Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 2076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM questions

pedja
Hi all,

I am basically a newbie in Sophos/Astaro world. Most of my experience comes with Cisco/CheckPoint/Juniper firewalls.

I wanted to test this device for a client of mine. Before proceeding I would like to get some opinions of the community.

1) I'm considering using either a IBM/HP server or VMware ESX environment to host the UTM appliance. Are there any restrictions and limitations in the software due to such environment. The main reason for this decision is device availability for certain regions in the world.

2) Failover from direct ethernet / fiber internet to 3G/4G mobile USB device. How does this work ? Is it supported ?

3) What is the QoS like, does it work properly or there are some issues ?

4) High availability, do I need a separate management server or I can just use two devices. If so one will be primary with the fiber link and other one backup with the USB 3G/4G modem.

5) If the primary link fails (the ethernet / fiber one) how does the end client (laptop in this case) connect to download the endpoint policy from the server ? Is dyndns in play or how is this handled.

These are the questions which I have at the moment.

Thank you in advance,

Predrag


This thread was automatically locked due to age.
Parents
  • 0
    Hi, predrag, and welcome to the User BB!

    1) Either is fine.  Check the UTM Hardware Compatibility List if you can't get an answer here on a specific suggestion.  Folks here recommend using the VMXNET3 virtual NICs in ESXi.

    2) This is supported, but High-Availability mode requires that both nodes be wired identically.  Failover happens automatically and can happen quickly enough to go completely unnoticed except that up/downloads in progress and VoIP calls will need to be restarted.

    3) I'm not sure what you mean by "issues," but it does work well.  About two years ago, a very useful feature was added - UTM can do QoS on a packet leaving an interface even if the packet is encapsulated/encrypted in an IPsec packet (not exactly what's happening, but what the admin experiences).   Use 'Downlink Throttling' on the WAN interfaces to affect incoming traffic.  Use 'Bandwidth Pools' to prefer certain traffic streams outbound from the NIC over others.

    4) Just two, identical devices.  You will want each connection to connect to a switch and the switch to connect to the same NIC on each device.  See attached for an example.

    5) What is your concern that leads you to ask this question?

    In any case, be sure to follow #0 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
    PS I've moved this to the General Discussion forum since it addresses issues across several.
Reply
  • 0
    Hi, predrag, and welcome to the User BB!

    1) Either is fine.  Check the UTM Hardware Compatibility List if you can't get an answer here on a specific suggestion.  Folks here recommend using the VMXNET3 virtual NICs in ESXi.

    2) This is supported, but High-Availability mode requires that both nodes be wired identically.  Failover happens automatically and can happen quickly enough to go completely unnoticed except that up/downloads in progress and VoIP calls will need to be restarted.

    3) I'm not sure what you mean by "issues," but it does work well.  About two years ago, a very useful feature was added - UTM can do QoS on a packet leaving an interface even if the packet is encapsulated/encrypted in an IPsec packet (not exactly what's happening, but what the admin experiences).   Use 'Downlink Throttling' on the WAN interfaces to affect incoming traffic.  Use 'Bandwidth Pools' to prefer certain traffic streams outbound from the NIC over others.

    4) Just two, identical devices.  You will want each connection to connect to a switch and the switch to connect to the same NIC on each device.  See attached for an example.

    5) What is your concern that leads you to ask this question?

    In any case, be sure to follow #0 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
    PS I've moved this to the General Discussion forum since it addresses issues across several.
Children
No Data