[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
@DanFu danke für den Tipp, leider funktioniert bei mir ALT+F2 nicht. Das Command geht durch aber wird nicht angenommen. Er macht immer beim Formatieren weiter...
Ich bin via Seriellport auf der Sophos
Ich bin via Seriellport auf der Sophos
Zuletzt bearbeitet:
Lightflasher
Enthusiast
Hallo,
nach dem ich nun meine Internet Verbindung auf 300/30 upgegradet habem hat mich nun ein First World Problem ereilt, mit eingeschalteten IPS bekomme ich nur etwa 170-180Mbit Download durch meine virtuelle UTM.
Die VM hat 1 vCPU mit 4 Cores und 4GB RAM - im Hypervisor steckt eine Xeon E3-1265L und auf dem Host laufen nur 4 VMs also auch kein starkes vCPU Overprovisioning, die virtuelle Festplatte der UTM liegt auf SATA SSDs.
Egal was ich versuche sobald IPS aktiv ist ists vorbei mit der vollen Bandbreite(auch wenn IPS nur aktiv und alle Definitionen deaktiviert sind). Natürlich sind nur die Definitionen aktiv die ich benötigte und der Zeitraum auf 12 Monate eingeschränkt.
Ich habe auch die IPS Instanzen mit cc set ips num_instances angepasst jedoch ohne Verbesserung.
Hat jemand hier noch einen Rat für Optimierungen?
Da beim IPS automatisch Snort mitläuft ist das in der Theorie das Problem. Snort ist in der UTM an einen CPU Kern gebunden (Single Thread), daher bringen viele Kerne sowie mehr Ram nicht viel am Performancegewinn. Hier wäre ein höhere Grundtakt der Kerne hilfreicher, was sich ja aber nicht mal so eben erhöhen lässt. Ich bekomme mit einem Intel Core i3-7100 CPU @ 3.90GHz durch meine UTM mit IPS + ATP 300-400 Mbps an einem 1 Gigabit Anschluss (Nachtrag: mit aktivem Webproxy).
Zuletzt bearbeitet:
Das hab ich schon vermutet und mir deswegen ne Hardware Firewall aus einer Smoothwall Firewall von Ebay gebaut.
mit einem Intel Core i3-3240(2x3,4Ghz) da geht dann schon mehr und ich bin annähernd dort wo ich hin soll von der Bandbreite, aktuell hab ich aber nur 2GB RAM und das limitiert mich im Moment.
Naturlich hab ich das Ding auch gleich mal Sophosifiziert
mit einem Intel Core i3-3240(2x3,4Ghz) da geht dann schon mehr und ich bin annähernd dort wo ich hin soll von der Bandbreite, aktuell hab ich aber nur 2GB RAM und das limitiert mich im Moment.
Naturlich hab ich das Ding auch gleich mal Sophosifiziert
Habe mir jetzt für eine Kabel 1GBps Leitung (Leider nur 50 MBps Upload) mit einem Shuttle XPC slim (24x7) und dem passenden Rack-Mount-Kit eine UTM gebastelt.
Shuttle XPC slim DH370
Intel Core i3-8100, 4x 3.60GHz
8GB RAM
Western Digital WD Blue 3D NAND SATA SSD
Nach anfänglichen Installation-Schwierigkeiten wegen UEFI BIOS und USB-Stick mit truncated RPM Files habe sie dann doch ohne Hypervisor zum laufen bekommen. Die zwei 1GBps Intel Adapter reichen mir für WAN IN / LAN OUT.
nach dem countdown oder ENTER drücken...dann in der grafischen installation auf die konsole wechseln und den install-ordner von dem usb stick mountern ---> mount /dev/sdb1 /install
Shuttle XPC slim DH370
Intel Core i3-8100, 4x 3.60GHz
8GB RAM
Western Digital WD Blue 3D NAND SATA SSD
Nach anfänglichen Installation-Schwierigkeiten wegen UEFI BIOS und USB-Stick mit truncated RPM Files habe sie dann doch ohne Hypervisor zum laufen bekommen. Die zwei 1GBps Intel Adapter reichen mir für WAN IN / LAN OUT.
nach dem countdown oder ENTER drücken...dann in der grafischen installation auf die konsole wechseln und den install-ordner von dem usb stick mountern ---> mount /dev/sdb1 /install
Zuletzt bearbeitet:
Woher hast den Aufkleber her?Das hab ich schon vermutet und mir deswegen ne Hardware Firewall aus einer Smoothwall Firewall von Ebay gebaut.
mit einem Intel Core i3-3240(2x3,4Ghz) da geht dann schon mehr und ich bin annähernd dort wo ich hin soll von der Bandbreite, aktuell hab ich aber nur 2GB RAM und das limitiert mich im Moment.
Naturlich hab ich das Ding auch gleich mal Sophosifiziert
Sind das die Specs einer normalen Smoothwall? Die Dinger scheinen ja echt günstig auf eBay zu sein - Eine S8 müsste deine von der Optik sein, oder? Geht Display usw? Wäre ja echt eine AlternativeKannst du messen, was das Ding so im IDLE bzw. mit bissl Traffic aus der Steckdose zieht?
Woher hast den Aufkleber her?
Kannst du messen, was das Ding so im IDLE bzw. mit bissl Traffic aus der Steckdose zieht?
Mein Arbeitgeber ist Sophos Platinum Reseller, wenn wieder mal die Sophos im Haus ist gibts ab und zu ein paar Goodies u.a. auch die Aufkleber.
Ja es ist eine Smoothwall S8 (Portwell/Caswell CAR-3036) ohne CPU und RAM um 75€ auf Ebay gekauft, hier die Technischen Daten vom Hersteller (Seite 34).
CAR-2030 Intel® Sugar Ba
Bezüglich Display ja das funktioniert - jedoch noch nicht automatisch nach dem Boot muss ich mir erst anschauen - wenn ich manuell "/usr/sbin/lcd-serial300 -r 5" ausführe dann zeigt das Display die gewohnten Werte an.
Zuletzt bearbeitet:
Werde ich heute Abend mal messen.
Ne Messung wäre InteressantDie Smoothwall mit so einer CPU zieht bestimmt ziemlich viel
Je nach CPU ist halt die Frage, was da sonst so verbaut ist...Wie versprochen hab ich die Firewall gestern mal ans Messgerät gehängt:
Hab während des Tests eine Speedtest laufen lassen mit aktiviertem IPS und Webfilter.
Zeigt beim booten etwa 45Watt an, im Betrieb dann schwankt es so zwischen 35-40.
Nachdem es sich nicht um das hochwertigste Messgerät handelt kann es durch aus auch sein dass der Wert etwas ungenau ist.
verbaute Hardware:
Intel Core i3-3240
4GB DDR3
120GB SSD
Hab während des Tests eine Speedtest laufen lassen mit aktiviertem IPS und Webfilter.
Zeigt beim booten etwa 45Watt an, im Betrieb dann schwankt es so zwischen 35-40.
Nachdem es sich nicht um das hochwertigste Messgerät handelt kann es durch aus auch sein dass der Wert etwas ungenau ist.
verbaute Hardware:
Intel Core i3-3240
4GB DDR3
120GB SSD
chrisiweber
Enthusiast
- Mitglied seit
- 01.05.2003
- Beiträge
- 2.351
Hallo zusammen,
weiß jemand woher ich das Image der Sophos Home UTM für eine APU2c4 bekomme? Registriert habe ich mich, finde aber leider nur Iso's für VMWare, HyperV etc. Keine .asg für die APU2C4.
LG
weiß jemand woher ich das Image der Sophos Home UTM für eine APU2c4 bekomme? Registriert habe ich mich, finde aber leider nur Iso's für VMWare, HyperV etc. Keine .asg für die APU2C4.
LG
Ceiber3
Urgestein
Hey Leute ich kenne mich 0 mit Sophos UTM aus und habe es nie genutzt. Habe mir jetzt mal die Home Edition auf eine VM auf mein Qnap installiert. Ich wollte mir das ganze erstmal ansehen und habe eine oder ein paar Fragen dazu. Ich möchte die Sophos als VPN Server nutzen und wollte fragen ob die das überhaupt kann ?
Ich möchte das jetzt erstmal virtual testen und wenn es funktionieren sollte, wollte ich das Bare Metal einsetzen. Um folgendes geht es mir dabei. Ich möchte mein PC über VPN mit der Sophos verbinden und dann möchte ich das ein Kumpel von mir der weit weg wohnt, ebenfalls mit der Sophos über VPN verbindet und wir so schnell Datein austauschen können im Privaten Netzwerk. Nat und Gateway wird nicht benötigt, soll so funktionieren als wenn das in einem Lan ohne Internet wer. Ist ja auch der Sinn von einem Privaten Netzwerk. Wenn das geht ? Wie ist der Speed von einer Sophos so ? Kumpel hat 1 Gbit Internet Leitung, ich habe nur 100k mit 40k Upload, mir geht es aber darum Files von seinen Server zu laden. Also wer es cool wenn der Speed min 12 MB die Sekunde wer. Momentan nutzen wir über sein Qnap Openvpn. Da kommen aber max 3 MB die Sekunde durch, was uns beiden echt zu lahm ist.
Ich möchte das jetzt erstmal virtual testen und wenn es funktionieren sollte, wollte ich das Bare Metal einsetzen. Um folgendes geht es mir dabei. Ich möchte mein PC über VPN mit der Sophos verbinden und dann möchte ich das ein Kumpel von mir der weit weg wohnt, ebenfalls mit der Sophos über VPN verbindet und wir so schnell Datein austauschen können im Privaten Netzwerk. Nat und Gateway wird nicht benötigt, soll so funktionieren als wenn das in einem Lan ohne Internet wer. Ist ja auch der Sinn von einem Privaten Netzwerk. Wenn das geht ? Wie ist der Speed von einer Sophos so ? Kumpel hat 1 Gbit Internet Leitung, ich habe nur 100k mit 40k Upload, mir geht es aber darum Files von seinen Server zu laden. Also wer es cool wenn der Speed min 12 MB die Sekunde wer. Momentan nutzen wir über sein Qnap Openvpn. Da kommen aber max 3 MB die Sekunde durch, was uns beiden echt zu lahm ist.
Zuletzt bearbeitet:
Kurzfassung
Lass es
Langfassung
Du wirst deinen Wunsch nach mehr Geschwindigkeit damit nicht gerecht
Als VM auf einer Qnap viel zu langsam
BareMetal kostet dich ~ 1000€ um auf Geschwindigkeit zu kommen
Wichtigster Punkt- du kennst dich nicht aus und machst dir ggf. Damit viel mehr Lücken auf als vorher
Wenn du ein https Zertifikat nutzt ist der Verkehr auch verschlüsselt und alles ist viel schneller
Lass es
Langfassung
Du wirst deinen Wunsch nach mehr Geschwindigkeit damit nicht gerecht
Als VM auf einer Qnap viel zu langsam
BareMetal kostet dich ~ 1000€ um auf Geschwindigkeit zu kommen
Wichtigster Punkt- du kennst dich nicht aus und machst dir ggf. Damit viel mehr Lücken auf als vorher
Wenn du ein https Zertifikat nutzt ist der Verkehr auch verschlüsselt und alles ist viel schneller
Bib
Enthusiast
- Mitglied seit
- 20.12.2006
- Beiträge
- 713
Hab auch mal eine Frage dazu:
Aktuell hab ich eine Fritzbox, welche auch VPN zu 2 Gegenstellen macht. Ich komme aktuell von allen Geräten im Heimnetzwerk in die entfernten Netze und umgekehrt genauso.
Wenn ich jetzt einen eigenen VPN-Server (z.B. eine UTM) bei mir im lokalen Netzwerk zusätzlich installiere und die Fritzbox kein VPN mehr macht, wo und was muss ich dann bei mir lokal netzwerktechnisch ändern?
Muss ich in der Fritzbox statische Routen setzen? Ist das alles oder kommt da noch mehr?
