*Unofficial* Hardware Compatibility List (HCL)

My apologies to everyone, but especially the old-timers, for such a long post and the crude formatting.

SUMMARY DESCRIPTION:

Status: Working, stable, currently using at Home.
Hardware: Mac mini (late-2012), 2.3 Ghz quad core i7, 1 Tbyte hard drive.
Upgrades: 16 Gbytes RAM, KDLINKS USB 3.0 to gigabit Ethernet adapter.
Software: VMware Fusion 7 with Sophos UTM in a virtual machine.

The Sophos UTM virtual machine is (somewhat) independent of the Mac mini where it runs. The Mac mini is the home server. The Mac mini and Sophos UTM share the private side LAN using the Mac mini's built-in Ethernet, but with separate IP addresses. The Sophos UTM virtual machine acts as the Internet gateway for the home network LAN, including the Mac mini. The external USB/Ethernet adapter is disabled for the Mac mini, but the Sophos UTM virtual machine uses it for its public side WAN Internet connection. 


HARDWARE, DETAILED DESCRIPTION:

Status: Working, stable, currently using at Home.
System OR Motherboard: Mac mini 6,2 (Late-2012). 
Boot ROM version: MM61.0106.B03.
Operating System: OS X 10.9.5 Mavericks. 
CPU: 2.3 Ghz Intel Core i7 "Ivy Bridge", quad-core.
RAM: 16 Gbytes.
Built-in Ethernet: Broadcom Gigabit Ethernet - Vendor ID: 0x14e4, Device ID: 0x1686.

• The built-in ethernet is shared between the Mac mini (as a server) and the Sophos UTM virtual machine (bridged).
  
• They have separate fixed IP addresses on the internal LAN.
  
• The UTM LAN IP address serves as the private-side Internet gateway for the home network.
  

External Ethernet: KDLINKS UN1 USB 3.0 to Gigabit Ethernet.

• Product ID: 0x1790 Device ID: 0x0b95 (ASIX AX88179).
  
• Macintosh driver installed - AX88179 driver version 2.3.0 from the ASIX website, not the old driver from KDLINKS website.
  
• NOTE: The external IPv4 adapter is Not Connected (Configure IPv4: Off) in the Mac System Preferences Panel, Network setting. The IPv6 is set to Link Local Only.
  

VLAN support: Mac mini - unknown, KDLINKS adapter - not supported by OS X driver (from Amazon comment).
Video Controller: NOT USED: Intel HD Graphics 4000, 1024 MB.

• The Mac mini is running headless. 
  
• It is controlled using Timbuktu v8.8.5 over SSH.
  

Disk Controller: Intel 7 Series Chipset, Link Speed: 6 Gigabit, Negotiated: 3 Gigabit.
Hard Disk: SATA, APPLE HDD HTS541010A9E662 (Hitachi 1 Tbyte, 5400 RPM).
Optical Drive: None.
Case/Chassis: Mac mini.
Power Supply: Mac mini, built-in.
What's not working: Everything works as expected.
Total Power Consumption (in Watts, if known): After booting, launching VMware, and running Sophos UTM with minimal server services in use. Brief test using WattsUp ".net" meter:

• Steady state (minimal activity): The Mac mini uses 11 watts (min: 10.6).
  
• Typical usage: The Mac mini uses 15-30 watts depending on the activity. Average: 20 watts.
  
• Peak load using full download bandwidth: The Mac mini uses 40 watts (max: 41.0).
  
• Apple's "Energy Impact" indicator in the Activity Monitor application shows that the VMware Fusion application rises to 130-150 during a full speed download (50 Mbits/sec). Nobody knows how "Energy Impact" is calculated or what units it represents. One post suggested "baby seals clubbed per second." :-)
  

CPU Utilization: CPU utilization for VMware application (from "top" command on Mac mini):

• Normal Usage: Stays under 10% (max: 400%) with rare spikes around 15-30%, VERY rarely to 50%.
  
• Peak: 125-150% during full-speed downloads.
  

Total Cost: US $883

• Mac mini: eBay 3 months used, US $650 (December 2013).
  
• 16 Gbytes RAM: US $150 (March 2014).
  
• KDLINKS USB3 to gigabit Ethernet adapter: US $13 (December 2014).
  
• VMware Fusion US $50 (upgrade price). Full price: $70. (Upgrades and competitive upgrade pricing: $50).
  

Internet Connection Speed: 50+ Mbits/sec down, 5+ Mbits/sec up.


SOPHOS UTM SOFTWARE RUNNING IN A VMWARE FUSION VIRTUAL MACHINE, DETAILED DESCRIPTION:

Status: Working, currently using at Home.
Sophos UTM Version(s) tested: Started with version 9.1.x. Currently running version 9.305-4.
System OR Motherboard: VMware Fusion v7.1.0 on the Mac mini described above (originally Fusion 6.0.x).
VMware Hardware version: 11 (originally 10).
Virtual Processors: 2 processor cores (easily changed).
Memory: 4096 MB (easily changed).
Network Interface 1: Bridged Networking to Mac mini built-in Ethernet.

• This interface is used for the internal LAN.
  
• It serves as the LAN gateway IP address for the home network.
  
• The Mac mini has its own separate IP address on the LAN, but uses the same Ethernet connection.
  
• Before starting the virtual machine the first time, I changed the LAN driver. from E1000 to VMXNET3 by opening the .vmx file in the virtual machine Package and editing the line to ethernet0.virtualDev = "vmxnet3" (originally "e1000") per Sophos recommendations. Note: Edit the other ethernet line in the same file, too.
  

Network Interface 2: Bridged Networking to AX88179 USB 3.0 Gigabit Ethernet.

• This is used for the UTM external interface (WAN).
  
• The AX88179 driver must be installed in OS X. ASIX has the latest OS X drivers, not KDLINKS.
  
• AX88179 is displayed with a red dot (disabled?) in Bridged Networking. This is because the external adapter is Not Connected (Configure IPv4: Off) in the Mac System Preferences Panel, Network setting. It still works for the UTM with bridged networking. Later, the red dot became a green dot (IPv6 Link Local?).
  
• Before starting the virtual machine the first time, I changed the LAN driver from E1000 to VMXNET3 by opening the .vmx file in the virtual machine Package and editing the line to ethernet1.virtualDev = "vmxnet3" (originally "e1000") per Sophos recommendations. Note: Edit the other ethernet line in the same file, too.
  

Video Controller: Disabled: Accelerate 3D Graphics; Disabled: Use full resolution for Retina display.
Disk Controller: Bus type SCSI (default for SUSE Enterprise 11 64-bit).

• Disabled: Pre-allocate disk space; Disabled: Split into multiple files.
  

Virtual Hard Disk: 100 Gbyte.
Optical Drive: Original asg .iso file. Not connected after initial configuration.
Case/Chassis: N/A.
Power Supply: N/A.
What's not working: Everything works as expected.
Total Power Consumption (in Watts, if known): See notes in Hardware Details, above.
CPU Utilization: As reported in WebAdmin: Average - 15%, peaks 30% (full download speed).
Total Cost: See notes in Hardware Details, above.
Comments / Notes: See below.


CONFIGURING VMWARE FUSION VIRTUAL MACHINE:

1. Configure your Mac as described in the HARDWARE DETAILED DESCRIPTION above. Install an Ethernet adapter and any required drivers - this is your external (WAN) connection to the Internet. Install VMware Fusion.
2. Download the latest Sophos UTM .iso file (Example: asg-9.304-9.1.iso).
3. Create a new VMware Virtual machine.
4. Choose "Install from disc or image".
5. Click "Use another disc or disc image..." and select your downloaded Sophos UTM "asg...iso" file.
6. Choose Operating System: Linux -> SUSE Linux Enterprise 11 64-bit.
7. Click the Customize Settings button. Choose a filename for your virtual machine and click Save.
8. The Settings window appears. See the SOPHOS UTM SOFTWARE... description above for recommended settings.
9. Optional: Quit VMware, open the saved Virtual machine "Package" (file) by CTRL-click, then "Show Package Contents". Use a text editor to change the network drivers from "e1000" to "vmxnet3" per Sophos recommendations.
10. Start the virtual machine and the Sophos UTM installer will run.
11. Once installation is complete, open a browser window on your Mac and go to the URL shown in the virtual machine console window. 
12. As you configure your new UTM, remember Bob's great list of Rulz:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065


