Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 1850 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New Reseller - Learning the Ropes - Some Issues and Questions

FarVision
Hello all.

Going to drop a couple things all in at the same time.  I did some Searches but came up with things from months ago, so I can't get a handle on what's been fixed.

We're a new Silver partner and getting started with some self-builds on SFF boxes.  They test out great and the product works fine.

Some speed bumps I would love to get ironed out:

We are used to Untangle where you could drop it in as a transparent bridge, and still have good protection.  When I roll these out to clients, and to test, I don't want to rip and replace right off the bat.  I would love to drop this behind the router, in front of the switch, but can't seem to get my head around these DHCP issues.

DHCP Relay doesn't seem to work - at all.  Configured everything as expected in services and interfaces.  It's a great UI!  We're not dumb to this stuff.  Nothing passes to the internal interface.  None of the client can see any response to DHCP query.  So we tried to punch in a DHCP server as well, thinking that the Relay needed a separate server.  Nope - red text says only one thing allowed.

If I do a scratch install and say Enable DHCP, it works like a champ.  We're using a standard cable modem (Comcast/Florida) and normally these things are not an issue.  But I don't want just the UTM by itself, we want to pass traffic.  The Bridge aspect of the system confused me, as well.  I don't want to bond both interfaces together.

1.  What's the magic process to let the existing Router's DHCP pass through to the internal interface? [[:)]]

2.  What's the process to enable Google services?  When I test with just the UTM / No router, web traffic passes.  Google Drive shows Can't Connect.  Dropbox and other apps have no problems.  I saw another post able adding a 4 or 5 block list of domains to the whitelist and that looks easy enough.  Do you just roll through the live logs looking for blocks, and put them into the pass list?  Starting off with lots of restrictions wasn't really the way I wanted to go.  I'm thinking integration issues with paid client engagements.  I would massively prefer everything being tracked and logged, then we could tighten it down as time goes on.

3.  SIP!  None of our phones work.  I was not able to get any combination of Services, Firewall or VOIP dropped into either the 30 day trial or the Essentials product to get it to pass traffic.  We use Vonage TA's and I have some OBi stuff I wanted to plug in at some point.

Thanks for all assistance!  I don't mind getting the process down - once.  [[:)]]  if this is going to be a thing on every single client engagement, I'm not so sure how it's going to fly.


This thread was automatically locked due to age.
  • 0
    Hi & Welcome!

    Regarding #2 & 3, you should look at the logs. See Bob's RULZ post for more info:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065

    I'm not sure about the DHCP relay; I'll let someone else answer...

    Personally I'm not a fan of bridging the UTM; I prefer to bridge the modem/router and let the UTM handle everything; otherwise you're at the mercy of the other router when you want to look at logs, do DNATs, etc.

    Barry
  • 0 in reply to BarryG
    Hi & Welcome!

    Regarding #2 & 3, you should look at the logs. See Bob's RULZ post for more info:
    https://www.astaro.org/gateway-products/general-discussion/49065-rulz.html

    I'm not sure about the DHCP relay; I'll let someone else answer...

    Personally I'm not a fan of bridging the UTM; I prefer to bridge the modem/router and let the UTM handle everything; otherwise you're at the mercy of the other router when you want to look at logs, do DNATs, etc.

    Barry


    Hi Barry thanks for replying.  When you say bridging the router instead of the UTM, what do you mean?  On low-end deployments where space and power are not a concern, we generally prefer to distribute the risk between two and three small devices instead of one.  

    I suppose I could be convinced to let this product rest directly behind the modem.  It would certainly enhance client stickiness.  

    I'll check that other post.  I would like to boil down the installation phase.    I'm trying to avoid client freakout where their favorite apps (and phones) stop working post UTM install.
  • 0
    I like bridging.  Among the differences is it allows for function/job separation, drop-in & phased introduction to the network and additional comparison/replacement options.  Last I knew the UTM only supports the configuration of only a single bridge.

    I like routing too - different tools for different circumstances, situations and jobs.

    Part of the phased introduction of a bridged device can include "pass all and log all" to facilitate profiling the existing traffic.  Later phases can include final testing (proving, ideally after non-prod test lab testing) of enforcement in a deliberate and controlled manner for business critical devices and applications.  Less critical devices and applications too but usually circumstances and constraints (time & budget) determine what gets tested and what gets fixed.

    I'm not understanding the DHCP Relay issue but I don't think the situation has been explained completely.  Is this with the UTM as a bridge and relay works when the UTM is not inline?  Diagram with placement/settings of the DHCP server, helper/agent device and test clients.  In addition to the logs how do the packet captures look?
  • 0 in reply to teched_01
    I like bridging.  Among the differences is it allows for function/job separation, drop-in & phased introduction to the network and additional comparison/replacement options.  Last I knew the UTM only supports the configuration of only a single bridge.

    I like routing too - different tools for different circumstances, situations and jobs.

    Part of the phased introduction of a bridged device can include "pass all and log all" to facilitate profiling the existing traffic.  Later phases can include final testing (proving, ideally after non-prod test lab testing) of enforcement in a deliberate and controlled manner for business critical devices and applications.  Less critical devices and applications too but usually circumstances and constraints (time & budget) determine what gets tested and what gets fixed.

    I'm not understanding the DHCP Relay issue but I don't think the situation has been explained completely.  Is this with the UTM as a bridge and relay works when the UTM is not inline?  Diagram with placement/settings of the DHCP server, helper/agent device and test clients.  In addition to the logs how do the packet captures look?



    I'm looking for a way to deploy the Sophos 9.2 UTM software in a Transparent Bridge mode.  Other security products we have used allow this choice during install.
  • 0
    Bridging setup isn't presented in the OS install or initial setup wizard from what I recall.  However, it is possible to configure the UTM to act as a transparent bridge.  There is much more to the UTM than what the initial setup wizard configures.

    Have you reviewed section 6.2 Bridging of utm9205_manual_eng.pdf?  The online help (question mark at the top of WebAdmin) can also be useful.

    Does Sophos not make available training, advanced documentation and direct support to partners and resellers?  Is the bridging setup/config not fundamentally be the same across full, 30-day, home and free-business licenses?
  • 0 in reply to teched_01
    Bridging setup isn't presented in the OS install or initial setup wizard from what I recall.  However, it is possible to configure the UTM to act as a transparent bridge.  There is much more to the UTM than what the initial setup wizard configures.

    Have you reviewed section 6.2 Bridging of utm9205_manual_eng.pdf?  The online help (question mark at the top of WebAdmin) can also be useful.

    Does Sophos not make available training, advanced documentation and direct support to partners and resellers?  Is the bridging setup/config not fundamentally be the same across full, 30-day, home and free-business licenses?



    So excited to get going with a new security product; forgot there was a deeper manual in addition to Quick Start.  I'll dig through this over the weekend and see if this answers my questions.  Thanks for the reminder!
  • 0
    As TechEd mentioned, contact your channel manager to get signed up for a training session.
  • 0
    First, let me add my welcome to Barry's.  You'll find that this BB gets better answers more quickly than others you're familiar with.  Since you're new and rarin' to go, let me help you understand how to get the most out of the User BB.

    Outside of the beta forums where some of the developers ask for more precisions, it's rare to have Sophos employees participate here, and the User BB is not an official way to communicate with Sophos.

    We try to start threads in the appropriate forum.  Some of your questions belong in the "Management, Networking, ..." forum, and some in the "Network Protection" forum.  A basic rule is "one topic per thread" so I'll move this thread to "General Discussion" although it doesn't really fit there either.

    Training is the real answer, as others have mentioned above.  You can have instant access to videos on YouTube.  Your Channel Manager at Sophos will get you a login for the Sophos Partner Portal where you can access a lot of on-line training that is free for resellers.

    Finally, a suggestion that comes after seeing many CCIEs get frustrated with the UTM.  Since you already have experience in this realm, you will be tempted to solve problems the way you've done with another tool.  So, when posting an issue here, please tell us what you're trying to accomplish instead of a detail about where you're hung up on a solution that might be a kludge in the UTM.  There may be a simple, elegant solution that you didn't yet know to ask about.

    Cheers - Bob