Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 13850 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos und feste IP via VPN

Wedgewood
Guten Abend,

wie schön dass es hier auch einen deutschsprachigen Teil gibt.
Das habe ich gerade erste entdeckt [:)]

Nun zu meiner Frage:

Gegenwärtig nutze ich einen Vdsl-Anschluss der Telekom mit einer dynamischen IP. Auf der Suche nach einer Lösung zur Realisierung einer gescheiten Mail-Lösung habe ich folgendes gefunden:

Feste IP per VPN bei Portunity

Kann man damit und einer UTM 9.2 sinnvoll einen Mailserver betreiben?
Meine Idee ist, dass ich die VPN-IP für den (später die) Server nutze und die dynamische für normales Surfen etc. Wird das funktionieren? Hat jemand Erfahrung mit so etwas?

Vielen Dank für jede Hilfe.

Gruß

Wedgewood


This thread was automatically locked due to age.
  • 0
    Den Gedanken hatte ich auch erst kürzlich (gleiche Voraussetzungen).

    Das Problem ist:
    Als Tunnel-Lösungen werden PPTP, OpenVPN und L2TP/IPSec angeboten.

    Keine dieser Techniken kann ich für Site2Site-VPN verwenden. Wie also den Tunnel zu Portunity einrichten?
    Angenommen, ich bekomme OpenVPN mit Gebastel auf der Shell hin: Wie stelle ich es an, dass bestimmte Services über das VPN laufen, während andere direkt rausgehen? Das geht dann vermutlich nur über Policy Routen, weil der Tunnel von der UTM ja nicht als weiteres Default Gateway angesehen wird und damit auch kein Uplink Balancing mit Multipath-Regeln geht...

    Diese Probleme haben mich dazu gebracht, den Gedanken wieder zu verwerfen.

    Aber falls jemand eine praktikable Lösung hat, darf er sie gerne mitteilen... ;-)

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Ich hatte ja immer gehofft, dass sich mal jemand findet, der eine feste IP auf Basis einer RED Loesung anbietet.... [:D]

    Schade das es die RED noch nicht als Software fuer den ESXi gibt...
  • 0
    Nachdem ich mich einige Zeit mit dieser Frage nicht beschäftigen konnte hier eine Idee:
    Zwischen Fritzbox und UTM hänge ich einen OpenWRT Router (oder auch DD-WRT).
    Dieser stellt per OpenVPN (PPTP scheidet ja aus Sicherheitsgründen aus...) den VPN zu Portunity her.
    Dieser verwendet LAN-seitig eine VLan-ID.
    In der UTM richte ich einen zusätzlichen VLan-Netzwerkadapter ein.
    Jetzt kann ich entscheiden, welcher Datenverkehr über welchen Adapter geroutet wird:
    Surfen etc. über den "normalen" WAN-Adapter, Exchange etc. über den VLan-WAN-Adapter.
    Ob das funktionieren könnte?
  • 0
    Ja, klingt plausible.
    Ist nur doof, wenn man drei Geräte benötigt.
  • 0
    Das Red brauchst du nicht als VM Lösung. Du kannst auch einen RED Tunnel zwischen UTM und UTM machen.

    Oder Utm als VM im RZ und RED zu Hause.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Hallo, ich habe es mit Pfsense gelöst. Meine UTM ist virtuell, die Pfsense ebenfalls. Ich habe dann eine eigene DMZ angelegt und route den Emailverkehr port 25 über die DMZ zur Pfsense, die hat einen Tunnel zum Portunity. 
    Funktioniert bei mir seit Monaten problemlos.

    Was ich aber eher fördern würde, wäre dieser Feature Request:
    SSL VPN: Convert .ovpn to .apc/.epc for Site-to-Site SSL Tunnels

    Dann kann man sich den Router dazwischen sparen.
  • 0
    Sowas gibt es längst und es funktioniert sogar prima...

    https://github.com/RustyDust/ovpn-to-apc

    Fördert lieber diesen Request: Klick

    Ihr könnt zwar einen SSL Tunnel herstellen, aber multipath routing ist nicht möglich, weil die tun/tap Devices in den multipath-Regeln nicht als Ziel auswählbar sind. (Auch beim masquerading fehlen sie)

    Die einzige Möglichkeit die es im Moment gibt, ist es den openvpn Server als Standardgateway zu setzen (in der client.conf) und dann für alle Ports und Protokolle die nicht über den VPN geroutet werden sollen multipath Regeln mit dem Wan Port als Ziel zu setzen.

    Das ist total bescheuert, aber es geht nicht anders.
    Der fehlende Vollzugriff auf die virtuelle Schnittstellen ist in meinen Augen ein absolut zentrales Problem der UTM, nur weil die Entwickler davon ausgehen, dass jede Endstelle auch gleich Sophos einsetzt und man damit per Red verbinden kann.

    Das könnte man im übrigen für das o.g. Szenario wunderbar mit einer UTM auf einem kleinen V Server bewerkstelligen.
    Verbindung dann per RED.
  • 0
    Ich habe mir eine Sophos auf einem vServer Anbieter aufgesetzt und arbeite per RED und Site2Site. So habe ich Lokal quasi eine zusätzliche Internetverbindung. Bei Interesse PM dann sende ich gern eine Info zu dem vServer Anbieter.
  • 0
    Ich finde diese Thread sehr interessant, weil ich vor einem Monat noch vor einem ganz ähnlichem Problem - um nicht zu sagen dem gleichen - stand. Final sind wir dann auch bei einem HW-Router, der die Verbindung herstellt gelandet. Bzw. benötigen wir den Tunnel jetzt nicht mehr, weil unsere Standleitung dann doch nicht kam. ;-)

    ...Die sicherheitsbedenkend bei PPTP kann ich nicht so ganz nachvollziehen. Ich meine es wird doch lediglich eine öffentliche IP geroutet, die Datenpakete auf dieser IP sind ja - je nach Dienst - ohnehin immer öffentlich oder?

    BG
    /dev/nul
  • 0
    Ich wäre damit vorsichtig, er will den DD WRT Router ja ins Netz hinter die UTM stellen.
    Der Netzwerkverkehr ist damit nicht zu regulieren und wenn man ein Angreifer einmal Vollzugriff auf den Router hat ist vorbei.

    Etwas anderes wäre das, wenn die UTM selbst die PPTP Verbindung herstellen würde.
Cookie Information Banner