Network Guys

Share your knowledge!

Finally my own Sophos UTM

NEW post available here

 

Finally I got my own Hardware for the Sophos UTM Home license. Thanks to my colleagues at work for finding that perfect fitting hardware. I would prefer a passive cooled mainboard with at least two ethernet NICs (internal LAN and internet uplink). You can use any ITX cases but It could be that the power cable isn’t long enough for the ATX connection on the mainboard. In this case you need to buy a cable-extension for this. Use a SSD for harddisk because it has lower power requirement, makes no noise and has no heat. 60GB is full enough for the UTM! Before you install the Sophos UTM software, please update the SSD firmware. The manufacturers are offering boot CDs for updating the firmware. I used the following components:

 

Complete Systems

 

Single Hardware Components

 

*old* Hardware-Combination

 

I already had the SSD from OCZ and 64 GByte is quite enough. You can choose every 2,5″-HDD but I recommend a SSD because you have no noise and low energy need. You can also add a second memory so you have 4 GB in your own UTM.

 

The whole UTM is using only (!) 10-14 Watt (equal to basic home routers), has 0 dB noise, needs no fan, has no moving parts and you are more secure like most companies :)

The Home edition from Sophos UTM is free for personal use! I installed it via a DVD-drive. Astaro did offer this since a very long time ago. During the acquisition for Astaro from Sophos, I was on the partner roadshow, showing future releases of the UTM and future plans with joining both companies together. And there was a partner who asked a cheeky question: “Will be the home edition of Sophos UTM still exist after the acquisition?” and one CEO thoughts about 5 seconds and finally said “aaahm… yes!” and the audience clapped their hands for excitement :-D

You can get your free license by just registering here for a free MyUTM-Account. After generating a license file, you can download the ISO file here and install it directly to your hardware. You have all features enabled (like a full-guard company license) except High Availability and you also can secure your Windows clients (yes Windows 8 is supported) by ten licenses for Sophos Endpoint Security and Control.

It’s very cool to connect via VPN to your home, configure the WebAdmin via iPad from your couch, scanning all your webtraffic for viruses or block access to unwanted websites for your children!

Have a great time and fun building your own secure network! Keep fresh!

404 Responses

  1. Yes, same hardware here, i’ve tested the firewall troughput between LAN and WAN port with one PC on the LAN side and a notebook on the WAN side: 700 MBit :-) (maybe the notebook was a bottleneck). That was one reason to degrade my fritzbox to a dsl modem ;-)

    regards, Frank

  2. Hi,.

    What should I watch for the Sophos UTM if I want to operate two separate LANs without filtering on outgoing connections?

    1. Sie können auch in deutsch schreiben :)

      Do you want to just separate two internal LANs? This is no problem. You can also use 2 internal LAN and 1 WAN but you need to add an additional mini PCI express card like http://www.heise.de/preisvergleich/684689 you than you need to tinker a little bit because the case is too small or you buy another case. Is this what you want?

      1. An extra NIC is not always necessary since UTM can also handle VLAN interfaces so it’s possible to use 2 VLAN interfaces on one physical interface. Of course you do need a switch (Netgear GS108PE is nice for this) that can do VLAN.

  3. Hi Michel,

    ich hab schon eine Sophos aufgesetzt, jedoch hab ich das problem dass das zweite LAN nicht so will, bis auf DNS, der Zugriff von Internal nach WAN geht jedoch einwandfrei.

    Grüße Falconbase

  4. Hast du eine Firewall regel die sagt “Zweite LAN —–any—-> Internet”? Hast du unter Network Protection / NAT gesagt dass “Zweites” LAN NAT auf External? Unter Web Protection muss das zweite Netz auch stehen damit der das überwacht falls du Transparenzmodus verwendest.

    1. You have to be cautious with any->any since using this rule the 2nd LAN will also have access to the 1st LAN. If this is what you want then this is of course okay, but if you don’t want that than you better do 2nd LAN -> any -> Internet IPV4, IPV6 so the rule will only be valid for interfaces which have default gateway.

  5. Hi!

    I am building a Sophos UTM gateway on the same platform as you. I am thinking of adding a wireless network card, I guess it would have to be a mini-PCI-e card. Do you know what wireless network cards are supported?

    Thanks!

    1. Hello Henrik,
      I would like to do the same (add a wifi card to the UTM) but I cannot find any information on the internet. Unfortunately Michel did not answer to this question (yet?).
      Did you find anything on your side?
      Thanks a lot!
      PO

      1. I thought I commented this :) i think it is not possible to do that. You will need to buy a Sophos or Astaro AP at the distributor or sometimes cheep at eBay (very rare). An AP10 has very weak signal strength and a AP30 is to expensive :-/ i’m planing to buy a AP from Cisco with VLAN support so you can also publish 2 SSIDs (one for guest). I want to buy a small 5-port Netgear Switch for that. The WLAN captive portal from the UTM can also be used with that.

        1. Thanks Michel!

          I actually found this few minutes ago. It is not possible and they do not plan to do it (ok they said it 2 years ago but it is still valid).

          http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/1238943-pci-pci-e-wireless-card-support

          I was used to have ipcop/smoothwall (depending on my mood) then I discovered astaro 3/4 years ago. My machine died then I replaced it with a ZyWall from Zyxel. Yes I was lazy :)
          But I plan to (re)discover Sophos UTM but I need to have an AP as well.

          Now my only concern is to find an AP more reliable than my D-Link one (wifi is unstable).

          Where would you plug your AP if you do not use it for the LAN but only for the WAN?

          My idea was to have this:
          —WAN——LAN—…
          and —DMZ or something like that—

          Does it make sense? We do not use wifi on LAN, we rely only on cables :)

          Thanks!

          1. Replying to myself as my schema got censored ;)
            —(provider box)—(WAN)—(Sophos UTM)—(LAN)—…
            and (AP)—(DMZ or something like that)—(Sophos UTM)

          2. The feature request was declined :) but I understand Sophos: The UTM is typically a business product which will be placed into the serverroom. The APs will be deployed within the office so there is no need for them to support wireless cards directly in the UTMs.

            Yes, you can configure a second internal network like “DMZ” or “WirelessZone”. You can configure Web Protection and your firewall with a rule “DMZ —any—> Internet IPv4” so your wireless clients aren’t able to connect to the internal network.

            Today I bought a Sophos AP30 for 90 €. It was an eBay contact from one of my work-colleagues. We bought all three APs from him ^o^ I will publish an internal SSID and a Guest SSID with vouchers :D

  6. Hallo

    Habe jetzt auch Sophos installiert und muss sagen nicht schlecht Herr Specht!! ;-)
    Allerdings kommt mir vor als wenn dieses UTM 9 Home Version eine Sperre eingebaut hat und zwar in der Übertragung!
    Habe einen Internet Anschluss zuhause mit 100Mbit sysmetrisch…….bekomme aber im Download nur 30 MBit zusammen und die natürlich konstant..
    Habe mir schon einige Regeln im System angeschaut bzw. Konfigs. dort finde ich nicht wirklich was!
    Netzwerkkarten sind mit 100MBit eingestellt, kein QOS eingerichtet…..gibts da noch was zum einrichten um auf die Geschwindigkeit??
    Hat wer eine Idee…….
    DANKE und LG

    1. Hi Jürgen!

      Eigentlich sollte die Home nicht begrenzen. Einzige Begrenzung ist die 50 IP Begrenzung und keine HA Funktion. Das IPS könnte je nach CPU stark begrenzen. Schalte mal IPS aus dann steigt es sehr hoch. Ich würde sie aber anlassen und ausnahmen treffen (z. B. “Wenn von Quell-IP interner Downloadserver dann IPS skippen” oder halt wenn download von subnetz von den share-online servern etc. Dann skippen. Da heißt es aber die IPs rauszufinden (siehe Log und dann mal eine IP bei heise.de/ip eingeben, dann siehst du meistens das dazugehörige Subnetz des Filesharing Anbieters). Mit IPS sinkt natürlich der Durchlass da alle Pakete auf Anomalien kontrolliert wird. Siehe alleine die Tabelle im Sizing Guide: http://www.infinigate.de/fileadmin/user_upload/Products/Astaro/Marketing/DE/Astaro_Sizing_Guide_v9.pdf

    2. Hi Juergen,

      mein Kollege sagt, dass er jetzt mit der UTM 9.2 bei einer 100 Mbit Leitung, volle 80 Mbit erreicht (also auch mit eingeschaltetem IPS).

  7. Danke für die Info…….
    Bei mir haben alles Geräte eine feste IP per MAC Adresse definiert und in Bereiche eingeteilt damit ich weis wer wer ist!
    Jedes Familienmitglied hat eine 10IP Adressen Bereich somit fällt es leichter rauszufinden wer es ist und wen ich eine Regel aufbrumme ;-)
    Werde das am WE nochmals testen und schauen, wo finde ich den Schalter für IPS!? Das ich nicht lange suchen muss!
    Mein System ist das selbe Intel Board wie hier in deiner Konfig mit 4GB Ram……

    Danke dir im Voraus

    1. Findest du unter Network Protection / Angriffschutz. Unter Außnahmen kannst du bestimmte Zielserver oder Quellen ausschließen.

  8. I cannot reply to your last comment Michel :(

    Thanks for your answer! So AP30 for 90 euros. Sounds very interesting :) Soon I will be living in Germany so I can pay more attention to ebay.de

    I noticed it is only 2.4 Ghz but should be ok for home usage… I hope.

  9. Sodala seit Donnerstag installiert, konfguriert und es läuft……..perfekt!!
    Die IPS Einstellung war daran schuld das nicht die gesamte Bandbreite funktioniert hat……jetzt aber perfekt.
    DANKE

  10. Has anyone a idea, how to install a cpu speedstep package to the device?

    Cause running the whole day with 100% CPU power is useless for me.

  11. Hi Marco,

    what do you mean with speedstep? I will post soon a tutorial to bring better performance to the UTM. Which hardware do you use? How much RAM do you have? Please configure single anti-virusscan and configure the reports from 3 month to 1 month and tell me after 2-3 hours if the performance is getting better.

  12. Hi,

    ich habe aktuell das gleiche Board + Gehäuse. Seit einer Woche nehme ich ein hellen Ton war. Akustisch würde ich sagen, es kommt vom Mainboard.

    Hast du selber schon solche Erfahrungen gemacht?

    Gruß

    1. Hi Robert,

      hör mal genau hin. Kommt das vom Netzteil oder vom Mainboard? Fiepende Geräusche sind meistens brüchige Kondensatoren auf dem Main oard, versuch mal das Board umzutauschen, ich denke mal du bekommst dann ein Neues.

  13. Hallo Michel!

    Ich habe nun auch vor ein System wie deines anzuschaffen, um das Büro meines Bruders und meines miteinander hier im Haus zu verbinden. Nur leider brauche ich dafür mind. 3 LAN Ports (2 für WAN, 1 für LAN). Hast du da zufällig eine Empfehlung für ein passendes Mainboard?

    Danke & LG

    1. Hallo Jürgen,

      leider wirst du so kein Mainboard mit 3 onBoard Netzwerkkarten finden. Aber das von mir empfohlende Mainboard hat 1x PCI und 1x PCIe Mini Card Anschluss. Könntest dir so eine LAN-Karte holen, musst dir aber dann ein anderes Gehäuse besorgen.

  14. Hi Michel,

    Why do you need 60Gb of space? Do you plan to do web cache?
    Because I’m willing to do so, but with Pfsense. Tell what do you think?
    I like your poste about Sophos UTM, if there is a web cache module, I will drop Pfsense.

    Thanks.

    1. Hi Mahdi,

      you don’t need so much diskspace but it is recommended. I think you can also use a 40 GB disk. At the moment my Data Disk Partition is 17% filled (partition size 18.6 GB). The Log Disk Partition is filled with 1% (partition size 24.5GB). So I think you can go with a smaller HDD.

      The web cache is activated by default.

      Thanks for reading my blog! :)

      Have a nice day
      Michel

  15. I like the look of the INTEL board. I purchased a JETWAY barebones system. It is very solid, but it gets REALLY HOT!

    Its a metal case so the thing heats up like no ones business.

    Thanks for your posts about UTM9. I shall enjoy reading them,
    w

  16. Vielen Dank für diesen tollen Artikel!
    Reichen 2GB RAM voll aus, oder sollte man gleich mit einem 4GB Riegel einsteigen?

    1. Ich laufe mit 2GB RAM völlig problems, auch mit aktiviertem IPS. Wenn der 4GB Riegel nicht viel teurer ist kannst du auf Nummer sicher gehen aber wie gesagt, es geht auch perfekt mit 2 GB wie bei der Sophos UTM 120.

    1. Hi Rainer,

      ja sollte gehen, ist halt auch 204 polig und DDR3. Aber das Board kann (meine ich) nur 4 GB insgesamt, also 2x 4GB wird nicht funktionieren.

  17. hi, wie hoch ist den der Durchsatz mit aktiviertem IPS und dieser cpu würde gerne etwas zukunftsorientiertes mir bauen, sodass auch in Zukunft eine 100mbit Leitung voll ausgeschöpft werden kann. wie sieht es außerdem mit WLAN aps von anderen Herstellern aus ich denk aktuell darüber nach mir folgendem zu kaufen Engenius EAP9550.

    eine Frage nebenbei worüber ich noch nicht wirklich viel herausgefunden habe kann man vom Splitter direkt an ein Lan port gehen?

    Viele Dank für deinen Artikel vg
    bo

    1. Hi Bengin,

      da ich selber nur über eine 16 MBit Leitung verfüge, habe ich meinen Kollegen gefragt der eine 100 Mbit Unitymedia Leitung hat. Der nutzt ebenfalls die vorgeschlagene Hardware und schafft ohne IPS 100 Mbit Downspeed und inkl. eingeschaltetem IPS 70-80 Mbit. Du kannst ein VLAN bilden und VLAN Tags nutzen. Hier habe ich eine Anleitung geschrieben: http://networkguy.de/?p=488 da könntest du mit jedem AP mehrere WLAN SSIDs ausstrahlen und dann in verschiedene Interfaces/Netzwerke taggen. Du kannst dann auch auf dein Gäste WLAN den Hotspot binden :)

      Vom Splitter kannst du nicht direkt an den LAN Port gehen, du brauchst ein DSL Modem dazwischen, die UTM baut die WAN Verbindung mittels PPPoE Protokoll auf. Bei Unitymedia oder Kabel Deutschland würde man den Provider Modem anklemmen und das Interface auf DHCP stellen, der Provider gibt dir dann direkt eine WAN IP an der UTM Schnittstelle. Wenn du weitere Fragen hast, zöger nicht zu schreiben! :)

      1. hi michel, danke für die schnelle antwort!

        folgende frage stellt sich mir dann gerade doch noch, denkst du man kann eine modemkarte in die box einbauen? die frage wäre hier ob es die entsprechenden treiber gibt und sophos das überhaupt unterstützt, wenn aber ppoe sowieso vorhanden ist sollte dies doch eigentlich gehen oder? (insofern man eine entsprechende karte findet, welche treiber für openbsd hat [darauf baut doch sophos auf oder?] dann sollte dies doch einwandfrei funktionieren … )

        Ich stell mir aktuell folgende konfiguration vor:

        Intel BLKD2500CCE Mainboard Sockel BGA
        Kingston SSDNow V300 60GB (SATA III)
        4 Gb 1066 DDR3
        anstatt einer 4Port-Netzwerkkarte eine Modemkarte
        + Switch von Netgear GS108PE (mit PoE)
        + Wifi AP Engenius EAP9550

        Ich will so wenig Komponenten und Kabel in dieser Kette haben wie möglich (strom sparen und weniger potentielle Fehlerquellen)

        ggf. würde ich auch das Board gleich gegen etwas leistungstärkeres austauschen ein d2700 prozessor oder etwas vergleichbares so würde ja auch nur ein lan port vollkommen ausreichen, daher der input über das modem kommt und mit dem lan port an den switch weiter geleitet wird.

        Was denkst du ist die strategisch beste Lösung für mein Vorhaben.

        1. Hi Bengin,

          leider wird das nicht funktionieren mit der Modem Karte. Unterhalb des Sophos UTM verbirgt sich ein gehärtetes SuSE Linux Enterprise. Du wirst also gar keine Möglichkeit haben, noch nicht mal mit “basteln”. Ein externes reines Modem wie z.B. das D-Link DSL-321B tut hier bei einem DSL Anschluss wunderbare Dienste: http://www.amazon.de/gp/product/B001CK86EO/ref=as_li_qf_sp_asin_tl?ie=UTF8&camp=1638&creative=6742&creativeASIN=B001CK86EO&linkCode=as2&tag=netguy-21

          VDSL geht natürlich auch: http://networkguy.de/?p=398

          du kannst zwar das D2700 nehmen aber dort ist nur 1 LAN Port onboard. Du musst also eine zusätzliche Netzwerkkarte kaufen die auf das Board und ins Gehäuse passt. Das D2500 hat 2 LAN Ports und du brauchst ja mind. 1 internen LAN Zugriff und einmal für Internetanschluss.

          1. Hi Michel,

            danke nochmal für deine Antwort. In meinem Brain kommen immer wieder neue Fragen auf, wie ist es eig. bzgl. Ping und sonstiger performance zum Zocken von FPS oder auch zum Filme schauen über das Netzwerk (Filme vom NAS per Lan an den Switch -> per Wlan an Fernseher), gibt deine Konfigration genug performance dafür her, sodass es keine Rückler beim Film schauen gibt oder auch der Ping niedrig genug ist zum zocken? (durchschnittlicher Milisekunden Wert wäre toll)

            Bzgl. der Hardware habe ich mich jetzt doch erst mal für das d2500 entschieden mit zwei lan ports. Aktuell habe ich selber auch nur eine 18k Leitung also sollte dies vollkommen ausreichen.

            Sobald meine neue Kreditkarte da ist werde ich aus den USA den AP bestellen, dieser ist meiner Meinung nach Preileistungstechnisch wrsl. eins der besten Geräte.(Ich werde Berichten wie die Amazon bestellung aus den USA geklappt hat und was die gesamten Kosten waren.)

            Was für einen Switch verwendest du in deiner Netzwerkkonfiguration?

            Kleine Frage am Rande, funktioniert dann eine Failover und Kombinations-Verbindung per Usbstick (3G/LTE)?

            VIelen Dank nochmal und liebe Grüße
            Bengin

      2. Und wie konfiguriert man das WAN-Interface in der UTM damit ich die UTM auch richtig als Firewall nutzen kann?

  18. Also ich selber zocke FPS Games und habe super Latenzzeiten. Wenn du alles im lokalen LAN machst, hast du über einen Switch ja volle Gigabit. Es sei denn du streamst z.B. via Sophos AP WLAN einen Full HD Film wie ich auf einen Samsung TV. Das geht über die UTM aber auch das geht einwandfrei!

    Ein Switch brauchst du auf jeden Fall wenn du mehr als einen PC hast. Ich brauche einen Switch für Access Point, TV, PC, Mini-Server. ich habe den hier: http://www.amazon.de/gp/product/B004BM3M6W/ref=as_li_qf_sp_asin_tl?ie=UTF8&camp=1638&creative=6742&creativeASIN=B004BM3M6W&linkCode=as2&tag=netguy-21 der ist robust, lautlos, full-gigabit Speed und man könnte dort sogar VLANs aufbauen um mehrere Netzwerke zu spannen.

  19. SSL VPN (Open VPN) geht nicht hin zum Ipcop. Site2Site SSL VPN geht nur zwischen Sophos UTMs. Aber du kannst problemlos ein Site2Site VPN mittels IPsec aufbauen. Habe es selber aber noch nicht mit einem IPcop machen müssen.

