[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
mueder joe
Enthusiast
Hab mit dem Rollout Anfang der Woche begonnen, nachdem es bei mir Zuhause seit Erscheinen tadellos lief.
Ergebnis:
In mehreren HA Clustern mit SG210 hab ich 2 Geräte, die nach dem Update nicht mehr booten. Konnte das aber noch nicht sauber prüfen woran es liegt, hab auch noch keine Tickets aufgemacht. Kann bisher nur sagen dass es jeweils das zweite Gerät im Cluster erwischt hat, und der keep reserved Button nicht aktiv war. Bei anderen Konstellationen (entweder andere Modelle, Aufbauten ohne HA, oder HA mit aktivem keep reserved) liefen bisher alle Updates sauber durch. Bin gespannt wie das ausgeht. Ich muss aber auch zugeben dass bei meinen Kunden SG210 Cluster doch die häufigste aller Optionen ist.
Abgesehen davon habe ich noch keine Probleme festgestellt.
Ergebnis:
In mehreren HA Clustern mit SG210 hab ich 2 Geräte, die nach dem Update nicht mehr booten. Konnte das aber noch nicht sauber prüfen woran es liegt, hab auch noch keine Tickets aufgemacht. Kann bisher nur sagen dass es jeweils das zweite Gerät im Cluster erwischt hat, und der keep reserved Button nicht aktiv war. Bei anderen Konstellationen (entweder andere Modelle, Aufbauten ohne HA, oder HA mit aktivem keep reserved) liefen bisher alle Updates sauber durch. Bin gespannt wie das ausgeht. Ich muss aber auch zugeben dass bei meinen Kunden SG210 Cluster doch die häufigste aller Optionen ist.
Abgesehen davon habe ich noch keine Probleme festgestellt.
p4n0
Legende
Bei mir zu Hause flutscht auch alles nach dem Update.
Dennoch wirds langsam Zeit das Lager zu wechseln. 50er IP Limit ist wirklich Kaese und die Updatepolitik nervt mich auch gewaltig.
Achja.. Ich hatte mich wirklich auf LE gefreut. Ohne Wildcard Support isses halt auch nur ne halbe Sache.
Dennoch wirds langsam Zeit das Lager zu wechseln. 50er IP Limit ist wirklich Kaese und die Updatepolitik nervt mich auch gewaltig.
Achja.. Ich hatte mich wirklich auf LE gefreut. Ohne Wildcard Support isses halt auch nur ne halbe Sache.
WAs heist für dich das Lager wechseln ?
p4n0
Legende
Evtl wieder zurueck zur PFSense.
Ich weiß es noch nicht genau.
Bin jedoch fuer Vorschlaege offen
Ich weiß es noch nicht genau.
Bin jedoch fuer Vorschlaege offen
Ich habe jetzt über eine Woche lang den ganzen Beitrag durchgelesen und hatte gehofft, eine Lösung für die 50 IP Limitierung zu finden. So richtig schlau bin ich nicht draus geworden, ob's da jetzt eine Lösung gibt (außer mit der doppelten NAT, das ich aber vermeiden möchte)?
Zuletzt bearbeitet:
p4n0
Legende
@ FlexM3: Lass es. Das IP Limit kannst du nicht aushebeln. Du kannst es maximal zuruecksetzen wenn du es mal ueberschritten hattest.
Sofern du mehr als 50 interne IPs verwendest brauchst du entweder eine Lizenz (Achtung, der Gaul stirbt langsam und qualvoll) oder ein anderes Produkt.
Grueße
Sofern du mehr als 50 interne IPs verwendest brauchst du entweder eine Lizenz (Achtung, der Gaul stirbt langsam und qualvoll) oder ein anderes Produkt.
Grueße
Also das Zurücksetzen funktioniert, habe das vorgestern erst getestet, aber das ist halt keine Lösung auf Dauer!
Es muss doch eine Möglichkeit geben das zu Umgehen. Hat sich damit noch kein Linux-Freak beschäftig? Gibt's doch gar nicht!
Es muss doch eine Möglichkeit geben das zu Umgehen. Hat sich damit noch kein Linux-Freak beschäftig? Gibt's doch gar nicht!
