Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 22 replies
  • Answers 1 answer
  • Subscribers 8 subscribers
  • Views 39036 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Home Lizenzproblem

fireb

Hallo,

ich habe derzeit bei mir zu Hause eine UTM 9 mit der Home Lizenz im Einsatz. Leider musste ich in den letzten Tagen feststellen, dass sich das ganze mit dem IP Limit von 50 Adressen nicht mehr wirklich ausgeht. 

Es sind einfach zu viele Geräte in meinem Netzwerk (u. a. Harmony HUB, Philips HUE, FireTV Stick, Apple TV usw.). Auch habe ich noch mehrere verschiedene Virtuelle Maschinen in meinem Netzwerk laufen.

Welche Möglichkeiten, außer das Netz zu verkleinern oder eine Lizenz zu kaufen, habe ich jetzt noch?

Ich habe schon überlegt auf eine XG Firewall umzusteigen. Funktioniert diese auch in Verbindung mit einer RED 10?

 

L.G.

Manuel



This thread was automatically locked due to age.
Parents
  • 0

    - Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

    - Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

    ---

    Sophos UTM 9.3 Certified Engineer

Reply
  • 0

    - Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

    - Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

    ---

    Sophos UTM 9.3 Certified Engineer

Children
  • 0 in reply to Ben

    @ 
     Naja, die 50 IPs sind eigentlich gar nicht mal so schwer zu erreichen gewesen. Ich habe das Netzwerk meiner Eltern per RED10 angebunden. Alleine dort befinden sich, wenn man WLAN und LAN IPs zusammenzählt schon locker 10 bis 15 Stück. Ich habe bei mir zu Hause einen Server, 2Stk. Synology NAS, 2x Managed Switches, 1x WLAN Access Point, 1x MediaPlayer, 2 Macs mit jeweils LAN & WLAN, 2 x Handy, Apple TV, FireTV, Poe Webcam, Philips HUE, Amazon Echo, Logitech Harmony HUB, Mediacenter PC, PS4 und einen Netzwerkdrucker.

     

    Ben said:

    - Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

    IPv6 ist eigentlich nicht aktiviert. Ich habe alles IPv4 Adressen in meinem Netzwerk vergeben und bekommen auch nur diese vom DHCP Server zugewiesen.

    Ben said:

    - Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

     
    Naja, ich habe derzeit per VMware meine Haussteuerung mit FHEM laufen. Diese würde ich jetzt gerne, aufgrund der besseren Verwaltungsmöglichkeiten "anders" einrichten bzw. die einzelnen Dienste wie MySQL Datenbank auf verschiedene Debian VMs aufteilen. Dazu habe ich mir diese Woche auf einem kleinen PC Proxmox installiert und darauf 5 VMs angelegt. Das wird jetzt natürlich der Ausschlaggebende Punkt für den massiven IP anstiegt gewesen sein. Diese habe ich auch mehrmals gelöscht und neu angelegt.
     
    Wenn ich diese allerdings direkt hinter einen eigenen Router hängen würde, könnte ich die verbrauchten Adressen minimieren, da dadurch nur mehr die IP des Routers selbst gezählt wird? Habe ich das richtig verstanden?
     
    lg
    Manuel
  • 0 in reply to fireb

    HI Manuel,

    ja, wenn Du "normale" Geräte, die nur Internet-Access oder andere, gleichartige Zugriffe brauchen hinter einen Router hängst, brauchst Du nur noch die "WAN" Adresse des Routers in der UTM anlegen und freischalten.

    Beim Mac mit WLAN und LAN kannst Du die MAC Adressen der Adapter im DHCP Server zu einer IP zusammen fassen. Nur wenn Du beide Adapter gleichzeitig nutzen willst, brauchst Du zwei unterschiedliche IPs.

    Alles, was nur für Management nötig ist (z.B. die Switche), kann man auch abtrennen. Entweder komplett vom LAN oder auch wieder hinter einem Router.

    Oder kegel die Eltern raus ;-)

    Jas Man

  • 0 in reply to fireb

    Hallo Namensvetter ;-),

    also, ich dachte schon, ich wäre ein Spielkind... ich komme mit den 50 IPs problemlos aus. 4 Personen-Haushalt, jeweils PC, Laptop LAN/WLAN, Handy, Tab. 1x Synology, 2x Raspi, 1x Homematic, 1x HM-Repeater, 3x WLAN-AP, 3x Cisco-Switch, 2x TV, 1x Receiver, 2x Drucker, 2x IP-Cam. Oben drauf noch ein Guest-WLAN (und die Kiddies haben oft Besuch). Und bestimmt noch ein paar Sachen, die ich grad auf die Schnelle vergessen habe...

    Kann es sein, dass einfach nur die Lease-Time des DHCP zu hoch ist? Meine steht auf 4 Stunden.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    Hallo Jas Man & Manuel,

    ManuelAbeledo said:

    also, ich dachte schon, ich wäre ein Spielkind... ich komme mit den 50 IPs problemlos aus. 4 Personen-Haushalt, jeweils PC, Laptop LAN/WLAN, Handy, Tab. 1x Synology, 2x Raspi, 1x Homematic, 1x HM-Repeater, 3x WLAN-AP, 3x Cisco-Switch, 2x TV, 1x Receiver, 2x Drucker, 2x IP-Cam. Oben drauf noch ein Guest-WLAN (und die Kiddies haben oft Besuch). Und bestimmt noch ein paar Sachen, die ich grad auf die Schnelle vergessen habe...

    ich habe mir jetzt einmal mit Excel eine kleine Übersicht aller Angeschlossenen Geräten gemacht und komme insegsamt (LAN & WLAN gezählt) auf 40 Anschlüsse / IP's.