Aktuell hab ich eine Fritzbox, welche auch VPN zu 2 Gegenstellen macht. Ich komme aktuell von allen Geräten im Heimnetzwerk in die entfernten Netze und umgekehrt genauso.
Wenn ich jetzt einen eigenen VPN-Server (z.B. eine UTM) bei mir im lokalen Netzwerk zusätzlich installiere und die Fritzbox kein VPN mehr macht, wo und was muss ich dann bei mir lokal netzwerktechnisch ändern?
Muss ich in der Fritzbox statische Routen setzen? Ist das alles oder kommt da noch mehr?
Ceiber3
Urgestein
Warum meinst du das die VM zu lahm ist ? Die VM kann auf AVX/2 und AES-Ni zugreifen über CPU Passthrough, das die Bare Metal mehr kostet weiß ich und wer ich auch bereit zu Zahlen. Obwohl 1000€, ist sehr übertieben für 12 MB UP Down VPN. Ich habe die Software halt nie davor genutzt, daher frag ich ob das überhaupt umsetzbar ist. Sonst schau ich lieber wieder mehr Richtung PFsense/OPNsense und co.. Mit den habe ich alle sehr viel gearbeitet.
Ich möchte einfach nur wissen: A. Geht es ? B. Wie geht es ? In den Rest der Firewall Funktionen fummle und lese ich mich schon rein, muss man ja bei jeder neuen Software die man das erste mal benutzt. Wie geschrieben, ich mag die nur für VPN nutzen. Sollte die VM zu lahm sein, ist das auch nicht weiter tragisch. Die Vm ist ja nur zum testen gedacht und nicht für mehr.
1. Hilft mir nicht weiter.
2. Wegen so was frag ich ja im Forum, sonst ist das Forum für mich nutzlos.
3. Und trotzdem nicht sicher. Ich nutze schon überall Zertifikate und Ports habe ich auch keine offen bis auf VPN.
Zuletzt bearbeitet:
Wie wäre es, wenn Du uns mal die UPLOAD Rate des Anschlusses deines Kumpels benennst, denn 1GBit wird sicherlich der Download sein und nicht Symmetrisch auch der Upload, oder?
Zu deinen 40MBit Upload, wenn das auch der Reale Wert ist und nicht die versprochenen maximalen Werte, ergeben 5 MByte pro Sekunde Übertragung. Somit sind deine gewünschten 12 MByte / Sek nicht machbar. Heißt: Hol die eine entsprechende Leitung, die den Upload schafft, die Du gerne hättest, dann funktioniert es auch mit der jetzigen Lösung. Da wird eine Firewall (VM oder HW) nichts dran ändern !
Und mal generell: Eine Firewall soll Dir mehr Sicherheit geben und nicht mehr Internetspeed
Zu deinen 40MBit Upload, wenn das auch der Reale Wert ist und nicht die versprochenen maximalen Werte, ergeben 5 MByte pro Sekunde Übertragung. Somit sind deine gewünschten 12 MByte / Sek nicht machbar. Heißt: Hol die eine entsprechende Leitung, die den Upload schafft, die Du gerne hättest, dann funktioniert es auch mit der jetzigen Lösung. Da wird eine Firewall (VM oder HW) nichts dran ändern !
Und mal generell: Eine Firewall soll Dir mehr Sicherheit geben und nicht mehr Internetspeed
Ceiber3
Urgestein
Genau, er hat 1000k Download und 100K Upload in der Schweiz. Mein Upload ist doch kack egal ? Ich habe 100k/40k Leitung. Ich möchte nur von sein Server sachen runterladen, deswegen wird die Firewall am Ende auch bei ihm aufgestellt. Mein Upload spielt keine Rolle, weil wie geschrieben saugt er nur selten was von mir und ich aber viel von ihn. Und da hätte ich schon gerne die vollen 100K also rund 12 MB Download die Sekunde. Er hat ja auch 100K Upload, also daran sollte es nicht liegen. 3-4 MB die Sekunde ist uns beiden halt wie geschrieben viel zu langsam. Bei mir kommt die Leitung voll an, beim Kumpel sogar bissel mehr, 110/120K Upload, also rund 12 bis zu 15 MB die Sekunde.
So schauts aus, deswegen auch VPN und nicht einfach Port im Modem freigeben und offen über SMB Sharen, das zwar schnell aber mega unsicher.
Bei mir kommt die Leitung voll an, beim Kumpel sogar bissel mehr, 110/120K Upload, also rund 12 bis zu 15 MB die Sekunde.So schauts aus, deswegen auch VPN und nicht einfach Port im Modem freigeben und offen über SMB Sharen, das zwar schnell aber mega unsicher.
Zuletzt bearbeitet:
Dein Upload hattest Du ja bereits geschrieben, aber nicht seinen. Somit war diese Angabe nicht da und somit nicht klar, mit welcher maximalen Geschwindigkeit er uploaden kann. Ich würde euch raten, erst einmal zu schauen, wo das Problem genauer ist, das ihr so wenig Übertragungsrate habt. Macht nen Client zu Server VPN (dein Rechner direkt an seinen VPN Server) und schaut, ob das mehr Geschwindigkeit gibt, oder nicht. Wenn nicht, VM aufsetzen, Ports durchleiten und nen anderen VPN Typ verwenden (IP Sec, Wireguard VPN, etc.) allein um erst einmal zu schauen, wo der Engpass ist und ob es ein Problem des VPN Typs ist oder etwas anderes. Kann j auch schlicht sein, das eure beiden bisherigen Geräte, die das VPN bisher aufbauen, einfach das Problem sind, weil z.B. zu schwach von der Leistung. Generell muss man ja sagen, nur weil ein Gerät etwas kann, heißt das ja nicht, dass es dieses auch gut und mit maximalen Leistungswerten kann. Ganz davon ab, können die Provider hier auch noch eine Rolle spielen und bei VPN's die Leistung drosseln.
Ceiber3
Urgestein
Das Problem ist was wir mitbekommen haben, das der QNAP Open VPN Server nicht die AES-NI Erweiterung nutzt, ohne die kommt man halt nicht auf Speed. Ich habe bei dem OpenVPN Server auf dem Qnap aber auch keine Optionen diese zu aktivieren. Bei Opensense und co, kannst du das ja einfach auf aktiviert setzen. Danke schon mal das du versuchst zu helfen. Sophos habe ich mir rausgesucht, weil selbst die kleinste Firewall VPN von über 200 Mbits machen soll. Das würde uns ja locker reichen. Auserdem ist das Interface gut aufgebaut und die Firewall auch für andere Funktionen recht unfangreich.
An die Leistung seiner Qnap wird es denke nicht liegen, er hat ein TVS-871T mit i7 und 16 GB Ram.
An die Leistung seiner Qnap wird es denke nicht liegen, er hat ein TVS-871T mit i7 und 16 GB Ram.
Zuletzt bearbeitet:
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Site-to-Site VPN mit IPsec: 2x MikroTik Routers and Wireless - Products: hEX S
Wie tester ihr denn den Durchsatz? smb/cifs ist auch in höheren Versionen nicht unbedingt für guten Durchsatz bei höherlatenten Verbindungen (WAN) bekannt.
Wie tester ihr denn den Durchsatz? smb/cifs ist auch in höheren Versionen nicht unbedingt für guten Durchsatz bei höherlatenten Verbindungen (WAN) bekannt.
Ceiber3
Urgestein
Genau, über SMB testen wir, da ich von ihm über ein SMB Share sachen lade und hochlade, manchmal auch umgedreht. Ohne VPN haben wir full Speed, wie geschrieben wer das aber grob fahrlässig, daher VPN.
Stueckchen
Experte
- Mitglied seit
- 29.03.2017
- Beiträge
- 437
Nur kurz: dafür nen vollen Router, wenn auch als VM zu nutzen finde ich komisch. Ich würde aber mal einen Blick auf wireguard werfen, zur not kann auch Opnsense das, ist aber langsamer als auf Linux. Selbst ohne AES sind da easy mehrere 100Mbit drin.