Zuletzt bearbeitet:
besterino
Legende
Mach mal piano. Damit verstößt du gegen diverse Lizenzbedingungen, ggf. Urheberrecht und was weiß der Henker sonst noch. Wenn Du damit nicht hin kommst, hol dir ne Lizenz oder weich auf ein Alternativprodukt aus.
Selbst wenn einer hier wüsste, wie sich das umgehen lässt, wird er/sie das hier nicht öffentlich schreiben, weil dann unsere Freunde vom Luxx wohl schneller ne Abmahnung am Hals haben, als man das Posting hier wieder löschen kann.
Selbst wenn einer hier wüsste, wie sich das umgehen lässt, wird er/sie das hier nicht öffentlich schreiben, weil dann unsere Freunde vom Luxx wohl schneller ne Abmahnung am Hals haben, als man das Posting hier wieder löschen kann.
konfetti
Urgestein
Ich versteh sowieso nicht, wo einem Privat zu Hause, 50 IPs nicht reichen...
Wenn man ein LAB hat, ok - aber dann muss man entweder in den sauren Apfel beißen und eine Lizenz kaufen oder wie besterino schon schrieb, auf ein Alternativ-Produkt umsteigen.
Ansonsten steht in Deiner Codezeile doch alles was Du brauchst - man muss natürlich auch Zugriff darauf haben, vermutlich muss man dazu "wurzel" sein. Und wie Du per FTP auf die Console zugreifen willst, is mir ja ein Rätsel, normal macht man das eben über eine Shell...
Wenn man ein LAB hat, ok - aber dann muss man entweder in den sauren Apfel beißen und eine Lizenz kaufen oder wie besterino schon schrieb, auf ein Alternativ-Produkt umsteigen.
Ansonsten steht in Deiner Codezeile doch alles was Du brauchst - man muss natürlich auch Zugriff darauf haben, vermutlich muss man dazu "wurzel" sein. Und wie Du per FTP auf die Console zugreifen willst, is mir ja ein Rätsel, normal macht man das eben über eine Shell...
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.010
@konfetti: Zuhause ein Problem, wenn man IPv4 und IPv6 aktiv hält, da jedes Gerät dann (mindestens) doppelt zählt. Und jede VM... Ein Freund hatte dieses Problem mit "64" Geräten und musste auf ein anderes Produkt ausweichen.
@besterino
Es gibt keine Lizenzen mehr für die UTM 220 zum kaufen! Und jeder der was weiß und sich hier nicht traut was zu schreiben, der kann ja auch eine PN schicken. Nur wegen der IP Limitierung die UTM auf den Müll zu werfen wäre zu schade.
@Konfetti
Es gibt hier genügend Leute, die schon an die 50 IPs stoßen. Wenn man viele WLAN Geräte hat, geht das ganz schnell. Ein paar WLAN-Gäste noch dazu und schon ist Feierabend. Wer nicht an die 50 IPs kommt, der braucht auch keine UTM!
Es gibt keine Lizenzen mehr für die UTM 220 zum kaufen! Und jeder der was weiß und sich hier nicht traut was zu schreiben, der kann ja auch eine PN schicken. Nur wegen der IP Limitierung die UTM auf den Müll zu werfen wäre zu schade.
@Konfetti
Es gibt hier genügend Leute, die schon an die 50 IPs stoßen. Wenn man viele WLAN Geräte hat, geht das ganz schnell. Ein paar WLAN-Gäste noch dazu und schon ist Feierabend. Wer nicht an die 50 IPs kommt, der braucht auch keine UTM!
p4n0
Legende
Das wuerde ich Pauschal nicht sagen.
Auch wenn ich als alleiniger Nutzer meinen Anschluss verwenden wuerde kaeme dennoch nen ordentlicher Router/FW an den WAN Port.
Auch wenn ich als alleiniger Nutzer meinen Anschluss verwenden wuerde kaeme dennoch nen ordentlicher Router/FW an den WAN Port.
Habe seit ein paar Tagen echt Probleme mit der Limitierung auf die 50 Ip Adressen. Bekomme ständig Meldung das ich diese überschritten habe.
