Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 38 subscribers
  • Views 13818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM9 im Heimeinsatz auf ESXi Server

keamas
Hallo,
ich habe zuhause einen normalen Telekom router, der die Verbindung zum Internet herstellt. An den Switchports des Routers hängt auch gleich der ESXi Server und der WLAN Access Point. Mein ESXi 5 Server besitzt 2 Netzwerkkarten. Nun habe ich auf meinem ESXi 5 Server Sophos UTM 9 Home ... installiert und würde gerne diesen verwenden als Firewall und VPN und andere Sicherheits feature anstatt die komische Firewall die in dem Telekom Router implementiert wurde.

Hat jemand ein ähnliches Szenario? Wie kann ich das ganze lösen damit der Telekom Router noch die Internet Einwahl und alles macht und dann der Traffic an den ESX weiterschickt durch die Astaro und dann ins restliche LAN.
Auf dem ESX Server laufen jedoch noch weitere VMs

Kann mir jemand sagen wie ich das am geschicktesten mache ?
Was ich dabei beachten muss usw.. ?


This thread was automatically locked due to age.
Parents
  • 0
    Grundsätzlich ist die Firewall "Stateful", das bedeutet, wenn Du eine Regel nach dem Muster erstellst Internes Netz --> HTTP --> Any, dann merkt sich die Firewall diese Verbindung und läßt auch die zugehörigen Antwortpakete rein. Du mußt hierfür KEINE Regel im Stile von Any --> (z.B. HTTP) --> Internes Netz  erstellen!
    Wenn Du Dich weiter mit dem Handbuch beschäftigst wirst Du entdecken, daß es diverse Proxy Dienste (wie z.B. WebSecurity = HTTP/S Proxy) gibt.
    Als Faustregel würde ich Dir empfehlen: 
    1. Wenn es einen Proxy für einen Dienst gibt (wie eben den HTTP Proxy) würde ich diesen auch benutzen, da er i.d.R. mehr Funktionalität (in diesem Fall ContentFilter, VirusScan) als eine einfache PaketFilter Regel. 
    Wenn Du den also den Proxy benutzt, mußt Du nicht zusätzlich eine PacketFilterRegel pflegen, im Gegenteil: Dann würdest Du erlauben, am Proxy vorbei zu gehen.
    2. Gibt es keinen vorgefertigten Dienst/Proxy auf dem System gibt, wirst Du eine ausgehende Filterregel erstellen (müssen).
    3. Eingehende Filterregeln benötigst Du i.d.R. nur dann, wenn Du selbst einen Server im Internet (z.B. SMTP, HTTP) bereit stellen willst. Hierzu gibt es genügend Beispiele in der KnowledgeBase und auch hier im Forum.

    In Deinem Beispiel könntest Du
    - für HTTP/S den Proxy unter WebSecurity
    - für DNS die Weiterleitung unter /Network Services /DNS
    - für NTP den NTP Server unter  /Network Services /NTP
    einrichten.

    Ich hoffe, das war verständlich. Je später der Abend, umso komplizierter meine Formulierungen ;-)

    Grüße, Karsten
  • 0 in reply to KKnecht
    Grundsätzlich ist die Firewall "Stateful", das bedeutet, wenn Du eine Regel nach dem Muster erstellst Internes Netz --> HTTP --> Any, dann merkt sich die Firewall diese Verbindung und läßt auch die zugehörigen Antwortpakete rein. Du mußt hierfür KEINE Regel im Stile von Any --> (z.B. HTTP) --> Internes Netz  erstellen!
    Wenn Du Dich weiter mit dem Handbuch beschäftigst wirst Du entdecken, daß es diverse Proxy Dienste (wie z.B. WebSecurity = HTTP/S Proxy) gibt.
    Als Faustregel würde ich Dir empfehlen: 
    1. Wenn es einen Proxy für einen Dienst gibt (wie eben den HTTP Proxy) würde ich diesen auch benutzen, da er i.d.R. mehr Funktionalität (in diesem Fall ContentFilter, VirusScan) als eine einfache PaketFilter Regel. 
    Wenn Du den also den Proxy benutzt, mußt Du nicht zusätzlich eine PacketFilterRegel pflegen, im Gegenteil: Dann würdest Du erlauben, am Proxy vorbei zu gehen.
    2. Gibt es keinen vorgefertigten Dienst/Proxy auf dem System gibt, wirst Du eine ausgehende Filterregel erstellen (müssen).
    3. Eingehende Filterregeln benötigst Du i.d.R. nur dann, wenn Du selbst einen Server im Internet (z.B. SMTP, HTTP) bereit stellen willst. Hierzu gibt es genügend Beispiele in der KnowledgeBase und auch hier im Forum.

    In Deinem Beispiel könntest Du
    - für HTTP/S den Proxy unter WebSecurity
    - für DNS die Weiterleitung unter /Network Services /DNS
    - für NTP den NTP Server unter  /Network Services /NTP
    einrichten.

    Ich hoffe, das war verständlich. Je später der Abend, umso komplizierter meine Formulierungen ;-)

    Grüße, Karsten


    Danke für die Ausführliche Beschreibung.
    Mit dem Proxy für WebSecurity meinst du Web Application Firewall oder?
    Trage ich hier auch das User Portal der Sophos UTM 9 selbst ein?

    Übrigens gibt es für die Astaro 8 bzw Sophos 9 auch ein Deutsches Handbuch habe nur das Englische gefunden. Ansonsten muss ich mich mit dem Englischen rumschlagen. Den bisher habe ich nur das hier gefunden: Sophos UTM Appliance administration guide
  • 0 in reply to keamas
    es funktioniert auch sehr gut, wenn ich statt eines Routers die UTM direkt mit PPPo an einem Port einrichte und diesen über ein reines DSL Modem anschließe.
    So erreiche ich auch eine Ausfallsicherheit, wenn ich mehrere DSL Leitungen unterschiedlicher Provider nutze und den Uplink-Ausgleich in der UTM einrichte.[:)]
Reply
  • 0 in reply to keamas
    es funktioniert auch sehr gut, wenn ich statt eines Routers die UTM direkt mit PPPo an einem Port einrichte und diesen über ein reines DSL Modem anschließe.
    So erreiche ich auch eine Ausfallsicherheit, wenn ich mehrere DSL Leitungen unterschiedlicher Provider nutze und den Uplink-Ausgleich in der UTM einrichte.[:)]
Children
No Data
Unfiltered HTML