Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 25 subscribers
  • Views 3729 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.1 Neuling

tsgprto1
Hallo Leute

Zuerst einmal, ich bin Neuling auf diesem Gebiet. 

Ziel:
Sophos Firewall sauber in meinem Home Netz einbinden. 

Ausrüstung:
Ich habe 2 VDSL Leitungen. Bei beiden Leitungen ist ein Centro piccolo DSL Modem (Schweiz, Swisscom) (bridged) dran. Also einmal eine 80Mbit Leitung und dann noch eine 20 Mbit Leitung. 

Die Sophos UTM 9.1 habe ich erfolgreich installiert (3 eingebaute Netzwerkkarten), eine DSL Leitung angeschlossen, DHCP aktiviert, dass funktioniert nun mal alles io. 

eth0 -> Das ist die WAN Schnittstelle wo das Modem 80Mbit PPPOE mit fix IP dranhängt angeschlossen. --> DSL Verbindung ist erfolgreich aufgebaut
eth1-> zurzeit inaktiv -> da kommt dann später mal die zweite DSL Leitung drauf. 
eth2 -> Da ist das interne Netzwerk konfiguriert. Die Sophos hat die IP 10.2.236.1.Von da aus gehts dann auf einen Cisco Switch.  DHCP ist aktiviert und all meine Geräte haben eine IP. Webgui Zugriff ist von jedem PC möglich. 

Problem:
Ganz einfach, ich komme nicht ins Internet. 

Aus dem Webgui kann ich pingen, traceroute etc. ausführen, das geht, aber aus dem internen Netzwerk komme ich einfach nicht ins Internet. 
Habe natürlich mit verschiedenen Firewallregeln und NAT Einstellungen getestet, aber alles ohne Erfolg. 

Frage:
Kann mir jemand bitte kurz erklären, was ich alles einstellen muss, damit ich wenigstens ins Internet komme aus meinem internen Netzwerk??
Wenn das mal klappt dann werde ich in kleinen Schritten weiter machen. 

Ich danke euch sehr für eure Hilfe!

Gruss Tom


This thread was automatically locked due to age.
  • 0
    Hallo,

    bin auch noch relativ neu in dem Thema, aber ich komme ins Internet ;-)

    Ich glaube du brauchst folgendes:

    - Aktives WAN Interface (Flag IPv4 Defaultgateway setzen!)
    - ggf. DHCP (Prüfen ob auch alle das richtige Gateway - also sophos utm - bekommen)
    - NAT Regel für Intenal -> External IP
    - Firewall Regel für DNS, Websurfing usw...
    - ggf. noch den Webproxy einrichten, der ist aber nicht unbedingt nötig.

    Ich hoffe es hilft dir weiter.

    mfg
    XeogX
  • 0
    Hi Tom, willkommen im Sophos User BB!

    Die Masquerading-Regel muss ungefäh so aussehen: Network Security -> NAT -> Masquerading -> New: "Network: Internal (Network)", "Interface: WAN"

    Hast du nicht den Wizard beim ersten Start genutzt, um deine Einstellungen festzulegen? Der passt eigentlich schon alles so an, dass die Grundfunktion gegeben ist.
    Wenn du noch nicht zu viel konfiguriert hast, wäre es vielleicht eine Option, die UTM nochmal zurückzusetzen und von vorn anzufangen. Dann wäre das Wichtigste schon mal beispielhaft eingerichtet...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hi Jungs

    Danke euch sehr für eure Beiträge!
    Hab es geschafft und zwar wie scorpionking geschrieben hat. Zurückgesetzt, sauber konfiguriert und bam Internet funzt tadellos. Alle Dienste gehen. Frau kann über Iphone Antenne Bayern hören, Ipad des kleinen geht auch alles, meine Clients gehen auch, mein TV Server auch etc. Somit für den Anfang mal alles ok. 

    Nun die nächste Frage :-)

    IPS ist bei mir aktiv. Habe Speedtest gemacht und komme mit meinem 80Mbit Abo auf nur ca. 35Mbit im down, upstream ist ok. 

    Wenn ich aber den IPS deaktiviere bekomme ich den vollen Speed!

    Hmmm, was nun? Wie konfiguriert man den IPS richtig dass man aber nicht auf den vollen Speed verzichten muss? Geht das? Wie habt ihr es gemacht? 

    Danke nochmals 

    Gruss Tom
  • 0 in reply to tsgprto1
    Hi Jungs
    Hmmm, was nun? Wie konfiguriert man den IPS richtig dass man aber nicht auf den vollen Speed verzichten muss? Geht das? Wie habt ihr es gemacht? 
    Gruss Tom


    Hi Tom,
    deaktiviere erstmal alle Angriffsmuster die du nicht brauchst... Linux Server etc. eventuell...
    Und teste dann nochmal. 

    Grüße, Sebastian
  • 0
    IPS braucht sehr viel rechner kapazität. Ich hatte ein Atom 2x1,86 GHz wobei ich immer IPS ausgeschaltet hatte weil ich meine vollen speed nicht nutzen könnte.
    Jetzt habe ich ein Haswell i5-4670, der macht 150Mbps mit IPS eingeschaltet.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    @Sebastian
    Danke, habe verschiedene Einstellungen getestet, aber immer das gleiche. Solange IPS selber ein ist komme ich nicht beim Internetspeet über 35Mbit. 
    Sobald ich IPS ganz deaktiviere erreiche ich die 80 Mbit. 

    Ich denke auch nicht dass es an meiner Hardware liegt, denn unter normalen Betrieb mit IPS habe ich eine 6% CPU und 20% RAM Auslastung. 
    Bei Last habe ich durchschnittlich ca. 20% CPU Auslastung. 

    Ich denke einfach, dass es an der IPS selber ist die den Internetspeed drosselt. 

    Danke
    Gruss Tom
  • 0
    Hallo Tom,

    welchen Prozessor bzw. welche sonstige Hardware hast du verbaut?
    Ich enttäusche Dich nur ungern - aber 99% der IPS Probleme sind durch Hardware verursacht. 
    Solltest du eine Atom CPU haben könntest du auf Version 9.2 hoffen - dort soll IPS ressourcenschonender sein/werden. 

    Lg,
    Gerald
  • 0
    Hi gfreiler

    Danke für dein Feedback. 
    Nein, nix Atom. Ich habe zwar eine ältere Kiste, aber es sind eigentlich Serverkomponente :
    2x 2.7Mhz, jedoch nur 2Gb Ram, aber:

    Maximum Minimum Durchschnitt Zuletzt
    CPU-Auslastung 18.31% 0.55% 1.77% 0.79%

    Maximum Minimum Durchschnitt Zuletzt
    Speichernutzung 24.89% 19.65% 20.29% 24.87%

    Darum kann ich es mir nicht vorstellen, dass es an der Hardware liegt. 

    Jedoch läuft ja alles flott und reibungslos, aber klar, im Hinterkopf stresst es schon wenn du weisst dass du doppelt so viel Speed hättest...

    Hmmm, ich hätte noch ein HP Proliant 380 server, meint ihr soll ich den verwenden? der hat dann 8GB Ram
    Einen Proliant 360 hätt ich auch aber der ist sooo laut :-)

    Noch eine andere Frage:
    Habt ihr eure Firewall eigentlich eingestellt mit internal/any/any oder konfiguriert ihr jede Regel einzel?

    Einzel ist eigentlich schon sauberer, aber eben, da rennst du immer hinterher wenn mal Bingo Bash nicht mehr geht, oder Whatsapp kein Push macht etc...

    Wie sind da eure erfahrungen? 

    Und dann noch ein heikles Thema:
    Ich habe in der Schweiz Swisscom TV (IPTV) ist zu vergleichen mit dem deutschen Entertain TV von der Tcom. 
    Hat hier irgend jemand erfahrung mit der Multicast konfiguration? Im Webgui wird dieses ja explizit unterstützt und sogar IGMP v3 soll funzen oder irre ich mich da? 

    Ich habe es nun soweit gebracht, dass sich meine TV Boxen sauber anmelden, ich ansonsten alles nutzen kann, auch Videos mieten und abspielen, einfach Live TV bricht nach ca. 10 sek. zusammen, eben wenn der Multicast greifen soll..

    Danke

    Gruss Tom
  • 0
    Hallo,

    Welche CPU bzw. Welches Board ist denn genau verbaut? 
    Welche NICs hast du?

    Direkt auf Hardware installiert oder virtuell? 

    Zu deiner zweiten Frage:
    Ich schalte inmer nur das benötigte von intern nach extern frei.
    Grundsätzlich nur mal Http und Https.
    Alles was sonst noch benötigt wird müssen die "Abteilungen" wirklich mit Begründung usw. anfordern. 
    Mag jetzt etwas übertrieben klingen - ist aber erfahrungsgemäß ab einer gewissen Größe unumgänglich. .. ;-)

    Und was bei Grossen Kunden funktioniert kann auch bei ner 5 Mann Bude ned schlecht sein. 

    Bei mir zhaus mach ich es genau so. Bin jedoch kein IPtv Nutzer noch bin ich ein Gamer - just working.

    Lg
    Gerald
  • 0
    Hoi Tom

    Hast du das mit Swisscom Live TV Multicast über die Astaro hingekriegt? 
    Habe genau das selbe problem!

    Danke

    Gruss Beat
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?