ADDITIONAL DETAILS FOR HEADLESS MAC MINI CONFIGURATION:

Automatic Startup: (System Preferences, Energy Saver) Enable "Start up automatically after a power failure". 
Unprivileged User Account: I created an unprivileged "server account" where server applications are run.
Automatic Login: (System Preferences, Users & Groups, Login Options) In the Automatic login: pulldown menu, choose your server account. Provide the password. This password is stored on the Mac.
Launch VMware Fusion Automatically: (from "server account" - System Preferences, Users & Groups, "server account", Login Items tab) Add the VMware Fusion application to the list. 
Start Sophos UTM Virtual Machine Automatically: In your Sophos UTM virtual machine Settings, General, choose "Start automatically when VMware Fusion launches". 
Display OS X Login Prompt at Startup: For security-by-obscurity, I created a small application that locks the screen and displays the OS X login prompt (another entry in the Login Items list). The application works on headless Macs only if they think that a display is connected. I created a dummy miniDisplayPort to VGA adapter (with three resistors) to fool the Mac. This site shows how to do the VGA side:
https://rumorscity.com/2013/12/06/how-to-create-dummy-plugs-for-your-graphics-cards/
Headless Mac, Disable Missing Keyboard and Missing Mouse Prompts: (System Preferences, Bluetooth,  Advanced... button) If you are running a headless Mac, you will want to avoid those annoying reminders that the keyboard and mouse are missing. Disable "Open Bluetooth Setup Assistant at startup if no keyboard is detected" and disable "Open Bluetooth Setup Assistant at startup if no mouse or trackpad is detected."


ADDITIONAL NOTES:

I originally started with the downloadable virtual machine from Sophos. I used it for a long time without major problems, but there were RAM limitations, among other issues. Nobody recommends them. You should install the Sophos UTM software from the .iso files as described above. It is MUCH better. 

I originally ran the Sophos UTM internally on my network, with both LAN and WAN ports on the non-routable private side. This configuration allowed me to learn the interface without the risk of opening up vulnerabilities in our home network. I had multiple "Locations" on the computers. One would route through the UTM by using its LAN address as the gateway, DNS server, etc. Another Location would bypass the UTM and use the home router as the gateway. Still, many behaviors and reports were "wonky". 

Please be aware of the issues when running your Mac with automatic login as described above. The password for the login account is stored on the hard drive. It is encoded, but not really encrypted. The file is protected for root access only, but anyone with a little technical experience will know how to recover it. If you enable automatic login, then you cannot enable FileVault2 (full disk encryption). 

For higher security, you can disable automatic login and enable FileVault (FileVault2 full disk encryption). If FileVault is enabled, then a person must be available to enter the password when the Mac starts up. If nobody is available, then your home network will be down and remote access through the Sophos UTM will not be possible. In addition, you will need a keyboard and monitor attached to your Mac to enter the password.

The configuration above imposes some dependencies that you may not have considered. The main issue is that the Sophos UTM virtual machine must be running in order to download updates from the Internet. Here are my thoughts:

• Apple Software Updates (App Store Updates): I prefer to quit all applications and log out of all ordinary user accounts (including the "server account") before installing Apple updates using the "admin" account on other Macs. The issue is that for this particular Mac mini, if I halt the Sophos UTM virtual machine, quit VMware, and log out of the server account, there is no Internet access to download the Apple updates for the Mac mini itself. In general, my solution is to leave the server account and Sophos UTM running. If the Apple update requires a reboot, then I connect to the Sophos UTM from a browser, shut it down, then connect to the Mac mini to quit VMware and log off from the server account before rebooting the Mac mini. (Not all steps are required, but a sensible precaution.)
  
  
• VMware Fusion Updates: I have not been faced with a VMware Fusion update yet, but my planned solution is to download the full installer from VMware first, then shutdown the Sophos UTM, its virtual machine and quit VMware, and finally install the VMware update from the admin account. I do not like to install software from a user account, to avoid potential application file ownership and related security issues.
  
  
• Sophos UTM Updates and Full Backups: If you have the disk space, you can shut down the Sophos UTM virtual machine and quit VMware, then make a copy of the entire virtual machine on the Mac. Do this before Sophos UTM updates, just in case the update breaks something. To save on disk space, you can compress (zip) the virtual machine files (right-click the file, then choose "Compress "". Sophos UTM backups keep a copy of the configuration, but copying the entire virtual machine guarantees a known working Sophos UTM virtual machine backup. One important reason to make full backups of your virtual machine files is for Time Machine backups (see below).
  
  
• VMware Snapshots to Backup your Sophos UTM: A faster, easier way is to backup your Sophos UTM virtual machine is to use VMware snapshots. Automatic snapshots can be enabled if desired. Snapshots carry their own penalties and issues, whether manual or automatic. See VMware's documentation regarding snapshots. I use snapshots where appropriate, but generally prefer full backups for personal use if the downtime is not too significant.
  
  
• Time Machine and VMware Fusion Virtual Machines: Apple's Time Machine backup system does not play well with running virtual machines. Time Machine backups of a running virtual machine are almost guaranteed to be corrupted and fail. You should exclude your running virtual machines from Time Machine backups. Instead, create a separate folder for the copies of your (shut down) virtual machine files (compressed!) and put the copies there for Time Machine to backup.
  

I would like to express my appreciation to Giri73, whose one and only post clued me in to the idea of isolating the public side of the virtual machine Sophos UTM from the Mac mini's own network connection. This unusual configuration allows me to run the Mac mini as a family server behind the Sophos UTM firewall, while running the Sophos UTM in an "independent" virtual machine on that same Mac mini. Very cool!

Differences between Giri73's configuration and mine:

• Giri73 used Hama USB 3.0 to Ethernet adapters. I found them on the Internet, but could not find a source for them in the USA. (I wonder if most adapters use the same ASIX AX88179 chip anyway?)
  
• Giri73 used three separate USB 3.0 to Ethernet adapters. I realized that for a simple home firewall with an external WAN and internal LAN, I needed only one adapter. If I want to set up a DMZ, I could use another adapter.
  

Where to buy Ethernet adapters:

• Apple has their own Thunderbolt to Gigabit Ethernet (1000baseT) adapter. They also have a USB 2.0 to fast Ethernet (100baseT) adapter. Apple's Ethernet adapters do not require driver installation. They also got terrible reviews on Apple's website and other websites. The reviews complain of reliability problems, heat issues, quick failures, and more. Apple's adapters are expensive.
  
• You can buy the KDLINKS USB 3.0 to Gigabit Ethernet adapter from Amazon for $12.95. Installing the driver was trivially easy. The KDLINKS adapter runs very cool and has been 100% reliable since it arrived a few days ago. :-)
  

  

I hope this helps a few people, especially the newbies like me.

My apologies to everyone, but especially the old-timers, for such a long post and the crude formatting.

SUMMARY DESCRIPTION:

Status: Working, stable, currently using at Home.
Hardware: Mac mini (late-2012), 2.3 Ghz quad core i7, 1 Tbyte hard drive.
Upgrades: 16 Gbytes RAM, KDLINKS USB 3.0 to gigabit Ethernet adapter.
Software: VMware Fusion 7 with Sophos UTM in a virtual machine.

The Sophos UTM virtual machine is (somewhat) independent of the Mac mini where it runs. The Mac mini is the home server. The Mac mini and Sophos UTM share the private side LAN using the Mac mini's built-in Ethernet, but with separate IP addresses. The Sophos UTM virtual machine acts as the Internet gateway for the home network LAN, including the Mac mini. The external USB/Ethernet adapter is disabled for the Mac mini, but the Sophos UTM virtual machine uses it for its public side WAN Internet connection. 


HARDWARE, DETAILED DESCRIPTION:

Status: Working, stable, currently using at Home.
System OR Motherboard: Mac mini 6,2 (Late-2012). 
Boot ROM version: MM61.0106.B03.
Operating System: OS X 10.9.5 Mavericks. 
CPU: 2.3 Ghz Intel Core i7 "Ivy Bridge", quad-core.
RAM: 16 Gbytes.
Built-in Ethernet: Broadcom Gigabit Ethernet - Vendor ID: 0x14e4, Device ID: 0x1686.

• The built-in ethernet is shared between the Mac mini (as a server) and the Sophos UTM virtual machine (bridged).
  
• They have separate fixed IP addresses on the internal LAN.
  
• The UTM LAN IP address serves as the private-side Internet gateway for the home network.
  

External Ethernet: KDLINKS UN1 USB 3.0 to Gigabit Ethernet.

• Product ID: 0x1790 Device ID: 0x0b95 (ASIX AX88179).
  
• Macintosh driver installed - AX88179 driver version 2.3.0 from the ASIX website, not the old driver from KDLINKS website.
  
• NOTE: The external IPv4 adapter is Not Connected (Configure IPv4: Off) in the Mac System Preferences Panel, Network setting. The IPv6 is set to Link Local Only.
  

VLAN support: Mac mini - unknown, KDLINKS adapter - not supported by OS X driver (from Amazon comment).
Video Controller: NOT USED: Intel HD Graphics 4000, 1024 MB.

• The Mac mini is running headless. 
  
• It is controlled using Timbuktu v8.8.5 over SSH.
  

Disk Controller: Intel 7 Series Chipset, Link Speed: 6 Gigabit, Negotiated: 3 Gigabit.
Hard Disk: SATA, APPLE HDD HTS541010A9E662 (Hitachi 1 Tbyte, 5400 RPM).
Optical Drive: None.
Case/Chassis: Mac mini.
Power Supply: Mac mini, built-in.
What's not working: Everything works as expected.
Total Power Consumption (in Watts, if known): After booting, launching VMware, and running Sophos UTM with minimal server services in use. Brief test using WattsUp ".net" meter:

• Steady state (minimal activity): The Mac mini uses 11 watts (min: 10.6).
  
• Typical usage: The Mac mini uses 15-30 watts depending on the activity. Average: 20 watts.
  
• Peak load using full download bandwidth: The Mac mini uses 40 watts (max: 41.0).
  
• Apple's "Energy Impact" indicator in the Activity Monitor application shows that the VMware Fusion application rises to 130-150 during a full speed download (50 Mbits/sec). Nobody knows how "Energy Impact" is calculated or what units it represents. One post suggested "baby seals clubbed per second." :-)
  

CPU Utilization: CPU utilization for VMware application (from "top" command on Mac mini):

• Normal Usage: Stays under 10% (max: 400%) with rare spikes around 15-30%, VERY rarely to 50%.
  
• Peak: 125-150% during full-speed downloads.
  

Total Cost: US $883

• Mac mini: eBay 3 months used, US $650 (December 2013).
  
• 16 Gbytes RAM: US $150 (March 2014).
  
• KDLINKS USB3 to gigabit Ethernet adapter: US $13 (December 2014).
  
• VMware Fusion US $50 (upgrade price). Full price: $70. (Upgrades and competitive upgrade pricing: $50).
  

Internet Connection Speed: 50+ Mbits/sec down, 5+ Mbits/sec up.


SOPHOS UTM SOFTWARE RUNNING IN A VMWARE FUSION VIRTUAL MACHINE, DETAILED DESCRIPTION:

Status: Working, currently using at Home.
Sophos UTM Version(s) tested: Started with version 9.1.x. Currently running version 9.305-4.
System OR Motherboard: VMware Fusion v7.1.0 on the Mac mini described above (originally Fusion 6.0.x).
VMware Hardware version: 11 (originally 10).
Virtual Processors: 2 processor cores (easily changed).
Memory: 4096 MB (easily changed).
Network Interface 1: Bridged Networking to Mac mini built-in Ethernet.

