I’m using the new Sophos XG at home for about three weeks and I want to show you how to build your own Sophos XG Home Edition. This is only an instruction to build a Home machine, I will publish a blog post with the new features and a personal review the next days. I recommend the same hardware as for the Sophos UTM home machine but you can also compare the Sophos XG product matrix with the Sophos XG Firewall Sizing Chart (the “XG hardware” is the same as the “SG hardware” ;-) ):
Sophos XG Firewall Sizing Chart
Feel free to build a system by your own or buy directly a complete system:
Complete Systems
- Pico PC Barebone with 4x Gigabit NICs, Intel Celeron J1900, 4GB DDR3 RAM, 32GB SSD (fanless)
- Zotac ZBOX nano CI323 (ZBOX-CI323NANO-BE) <— missing HDD and RAM
- Intel Celeron J1900 (QuadCore 2,0GHz) 4GB DDRIII, 60GB SSD, USB 3.0, Dual LAN, e.Mini (fanless)
Hardware Components
- Mainboard
Gigabyte GA-N3150N-D3V - Case
Chieftec IX-01B-OP Compact Series Mini-Tower PC-Case black - Power Cable
LEICKE Power Supply 60W 12V 5A 5,5*2,5mm, LED Strips, Pico-PSU till 60W - Power Supply
PicoPSU-90 12V DC-DC ATX mini-ITX 0-90W power supply - Memory (Qualified Vendors List for Gigabyte MB; Qualified Vendors List for ASRock MB)
Kingston KVR16LS11/4 (4GB DDR3, SO-DIMM, 1600 MHz, 204-PIN)
or
Transcend TS512MSK64W6H (4GB DDR3, SO-DIMM, 1600 MHz, 204-PIN) - Harddrives
Kingston SSDNow V300 60GB SSD 6,4 cm (2,5 Zoll), SATA III
or
SanDisk SDSSDP-064G-G25 64GB SSD 6,4 cm (2,5 Zoll), SATA III
or
Corsair Memory LS CSSD-F60GBLS 60 GB SSD 6,4 cm (2,5 Zoll), SATA III
You will also need an USB-DVD-ROM drive to install the new Sophos XG ISO. It doesn’t work when you want to install it via USB stick (I already tested it) and it’s also not working with the Intel BLKD2500CCE mainboard (the software only recognized one network port even if the device manager is seeing both adapters, the Sophos XG was going down to FailSafe Mode “Network Interfaces lower than minimum required: 2”). You can also install Sophos XG at the UTM devices (for example the UTM 120; eth4 will be “Port1”).
Register for a MySophos account to request a serial number (home license) and download the SF OS Software ISO for Intel-Hardware (software-installer). Burn your ISO to a blank CD/DVD and boot from your optical drive to install the ISO:
At the end of the installation, the device is playing “Ludwig van Beethoven – For Elise” with the PC beeper (Sophos, what the fuck? -.-). Now configure an IP-address within 172.16.16.0 /24 to access the new WebAdmin at https://172.16.16.16:4444 (default username is admin with password admin):
Accept the eula:
at the next step, you need to activate, register and “synchronize” your device to the license service. The only way to do this will be done via an active internet connection (fixed IP address or DHCP). Yes, this is VERY annoying to do this at home with a PPPoE dsl line, you will need a second router only for doing the activation or you need to move to your office. At “Basic Setup” you can configure a fixed IP address:
type in your previously requested serial number and click on “Activate Device” (“Configure Auxiliary HA Device” is only for a slave cluster node):
click on “Register Device”:
click on “Synchonize License” to do the last step. After this you are finally able to login and configure your device:
Since we are professionals, we don’t use the configuration wizard ;-) skip it to go directly to the new Sophos XG dashboard:
I’m using an ASG120 (same hardware as Sophos UTM 120 Rev. 4) with 2GB RAM. Surfing the web and downloading speed have increased! I can download with full speed WITH activated web filter and full IPS. I could only use half of my internet bandwidth with the Sophos UTM v9 and activated IPS. This is a speedtest with the new Sophos XG:
I had some starting problems with my Sophos AP30:
Even updating the firmware, the software packages (yes, It’s now divided) and a restart was not the solution for the Inactive AP. I needed to reset the access point with the recovery tool to get it back to work.
Have Fun with your new XG Home Edition! :-)
211 Responses
Die XG habe ich mir auch schon angeschaut, aber ist Sie auch so einfach einzurichten, wenn man bis jetzt nur die XG gut kennt?
