Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hilfe / Meinungen bei Zonenaufteilung XGS116

Hallo zusammen,

ich möchte für unser kleines Familienunternehmen nächste Woche die Sophos XGS116 einrichten, weil wir vor kurzem einen kleinen Sicherheitsvorfall hatten und ich gerne unser Firmennetzwerk ein bisschen ändern bzw sicherer machen möchte.

Ich bin leider kein Informatiker aber mir sind jetzt gewisse Netzwerkthemen nicht ganz fremd.

Wir haben einen Lancom Router, der die Internetverbindung zur Telekom herstellt und an dem die Telefonanlage hängt. Dahinter würde ich jetzt die XGS116 platzieren, um gewisse Dinge wie VPN, Internetzugang und Serverzugang zu regeln.

Von meinem Grundverständnis her, habe ich geplant 2 Ports für ein LAG zum Client-(Office)Switch zu erstellen, 2 weitere Ports für ein LAG zum Serverswitch und die anderen Ports evtl noch für unsere Kameras. Wir haben einen Windows Domänencontroller, einen Windows Fileserver, einen Linux E-Mail-Server, einen QNAP Backupserver und ein Windows ERP-System. Ich würde dann Regeln erstellen, wer aus dem Clientnetzwerk zum welchem Host ins Servernetzwerk darf. Kann ich die Zonen so abbilden? Oder ist das zu umständlich? Der Domänencontroller müsste halt von allen Clients erreichbar sein, genauso wie der Fileserver.

Gerne ein paar Anregungenm ob das so funktioniert oder wie man es besser machen kann :)

Gruß

Tobi



This thread was automatically locked due to age.
  • Wenn du unterschiedliche Netze aufbaust, musst du dir im klaren sein, dass manche Systeme / Services nicht funktionieren werden. Zum Beispiel Bonjour /Apple Airprint etc. Diese Dienste haben klassische Probleme mit unterschiedlichen Netzen, weil sie andere Netze nicht erreichen können. 

    Du könntest auch eine Bridge zwischen IOT und LAN aufbauen, dann würde das wieder funktionieren und trotzdem Firewall Regeln auf diesen Verkehr aufbauen. 

    Aber generell sollte das meiste so funktionieren. Man könnte nun sagen, LAG ist etwas zu viel für kleinere Installationen, da ein Kabel doch selten ausfällt. 

    Am Rande: Du könntest auch in Sophos MDR hineinschauen, es ist die Endpoint Lösung mit Managed Detection: https://www.sophos.com/de-de/products/managed-detection-and-response Es ist auch sehr gut geeignet für kleine Kunden, da man dort entsprechend ein SOC erhält ohne große Thematiken. 

    __________________________________________________________________________________________________________________

  • Hallo. Vielen Dank für die schnelle Antwort ;) Ich habe es jetzt mal so aufgebaut und schon mal ein paar grundlegende Regeln definiert. Ich kann jetzt erfolgreich zonenübergreifend auf die Server connecten.

    Leider hänge ich jetzt noch beim Port-Forwarding von unseren E-Mail-Ports. Wir haben ein Spam-Gateway welches über Port 23057 an unsere öffentliche IP die E-Mails weiterleitet. Früher hab ich vom Lancom das Port-Forwarding einfach auf Port 25 unseres E-Mail-Server gemacht. Hier hänge ich jetzt aber leider fest.

    Ich habe das Port Forwarding auf die WAN-Schnittstelle der Sophos gemacht.

    und auf der Sophos folgendes eingestellt

    Leider scheint hier aber etwas falsch zu sein, denn mein Gateway kann keine Verbindung herstellen kann

  • Hello,

    die Ports können nicht mehr von der Sophos verwendet werden so lange diese noch im LANCOM drin sind. Du musst im LANCOM alle Ports auf die Sophos umbiegen, bzw. mach eine Sicherung vom LANCOM mit dem LANconfig. anschließend löschst du alle Portforwardings im LANCOM und machst ein neues Portforwarding im LANCOM und leitest danach 1 - 65535 TCP/UDP auf die WAN IP der Sophos um. Damit die Sophos auch alle Ports verwenden kann!

    Dazu darf die Sophos keine IP vom DHCP des LANCOMs bekommen, gebe der Sophos eine feste IP aus dem Netz der LANCOM.

    Ich würde mir ein Layer 2 Modem vor die Sophos packen z.B. Draytek Vigor 167 und dann die PPPOE Einwahl mit der Sophos starten.

    Dann eine Firewall-Regel dazu, in etwas so:

    Wenn du einen lokalen Mailserver betreibst würde ich sowieso dazu raten mit dem MTA zu arbeiten, sofern eine Lizenz vorhanden. jeder Mailserver der direkt im Internet steht, ist ein schlechter Mailserver, sobald man mit OWA und ActiveSync arbeitet, z.B. bei einem MS-Exchange sollte die Frage gestellt werden, ob eine WAF nach außen hin nicht noch Sinnig wäre!

    Tu die selber einen gefallen.....

    1 LANCOM = wegbauen!

    2 Übernehme das Netz der LANCOM in die Sophos

    3 Layer 2 Modem und PPPOE Einwahl mit der Sophos starten

    4 Stelle dir die Frage: Ist der ANTI Spam Proxy noch notwendig wenn du mit dem Sophos MTA arbeitest.

    Wenn du kein Vollblut IT-ler bist, machst du es dir unnötig schwer verschiedene Konstrukte unter einen Hut zu bringen.  Die Sophos leistet alles auf einmal was du brauchst und kannst alles mit einem Stück Hardware machen.

    Das LAG naja, wie Toni schon sagte, bevor so ein Kabel im "normalen" Gebrauch kaputt geht, verreckt dir ehr dein Switch an Altersschwäche :) Wenn dein Server keine 10G hat und hast Leistungsengpässe mit Gigabit, könnte man so mehr Netzwerkspeed rausholen, aber als Redundanz für so einen kleinen Betreib, halte ich es nicht für nötig (meine Meinung). Dann ist die Frage was benutzt du an deinem Server LACP Switch unabhängig?  Das ist leider MIST :) NUR Switch abhängiges LACP welches auf Server und Switch Seite konfiguriert werden muss, bringt dir einen Leistungszuwachs. LACP Switch unabhängig ist ein reiner "Ausfallschutz" der die Last nicht zuverlässig verteilt!

    Beispiel:

     

    Ich hoffe hier war etwas dabei was dir weiter hilft!

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!