke erstmal für die Antwort. Es scheint mir eher so, als würde die Astaro amok laufen - Dinge die funktionierten, funktionieren nicht mehr, im Log taucht nichts auf, NAT - Regeln sind auch weg, nichts jedoch im Log im Admin-Bereich zu finden.
Ich habe nun eine Ersatz ASG320 bestellt, auch wenn der Römer nciht der flotteste ist - mal gucken was das wird und ob dann die Probleme wieder in den Griff zu bekommen sind...
Eine 8er ISO für HW Appliances hat wohl keiner mehr liegen? ^^
 
Ich hätte noch einen 8er ISO für die Hardware Appliances (ssi-8.910-26.1.iso).
Wenn du die brauchst einfach melden dann schick ich dir einen Download
 
Gibts hier jemanden mit aktuellem Wissen zum Thema LetsEncrypt implementierung bei der UTM?
Da war doch vor einiger Zeit mal was auf den Folien zu sehen...
Wann soll das denn nun kommen?
 
Tag zusammen,

ich habe die Frage auch schon im sophos Forum gestellt, aber leider bisher noch keine Antwort erhalten, vielleicht hat jemand eine Idee. Mir fehlt irgendwie der Ansatz das Problem auf die schliche zu kommen. Bezieht sich zwar auf die XG, aber vieles deckt sich ja ;)

seit der Umstellung von der Sophos UTM auf die XG Firewall (Home-Einsatz in einer Demo-Umgebung) habe ich circa alle 60 Pings einen Paket-Verlust, unabhängig des Ziels.

Meine erste Vermutung lag bei der MTU als Ursache, aber nach diversen Tests + Einholung der wirklich korrekten MTU vom Provider scheint dies nicht die Ursache des Problems zu sein.



Testweise habe ich ebenfalls versucht sämtliche Richtlinien zu deaktivieren, aber auch ungefiltert bleibt der Package Loss bei 2% aller abgesetzten Pings.



Hat jemand eine Idee was das verursachen könnte?
 
Unterschiedliche H/W Offloading Settings der NICs?
 
Flood Potection!
Mal deaktivieren und Testen. ggf. dann Werte erhöhen.

Hat diverse Effekte zur Folge, wenn die der Meinung ist die müsste da Pakets droppen... ist halt alles noch BETA was XG da versucht...
 

Anhänge

  • XG-DDos.PNG
    XG-DDos.PNG
    32,7 KB · Aufrufe: 80
Zuletzt bearbeitet:
Ich hätte noch einen 8er ISO für die Hardware Appliances (ssi-8.910-26.1.iso).
Wenn du die brauchst einfach melden dann schick ich dir einen Download
Danke schon Mal. Hmmm irgendwie ist auf der Asg320 bei 8.316 Schluss für uns gewesen - ob dann eine 8.9er laufen wird?
Und auch das Backup rein geht ? Wenn nicht kann ich im Prinzip direkt auch die 9er einspielen denke ich...
 
Hat jemand schon Erfahrungen mit 10 Gbit Flexi Ports sammeln können? Wird der Durchsatz durch Routing erreicht?
 
Hi, bräuchte eure Hilfe.

Habe eine Sophos am laufen, alles funktioniert ohne Probleme, habe jetzt eine Site by Side IPsec Verbindung zu einem anderen Netzwerk mit Lancom FW aufgebaut, diese steht und Funktioniert und ich kann auf die Sachen im anderen Netzwerk zugreifen.

Das Problem ist, das nach einer derzeit unbekannten Zeit die Verbindung abbricht und nicht aufgebaut wird, ich muss die VPN Verbindung manuell deaktivieren und aktivieren, danach steht diese wieder, bis irgendwann ein abbruch stattfindet.
Finde keine Option für einen automatischen WIederaufbau oder bin blind.

Hoffe ihr könnt mir helfen
 
Hi, bräuchte eure Hilfe.

Habe eine Sophos am laufen, alles funktioniert ohne Probleme, habe jetzt eine Site by Side IPsec Verbindung zu einem anderen Netzwerk mit Lancom FW aufgebaut, diese steht und Funktioniert und ich kann auf die Sachen im anderen Netzwerk zugreifen.

