Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 1150 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Von der UTM zur XG

Wotan Wien

Als ehemaliger Astaro/Sophos Partner finde ich bis heute die UTM um längen besser als die XG mit der UTM beschäftige ich mich seit 2008.

Aus diesem Grund war die Motivation sich mit der XG zu beschäftigen nach Stunden immer wieder dahin. Jetzt ist die Zeit für die UTM endgültig abgelaufen und ich beschäftige mich seit einen halben Jahr mit der XG. Möglicherweise ist die XG in Verbindung mit einen Microsoftnetzwerk nicht schlecht, bei einen neutralen Netz ist sie meiner Meinung nach viel zu umständlich. Alleine wo ich überall ein und den selben Host für DHCP, DNS und der gleichen eintragen muss....

Mit den Bereich E-Mail bin ich ziemlich durch, wobei die XG dinge tut, die einfach nicht nachvollziehbar sind. 

Dazu eine Konkrete Frage: Gibt es wo ein Schema, wie die Firewall die Pakete behandelt. bei der UTM hatten wir das. Konkreter Anlass: ich glaube, dass Country Blocking funktioniert nicht im Bereich E-Mail. Das zu debuggen ist wirklich herausfordernd. Das Regel für das Country-Blocking ist #5 alle SMTP Regeln kommen später.

Das zweite Problem was ich habe ist, dass ich die Ausgehenden Mails über eine eigene IP-Adresse leite. Das ist wichtig für DKIM etc. in 95-98% senden die Firewall auch über diese IP, trotzdem bekomme ich immer wieder DKIM Benachrichtigungen dass Mails über den Standard Gateway versendet wurden. - Mit den daraus resultierenden Problemen. Die Mail kommen aber immer vom internen Mail Server.

Bei DNS habe ich im Moment ein "Brett vor dem Kopf":

Wenn ich unter Netzwerk / DNS die Host´s eintrage, entspricht dies den internen DNS?!  Die DNS Server, die ich bei der DNS-Konfiguration eintrage sind die externen DNS-Server? (Forwarder)?! Soweit so gut aber wie lautet die IP Adresse des DNS Servers der XG? Sind die IP-Adressen auf der XG der jeweiligen Zone auch automatisch ein DNS Server (wenn ich DNS für die Zone Aktiviere)? Benötige ich noch eine FW-Regel oder reicht das anhaken  von DNS unter Verwaltung / Appliance-Zugriff? Wie wird die Auflösung durchgeführt? werden zunächst die "internen" Einträge verglichen und wenn da kein Treffer ist, dann die externen DNS-Server abgefragt? oder muss ich als ersten DNS-Server eine iP Adresse einer internen Schnittstelle angeben, damit zunächst die internen Host´s abgefragt werden.

Wenn ihr mir mit der einen oder anderen Frage weiterhelfen könnt, wäre ich dankbar. Vielleicht werde ich dann doch noch "warm" mit der XG.....

Wotan



This thread was automatically locked due to age.
  • 0

    Hallo Wotan,

    bist du jetzt wirklich zu SG oder zur XGS gewechselt? Das würde doch keinen Sinn machen von UTM auf XG, wenn es schon die XGS gibt?

    Zum Thema DKIM, hast du einen Exchange on Premise? Oder verwendest du M365? Bei einem on Premise Exchange sollte der DKIM auch im DNS des Domänen Controllers eingetragen werden. Hast du die privaten DKIM Schlüssel auch in der Sophos eingetragen? Wie sehen die Regeln zu DKIM aus? Sind diese auch im Lokalen Domänen Controller hinterlegt?

    DNS vom DomänenController

    Hier bräuchte man noch mehr Infos bitte.

    Zum Thema DNS:

    Für den Domänen Controller ist der DNS die Sophos selber! (Strichwort " DNS Weiterleitungen im DNS auf dem DC")

    Für einen Windows Clients ist der DNS Server der Domänen Controller der über ein DHCP oder Fixe IP vergeben wird.

    Die Sophos selbt, fragt in Richtung internet die DNS Server die hier angeben werden.

    Falls die Sophos eine Anfrage von einem internen Clients bekommt, mit Firmennetzwerk.local (Der Domänen Controller) und kann diese anfrage nicht beantworten. Schickt die Sophos die Anfrage zurück an den DC. Der in der Regel über seinen eigenen DNS die Clients besser kennt als die Sophos.

    Sollte hier immer ein Eintrag gesetzt werden.

    Hier wählst du einfach den Domänen Controller aus, den du vorher unter "Host und Dienste" angelegt hast.

    Ich hoffe es hilft dir ein bissen.

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0

    Also, es gibt die "Life of a packet" Doku, die aber drei Jahre alt ist:

     Sophos Firewall: Life of a packet 

    Dann gibt es noch dieses hier: https://doc.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/GettingStarted/Architecture/index.html

    Ich hoffe, das hilft dir.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Wie machst du das mit den ausgehenden Mails? Welche Regeln / Konfiguration?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML