[Sammelthread] Sophos UTM-Sammelthread

[Opticum]

Kennt sich hier jemand näher aus? Was taugt mehr? Die Sophos APs oder die von Ubiquitiy? Die Ubiquitiys haben ja auch die zentrale Verwaltung über den Unify-Server.


Oder lieber Mischbetrieb? Firewall / UTM von Sophos und bei WLAN auf Ubiquity setzen?

Mischbetrieb. Die P/L der Sophos APs passt m.E. nicht zusammen. Es mag sicherlich Umgebungen geben wo es Sinn macht Sophos APs für die Integration einzusetzen, aber das muss sich rechnen lassen und das wird es für privat eher nicht.

Man zahlt einen großen Teil des Preises rein für den Komfort das alles aus der UTM konfigurierbar ist. Ob es das einem Wert ist oder man lieber flexibel bleiben möchte und wirtschaftlich günstiger fahren mag, das muss jeder selber wissen.

 

[AvantFighter]

Hat jemand seine Fritzbox per VPN mit der Sophos verbunden?

Krieg es nicht hin, hab eine 6340 von Unitymeda, die Sophos hat eine FesteIP.
Habs nach der Anleitung gemacht :Site2Site VPN with Sophos UTM and FritzBox - Network Guy
Auf der Sophos kommt nix an, die Fritzbox meldet nur TimeOut

Habs auch anders rum probiert, das die Sophos die Verbindung initiert, doch auf den Sophos logs kommt die Meldung “öffentlicheIPderFritzbox:500 failed in main_outI1. Errno 1: Operation not permitted ”

 

[katzenhai]

Kann es sein das die Fritzbox keine echte IPv4 Adresse hat. Wenn du einen IPv6 Anschluss mit DSlite hast wird das nicht so einfach gehen und du musst das ganze auf beiden Seiten über IPv6 machen sofern dir dein Provider keine echte IPv4 Adresse geben kann.

Um zu Testen ob die Adresse auf seiten der Fritzbox nutzbar ist müsstes du probieren, ob du das Webinterface der Fritzbox über die IPv4 Adresse erreichst, wenn du auf der Fritzbox die Fernwartung erlaubst.

 

[AvantFighter]

Hab auch DynDNS aktiv, in den EInstellungen vom "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" steht die IPv4 und DynDNS Adresse, aber wenn ich auf die IP /Adresse zugreifen will, kommt
"Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Keine gemeinsamen Verschlüsselungsalgorithmen. Fehlercode: SSL_ERROR_NO_CYPHER_OVERLAP "

Laut AVM
An einem Internetzugang mit DS-Lite ist die FRITZ!Box nicht über IPv4 aus dem Internet erreichbar. Bei aktivem DS-Lite wird in der FRITZ!Box-Benutzeroberfläche auf der Seite "Übersicht" unter "Verbindungen" der Status "IPv4 über DS-Lite" angezeigt.

Dort steht bei mir nix über DS Lite
verbunden seit 28.10.2018, 22:15 Uhr, IP-Adresse: xx.xx.xx.xx

 

[katzenhai]

Es geht hier nicht um DynDNS sondern darum, das viele Kabelinternetanbieter in den Brot und Butter Tarifen IPv4 nur über DSlite bereitstellen. Das heißt, die IPv4 Adresse die du siehst ist genattet weshalb keine eingehende Kommunikation möglich ist.
Wenn von außen mit keinem Browser auf die Fritte Fernwartung über die IP Adresse möglich ist, wird das wohl so ein Anschluss sein. Mindestens ein Browser sollte sich dazu übereden lassen, die Seite trotz falschem Zertifikat anzuzeigen.

 

[[SoD]r4z0r]

Hallo zusammen,

habe eine Frage zum Thema IPv6. Kurze Info zu meiner Infrastruktur: ISP (NetCologne mit dynamischer IPv4, IPv6) -> Fritze -> Sophos -> Access Point und dahinter meine Endgeräte.

IPv6 in der Sophos ist aktiv und in der IPv6 Übersicht bekomme ich folgende Info:
Native over External (WAN): 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:1234
Subnet: 2001:xxxx:xxxx::/64
Delegated Prefix: 2001:xxxx:xxxx:xx::/62

Die o.g. IPv6 liegt auf dem WAN-Interface an, soweit so gut. Das delegierte Prefix würde ich aber gerne in meinem internen LAN nutzen. Vom Gedanken her das die Sophos DHCPv6 macht im Bereich des delegierten Prefix und meine Endgeräte eine entsprechende IPv6 bekommen.
Allerdings sind die Adressen dynamisch, d.h. ab und zu ändert sich auch die IPv6 und das delegierte Präfix. Da sollte mir nach meinem Verständnis das automatische IPv6 Renumbering weiterhelfen. Laut Beschreibung wird auch alles relevante (DHCPv6, DNS, Definitions und Interface Adresses) aktualisiert.

Wie muss ich hier vorgehen, um für mein LAN IPv6 mit dem delegierten Präfix inkl. DHCPv6 zu aktivieren?
Ich könnte manuell eine IPv6 fürs LAN Interface vergeben und anschließend händisch den DHCPv6 konfigurieren, aber ist das der richtige Weg? Greift dann das IPv6 Renumbering und konfiguriert mir die LAN Interface und das DHCPv6 Präfix um?

 

[onotop]

Hallo,

wollte soeben die kostenlose Version über Proxmox installieren. Leider erhalte ich bei Step 5/6 die Meldung "RPM installation error" zu sehen ist noch das versucht wurde das Paket ep-urid-9.. zu installieren. Sobald die installation startet steht im Sophos installationsfenster "/usr/bin/tee: /dev/ttyS0: Input/output error"
Wenn ich die ISO ohne Proxmox installieren funktioniert ist. Folgenden Proxmox config habe ich:

ISO als CDROM gemoutet
virtio0 - 11GB gcow2 ohne cache
1 Socket, 2 Cores, kvm64
2048MB Speicher
und drei netzwerkkarten durchgereicht

kann mir da jemand helfen?

 

[p4n0]

Kannst was anderes als virtio testen?
I/O error sieht nach HDD Problem aus.

 

[bastis0]

Sagt mal, bei der Sophos Home Variante, ist ja das Endpoint Protection (Anti Virus) freigeschaltet.
Welche Version ist dies? Vergleichbar mit der richtigen Sophos Anti Virus oder ist auch diese Version eingeschränkt und Funktionstechnisch kastriert?
Es nähert sich das Ende des Jahres und ich muss mir Gedanken machen, ob ich das Sophos Endpoint nehme oder ob ich doch wieder Geld in die Hand nehme, für eine Kaufversion (Eset NOD oder Sophos Home Premium)

 

[onotop]

Kannst was anderes als virtio testen?
I/O error sieht nach HDD Problem aus.

hab es hin bekommen. Habe SATA und IDE probiert das gleiche Problem. Hab Proxmox neu installiert mit ext4 und installtion hat geklappt.
Danke erstmal für die Hilfe

 

[G6_of_UNSATO]

Sagt mal, bei der Sophos Home Variante, ist ja das Endpoint Protection (Anti Virus) freigeschaltet.
Welche Version ist dies? Vergleichbar mit der richtigen Sophos Anti Virus oder ist auch diese Version eingeschränkt und Funktionstechnisch kastriert?
Es nähert sich das Ende des Jahres und ich muss mir Gedanken machen, ob ich das Sophos Endpoint nehme oder ob ich doch wieder Geld in die Hand nehme, für eine Kaufversion (Eset NOD oder Sophos Home Premium)

Die Endpoint Protection von der UTM wird seit Jahren nicht weiterentwickelt und lohnt auch nicht. Der Schutz ist der gleiche wie bei der On Premise Business Lösung, aber die Verwaltung ist der Horror...
Geb lieber die 40€ pro Jahr für 10 Geräte aus. mit Intercept X und den ganzen richtig netten anderen Features