Das Problem ist, das nach einer derzeit unbekannten Zeit die Verbindung abbricht und nicht aufgebaut wird, ich muss die VPN Verbindung manuell deaktivieren und aktivieren, danach steht diese wieder, bis irgendwann ein abbruch stattfindet.
Finde keine Option für einen automatischen WIederaufbau oder bin blind.

Hoffe ihr könnt mir helfen

wer ist den Initiator und wer responder?
ggf. die Rollen mal tauschen...

wenn ich mich recht entsinne gibt es beim Lancom, wie bei Bintec (Funkwerk) eine Einstellungen zur Lifetime, nachder (in %) versucht wird die Schlüsselpaare zu erneuern. Standard ist 80%, muss aber in Verbindung mit Sophos auf 100% gestellt werden.
 
Hallo Leute,

Nachdem meine alte Hardware gestorben ist, habe ich eine Neuinstallation auf Basis Zotac CI327 durchgeführt und seit dem nur Probleme gehabt. (Latenzen, external Interface ohne reaktion, 100% CPU, NTP aysnc, etc.) die letzten zwei Wochen habe ich alles abgeschalten bis auf die magische any-any-any Firewall Regel. Immernoch alle zwei Tage ein manueller Reboot notwenig.

Inzwischen hab ich die Schnauze voll und bin jetzt auf der suche nach einer neuen Hardware.
Hat jemand von euch eine Empfehlungen für aktuelle Energiesparende Hardware? Onboard dual Ethernet ist nicht zwingend notwendig, ich habe noch die alte dual Port Intel Karte.

Gruß Jens
 
Keine Ahnung wieviel Leistung du benoetigst.
Wuerde jedoch als Basis einen aktuellen i3 ins Rennen werfen.
2 Ram Riegel rein, ne SSD drauf und fertig is die Laube.

Frisst kaum Heu und deckt die Anforderungen unserer Neuland-Anbindungen fuer Privatzwecke idR vollstaendig ab :-)
 
Achso stimmt, da fehlt ja was :-)
2 User hinter einer VDSL50 Leitung.
Keine selbstgehosteten Dienste die raus telefonieren wollen, einfach nur Firewall, Web Protection und Anti Virus. Nix wildes.

Ich hatte die Hoffnung ein kleines fertig System verwenden zu können und nicht auf ein selbstbau micro atx setzen zu müssen, tja war halt nix..
 
Hallo, ich wollte jetzt auch mal die Free Variante ausprobieren. Aber ich weiß nicht, ob ich hier jetzt richtig bin...

Ich hab mich registriert um die Sophos Home Free herunterzuladen. Da steht was von bis zu 3 Endgeräten.

Ist das wieder was anderes wie die Sophos UTM free oder ist das das selbe? Ich wollte eigentlich eine Firewall usw testen, keinen Virenscanner...
 
Ok, danke.

Ich bin gerade am überlegen, wie ich mein Heimnetzwerk neu aufsetzen kann.

In der Arbeit bekommen wir demnächst auch neue Hard- und Software. Da kommt dann eine Sophos Sg 210 und mehrere Sophos Red für die Aussenstellen zum Einsatz, außerdem Sophos APs für die zentrale WLAN-Verwaltung.

Das gibts ja auch alles (oder ähnlich) von Ubiquity.


Kennt sich hier jemand näher aus? Was taugt mehr? Die Sophos APs oder die von Ubiquitiy? Die Ubiquitiys haben ja auch die zentrale Verwaltung über den Unify-Server.


Oder lieber Mischbetrieb? Firewall / UTM von Sophos und bei WLAN auf Ubiquity setzen?
 
Ok gibt ne UTM und ne XG Firewall als Home Edition und welche soll es jetzt sein wenn man sich damit beschäftigen möchte?

Ok einer der Unterschiede die ich jetzt festgestellt habe ist das die UTM auf 50 IP Adressen limitiert ist und die XG unlimited IP Adressen anbieten aber auf 4 Cores und 6GB Ram limitiert ist. Nur bei den Funktionen spalten sich anscheinend die Geister, wie schaut es da mit Erfahrungen von eurer Seite her aus, Empfehlungen?
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh