UTM Home Lizenzproblem

- Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

- Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

@roesch4alc 
 Naja, die 50 IPs sind eigentlich gar nicht mal so schwer zu erreichen gewesen. Ich habe das Netzwerk meiner Eltern per RED10 angebunden. Alleine dort befinden sich, wenn man WLAN und LAN IPs zusammenzählt schon locker 10 bis 15 Stück. Ich habe bei mir zu Hause einen Server, 2Stk. Synology NAS, 2x Managed Switches, 1x WLAN Access Point, 1x MediaPlayer, 2 Macs mit jeweils LAN & WLAN, 2 x Handy, Apple TV, FireTV, Poe Webcam, Philips HUE, Amazon Echo, Logitech Harmony HUB, Mediacenter PC, PS4 und einen Netzwerkdrucker.

Ben said:

- Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

IPv6 ist eigentlich nicht aktiviert. Ich habe alles IPv4 Adressen in meinem Netzwerk vergeben und bekommen auch nur diese vom DHCP Server zugewiesen.

Ben said:

- Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

HI Manuel,

ja, wenn Du "normale" Geräte, die nur Internet-Access oder andere, gleichartige Zugriffe brauchen hinter einen Router hängst, brauchst Du nur noch die "WAN" Adresse des Routers in der UTM anlegen und freischalten.

Beim Mac mit WLAN und LAN kannst Du die MAC Adressen der Adapter im DHCP Server zu einer IP zusammen fassen. Nur wenn Du beide Adapter gleichzeitig nutzen willst, brauchst Du zwei unterschiedliche IPs.

Alles, was nur für Management nötig ist (z.B. die Switche), kann man auch abtrennen. Entweder komplett vom LAN oder auch wieder hinter einem Router.

Oder kegel die Eltern raus ;-)

Jas Man

Hallo Namensvetter ;-),

also, ich dachte schon, ich wäre ein Spielkind... ich komme mit den 50 IPs problemlos aus. 4 Personen-Haushalt, jeweils PC, Laptop LAN/WLAN, Handy, Tab. 1x Synology, 2x Raspi, 1x Homematic, 1x HM-Repeater, 3x WLAN-AP, 3x Cisco-Switch, 2x TV, 1x Receiver, 2x Drucker, 2x IP-Cam. Oben drauf noch ein Guest-WLAN (und die Kiddies haben oft Besuch). Und bestimmt noch ein paar Sachen, die ich grad auf die Schnelle vergessen habe...

Kann es sein, dass einfach nur die Lease-Time des DHCP zu hoch ist? Meine steht auf 4 Stunden.

Hallo Jas Man & Manuel,

ManuelAbeledo said:

also, ich dachte schon, ich wäre ein Spielkind... ich komme mit den 50 IPs problemlos aus. 4 Personen-Haushalt, jeweils PC, Laptop LAN/WLAN, Handy, Tab. 1x Synology, 2x Raspi, 1x Homematic, 1x HM-Repeater, 3x WLAN-AP, 3x Cisco-Switch, 2x TV, 1x Receiver, 2x Drucker, 2x IP-Cam. Oben drauf noch ein Guest-WLAN (und die Kiddies haben oft Besuch). Und bestimmt noch ein paar Sachen, die ich grad auf die Schnelle vergessen habe...

ich habe mir jetzt einmal mit Excel eine kleine Übersicht aller Angeschlossenen Geräten gemacht und komme insegsamt (LAN & WLAN gezählt) auf 40 Anschlüsse / IP's.

Das heißt es würden mir noch 10 bzw 15 (10% Quote) IP Adressen übrig bleiben. Wahrscheinlich habe ich durch das installieren von Proxmox und den VMs diese restlichen IPs ausgeschöpft.

ManuelAbeledo said:

Kann es sein, dass einfach nur die Lease-Time des DHCP zu hoch ist? Meine steht auf 4 Stunden.

Das ist auf jeden Fall bei mir so. Hab diese nie extra umgestellt. Die Lease-Time stand bei mir noch auf 1 Tag, habs jetzt bei mir auch auf 4 Stunden runter gesetzt.

Jas Man said:

ja, wenn Du "normale" Geräte, die nur Internet-Access oder andere, gleichartige Zugriffe brauchen hinter einen Router hängst, brauchst Du nur noch die "WAN" Adresse des Routers in der UTM anlegen und freischalten. 

ok, danke für die Info. Da muss ich mir nur erst genau überlegen, welche Geräte ich so vom Netz teilen kann.

Jas Man said:

Beim Mac mit WLAN und LAN kannst Du die MAC Adressen der Adapter im DHCP Server zu einer IP zusammen fassen. Nur wenn Du beide Adapter gleichzeitig nutzen willst, brauchst Du zwei unterschiedliche IPs.

Das habe ich mir auch schon gedacht. Das wäre für mich, vor allem beim Macbook kein Problem, da ich dieses sowieso nur selten per LAN anschließe. Werde das bei den Geräten welche LAN und WLAN haben einmal so auf der UTM einstellen.

Jas Man said:

Alles, was nur für Management nötig ist (z.B. die Switche), kann man auch abtrennen. Entweder komplett vom LAN oder auch wieder hinter einem Router.

Ich hab gelesen, dass es bei diesen Geräten ausreichend ist, wenn man den Gateway bei den Netzwerkeinstellungen dieser Geräte löscht. Das habe ich jetzt einmal gemacht. Somit kommen diese Geräte nicht mehr ins Internet, was aber zum Beispiel bei einem Switch kein Problem sein sollte. 

Jas Man said:

Oder kegel die Eltern raus ;-)

Diesen Gedanken hatte ich auch bereits, wobei das mit einer kompletten Trennung nicht geht, da meine Eltern und Geschwister auf meine NAS Zugriff benötigen, da dort unsere Gemeinsamen Daten gespeichert sind.

Allerdings hatte ich schon damit experimentiert eine zweite eigene UTM bei meinen Eltern aufzustellen und diese dann per UTM zu UTM RED miteinander zu verbinden. Daran bin ich allerdings leider gescheitert und hab den Plan danach verworfen. 

Liebe Grüße
Manuel

Schau doch mal unter Verwaltung -> Lizenzen -> Aktive IP-Adressen was für IPs da drin stehen. Sind da ggf. ein paar "Leichen" drin?

Alternativ geht auch ein IPsec Tunnel zwischen UTM und z.b. einer Fritz!Box 7490 oder höher. So geift ein Freund auf meine NAS zu. Die IPs des entfernten Netzwerks werden nicht zur Lizenz gezählt.

Stimmt Jas. Und eine UTM scheint Manuel ja noch zu haben. Damit ginge es auch. Da nicht per RED -> UTM, sondern als reinen Side-2-Side (egal ob IPSec oder SSL).

Eine zweite UTM wäre kein Problem, da ich noch einen Mini PC mit ausreichend Leistung bei mir zu Hause herumliegen habe. Aber wie gesagt, diesen Gedanken wollte ich selbst schon einmal umsetzten und bin daran gescheitert.

Hatte damals sogar hier im Forum einen Beitrag erstellt:
https://community.sophos.com/products/unified-threat-management/f/german-forum/86982/site-to-site-utm-red-einrichten/321718#321718

Der Tunnel wurde mir in der RED Verwaltung immer als "Grün" bzw. Verbunden angezeigt, allerdings habe ich es nicht hin bekommen, dass man von beiden Seiten auf das jeweilige andere Netzwerk zugreifen konnte.

LG.
Manuel

Naja, da warst Du schon auf dem richtigem Weg, aber hast glaub zu schnell aufgegeben :)

Naja, da warst Du schon auf dem richtigem Weg, aber hast glaub zu schnell aufgegeben :)

Jas hat Recht, Du warst eigentlich kurz davor. Und Bob hat Dir da auch die richtige Antwort zu gegeben ;-).

Aber: Warum den ganzen Internetverkehr Deiner Eltern über die RED10 jetzt über Deinen Anschluss laufen lassen? Schmeiß die RED raus, stell denen den UTM-Rechner hin und bau zwischen euch einen Side-to-Side-Tunnel. Am Einfachsten per SSL.

Dann noch Internet-Regeln/Webfilter-/Masquerading- bei Deinen Eltern und gut ;-). Deine Eltern können auf Dein Netz zugreifen und Du auf das Deiner Eltern. Deren IPs zählen aber nicht zu Deiner Lizenz.

Wahrscheinlich hätte es nicht mehr viel gebraucht damit es funktioniert hätte. 

ManuelAbeledo said:

Aber: Warum den ganzen Internetverkehr Deiner Eltern über die RED10 jetzt über Deinen Anschluss laufen lassen? Schmeiß die RED raus, stell denen den UTM-Rechner hin und bau zwischen euch einen Side-to-Side-Tunnel. Am Einfachsten per SSL.

Naja, den Internetverkehr meiner Eltern habe ich sowieso nie über meinen Anschluss laufen lassen. Die RED war immer auf "Standard/Getrennt" eingestellt. Der Grund warum ich die Verbindung zwischen den beiden UTMs damals per RED einrichten wollten, war der, dass mir die Einrichtung der RED 10 sehr einfach gefallen ist (eigentlich kein Konfigurationsaufwand), daher dachte ich mir ich versuche die UTM zu UTM Verbindung auch gleich per UTM RED einzurichten, was sich allerdings als deutlich komplizierter herausstellte. Über eine andere Methode dachte ich dann gar nicht mehr nach.

Es befindet sich in meinem Netzwerk allerdings ein Windows Server welcher als Domänen Controller eingerichtet ist, habe ich dann mit einer Site-to-Side Verbindung irgendwelche Probleme oder Nachteile gegenüber einer RED Verbindung oder anderen VPN Direktverbindungen?

LG
Manuel

fireb said:

Es befindet sich in meinem Netzwerk allerdings ein Windows Server welcher als Domänen Controller eingerichtet ist, habe ich dann mit einer Site-to-Side Verbindung irgendwelche Probleme oder Nachteile gegenüber einer RED Verbindung oder anderen VPN Direktverbindungen?

Ne, keinerlei. Side-to-Side sind ja z.B. auch für Firmen gedacht, die mehrere Standorte haben.

Ich sitze hier auch an einem Domänen-Laptop, der mit den ADs bei uns in der Firma kommuniziert. Der "weiß" ja, wo er sich zu melden hat ;-).
 

Hallo Manuel,

danke für deine Hilfe!

Habe das heute gleich einmal ausprobiert mit der SSL Site-to-Site VPN Verbindung und hatte alles innerhalb von 5 Minuten eingerichtet. Hätte ich das gleich gewusst, hätte ich mir die Kosten für die RED10 gespart.

Kannst Du mir vielleicht noch bei der Konfiguration sagen welche Verschlüsselungsmethode am Besten ist?

Derzeit habe ich es auf AES-256-CBC eingestellt. Standardmäßig war AES-128-CBC eingestellt.

Ist bei der Schlüssellänge und beim Authentifizierungsalgorithmus außer den Standardeinstellungen noch zu ändern?

Derzeit ist 1024Bit mit MD5 eingestellt und als Serverzertifikat wird das Local X509 Cert verwendet.

Soll ich hier vielleicht ein eigenes Zertifikat nur für diese SSL Verbindung einrichten?

Liebe Grüße
Manuel

Hallo Manuel,

Systeme, die wir konfigurieren, stehen grundsätzlich auf eine sehr hohe Verschlüsselung. Unser "Standard" ist da:

Das Zertifikat kannst, musst Du aber nicht ändern. Wenn DU es auf ein eigenes änderst, dann bitte auch das CA-Zertifikat in beide UTMs einspielen.

Hallo Manuel,

danke für Deine Hilfe!
Hab das Heute bei meinen Eltern eingerichtet und es funktioniert bis auf ein paar Kleinigkeiten einwandfrei.

Somit wäre mein Problem mit den Lizenzen und dem RED Tunnel auch gelöst.

Vielen Dank noch einmal an Dich und alle anderen die mir geholfen haben!

Liebe Grüße

Manuel

Gerne, wenn ich helfen kann, warum sollte ich das nicht machen? Ich denke, das ist der Hauptgedanke der Community. Ich weiß auch nicht alles über die UTM, muss da aber auch zugeben, ich kann mich da ziemlich "verbeissen", wenn etwas nicht funktioniert, wie ich es brauche. Du willst garnicht wissen, wie oft ich meine zwei Test-UTMs (VMs auf VMWare) schon weg geschossen habe ;-). Dank VM reichen zwei Klicks und sie leben wieder :-D. Die Armen müssen immer herhalten, wenn mal wieder ein "exotischer" Wunsch, egal ob firmenintern oder vom Kunden, angefragt wird.

Was hast Du denn noch für Kleinigkeiten, die nicht wollen? 

Mir geht es da gleich. Bei manchen Dingen bin ich auch schon Wochen und Monate gesessen bis dann alles so funktioniert hat wie ich es wollte. Teste da auch immer mit VMs bis es dann läuft.

ManuelAbeledo said:

Was hast Du denn noch für Kleinigkeiten, die nicht wollen?  

Eine Frage hätte ich jetzt noch. Ist mir nämlich gerade aufgefallen als ich versucht habe die UTM bei meinen Eltern mit meinem ActiveDirectory zu verbinden.

Zuerst habe ich es mit einer Verbindung zu meinem RADIUS Server, welcher auf meinem Domänencontroller unter NPS läuft, versucht. Hier habe ich beim Testen der Verbindung immer ein Connection Timeout erhalten. Als ich dann Versucht habe die Firewall per AD SSO in die Domäne einzubinden hat es auch nicht funktioniert. Der Ping aus dem Remote- Netzwerk auf den DC ist allerdings Problemlos möglich.

Kann es sein, dass ich hierfür noch Routen setzen muss?

lg
Manuel

Hi,

setz mal unter Nertzwerkdienste -> DNS -> Abfragerouten einen Eintrag deineDomäne.local -> DeinDC

Danach sollte es gehen. 

Hi,

danke, das hat funktioniert. Komisch nur, denn ich habs gestern schon so eingetragen und es hat nicht funktioniert. Hab den Eintrag dann auch so gelassen und wie ich es dann jetzt wieder Probiert habe hats funktioniert. Bis auf die RADIUS Verbindung, bei dieser bekomme ich immer noch ein Timeout.