VM Sophos UTM hinter der FB 7490

  • Hallo zusammen,


    leider verzweifle ich hier langsam. Auf einer VM habe ich Sophos UTM 9.3 installiert. Im Vorwege habe ich allen 4 LAN-Ports feste IP-Adressen vergeben:
    LAN1: 192.168.158.100 (Administration)
    LAN2: 192.168.158.200 (Reserve)
    LAN3: 192.168.158.3 (UTM Administration > https://192.168.158.3:4444)
    LAN4: 192.168.158.4 (UTM für WAN vorgesehen)


    Virtuelle Maschine mit zwei Virutellen Switches versehen (anders ging es irgendwie nicht)
    LAN3: Nur-extern-Netzwerk - Adapter 1
    LAN4: Nur-extern-Netzwerk - Adapter 2


    Fritzbox 7490 (1und1) hat DHCP und die Einstellung, dass nachgelagerte Geräte ihre eigene Verbindung aufbauen dürfen.


    Von der FB habe ich dann ein Kabel in LAN4 gesteckt. Die anderen an einen internen Switch, an dem alle anderen Geräte hängen.


    Ich habe sehr viele Seiten gelesen und schon einiges Ausprobiert. Irgendwie scheitert es daran, dass ich keine Internetverbindung zwischen der UTM und der FB bekomme. Exposed Host auf LAN3 der Qnap hatte nichts gebracht. In der UTM PPPoE zum LAN3 konnte nie verbunden werden.


    Auch die Variante mit der FB und dem Gastzugang habe ich versucht ... und bin gescheitert.


    Hat einer eine Idee?


    Danke!


    --- ModEdit ---


    Kann es vielleicht an der falschen Einstellung der VM-Switches liegen? Welche Empfehlung kann mir denn hier vielleicht gegeben werden?

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Mehrfach-Posts vermeiden, siehe Forenregeln! Topic-Bumping erst erlaubt nach 48 Stunden! Bitte den 'Ändern' Button verwenden.

  • Hallo Falko,


    knapp 4 Stunden haben Mike und ich uns damit beschäftigt. Gleich vorweg, Sophos ist schon "etwas" umfangreicher 8-) :shock: Ich habe dazu einen rudimentären Netzwerkplan zur besseren visualisierung erstellt. Anbei der Netzwerkplan + Screenshot von den Netzwerkeinstellungen vom NAS und den Einstellungen der VM Sophos als Diskussionsgrundlage.


    mfg
    Christian

  • Danke Christian, werde damit versuchen bei mir auch die Sophos ans laufen zu bekommen, aber mit allen 4 ports ^^


    mmh also folgendes du hast ja in den vm-settings "linux" ausgewählt, aber


    - welche Version (ubuntu, fedora?)
    - Den Lankarten-typ hast du "Intel Gigabit" genommen ?


    habe jetzt alles mal so installiert (version: linux ubuntu) mit der aktuellen sophos ISO 9.403.4.
    Bei der Hardwareerkennung nach iso boot erkennt er auch alles (die 4x intel gigabit lan) und installiert.
    Wenn ich dann allerdings im Webinterface die Grundinstallation weiter machen will kann ich im gestarteten Einrichtugns-wizard für "internet uplink WAN" keine interfaces auswählen (als hätte er hier wieder keine Lan-Karten erkannt).


    EDIT: Ah scheinbar richtet er die Interfaces ausser der ersten LAN nicht ein, wenn man Internet-Connection-Setup überspringt kann man unter Interfaces sehen das die Verfügbar sind aber noch net eingerichet..

  • auch mal wieder hier...


    Also ich hab die UTM seit rund über einem Jahr als VM laufen, geht ganz gut. Nur die Netzwerkschnittstellen aus der VM heraus scheinen keine Gigabit Anbindung bereitzustellen. Zumindest bekomme ich die 150 Mbit nicht vom Provider geliefert. (Bei Direktmessung am PC sind sie aber da. Kommen nur max. 100 Mbit durch. Ist aber ein anderes Thema, aber vielleicht hat ja dafür einer auch ne Lösung bereit. ;)


    Ich habe meine Konfiguration ein wenig bebildert, vielleicht hilft es Dir ein wenig auf die Sprünge bzw. vielleicht kann ich ein wenig weiterhelfen bei Fragen dazu.
    utm_001.jpgutm_002.jpg
    utm_003.jpgutm_004.jpg

  • Nachtrag:


    Das 100 Mbit Problem ist jetzt lokalisiert wurden. Liegt nicht an den Schnittstellen, die liefern 1G. Hier ist die Hardware der NAS schuld. Ist leider etwas schwach auf der Brust...
    Bei Ressourcen Knappheit regelt die UTM automatisch runter. Steht auch in mehreren Forenbeiträgen bei Astaro/Sophos. Ne größere NAS muss her... ;)
    Wobei die Begrenzung vielleicht auch von der V-Station direkt kommt, muss ich mal auf einer 19" QNAP testen.

  • Hallo zusammen,


    ich würde gern virtuelle Maschinen auf dem Qnap in einer DMZ betreiben.
    Ich habe bis jetzt eine Fritzbox als reines Modem im Netzwerk mit einem ASUS WLAN-Router, welcher alle Clients miteinander verbindet. (QNAP, Notebook, Handys etc.)


    Folgendes Szenario habe ich mir dabei vorgestellt.


    VM mit Linux hinter einer Sophos UTM auch als VM auf dem NAS.
    Jetzt bin ich in der Netzwerkeinrichtung nicht der hellste und bitte daher um einen Beispiel Netzplan an dem ich mich langhangeln kann bei der Einrichtung.


    Vielen Dank schon mal im Voraus.

  • Hallo 007BondMaster,


    ich verstehe deine Frage nicht so ganz. Wieso möchtest Du sämtliche VM´s in der DMZ betreiben? Da sollten eigentlich nur die "Öffentlich" erreichbaren rein. z.B. OpenXchange Server um e-Mails abrufen zu können, Guacamole etc...
    Ich persönlich setze mich auch grad mit dem Thema auseinander. Im Einsatz habe ich die Sophos XG. Hierzu habe ich den Sophos AP15 Access Point. Hier ein kurzer Überblick meiner bisherigen Konfig:


    DSL --> Fritz!Box 7490 --> QNAP TS-251 (LAN1) || Sophos XG || QNAP TS-251 (LAN2) --> HP ProCurve --> Sophos AP15 + Restliche EDV.....


    Wie Du siehst habe ich "vor" der Firewall nur die Fritz!Box. Der Rest ist "dahinter". Ich setze noch einen OpenXchange Server auf, der dann von der Sophos in der DMZ steht und um geroutet wird. Der ist dann auch der einzige Server der von "Aussen" zu erreichen ist. Da er aber in der Sophos DMZ ist, kommt ein evtl. Angreifer nicht ins Interne Netz.

  • Wieso möchtest Du sämtliche VM´s in der DMZ betreiben? Da sollten eigentlich nur die "Öffentlich" erreichbaren rein.

    es soll einfach eine Linux VM in einer DMZ betrieben werden.
    Ich möchte das diese nicht mit meinem Heimnetz kommunizieren kann und nur gesichert sich mit dem Internet verbindet.


    Nach meiner Auffassung ist dafür eine DMZ gut, auch wenn ich nichts veröffentlichen will...


    Die physikalische Anordnung der Geräte kenne ich, nur bei den Netzwerkeinstellungen fürs Routing mache ich meist kleine Fehler.
    Daher habe ich nach einem beispielhaftem Netzplan mit Adressen gefragt.

  • Ich habe eine QNAP TS-251A und möchte auf der Virtualisation Station eine Sophos XG Firewall betreiben. Das LAN Interface der Sophos ist am Virtual Switch 1 auf dem Port 1 der Qnap eingerichtet. Das funktioniert einwandfrei. Das WAN Interface ist auf dem Virtual Switch 2 auf Port 2 der Qnap konfiguriert (direkte Verkabelung zur Kabel Box im Bridge Modus). Der IP-Modus des vSwitches 2 habe ich auf „nur extern“ gestellt. Die Sophos zeigt das Interface als „up“ an, allerdings erhält das WAN-Interface keine DHCP-Adresse. Sobald ich den IP-Modus des vSwitches 2 auf DHCP stelle, erhält der vSwitch 2 die öffentliche IP-Adresse vom Modem.


    Kann mir jemand bitte weiterhelfen, wie die Sophos die DHCP-Adresse erhält?

  • Wie ist denn das Interface deiner Sophos konfiguriert? PPPoE oder als DHCP Schnittstelle?


    Soweit ich weiß, sollte der vSwitch schon als "extern" konfigurieren (im erweiterten Modus "IP-Adressen nicht zuweisen (bei speziellen Gründen, wie dem Aufbau eines externen oder isolierten Netzwerks)" auswählen).


    Alles in allem finde ich es aber schon ziemlich mutig auf dem NAS die Firewall als VM laufen zu lassen. Eine Firewall die den direkten Internetzugang herstellt, würde ich ausschließlich auf professioneler VM Hardware laufen lassen (z.B. VMware/Hyper-V) und dann auch nur wenn darauf keine Daten liegen. Es reicht ein Bug im virtuellen Netzwerk und dein NAS steht öffentlich im Netz :cursing:

  • Danke für deine Antwort. Genau so habe ich das eingerichtet. Die Schnittstelle der Sophos steht/stand auf DHCP. Ich habe inzwischen den „Fehler“ gefunden. Nach einem Neustart des Modems, wurde die öffentliche DHCP-Adresse zugewiesen.


    Ein Bug in der Firewall öffnet leider immer den Weg ins Netzwerk, egal ob Hardware oder VM. Allerdings gebe ich dir aufgrund der Qnap-Firmware Recht, da diese eine zusätzliche Fehlerquelle ist. Auf Dauer möchte ich eine Pfsense auf einer Apu laufen lassen, aber so auf die Schnelle war das meiner Ansicht nach die beste Lösung. Die Firewall des Kabel Deutschland Modems stellt für mich keine Lösung dar.

  • TOP. Reboot tut immer goot :)


    Ja, stimm. Bug in der Firewall ist natürlich ganz schlecht. Aber so schafft man sich halt eine (vermeidbare) Fehlerquelle. Ich hab im Büro eine Sophos UTM auf einer Zotac ZBOX CI323 laufen. Läuft sehr gut. Auf eBay habe ich mir neulich 2 Lexcom D525 büchsen geschossen. SSD und RAM bestellt. Für 100€ ist das ne gute Firewall Appliance mit 4 Gigabit Ports :)