Wenn ich dann nachschaue, finde ich tatsächlich Adressen die schon lange nicht mehr genutzt wurden, und trotzdem werden diese gezählt. Scheint irgendwo ein Bug unterwegs zu sein.
jemand ähnliche Beschwerden?
Wenn ich dann nachschaue, finde ich tatsächlich Adressen die schon lange nicht mehr genutzt wurden, und trotzdem werden diese gezählt. Scheint irgendwo ein Bug unterwegs zu sein.
jemand ähnliche Beschwerden?
Hmm...Mal eine Frage: Sieht man die benutzten IP Adressen Management => Licensing => Active IP Addresses?
Bei mir steht da was von 50 frei, Benutzt keine....wie kann das sein? Ab wann zählt der? DHCP Server selbst ist aktiv bei mir, über die Sophos
Bei mir steht da was von 50 frei, Benutzt keine....wie kann das sein? Ab wann zählt der? DHCP Server selbst ist aktiv bei mir, über die Sophos
Philipp Beatdown
Experte
Hallo Jungs 
Ich hab da ein Riesen Problem mit Magnenta TV und ich komm da nicht weiter
Meine Fernseher bleiben alle stehen und ruckeln , obwohl sie direkt an die fritzbox angeschlossen sind...
Die utm mit den restlichen Heimnetzwerk liegt dann an Port 4 der fritzbox.
Trotzdem spacken mir da die Receiver ab ... also ein igmp Problem
Google bringt nix wirkliches
Ich hab da ein Riesen Problem mit Magnenta TV und ich komm da nicht weiter
Meine Fernseher bleiben alle stehen und ruckeln , obwohl sie direkt an die fritzbox angeschlossen sind...
Die utm mit den restlichen Heimnetzwerk liegt dann an Port 4 der fritzbox.
Trotzdem spacken mir da die Receiver ab ... also ein igmp Problem
Google bringt nix wirkliches
Nimm mal den Bereich mit den festen IPS vom DHCP Bereich aus.
Ich hatte dazu hier NAS geschrieben.
Ich hatte das gleiche Problem wie du und das hat geholfen
Dan
Auch nach 24h kein Eintrag?
p4n0
Legende
Nach nen Reboot / Update etc.. dauerts bei mir meist n paar Stunden bis die IP Liste wieder gefuellt ist.
Es wird alles gezaehlt, was durch den WAN Port nach außen moechte.
Grueße
Es wird alles gezaehlt, was durch den WAN Port nach außen moechte.
Grueße
Deine Situation möchte ich haben. Wie lange läuft deine UTM schon? Nach einem Neustart ist die Liste auch für eine Zeit lang leer, aber spätestens nach 1-2 Tagen sollte die schon gefüllt sein.
Und ja, genau in diesem Menüpunkt sieht du die aktiven IPs.
Seelbreaker
Enthusiast
- Mitglied seit
- 28.11.2010
- Beiträge
- 613
Hallo Jungs
Ich hab da ein Riesen Problem mit Magnenta TV und ich komm da nicht weiter
Meine Fernseher bleiben alle stehen und ruckeln , obwohl sie direkt an die fritzbox angeschlossen sind...
Die utm mit den restlichen Heimnetzwerk liegt dann an Port 4 der fritzbox.
Trotzdem spacken mir da die Receiver ab ... also ein igmp Problem
Google bringt nix wirkliches
Gehen die Fernseher über die UTM ins Internet raus oder über die Fritzbox? Sprich wer macht das Gateway?
@bastis0 sei froh, jede IP welche über die Sophos bezogen wird zählt zu den 50 IP-Adressen dazu...
Kennt jemand ne preislich attraktive Bezugsquelle für gebrauchte SGs?
Bin auf der Suche nach ner SG105 Wireless, aber die Suche auf ebay läuft erfolglos und irgendwie beim Distri über die Firma knappe 400 Euro ausgeben macht auch keinen Spaß
Zumal man dort zwangsweise Wartung und Software kaufen muss, aber man die Boxen ja mit der Home-Lizenz nachm re-image betreiben kann...
Zuletzt bearbeitet:
Hallo,
zur Zeit bastle ich etwas mit einem LTE Fallback WAN für zu Hause.
Rauswärts funktioniert soweit alles ohne Probleme nur von Außen nach Innen habe ich Probleme.
Da der LTE Zugang keine eigene öffentliche IP Adresse bekommt kann ich von Außen nicht zugreifen.
Kann man mit der Sophos UTM automatisch eine VPN Verbindung nach Außen aufbauen sobald LTE als WAN Leitung ist.
Eine andere Möglichkeit mit nicht öffentlicher IP von Außen zuzugreifen fällt mir nicht ein.
Grüße Sten
zur Zeit bastle ich etwas mit einem LTE Fallback WAN für zu Hause.
Rauswärts funktioniert soweit alles ohne Probleme nur von Außen nach Innen habe ich Probleme.
Da der LTE Zugang keine eigene öffentliche IP Adresse bekommt kann ich von Außen nicht zugreifen.
Kann man mit der Sophos UTM automatisch eine VPN Verbindung nach Außen aufbauen sobald LTE als WAN Leitung ist.
Eine andere Möglichkeit mit nicht öffentlicher IP von Außen zuzugreifen fällt mir nicht ein.
Grüße Sten
p4n0
Legende
Sollte doch gehen.
Unter Interfaces & Routing im Unterpunkt Uplink Monitoring kannst du Aktionen definieren.
Wie zB IPSec Tunnel #xx enablen, sobald dein Uplink offline geht (Normales WAN).
Habs selbst nich getestet, sieht aber nach dem aus was du brauchst.
Unter Interfaces & Routing im Unterpunkt Uplink Monitoring kannst du Aktionen definieren.
Wie zB IPSec Tunnel #xx enablen, sobald dein Uplink offline geht (Normales WAN).
Habs selbst nich getestet, sieht aber nach dem aus was du brauchst.
Seelbreaker
Enthusiast
- Mitglied seit
- 28.11.2010
- Beiträge
- 613
Wie ist den die LTE-Verbindung als Interface an der Sophos hinterlegt?
Ansonsten zwei WAN-Interfaces konfigurieren und diese unter Uplink Balancing hinterlegen.
Dein LTE Interface als Standby-Interface einrichten und dann bei den Multipath-Rules einrichten, dass die VPN-Ports nur über das Standby-Interface rausdürfen. Wenn du allerdings mehrere VPNs benutzt ist es fraglich ob du das so machen kannst...
Sofern das VPN dauernd aktiv sein kann, brauchst du nur das Upload-Balancing aktiveren und dein LTE-WAN-Interface als Standby-interface hinterlegen. Fertig
Hallo zusammen,
Ich verfolge das Thema schon länger und möchte nun endlich auf eine Sophos UTM umsteigen, diese soll meine Cisco ASA 5505 ablösen.
Welche Hardware Empfehlungen gibt es derzeit für vDSL250 Leitungen ?
Möchte IDS, VPN, WebProxy, BotNet Detection und WebServer Protection nutzen.
Bin mir derzeit noch nicht sicher ob die SG oder die XG zum Einsatz kommen soll?
Ich habe aktuell eine Zotac ZBox Ci527 mit Core i5 im Auge, bin jedoch offen für andere Hardware Vorschläge !
Das ganze sollte mindestens 5 Jahre Stabil laufen und max. 300 bis 500 Eur kosten.
Danke für eure Erfahrungen, Empfehlungen !
Viele Grüße
Markus
Gesendet von iPad mit Tapatalk
Ich verfolge das Thema schon länger und möchte nun endlich auf eine Sophos UTM umsteigen, diese soll meine Cisco ASA 5505 ablösen.
Welche Hardware Empfehlungen gibt es derzeit für vDSL250 Leitungen ?
Möchte IDS, VPN, WebProxy, BotNet Detection und WebServer Protection nutzen.
Bin mir derzeit noch nicht sicher ob die SG oder die XG zum Einsatz kommen soll?
Ich habe aktuell eine Zotac ZBox Ci527 mit Core i5 im Auge, bin jedoch offen für andere Hardware Vorschläge !