 

[bastis0]

Die Endpoint Protection von der UTM wird seit Jahren nicht weiterentwickelt und lohnt auch nicht. Der Schutz ist der gleiche wie bei der On Premise Business Lösung, aber die Verwaltung ist der Horror...
Geb lieber die 40€ pro Jahr für 10 Geräte aus. mit Intercept X und den ganzen richtig netten anderen Features

Danke für die Info...Dann doch wieder Geld ausgeben
Aber 40€ inkl. Intercept X? Wo....welches Produkt ?
Das Sophos Home Premium ist die reine AV Lösung und ich dachte, die Intercept X Lösung wäre eine zusätzliche, welche mit der AV Lösung zusammen mal eben, pro Arbeitsplatz, ~110€ kostet


Gerade erst mal nachgeschaut... Der Home Premium Schutz hat ja tatsächlich einen kleinen intercept x integriert. Wird nirgends genauer dargestellt. Na, klingt schon mal gut, vor allem, da intercept x wirklich gut klingt

 

[G6_of_UNSATO]

Sophos Home | Cybersicherheit leicht gemacht

Cybersecurity nach Unternehmens-Standards

Zum ersten Mal sind viele Echtzeit-Schutzfunktionen von Intercept X, unserer marktführenden Endpoint Protection für Geschäftsanwender, auch in Sophos Home verfügbar. Damit erhalten Sie den gleichen Schutz, dem führende Banken, Behörden und Unternehmen auf der ganzen Welt vertrauen.

Da Cloudbasiert, sind es die vollwertigen Intercept X Module für Standalone Endpoints:
Malicious Traffic Detection (MTD)
Ransomware File Protection (CryptoGuard)
Sophos Clean
...

 

[Olaf16]

Die Endpoint Protection von der UTM wird seit Jahren nicht weiterentwickelt und lohnt auch nicht. Der Schutz ist der gleiche wie bei der On Premise Business Lösung, aber die Verwaltung ist der Horror...
Geb lieber die 40€ pro Jahr für 10 Geräte aus. mit Intercept X und den ganzen richtig netten anderen Features

Ja - Da wird gefühlt einiges nicht mehr groß weiterentwickelt. Gefühlt habe ich auch in den letzten Monaten kaum Updates erhalten - Das war vor 2-3 Jahren noch anders, wenn ich meinen Routinecheck der Logs usw. gemacht hab und dafür mich in der FW angemeldet hab.
Wird die AV Engine in der Firewall selbst zumindest noch geupdated?

Sophos Home | Cybersicherheit leicht gemacht

Da Cloudbasiert, sind es die vollwertigen Intercept X Module für Standalone Endpoints:
Malicious Traffic Detection (MTD)
Ransomware File Protection (CryptoGuard)
Sophos Clean
...

Kann man das auch irgendwie in die Firewall integrieren?

 

[G6_of_UNSATO]

Ja - Da wird gefühlt einiges nicht mehr groß weiterentwickelt. Gefühlt habe ich auch in den letzten Monaten kaum Updates erhalten - Das war vor 2-3 Jahren noch anders, wenn ich meinen Routinecheck der Logs usw. gemacht hab und dafür mich in der FW angemeldet hab.
Wird die AV Engine in der Firewall selbst zumindest noch geupdated?

Die wird noch mit Updates versorgt, aber es ist leider sehr traurig, dass die Entwickler und Supporter wohl alle zum XG Projekt geschoben wurden...
Solange es dort aber nach BETA aussieht werden ich mit und meine Kunden nicht wechseln.
Beispiele sind ja any-any-deny FW Regel und der Traffic geht trotzdem durch und solche Scherze.
Web Filter Log bleibt stundelang leer, obwohl 20 Leute wie wild am surfen sind... und ein Protokoll zum nachträglichen (Archiv) reinschauen gibt es gar nicht erst.
Soll man halt alles per SSH auf der Debugconsole machen.

Kann man das auch irgendwie in die Firewall integrieren?

Der war gut XD
Synchronized Security ist ja schon vom Ansatz her sehr gut, bedingt dann aber auch, dass möglichst viele Geräte in eigenen Netzwerken hängen, sonst ist die XG da ja nicht zwischen.

Viele Firmen setzen XG mit Synchronized Security deshalb auch zur Netztrennung intern ein und eine SG dann für STMP MTA, WAF, und VPN GW zum Internet hin.

 

[Olaf16]

Die XG hatte ich mal zum Testen (NFR Gerät) - Ist oder war damals, als eingeführt, der gleiche scheiß wie Cyberoam (Hatte so ne graue FW auch als Test/NFR Gerät nach einer "Schulung"/Veranstaltung). Verwundert aber ja nicht, da die glaube ich von Sophos aufgekauft wurden kurz darauf und daraus die neue FW kam?
Das mit der any-any-deny Sache hört sich eher nach schlechter Config an - Ich hab das aufgegeben, weil die Konfiguration totaler schwachsinn ist. Finde es so wie die Sophos UTM und die Watchguard machen eig. sehr gut.

 

[Fr3@k]

Hallo Leute,
es gibt wieder mal Neuigkeiten, die UTM 9.6 ist veröffentlicht worden!

Aktuell wird das Update auf diese Version aber noch nicht per Up2Date verteilt und muss manuell vom FTP heruntergeladen werden
Index of /pub/UTM/v9/up2date/

Release Notes:
UTM Up2Date 9.600 Released - UTM 9 Release Notes - Sophos UTM 9 - Sophos Community

Es sind einige Interesse Änderungen dabei, das Populärste dürfte aber die Let's Encrypt Unterstützung sein.

 

[p4n0]

Jetzt bin ich aber gespannt, warte seit gefuehlten 2 Jahren drauf ^^

 

[DanFu]

Hallo in die Runde,

eine Frage zur WAF - Source IP passthrough

Auf meinem WebServer wird als angenmeldete IP immer die interne IP der UTM angezeigt und nicht die öffentliche des anfordernden Clients.
Der Punkt "Hostheader durchreichen" ist aktiviert.

Habe ich noch was vergessen?

 

[Fr3@k]

Hallo in die Runde,

eine Frage zur WAF - Source IP passthrough

Auf meinem WebServer wird als angenmeldete IP immer die interne IP der UTM angezeigt und nicht die öffentliche des anfordernden Clients.
Der Punkt "Hostheader durchreichen" ist aktiviert.

Habe ich noch was vergessen?

Soweit ich weiß lässt sich dieses Verhalten auch nicht ändern.

Host Header Passthrough macht nur das der "Real Webserver" die URL bei der Anfrage mitbekommt die beim Aufruf der Seite eingegeben wurde, die Anfrage an den Webserver kommt immer von der IP der Firewall.

Wenn du die Server Load Balancing Funktion und nicht die WAF verwendest dann erscheint am Server auch die IP des Clients und nicht der Firewall (kann man sich vorstellen wie ein DNAT das die Anfrage einfach verteilt).
Hat halt auch Nachteile - geht nur wenn von extern zugegriffen wird - intern geht nicht. Du kannst kein SSL Offloading machen usw.

Kommt also auf den Einsatzzweck an

 

[Pazecx]

Habe die Probleme mit dem frischen Debian gelöst.
Hier eine ZIP Datei mit Beispiel Config und einer "howto-debian.txt"

Credits gehen hauptsächlich an "Tr4c3rt" für's Einrichten und "Stefan Rubner" für das .ovpn zu .apc Script.

https://www.dropbox.com/s/2bnxf4h9pp4n5bz/Sophos-S2S-Debian.zip?dl=0

Info: habe es alles in englischer Sprache gehalten damit es möglichst weit nutzbar ist.
Edit: beim erstellen der .apc mittels script weder Username noch Passwort eingeben. Wird nicht gebraucht.

Moin zusammen,

Gibt es hierzu eventuell noch eine Anleitung? Der Link ist leider ungültig.
Ich habe aktuell ein OpenVPN was ich gerne mit in meine Umgebung einbinden würde um auf das entfernte Netzwerk zuzugreifen.

 

[Bib]

Hallo, wir bekommen in meiner Arbeit bald eine Sophos. Derzeit ist meine Home-Fritzbox über ganz normales VPN mit der derzeitigen alten Firewall verbunden. Das sollte aber jetzt dann evtl. auf eine Sophos-Home umgestellt werden, da die Fritzbox ja nicht so performant ist. Ich würde Sophos Home dann auf meinem Dell T20 unter ESXi virtualisieren.

Kann ich die Sophos Home UTM so einrichten, dass sie nur für das VPN zuständig ist (also das VPN zu meiner Arbeit und auch noch andere VPNs, z.B. zur Fritzbox meiner Eltern usw)?

Dann wäre die Limitierung auf 50 IP-Geräte ja egal.



Mein derzeitiges Setup sieht so aus:

Meine Fritzbox bekommt Internet über LAN 1 aus dem Nachbarhaus. Fritzbox hat einen eigenen IP-Bereich, nicht den vom LAN 1.
Dann ist ein Pihole aktiv, welcher über DHCP der Fritzbox ans Netzwerk bekannt gegeben ist.

In welchem Fall, würde das 50 IP-Adressen Limit für mich zum tragen kommen? Wenn ich die Fritzbox komplett gegen die UTM ersetze? Wenn ich die Fritzbox hinter die UTM setze?

 

[Eye-Q]

Wenn Du die UTM anstatt der Fritzbox einsetzt, wird das Limit definitiv zum Tragen kommen, da das "nur für die VPN zuständig sein" dann ja nicht mehr gilt.

Wenn Du die UTM zwischen Nachbarhaus und Fritzbox setzt, wird die UTM nur noch die IP-Adresse der Fritzbox sehen, da die ja ein NAT durchführt, und somit wird dieses Limit nicht zum Tragen kommen.

 

[Bib]

Welche Funktionen könnte ich dann in letzterem Fall trotzdem verwenden, also von meiner Fritzbox zur UTM auslagern - bzw. was macht hier Sinn - was kann die UTM besser als die Fritz?

VPN ist klar. Muss ich dazu in der Fritzbox irgendwas einrichten, dass sie weiß, dass eine VPN-IP-Adresse zur UTM geroutet werden muss oder geht das ohne mein zutun? Jetzt weiß die Fritz das ja, weil sie selbst die VPNs verwaltet.


Was ich noch dazu mitteilen möchte: Wäre es bei mir dann nicht besser, die UTM anstatt zwischen Nachbarhaus und Fritzbox zu hängen, einfach als Client an der Fritzbox zu betreiben, wenn sie nur VPN machen soll? Was müsste ich dann in der Fritzbox einrichten?

Hintergrund der Frage: Mein DELL T20 hat nur 1 LAN-Port. Dann käme das LAN-Kabel vom Nachbarshaus in meinen Switch und die Netze wären nicht mehr getrennt, wenn man das so nennen kann? Bzw. funktioniert das überhaupt, dass ich das LAN-Kabel vom Nachbarhaus (IP-Bereich 192.168.250.xx) in meinen internen Switch stecke (IP-Bereich der Fritzbox 192.168.178.xx)? Jetzt hängt das Kabel vom Nachbarhaus im LAN 1 der Fritzbox und ist somit vom Rest des Netzwerks getrennt.

 

[Bulldozer1930]

Hi zusammen,

ich nutze Zuhause ein Server, der eine Sophos Firewall virtualisiert sowie eine TK-Anlage und möchte von meinem Privatanschluss die Telefonie nutzen.
Mein Speedport fungiert als reiner Modem und eingehende Anrufe funktionieren nur sporadisch. Weiß jemand woran das liegen könnte?

 

[G6_of_UNSATO]

Wenn Du die UTM anstatt der Fritzbox einsetzt, wird das Limit definitiv zum Tragen kommen, da das "nur für die VPN zuständig sein" dann ja nicht mehr gilt.

Wenn Du die UTM zwischen Nachbarhaus und Fritzbox setzt, wird die UTM nur noch die IP-Adresse der Fritzbox sehen, da die ja ein NAT durchführt, und somit wird dieses Limit nicht zum Tragen kommen.

Deshalb gibt es zusätzlich eine Limitierung der gleichzeitigen Verbindungen. Diese ist zwar relativ großzügig angelegt, aber vorhanden!

- - - Updated - - -

Welche Funktionen könnte ich dann in letzterem Fall trotzdem verwenden, also von meiner Fritzbox zur UTM auslagern - bzw. was macht hier Sinn - was kann die UTM besser als die Fritz?

VPN ist klar. Muss ich dazu in der Fritzbox irgendwas einrichten, dass sie weiß, dass eine VPN-IP-Adresse zur UTM geroutet werden muss oder geht das ohne mein zutun? Jetzt weiß die Fritz das ja, weil sie selbst die VPNs verwaltet.


Was ich noch dazu mitteilen möchte: Wäre es bei mir dann nicht besser, die UTM anstatt zwischen Nachbarhaus und Fritzbox zu hängen, einfach als Client an der Fritzbox zu betreiben, wenn sie nur VPN machen soll? Was müsste ich dann in der Fritzbox einrichten?

Hintergrund der Frage: Mein DELL T20 hat nur 1 LAN-Port. Dann käme das LAN-Kabel vom Nachbarshaus in meinen Switch und die Netze wären nicht mehr getrennt, wenn man das so nennen kann? Bzw. funktioniert das überhaupt, dass ich das LAN-Kabel vom Nachbarhaus (IP-Bereich 192.168.250.xx) in meinen internen Switch stecke (IP-Bereich der Fritzbox 192.168.178.xx)? Jetzt hängt das Kabel vom Nachbarhaus im LAN 1 der Fritzbox und ist somit vom Rest des Netzwerks getrennt.

Hänge die UTM dann als Client in dein Netz und gut.
Auf der FB: NAT für alle VPN relevanten Ports (500,4500, ESP, AH, 443) auf die Sophos weiterleiten.
Auf der FB dürfen keine VPN Tunnel mehr existieren, da die sonst die Ports nicht weiterleitet.

Auf der UTM legst du die Tunnel an. Std ist die FB (aus Sicht der UTM)
Auf deinen Clients (die VPN nutzen sollen) legst du eine Route zum Remotenetz an, das als GW die Sophos hat.
Dann noch ne Maskierungsregel auf der UTM: Alles aus dem Tunnel -> Internes Netz, maskieren mit UTM IP im internen Netz.

 

[Bib]

Das heisst, ich muss auf allen meinen Clients was ändern? Ich kann mich von unterwegs in mein Home-Netzwerk einloggen und hab dann Zugriff auf alle Geräte. Auf alle Server, auf alle Web-IF von allen möglichen Smarthome-Geräten usw.

Was muss da genau konfiguriert werden auf den Geräten im Heimnetz? Kann man nicht in der Fritzbox was einstellen, dass bestimmte IP-Bereiche über die UTM laufen sollen?


Das mit den Freigaben für NAT-Ports, muss ich das nur machen, wenn die Gegenstelle, also die Arbeits-Sophos das VPN aufbauen will oder auch dann, wenn meine Sophos-Home den VPN-Tunnel initiieren soll? Die Ports sind doch nur für eingehende Verbindungen wichtig? Aktuell hängt im Nachbarhaus eine Fritzbox, meine Fritzbox bekommt von da das Internet über LAN 1. Ich hab in keiner der beiden Boxen irgendwelche Ports freigegeben und trotzdem kann meine Fritzbox VPNs erstellen.


____________

Wobei ich am überlegen bin, die UTM doch komplett vor meine Fritzbox zu hängen bzw. die Fritzbox nur noch für Telefonie und DECT zu nutzen. Wenn ich so in mein pihole schaue, dann greifen nicht all zu viele Geräte aufs Internet zu. Für die meisten reicht lokales Netzwerk. Aber sie bekommen dennoch per DHCP eine Adresse zugewiesen. Wie kann ich diese lokal-only Geräte denn konfigurieren, dass sie nicht zu den 50 Geräten zählen? Kann ich trotzdem DHCP nutzen oder müssen die dann alle manuell verwaltet werden?

 

[G6_of_UNSATO]

Hier nochmal, warum es zu Problemen kommt:

Clients aus einem remote-Netz kommt über den Tunnel rein und wird beim verlassen mit der internen IP der Sophos Maskiert.
Das interne Ziel empfängt also ein Paket (augenscheinlich) von der Sophos und antwortet direkt auf dessen IP.
Die Sophos NATed das zurück in den Tunnel und alles ist gut.

Wenn aber aus dem internen Netz die Kommunikation Richtung Remotenetz geht, dann würde die Anfrage an die FritzBox gehen, weil die das Standardgateway ist.
Wenn du dort eine Route einträgst: VPN Remotenetz ist über Sophos IP erreichbar... wird der Traffic im Dreieck wandern und nicht funktionieren:

Anfragen an Remote netz (abweichend zu lokalem Netz): ==> zur FB
FB hat Route ==> Weiter zu Sophos
Sophos gibt das Paket in den Tunnel
Paket kommt zurück
Sophos Maskiert das Paket und weiß ja, dass es von einem internen Client kommt, stellt es also direkt zu.

Der Client erwartet hier aber die Antwort von der FB, weil das Paket dort auch hingeliefert wurde...

Auf einem Windows Client per CMD die Route einfach statisch eintragen:

route add 192.168.100.0 MASK 255.255.255.0 192.168.0.1 METRIC 2 -p

erste IP ist das Remotenetz, gefolgt von der Netzmaske, hinten das Gateway (Sophos IP) und eine METRIC (Anzahl er HOPS zum Netz), -p => statische, dauerhafte Route


Die die kommunikation zwischen Gastnetz und internem über die FB (meines Wissens) nicht möglich ist, bleiben da nicht mehr viele Möglichkeiten.

 

[Bib]

Wenn ich das so lese, ist es wohl einfacher, die Sophos UTM nicht als Client in mein Netz, sondern VOR mein Netz zu hängen und dann per Firewall Regeln einfach alles durchlassen, da ich ja nur die VPN Funktionen nutzen möchte. Aber dann hat die UTM ja eine IP aus dem LAN, von dem ich mein Internet bekomme und nicht von meinem eigenen? Ist das ein Problem? Komme ich trotzdem über VPN in mein Fritzbox-Netz?

Gesendet von meinem Redmi Note 5 mit Tapatalk

 

[Olaf16]

Eigentlich ist die Sophos UTM, wie jede Firewall, dafür ausgelegt zwischen Internet und LAN unterwegs zu sein. Im Regelfall ist vor so einer (Hardware-)Firewall wie Sophos, Watchguard, ... einfach nur ein dummes Modem angehangen, dass die Einwahl zum Provider durchführt aber nichts in dem Sinn routet/blockiert (Gut, vor allem in kleinen Firmen mit der kleinen Variante macht man es auch manchmal so, dass die Firewall selbst sich einwählt, aber lassen wir das mal aus).
Die Fritzbox im Routermodus stört da einfach nur, egal ob davor oder dahinter (Dahinter würde es aber keinen Sinn ergeben, da ja dann die Firewall selbst die Einwahl und Routerfunktion betreibt).

Ich habe mir mal deine Posts nicht durchgelesen, aber theoretisch kann man die Firewall natürlich hinter die Fritzbox hängen und die Ports für VPN freigeben und an die Firewall routen. Im Normalfall sollten aber alle Clients/das LAN entsprechend hinter der Firewall hängen und nicht mit der ganzen Firewall (WAN, LAN Ports) im eigentlichen Netz.