    Das heißt es würden mir noch 10 bzw 15 (10% Quote) IP Adressen übrig bleiben. Wahrscheinlich habe ich durch das installieren von Proxmox und den VMs diese restlichen IPs ausgeschöpft.

    ManuelAbeledo said:

    Kann es sein, dass einfach nur die Lease-Time des DHCP zu hoch ist? Meine steht auf 4 Stunden.

    Das ist auf jeden Fall bei mir so. Hab diese nie extra umgestellt. Die Lease-Time stand bei mir noch auf 1 Tag, habs jetzt bei mir auch auf 4 Stunden runter gesetzt.

    Jas Man said:

    ja, wenn Du "normale" Geräte, die nur Internet-Access oder andere, gleichartige Zugriffe brauchen hinter einen Router hängst, brauchst Du nur noch die "WAN" Adresse des Routers in der UTM anlegen und freischalten. 

    ok, danke für die Info. Da muss ich mir nur erst genau überlegen, welche Geräte ich so vom Netz teilen kann.

    Jas Man said:

    Beim Mac mit WLAN und LAN kannst Du die MAC Adressen der Adapter im DHCP Server zu einer IP zusammen fassen. Nur wenn Du beide Adapter gleichzeitig nutzen willst, brauchst Du zwei unterschiedliche IPs.

    Das habe ich mir auch schon gedacht. Das wäre für mich, vor allem beim Macbook kein Problem, da ich dieses sowieso nur selten per LAN anschließe. Werde das bei den Geräten welche LAN und WLAN haben einmal so auf der UTM einstellen.

    Jas Man said:

    Alles, was nur für Management nötig ist (z.B. die Switche), kann man auch abtrennen. Entweder komplett vom LAN oder auch wieder hinter einem Router.

    Ich hab gelesen, dass es bei diesen Geräten ausreichend ist, wenn man den Gateway bei den Netzwerkeinstellungen dieser Geräte löscht. Das habe ich jetzt einmal gemacht. Somit kommen diese Geräte nicht mehr ins Internet, was aber zum Beispiel bei einem Switch kein Problem sein sollte. 

    Jas Man said:

    Oder kegel die Eltern raus ;-)

    Diesen Gedanken hatte ich auch bereits, wobei das mit einer kompletten Trennung nicht geht, da meine Eltern und Geschwister auf meine NAS Zugriff benötigen, da dort unsere Gemeinsamen Daten gespeichert sind.

    Allerdings hatte ich schon damit experimentiert eine zweite eigene UTM bei meinen Eltern aufzustellen und diese dann per UTM zu UTM RED miteinander zu verbinden. Daran bin ich allerdings leider gescheitert und hab den Plan danach verworfen. 

    Liebe Grüße
    Manuel

  • 0 in reply to fireb

    Schau doch mal unter Verwaltung -> Lizenzen -> Aktive IP-Adressen was für IPs da drin stehen. Sind da ggf. ein paar "Leichen" drin?

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to fireb

    Alternativ geht auch ein IPsec Tunnel zwischen UTM und z.b. einer Fritz!Box 7490 oder höher. So geift ein Freund auf meine NAS zu. Die IPs des entfernten Netzwerks werden nicht zur Lizenz gezählt.

  • 0 in reply to Jas Man

    Stimmt Jas. Und eine UTM scheint Manuel ja noch zu haben. Damit ginge es auch. Da nicht per RED -> UTM, sondern als reinen Side-2-Side (egal ob IPSec oder SSL).

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    Eine zweite UTM wäre kein Problem, da ich noch einen Mini PC mit ausreichend Leistung bei mir zu Hause herumliegen habe. Aber wie gesagt, diesen Gedanken wollte ich selbst schon einmal umsetzten und bin daran gescheitert.

    Hatte damals sogar hier im Forum einen Beitrag erstellt:
    https://community.sophos.com/products/unified-threat-management/f/german-forum/86982/site-to-site-utm-red-einrichten/321718#321718

    Der Tunnel wurde mir in der RED Verwaltung immer als "Grün" bzw. Verbunden angezeigt, allerdings habe ich es nicht hin bekommen, dass man von beiden Seiten auf das jeweilige andere Netzwerk zugreifen konnte.

    LG.
    Manuel

  • 0 in reply to fireb

    Naja, da warst Du schon auf dem richtigem Weg, aber hast glaub zu schnell aufgegeben :)

  • +1 in reply to Jas Man

    Jas hat Recht, Du warst eigentlich kurz davor. Und Bob hat Dir da auch die richtige Antwort zu gegeben ;-).

    Aber: Warum den ganzen Internetverkehr Deiner Eltern über die RED10 jetzt über Deinen Anschluss laufen lassen? Schmeiß die RED raus, stell denen den UTM-Rechner hin und bau zwischen euch einen Side-to-Side-Tunnel. Am Einfachsten per SSL.

    Dann noch Internet-Regeln/Webfilter-/Masquerading- bei Deinen Eltern und gut ;-). Deine Eltern können auf Dein Netz zugreifen und Du auf das Deiner Eltern. Deren IPs zählen aber nicht zu Deiner Lizenz.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

Unfiltered HTML