Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 9353 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.4 mit DynDNS und DS-Lite

ikon
Hallo liebe Community,

dies ist mein erster Beitrag hier und daher möchte ich erstmal recht herzlich Grüßen [[:)]]

Wir sind kurz vor unserem ersten Sophos Abschluss (UTM Appliance inkl. RED's und AP's). Ich werden dazu auch Ende November die beiden Lehrgänge zum Engeenering und Architect besuchen. Bevor wir uns nun aber mit unserem Kunden einigen habe ich noch eine technische Frage.

Beim Kunden liegen momentan 2 Internetanschlüsse. Ein DSL der Telekom mit 16MBit down und 1,2Mbit Up (hat eine feste IP) und ein Kabel Deutschland Anschluss mit 100MBit down und 12 MBit Up. Der Telekom Anschluss kommt jedoch nicht an die genannten Werte heran und lässt sich für eine VPN Verbindung und Datenfreigabe nur mangelhaft nutzen. Deswegen würden wir gerne den Kabel Deutschland Anschluss dafür nutzen. Die Frage ist nun ob das überhaupt funktioniert?

Der Kabel Anschluss kann auf keine feste IP zurück greifen. Dort müssten wir also eine DynDNS Adresse einrichten. Eine Anleitung hatte ich hier: Fastvue Sophos Reporter How to Configure Dynamic DNS on Sophos UTM schon gefunden. Jedoch läuft der Anschluss auch über DS-Lite. Das kann doch dann also gar nicht funktionieren wenn ich von außen nicht auch mit einer IPv6 Adresse komme, oder?

Wenn doch, gibt es irgendwo Lektüre bzgl. der Einrichtung?

Hoffe mir kann hier einer helfen [[:)]]

LG, Frank


This thread was automatically locked due to age.
  • 0
    Hallo ikon,

    wenn du (via MP-Regel) definierst, dass "Surf"-Traffic auf die Kabelleitung gedrückt wird, solltest du z.B. via wieistmeineip.de o.ä. herausfinden, ob du via IPv4 erreichbar bist (ich denke schon, ausser der Kabelnetzbetreiber routet über einen/diverse IPv4to6 Gateways in seinem Netz, dann wirds schwierig).

    Aber das solltest du ja via Hotline erfragen können.
    Wenn IPv4 aktiv, dann spricht nichts gegen die Dyn-Nutzung.
  • 0
    ... und bei den Businessanschlüssen kann man durchaus eine fest IPv4 Adresse erhalten.
    Aber was spricht gegen IPv6?
  • 0
    Bisher ist es wirklich so, dass der Kabelnetzbetreiber über IPv4to6 Gateways in sein Netz routet. Habe nun die Aussage vom Business Support Kabel Deutschland bekommen, dass bei dem Kunden Dual Stack geschaltet werden kann. Somit wäre dort jeweils eine IPv4 und IPv6 von außen zu erreichen. Eine feste IP gibt es dort jedoch nicht. Also kann ich doch dann bedenkenlos mit einen DynDNS Anbieter arbeiten. Oder habt ihr noch Anmerkungen?

    @K.N.: ich stecke in der Thematik IPv6 noch nicht wirklich tief drin. Aber ist es nicht so, dass man nicht an jeder Lokalität von der man sich per VPN einwählen will eine IPv6 Adresse bekommt? Aber diese wäre doch zwingend nötig um den Tunnel überhaupt aufbauen zu können.
  • 0
    ikon: IPv6 ist nicht vernünftig durchgängig supported und stabil als das ich es produktiv einsetzen würde. (insbesondere nicht mit der Sophos, der immer noch einige Features fehlen) 

    Bei der Sophos Anschaffung mach dich vorher noch mit der Migrationsgeschichte Sophos OS/Copernicus vertraut, das ist der Nachfolger der in 2-3 Jahren die Sophos UTM ablösen soll. (Bitte korrigieren falls das falsch ist) 

    Wir sind mit der Sophos UTM gut zufrieden und sehen den Wechsel auf Sophos OS noch mit großer Skepsis entgegen. Für kleinere Installationen würde ich vermutlich mitterweile etwas anderes einsetzen das längerfristig gut supported ist und keine hohen Folgekosten mit sich zieht. (Bedenke, der Lehrgang wird sich nicht auf Sophos OS anwenden lassen, zumindest nicht nach dem, was man derzeit so sieht)

    Die Sophos kann oft die beste Wahl sein, gerade in komplexen Umgebungen und bei der Absicherung von Webservern und E-Mail eine tolle Lösung. Wenn ich nur 10-20 Arbeitsplätze mit Internet versorgen will (du hattest jetzt keine Zahl genannt, ich stell es mal so in den Raum) und dafür 2 Lehrgänge besuchen musst eher nicht.
  • 0 in reply to ben83
    Hallo Ben83,

    danke für deine informative Aussage. Auch bzgl. dem kommenden Sophos OS! (Gibt es da irgendwo Lektüre?)
    Wir haben uns jetzt schon einige Firewall Lösungen angeschaut und sind nun auf Sophos festgefahren. Ich sehe es auch nicht als Problem an, in 2-3 Jahren erneut einen Lehrgang zu besuchen. Die Kapazität, sowie zeitlich als auch monetär, sind bei uns gegeben. Bzgl. den Folgekosten beim Kunden haben wir dies von Beginn an vermittelt, dass sich etwaige Folgekosten nach 3 Jahren ergeben können.

    Hier mal etwas zu dem Kunden:
    Hauptniederlassung: alle Server und 43 Arbeitsplätze, hier kommt die Appliance SG230 mit FullGuard und mehrere AP's hin.
    Zweigstellen: 2x 3 Mann Büros sollen mit RED's und AP's angebunden werden
    Außendienstmitarbeiter: 7 Mitarbeiter welche per VPN Client Zugriff erhalten sollen.

    Der Kunde befindet sich in einem starken Wachstum. Innerhalb von 3 Jahren von 21 auf 52 Arbeitsplätze.  Wie beurteilst du diese Größe und Konstellation in Bezug auf Sophos?

    LG, Frank

    edit: Die Infos bzgl. Sophos OS habe ich gefunden
    https://www.sophos.com/en-us/lp/copernicus-beta.aspx?cmp=70130000001xKqzAAE&utm_source=blogs.sophos.com&utm_medium=article&utm_campaign=https%3A%2F%2Fblogs.sophos.com%2F2015%2F08%2F17%2Fjoin-the-sophos-firewall-revolution-project-copernicus-beta-now-available%2F
  • 0 in reply to ikon
    Hallo Ikon,

    wenn das Wachstum so anhänlt, sollte man in 2-3 Jahren ggf. eine größere Appliance mit HA ins HQ stellen, auch was dann die Anzahl der Tunnel (RED5x/RED1xx) angeht.

    Wenn die Zweigstellen ebenfalls stark wachsen, würde sogar eine eigene (kleinere) Appliance (ggf. HA) Sinn machen, um hier vor Ort die Filter (Surfen etc.) zu schalten. Alternative wäre, allen Traffic über das HQ zu routen, was natürlich Anforderungen an Bandbreite und Verfügbarkeit hochschnellen lässt.
  • 0 in reply to ManuelKarl
    wenn das Wachstum so anhänlt, sollte man in 2-3 Jahren ggf. eine größere Appliance mit HA ins HQ stellen, auch was dann die Anzahl der Tunnel (RED5x/RED1xx) angeht.


    so ist es auch geplant [:)]

    Wenn die Zweigstellen ebenfalls stark wachsen, würde sogar eine eigene (kleinere) Appliance (ggf. HA) Sinn machen, um hier vor Ort die Filter (Surfen etc.) zu schalten. Alternative wäre, allen Traffic über das HQ zu routen, was natürlich Anforderungen an Bandbreite und Verfügbarkeit hochschnellen lässt.


    für's Erste wird nur der VPN Verkehr über die REDs (2x 10er) gesteuert. Der Rest geht direkt ins Internet. Abwarten was die Zukunft bringt^^

    LG
  • 0
    ikon: dafür wäre die Sophos (Stand heute) dann auch meine erste Wahl. Die Wireless Geschichte fand ich bei Sophos in der Theorie super, in der Praxis hatte ich (und auch andere) mit dem AP10 mächtig Probleme. (In anderen Threads steht da noch viel mit Verbindungsproblemen) Wenn viel über WLAN zuverlässig laufen soll, würde ich es nicht mit Sophos APs machen sondern mit einer eigenen unabhängigen Wlan Infrastruktur per VLAN. Das ist meine persönliche Meinung und mag mittlerweile auch wieder besser sein bei Sophos. (Stand bei mir Ende 2014/Anfang 2015)

    Da ich eine Sophos in ähnlicher Größenordnung "manage" kannst du mir ansonsten auch gern eine PM schreiben bei "kritischen" Fragen.
  • 0 in reply to ben83
    Hallo Ben83,

    die Problematik mit der AP10 hatte ich auch gelesen. Ein befreundetes IT Unternehmen aus NRW welches schon länger mit Sophos arbeitet hatte uns darauf aufmerksam gemacht. In unserem Angebot an den Kunden arbeiten wir nur mit den AP15 und 55. Denke diese sollten besser sein.

    Danke für dein Angebot bzgl. der PM!!! Da werde ich bestimmt drauf zurück kommen [[:)]]

    Ich bin sehr erfreut über das Forum hier. Wahnsinnig nett und hilfreich. Danke [[:)]]

    LG, Frank
Cookie Information Banner