  20. Wow sieht echt cool aus. Ich habe einen alten Shuttle PC mit 2 Netzwerkkarten. Das würde ja problemlos gehen. Beim ersten versuch hat es leider nicht geklappt. Ich habe von Cablemodem (Bridge mode) direkt an Shuttle PC angeschlossen und 2. Netzwerkkarte ==> Switch ==> Client. WAN ist das jedoch bekommt der Client keine IP (UTM DHCP aktiv). Weiss jemand an was es liegen könnte? Danke

  21. Pingback: Anonymous
  22. Hi Michel,
    finde Dein System klasse, aber ich hätte da noch eine Frage: Kann man mit der HW auch
    2 WLAN Access Points realisieren (zB: 1xPCIe u. 1xPCI) und kann die UTM die auch
    getrennnt berechtigen?

    cu Axel

    1. Leider kann man die Hardware nicht als Access Points missbrauchen. Wenn du mit der Sophos UTM deine WLANs (gerne auch mehrere SSIDs) betreiben willst, musst du dir Sophos Access Points kaufen. Ich habe günstig einen AP30 bekommen, ein AP10 wird es aber auch gut in einer Wohnung tun.

  23. Hi Michael, thank you for your great post.
    I am considering to dedicate hardware for my UTM Home (currently running on ESXi). I have an additional questions.
    1. Can you confirm VLAN is fully supported on this hardware? I am very reliable on this info and would be very disappointed if VLAN will not work
    2. Did you measure throughput with IPS turned on? (without AV) Do you have some results?

    Can you comment from your perspective if AV enabled on UTM is not only waste of resources. Statistically it can catch only up to 10% of viruses (best protection is endpoint protection). I’d like to use UTM as my external firewall (internal is SRX100) with WebProxy and IPS features only enabled. (FYI i am running distributed solution for wi-fi from Ubiquity – very cheap and solid solution)

    thank you.

    1. Hi Jan!

      VLAN is supported, yes. My colleague tested it at a 100mbit cable provider and he gets 70-80 Mbit per sek with activated IPS (antivirus is only working within http requests or mail receiving/sending).

      AntiVirus within the web proxy is very effective. Every image, site code and download will be scanned dual (by Avira and Sophos Engine) but you can also configure single-scan or deactivate this. Sophos UTM also gives you the possibility to install Sophos Endpoint Protection for 12 clients!

  24. Hallo Michel,

    sehr interessanter Artikel, auf Grund Deines Berichts habe ich mir die gleiche Konfiguration gekauft (nur eine SanDisk 64 GB SSD). Mein Gerät braucht nach dem booten 28 Watt, d.h. sind ca. 66 Euro /Jahr.
    Wie hast Du die 10-14 Watt erreicht? Im BIOS habe ich alle Schnittstellen ausgeschaltet, hat aber nichts gebraucht.

    Gruß
    Joachim

  25. Hey Michel, I’ve got finally my box completed. Can you please share optimal settings for BIOS to get to 14W level? Also, do you recommend BIOS upgrades?

    thank you
    Jan

  26. Hi Jan,

    on day before your mail, I asked the same question (in german) ;)
    Now I learned, with the standard power supply (12V, 75W) the box consumed about 30 W.
    I changed the power supply from a differnt device (router) and the box consumed about 21W, so I am looking for the “best” power supply.

    Joachim

    1. Joachim, may I ask how do you measure power? Directly on the box, when you issue linux commands or by external device?

  27. Yeah you are right, it depends on the power supply quality. I’m using the default power supply from the case (and I had luck). Maybe they are including more poor power supplies or there are problems in the production :-/

  28. Hi,
    ich hab mir auch die neue UTM installiert auf der gleichen Hardware wie du hier verwendest. Ich habe vor für das eth0 eine 192.168.203.222 und die eth1 eine 192.168.203.223 zu vergeben. Mein Gateway ist 192.168.203.1. Dieses habe ich auf der eth1 hinterlegt.

    Wenn ich nun die UTM als Proxy eintrage, kommt immer die meldung Host not found.
    Ohne Proxy Eintrag gehts gar nicht. Habe das Gefühl das ich irgendwas vergessen habe. Hast du einen Tipp? Oder kennst du ein gutes How To für mich?

    Gruß

    1. Du musst an beiden interfaces ein anderes subnetz konfigurieren. Jetzt haben beiden interface 192.168.203.0/24 und dan kan nicht routiert werden.
      Vielleicht könntest du den UTM in Bridge mode benutzen wenn es nicht routieren soll.

  29. Heißt ich müsste es so realisieren:

    eth0 = 192.178.203.0/24
    eth1 = 192.168.203.0/24

    richtig?

    würde denn der bridging modus auch alle möglichkeiten liefern wie auch wenn ich die utm routieren lasse?

    1. wenn du das Gerät im Bridge-Modus laufen lassen willst, konfigurierst du nur 1 Interface und bündelst sie dann zum interface br0 (bridge). Dein Gateway bleibt 192.168.203.1. Aber warum willst deine UTM nicht direkt als einzelnes Gateway darstellen?

  30. wie meinst du das genau? meinst du ich stelle meine UTM einfach als Bridget Modus ein und gebe allen clients die IP der UTM als Gateway?

    Momentan dachte ich ich muss allen Traffic durch die UTM laufen lassen. Heißt alle devices auf ein switch und dort das eine Bein der UTM drauf und das andere Bein auf meine Fritzbox.

    Ist die Annahme falsch?

    1. Hi Gismo,

      nein die UTM bekommt eine IP, dann machst du daraus eine Bridge, die klemmst du vor deinem Gateway und deinem LAN. Die IP ist nur fürs Management. Dein Gateway bleibt deine Fritzbox. Alles was jetzt durch die UTM geht, kann dann gefiltert werden (Firewall, IPS, Web Protection, etc.). Die Bridge hat dann 1 Fuß in Fritzbox und 1 Fuß ins LAN.

  31. Hallo ,

    vielen Dank für die Konfiguration, ich habe vor mir das System entsprechend so zusammenzustellen. Nur habe ich zu Hause eine 30GB SSD rumliegen und ich frage mich ob diese nicht auch ausreichend Kapazität bieten würde? (Für 2 User, max. 5 Geräte)

    Wenn nicht, ist ja auch kein Problem dann hol ich mir die 60GB Platte, mich würde nur interessieren wie die Kapazitätigen genutzt werden

    Liebe Grüße

    1. Ich denke das sollte reichen. Hier sind meine Werte, hab eine 64 GB SSD drin:

      utm:/root # df -h
      Filesystem Size Used Avail Use% Mounted on
      /dev/sda6 5.2G 2.0G 3.0G 40% /
      udev 1001M 68K 1001M 1% /dev
      tmpfs 1001M 0 1001M 0% /dev/shm
      /dev/sda1 331M 14M 300M 5% /boot
      /dev/sda5 19G 2.9G 15G 17% /var/storage
      /dev/sda7 25G 191M 23G 1% /var/log
      /dev/sda8 1.4G 11M 1.3G 1% /tmp
      tmpfs 1001M 20K 1001M 1% /var/sec/chroot-httpd/dev/shm
      tmpfs 1001M 0 1001M 0% /var/storage/chroot-reverseproxy/dev/shm
      tmpfs 1001M 48K 1001M 1% /var/storage/chroot-smtp/tmp/ram
      tmpfs 1001M 5.9M 995M 1% /var/storage/chroot-http/tmp

      das meiste wird reserviert für storage und log und das ist bei mir gering.

  32. Hi Michel,

    jetzt klappt es. Hab nur noch das Problem beim Surfen. Hier zeigt er mir bei jeder Adresse die ich eingebe: “Network is unreachable”

    Hast du noch nen Tipp für mich wie ich die WLAN Clients der Fritzbox über die UTM routen kann? Weil diese gehen jetzt ohne UTM direkt raus.

    1. Hi Gismo,

      da die UTM jetzt deine Webpackete im Transparent-Modus aufnimmt und von sich aus eine Verbindung startet, muss die UTM wissen wo sein Default Gateway ist. Trag daher in die Bridge deine Fritzbox als Gateway ein, dann kann auch der Webproxy raus.

      Deine WLAN Clients landen in der Fritzbox und gehen auch direkt raus, über die Sophos UTM kannst du es nicht leiten :/

      aber warum behälst du die Fritzbox? Warum nicht die UTM direkt mit einem Fuß ins Internet? Was hast du für einen Internetanschluss? ADSL? VDSL? Kabelanschluss?

      1. Hi Michel,

        ich habe einen ADSL Anschluss. Ich kann die Fritzbox nicht aus dem Rennen nehmen, da ich darüber auch Telefonie mache. Was ich machen könnte ist die ganzen WLAN Geräte über einen internen Accesspoint zu schicken und das WLAN der Fritzbox zu deaktivieren.

        Danke für deinem Tipp mit dem Gateway. Jetzt geht alles

  33. Guten Abend Michael,

    versuche nun seid 5 Stunden meine UTM Home zum laufen zu bekommen.
    Mein erster Test war als Virtuelle Maschiene ob es überhaupt mit dem Speedport W921 V funktioniert. Ja es hat nach langem herumprobieren und einstellen funktioniert.

    Nun dachte ich mir mache ich aus alter Hardware nen PC fertig für die Firewall.
    CPU: AMD Athlon x2 6000+
    Mainboard: Asrock ALiveNF6G-VSTA
    RAM: 4 GB DDR2 von OCZ
    Festplatte: SATA 200GB

    Die Installation läuft ohne Probleme er bootet gleich von der CD und fängt die Installation ohne zu murren an. Am Ende möchte er ja einen Reboot wo er gleichzeitig die CD auswirft.
    Bis dahin ist alles gut.
    Nur jetzt fängt das Problem an, egal was ich tue ich habe das System mittlerweile 7 mal Neuinstalliert, doch jedes mal läuft das System in einen Fehler.
    Würde ja gerne einen Screenshot anhängen nur geht ja leider nicht.

    Es kommt zu einem Call Trace mehrere meldungen und zum ende das End Trace.
    RIP anom_vma_fork

    Hoffe du kannst mir helfen.

    Mit freundlichen Grüßen

    Michael

    1. Ergänzung:
      Nach einem Neustart habe ich nun den RIP ida_remove

      Der fehler wechselt dauerhaft…

  34. In der Offiziellen Liste finde ich mich nit so zurecht bzw. finde meinen Athlon x2 nit.
    Wiederrum laut dem Post von RFCat_vk aus dem Forum (habe es mal unten Kopiert) hat er fast die selbe konfiguration wie ich ausser leichte Abweichungen.

    Status: [DISABLED], currently using at [Home]
    Astaro Version(s) tested: 8.164b (64 Bit)
    System OR Motherboard: Gigabyte 880GM-USB3
    BIOS version: F7
    CPU: AMD Athhlon II X2 235e
    RAM: 4GB, 2 x Kingstonl 2GB DDR2 667MHz/PC2-5300
    Disk Controller 1:SB710)
    Network Interfaces:1x Intel Corporation 82574L Gigabit Network Connection
    1 x onboard realtek 8111/8169xx
    VLAN support: [okay]
    Video Controller:ATI 4850??
    Hard Disk: 320gb AV system trpe SATA disk
    Optical Drive: Drive for install only
    Case/Chassis:Gigabyte case
    Power Supply: 300 Watt Silent (came with case)
    What’s not working: Everything I have tried so far works
    Total Power Consumption sits at 55-57w peaks at 75w (in Watts, if known): –
    Total Cost: [Retail]
    Comments / Notes: when booted very quick, when starting after a reboot very slow
    A little higher in power than I would like.

  35. Hi,
    hab jetzt alles gut am laufen. Mein Problem sind nun aber Youtube Videos. Werden immer kurz angespielt und dann kommt der typische Youtube Fehler. Wenn ich ohne die UTM Surfe geht alles ohne weiteres. Hast du nen Tipp was ich einstellen muss um das Problem zu beheben?

    Gruß

    1. Hi Gismo,

      ist bei der Web Protection unter den Advanced / erweiterten Funktionen der Haken drin um Streaming Content Scan zu umgehen? Ich habe für andere Portale noch diese Ausnahme:

      Skipping: Caching / Antivirus / SSL scanning
      Matching these URLs: .*\.mp4.*

      1. Hi, Michael,

        der Haken bei “Bypass content scanning for streaming content” ist gesetzt. Deine Filterregel habe ich auch angelegt. Leider keinen Erfolg. Sobald das erste Video anläuft kommt auch schon der Fehler. Hast du noch nen Tipp?

        1. Ich vermute mal du hast normale Firewall Regel “Internal -> any -> Internet IPv4” und Web Protection im Transparent-Mode. Was ist wenn die Web Protection ausgemacht wird. Geht es dann? (Browser bei Tests am besten immer neustarten). Wenn das Problem bei angeschalteter Web Protection vorkommt: Was sagt das Live-Log beim Aufruf?

          1. Hi Michel,
            hab jetzt ein Paar tests gemacht.

            Habe ein Video zum Testen genommen:

            https://www.youtube.com/watch?v=8majjGwwDZY

            1) Dieses ließ sich aus Facebook nicht öffnen

            2) Gleiches Video über youtube zu öffnen ist auch nicht möglich

            3) Gleiches video mit ausgeschaltetem WebFilter: Gleiches Problem

            4) Gleiches video über meine Fritzbox aufzurufen ohne die UTM dazwischen -> Kein Problem

            Anbei der Log der verursacht wird bei eingeschaltetem Web FIlter:

            2014:04:05-15:42:25 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”confd_config_filter” file=”confd-client.c” line=”2818″ message=”failed to resolve passthrough6.fw-notify.net, using 2a01:198:200:680::8080″
            2014:04:05-15:42:25 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”confd_config_reload_func” file=”confd-client.c” line=”748″ message=”reloading config done, new version 27″
            2014:04:05-15:42:26 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”epoll_loop” file=”epoll.c” line=”868″ message=”starting exit cleanup”
            2014:04:05-15:42:26 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”scan_exit” file=”scanner.c” line=”569″ message=”scanner subsystem shutting down”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”scan_exit” file=”scanner.c” line=”575″ message=”scanner subsystem shut down”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”epoll_exit” file=”epoll.c” line=”689″ message=”epoll subsystem shutting down”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”epoll_exit” file=”epoll.c” line=”704″ message=”epoll subsystem shut down”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”disk_cache_exit” file=”diskcache.c” line=”44″ message=”writing cache index”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”disk_cache_exit” file=”diskcache.c” line=”46″ message=”writing cache index done”
            2014:04:05-15:42:28 FW01 httpproxy[28443]: id=”0003″ severity=”info” sys=”SecureWeb” sub=”http” request=”(nil)” function=”main” file=”httpproxy.c” line=”359″ message=”shutdown finished, exiting”

  36. Ok alles klar :)
    Ich danke dir trotzdem erstmal für deine Hilfe und melde mich wenn ich es geschafft hab.

  37. Michel, may I ask one question? Is it safe to install additional packages into UTM box? May i break something or influence system? I want to install PowerTop package but i dont want to shut system down. This is what I am talking about:
    https://01.org/powertop

    1. This system is “hardened” any other installed software on the linux base system can be a risk. If this is only a hardware tool where you can read informations an the shell only, I think it is ok but if there will be a webserver for further options I would not recommend this, I also think that this won’t work because the firewall won’t open this port.

  38. Hi Michel,

    hattest du mein o.g. Problem schon einmal? Komme da irgendwie nicht so recht weiter. Ne Lösung in dem Sophos Forum hab ich leider auch nicht gefunden.

    Viele Grüße
    Gismo

  39. Edit: Das interessante ist, dass es aufm IPhone und iPad ohne Probleme läuft… Hast du noch ne Idee?

    1. Hi Gizmo,

      sorry dass ich so spät antworte aber ich habe aktuell viel Stress. Das Problem habe ich bissher so noch nie gesehen, ich frage mal meinen Kollegen.

  40. Hi Michel,
    hab jetzt noch etwas festgestellt. Dieses “Youtube Cache” Problem scheint nur im Firefox und im IE aufzutauchen. Benutze ich den Chrome läd das Video. Sobald ich ohne die Astaro im WLAN bin, direkt über die Fritzbox, geht es in allen Browsern. Habe auch schon die Virenscanner Engine in der Astaro geändert, leider auch ohne Erfolg.

    Gruß
    Gismo

          1. Ist es hier auch möglich nen Update zu machen? Ist der Bug denn in der neuen Version behoben weißt du das?

            Vielen Dank schonmal für deine Unterstützung

  41. Hallo,

    hat jemand schon negative Erfahrungen mit einer SSD gemacht? Habe in mehrern Foren gelesen, dass durch den Dauerbetrieb und das häufige schreiben die SSD schnell den Geist aufgibt.

    Grüße
    Oliver

  42. Also meine UTM läuft sehr mehr als einem Jahr auf einer 30GB SSD……..absolut keine Probleme! Schätze mal wenn mehr geloggt wird, also starker aktive Sdd Nutzung kann es schon sein das es Problem geben könnte!

    1. Danke für die Info. Werde es mal mit einer SSD probieren. Das logging level wäre nur am Anfang beim einrichten hoch um evtl. Fehler besser zu beheben, danach wenn alles läuft würde ich es auf ein minimum beschränken.

    1. Hi Robert,

      mein Arbeitskollege und guter Freund sagt, dass er jetzt mit der UTM 9.2 bei einer 100 Mbit Leitung, volle 80 Mbit erreicht (also auch mit eingeschaltetem IPS, doppelten Webscan, etc.) und er nutzt exakt die Hardware die ich oben angegeben habe (Intel Board etc.) Ich selbst habe nur eine 16Mbit Leitung.

      1. Hi,

        Soo meine vdsl Leitung ist nun geschaltet und die 50mbit gehen auch durch die kleine Astaro. Allerdings muss dann die CPU schon ordentlich arbeiten. Aktuell habe ich 2gb RAM. Meinst du mit 4 würde sich die Bedienung / Geschwindigkeit der astaro verbessern ?

        Gruß
        Robert

        1. Hi Robert,

          hmm ich würde sagen eher nicht. Wie sieht denn die RAM Auslastung aus bei aktiviertem IPS? Zieh mal paar DVDs 15 Minuten lang und guck mal dann die Graphen an. Wichtig ist: Darunter liegt ein Linux System dass sich bewusst X % vom System reserviert, es ist also nicht schlimm wenn sie 70% dauerhaft inne hat. Ab 85% dauerhaft sollte man mehr RAM einbauen :)

  43. Ich kann leider nicht mehr reply klicken beim fünten Post :) Gismo ja du kannst updaten mit diesem File: ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.111007-201023.tgz.gpg

    entweder via WebAdmin hochladen oder lieber solch eine große Datei via Shell updaten: http://networkguy.de/?p=442

    ob der Bug behoben ist weiß ich nicht. Update mal und guck ob es besser ist. Wenn NICHT, installier mal frisch von der ISO: ftp://ftp.astaro.de/UTM/v9/software_appliance/iso/asg-9.201-23.1.iso

    dann gucken wir weiter. Mir selbst ist dieser Fehler noch nie aufgetreten, auch nicht bei Kundeninstallationen. Es gibt eine Known Issue List: http://www.astaro.com/lists/Known_Issues-UTM-V9.txt guck mal ob etwas in der Art dort steht

    1. Hi, update durchgeführt per shell, und es ist schlimmer geworden. Jetzt geht gar kein Youtube Video mehr. Nicht eins :-( Soll ich vielleicht noch einmal einen Log ziehen?

  44. Kommando zurück. Mit der 9.2 und deaktiviertem App Filter läuft es super gut!!! Vielen Dank!!! Müssten wir vielleicht irgendwie noch den App Filter troubleshooten.

  45. Hi, derzeit nutze ich meine Sophos “nur” als mailfilter – nun möchte ich jedoch diese auch als komplette Firewall nutzen. Dazu hat mir mein Anbieter (NetCologne, Cable, 100/6MBit) den Bridgemode aktiviert. Wenn ich Bridge auf LAN2 aktiviere und mein Macbook dranhänge bekomme ich eine öffentliche IP per DHCP, mit der Astaro jedoch nicht (alles mehrfach neugestartet und auch Bridge mehrfach de-/ und aktiviert).

    Welchen Anbieter hast du und wie hast du dein Bridging genau eingestellt – hat das direkt bei dir funktioniert?

    Nutze die 9.2 mit allen Updates – auch auf Atomsystem (DUAL NIC Board, LAN und WAN jedes ein eigenes Interface).

    Danke dir für deine Hilfe.