Das ganze sollte mindestens 5 Jahre Stabil laufen und max. 300 bis 500 Eur kosten.
Danke für eure Erfahrungen, Empfehlungen !
Viele Grüße
Markus
Gesendet von iPad mit Tapatalk
Philipp Beatdown
Experte
Gehen die Fernseher über die UTM ins Internet raus oder über die Fritzbox? Sprich wer macht das Gateway?
@bastis0 sei froh, jede IP welche über die Sophos bezogen wird zählt zu den 50 IP-Adressen dazu...
Kennt jemand ne preislich attraktive Bezugsquelle für gebrauchte SGs?
Bin auf der Suche nach ner SG105 Wireless, aber die Suche auf ebay läuft erfolglos und irgendwie beim Distri über die Firma knappe 400 Euro ausgeben macht auch keinen Spaß
hallo,
die Magenta boxen gehen über die fritzbox ins internet (192.168.1.x) lediglich an port 4 ist die utm angeschlossen, mit dem komplett dahinterliegenden heimnetz
ChrisM243
Enthusiast
Hallo zusammen, beim Stöbern bei Aliexpress fiel mir auf, dass man dort relativ günstig an Mini-PCs mit mindestens zwei LAN-Ports kommt. Welche Mindestvoraussetzungen sollte ein solcher Rechner haben, um problemlos eine UTM betrieben zu können?
Ich habe mehrere Beispiele gesehen, z.B. diesen oder diesen hier.
10W Verbrauch klingt gut, das dürfte ungefähr im gleichen Rahmen wie ein Router liegen. Reicht da die jeweils schwächste CPU in der Auswahl? Wie viel RAM sollte man haben?
PS: Sollte jemand eine günstigere Alternative finden, Anregungen suche ich immer.
Ich habe mehrere Beispiele gesehen, z.B. diesen oder diesen hier.
10W Verbrauch klingt gut, das dürfte ungefähr im gleichen Rahmen wie ein Router liegen. Reicht da die jeweils schwächste CPU in der Auswahl? Wie viel RAM sollte man haben?
PS: Sollte jemand eine günstigere Alternative finden, Anregungen suche ich immer.
Kommt primär darauf an was du alles betreiben willst.
Als ich in einer VM Firewall, DHCP, IPS, VPN, WAF und Webfilter betrieben habe, waren 4 GB schnell erreicht.
Ich denke einen vernünftigen 2 Kerner mit 2GB RAM sollte es schon sein um die UTM als Firewall mit etwas VPN zu betreiben.
Ob ein Celeron Jxxxx jetzt als vernünftig zu zählen ist weiß ich nicht.
Als alternative könntest dir mal die APU4C4 anschauen, das wäre aktuell meine Wahl als dedizierte HW.
Als ich in einer VM Firewall, DHCP, IPS, VPN, WAF und Webfilter betrieben habe, waren 4 GB schnell erreicht.
Ich denke einen vernünftigen 2 Kerner mit 2GB RAM sollte es schon sein um die UTM als Firewall mit etwas VPN zu betreiben.
Ob ein Celeron Jxxxx jetzt als vernünftig zu zählen ist weiß ich nicht.
Als alternative könntest dir mal die APU4C4 anschauen, das wäre aktuell meine Wahl als dedizierte HW.
ChrisM243
Enthusiast
Sieht grundsätzlich nicht schlecht aus, aber so stark ist die CPU von dem APU4C4 auch nicht, oder übersehe ich da etwas? Ok, ein Quadcore, aber
klingt jetzt auch nicht so extrem leistungsstark.
Meine Idee wäre bisher Firewall + VPN (noch keine vorhanden, derzeit als Option gedacht) und eventuell etwas wie das Pi-Hole als Werbeblocker. Dafür sollten denke ich mal zwei LAN-Ports reichen
klingt jetzt auch nicht so extrem leistungsstark.
Meine Idee wäre bisher Firewall + VPN (noch keine vorhanden, derzeit als Option gedacht) und eventuell etwas wie das Pi-Hole als Werbeblocker. Dafür sollten denke ich mal zwei LAN-Ports reichen
Zuletzt bearbeitet: