Sophos UTM questions

Hi, predrag, and welcome to the User BB!

1) Either is fine.  Check the UTM Hardware Compatibility List if you can't get an answer here on a specific suggestion.  Folks here recommend using the VMXNET3 virtual NICs in ESXi.

2) This is supported, but High-Availability mode requires that both nodes be wired identically.  Failover happens automatically and can happen quickly enough to go completely unnoticed except that up/downloads in progress and VoIP calls will need to be restarted.

3) I'm not sure what you mean by "issues," but it does work well.  About two years ago, a very useful feature was added - UTM can do QoS on a packet leaving an interface even if the packet is encapsulated/encrypted in an IPsec packet (not exactly what's happening, but what the admin experiences).   Use 'Downlink Throttling' on the WAN interfaces to affect incoming traffic.  Use 'Bandwidth Pools' to prefer certain traffic streams outbound from the NIC over others.

4) Just two, identical devices.  You will want each connection to connect to a switch and the switch to connect to the same NIC on each device.  See attached for an example.

5) What is your concern that leads you to ask this question?

In any case, be sure to follow #0 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

Cheers - Bob
PS I've moved this to the General Discussion forum since it addresses issues across several.

1) I'm considering using either a IBM/HP server or VMware ESX environment to host the UTM appliance. Are there any restrictions and limitations in the software due to such environment. The main reason for this decision is device availability for certain regions in the world.

The only real restriction/limitation you will encounter with your own hardware is the licensing is different. Hardware UTMs (appliances) (120/220/320/etc) are unlimited IP licenses but the number of users they can support is limited based on the hardware in the appliance.  Software based licenses however are based on IP counts so you'll need to look at what the user's high water mark is for IP count.

2) Failover from direct ethernet / fiber internet to 3G/4G mobile USB device. How does this work ? Is it supported ?

There is some support for 3G/4G USB sticks. Only way to know for sure if your client's is supported is to test one. Only other gotcha, and this is a VMware one, is your host server will need to support USB passthrough if you want to use the USB modem with the UTM guest VM.

4) High availability, do I need a separate management server or I can just use two devices. If so one will be primary with the fiber link and other one backup with the USB 3G/4G modem.

What Sophos calls High Availability is related to hardware, not uplinks.  In a typical HA config, the primary node handles everything and the slave acts as a hot standby in case the primary dies. Only catch is you have to cable the UTM's identically (see Bob's attachment).

Now, Uplink failover the UTM handles automatically so if your primary uplink on the UTM goes down, the system will automatically failover to a secondary uplink. No HA required.

How failover works with the USB 3G dongles, not sure. I'd think though that a second USB dongle would be required.

Hi,

Well this is what is the main goal. I am looking to replace some Check Point appliances which are protecting several different types of networks. They have something called ISP redundancy on their gateways. If primary link fails they go to standby. This works also in clustered environments.

The question number 5 I have managed to get an answer on my own reading through the manual and how it works so there is no additional explanations for that necessary.

Regarding the QoS and limitations, well I have encountered several different firewalls over the past few years and they all had some issues with QoS, either it was not working properly or it had some limitations, so I just wanted to see from real end-user perspective how it works and to get some feedback from people experienced with Astaro/Sophos.

I need different setups, some virtual machines and networks will be protected using ASG on ESXi (clustered config).

Regarding the clustering, is there a detailed explanation how they actually work, some design specs or technical specifications. I want to try Active/Active mode as well to see how it behaves, most of these servers are cloud hosting environments (in the ESXi).

Thanks for the feedback.

Predrag

I wouldn't recommend Active-Active unless you have a lot more than 5,000 users going through your setup.  The subscription cost for two 320s in Active-Active is the same as that for two 425s in Hot-Standby, and the second setup is more robust.  If you have 200 users, and you want to use Active-Active, you need two 250-User subscriptions; for Hot-Standby, you need only one.

Uplink Balancing in the UTM can do simple failover, as you describe, but it is much more flexible.

You clearly know a lot about the subject area, but I would suggest that you get some experienced help/advice with the first few installations.  We can't help you fast enough here with the number of questions that you don't yet know to ask about this tool.

Cheers - Bob

Hi Bob,

Thanks for the feedback, I have already deployed in test environment.

Predrag