Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 5 subscribers
  • Views 4650 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heimnetzwerk Absichern

Jan Seifarth

Hallo liebe SOPHOS-Community,

das Thema was ich nun behandeln möchte ist ein Thema voller Missverständnisse, für mich, soweit ich das beurteilen kann.

 

Wenn man nach dem Thema "Sophos hinter Fritzbox" Googelt, kommen so unendlich viele verscheidene Ansätze und Diskussionen

auf, das man sich schon bald gar nicht traut hierzu noch etwas zu schreiben oder zu fragen... kurzum, ich habe mir eine SOPHOS-UTM-110/120

zugelegt für mein bescheidenes Heimnetzwerk, weil ich folgende Idee verfolge, welche ich euch einmal versuche Illustrativ darzustellen:

 

Meine fragen an euch hierzu sind folgende:

 

1. Kann man das so überhaupt realisieren?

2. Wenn 1. JA -> Dann: Was sollte man bei so einer Konstellation beachten?

3. Meines erachtens Spielt sich alles hinter der Sophos ab, bis auf die Telefonie. Stimmt das so?

 

Ich wäre dankbar über jede "Konstruktive" reaktion.

 

Bis dahin und LG aus Cuxhaven

 

Jan



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Jan,

    ich würde anstelle der zweiten Fritzbox einen Sophos APX120 nehmen. Die neuen Accesspoints werden von der UTM ab Release 9.7 direkt unterstützt https://community.sophos.com/products/unified-threat-management/unified-threat-management-beta/sophos-utm-9-7-eap/f/sophos-utm-9-7-public-eap/114939/welcome-to-the-utm-9-7-early-access-program

    Das gilt natürlich nur, falls es um Neu-Anschaffungen geht, wenn die zwei Fritzboxen bereits vorhanden sind, dann liegt die Sache anders.

    Warum empfehle ich die Fritzbox nicht als AP zu verwenden? Die Reichweite und Stabilität der 7490 sind echt bescheiden, was den WLAN-Betrieb angeht. Ich habe damit keine guten Erfahrungen gemacht. Die neuen APX Accesspoints unterstützen den Wave2-Standard, die Reichweite ist besser, sie sind leichter abgesetzt zu plazieren und der kleine APX120 kostet ungefähr genau so viel wie eine 7490 Box. Da hättest du zusätzlich den Vorteil der Integration in die Sophos Firewall-Verwaltung mit dem "Wireless"-Modul.

    Ein Hinweis noch zur ersten Fritzbox, die am Internet hängt: ich habe letzte Woche bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Moin Philipp,

    dir auch Danke für deine Antwort und anregungen.

    jprusch said:
    Das gilt natürlich nur, falls es um Neu-Anschaffungen geht, wenn die zwei Fritzboxen bereits vorhanden sind, dann liegt die Sache anders.

    Genau das ist der momentane Ausgangspunkt, ich habe 2 FB7490 zur verfügung, aber gestern auch noch gesehen das ich einen LanCom 1302acn AP liegen habe. Mal sehen welches ich von beiden nun benutze.

    jprusch said:
    Ein Hinweis noch zur ersten Fritzbox, die am Internet hängt: ich habe letzte Woche bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Davon habe ich auch schon gehört das es dieses Problem geben soll. Wie hat sich das bei dir gezeigt das der expHost nicht mehr ging? Das würde ja im endeffekt heissen das man quasie alle Ports mal pauschal an die Sophos weiterleiten müsste. Das wäre natürlich übel.

    Die APs von Sophos habe ich mir auch schon angesehen, sehr interessant. Ich werde erstmal mit der UTM100/110/120 rumspielen und später dann ggf. eine aktuellere Sophos holen und die dann mit den APX120ern betreiben. Würde ja auch gerne die FB weglassen, habe aber noch nicht so den Peil wie ich dann mein Telefon zum laufen bekommen kann.

     

    LG aus dem Cuxland

     

    Jan

Reply
  • 0 in reply to jprusch

    Moin Philipp,

    dir auch Danke für deine Antwort und anregungen.

    jprusch said:
    Das gilt natürlich nur, falls es um Neu-Anschaffungen geht, wenn die zwei Fritzboxen bereits vorhanden sind, dann liegt die Sache anders.

    Genau das ist der momentane Ausgangspunkt, ich habe 2 FB7490 zur verfügung, aber gestern auch noch gesehen das ich einen LanCom 1302acn AP liegen habe. Mal sehen welches ich von beiden nun benutze.

    jprusch said:
    Ein Hinweis noch zur ersten Fritzbox, die am Internet hängt: ich habe letzte Woche bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Davon habe ich auch schon gehört das es dieses Problem geben soll. Wie hat sich das bei dir gezeigt das der expHost nicht mehr ging? Das würde ja im endeffekt heissen das man quasie alle Ports mal pauschal an die Sophos weiterleiten müsste. Das wäre natürlich übel.

    Die APs von Sophos habe ich mir auch schon angesehen, sehr interessant. Ich werde erstmal mit der UTM100/110/120 rumspielen und später dann ggf. eine aktuellere Sophos holen und die dann mit den APX120ern betreiben. Würde ja auch gerne die FB weglassen, habe aber noch nicht so den Peil wie ich dann mein Telefon zum laufen bekommen kann.

     

    LG aus dem Cuxland

     

    Jan

Children
  • 0 in reply to Jan Seifarth

    Moin, moin,

    was heißt "wie hat sich das gezeigt?", es ging einfach nix mehr von "aussen nach innen" nach dem Update der Fritzbox von 6.x auf 7.12. Internet und NAT hat weiter prima funktioniert. Ich habe dann auf Verdacht einzelne Ports geöffnet, anstatt den Anschluss der Sophos als "exposed host" zu deklarieren. Da fingen dann meine externen Zugänge wieder an, sich zu melden. Ich fand es erst mega nervig, aber je länger ich es mir überlege, ist es gar nicht so übel. Meist benötigt man sowieso nur eine Handvoll Ports, die weitergeleitet werden sollen. Dann prallt der ganze Rest schon an der Fritzbox ab, ist doch ok.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Guten Morgen Philipp,

     

    danke für das Feedback was den exposed host angeht.

     

    Im Endeffekt macht der ja auch nichts anderes als Internettraffic direkt an den Client weiter zu leiten, ungefiltert und dreckig. Von daher macht das echt Sinn anstatt dessen wirklich nur die Ports weiter zu leiten an die WAN-Schnittstelle der SOPHOS die man auch braucht. Wie Dirk auch schon erwähnt hat

    dirkkotte said:
    Mit einzelnen portweiterleitungen oder Exposed Host kann das sogar einen Gewinn an Sicherheit bedeuten. (2.Firewall-Stufe)

    Ich denke das ist ein guter Ansatz, werde ich genau so umsetzen.

    Wenn meine Arbeit mich lässt werde ich mich am Wochenende dran machen und mein Heimnetzwerk wie oben geplant umstricken. Ich bin gespannt und wenn Ihr mögt halte ich euch gerne auf dem Laufenden oder belästige euch hier noch mit eventuellen fragen oder ähnlichem ;)

     

    Beste Grüße aus Cuxhaven

     

    Jan

Unfiltered HTML