Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 3 subscribers
  • Views 13483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A Couple of Questions that did not turn up in Search

gregd
Hello all, 

Scroll down or go to *** if you want to skip the blah blah ... 

I am new to the Sophos (Astaro) world and loving it.  The last time I looked at Astaro is when they first started and they were charging for everything so I never knew or learned about the Free Home Version until I started to look for another free firewall.  Even so, there are a lot of people that do not know about this.  They all know about the most popular which I am sure you already know so I am not going to list all of the distributions.  I have personally used before switching to Sophos UTM;

1.  Untangle
2.  PfSense
3.  Cisco 1811W ISR ACLs and IPS - Personally owned and it now trunked to Sophos ASG along with a Cisco Catalyst 2950.
4.  Cisco PIX 501 - Sent to Recycling ... :-)
5.  Smoothwall
5.  OpenBSD and PF
6.  Cisco 2501 ACL

And I work on Cisco ASA series and Juniper SRX series at work.  

blah blah ...

***Now for my questions ... lol

1.  Does up2date work for the free Home Version?  The reason I asked is because the 11/27/14 code update (9.210020) did not show up nor was it downloaded.  I actually learned about from the forums and used the ftp link where you upload up2date packages to the firewall.  On the dashboard and in management > up2date, it stated that firmware was up to date and that wasn't the case at all.

2.  Does the IPS work in the free home version, do I need to use IDS Wake-up tool or something like that to make it alert other than of course real attacks?

That's it for now, everything else I have figured out or was able to research it.

Thanks in advance

~Greg


This thread was automatically locked due to age.
  • 0
    Does up2date work for the free Home Version
    Yes, but bear in mind two things...
    1)  Usually up2dates are released to the FTP server one to two weeks before they are released to the automated up2date system.  These "soft releases" are for those who wish to be "bleeding edge".
    2)  Larger up2dates may be deployed through the automated system in a tiered manner to control rollout and keep up2date servers from being overwhelmed.

    Does the IPS work in the free home version
    Yep.  Turn it on and watch the IPS log and you'll probably see entries soon enough.  As with all sections of the UTM, read the in-line help pages for the area before enabling.  There are tuning considerations which are covered in the help.
  • 0 in reply to Scott_Klassen
    Thanks Scott and I will read the help pages for tuning suggestions.  I did see SYN FLOOD detection messages when running Nessus but nothing else so I was concerned that it was not working correctly but then again, the network is my personal home network that I have it pretty locked down but of course nothing is perfect and I will never state that it is ... :-)

    I have the Sophos firewall linked up to a personally owned Zoom 5352 Cable Modem.  Not the best firewall but better than nothing and besides, the Sophos UTM is the real firewall and it is located where it should be.  The Zoom is really my bridge into the cable network and for my questionable wireless devices such as my work computer and appliances closed operating systems such as WII, OOMA, the Blue Ray, and etc.  If cable component cards were available, I would move Sophos directly connected into the cable network.  However, it is pretty much evident the cable companies have a conspiracy over the creation of such a card.  At least, one that works great.
  • 0
    Hi, as long as the modem is bridged (i.e. not doing NAT), you're good.

    Barry
  • 0 in reply to BarryG
    Hi, as long as the modem is bridged (i.e. not doing NAT), you're good.

    Barry


    Oh it is NAT'd but it is not a problem because the SOPHOS is on the same network as the LAN side of the cable modem.
  • 0
    What Barry is saying to to try to avoid double-natting.  It works, but can really cause some issues for some traffic and makes having inbound traffic traverse two NATs instead of one.  Just gets tricky.
  • 0
    Roger, it would actually be better if I did not NAT the UTM since I use the wireless function of the modem.  If I bridge the modem, the wireless function is deactivated.
  • 0
    That would be another solution.  However, your wireless clients would not receive (all of) the protections the UTM offers.  You could  certainly still use the http proxy (standard, transparent would be off the table I think) for your wireless clients, which will help.  But you would not see IDS features applied to that traffic.  I would strongly recommend picking up another AP and placing it behind the UTM and disabling wireless on the Zoom if you can swing it sometime.
  • 0
    My personal wireless devices such as Andriods, IPADS, IPODS, the wireless Printer, and personal laptop are connecting to the Cisco 1811W Wireless ISR that I have truncated to the UTM.
  • 0
    Last night, I removed the SNATs and added static routes once I found out where and what objects you can use, and that the gateway is defined under the WAN Interface (an option for it anyway) instead of having to be defined again under static routes.   I thought about playing with OSPF and BGP but unless you have a big network, it is not as exciting is if you had a medium business network or larger.  So now, the only NAT that takes place is on the Cable Modem itself.  I may still purchase a $20 AP and do what you guys suggested by bridging the cable modem and route everything through the UTM.

    In addition, I saw in the manual that my cable modem can split wireless up into primary home and guest network.  And that you can have multiple guest networks all using separate SSIDs.  In addition, you can isolate each connected device from each other and from other subnets.
  • 0 in reply to gregd
    This has turn into a bit of drama in trying to remove the double NAT.  It turns out that the Cable company (TWC - Road Runner) purposely keeps you (me) from bridging your (my) privately owned cable modem.  That way, in order for you to bridge, you need to rent their cable modem for $7 a month.  I found a website that had all of the necessary configuration changes you need to make to bridge it and those options are not present in my cable modem setup.  In addition, the cable company maintains the code on the modem, not the owner.  And, it does not have any type of static routing.  There is RIP but that means I probably have to run OSPF and redistribute into RIP or directly connected which I am not quite sure if I want to do that at this time.

    As for double NAT, yes it can cause problems but I am thinking of just leaving it since it has not caused any problems thus far.  Or at least, noticeable problems.

    This brings me to only (4) viable options, keep the current double NAT state, Run OSPF and redistribute to RIP or Directly Connected, rent their modem, or change to DSL at 3 mbps instead of 20.