• This interface is used for the internal LAN.
  
• It serves as the LAN gateway IP address for the home network.
  
• The Mac mini has its own separate IP address on the LAN, but uses the same Ethernet connection.
  
• Before starting the virtual machine the first time, I changed the LAN driver. from E1000 to VMXNET3 by opening the .vmx file in the virtual machine Package and editing the line to ethernet0.virtualDev = "vmxnet3" (originally "e1000") per Sophos recommendations. Note: Edit the other ethernet line in the same file, too.
  

Network Interface 2: Bridged Networking to AX88179 USB 3.0 Gigabit Ethernet.

• This is used for the UTM external interface (WAN).
  
• The AX88179 driver must be installed in OS X. ASIX has the latest OS X drivers, not KDLINKS.
  
• AX88179 is displayed with a red dot (disabled?) in Bridged Networking. This is because the external adapter is Not Connected (Configure IPv4: Off) in the Mac System Preferences Panel, Network setting. It still works for the UTM with bridged networking. Later, the red dot became a green dot (IPv6 Link Local?).
  
• Before starting the virtual machine the first time, I changed the LAN driver from E1000 to VMXNET3 by opening the .vmx file in the virtual machine Package and editing the line to ethernet1.virtualDev = "vmxnet3" (originally "e1000") per Sophos recommendations. Note: Edit the other ethernet line in the same file, too.
  

Video Controller: Disabled: Accelerate 3D Graphics; Disabled: Use full resolution for Retina display.
Disk Controller: Bus type SCSI (default for SUSE Enterprise 11 64-bit).

• Disabled: Pre-allocate disk space; Disabled: Split into multiple files.
  

Virtual Hard Disk: 100 Gbyte.
Optical Drive: Original asg .iso file. Not connected after initial configuration.
Case/Chassis: N/A.
Power Supply: N/A.
What's not working: Everything works as expected.
Total Power Consumption (in Watts, if known): See notes in Hardware Details, above.
CPU Utilization: As reported in WebAdmin: Average - 15%, peaks 30% (full download speed).
Total Cost: See notes in Hardware Details, above.
Comments / Notes: See below.


CONFIGURING VMWARE FUSION VIRTUAL MACHINE:

1. Configure your Mac as described in the HARDWARE DETAILED DESCRIPTION above. Install an Ethernet adapter and any required drivers - this is your external (WAN) connection to the Internet. Install VMware Fusion.
2. Download the latest Sophos UTM .iso file (Example: asg-9.304-9.1.iso).
3. Create a new VMware Virtual machine.
4. Choose "Install from disc or image".
5. Click "Use another disc or disc image..." and select your downloaded Sophos UTM "asg...iso" file.
6. Choose Operating System: Linux -> SUSE Linux Enterprise 11 64-bit.
7. Click the Customize Settings button. Choose a filename for your virtual machine and click Save.
8. The Settings window appears. See the SOPHOS UTM SOFTWARE... description above for recommended settings.
9. Optional: Quit VMware, open the saved Virtual machine "Package" (file) by CTRL-click, then "Show Package Contents". Use a text editor to change the network drivers from "e1000" to "vmxnet3" per Sophos recommendations.
10. Start the virtual machine and the Sophos UTM installer will run.
11. Once installation is complete, open a browser window on your Mac and go to the URL shown in the virtual machine console window. 
12. As you configure your new UTM, remember Bob's great list of Rulz:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065


ADDITIONAL DETAILS FOR HEADLESS MAC MINI CONFIGURATION:

Automatic Startup: (System Preferences, Energy Saver) Enable "Start up automatically after a power failure". 
Unprivileged User Account: I created an unprivileged "server account" where server applications are run.
Automatic Login: (System Preferences, Users & Groups, Login Options) In the Automatic login: pulldown menu, choose your server account. Provide the password. This password is stored on the Mac.
Launch VMware Fusion Automatically: (from "server account" - System Preferences, Users & Groups, "server account", Login Items tab) Add the VMware Fusion application to the list. 
Start Sophos UTM Virtual Machine Automatically: In your Sophos UTM virtual machine Settings, General, choose "Start automatically when VMware Fusion launches". 
Display OS X Login Prompt at Startup: For security-by-obscurity, I created a small application that locks the screen and displays the OS X login prompt (another entry in the Login Items list). The application works on headless Macs only if they think that a display is connected. I created a dummy miniDisplayPort to VGA adapter (with three resistors) to fool the Mac. This site shows how to do the VGA side:
https://rumorscity.com/2013/12/06/how-to-create-dummy-plugs-for-your-graphics-cards/
Headless Mac, Disable Missing Keyboard and Missing Mouse Prompts: (System Preferences, Bluetooth,  Advanced... button) If you are running a headless Mac, you will want to avoid those annoying reminders that the keyboard and mouse are missing. Disable "Open Bluetooth Setup Assistant at startup if no keyboard is detected" and disable "Open Bluetooth Setup Assistant at startup if no mouse or trackpad is detected."


ADDITIONAL NOTES:

I originally started with the downloadable virtual machine from Sophos. I used it for a long time without major problems, but there were RAM limitations, among other issues. Nobody recommends them. You should install the Sophos UTM software from the .iso files as described above. It is MUCH better. 

I originally ran the Sophos UTM internally on my network, with both LAN and WAN ports on the non-routable private side. This configuration allowed me to learn the interface without the risk of opening up vulnerabilities in our home network. I had multiple "Locations" on the computers. One would route through the UTM by using its LAN address as the gateway, DNS server, etc. Another Location would bypass the UTM and use the home router as the gateway. Still, many behaviors and reports were "wonky". 

Please be aware of the issues when running your Mac with automatic login as described above. The password for the login account is stored on the hard drive. It is encoded, but not really encrypted. The file is protected for root access only, but anyone with a little technical experience will know how to recover it. If you enable automatic login, then you cannot enable FileVault2 (full disk encryption). 

For higher security, you can disable automatic login and enable FileVault (FileVault2 full disk encryption). If FileVault is enabled, then a person must be available to enter the password when the Mac starts up. If nobody is available, then your home network will be down and remote access through the Sophos UTM will not be possible. In addition, you will need a keyboard and monitor attached to your Mac to enter the password.

The configuration above imposes some dependencies that you may not have considered. The main issue is that the Sophos UTM virtual machine must be running in order to download updates from the Internet. Here are my thoughts:

• Apple Software Updates (App Store Updates): I prefer to quit all applications and log out of all ordinary user accounts (including the "server account") before installing Apple updates using the "admin" account on other Macs. The issue is that for this particular Mac mini, if I halt the Sophos UTM virtual machine, quit VMware, and log out of the server account, there is no Internet access to download the Apple updates for the Mac mini itself. In general, my solution is to leave the server account and Sophos UTM running. If the Apple update requires a reboot, then I connect to the Sophos UTM from a browser, shut it down, then connect to the Mac mini to quit VMware and log off from the server account before rebooting the Mac mini. (Not all steps are required, but a sensible precaution.)
  
  
• VMware Fusion Updates: I have not been faced with a VMware Fusion update yet, but my planned solution is to download the full installer from VMware first, then shutdown the Sophos UTM, its virtual machine and quit VMware, and finally install the VMware update from the admin account. I do not like to install software from a user account, to avoid potential application file ownership and related security issues.
  
  
• Sophos UTM Updates and Full Backups: If you have the disk space, you can shut down the Sophos UTM virtual machine and quit VMware, then make a copy of the entire virtual machine on the Mac. Do this before Sophos UTM updates, just in case the update breaks something. To save on disk space, you can compress (zip) the virtual machine files (right-click the file, then choose "Compress "". Sophos UTM backups keep a copy of the configuration, but copying the entire virtual machine guarantees a known working Sophos UTM virtual machine backup. One important reason to make full backups of your virtual machine files is for Time Machine backups (see below).
  
  
• VMware Snapshots to Backup your Sophos UTM: A faster, easier way is to backup your Sophos UTM virtual machine is to use VMware snapshots. Automatic snapshots can be enabled if desired. Snapshots carry their own penalties and issues, whether manual or automatic. See VMware's documentation regarding snapshots. I use snapshots where appropriate, but generally prefer full backups for personal use if the downtime is not too significant.
  
  
• Time Machine and VMware Fusion Virtual Machines: Apple's Time Machine backup system does not play well with running virtual machines. Time Machine backups of a running virtual machine are almost guaranteed to be corrupted and fail. You should exclude your running virtual machines from Time Machine backups. Instead, create a separate folder for the copies of your (shut down) virtual machine files (compressed!) and put the copies there for Time Machine to backup.
  

I would like to express my appreciation to Giri73, whose one and only post clued me in to the idea of isolating the public side of the virtual machine Sophos UTM from the Mac mini's own network connection. This unusual configuration allows me to run the Mac mini as a family server behind the Sophos UTM firewall, while running the Sophos UTM in an "independent" virtual machine on that same Mac mini. Very cool!

Differences between Giri73's configuration and mine:

• Giri73 used Hama USB 3.0 to Ethernet adapters. I found them on the Internet, but could not find a source for them in the USA. (I wonder if most adapters use the same ASIX AX88179 chip anyway?)
  
• Giri73 used three separate USB 3.0 to Ethernet adapters. I realized that for a simple home firewall with an external WAN and internal LAN, I needed only one adapter. If I want to set up a DMZ, I could use another adapter.
  

Where to buy Ethernet adapters:

• Apple has their own Thunderbolt to Gigabit Ethernet (1000baseT) adapter. They also have a USB 2.0 to fast Ethernet (100baseT) adapter. Apple's Ethernet adapters do not require driver installation. They also got terrible reviews on Apple's website and other websites. The reviews complain of reliability problems, heat issues, quick failures, and more. Apple's adapters are expensive.
  
• You can buy the KDLINKS USB 3.0 to Gigabit Ethernet adapter from Amazon for $12.95. Installing the driver was trivially easy. The KDLINKS adapter runs very cool and has been 100% reliable since it arrived a few days ago. :-)
  

  

I hope this helps a few people, especially the newbies like me.

Status: Works - Home install
Astaro Version(s) tested: 9.309-3
System OR Motherboard: SuperMicro A1SRi-2758F
BIOS version: 1.0b
CPU: Rangeley C2758 2.4 GHz
RAM: 8 GB - Crucial DDR3-1600 ECC
Disk Controller 1: SoC SATA3 (6Gbps), SATA2 (3Gbps)
Network Interfaces: i354 Quad GbE Controller + Dedicated IPMI LAN port
VLAN support: working
Video Controller: BMC integrated Aspeed AST2400
Hard Disk: Intel S3500 120GB SSD
Optical Drive: None - Use IPMI
Case/Chassis: Mini-Box M350 Universal Mini-ITX
Power Supply: PicoPSU-150-XT
Other: BlackSilent Fan XM2 40x10mm
Total Power Consumption: unknown
Total Cost: $695USD

Status: Working, currently using at Home
Astaro Version(s) tested: 9.310-11
System OR Motherboard: Shuttle DS57U Mainboard
BIOS version: 1.05
CPU: Celeron 3205U (SoC)
RAM: 1x4 GB DDR3L (Toshiba)
Disk Controller 1: onboard
Disk Controller 2: onboard
Network Interfaces: 1x Intel I211 (internal), 1x Intel I218 (external, working normally, but shown as "Intel Unknown" in WebIf)
VLAN support: untested
Video Controller: Intel SoC
Hard Disk: Samsung SSD EVO 840
Optical Drive: -
Case/Chassis: Shuttle DS57U
Power Supply: included, external
What's not working: Stable
Total Power Consumption: 11 Watts
Total Cost: Shuttle DS57U: 180 Euro, 4 GB RAM 30 Euro, Samsung EVO 840: 60 Euro
Comments:

- Install hanging at 66% via HDMI install -> use DisplayPort instead!!
- Working via Hyper-V after some fiddling (see other post).
- Install bare-metal working when connected via DisplayPort -> do not use HDMI!