Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wake On LAN + Zugriff von Standort

Hallo zusammen,
ich hatte in einem Netzwerk bis vor kurzem eine IPfire stehen, diese habe ich jedoch nun gegen eine Sophos UTM 9.3 ausgetauscht. Die IPfire hatte ich so konfiguriert das ich von einem anderen Standort aus (mit fester IP, und nur von dort aus) über das Internet auf die IPfire zugegriffen werden konnte. Dort habe ich dann über Wake On LAN einen PC im internen Netzwerk angeschalten. (Strom sparen etc., da der PC nicht den ganzen Tag gebraucht wird)
Vor der IPfire bzw. jetzt die Sophos UTM steht ein Router. In dem Router hatte ich eine Portweiterleitung auf die IPfire gemacht.

So nun zu meinen eigentlichen beiden Fragen. Wie regele ich das sinnvoll bzw. richtig dass ich nur von dem einen Standort aus auf die Sophos zugreifen kann (Webadmin)? Habe unter den Webadmin Einstellungen schon mal geschaut, aber da steht ja im Moment (Standardeinstellungen nach Installation) der Zugriff auf „Any“, somit kann ja jeder wenn er meine Adresse hat, auf die Sophos zugreifen und versuchen sich anzumelden. Da dies in meinen Augen ein Sicherheitsrisiko darstellt wollte ich mal fragen wie ihr das handhabt. Wie gesagt ich brauche den Webadmin Zugriff vom Internet aus ja nur für die Wake On LAN Funktion. 
Zu der Wake On LAN Funktion habe ich nun auch schon einiges gelesen, allerdings scheint es so zu sein das es so eine Funktion wie in der IPfire (über das Webinterface) nicht gibt, ist das so richtig oder habe ich da nur was überlesen. Habe in diesem Zusammenhang nur herauslesen können das dies nur über die Shell funktioniert. Wenn dem wirklich so ist, würde es dann nicht reichen SSH auf der UTM zu aktivieren und diesen Zugang auf einen User zu beschränken und dann von dem anderen Standort eine z.B. über Putty eine SSH Session aufzumachen oder seht ihr darin ein Sicherheitsrisiko?
Wie handhabt ihr bzw. wie würdet ihr diese Aufgabenstellung, auch aus Sicht der Sicherheit lösen. Für eure Tipps und Anregungen bedanke ich mich schon mal im Voraus.

Mit freundlichen Grüßen
Husky2786


This thread was automatically locked due to age.
  • Standard-Konfiguration für den Webadmin ist mMn nicht ANY, sondern INTERNAL.
    Du solltest das ANY also mit INTERNAL und den gewünschten Host- und / oder Netzwerkobjekten ersetzen.

    Beim SSH gilt das gleiche. Dieser Zugang ist aber in der Standard-Konfiguration auf den loginuser beschränkte, kann aber um Public-Key erweitert werden, dann auch für den rot.
  • Danke für die schnelle Antwort. Also wie gesagt nach der Installation stand dies bei mir auf ANY, ist dies so normal? Was mich diesbezüglich gewundert hat, ist das nach der Installation der Sophos mir zum Konfigurieren das "interne LAN" angegeben wurde und nach der Grundkonfiguration im Browser die des externen Interfaces welches am Router hängt. Ist das so in Ordnung oder hat dies evtl. einen Zusammenhang mit dem "ANY" Eintrag im Webadmin. Wie dem auch sei, ich werde dies auf intern umstellen. 
    Sonst noch jemand einen Vorschlag zum Wake On LAN, bzw. wie Ihr das handhabt bzw. wie es gelöst wird.
  • Nein, normal scheint das nicht zu sein.
    Ohne Manipulation der UTM wirst Du ohne Shell oder Drittsystem nicht auskommen. Z. B. ein Raspberry, der per HTTP/S erreichbar ist und auf dem ein WoL Skript läuft?
  • Moin Husky2786,

    ich hatte vor einem halben Jahr das gleiche Problem:
    Sophos als einzige/n Router/Firewall und dahinter Geräte, die per WOL gestartet werden sollen.
    Ich hatte vorher einen "billigen" Router, der es ermöglichte, die WOL Pakete per Portweiterleitung an die Broadcast Adresse an das gesamte Netzwerk zu senden, bei der Sophos geht das nicht.
    Soll es auch garnicht.

    Ich habe letztendlich ein Rhaspberry Pi dafür eingerichtet.
    SSH Tunnel durch die Sophos, SSH auf Rhaspberry und von dort aus per Etherwake die WOL Pakete im Netzwerk senden.

    -----------------------------------
    UTM Certified Engineer
    XG Certified Architect
    Central Certified Architect

    Sophos Platinum Partner