  46. Hi Peter,

    du brauchst keine Bridge verwenden. Eth0 soll LAN sein, Eth1 soll ein DHCP-Ethernet Interface werden. Auf Eth1 setzt du den Haken bei Gateway und steckst das Kabelmobem da dran, die UTM bekommt dann am “WAN”-Fuß die IP und er nattet alles interne darauf.

    1. Sorry, hatte das nicht deutlich genug geschrieben. Das Bridging bezieht sich auf die Fritzbox, nicht Astaro. An der Fritzbox 6360 hat mir NetCologne bridging freigeschaltet, so das die Fritzbox nicht als Router, sondern als Cablemodem fungiert. Da habe ich eth1 der Astaro angebunden (DHCP Client) und an eth0 LAN.

      So lese ich das bei vielen im Internet, jedoch funktioniert das irgendwie nicht bei mir. Es muss aber an der Astaro liegen, denn wenn ich mein Macbook an LAN2 der Fritzbox anschließe, dann bekomme ich direkt am macbook eine öffentliche IP und Internet läuft.

      1. Sehr komisch, was sagt das system.log unter “System messages”? Da muss sowas stehen:

        2014:05:12-00:10:14 utm dhclient: DHCPREQUEST on eth1 to 10.193.0.1 port 67
        2014:05:12-00:10:29 utm dhclient: DHCPREQUEST on eth1 to 10.193.0.1 port 67
        2014:05:12-00:10:48 utm dhclient: DHCPREQUEST on eth1 to 10.193.0.1 port 67
        2014:05:12-00:11:07 utm dhclient: DHCPREQUEST on eth1 to 255.255.255.255 port 67
        2014:05:12-00:11:08 utm dhclient: DHCPACK from 10.193.0.1
        2014:05:12-00:11:08 utm dhclient: bound to xx.xx.xx.xx — renewal in 1773 seconds.

  47. Nichts interessantes fürchte ich:

    2014:05:07-18:02:05 gateway dhclient: DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 7
    2014:05:07-18:02:12 gateway dhclient: DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 8
    2014:05:07-18:02:20 gateway dhclient: DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 21
    2014:05:07-18:02:41 gateway dhclient: DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 18
    2014:05:07-18:02:59 gateway dhclient: No DHCPOFFERS received.

    1. Was ist wenn du ein drittes Device mal dranklemmst? Also nicht die UTM und nicht dein Mac? Evtl. hat hier der Provider erst mal die MAC Adresse deines Macs festgesetzt.

  48. Kann nicht, da ich wieder die Fritzbox dran habe (brauch ja Internet) und alles wieder Problemlös läuft (also wie zuvor – UTM im selben LAN mit, wird nur genutzt als VPN Gateway, Virenwächter und Webproxy).

    Würde die aber gerne komplett dazwischen haben, wie zuvor vorgegeben.

    1. Lösch mal die Schnittstelle und erstelle danach eine neue mit “Ethernet DHCP” und Haken bei Gateway. Hatte sowas schon mal, jedoch bei PPPoE Interfaces.

  49. Hallo Michael,

    wie sieht es mit der Temperatur und der Auslastung der Hardware bei Deinem System aus? Ich habe ein ähnliches System zusammengestellt (selbes Board aber anderes Gehäuse) und momentan “nur” ein pfSense darauf laufen – aber mit geschlossenem Gehäuse sind die CPUs sofort bei 70° … CPU Auslastung is aber nur in Ausnahmefällen über 10% …

    1. Hi Tax,

      Michel, nicht Michael ;)

      also CPU ist bei 15% und RAM 53% von 2 GB. Gehäuse wird nur leicht warm. Alles passiv gekühlt.

      1. Danke für die schnelle Rückmeldung und sorry für den Lesefehler, Michel.
        Ich hatte mich vorerst für pfSense entschieden weil mir die Plattform leichtgewichtiger erschien … zumindest konnte ich diese auf ne 4GB CF Karte spielen – der Sophos Installer hatte mir diesbzgl. abgewunken. Auch kenn ich openVPN mittlerweile ganz gut und wollte mich nicht in wieder neue VPN Gefilde vorarbeiten für das “nach Hause Verbinden” … aber ich werd’ der home UTM noch eine Chance geben, nur um zu sehen ob mein Gehäuse eine schlechte Wahl war oder das Sophos System wirklich mit der HW besser umgehen kann.

        mfG

        1. Ja 4GB ist zu wenig, das Reporting und Logging ist extrem mächtig auf der Sophos UTM. Ist für mich auch kein Nachteil eine kleine Platte da einzubauen. Sophos SSL VPN ist ein gebrandeter OpenVPN Client ;)

          1. Viel einfacher kann einem eine Firewall den Fernzugang ja gar nicht mehr machen. Sophos UTM Home ist jetzt mein Freund :)
            Für das Featureset und die Benutzerfreunlichkeit investiere ich gerne auch eine 60GB SSD als “Platte” …
            Die thermische Situation ist zwar etwas besser als mit pfSense, aber trotzdem noch nicht optimal. Ohne aktive Kühlung bleiben die Core-temps immer noch in der 50-60° Region – und wir haben noch nicht einmal “richtig Sommer”. Werde es wohl noch mit einem anderen Gehäuse versuchen – die Software bleibt jetzt aber auf jeden Fall Sophos!
            Habe in den letzten Wochen einiges ausprobiert (endian, untangle, pfSense, sphirewall und sogar openwrt) aber die Home UTM ist für mich das beste Gesamtpaket.
            Danke nochmal für die Infos (hier in den Comments und auch für den Blogpost selbst).
            lg

  50. Kannst auch eine kleinere HDD nehmen, hab einfach die SSD genommen weil schneller, leise, weniger Strom, weniger Hitze. Sophos ist extrem nah am Benutzer/Kunden. Auf feature.astaro.com kann man Features posten und voten und somit teilnehmen an der Entwicklung.

  51. Hallo Michel,

    dein Beitrag hat mich neugierig gemacht. Nun hab ich einen Frage. Du schlägst als Alternative das Gigabyte GA-J1900N-D3V vor. Dies hat nu ja Realtek NIC’s on Board. Wie schlecht sind diese nun wirklich. In verschiedenen Foren rät ja jeder davon ab.Nun hab ich einen Unitymedia 100 Mbit Internet Zugang und möchte diesen schon mir der Max Performance nutzen (Ok 100 Mbit werden bei singel Connections nie wirklich ankommen, wg. Overhead, Serverseite , etc). Ist denn überhaupt mit einer deutlichen Performancesteigerung bei IPS on zu rechnen ? (Ich gehe davon aus. Die CPU hat ja schon ein bissel mehr Bums). Kennst du jemanden der das Gigabyte GA-J1900N-D3V einsetzt und dir mal die Durchsatzwerte veraten hat ?

    Gruß Dirk

    1. Das Problem ist nicht wirklich das diese viel Schlechter sind, sondern inwiefern Sie unterstützt werden von den Systemen, die CPU Performance ist dafür aber auch deutlich besser. Inwiefern dies aber sich gegenseitig in der Praxis aufhebt, weiß ich nicht. Ich würde mich aber auch über erste Erfahrungen mit der Hardware freuen, den sie ist eigentlich mit dem Quadcore, wesentlich potenter. Mit der anderen Hardware, wie Michael sie verwendet kommst du im Schnitt mit IPS ON maximal auf 70-80 Mbit kommen, siehe weiter oben.

      Falls du praxiswerte und test findest zum Gigabyte würde ich mich über einen Kommentar hier sehr freuen.

      Vielen Dank
      Bengin

      1. Hi Bengin,

        hab die HW mit dem Gigabyte Board bestellt. Werde aber erst nächstes WE zum Zusammenbau kommen. Ich werde dann mal Rückmeldung bzgl. Performance geben.

        Gruß Dirk

      2. Hallo,
        ich habe das Gigabyte Board und eine 150MBps Strecke von Unity. Ich habe IPS aktiv und auch Adv Threat Protection und bin erstaunt wie performant das Board ist. Ich erreiche mit speedtests den vollen durchsatz und das Board scheint immer noch Reserven zu haben.

        Gruß
        Martin

    2. Hi Dirk,

      ich habe bissher noch keine Erfahrung mit dem Gigabyte Board aber die CPU hat auf jeden Fall mehr Leistung als der Atom vom Intel Board. Durchsatz ist fast rein CPU-based. Mit dem Atom Board bekommt man mit allen aktiven Funktionen (auch IPS) so 75-80 Mbit pro Sek Download hin. Ich denke mit dem Gigabyte Board wirst du die vollen 100-120 Mbit rausholen können.

  52. Moin Michel,

    das SSO macht mir einige Sorgen :(

    Ich befolge die 4 Schritte.

    1. Zeitzone passt
    2. Zeitunterschied < 5 Minuten passt
    3. Der UTM-Hostname ist im DNS eingetragen
    4. Die DNS-Forwarder wurden nachgetragen und sind nun auch da

    Trotzdem kommt immer beim SSO: Domänenbeitritt fehlgeschlagen. :(

    I need your help :)

    Gruß Dawid

    1. Hi Dawid,

      änder mal unter Verwaltung/Systemeinstellungen/Hostname den Namen auf “utm” und joine dann der Domäne. Danach änder wieder zurück auf “utm.firma.de” (vorheriger Wert).

  53. Moin Michel,

    ich habe es gemacht, aber leider ohne Erfolg. Er sagt mir immer noch, dass ich der Domäne nicht beitreten kann :(

    Hab erstmal die Authentifizierung über den Browser gemacht, aber da habe ich Stunk von den Mitarbeitern bekommen, dass die sich andauernd einloggen müssen. Und im Outlook laden dann auch nicht alle Mails.

    Was ist eingentlich die Clientauthentifizierung unter dem Reiter Definitionen & Benutzer?

    Gruß Dawid

      1. unter DNS -> Weiterleitungen sind die DNS-Server eingetragen. und in den Anfragerouten sind diese auch eingetragen

  54. unter DNS -> Weiterleitungen sind die DNS-Server eingetragen. und in den Anfragerouten sind diese auch eingetragen

    1. Steht etwas im DC Eventlog? Ansonsten Ticket beim Lieferanten aufmachen. Die Clientauthentifizierung ist ein installiertes Tool auf jedem PC das sich am Proxy authentifiziert. Ist aber eher unschöne Lösung.

      1. Also…..Es hat geklappt.

        1. Fehler… im DNS war folgender Eintrag in der ReversLUZ —>
        utm.firma.local.firma.local

        2. Fehler….. unter SSO habe ich die ganze Zeit firma.local eingetragen… Mein Mitarbeiter meinte man….Versuch es doch mal mit firma ohne .local

        und schwupps….geklappt…. :-/

        PS: Eventlog hatte nichts ergeben

        Danke Dir

    1. Sure it will work, but what kind of broadband connection do u have, speed is limited with that configuration to smth like 70-80 Mbits.

      1. Oh great! That was my only concern was the D2500 I only have a 20mbps so I should be fine. I plan on running the firewall,endpoint,IPS, and the antivirus. I wasn’t sure someone told me I would need an i3 for it to work smoothly.

  55. It’s great software, but endpoint security is pretty much useless. Management of endpoint security is not at the same level as the rest of the UTM. Shame.
    The UTM is great though.

    1. Yeah the management is not good, if a customer wants the Sophos Endpoint Protection we suggest the full product (windows-installed management server).

  56. Das erwähnte LC-Power 1340mi Gehäuse passt nicht für das Gigabyte GA-J1900N-D3V Rev. 1.0 Board. Die Kabel für das Front-Panel (Power, Reset, LED) sind zu kurz für die Anschlüsse auf dem Board. Anschlüsse siehe Abbildungen auf der Gigabyte Seite. Das Gigabyte Board ist zudem zickig. Bei mir bootete es konsequent in die EFI Shell. Nach einem Firmware Upgrade auf F3 war das Problem behoben. Tastatur musste ich eine mit Kabel anschließen. Bei der Kabellosen erkannte er nicht “Del” für das Booten ins BIOS, Tippen in der EFI Shell war aber möglich. Sophos UTM lies sich problemlos installieren, Performance konnte ich noch nicht ausgiebig austesten. Gefühlt ist Internet mit AV und IPS aber gewohnt schnell bei einer Kabel 32 Mbit Leitung. Kurzer Speedtest ergab auch Pi mal Daumen die volle Bandbreite. Hat jemand einen Tipp für mich bzgl. Gehäuse?

  57. Unfortunately it the J1900N-D3V doesn´t fit in the LC-Power LC-1340mi as mentioned before. The cable is too short as a result of a different position of the cable connectors of board. And due to incompability it doesn´t boot with this ac adapter, too.

    Does anyone have a recommendation of another good fitting case with an energy saving ac-adaptor?

  58. Hi,

    I’m considering purchasing the items listed above to create my own Sophos UTM network firewall. I notice you posted this back in January 2013. I’m curious to know how your experience has gone so far. Do you still use the system, and is it’s performance good? Also is it safe to leave running 24/7? I would be concerned about letting it run 24/7 as it does not contain a fan – does this ever overheat?

    thanks,

    Richard

    1. Hi Richard,

      yes It’s working perfectly! My UTM is running 24/7 the whole years withouth heat or problems. I would preffer SSD harddisk because of the lower power need and the cool temperatures.

      1. I ordered and put together all the components you recommended, including a SSD hard disk and the Intel motherboard around a week ago and I am pleased to say it is running perfectly. I am very impressed with the machine (completely silent and low power as you say), and of course Sophos UTM! I had wanted a hardware firewall for many years, but just settled with the very basic firewall built into my router. Now I have a full industrial strength hardware firewall with deep packet inspection, IPS, content filtering, dual AV scanning, web protection, country blocking and more for a very inexpensive cost.

        Thanks for your recommendations!

        regards,

        Richard

  59. Hi Michel and everybody else,

    first of all thanks for this great post. I have implemented the same hardware as described (except for a 4GB RAM DIMM and another 60 GB SSD). It is running smoothly with T-Online VDSL (50 mbit).
    I am using a Draytek Vigor 130 as a “stupid” VDSL modem. The external ASG Interface is configured for
    Type: PPPoE
    VDSL checkbox is checked.
    Also look at this article for the configuration of the Draytek Vigor 130: http://www.draytek.de/einrichtung-internet-mit-t-online.html

    Cheers Tom

  60. Hallo Michel,
    ich verfolge Deine Seite schon seit längerem. In meiner Firma haben wir bevor wir alles durch Sonicwall ersetzt haben (schade!) eine Astrao gehabt. Daher überlege ich nun für mich zu Hause eine Sophos UTM nach Deinen Empfehlungen aufzubauen.
    Bei meiner Recherche habe ich noch ein Supermicro X7SPA-HF-D510 gefunden. Kannst Du eine Aussage zur Kompatibilität machen? Finde das Board sehr pranktisch, da es 2x Gigabit LAN hat und zudem reichlich SATA Anschlüsse. So könnte ich es alternativ auch als NAS verwenden… Zudem ist es relativ günstig zu bekommen.
    Danke im Voraus, und Lob an Dich für das Blog!

    Grüße
    Sebastian

    1. Hi Sebastian,

      auf dem Board ist eine Intel Atom CPU und du hast 2x Intel Gigabit LAN, wird also komplett unterstützt! Auf eBay wollen die dafür aber 90 Euro haben, Preis ist ok, für das Board aus dem Blogbeitrag wollen die mittlerweile 100 Euro.

      Vielen Dank für dein Lob! Das lässt mich weiter Zeit und Energie in diesen Blog investieren!

      Schönen Sonntag noch!
      Michel

  61. Hallo Michel,
    erst einmal vielen Dank für deinen Super Blog. Ich bin schon eine Weile am überlegen wie sich die UTM Lösung zu Hause realisieren lässt (wenig Kosten, wenig Stromverbrauch, Sophos kompatibel, mind. 2x GBIT Anschlüsse). Nun wird es aber immer akuter da ich zu Hause den Webfilter für meine Kinder benötige! Zum Glück habe ich deine Seite gefunden!! (Das komische ist, ich schaue mir deine Seite fast täglich, zwecks Neuigkeiten bei der Sophos an und erst jetzt bin ich per Zufall auf diesen Eintrag gestossen :-) )

    Okay das wollte ich erstmal loswerden.

    Nun zum eigentlichen anliegen:

    Ist deine beschriebene Konfiguration noch immer aktuell oder gibt es mittlerweile Aktualisierungen was die Hardware angeht?

    Gruss
    Norman

    1. Hi Norman!

      Vielen Dank für das Lob! Ja habe extra diesen Beitrag oben in die Linkleiste gepackt, das ist der “heißeste” Blogeintrag hier :) ich habe jetzt den kompletten Beitrag aktualisiert. Wenn du noch Fragen hast, zöger nicht mir zu schreiben!

  62. Hallo Michel,
    du hattest mal geschrieben, dass du günstig an eine AP30 gekommen bist.
    Was heisst bei dir günstig und gibt es da noch mehr? ;-)

  63. Ich habe günstig AP30 gefunden. Würde dies mit UTM Home Edition funktionieren oder braucht es zusätzlich eine Lizenz? Danke!

  64. Wo bekommt ihr nur immer die günstigen AP30 her?? Ich würde so gerne einen kaufen, aber für das Geld =( Neeeeee…

    1. Ich musste auch sehr sehr lange suchen. Ebay musst halt immer wieder reinschauen. Ausserdem die Konfiguration war sehr sehr einfach.

      1. Es wird ab Oktober neue Sophos AP15 und AP100 geben, AP15 hat jetzt 2.4GHz mit 300 Mbit/s und kostet ca. 130 Euro, einfach mal googeln für mehr Info …

    1. Hi Norman,
      Multi SSID unterstützen alle alten und neuen Sophos APs, man kann mit der UTM auch wie bei anderen am Markt erhältlichen WLAN Controllerlösungen WLAN-Netze (SSIDs) lokal bridgen oder zentral zur UTM tunneln, also für zuhause z.B. eigenes WLAN-Netz bridgen und Gastnetz zur UTM tunneln. UTM macht bei Tunneling dafür ein virtuelles IP Interface für WLAN auf und mittels integriertem DHCP-Server sind alle Gastbenutzer in einem eigenen IP-Netz ohne daß man zusätzlich VLAN fähige Switches benötigt.

  65. Hallo Markus,

    vielen Dank für die Info. Habe nur Erfahrung mit der AP30 und dort fand ich das “Feature” sehr hilfreich. Super das dieses auch bei den günstigeren Modellen funktioniert.
    Hoffe das die Reichweite von der AP15 auch ungefähr so gut ist wie die von der AP30.

    Schöne Woche
    Gruss Norman

  66. Hallo Michel,

    habe ebenfalls Deine vorgeschlagene Hardware (Gigabyte Board, Kingston SSD, PicoPSU-90) verwendet. Problem bei mir ist, dass das Board kurz angeht, ein paar Sekunden wohl anbleibt und dann ist Ende. Keine Videoausgabe. Höre ein kurzes klicken scheint wohl die PicoPSU zu sein. Tippe auf diese auch, dass die einen Schlag hat, oder ist das üblich? Kenne die Hardware halt leider nicht und wäre um Tipps dankbar.

    1. Entweder Board aber es kann auch das Netzteil sein, halt das mal fest gedrückt, geht es dann wieder aus? Eventuell ist der Stecker defekt oder es kommt zu wenig Power.

  67. Hallo Michel und liebe follower :)

    Ich habe zu Hause ein Sophos UTM standalone und habe kürzlich ein ESX server mit Sophos zusätzlich aufgesetzt den 2. auf ESX möchte ich eigentlich als High Availability einrichten. Jedoch kann ich da beim Master (Standalone) nur AP auswählen und keine Netzwerkkarte. Kann mir da jemand weiterhelfen?

    Vielen Dank
    Ediz

    1. Hi Ediz,

      was genau meinst du mit AP? Also der ESX muss ja drei Schnittstellen haben (LAN, WAN, HA). Wenn die Geräte miteinander reden sollen, müssen die HA Verbunde mit Jumbo Frames kommunizieren. Das heißt dein ESX Netzwerkport und der Switch dazwischen (wenn du dafür eins einsetzen willst) müssen auf Jumbo Frames konfiguriert sein + getrenntes VLAN. Direktverkabelung ist besser.

  68. do you still use the same build?
    Has this been update at all?
    would it work with the newest version of utm?
    I see alot of people talking about i3 or i5 now

  69. Hallo,
    welche Hardware soll man aktuell verwenden? Das oben angebene Board ist ja nicht mehr Lieferbar.

    1. Hi Andreas,

      im Blog Eintrag hatte ich ja unter “Alternative Components” was neues gepostet. Ist von einem User hier zusammengestellt.

  70. Kann man die Sophos Home Edition Lizenz auch auf einer alten Astaro Hardware benutzen ?
    Hat das jemand mal versucht ?

      1. Ja ich habe es auch auf einer ASG120 zu Hause am laufen :) hab IPS Signaturen auf < 12 Monate und "Dateimuster bezogene IPS Regeln" unter erweitert ausgestellt und kann easy 50Mbit voll ausreizen. Will bald auf 100 MBit unitymedia gehen und werde es dann testen

        1. Also am UM 200MBit Anschluss macht der J1900 mit FW+IPS(all)+ATP knapp 50 MBit/s. Wenn man die IPS komplett deaktiviert erreicht man zwischen 180-200 MBit. Mit IPS >12 schwankt es so zwischen 70-120MBit.
          Daher bin ich auf der Suche nach einer mini-ITX Alternative, die mehr Power hat.

  71. Hallo Michael,

    danke für die vielen nützlichen Infos in deinem Blog. Ich verwende seit einem halben Jahr folgende Hardware und bin bis jetzt eigentlich zufrieden.

    Jetway JBC373F38-525-B (4x LAN)
    2GB Ram Nanya
    32 GB CF-Card Transcend
    Preis ca. 260€

    Erweiterbar wäre das Board noch mit weitere 4 Netzwerkschnittstellen über zwei Mini PCI-E Dual NICs für jeweils ca. 75€

    Board läuft stabil mit 45° CPU, das komplett verschlossene Gehäuse dient gleichzeitig als Kühlkörper und ist immer 41° handwarm. Alles lüfterlos und geräuschlos, nur freudiges blinken der Netzwerkschnittstellen :) Die CPU langweilt sich im Normalfall nur, auch bei viel Betrieb über meine beiden DSL-Anschlüsse. Einziger Nachteil an dem Board ist das RAM Maximum von 2 GB. Ohne Webfilter ist die Auslastung bei 41%, mit Filter bei 81%, Intrusion Prevention läuft auch mit. Für den Heimgebraucht reicht es denk ich.

    Da mir die Hardware von Sophos zu teuer war, verwende ich als WLAN einen TP-Link WR841ND mit operwrt Firmware. der AP ist über eine Schnittstelle der FW angebunden, die verschiedenen WLAN Netze (Intern, Gäste…) werden in einem separaten VLAN zur FW geschickt. Dort werden sie von virtuellen Interfaces übernommen und entsprechend weiterverarbeitet. Ebenso gibt es ein VLAN für Management des AP. Die Lösung kostet nur 20€ und bietet einiges dafür. Ist zwar nicht in die UTM integriert wie, aber die openwrt Oberfläche Luci lässt für mich keine Wünsche offen.

    Viele Grüße
    Markus

    1. Hi Markus,

      cool ich kannte die Hardware noch gar nicht und die bietet ja viele Netzwerkschnittstellen. Die CPU ist glaube die gleiche wie bei dem Intel Board. Hab mal getestet, mit aktiviertem IPS kann ich 50Mbit nutzen, erst wenn ich IPS ausmache nutze ich volle 100 MBit mit meiner Unitymedia Leitung, muss noch gucken ob ich das irgendwie ausgeklammert bekomme dass man z.B. bei Download von bestimmten Hostern nicht vom IPS berücksichtigt wird.

    2. Soweit ich das sehen kann, gibt es von genau diesem Setup ein neueres Mainboard mit Support für 4 GB RAM. Leider gibt es das Produkt bei Amazon nicht in DE.
      Das wäre ja dann eigentlich ideal oder täusche ich mich da?

      Grüßle
      Oliver

        1. Ich habe kürzlich einen AP50 ergattern können, und hadere gerade mit den beiden Optionen für die eigentliche Hardware der UTM:

          Entweder die “Eigenbau” Variante von oben oder
          Jetway JBC373F38-525-B (4x LAN) mit allerdings 4 GB RAM.

          Preislich sehr ähnlich, zumal es bei dem Jetway die Möglichkeit gibt über Erweiterungs-Slots weiter NICs in das Gerät zu flanschen (4x LAN wäre das zusätzlich), also in Summe 8x LAN Ports bei selber Gehäuse-Größe.

          Grüßle
          Oliver

        2. Moin Michel,

          ich habe nun die Hardware vorliegen (Jetway JBC373F38-525-B mit 4x LAN, 4 GB RAM) und einmal eine Basisinstallation inkl. aktiviertem Sophos AP50 aufgebaut. Es läuft im Grunde noch nichts außer der WLAN-Geschichte, weder Clients noch sonst irgendwas.
          Leider ist es bei mir, im Gegensatz zu Markus, so, dass sich die UTM vermutlich wg. Überhitzung abschaltet.
          Ich habe zwar noch nicht das BIOS bzgl. Thermal-Konfiguration gecheckt – vermute aber, dass wie üblich hier irgendetwas um die 60 Grad für die CPU angegeben ist.
          Lasse ich den unteren Gehäuse-Deckel offen bleibt die UTM an.
          Zur Funktion an sich kann ich nichts negatives berichten. Alle Geräte, Schnittstellen usw. werden sauber erkannt.
          Ob die “Überhitzung” jetzt tatsächlich nur im Sommer auftritt oder grundsätzlich kann ich momentan schwer sagen. Ich denke hier über “Add-On” HeatPipes nach, die ich einfach an die flache Gehäuse-Seite anflansche.

          Sobald das Hitze-Problem im Griff ist, berichte ich weiter.
          Stromverbrauch liegt übrigens bei 15-17 Watt. (Ohne Access-Point)

          1. Hi Oliver,

            ok das hört sich krass an, guck mal im Bios nach der Temperatur. Ansonsten einen leisen Lüfter verbauen der die warme Abluft herausbefördert.

  72. Hi Michel,

    ich habe genau deine Konfig am laufen und habe folgende Frage:

    Wie bekomme ich etwas performance aus der Kiste herraus. Fahre den Bridged Mode und muss sagen das mir von meinen 16 mbit (11 kommen an der fritzbox an) nur 8 hinter der UTM erhalten bleiben. Hast du hier ein paar tuning tipps?

    Gruß
    Gismo

    1. Mach mal einen FTP Download hinter der UTM und an der Fritzbox direkt ftp://cdimage.debian.org/debian-cd/7.8.0/amd64/iso-cd/debian-7.8.0-amd64-netinst.iso danach noch ein Speedtest über http://www.speedtest.net wie sehen da die Werte aus? Bridge-Modus kostet etwas aber nicht so viel Performance.

      Auch kannst du mal die UTM als Single Gerät ins LAN hängen (nicht als Bridge). Also Bridge auflösen, 1 IP an eth0 mit der Fritzbox als Gateway, dann mal im Browser als Proxy die UTM eintragen und noch mal die Tests machen. Dann vergleichen wir und gucken weiter. Der Test dient einfach dazu um zu schauen ob der Bridge-Modus diese massiven Probleme verursacht.

      1. Hi Michel,

        ok, dass hat mich jetzt total verwirrt. Ich habe sowohl hinter der Fritzbox als auch hinter der UTM 8 MBit, sowohl mit Lan Kabel als auch mit WLAN. Das gleiche bei den Download Raten 1,1 Mbit FTP Download auch hinter der Fritzbox und der UTM auch WLAN/LAN. Die Fritzbox sagt mir in der GUI aber, dass 11 Mbit ankommen. Auch schon schlapp für ne 16ner Leitung. Ich glaube ich muss wohl eher an der Fritzbox was basteln als an der UTM. Danke aber schonmal für deinen Tipp.

    1. Hi Chris,

      der TRIM Befehl ist bereits aktiviert ab der Installation. Die neue SG Hardware hat ja auch ab einem bestimmten Model SSDs bei sich.

  73. Hi Michel,

    Sophos hat ja nun die SG 1xxw vorgestellt mit integriertem WLAN. Ich habe mich schon gefragt, ob es wohl möglich ist in dem Eigenbausetup eine WLAN Karte (mit oder ohne Antenne ist ja mal egal) zu integrieren und das dann so zu nutzen, wie bei den neuen Modellen. Hast du da Erfahrungen sammeln können? Hat jemand das mal so geschafft?

    Grüße Patrick

    1. Hi Patrick,

      bisher noch keine Erfahrung. Die Frage ist ob man das Netzwerkmodul bekommt das dort verbaut ist. Reingucken ist schlecht, weil man dann das Garantiesiegel bricht :/

      hast du mal bei astaro.org im Forum gefragt? Vielleicht verrät das ja ein Entwickler.

  74. Moin,
    vielen dank für die konfig. habe mir sie wie oben angegeben bestellt. einziger unterschied, habe für 10€ mehr eine 128gb ssd genommen. verbrauch liegt bei 20 watt. 50mbit vdsl, ips on, erzeugt genau 37% cpu auslastung. kann sich jeder selber ausrechnen wieviel maximal geht.

  75. Hi Michel,

    ich habe meine Astaro einmal zurückgesetzt. Wollte alles noch einmal von vorn einrichten. Habe folgende Konstellation im Einsatz:

    WAN -> Fritz.box (mit dhcp) -> Astaro im bridged modus -> Lan und WLAN Clients

    Leider bekomme ich das DHCP nicht ans laufen. Die Clients bekommen die IP´s nicht von der Fritz Box.
    Vergebe ich eine fixe IP am Client läuft alles sofort.

    Kannst du mir nochmal einen Tipp geben was ich vergessen habe?

    Achja: DHCP Relay ist aktiviert. Hilft nur leider nicht

    Gruß
    Gismo

    1. Hi,
      hat sich erledigt. Ich habe das DHCP Relay aktiviert und ein Portforwarding für DHCP eingerichtet.
      Jetzt läufts
      Gruß

  76. Hi
    ich würde mir auch gerne einstromsparendes system und wichtig lüfterlos bzw leise bauen.
    Deine hardware gefällt mir
    ich hab aktuell ne UTM 220 getestet und war erschrocken wie laut und wie viel strom die frisst.
    Hab da aber ein problem
    ich möchte folgendes realisieren
    Beispiel
    Fritzbox 7490 (192.168.50.1) DHCP Modus
    Linksys E1200 (192.168.51.1) DD WRT mit Hide.me
    UTM internal schnittstelle (192.168.50.2 192.168.50.0/24)
    also 3 netzwerkschnittsteleln ist ja mit ner PCI karte möglich
    hab ich alles eingerichtet und getestet
    ABER sobald die internal schnittstelle den selben IP bereich hat wie die Fritzbox
    dann komm ich ums verrecken nicht mehr auf die Fritzbox hinter der Firewall also auf die 192.168.50.1
    wenn ich der fritzbox ein anderes netz gebe (192.168.52.1) dann klappt das.
    Warum ich das selbe netz brauche
    ganz einfach
    Ich hab 15 Steuerbare steckdosen und 3 Powerline Fritz mit LAN/WLAN im haus
    zusätzlich noch ein Fritzbox 7490 als Switch und DECT basis
    Die kennen sich nun alle im Netz. Gleichen die smarthome funktionen ab, so das ich auf jeder Fritzbox die Smarthome geräte sehe.
    Mit der App steuer ich die erste Fritzbox 192.168.50.1 von aussen. Wenn sie aber ein anderes netz haben als die Powerline Adapter mit Steuerungsfunktion, dann sehe ich die nicht mehr. Das ist doof.
    Dazu kommt, das ich unter netzwerk auf der ersten Fritzbox 192.168.50.1 nicht mehr alle Geräte (Rechner) im Netzwerk sehe. Das brauche ich aber damit ich sie übers internet Aufwachen kann (WOL).
    Das ist mein Problem.
    Kann mir da jemand helfen?
    geht es nicht wenn die Fritzbox 192.168.50.1 und die UTM Intern 192.168.50.0/24 das selbe netzwerk haben?
    oder hab ich irgendwo einen Denkfehler.

    Ich hoffe mir kann jemand helfen.

  77. Hi,

    ich habe folgenden Aufbau

    FritzBox => Sophos UTM (Hyper-V) => Switch => Clients

    Nun hab eich folgendes Problem ich habe einen Canon Drucker den ich leider nur per WLAN anbinden kann.
    Dieser bekommt seine IP von der FritzBox und kann deswegen nicht von den Clients gesehen werden.
    Kann ich den irgenwie ins Netz der UTM kriegen ohne einen zusätzlichen AP einzubauen?

  78. das alte problem….dein drucker ist für die UTM quasi “extern” mit viel gebastel und rum-konfigurei bekommt man das sicherlich hin. mein rat: kauf dir einen AP und gut ist. kostet doch nicht die welt und dann läuft alles sauber. habe ich genauso gemacht. habe die gleiche konfiguration wie du. habe mich jedoch aus verscheidenen gründen dazu entschlossen die UTM nicht virtuell zu betreiben.

    1. Hi Christoph,
      danke für die Antwort. Da der AP frühestens übernächsten Monat drin sein wird, weil andere Finanzierungen Vorrang haben werden, müsste ich als Übergang tatsächlich erstmal rumbasteln, hast Du eine Idee wie man da anfängt. Ich hatte es mit einer statischen Route für das WLAN-Netzsegment versucht, aber aus einem bisher noch nicht gefundenen Grund sagt die Fritz.Box immer es sei keine gültige Konfiguration.

      Vielen Dank im Voraus.

      1. Hi Rayki,

        das wirst du so nicht hinbekommen, du musst halt im “internen” Netz der UTM landen, also leider mit einem zusätzlichen Access Point.

  79. An alle die sich den zus. AP sparen wollen!
    Ich habe das alles seit 2 Jahren erfolgreich komplett mit einem einzigen IP-Netz 192.168.100.x
    laufen.
    DSL->FritzBox 7490->Sophos UTM (ursprüngliche Bauanleitung Dual Atom Board).
    Alle Clients hängen per LAN oder WLAN an der 7490.
    UTM hängt mit einem LAN Port an der 7490 und ist auf 7490 als exposed host eingtragen.
    UTM macht DHCP und ist default gateway 192.168.100.254 für alle Clients.
    Default route UTM zeigt auf 7490 (192.168.100.1).
    UTM macht Masquerading für alle 192.168.100.x Client Adressen auf 192.168.100.254
    um asymmetrisches Routing zu vermeiden, ansonsten würden Pakete aus dem Internet zu den
    Clients eingehend nicht über die UTM laufen.
    Ist zwar netzwerktechnisch keine optimale Lösung funktioniert aber bisher problemlos,
    performancetechnisch sehe ich keine Einbußen bzgl. meines 50MBit VDSL-Anschlusses

  80. Die Lösung funktioniert – ja. Sicher ist sie nicht. Wenn jemand deine Fritzbox knackt. Befindet er sich gleich in deinem LAN. Ich persönlich finde es sehr viel angenehmer eine firewall zu haben durch welche tatsächlich (physikalisch d.h. ein Kabel geht rein (wan) , ein Kabel geht raus (LAN)) der komplette Traffic läuft. Man, ein AP kostet dorch wirklich nicht viel Geld und wer schon 250€ für die selbstgebaut Kiste oben ausgegeben hat wird wohl auch noch nen fuffie mehr haben. Ansonsten kann man sich das alles gleich sparen.

  81. Du hat natürlich Recht, habe mir auch schon den Sophos AP55/55C (AC-Wlan) angeschaut , kostet aber leider noch ca. 330 Euro, AP15 (11n-Wlan) ca. 150 Euro Internetpreis. Wer günstigere Quellen (abgesehen von ebay) kennt möge sich bitte melden….

  82. du brauchst kein sophos ap. oder hast du zuhause ein hotel oder gibst deinen freunden nur voucher um ins netz zu gehen hehe. es gibt genug anleitungen womit man selbst das hinbekommt. abgesehen davon sollen die sophos AP’s alles andere als gut sein.

    1. Also ich für meinen Teil habe durch Zufall bei Amazon einen AP15 gefunden für rund 90 €. Dieser funktioniert mit meiner UTM wunderbar und stabil. Für den Heimgebrauch reicht das völlig. Wer größere Umgebungen daheim anbieten will braucht meiner Meinung nach nen Bintec Router als WLAN Controller und Hotspot Gateway und dazu eben noch nen W1xxx als AP.

  83. Erstmal Danke für diesen Artikel, welcher mich dazu bewogen hat, mir einen eigene Home-Security-Appliance zu bauen. Geschäftlich habe ich viel mit den Sophos Appliances zu tun. Zuhause rödelt eine ältere ASG-120, welche mit der 100MBit-Leitung nicht mehr klar kommt. Das IPS bremst bei etwa 60 MBit.

    Bei Leitungen um die 100MBit reicht ein Celeron gerade mal, ohne dass das IPS und andere Services ausbremsen. Soll das Gerät zukunftsicher sein, wird wohl ein günstiger Low-Power (26 Watt) Pentium oder i3 die richtige Wahl sein. Ich habe mich für das Asus Board H81L plus entschieden. Das Board hat zwar nur einen LAN-Anschluss, Boards mit anderen Chipsets bieten 2 LAN-Anschlüsse. Ich kaufe mir für wenig Geld eine PCI-E Netzwerkkarte mit 4 Ports von Intel, welche gebraucht bei meinem Gebraucht-Händler für 50 Euro zu haben ist. Mich kostet das komplette Gerät knapp 500 Euro, inklusive extrem schicken Alu-Case.

    Was meint Ihr dazu? Ich berichte gerne weiter, wenn das Gerät am Leben ist.

    1. Aber i3? Reicht das wirklich? Sag mal bescheid ob du deine 100MBit Leitung mit IPS voll nutzen kannst. Ich habe auch eine ASG120 und die schafft 100MBit mit deaktiviertem IPS :-/

      CPU ist hier sehr wichtig.

  84. ich hatte auch erst drüber nachgedacht etwas mit mehr wums zu bauen….aaaaaber….ich habe 50mbit vdsl. die nächsten 2 jahre auf jeden fall dran gebunden. falls ich dann in 2 jahren wirklich was Schnellers bekommen sollte…naja…dann bau ich mir eine neue firewall :) gibt dann sicherlich doppelt so gute teile etc.. die “alte” wirst du dann schon irgendwie los :)

  85. Gemäss der UTM 9.3 Sizing Guide sollte ein i3-Prozessor reichen. Die SG310 ist ja damit ausgerüstet und die schafft *brutto* ein Mehrfaches. Aber i3 ist nicht i3. Vielleicht sollte man anstelle der schwächeren Low-Power-Version die normale Version nehmen, die hat ein wenig mehr wums. Allerdings sind wir dann im 50 Watt-Bereich.

    Es stellt sich die Frage, wie ernst man eigentlich den IPS-Durchsatz nehmen soll. Nehmen wir mal an, dass die ganze Familie am PC sitzt und irgendwas macht. Da werden Youtube-Filmchen geschaut, gesurft und vielleicht mal was heruntergeladen. Die zur Verfügung stehende Bandbreite wird nicht im Ansatz genutzt und der Firewall ist voll im Relax-Modus. Lade ich bei Microsoft ein ISO-Image herunter, kann zu meinem Erstaunen voll mit gut 80MBit heruntergeladen werden und die IPS bremst aus. Nun ja, dass mache ich aber nicht jeden Tag. Sprich: Die üblichen Performance-Tests wiederspiegeln nicht unbedingt die Realität, vorallem nicht in einem kleinen Netz mit ein paar Geräten.

  86. Hi Michel

    Would you say that GA-J1900N-D3V, can handle an Internet connection at 100/100mbit, with all features enabled at Sophos UTM 9.3 ?

    Considering buying the Gigabyte GA-J1900N-D3V motherboard, and a Antec ISK110 Case with built in power supply.

    Sophos UTM 9.3 will replace my Cisco ASA 5505th I hope therefore that the motherboard is just as fast as my current setup, or even faster.

    Do you still use GA-J1900N-D3V?

    And thanks for a great blog.

    Best Regards
    Martin, from DK.

  87. Hat jemand mit der folgenden Kombination Erfahrungen?
    – 2 Internetanschlüsse mit jeweils eigenem Router
    – dahinter eine Home UTM mit 4 NICs
    – 2 interne Netze

    Was würde sich hier als Hardware empfehlen, besonders in Hinblick auf die 4 NICs? Die Internetanschlüsse und internen Netze sind schon vorhanden, ich würde aber gerne 1 Sophos statt zwei einsetzen.

      1. 200MBit ist schon heftig. Wenn IPS und/oder andere Dienste auch bei Vollgas ohne Bremse nutzen willst, dann solltest Du wohl die gröberen Geschütze auffahren und auf Minimum einen Core I7 setzen.

        1. Naja Vollgas wird man ohnehin bei den meisten Seiten nie erreichen, für gezielte größere Aktionen kann man ja deaktivieren…

          Hab mich jetzt hardwaretechnisch einige Zeit umgeschaut und bin bei folgendem hängen geblieben. Einzig das Board ist mir noch ein wenig teuer.
          – ASROCK J1900D2Y (2 x Intel i210, 1 Management Port, 1 PCIe x1)
          – 2x 4GB RAM
          – HP 332T Dual LAN Adapter low profile (Broadcom BCM5720)
          – Chieftec FI-01W
          – Samsung 850 EVO 120GB

          Es hat nicht zufälligerweise jemand Erfahrung mit einem der NIC-Chipsets und der UTM, oder?

  88. Hello,

    If you were to build a new system for Sophos UTM today, would you still prefer this motherboard ? Reading the forums my mind is mixed up with the “go with Intel NICs and never use Realtek NICs” comments from people…

    I would greatly appreciate any help on picking the right mini itx motherboard for this project…

    Thanks.

  89. ich habe dieses board mit allem wie oben angegeben gekauft und bin begeistert. klaro der celeron kommt an seine grenzen wenn man alles aktviert. (IDS, Nmap etc.) habe 200mbit und benutze das ding ohne IDS und allem und komme immer noch auf ca. 216mbit. wenn ich alles aktiviere dann nur noch 160-170. auf jeden fall hat diese ausstattung meine apu abgelöst. da ich nicht alle features von sophos brauche bin ich wieder zu pfsense bzw. aktuell openbsd gewechselt weil ich ein grosser fan der pf von bsd bin.

    1. Erstaunlich, dass der Celeron das schafft. Da stellt sich die Frage, ob ein i3 doch nicht zuviel des Guten ist. Abgesehen davon, kostet die Celeron-Variante einiges weniger.

  90. Hallo Martin,

    ja, da gebe ich Dir recht. Aber ich denke wenn Du wirklich alles von der Sophos UTM benutzen willst dann muss es doch ein i3 oder i5 sein. Bin froh das ich auf diese Seite gestossen bin. Vielen Dank und herzliche Grüße an Michel dafür. ;-)
    Denn ich habe mir einen Wolf gesucht um die optimale Lösung zu finden.

    Klaro wäre eine Soekris oder was auch immer mit Intel Karten besser. (bin kein Fan der Realtek NICS) aber diese Lösungen kosten weitaus mehr.

    1. Vielen Dank fürs Lob :) ja du hast Recht, höher geht es immer aber wir reden hier von einer Home Firewall und da will man erstes wenig Geld ausgeben und auch geringen Stromverbrauch haben.

  91. achso, wen es interessiert eine APU1D4 mit Sophos zu verwenden. Ja es funktioniert mit der Sophos Hardware Appliance. Aber, die APU schaft ohne alles die 200mbit aber mit IDS, etc. nur noch 50-60 und man muss ne blind installation machen. Erreichbar ist das WEBIF dann über die 192.168.0.1:4444 meine ich in Erinnerung zu haben.

  92. mal ne frage an dich Michel. Bin wieder zurück zu Sophos (finde die irgendwie genial) aber eine Sache wurmt mich. ;-)

    Wenn ich den Transparent Proxy aktiviere sagen alle Proxy tests das ich keinen Proxy hätte. Ist das bei Sophos so? oder mache ich was falsch? Habe nur internal Network eingetragen und transparent aktiviert.

    Vielen Dank für die Antwort

    1. Hi Thomas,

      meinst du online Proxy Tests? Die schauen nur von welcher IP du kommst und ob das ein bekannter Proxy bist. Der Proxy ist unsichtbar für Quelle und Ziel, der Proxy “schnappt” sich die Pakete und baut initial eine neue Verbindung auf, scannt und prüft die Daten.

  93. Hi @ All !

    Erst einmal großes Lob und ein großes Dankeschön an den Betreiber dieses Blogs, THX !

    Meine Frage: habe eine SG115w mit aktueller 9.3er Firmware. Neben der primären WAN-Schnittstelle (ADSL) möchte ich aus Fallback und Performancegründen ein LTE USB Modem über den Uplink-Ausgleich betreiben.

    Vorhanden ist ein HUAWEI E3276 USB LTE Stick, der laut Sophos Forum von einem User, zum. min einem RED-Device als kompatibel beschrieben wurde.

    Problem bei mir ist, dass der Stick nach einem Reboot zwar in der Box unter Hardware angezeigt wird, allerdings als “eth4-Interface”!?

    Wenn ich ihn als neue Schnittstelle anlegen will kann ich ihn als Hardware nicht unter der Schnittstellenart “3G/UMTS” auswählen. Unter Schnittstellenart “Ethernet” könnte ich ihn unter “Hardware” auswählen.

    Das bringt mir aber nichts, da ich bei dieser Art keine Optionen wie AP oder Username/Passwort konfigurieren kann! :-(

    Irgendwelche Ideen oder eine geprüfte Hardwareempfehlung (USB LTE Stick) der mit einer SG115w und aktueller Firmware funktioniert?

    Schon mal tausend Dank im Voraus! :-)

  94. Nabend, bist du mit der Performance der CPU zufrieden oder stößt du an Grenzen? Das gleiche wäre beim RAM die Frage?

    Grüße aus Hamburg

    1. Performance ist gut, 2GB RAM reichen mir vollkommen, bei hohen Geschwindigkeiten in der Bandbreite geht die CPU hoch. Wenn man viele interne Systeme hat kannst du ruhig 4GB nehmen.

  95. Hallo,

    bin auf den Blog gestoßen. Sehr schön. Manche Kommentare hier haben mir sehr geholfen. Kompliment an Michel !! Danke für die Zeit und das Know-How.

    Habe bei mir Zuhause auch endlich eine Sophos am Laufen – unter Hyper-V als VM.
    Leider kann ich die Sophos nicht richtig für mein IPTV von der Telekom nutzen. Der Telekom Receiver bekommt zwar die richtige Zeit jedoch kein Bild (bleibt grau). Any – Any – Any regel !
    Habe gelesen, dass es mit pfsense und VLAN funktionieren würde. Das können allerdings meine Switches nicht. Gibt es da Erfahrungen ? Derzeit nutze ich es so -> firtzbox -> dahinter direkt die Telekom IPTV Receiver. In der Fritzbox extended host -> Sophos IP eingetragen und dahinter sehen meine windows Clients.

    Hoffe ich habe mich nicht zu doof auzsgedrückt.

    Danke im Vorraus :)

  96. Hi Niclas,

    ja so einfach ist es dann nicht bei einem T-Home Entertainanschluss. Ein Kollege von mir hat es hinbekommen. Er musste aber ein Switch haben der IGMP unterstützt und er musste ein oder zwei Pakete in der UTM nachinstallieren, damit der interne IGMP Proxy Internet auf VLAN 7 tagged und Entertain auf VLAN 8. Er kann jetzt mit seinem iPhone und VLC Media Player direkt TV abgreifen :) Guck mal im Forum wegen der zu installierenden Pakete. Die Fritzbox wirst du aber sozusagen “verlieren” denn dort muss ein Draytek VDSL Modem (als Beispiel) platziert werden, damit die UTM die Einwahl macht und dann die VLANs tagged.

  97. Unser ISP erhöht die Bandbreite auf Anfangs Dezember auf 150 MBit downstream und 40 MBit upstream. Nun komme ich tatsächlich “unter Druck”, da meine alte ASG 120 das nicht mehr bewältigen kann.

    Soeben habe ich die Hardware für das neue Gerät bestellt:
    – Motherboard Asus H81l-Plus
    – Intel i3-4170
    – Kingston DDR3 16 GB RAM
    – Kingston SSD 120 GB Hyper X Fury

    Das ganze kommt in ein knallrotes Gehäuse: Das Rainjintek Metis.

    Das Gerät wird nicht in eine dunkle Ecke verstaut, sondern darf sich präsentieren. Die Hardware wird wohl ein wenig überdimensioniert sein, aber das ist okay so.

  98. Hallo Ich habe mir gestern meine eigene Sophos UTM Home endlich installiert, nachdem ich die Hardware erhalten habe.

    Ich habe die neuste Version 9.351-3.1 installiert und hatte keine Probleme.
    Die Firewall läuft super und ich hab ne riesen Freude damit.

    Was bei mir nicht funktioniert sind die Graphen (z.B. Network Usage oder Hardware) dort wird nichts angezeigt obwohl es geloggt wird. Ich habe im Internet schon gesucht jedoch leider nichts wirklich hilfreiches gefunden.

    Vielleicht kennt ihr das Problem und könnt mir weiterhelfen.

    Danke & Gruss

    1. Hi Tobi,

      meistens ist hier das Problem der Uhrzeit (Installationsuhrzeit vom BIOS und nachträgliche Korrektur durch NTP Server). Logg dich mal mit Putty ein (erst loginuser) dann “su -” und Eingabe des root Kennwortes. Mach dann folgendes:

      cd /var/log/reporting/images
      rm *.png
      cd /
      /usr/local/bin/create_rrd_graphs.plx ( oder einfach 5 Minuten warten bis diese automatisch angelegt werden .. )

      falls das nicht funktioniert:

      /etc/init.d/ulogd stop
      /etc/init.d/syslogng stop
      /etc/init.d/postgresql stop
      mv /var/log/reporting/pgsql/16* /home/login
      /etc/init.d/postgresql start
      /var/storage/pgsql/init/reporting_db_init.sh
      /etc/init.d/syslogng start
      /etc/init.d/ulogd start

      sag mal Bescheid ob das geklappt hat

          1. Super danke! Das war die Lösung nun funktionierts Einwandfrei.
            Jetzt habe ich noch ne andere Frage und zwar wie ich habe die Lizenz eingespielt und wenn ich auf Licensing gehe sehe ich dass alles im Sept. 2017 ausläuft, was passiert dann? Muss ich dann über das Lizenportal eine neu Lizenz erstellen?

  99. Hallo Zusammen,

    ich habe gestern die Bestellung zum vorgeschlagenen System aufgegeben und wenn alles gut läuft hab ich alles um zwischen den Tagen loszulegen.
    Zu Hause habe ich den Telekom Speedport W723V an einem VDSL 50 Anschluß mit IP Telefonie.
    Meiner Meinung nach müsste es dann so gehen, dass die SOPHOS einfach nur zwischen Speedport und Switch an dem alle Clients und ein Access-Point hängt eingeschleift werden muss.
    Die SOPHOS bekommt dann eine IP vom Speedport bei dem das WLAN ausgeschaltet ist und DHCP DNS und GATEWAY für die Clients spielt die SOPHOS. Korrekt?
    Momentan verbinde ich mich noch per VPN auf mein QNAP NAS, dass wird dann wohl die SOPHOS übernehmen und PORTFORWARDING an den FTP Server auf meinem NAS ist ja auch kein Problem.
    Wie ist das dann mit der IP Telefonie? Bleibt der Speedport dann einfach die DECT Station?
    Muss ich auf sonst noch was achten? Doppeltes NAT usw…???

    Fragen über Fragen, aber ich freue mich schon sehr auf die SOPHOS.
    Wir haben in der Firma zwei SG 330 mit HA und ich find die einfach super.

    Vielen Dank für Eure Antworten.

    Tobias

  100. Hi Tobi,

    einfachster Weg wäre es das Telefon am Speedport zu lassen, WLAN dort zu deaktivieren und dann die UTM anzuschließen:

    Internet <- Speedport Router <- Sophos UTM <- Dein internes LAN auf dem Speedport kannst du dann 1:1 NAT machen (Exposed Host). Hast du T-Entertain? das man direkt mit der Sophos UTM eine PPPoE Verbindung bei VDSL aufbaut funktioniert nicht ganz trivial, mein Kollege hat das geschafft (Draytek VDSL Modem, IGMP Proxy, IGMP auf Switch, VLAN Tagging auf der UTM). Ich werde mal mit ihm eine Anleitung schreiben und das hier veröffentlichen.

  101. Inzwischen habe ich mein Home-UTM am Laufen. 150 Mbit/s ist mit allen eingeschalteten Diensten überhaupt kein Problem. Dem Core i3 (3.7 GHz) ist es todlangweilig. Beim Download einer 4GB-Datei mit 155 Mbit/s lastet das die CPU gerade mal zu 4 Prozent aus. Auch die gängigen Speedtest-Seiten lassen die CPU kalt. Ich habe jene parallele Downloads gemacht: Viele grosse Dateien, zehntausende kleine Dateien. Kein Problem für das Gerät und immer mit dem vollen Speed unterwegs.

    Interessant ist der Stromverbrauch: Bei normaler Nutzung verbraucht das Gerät so um die 30 Watt. Muss der Prozessor mehr arbeiten, geht der Leistungsverbrauch auf knapp 40 Watt hoch.

    Schade sind hier keine Bilder möglich. Auf Twitter könnt Ihr das Gerät anschauen.

  102. Hi Michel,

    Ja, gut 30 Watt. Mit den Notebook-Editions der Prozessoren könnte der Verbrauch gesenkt werden. Das Problem ist auch, dass noch nicht genug Mini-ITX-Motherboards für die neue Generation 6 der Intel-Prozessoren verfügbar sind. Die i3-CPU’s der sechsten Generation wären dann im Bereich von 15 Watt.

    Für mich ist es okay. Unser 3-Personen-High-Tech-Haushalt verbraucht derart Energie, dass plus 30 Watt (Minus die 5-10 Watt der alten ASG-110) keine Rolle spielen. Um ernsthaft Strom zu sparen, müsste ich andere IT-Geräte ersetzen ;-)

  103. Frage, hat schon jemand mit dem Cisco EPC3212 Modem getestet?
    Ich habe seit heute eine Unitymedia Business Leitung und hier wurde das Modem getauscht.
    Bei der alten UnityMedia Leitung hatte ich 50mbit und die gingen Problemlos durch.
    Neues Modem, 150Mbit Leitung und ich bekomme nur noch ca 25Mbit durch.

    Wenn ich den Laptop direkt ans Modem klemme kommen die 150 Mbit durch.

    Habt Ihr eine Idee?

    1. Hi Xandie,

      ja das Modem hatte ich auch und es ging ohne Probleme. Evtl. gibts Probleme mit mit Speed und Duplex? Was sagt ifconfig ethX (deine WAN-Interface Schnittstelle)? Gibt es errors? Mach mal evtl. IPS aus und teste erneut.

  104. Hallo Michel,

    erst mal DANKE für deine aufschlussreiche Internetseite.

    Ich habe jetzt auch eine Sophos UTM in der Home Edition zu laufen. Mit der XG komme ich (noch) nicht so gut klar. Mit der Performance (Jetway Fanless System, Atom CPU, 4GB RAM, SATA HDD) bin ich zufrieden. Ich kenne die Sophos auch aus einigen Business-Umgebungen.

    Zu Hause habe ich aber ein “Zugriffsproblem”-

    Meine Konstellation:

    Internet -> ADSL-Modem -> UTM –> LAN

    Im Netzwerk habe ich auch noch die Fritz!Box im Client-Mode zu laufen, da darüber meine Telefonie funktioniert. Weiterhin habe ich auch noch 2 NAS-Systeme und mehrer Familien-Rechner.

    Nach der Umstellung auf die UTM komme ich nicht auf die Netzwerkfreigabe der NAS-Systeme.
    Die Namen (keine interne Domäne, nur eine Workgroup-Netzwerk) kann ich auch nicht auflösen. Weder von den NAS Systemen (fixe IP) noch von den Rechnern (DHCP von der UTM).

    Was habe ich vergessen?

    Danke und Gruß

    1. Hi Mirko,

      aber die NAS Systeme und du seid doch im “LAN” oder nicht? Da geht ja nix über die Firewall bzw. dein Gateway. Namensauflösung funktioniert via NetBIOS Broadcast Abfrage zu deinen Systemen.

  105. Hi, ich hab ein ähnliches Gehäuse und würde gerne nun ein Board für eine Sophos UTM kaufen. Allerdings weiss ich nicht genau, ob ich da auf was bestimmtes achten muss. Chipsatz etc. Hast du ne Empfehlung für aktuelle Hardware die da passt :)
    Grüße aus der Klingenstadt.

    1. Hi NuA,

      Chipsatz ist so erst mal nicht so wichtig, am besten halt Mainboards mit builtin CPU. Mini ITX werden halt gerne benutzt. Gigabyte oder ASRock empfehle ich ja oben bereits.

  106. Hallo Michel,

    ich habe das gleiche Problem wie Tobi weiter oben, mir ist noch nicht klar, wie das Zusammenspiel zwischen meiner UTM (auf einem Zotac Mini PC) und meinem Speedport W724V inkl. IP Telefonie und gekoppelten Telefoniegeräten aussehen soll, insbesondere weil ja der Betrieb als Modem flach fällt…

    Muss man einfach nur den Speedport als Gateway für die UTM konfigurieren, und die UTM als Gateway für die Clients? Das wäre ja zu einfach :-)

    Über eine Hilfestellung oder Erfahrungsberichte wäre ich sehr dankbar.

    Danke und viele Grüße

    1. Als Alternative hatte ich jetzt vor die Fritzbox komplett einzustampfen und mit stattdessen ein ALL-IP Gigaset zu kaufen. Somit ist man nicht mehr so abhängig von den AVM Produkten. Auch wenn ich die ansich ganz gut finde.

  107. Hi Tobias,

    danke für die Rückmeldung, mit dem Gedanken habe ich auch schon gespielt :-)

    Hast Du die FritzBox im Bridge Modus laufen? Falls ja, funktioniert so die Internettelefonie noch einwandfrei?

    Viele Grüße
    Eliash

    1. Hallo,

      Ich habe die fritzbox ganz normal laufen und nur das WLAN ausgeschaltet. Die Sophos hängt dann als einziges Gerät an der fritzbox und ist als exposed host eingetragen. Funktioniert einwandfrei.

  108. Hi Michel,
    ich hoffe du hast ein paar Tipps für mich…hab nen Atom D510 Dual-Core mit 4GB RAM und ner SSD.
    Die Download Performance ist aber echt Grottenschlecht wenn ich über den Proxy oder Transparent Proxy gehe. Teilweise brechen Downloads auch einfach ab.

    Mache ich für den PC eine Ausnahme funktioniert der Download hervorragend.
    Ich teste immer mit dem gleichen Download.

    habe mit fine dem Proxy Dienst schon eine höhere Priorität vergeben und bei IPS nur die sachen an die ich auch wirklich im Einsatz habe….

    im Sophos Forum habe ich gelesen dass einige mit diesem Setup 50Mbit hinbekommen, was mir ja bei meiner 25er Leitung reichen würde.

    Hast du vllt noch nen paar Ideen zum Tunen?

    System hat eine Realtek (WAN) und eine Intel (LAN) Karte verbaut. Macht es vllt sinn diese zu tauschen?
    Beim Download sehe ich dann auch immer die volle Bandbreite am WAN ankommen nur am LAN kommt so gut wie nix raus.

    Danke.
    Gruß
    Matze

    1. Hi Matze,

      hast du mal Single-Viren-Scan beim Proxy eingestellt? Stell auch mal die Sophos Engine fürs Singlescan ein (Verwaltung/Systemeinstellungen/Scan-Einstellungen). Er zeigt 50 MBit an aber dein PC zeigt nur 25 Mbit an? Deaktiviere auch mal “Dateibezogene Muster aktivieren” bei IPS unter Erweitert.

      1. Danke dir für die Antwort.
        nein ich meinte andere Leute im Astaro Forum kriegen mit so einem Setup 50Mbit hin.
        bis auf Dateibezogene Muster war alles schon so eingestellt.
        hast du noch ein paar Ideen?
        Ich teste auch immer nur mit einem PC…also das zu viele PC’s online sind kanns auch nicht sein.

        Gruß
        Matze

  109. Hi Michel,

    vielen Dank für Deinen Blog.

    Du schreibst in Deinem Artikel, dass im Rahmen der kostenfreien Nutzung des Home-Version des Sophos UTM zehn Lizenzen des Sophos Endpoint Security and Control Client ebenfalls kostenfrei wären. Wie bzw. wo kann ich diese registrieren bzw. die passende Software downloaden und laufen diese auch mit der neuen Sophos XG Home?

    1. Hi Steve,

      wenn du deine Home Lizenz auf deiner UTM hochgeladen hast, stehen unter Endpoint Protection die 10 Lizenzen zur Verfügung. Im WebAdmin ist ein Download Link (Link zum Client mit der ID deiner UTM). Kannst das einfach runterladen und überall installieren. Die Clients siehst du dann in deiner UTM.

      Sophos XG hat keine Endpoint Protection mehr, das wurde nicht mitintegriert und wird laut Aussage auch nicht kommen. Die Alternative deswegen für XG Home User: https://home.sophos.com/

  110. Man kann übrigens auch gut USB3 Gigabit Netzwerkadapter verwenden. Diese werden wunderbar erkannt. Dann müsste man nicht zwingend nach einem Board mit zwei LANs suchen. Zum Testen wäre das auf jeden Fall ne Alternative.

  111. Hallo Michel,

    da ich nicht mehr Antworten kann wegen den max 5. Replies hier meine Antwort.
    Wenn ich das ISO Image per FTP herunterlade, dann erhalte ich Downloadraten von 2,8MByte = knapp 23MBit

    Die Sophos hängt an einen O2-Router dran, da darüber die Telefonie läuft und O2 die Provider Daten für SIP und so nicht rausrückt.

    es ist auch egal ob ich IPS und/oder AV an oder aus habe, mit Proxy komme ich immer nur auf 18MBit.
    nur wenn ich Proxy ganz abschalte, dann bekomme ich auch meine knapp 23Mbit.

    was mich vorallem stört ist, dass die Downloadraten so stark schwanken….von 1,5Mbit auf 500kb wieder auf 1,1Mbit und dann auf 200kb oder teilweise abbrechen. Web-Caching ist deaktiviert.

    Habe das WAN schon von eth0 (Realtek) auf eth1 (Intel) geschwenkt ohne Verbesserung.

    Ich hoffe du hast eventuell noch ein oder zwei Ideen.
    Danke für deine Unterstützung.

    Gruß
    Mathias

    1. Hi Matze,

      hmm ich habe leider aktuell keine Ideen mehr. Ich denke 23 MBit ist dein Maximum von o2 (schon mal direkt daran getestet?). Das alte Board was ich hier vorgeschlagen habe, war das BLKD2500CCE und der hatte einen Intel Atom D2500. Mit dem Board habe ich mit allen aktivierten Funktion 50Mbit geschafft. Ohne IPS 100Mbit. Ich denke du hast das Maximum erreicht (egal was dort im Forum steht).

      Guck mal hier: http://cpuboss.com/cpus/Intel-Atom-D510-vs-Intel-Atom-D2500

      der D2500 ist ein neueres Model mit mehr Clock speed und mit 32nm Herstellung.

      1. Danke trotzdem…komisch das die 200mhz soviel unterschied ausmachen.
        Ja die 23Mbit sind mein Provider Limit nur ich erreiche ja nicht mal die…
        dann werd ich mich wohl nach einem neuen Board umsehen müssen

        1. Es ist weniger die 200 MHz als die Fertigungsmethode und Alghorithmen. Kleine Fertigungsherstellung in nm Bereich und neue effizientere Berechnungsalghorithmen machen eine CPU schneller.

      2. Eins noch…was macht der Webadmin Port in den erweiterten Einstellungen unter Web Protection? Kann ich den da rausschmeißen oder funktioniert dann die Admin Webseite nicht mehr?

  112. Hi Michel,

    ich muss noch einmal etwas fragen:
    Kann ich als WLAN-Access-Point jeden beliebigen WLAN-Hotspot hinter der Sophos Firewall betreiben oder muss ich zwingend auf die hauseigenen AP-Produkte zurückgreifen?

    1. Hi Steve,

      nein du kannst natürlich jeden Access Point nutzen. Du kannst sogar einen mit Multiplen SSIDs verwenden und dann VLAN Tagging über einen Switch betreiben um getrennte Netze zu haben (Haus-WLAN, Gastnetz, Geräte-WLAN, etc.). Baueigene Sophos APs kann man halt nur im WebAdmin steuern und konfigurieren.

  113. Moinsen,
    ich habe die oben genannte konfig seit ca 8 monaten am laufen. funzt super mit meiner 50mbit leitung. leider habe ich das problem das alle 25-30 tage ich die firewall neu starten muss, da anscheinend der hhtp proxy abraucht. kein surfen mehr im netz möglich. alles andere funktioniert ganz normal. hat das einer von euch auch? version 9.3 aktuelle build.

  114. hey,
    da ich nur 2 User habe, habe ich den cache sowieso nie aktiviert.ansonsten funktioniert alles super. Einzige Sache die ich nicht anständig hinbekomme ist die veröffentlichung von VMWARE Horizon. Da ich auch einen Exchange habe, muss ich leider den reverse proxy nutzen. da scheint das problem zu liegen :/ aber gut, das ist ein anderes thema was hier nichts zu suchen hat ;)
    Noch eine andere Idee wegen dem Webproxy?

    1. Hi Christoph,

      wenn es nicht mehr funktioniert: Was steht im systemlog? Was in der middleware? Was in der Selbstüberwachung und was im Web Protection Log? Damit kann ich mehr anfangen :)

  115. Hi Michel, great blog ! sadly i dont speak german but both my grandparents were from austria i guess i missed out ;>.. I have a question for you with your vast sophos experience i wonder if you can offer me your opinion. I was using the latest UTM version 9 at home on a small micro fanless pc. here is the link to what i was using “http://www.amazon.com/Jetway-Intel-Celeron-N2930-Fanless/dp/B00OY8Q0QC?ie=UTF8&psc=1&redirect=true&ref_=oh_aui_detailpage_o00_s02” I had paired it with a 60 gig SSD and 8 gigs of ram. The os ran nice on it and when active the cpu barely went above 20% and the mem never used more than 2 gigs or the available 8. I noticed that latency was through the roof when my son was playing any online game mostly using steam. I have a cable internet connection with 80 meg down and roughly 7 meg up. With the sophos out of the picture i would notice latency hovering around 60-85 ms and performance was fine but with the solphos in and active i noticed latency around 12,000 which made online gaming unplayable. I have since reverted my home network back to a dd-wrt based firewall for now. I have trimmed down the ips signatures to only use what i had at my location (removing linux,servers,etc) and also set the ips to 6 months. I tried disabling ips and web filtering too but still latency was out of control. Do you find at a minimum that the sophos UTM 9 needs a intel i3/i5/i7 to operative responsive with the snort IPS working? I will revisit this shortly and i am eyeing a new shuttle pc with a intel core i5 cpu (possibly a i7) “http://www.amazon.com/Shuttle-DS81-Haswell-chipset-Heatpipe/dp/B00IXFFD4W?ie=UTF8&psc=1&redirect=true&ref_=ox_sc_act_title_3&smid=ATVPDKIKX0DER”

    thanks for any info. Doug

    1. Hi Doug,

      thank you :->

      the recommended hardware runs perfectly with a 100Mbit internet line with activated Web Protection and IPS. I’m also a gamer using steam. If you will use an i5, there won’t be a problem.

  116. Hi…
    Ich verzweifel so langsam an meiner UTM.
    Folgende Konfiguration:
    Die UTM fungiert als Router und hat momentan noch zusätzlich die Funktion als DHCP und wird als DNS Forwarder genutzt. Dahinter hängen zwei DC’s (UCS Linuxserver) die als Primäre DNS Server für die Clients fungieren. Diese sind für die interne Namensauflösung zuständig und haben einen Pointer (forwarder) auf die UTM die dann auf die externen DNS Server von Google verweisen. Erlaubter DNS Zugriff (Global DNS Einstellung) ist auf die Domäne beschränkt und eine Firewall Regel von intern auf any für Port 53 aktiviert.
    Nun zu meinem Problem:
    Die interne und externe DNS Abfrage funktioniert einwandfrei und wird auch richtig aufgelöst nur habe ich seit einigen Tagen das komische Phänomen, das die UTM in gewissen Abständen (ca. alle 30 Sekunden) von verschiedenen Source-Ports der WAN Schnittstelle extrem viele DNS Abfragen auf UDP Port 53 ins Internet aufbaut die aber von der Standard Regel verworfen werden. In dieser Zeit bricht mein komplettes Netzwerk zusammen und habe keine Verbindung ins Internet.
    Ich habe schon einige DNS Einstellungen versucht aber das Problem bleibt bestehen, selbst bei einer any-any-any Regel.
    Mir gehen leider die Ideen aus und hoffe mir kann jemand helfen wo mein Denkfehler ist.

    Vielen Dank schon einmal im Voraus

    1. Hi Max,

      die UTM baut die Internetleitung auf? Dann sollte sie ja direkt im Inet stehen und auch DNS Lookups dürfen. Hast du bei erlaubten DNS Hosts/Netzen in der UTM auch nur “internal” network stehen? Da sollte nicht any stehen, da sonst von außen Bots das erkennen und DNS Attacken fahren könnten. Pack da mal nur dein internes LAN rein.

  117. Hallo. Ich habe es nun endlich auch geschafft die Sophos zum laufen zu bringen. Was nicht funktioniert ist Netflix. Weiss du zufällig welche Ports dafür geöffnet werden müssen?

    1. Hi Steffen,

      normal sollte Netflix über http laufen. Check mal das LiveLog von Firewall und Webproxy sobald du Netflix startest.

  118. Das GIGABYTE GA-N3150N-D3V Mainboard wäre der direkte Nachfolger für das oben empfohlene GA-J1900N-D3V.

  119. ich habe mir jetzt ne XG85 gegönnt. war es leid mit dem j1900. für bis zu 100mbit perfekt. und auch wenn die xg85 teuer war das geld ist se auf jeden fall wert.

  120. Hi,
    Heute habe ich e. UTM aufgesetzt. Alles ist OK bis auf…
    Ich bekomme nicht die einfachste Geschichte auf die reihe und das seit Stunden!!!
    Habe 3 Kontos bei 1und1 (Outlook 2010 Abfrage imap/smtp 993/587…Standart! ).
    Ich bekomme die nicht durchgeschleift.
    Hilf mir :-)
    THX
    Adrian

  121. Hi,
    jetzt wird es peinlich…

    Hat sich erledigt. “Jeder Boot tut gut”…
    Das ich die alte Wahrheit vergessen habe…Peinlich

    Gruß
    Adrian

    P.S.
    Bitte lösche meinen “Beitrag”

  122. Hello Michel,

    Just curious: would you advise to buy a complete system (e.g. Zotac zbox) or is it better to build a custom system?

    Is it possible to boot from an USB stick to install UTM?

    Greetz From Jan

  123. Thanks Michel!

    Another question: would a second hand UTM120 be faster than the zotac box you described?

    I’ve seen second hand UTM120 boxes for around 250 euro’s, which is just a little more expensive than a zotac zbox.

    What is your expert opinion on that?

    gr.

    Jan

  124. Hallo Michael,

    i have two questions.

    1. Do you know if the internal wlan nic in the zotac zbox works with the sohos utm ?

    2. Is the feature set of the spohos XG home the same as the feature set from the sophos utm home ?

    Greets

    Dirk

  125. Hi Dirk,

    one user wrote me that it works. The feature set is different. Yes you have Webserver Protection, VPN, Firewall and a Webproxy but it is a little bit different. I will publish a comparison of UTM vs XG soon.

  126. Hallo Michel,
    erst einmal vielen Dank für dieses informative Tutorial. Da ich dienstlich auch mit der UTM arbeite, wolte ich im Privaten ebenso einrichten.
    Aber nun zu meiner Frage: Welche WLAN AccessPoints kannst du für die hier beschriebene Selbstbauvariante empfehlen?
    Meine bisherige Lösung: WLAN im Keller und Untergeschoss wird mit dem TK router verteilt, die alte easybox hängt im Obergeschoss und deckt dort diesen Bereich mit einer anderen SSID ab.
    Im Garten hingegen kommt schon nichts mehr an.
    Meine Vorstellung ist es mehrere AP´s zu verteilen und komfortabel in einem WLAN zu bleiben. So ist es in der “großen” UTM ja auch möglich. Für Tipps bin ich sehr dankbar.

    1. Hi Maik,

      danke für dein Lob :) Sophos APs wären viel zu teuer. Was viele nutzen sind die ubiquiti APs, evtl. sind hier die AC-Lite ganz gut. Hier soll es ein zentrales Management geben (einmalige Konfiguration die auf alle APs verteilt werden. Somit hättest du auch sauberes Roaming. Leider hatte ich selber die APs noch nicht zum testen in meinen Händen. Sind auch sehr günstig im Vergleich zu allen anderen Zentral-Lösungen.

      1. Richtig, hier gibt es ein super Management! ich habe das ubiquti Konfigurationstool nun ausprobiert und konnte absolut nur staunen was damit alles möglich ist. Diese AP wird es dann auch werden!

  127. Moin Moin,
    hat zufällig jemand den AP15 im Einsatz? Laut Beschreibung hat der AP einen max. Durchsatz von 300Mbit. In der Weboberfäche der UTM steht, dass mein Notebook momentan mit 130Mbit Übertragungsrate verbunden ist. Ich bekomme aber jedoch nur ca. 50Mbit. Habe schon jede Menge Einstellungen probiert – habe sogar die Stellschrauben in den Einstellungen des Netzwerktreibers gedreht, ohne Erfolg.

    VIele Grüße
    Tom

    1. Hi Tom :)

      300 MBit ist ein mathematisch theoretischer Wert mit MIMO (Multiple Input Multiple Output). Dein Client müsste also eine WLAN Karte mit mehren Antennen haben. Dann wäre der theoretische (!) Wert in Reichweite. Die angegebenen Werte sind brutto Werte! Aus einfacher Sicht ergibt sich MAXIMAL die Hälfte des Bruttowertes an Netto. Das heißt unter perfekten Bedingungen mit der richtigen WLAN Karte / USB-Stick, direkt mit der Karte am Access Point, erreichst du maximal 150 MBit/netto. Davon kannst du auch wieder ein bisschen Overhead abziehen (IP header, etc.). Und das ganze funktioniert dann auch nur für einen (!) Teilnehmer, kommt der zweite User ins WLAN, teilst du dir die Bandbreite (WLAN ist und bleibt ein shared medium).

      Welche WLAN Karte nutzt du denn?

  128. Guten Abend,

    was mich ein wenig stutzig macht ist, folgendes. Ich habe vor meiner UTM eine Cable Fritzbox (6360 Cable). Aktiviere ich dort das WLAN (auch 2,4 Ghz) und verbinde mich mit dem gleichen Notebook, erziele ich ca. 100Mbit im Download. Anschließend verbinde ich mich mit dem AP 15 erziele ich wie gesagt nur noch ~50Mbit. Der AP selbst hängt an nem GigabitPort Cisco Managed Switch. Gibt der AP 15 einfach nicht mehr her?

    Kann es evtl. sein, dass die Fritzbox eine größere Bandbreite bei den Kanälen hat? (40Mhz?)
    meines Wissens hat der AP15 nur 20Mhz pro Kanal. Wäre eine Erklärung oder?

    Der größere AP ist für zu Hause dann doch ein wenig teuer *g*

  129. Hi Tom,

    klar, die Kanalbreite bietet eine sehr hohe Bandbreite. Klar für Home viel zu teuer, sind halt Businessprodukte. Man bezahlt die “zentrale Konfiguration”.

  130. Hey Michael,

    ich hab eine Konfigurationfrage:

    Ich hab ein Sophos VM auf einem ESXI Server dort auf dem Port geht einmal eine IPv4-Adresse auf dem Externen Nic ein und ein IPv6-Netz. Die VMs bekommen mittlerweile in ihrem Netz eine IPv6-Adresse und zusätzlich eine interne IPv4-(10er)-Adresse. Sie können auch auf das Internet zugreifen, solange die Destinationen IPv6-Adressen besitzen, wie und was muss ich einstellen um auch ganz normale IPv4-Adressen erreichen zu können aus dem internen Netz.

    Falls du weitere Informationen brauchst, frag bitte danach, bin was Routing und Sophos angeht ein relativer Neuling. Wäre cool, falls du mich dabei unterstützen könntest.

    Beste Grüße

      1. Nein nicht ganz.

        Was ist vorhanden:
        IPv6 64er Netz (Wird per IPv4-Adresse auf WAN Mac-Adresse geroutet.)
        einzelne IPv4 Adresse (Globale Adressen, nur eine bisher auf WAN geroutet um IPv6-Netz zu routen)
        IPv4 10er Netz (Wird allen Clients am Internen Netz ausgeliefert)
        ggf. IPv5 192er Netz

        Ist-Zustand:
        Externe Websiten sind per IPv4 und mittlerweile auch per IPv6 erreichbar.

        WAN:
        IPv4: 178.63.x.x (Externe IPv4 Adresse die zugewiesen ist, ist auch Pingbar etc.)
        Netmask /26
        Default GW: 178.63.x.x (Gateway entsprechend Hetzner)
        IPv6: 2a01:4f8:xxxx:xxxx::1
        Netmask: 64
        Default Gateway: fe80::1

        Internal:
        IPv4: 10.10.10.1
        Netmask /24
        Default GW: 178.63.x.x (Gateway entsprechend Hetzner)
        IPv6: 2a01:4f8:xxxx:xxxx::2
        Netmask: 64
        Default Gateway: ist nicht angegeben

        Uplink-Balancing zwischen beiden Interfaces ist aktiv beide Interfaces sind im Active-Reiter hinterlegt. Seit dem sind Websiten aus dem WWW per IPv6 erreichbar.

        Prefix Advertisment ist aktiv, 2a01:4f8:xxxx:xxxx::1 & Google DNS sind hinterlegt, Valid Lifetime und preferred lifetime sind auf Infinity gesetzt.

        Static Routing
        Route Type: Interface route
        Network: Internal IPv6 (eigen definiertes Netz mit der IPv6 Adressen Pool)

        DNS:
        Internal IPv4/6 Netzwerke sind hinterlegt als erlaubt
        DNS Forwarders:
        2x Google DNS mit IPv4 & IPv6 hinterlegt

        DHCPv6 relay:
        Aktiv, Interface Facing Clients -> Internal, Interface Facing Servers -> WAN

        NAT:
        IPv4 Internal -> WAN

        Soll-Zustand:
        Server im Internen-Netz sollen per IPv6 (bzw. per IPv4) erreichbar sein. Was muss ich hierfür einstellen? (ICMP auf die bezogenen IPv6-Adressen ist nicht möglich ebenfalls kein Trace, bricht immer am Sophos ab, ICMP ist Testweise allgemein erlaubt im Reiter ICMP. (Benötigt es hier eine spezielle Firewallregel?) Wie weiße ich sauber externe IPv4/6 Adressen Servern zu, was ist hierfür zu konfigurieren?

        Das ist glaub ich gerade zwar wirklich viel Fragerei, aber ich hab mittlerweile sehr viel recherchiert und komme nicht mehr wirklich weiter. Mittlerwiele ist aber das WWW zugänglich per IPv4&6, doch ist es irgendwie noch nicht sauber gelöst mit den IPv6 Adressen, das ich hier eine sauber zuweisen kann, bzw. wie das dann auch mit weiteren IPv4-Adressen funktionieren soll, ist mir nicht klar…

        Vielen lieben Dank.

        Beste Grüße,
        Bengin

        1. Hi Bengin,

          naja wenn du sie von außen erreichbarhaben willst, machst du einfaches NAT. Du kannst aber nicht von IPv4 auf IPv6 natten oder umgekehrt.

  131. Hi Michael,

    ich habe aktuell folgenden Sachverhalt.

    Meine Fritzbox 7390 ist kaputt gegangen. Also habe ich mein Vodafone Geraffel bestehend aus Spahiron Speedlink Modem und Easybox 802 rausgekramt um solange die RMA bei AMV noch läuft wenigstens Internet zu haben. Nun habe ich folgendes Fehlverhalten (mit der Fritte gabs das nicht) wenn ich die UTM hinter die EB802 schalte erziele ich ca. 700kB/s an Downloadrate, wenn ich meinen Client direkt mit der EB verbinde habe ich 6,5MB/s. Meine Sophos VM habe ich in der EB als Exposted Host (dort heißt es DMZ) konfiguriert.

    Hast Du einen Rat wie ich die Downloadrate oben halten kann ohne den Client direkt an der EB anzubinden?
    Bzw. weißt Du was die EB im Vergleich zur Fritte anders macht?

    Vielen Dank im Voraus.

    Rayki

    1. Hi Rayki,

      seltsames Verhalten. Komisch dass es mit der Fritzbox ok ist und mit der EB802 nur 700 kB/s erreicht werden. Irgendein falscher MTU Wert so dass die Performance in die Knie geht? Ist alles full duplex? Check das mal an der UTM.

      1. Hi Michel, MTU liegt bei 1500 auf der UTM und laut Handbuch der EB dort ebenfalls. Allerdings beschneidet mit VF dort in den Funktionen, auf die MTU auf der EB habe ich keinerlei Einfluss.

        Mein Switch zeigt mir an, dass die Interface alle auf AUTO/Full laufen.
        ethtool zeigt mir nur das hier an:
        /home/login # ethtool eth0
        Settings for eth0:
        Link detected: yes
        Habe ich irgend nen Paramter bei ethtool vergessen, damit er mir den Linkspeed anzeigt?

        Grüße Rayki

          1. Hi Michel,

            leider ja, 1% [ ] 27,501,120 467K/s eta 52m 20s.

            Das seltsame ist, im Dashboard (Web-GUI), wird mir bei “eingehend” für das Interface angeziegt, es würden 3Mbit durchgehen.

            Es scheint also an sich die volle Bandbreite an der UTM anzukommen. Aus irgend einen Grund bekommt sie das aber nicht durchs Netz gedrückt.

            Die Verkabelung kann es eigentlich nicht sein, da ich lediglich die Fritzbox abgebaut und die EasyBox aufgebaut habe. MIt den selben Kabeln.

            Ich verstehe es einfach nicht. Es ist für mich komplett unlogisch.
            Habe jetzt auch mal die LAN Ports an der VF EB getauscht, einfach nur um auszuschließen, dass dort iwas nicht passt, aber das ist es auch nicht.

            Was ich äußerst seltsam finde, dass mir Windows auf der NIC die direkt mit der EB verbunden ist angezigt wird es sei eine 100 MBit/s Verbindung. Auf der NIC zur UTM 1 GBit/s.

            Ich hoffe einfach nur, dass AVM schnell macht, damit ich meine Fritzbox wieder bekomme.

  132. Hallo Michel,

    mein Name ist Andre und ich bin durch Zufall auf deinen Blog gestoßen, weil ich Informationen über das UTM gesucht habe.

    Ich wollte das/die UTM eigentlich nur nutzen um mit dem HTML 5 vPortal, von außen, auf meine Computer, im Heimnetz zu kommen.

    Die restlichen Funktionen wollte ich erstaml alle auf “Bypass” stellen………..

    Weißt du ob das einfach geht?

    Viele Grüße,

    Andre

    1. Hi Andre,

      das ist kein Problem. Unter Verwaltung / UserPortal kannst du alles aushaken bis auf “HTML 5 VPN”. Wenn das dein Default-Gateway wird machst du einfach 1 Regel “Internal (Network) —any—> Internet IPv4”. Web Protection dann einfach ausmachen. Somit ist es ein einfacher “Router”.

  133. Hallo Michel,

    danke.

    Ich hatte die UTM in einer virtuellen Vmware installiert, die auf einem Notebook läuft.
    Ich hatte bei der Installation, alle Dienste abgewählt und dachte mir, dass ich später einfach den Dienst, den ich brauche, aktiviere.
    Ich hatte es aber nicht hinbekommen, dass ich von außen (WAN) über Port 443 die UTM auf Port 443 erreiche. Sie hat einfach nicht geantwortet.
    Ich habe es einfach nicht hinbekommen einen Regel zu erstellen.

    Dank deinem Hinweis, habe ich gestern die UTM einfach neu istalliert und die Dienste mit installiert.
    Und dann war es ganz einfach das User Portal mit HTML 5 Zugriff einzurichten.

    Danke.

    Was mir aber noch nicht klar ist…………

    Lohnt es sich eine vorhandene Fitzbox durch die UTM zu ersetzen? Mir ist der Nutzen einer UTM in einem privaten Netzwerk – zwar mit vielen Rechnern – noch nicht ganz klar.

    Ich werde unser Heimnetz demnächst auch etwas sicherer für unsere Tochter machen müssen, aber das kann die UTM doch gar nicht leisten, oder?

    Hast du ein paar gute Argumente für mich, ein UTM für den Internetzugang zu nutzen und die Fritzbox nur noch für die Telefonieaufgabe zu nutzen?

    Viele Grüße,

    Andre

  134. Hallo,

    so, die erneute Installation funktioniert.
    Wenn ich vom Handy aus per https:// auf das HTML 5 Portal zugreife, bekomme ich zwar einen Zertifakatsfehler, kann ich mich am User Portal anmelden und bekomme die Liste mit den eingerichtet Verbindungen; in meinem Fall eine RDP Verbindung. Die Verbindung kann gestartet werden, das Bild vom Rechner wird übertragen und ich kann mich an dem Rechner anmelden. Soweit so gut.

    Jedoch funktioniert es in der Firma nicht.

    Es klappt bis zur Anmeldung am User Portal und die Verbindungen werden angezeigt.

    Wenn jedoch eine RDP Verbindung ausgewählt wir, wird das Bild nicht übertragen.

    Kannst du mir dazu was sagen oder einen Tipp geben?

    Kann es am Zertifikat liegen, weil es nicht vertrauenswürdig ist.

    Über einen Tipp würde ich mich freuen, wenn es dir recht ist gerne auch per Email, weil das doch recht stark vom Thema abweicht.

    LG,
    Andre

  135. Hallo,

    ja, habe ich.
    Wenn ich im User Portal die HTML5-VPN-Portal Verbindung – eine RDP- anklicke, versucht er zu verbinden aber ich erhalte ein Websockes Error.

    Ich wüsste jetzt nicht in welchen LOGs ich nachsehen müsste und ob das überhaupt protokolliert wurde.

    Wenn ich auf einem Rechner Thinfinity installiere, welches direkt auf dem Rechner läuft, dann klappt eine RDP oder VNC Verbindung.

    Kann es sein, dass es nicht klappt, weil die UTM irgendwie als webProxy dazwischen hängt?

    Gruß,
    Andre

    1. Hi Andre,

      eigentlich beißt sie sich nicht selbst, kannst aber mal die Web Protection komplett ausmachen. Generell ist der Dienst davon aber getrennt. In der Gui ist es unter den “HTML5-VPN-Portal” zu sehen.

  136. Hi Michel,
    ich habe die UTM Home schon länger im Einsatz. Nun habe ich das Problem, dass die Endpointprotection abgelaufen ist. Wo kann die die wieder aktivieren? In mySophos finde ich keine Möglichkeit.

  137. So was habe ich mir auch gedacht. Dann kaönnte ich auch auf XG + Home-Endpointprotection umsteigen.
    Da ich nur standardregeln habe, sollte XG für mich “ausreichen”

  138. Ich hab die UTM 9.4 bei mir laufen, und nun auch einen UMTS Stick. Der funktioniert auch wunderbar für ausgehenden Traffic, wenn mein normaler Internetprovider (Kabel) down ist.
    Aber wie bekomme ich es hin, dass mein Webserver weiterhin von aussen erreichbar ist? Per DDNS wird der Domainname auf die IP vom UMTS Stick umgelegt, allerdings scheinen sich die Web Protection Rules nicht automatisch anzupassen.

    1. Ich kann es nun selbst beantworten. Für alle Notwendingen Freischaltungen (Firewall, Webserver Protection) habe ich die Rules gecloned, und mit dem UMTS Interface versehen.
      Z.B. für RDP habe ich nun zwei NAT-Rules, eine für das Interface vom Kabelnetzbetreiber, und eine Rule für die UMTS Verbindung.
      Angenehmer Nebeneffekt: Ich hab nur Rules für Services gecloned, die auch über die schwache UMTS Leitung sauber laufen.

      1. Geil du bekommst eine öffentliche IPv4 Adresse über deinen UMTS Stick? Das ist selten. Meistens bekommt man eine IPv6 und kann nach außen nur IPv4 getunnelt durch das Rechenzentrum des Providers machen.

        1. Ja, für die IPv4 Adresse muss ich allerdings einen anderen APN eingeben. Für T-Mobile Österreich ist es “business.gprsinternet”. Wird halt nicht groß breitgetreten, funktioniert aber wohl auch mit nicht-business-Simkarten..

  139. Hallo Michael,
    mir sträuben sich gerade die Haare bei der Einrichtung der UTM mit einem W724v TypA Router.
    Nach Recherche musste ich nun feststellen, dass dieser Router nicht als “Nur Modem” in Betrieb nehmen lässt. selbst die FW lässt sich nicht anhalten. Dass einzigste was mir möglich ist DHCP auszuschalten und der UTM das DHCP beizubringen.
    Kurz zu meiner Konfiguration:
    W724v LAN1 out > eth0 (WAN) in UTM9 eth1 out > Netgear Prosafe Switch > Geräte

    Macht es Sinn beide FW zu lassen? funktioniert das? Wie ist es mit Portfreigaben an der W724v? Was muss ich an der UTM für die Schnittstelle eintragen?

    1. Hi Maik,

      du kannst an dem “W724v” evtl. einen Exposed-Host Eintragen und alles auf die UTM zeigen lassen. In der UTM betreibst du dann normale Portforwards etc. Der “W724v” ist das Standardgateway der UTM. Nach der UTM kommt ja dein Home-LAN mit einem anderen IP-Adressbereich und die UTM kann dafür natürlich DHCP Server spielen.

      1. Hallo Michel,
        leider lässt sich der W724v nicht als Exposed-Host konfigurieren. Diverse Internetberichte bestätigen das auch. Es ging aber einmal, mit älterer Firmware, allerdings bis 2014. Nur leider ist das ohne “Umbiegen” und ohne Verstoß gegen die AGB des TelAnbieter nicht möglich, zudem ist dieses Gerät auch automatisch mit Updates unabschaltbar konfiguriert.
        Dann werde ich mich mal nach einer Fritte umsehen.
        Liebe Grüße
        Maik

    1. Hallo Reto,

      ist ein Celeron J1900. Den habe ich auch aber selber zusammengebastelt. (s.o.)
      Ich habe 200mbit von Unitymedia. Nur die Firewall an bekommst du full speed. Mit Advanced Protection und sonstige vorlieben geht das Ding runter auf 150Mbit.

  140. Hallo Michel,

    jetzt habe ich mir das Upgrade gegönnt. Ich weiss leider teuer. ;-)

    http://amzn.to/2hvZREo

    Leider musste ich feststellen das der Atom C2758 wohl doch nicht so performant ist wie gedacht. Alle anderen Firewall die ich getestet habe bieten full speed (200mbit)

    Bei der Sophos brauche ich wohl doch einen I3 um IDS und Web Protection nutzen zu können.
    Da ist der J1900 Celeron etwas besser.

    Gruß

    Thomas

    1. Ok direkt ein 19″ Server :) ja schau dir mal den SG Sizing Guide an, da findet man ja auch die Prozessoren in den jeweiligen Geräten. So kann man gut sein Home Gerät sizen/bauen.

  141. Ja, den SG Sizing Guide kenne ich habe allerdings vergessen das bei Sophos leider wohl nicht viel mit Cores anfangen kann. Da nützt auch der 64bit Kernel nichts wenn alle andere Pakete nur 586 sind. Schade. Aber in Bezug auf Strom etc. stelle ich mir keinen i3 oder i5 hin. Tut mir leider so ist die Sophos wie auch früher die Astaro immer noch unbrauchbar für den Heimgebrauch. Eine brauchbare Appliance wie die beliebte SG110/120 bring auch nix da zu schwach für meine 200mbit Leitung. Da müsste ich schon eine XG115 kaufen, laut Google kommt die Wohl mit den 200mbit klar.
    Man braucht einen potenten Proz sonst ist das alles für die Katz abhängig von der Geschwindigkeit die man vom ISP bekommt.

    Im Klartext: wer noch ne 100Mbit Leitung hat ist wohl mit den J1900 Lösungen etc. bestens bedient aber nichts für die Zukunft.

    Schade, ich mag Sophos aber in Sachen Soft und Hardware ist das alles nix. Tut mir leid das ich meinen Unmut gerade kundtu. ;-)

    Thomas

  142. Hi,

    ich habe jetzt eine ZOTAC nano CI323 zugelegt und die Sophos 9 UTM erfolgreich installiert. Die Plattform hat 2 NICs, davon ist eines Internal und eines External konfiguriert. Ich würde die Firewall gerne in den Full transparent mode schalten und ein neues virtuelles Interface erzeugen, das ich dann (über DHCP) zur Konfiguration in der Zukunft nutzen würde. Leider erlaubt mir das System nicht, eine Bridge zwischen den beiden NICs zu erzeugen….gibt es eine Möglichkeit, das trotzdem hinzubekommen? Oder brauche ich einen dritten Netzwerkadapter?

    Viele Grüße

    Peter

  143. Hallo,

    nach einem Festplattenausfall bin ich letzte Woche von der XG auf die UTM gewechselt, weil ich die aus der Firma einfach besser kenne. Aktuell habe ich vor der UTM eine fritzbox mit exposed host Einstellung die die Einwahl ins Telekom VDSL50 macht und die Telefonie. Seit ca sechs Wochen habe ich eine SSL VPN nach Hause eingerichtet. Das funktioniert einheitlich ganz gut, aber es gibt Tage da komme ich nicht an das Netz zu Hause. Egal ob mit VPN oder an meinen FTP oder an den Webadmin von der UTM. Fast so als würde die fritzbox nichts durchlassen. Wenn man dann an der fritzbox eine neue Interneteinwahl macht oder die fritzbox neu startet geht wieder alles. DynDNS von der UTM aus funktioniert immer. Also die aufgelöste IP Adresse stimmt auch an den Tagen an denen man nicht reinkommt. Aktuell überlege ich ein reines VDSL Modem anzuschaffen. Würde das das Problem lösen? Eher Draytek oder Zyxel?

    Mit freundlichen Grüßen

    Tobias Thielen

  144. Nice website!!!!

    Question on the Zotac CI323: what is the max. speed that you can get with all security functions enabled?

    I know that an ordinary UTM120 can do around 80 Mbps with AV, Proxy, IPS and ATP activated.

  145. Is upgrading from 4 to 8Gb with UTM on the zotac ci323 a good investment?

    I’ve read that UTM Home does not have a RAM limit.

    1. I guess not. Im running with 4 GB and it never goes paging. Usually it allocated about 70%
      All things enabled (IPS, Advanced Threat, Wireless protection, both AV engines) and using it as Reverse and forward proxy at 120 Mbit.
      SG125 Appliance has 4 GB, too.

  146. Hi Networkguy

    First thanks for the helpful website!
    I have an issue maybe you guys have a good idea. I want to use my wifi router also as a DHCP server means ISP Modem –> SOPHOS UTM (Firewall) –> wifi router (DHCP) –> SWITCH. But my router get no internet connection. How can I maange this on sophos?

    1. Hi Ediz,

      use the UTM as the default gateway and place the WiFi router directly into your switch. So you can use the wifi router just as an access point. Use the DHCP server within the UTM.

  147. Hallo,

    vielen Dank für die Inspirationen auf dieser Seite.
    Jetzt muss ich mal fragen:

    Ich habe einen Unitymedia Anschluss mit 400Mbit und ConnectBox.
    Kann ich dahinter eine UTM120 hängen? Daran dann Switch und WLAN?+

    Was ist zu beachten bzw zu prüfen vor den Kauf?

    Danke schonmal vorab.

    1. Hi Sebastian,

      die oben empfohlene Hardware ist für Leitungen von 50-100 Mbit gedacht. Bei 400Mbit muss es ein viel besserer Prozessor sein. Ich denke da bräuchte man Hardware im Bereich SG135 (Atom Rangeley Quad Core (2,4 GHz)). In der Sizing Guideline findest du die Performance-Werte: https://networkguy.de/?p=1040

      1. Danke für die Info.
        Werde dann doch eher auf ein fanless System setzen.

        Wie sieht es denn grundsätzlich mit UTMs an Unitymediaanschlüssen aus?
        Exposed Host geht ja nicht mit einer Connectbox lt. Internetrecherche.
        Dank für eure Infos

        1. Dann musst du die benötigten Ports forwarden. TCP 80 (http), 443 (https), 4444 (Webadmin) und UDP 500 (IKE VPN). Mir haben sie letztens die IPv4 Adresse geklaut, reiner IPv6 Anschluss mit getunneltem IPv4. Nach einer Stunde rumbölken haben sie es zurückgestellt :)

  148. Ich hab da so ein Problem mit meiner UTM und der Zotac ZBOx. Ich kann die Installation nicht durchführen, außer! ich mache sie im nospm Modus bei der Installation. Das hat aber als Resultat, dass nach der Installation und dem boot up der UTM nur einer der 4 Kerne erkannt und verwendet wird. Alle anderen Versuche die UTM zu installieren (So wie ich das sonst kenne) scheitern leider, weil das Setup noch vor dem Menu Splash Screen hängen bleibt. Hat einer ne Ahnung woran das liegen kann?

  149. Möchte die Sophos XG Home Edition nutzen und folgende Hardware einsetzen:

    https://www.pondesk.com/product/8-LAN-1-COM-4-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001

    Intel® LGA1150 – Support i3/i5/i7 Haswell 4th Gen CPU
    8x Intel® 82574 Gigabit Ethernet (Support Wake on LAN/PXE)
    Integrated 2 Group BYPASS (1,2 & 3,4 LAN)
    4x Intel® 82580DB Gigabit Optical Fiber SFP Interfaces (optional)
    RJ45-DB9 COM Port (Cisco Standard)
    Intel® HD Graphics
    Intel® AES-NI and Secure Key
    Support 3G/4G WWAN (optional)
    Support 802.11 b/g/n WiFi (optional)
    Support up to 16GB SODIMM DDR3 Memory
    Support up to 4x Storage (mSATA & 2.5″ SATA SSD/HDD)
    USB 2.0 & VGA Display
    220W 1U ATX Power Supply

    Ausgestattet zusätzlich mit

    8 Gbyte Speicher, Intel i5-4590 oder Intel i7-4790, 120 GByte mSATA SSD, 4-Port USB 3.0 Hub

    Da auf der Hersteller-Website auch Benchmarks mit Sophos detalliert gelistet sind, gehe ich mal davon aus, das die Hardware konpatibel ist.

    Ich habe das “Problem” (wenn das ein Problem ist), in einer exzellent ausgestatten Apartment-Anlage mit direkt geswitchtem, symmetrischen 1,5 GBIt Anschluß an das Internet zu wohnen, meine Up- und Downloadrate bewegt sich jeweis (momentan mir einer Fritzbox) zwischen 60 bis 90 MegaByte pro Sekunde.

    Meine Fragen:
    Ist die Hardware ok / kompatibel?
    Reicht die Performance?

    1. Hi Peter,

      du kannst in der Sizing Guide die Hardware der einzelnen Hardware Appliances anschauen und auch deren Leistung: https://networkguy.de/?p=1040 deine CPU entspricht dann der der SG310 Appliance. Somit kannst du locker 5 Gbit mit allen Funktionen routen. Du schreibst 1,5 Gbit: Du bräuchtest ja dann 10Gbit SFP+ Port oder reicht dir einfach 1Gbit RJ45?

  150. Vielen Dank für die schnelle Antwort! P.S. In der Wohnung ist ein RJ45 GBit-Ethernet-Anschluss fest verlegt in der Wand.

  151. Hi, ich hoffe ich kann hier eine frage so stellen :) ich habe UTM Home und ein NG L2 Switch … dazu einige TP-Link AP´s dort wollte ich Captive portal auf VLAN 100 GASt einstellen, habe auch alles ordentlich eingestellt auf dem Switch auch Switch to Switch vlan allerdings bekomme es nicht hin mit Sophos eine Route auf das CP zur erstellen um aus dem GAST netz auf das lokal geservte CP im localen netz …vielleicht hat wer eine Idee ?

    1. Hi Rob,

      nutz doch das Captive Portal von der Wireless Protection (Hotspot) der UTM. Tag einfach am Switch und AP VLAN 100 und mach ein tagged Port VLAN 100 wo deine UTM dranhängt, danach eine neue Schnittstelle “EthernetVLAN” erstellen. Das interface kannst du dann in einen neuen Hotspot ziehen.

  152. Hello has anybody the same Problem?
    I tried to install the UTM 9.5 on the Hardware that is displayed on the top. The General Setup works fine, but when I tried to finalise the configuration via the Web Admin I don´t have Access.
    It will Show that the page is not existend though the Server is running and the httpd is also runnning. Sometimes I get Access when I de-select and select again the TLS 1, 2 , … in the Webbrowser. But only for a couple of tries. I tried also different Webbrowser like IE, Firefox and Opera. For all the same behaviour.

    Currently I have a partly configured UTM 9.5 and stuck.

  153. Hi Michael,
    Danke für deine super Zusammenstellung – ich such mir aktuell auch eine sinnvolle Möglichkeit zuhause eine HW Firewall einzusetzen und Sophos mit der privat kostenlosen Version scheint das Mittel der Wahl.
    Ich hätte zwei DAU Fragen:
    – Hast du irgendwo möglichst Deutsch sprachig einen for-idiots Einsteiger Artikel zur Installation von Sophos Home mit eigener HW wie von dir hier beschrieben?
    – Trotz Sizing Guide, hast du für eine 200Mbits Leitung eine Empfehlung für ein HW Paket so wie oben – insbesondere möchte ich 4-6 WLANs fahren und bin mir unsicher ob externe Antennen mir nicht eine bessere Abdeckung geben würden?

    Danke,
    Bazinga!

  154. Hi Bazinga,

    generell registrierst du dich bei Sophos und kannst dann die Software ISO herunterladen. Diese packst du mit Rufus auf einen USB Stick und installierst davon direkt die Hardware. Wenn die Installation durch ist, startest du die Kiste neu, gibst dir die IP 192.168.0.2 und gehst mit dem Webbrowser auf die https://192.168.0.1:4444 ein Wizard führt dich durch die Installation und Lizenzinstallation.

    Ich empfehle ganz klar die ZBOX. Boxen mit internen WLAN antennen können von der UTM nicht verwendet werden. Entweder kaufst du Sophos Access Points (recht teuer für Home) oder du kaufst dir wie andere ubiquiti APs.

  155. Hallo. Ich finde diesen Blog absolut spannend und informativ. Auch ich habe seit ca. zwei Monaten eine Sophos UTM auf einem Supermicro A1SRi-2758F Mainboard als VM laufen. Alle LAN-Clients wurden statisch eingerichtet und laufen gut (150MBit/s Unitymediaanschluss bei ca 120-145MBit/s Traffic). Nun denke ich über die Implementierung der WLAN-Funktion nach. Meine Idee war die Nutzung meiner Devolo DLAN-Adapter. Der LAN-Adapter kommt in meinen Gigabit-Switch und der WLAN-verteilende Adapter kommt in mein Wohnzimmer. Durch den DHCP der Sophos UTM sollte es doch möglich sein, leases vergeben zu können, da die Anfragen ja über LAN reinkommen. Ansonsten wäre die Implementierung von VPN gut, da ich noch ein Büro an einem anderen Standort habe – wie richte ich das genau ein, bzw. welche Voraussetzungen müssen erfüllt sein. Zur Not setze ich eine zweite Sophos UTM auf und verbinde beide P2P. Das ist aber nur die Notlösung. Ich habe mir einen VPN-Router besorgt (GL-iNET GL-AR750), mit dem ich die Verbindung am Liebsten realisieren würde. Ist das damit – und wenn ja, wie – möglich?
    Vielen Dank im Voraus für alle helfenden Antworten und viele liebe Grüße

    1. Hi Uwe! Vielen Dank :)

      klar du kannst im Netzwerk einfach einen Access Point haben der dann ins drahtgebundene Netzwerk terminiert, somit vergibt deine UTM die IPs. Deine UTM sollte eine feste WAN-IP oder über einen DynDNS Anbieter von außen erreichbar sein. Hast du denn noch einen IPv4 Anschluss oder DS-Lite mit IPv6? Das solltest du als erstes klären.

      Die Sophos UTM kann mit anderen Herstellern nur IPsec sprechen. Du könntest das dann für VPN benutzen.

      1. Hi Michel,
        vielen Dank für die Informationen. Meine UTM hängt am Standardrouter (ConnectBox) von Unitymedia und kriegt von diesem eine IP dynamisch zugewiesen – das gleiche betrifft noch alle Geräte im WLAN. Erst dahinter im LAN hat die UTM das Sagen ;-)
        Diesen Umstand möchte ich ändern und die UTM alles machen lassen, was Firewall und DHCP betrifft. Durch das Deaktivieren der WLAN-Funktion an der ConnectBox und das Implementieren der DLAN-Adapter werde ich das WLAN also an die UTM bringen.
        Wie richte ich in meinem Fall nun die VPN Funktion ein? Meine Idee war, es entweder mit einem vServer (Linuxbasis) von Strato zu realisieren, der eine statische IP hat oder halt mit der UTM und meinem GL-iNet VPN Router.
        Ich male beide Ideen mal auf:
        1. LAN – Sophos UTM – ConnectBox – Internet – Gigacube – Sophos UTM – LAN
        2. LAN – Sophos UTM – ConnectBox – Internet – Gigacube – VPN-Router – LAN
        Kann der VPN-Router unter 2. eigentlich vom zweiten Standort in den ersten Standort durchtunneln und die Geräte bekommen von dort per DHCP eine IP zugewiesen oder ist die erste Lösung die klügere und die UTM’s verbinden dann die Netze?
        Vielen Dank schon mal für weitere Informationen und Hilfestellungen.

        1. Moin Uwe!

          Das zweite geht so nicht, es sei denn du nutzt eine Sophos RED (die aber auch einiges an Geld kostet). Du kannst natürlich auch eine UTM an deinem zweiten Standort nehmen. Andere Hersteller haben ja das standardisierte IPsec, man müsste es halt nur testen ob es dann auch funktioniert.

          Hast du denn zu Hause an der ConnectBox einen IPv4 Anschluss? Du musst ja diverse Ports zur UTM leiten bzw. Exposed Host einstellen. Solltest du einen DS-Lite Anschluss haben (IPv6 direkt bei dir, IPv4 Zugriff getunnelt durch das Unitymedia RZ), könntest du nur eine Lösung mit mit dem Strato Server hinbekommen ABER deine UTM muss dann auch mit IPv6 rausgehen (also auch im Transfer-LAN zur UM Box). Das wäre dann so:

          UTM IPv6 -> IPv6 Strato vServer | IPv4 Adresse vServer <- VPN-Router/UTM Ich bin schon lange Kunde und habe das Recht auf IPv4. Die haben mir das dieses Jahr einfach entzogen und dann habe ich eine Stunde Terror am Telefon geschoben ^^ habe es dann wiederbekommen. Als "neuer" Kunde hat man das Recht nicht mehr :-/

  156. Hallo Michel,

    ich wollte mich aus Interesse mal mit der Firewall fürs Heimnetzwerk beschäftigen und bin darüber auf deinen Blog gestoßen. Das ganze Thema an sich ist für mich Neuland.

    Ich habe mir, nach deinem Vorbild, die ZBOX CI327 ohne Win 10 mit den 4GB Speicher und der 128GB Sandisk Plus 128GB angeschafft. Das Zusammenbauen war ja wirklich easy. Booten möchte ich über ein externes DVD-Laufwerk.

    Leider habe ich jetzt einige Probleme bei der Installation des Sophos UTM Home. Ich habe die Version 9.510 unter Software appliance heruntergeladen und auf ne DVD gebrannt.
    Soweit so gut. Die Installation startet auch, aber bei der Installation bekomme ich immer die Meldung “mce: [hardware Error]: machine check events logged”. Da komme ich aber meiner Meinung nach nicht dran oder?
    Das Troubbelshooting beim booten hilft mir bei dem Punkt auch nicht wirklich weiter. Mache ich was grundlegend falsch? Habe ich was falsch verstanden? Ich hoffe, dass du mit weiter helfen kannst.

    Gruß,
    Ferum

  157. Hi Michel,

    hatte leider erst jetzt Zeit mit dem Projekt weiter zu machen. Also der Test hat keinen Fehler gezeigt. Ich habe die Installationsroutine mit “Default acpi=off” gestartet. Damit hat die Installation auch geklappt.

    Wenn ich jetzt jedoch auf dem WebAdmin zugreifen möchte ich, ist es etwas kompliziert. An sich möchte ich die ZBOX zwischen dem Kabelrouter und meiner Fritzbox betreiben. Zuerst habe ich den IP-Bereich der Fritzbox auf 192.168.2.x geändert, da ich sonst den WebAdmin nicht erreichen konnte. Dies klappt aber auch nur, wenn die ZBOX und mein PC in den LAN-Ports der Fritzbox eingesteckt sind. Dann habe ich jedoch keinen Internetzugang. Wenn ich dann die ZBOX mit dem WAN-Eingang der Fritzbox stecke, habe ich am PC Internet, jedoch komme ich nicht mehr auf den Webadmin. Habe ich da einen Gedankenfehler oder was mache ich falsch? ;-)

    Vielen Dank im Voraus für dein Hilfe.

    Gruß,
    Ferum

    1. Hi,

      hat sich erledigt. Hatte noch was falsch eingestellt. Jetzt scheint alles soweit zu laufen.

      Gruß,
      Ferum

  158. Hallo Michel,

    ich betreibe die Version 9.51 seit einiger Zeit nun auf der ZOTAC ZBOX CI327. Seit ein paar Wochen habe ich jedoch nun das Problem das ab und zu (manchmal mehrmals am Tag) die Internetverbindung an den Geräten hinter der Box weg ist.
    Nach wenigen Minuten ist sie dann wieder da. Generell ist in der Zeit das Internet vom Provider jedoch vorhanden, nur die Box lässt es nicht mehr durch.
    Ich hatte schon nach nem Update für die Box geschaut, kann jedoch keine bootable Treiber-Updates finden, sondern nur welche für Windows. Das Bios-Update hatte ich ausprobiert, hat jedoch keine Änderung gebracht.
    Hast du ne Idee dazu?

    Gruß,
    Ferum

    1. Hi Ferum,

      merk dir mal den Zeitraum an dem es passiert und dann schau mal was für Meldungen in den Protokollen

      – Kernelmeldungen
      – Konfigurations-Daemon
      – Middleware
      – Selbstüberwachung
      – Systemmeldungen

      drin steht, evtl. findet man dadurch heraus was das Problem ist.

      1. Hallo Michel,

        das einzige was ich selbst so erkennen konnte war, dass die Uhrzeit falsch war. Sie lag einige Stunden in der Zukunft. Da stand auch was von timewarp.

        2019:01:20-08:58:58 XYZ selfmonng[3683]: W check Failed increment dhcpc_running counter 1 – 1
        2019:01:20-08:58:58 XYZ selfmonng[3683]: [INFO-109] Dhcp client not running – restarted
        2019:01:20-08:58:58 XYZ selfmonng[3683]: W NOTIFYEVENT Name=dhcpc_running Level=INFO Id=109 sent
        2019:01:20-08:58:58 XYZ selfmonng[3683]: W triggerAction: ‘cmd’
        2019:01:20-08:58:58 XYZ selfmonng[3683]: W actionCmd(+): ‘/var/mdw/scripts/dhcpc start_selected’
        2019:01:20-08:58:59 XYZ selfmonng[3683]: W child returned status: exit=’0′ signal=’0′
        2019:01:20-09:16:21 XYZ selfmonng[3683]: I check Failed increment ntpd_running counter 1 – 3
        2019:01:20-12:46:19 XYZ selfmonng[3683]: I check Failed increment ntpd_running counter 1 – 3
        2019:01:20-09:35:26 XYZ selfmonng[3701]: W timewarp detected! (now: 1547973326 expected: 1547988428 deviation: -15102 threshold: 30)
        2019:01:20-14:53:18 XYZ selfmonng[3683]: I check Failed increment ntpd_running counter 1 – 3

        Ich habe aber auch das Gefühl, dass die Uhr der ZBOX schneller läuft, als sie sollte. Kann dies Auswirkungen darauf haben?

        1. Ja auf jeden Fall :) alleine die Sicherheitsfeatures mit den Zertifikaten… die Uhrzeit ist sehr wichtig, vielleicht mal Batterie tauschen?

          1. Echt die Batterien? Hängen die mit der Uhr zusammen? Das Gerät ist ja immer am Strom. Was kommt da denn rein?

          2. Eigentlich sollte es via NTP immer wieder korrigiert werden, im Grunde genommen ist das Quartz für die Uhr im System zuständig, vielleicht hat das Teil eine Macke.

            Um mal wieder auf dein Grundproblem zu kommen: Hat vielleicht die Web Protection ein Problem? Mach die mal aus und erlaube mal Vollzuriff ins Internet und guck ob du immer noch “Internetaussetzer” hast. Ich hatte das letztens auch zwei mal bei einem Kunden das Surfen nicht mehr ging weil der transparente Proxy einfach nichts mehr machte.

  159. Kurzer Update von mir: Ich hatte jetzt 3 Jahre lang eine Zotac CI323 am laufen, im Prinzip problemlos. Leider hat die CMOS Batterie ihren Geist aufgegeben, mit dem Resultat, dass der CI323 nur noch ins BIOS bootet (weil die Einstellungen bei jedem stromlos machen zurückgesetzt werden). Nicht gut wenn man im Urlaub ist.
    Das Problem scheint die hohe Temperatur in inneren der passiv gekühlten PCs zu sein, die die Batterie vorschnell altern lassen.
    Hab also eine Ersatzbatterie bestellt (CR2032 mit mini-stecker angelötet), die aber falschrum gepolt waren. Muss also erdtmal meinen Lötkolben wiederfinden…
    Da bin ich zufällig auf diese Firewall gestossen:
    https://www.aliexpress.com/item/KANSUNG-Core-i5-4200Y-AES-NI-Minipc-Nettop-Thin-Client-4-Lan-Ordinateur-Fanless-Firewall-Windows/32859103215.html
    Lieferung erfolgte innerhalb von 5 Tagen, und nun läuft sie schon bei mir (noch unter UTM 9.5) seit 2 Tagen ohne Probleme. Die CPU ist deutlich schneller wie die vom CI323, laut Passmark in etwa 2-3 mal schneller. Das Gerät wird nur etwas mehr als handwarm, die CPU zeigt 42 Grad an. Meine 120 MBit leitung voll ausgereizt erzeugt nicht mehr wie 20% CPU Last, mit IPS und ATP on.
    80 Mbit VPN TUnnel mit 3% CPU Last dank aes-NI.
    Bin bis jetzt sehr zufrieden. Wobei ich glaube dass das Batterieproblem hier auch nach 3 Jahren zum tragen kommt.

  160. Hi Edmund,

    dieses Modell sehe ich häufig, aber krass das es schon ein i5 hat, damit ist das Teil ja sehr schnell. Da steht ja sogar dass es 4x Intel Netzwerkkarten sind, wäre die Frage ob dort auch die XG dann läuft.

  161. Hey Michel, ich habe dein Howto erneut durchgearbeitet und auf deiner “Old Hardware'” installiert. Das Board hat ja zwei nics. Leider erkennt er nur eine. Hast du einen Tipp wie ich die zweite in Betrieb nehmen kann?

    Viele Grüße
    Lennart

    1. Hi Lennart,

      sehr komisch, da es ja zwei kompatible Intel Netzwerkkarten sind. Hast du frisch von einem USB Stick installiert? Was sagen ifconfig oder ethtool?

  162. Hi Michel,

    ja frisch vom USB Stick installiert. Ist die neueste Build und x64 Kernel.

    ifconfig:

    fw01:/home/login # ifconfig
    eth0 Link encap:Ethernet HWaddr 00:22:4D:AD:02:A2
    inet addr:192.168.203.111 Bcast:192.168.203.255 Mask:255.255.255.0
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:767 errors:0 dropped:0 overruns:0 frame:0
    TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:137905 (134.6 Kb) TX bytes:8955 (8.7 Kb)
    Interrupt:16 Memory:d0120000-d0140000

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:65536 Metric:1
    RX packets:4577 errors:0 dropped:0 overruns:0 frame:0
    TX packets:4577 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:4938731 (4.7 Mb) TX bytes:4938731 (4.7 Mb)

    ethtool habe ich noch nicht benutzt. Im Setup hat er halt auch gesagt die NIC hätte nur einen Port?!?!

    Also als ich das Setup vor ca 3 Jahren durchgeführt habe hatte ich die Probleme nicht. So als ob die Build ein Problem mit der nic hat

    Hast du ne Idee?

    Viele Grüße
    Lennart

  163. Ist das Board neu?

    Ich würde mal mit einem Livestick starten (Ubuntu?) und mal schauen ob da beide Ports erkannt werden.

    Eventuelle ist einer einfach defekt….

    Mit freundlichen Grüßen

    Tobias

  164. Hallo zusammen,

    aus irgendeinem Grund funktioniert es jetzt.

    Ich habe eine weitere Frage. Der komplette Traffic läuft jetzt durch den Bridge Mode. Allerdings kann mein Smart TV noch ganz entspannt Netflix abspielen, obwohl ich mal zum Test eine FIrewall Regel eingerichtet habe, welche alles auf dem TV verbietet.

    Gucke ich an der falschen Stelle?

    Hier die IP Konfig:

    IPv4-Adresse . . . . . . . . . . : 192.168.203.116
    Subnetzmaske . . . . . . . . . . : 255.255.255.0
    Standardgateway . . . . . . . . . : 192.168.203.111
    DHCP-Server . . . . . . . . . . . : 192.168.203.111
    DNS-Server . . . . . . . . . . . : 192.168.203.1

    Das die Firewall bereits filtert habe ich daran gemerkt, dass das Applikation Controll auf einem PC im Netz bereits funktioniert – (Testweise Youtube gesperrt).

    Viele Grüße
    Lennart

  165. Hallo zusammen.

    Ich betreibe sein einigen Jahren eine UTM (Homelizenz) hiter einer Fritzbox mit IPv4. Das ganze funtioniert auch sehr gut.
    Nun versuche ich sein einigen Tagen das Ganze auch mit IPv6.
    Ich bekomme von der Fritzbox an der UTM ein Delegated Prefix von /63.
    Dieses reiche ich an das interne Interface der UTM weiter.
    Die Konfiguration habe ich gemäß dieser Anleitung durchgeführt https://community.sophos.com/products/unified-threat-management/f/german-forum/63171/utm-9-mit-fritz-box-am-all-ip-anschluss-ipv6-probleme

    Von außen ist das externe und interne Interface der UTM pingbar.

    Nur leider bekommen meine Clients hiter der UTM keine IPv6 Adresse oder Gatewayadresse zugewiesen.

    Was mache ich falsch oder was fehlt noch?

    Wäre nett wenn mir jemand einen Tipp geben kann.

    Gruß Werner

Leave a Reply

Click on the button to load the content from jetpack.wordpress.com.

Load content

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Certificates

ekahau Certified Survey Engineer
ATP_wsrgb
ACMP2
suca
Post Categories
Post Archives