Hi Tobi,
es ist halt komplett anders, alles macht man nun in einer Regel bzw. pro Regel (Firewall, NAT, IPS, Webfilter). Ich selbst bin auch noch nicht super happy über das Betriebssystem, Mitte 2016 kommt ein großes Update. Das Handling gefällt mir noch nicht.
Hallo Michel,
sehr gute Info bezüglich der XG Edition! Verfolge Dein Blog schon länger und hatte auch eine Home UTM laufen. Sehr interessant wäre natürlich jetzt hardwareseitig das WLAN, so dass man auf einen AP verzichten könnte. Kannst Du hierzu eine Aussage treffen?
Ansonsten schöne Feiertage,
Sebastian
Hi Sebastian,
das wird es so nicht geben. Auf den zusätzlichen Access Point kann man nicht verzichten. Es gibt ja aber günstige Alternativen von TP-Link oder Ubiquiti um auch mehrere APs zentral zu verwalten. Sichern kannst du die WLANs/VLANs dann mit deiner vorhandenen UTM/XG und auch sogar ein Gästenetz mit Vouchern aufbauen.
Über die Festtage werde ich mir meine neue Appliance einrichten. Nun die Quizfrage: Soll anstelle von der UTM Home License die neue XG Home wählen? Spricht etwas dagegen?
Bis jetzt konnte bloss zwei Limiten ausmachen: Maximal 4 Cores und 6 GB Arbeitspeicher. Sind ansonsten die Limiten unverändert?
Hi Michel,
bin jetzt auch von der UTM auf die XG Home umgestiegen. Lässt sich der Security Heartbeat auch mit der Sophos Home Endpoint Security nutzen ? ;)
Viele Grüße & schöne Feiertage
Kevin
Hallo Kevin,
leider ist es nicht möglich den Security Heartbeat so zu nutzen wie du es beschreibst. Das geht nur in der kommerziellen Version der XG mit der Sophos Endpoint Protection Suite.
Hi Michel,
danke für den interessanten Bericht. Ich selbst habe die XG Home noch nicht getestet, das werde ich aber sicher bald nachholen. Hier noch ein paar Hardware Empfehlungen:
https://www.cartft.com/catalog/il/1894
https://www.cartft.com/catalog/il/1999
http://www.cartft.com/catalog/il/2001
Da sollte für jeden Wunsch was dabei sein. Ich selbst habe den Jetway JBC320U93W-2930-B (60GB SSD und 4GB Ram) mit UTM Home im Einsatz gehabt und bei aktiviertem IPS und Webfilter habe ich meine Leitung (150MB) voll ausnutzen können.
Viele Grüße,
Roman
Hi,
bin auch schwer interessiert an dem Thema und schaue bereits seit einiger Zeit immer mal wieder rein.
Ich hätte vorab mal ein paar Fragen:
– funktioniert die XG Edition nach wie vor mit den Realtek Netzwerkkarten ? Tendiere zu dieser Hardware und dort sind die Realteks drauf, wenn ich nicht falsch liege http://www.amazon.de/gp/product/B00JSA3R30?psc=1&redirect=true&ref_=ox_sc_act_title_1&smid=A87DELNBFS8K3 Meine im Sophos Forum hat einer geschrieben, das er nicht installieren konnte wegen Realteks und er solle auf Intel wechseln
– gibt es bei der Firewall so eine Art Lernmodus? Irgendwas was einem unterstützt, die ganzen Regeln initial einzurichten ? Was schätzt ihr wird der Aufwand für die initalie Einrichtung sein, so das dann auch Amazon Prime, Netflix und Co wieder funktionieren, wenn man bisher keine Erfahrung mit Sophos hat ?
– für den Schutz der WLAN Geräte habe ich jetzt schon erlesen können, das dafür ein Access Point notwendig ist, über den sich diese dann verbinden
Schönen Gruß
Marcus
Hi Marcus,
ja funktioniert weiterhin, hatte es auf der Hardware mal testweise installiert. Lernmodus gibt es so nicht, du musst die Konfiguration händisch komplett neu machen. Mitte des Jahres soll es angeblich ein Migrationstool geben. Die Regellogik ist aber komplett anders, glaube nicht dass da ein gutes Tool bei rum kommen kann :)
du kannst jeden AP verwenden oder einen Sophos AP intern betreiben, das bleibt dir überlassen. Ich habe zu Hause einen AP30
Hallo,
ich habe es am Wochenende jetzt auch geschafft die XG auf der Vorgeschlagenen Hardware zu installieren.
Zu meiner Schande muss ich gestehen, dass ich das ganze mit dem Assistenten gemacht habe, aber es lief dann auch direkt alles. Einzig das Scannen von ftp http und https musste ich noch einschalten, aber es läuft und ist von der Hardware her noch viel Luft nach oben bei einer VDSL50 Leitung.
Um das Konstrukt jetzt noch zu perfektionieren habe ich mir eine Fritzbox bestellt, die dann den Telekom Router ersetzt, da dieser keine Exposed Host Regelung kennt.
MfG
Hi Tobi,
warum hast du kein VDSL Modem geholt? :) dann kann direkt die XG die Verbindung aufbauen.
Ich bin anscheinend zu doof den richtigen Reply Knopf zu drücken :-(
Weil so die Fritzbox auch die IP Telefonie mit macht (ich hab mir gleich noch ein Fritz!Fon mitbestellt, da mir das Telekom Teil nicht wirklich gefällt)
;-)
ok stimmt das ist ein Argument! Will bald eine Anleitung schreiben wie man mit VDSL Modem in die verschiedenen Netze taggen kann, dann geht auch T-Entertain über UTM und VDSL Modem :) kannst dann mit VLC Player direkt TV Sender aufrufen :D
Hi,
Interessiere mich auch sehr für die neue Version, nun ist meine Frage ob es Sinn macht diese auf meiner aktuellen SG105 rev.1 zu installieren (XG Software Version mit Home Lizenz).
Zur Zeit nutze ich die UTM 9 Software Version mit der Home Lizenz.
Mit aktiviertem IPS und Webfilter läuft der CPU auf meiner Box am Limit wenn jemand etwas im Lokalen Netz downloaded.
RAM habe ich auf 8GB aufgestockt und als Festplatte benutze ich eine SSD. Trotzdem habe ich extrem Probleme wenn jemand downloadend.
Hat jemand gleiche Erfahrungen gemacht bzw. sollte es mit der XG Version besser laufen?
Oder soll ich neue Hardware anschaffen?
Zurzeit habe ich eine 100 Download /15 Upload Leitung.
Schönen Gruß
Simon
Hallo Simon, interessanter Eintrag. Bitte schreibe mir wie hast Du dein SG105 box auf 8 GB RAM aufstocken können? Wenn ich einen passenden 8GB Speicher einsetze, die Firewall (UTM 9.6) bootet nicht. Wie gesagt der Speicher ist geprüft uns passt von der Spezifikation her. Gibts da einen Trick?
Gruß Pezo
Hi Simon,
ja die XG performance ist viel besser und ich nutze eine ASG120 dafür. Habe selbst 100Mbit Unitymedia Leitung und schaffe mit aktiviertem IPS die volle Bandbreite. Welche Hardware hast du denn?
Hallo Michel
Ich benutze zurzeit eine Sophos SG105 rev.1, welche ich mit 8GB RAM und einer SSD aufgerüstet habe.
Wend du etwas unterlädst wie sieht es bei der Performance auf deiner Box mit aktivierten IPS aus?
Im Zuge meines Wechsels auf Unitymedia habe ich mich auch zum Update auf die neue Version entschieden. Aber wenn ich das richtig gesehen habe, macht das ja keinen Sinn mehr, da man ja keine eigene IPv4 mehr bekommt. Oder wie sieht das wohl im Zuge der anstehenden Auflösung des Routerzwangs aus? Überlege nun, ob ich deswegen warten soll oder doch noch auf einen Business-Anschluss wechsel. Hat hier vielleicht jemand eine Meinung dazu?
Du bekommst nur eine IPv6 Adresse, IPv4 wird getunnelt über das Unitymedia Rechenzentrum (ergo auch keine IPv4 Portforwards mehr möglich). Kann man denn solche DS Lite Anschlüsse mit einem reinen Modem von Unitymedia betreiben? Die liefern doch nur noch diese Horizon-TV-Telefon-WLAN-Router-Box aus oder nicht?
Sie liefern eine Technicolor TC7200 oder eine Fritzbox Cable mit aus, je nachdem welche Pakete man gebucht hat. Es gibt zwar eine Bridge-Funktion, diese wird jedoch automatisch wieder zurückgesetzt, nachdem man sie eingeschaltet hat.
Wenn ich jetzt mal alle Gutschriften, Gebühren usw. zusammenrechne komme ich letztlich in den ersten 24 Monaten auf eine monatliche Differenz von 7,80€ zwischen Privat- und Businessanschluss. Wenn ich überlege, dass ich dafür eine statische IP und einen um 4 Mbit höheren Upload habe, ist das durchaus eine Überlegung wert. Und dann in 2 Jahren vielleicht mal schauen, wie es dann mit der Technik aussieht.
So ein DS-Lite Anschluss nimmt einen ja doch so einige Möglichkeiten…
Is there any way to export the firewall and NAT rules from Sophus UTM Home and to import them to Sophos XG Home?
Hi Patrick,
not at the moment. Sophos said that they want to publish a migrationtool in mid 2016.
Hallo Michel,
könntest Du ein Howto für die XG schreiben wie man die am besten einrichtet? Also jeweils mit einem Basic Setup? Habe zu Zeit die UTM aber die XG reizt mich schon irgendwie. :) Biste Du zufrieden? Sollte da nicht demnächst ein Update kommen?
Generell habe ich selbst nicht viel eingerichtet, eine Regel von innen nach außen any mit Web und IPS Regel. Gibt seit langem keine Updates. Das große Update kommt im Sommer diesen Jahres. Aktuell gehen von meinem iPhone keine Webvideos mit eingeschalteter Webprotection. Ich muss mal schauen ob ich einen Filter dafür bauen kann .mp4 ausklammern brachte noch keinen Erfolg :/
Das mit den Webvideos habe ich bei mir auch.
Zusätzlich ist es mit eingeschalteter Webprotection nicht möglich mit dem MediaCreation Tool ein Windows 10 Iso herunterzuladen.
Sehr seltsam.
Das ist ganz komisch, bei der Webregel “Allow All” geht es nicht, wenn man “none” auswählt geht es… irgendwie greift keine Ausnahme
Hi zusammen,
kurze Frage:
Ich möchte auch die XG Home nutzen, habe 2 Internetanschlüsse und mache dann dementsprechend PBR, da ein Anbieter per Funk ist und ich z.B. die VPN’s über das normale DSL laufen lasse.
Nun die Frage der Performance, komme quasi auf ca. 100MBit in Summe und frage mich welche Hardware besser ist:
http://www.amazon.de/Celeron-QuadCore-DDRIII-e-Mini-fanless/dp/B00JSA3R30/ref=sr_1_8?ie=UTF8&qid=1454090788&sr=8-8&keywords=j1900
oder lieber eine Sophos XG 85 kaufen und darauf die Home Version installieren (geht das überhaupt?)
Besten Dank für Eure Hilfe!
Ps: Ich überlege nur wegen der XG 85, da ich ansonsten noch einen Layer 3 Switch mit VLAN’s benötige.
Hier gibt es die XG 85 relativ günstig
http://www.firewalls.com/firewall/sophos/xg-85
Ich empfehle eigene Hardware zu nutzen. Im Sophos Forum gibt es einen Beitrag zum Thema Home UTM auf XG. Es ist nicht supported und nur durch ein paar Tricks möglich. Sollten die Checks einbauen damit das nicht geht, sitzt du nachher auf der Hardware. Nimm lieber so ein fertig Set wie auf deinem Amazon Link. Switches mit VLAN Support gibt es günstig von Netgear.
Hallo zusammen, toller Blog übrigens!
Ich habe bei der Virtualisierung der XG das Problem das die Netzwerkkarten nicht erkannt werden.
Total Number of interfaces: 0
Going to FailSafe Mode.
Password: _
Interessanter fakt übrigens, nach dem Login auf der Konsole erscheint folgende Meldung:
“You need to agree to the EULA before proceeding further. Logon to the Admin Console and accept.”
Gestaltet sich ohne Netzwerkverbindung allerdings als schwierig :-P
Ist das Problem schon jemandem bekannt?
Moin :)
Vielen Dank! Guck mal ob die Netzwerkkarten aktiviert sind, war bei mir das Problem.
Toller Blog – vielen Dank für die Mühe! Habe eine XG Home aufgesetzt und würde gerne ohne Fritzbox (bzw. ohne Exposed Host Lösung) VDSL2 nutzen. Aber auch nach intensiver Suche habe ich irgendwie kein echtes VDSL2-Modem gefunden. Gibt es die nicht (mehr)? Die Fritzboxen kann man ja wohl auch nicht mehr als reine Modems einsetzen. Gibt es hier irgendjemanden mit Erfahrungen auf dem Gebiet? Besten Dank und viele Grüße, Oliver
Hi Oliver,
doch es gibt noch reine VDSL Modems: http://networkguy.de/?p=628 gibt auch welche von Allnet http://networkguy.de/?p=398
wenn du aber T-Entertain nutzt, muss hier in verschieden VLAN Netze getaggt und mit dem IGMP Proxy die Multicast Pakete geroutet werden. Eine entsprechende Anleitung muss ich noch schreiben. Ich selbst habe keine VDSL Leitung, die Anleitungen sind aus Kundenprojekten entstanden, war jeweils immer ein T-DSL Business Anschluss.
Hi Oli,
ich noch mal :) das hier hatten wir beim letzten Telekom Kunden verwendet: http://www.amazon.de/gp/product/B008VZNTEA/ref=as_li_tl?ie=UTF8&camp=1638&creative=19454&creativeASIN=B008VZNTEA&linkCode=as2&tag=netguy-21
Hallo zusammen,
beim Suchen nach Hardware bin ich auf diesen Beitrag gestossen. toll geschrieben.
Kennst du per Zufall eine Hardware mit 3 x 1GB Nics? Würde deine empfohlene Hardware oben auch bei einer 250Mbit Leitung reichen wenn man AV und IPS einschaltet? Weisst du was für ein Prozessor die XG 105 drin hat? habe nur die RAM angaben gefunden.
Besten Danke
Gruss Patric
Hatte jetzt auf die schnelle das Jetway NF9HQL-525 gefunden. Ich denke mit 250 MBit brauchst du eine stärkere Maschine. Ich hatte mal einen Screenshot ab der SG210 (ist wie XG210) hochgeladen: http://networkguy.de/wp-content/uploads/2014/04/sophos-sg-hardware.png
SG Hardware = XG Hardware
die SG105 und SG115 haben einen Dual-Core Baytrail E3826, SG125 Dual-Core Rangeley C2358 und die SG135 Dual-Core Rangeley C2558. Die XG verarbeitet Daten schneller als die UTM weil IPS pro Regel angewendet wird. Auf Seite 4 siehst du den Throughput: https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-xg-series-appliances-brna.pdf?la=en, angeblich reicht da schon eine XG85, müsste man aber mal testen.
Hallo Michel,
Wenn ich aber die Hardware der XG 105 (Atom Dual-Core mit 1.4GHz, 2GB Ram) mit der des Intel Celeron J1900 (QuadCore 2,0GHz) 4GB DDRIII vergleiche. Ist die des “selbstgebauten” überlegen. Spricht noch etwas gegen die nutzung des J1900 bei einer 250MBit Leitung? DIE XG105 schafft das laut Datenblatt problemlos. Daher sollte der J1900 das eigentlich auch, oder sehe ich das falsch?
Gruss Patric
Hi Patrick,
stimmt, die Benchmarks sagen es auch direkt aus: http://www.technikaffe.de/cpu_vergleich-intel_celeron_j1900-327-vs-intel_atom_e3826-55
Hi, wollte mir direkt einen fertigen PC mit zwei Netzwerkkarten kaufen.
Passt der hier?
https://www.zotac.com/de/product/mini_pcs/mi525-0
Hi Onza,
ja das geht auch. Finde ich aber mit 340 Euro echt teuer. Komplettsysteme auf Amazon mit Dual-NIC kosten ca. 200 Euro.
Hallo Michel,
bin gerade am verzweifeln T-Com Entertaiment durch meine Sophos XG zu bekommen. Meine Konfig:
Internet 50er VDSL – DrayTek – Sophos XG – Switch – AP und Clients. Die Einwahl macht die Sophos, d.h. der DrayTek fungiert als Modem mit PPPoE Pass-through auf aktiv. Auf dem DrayTek habe ich mich an die Anleitung gehalten: http://www.draytek.de/wie-konfiguriere-ich-iptv-mit-t-home-entertain.html
In Deinem tollen Blog habe ich gelesen, dass ich über Iphone + VLC dann Fernsehen kann.
Aber mir fehlen die Einstellungen auf der Sophos. Über einen Tipp würde ich mich sehr freuen.
Viele Grüße
Tobias
Hi Tobi,
mit der XG kann ich keine Erfahrungsberichte nennen. Mein Kumpel hat Erfahrung mit Sophos UTM und dem T-Entertain. Ich muss Zeit finden und mit ihm telefonieren, das dauert aber noch ein bisschen bis dahin.
Hallo Michel,
Danke für die Infos in Deinem Blog!
Leider ist das Gigabyte-Mainboard nirgendwo mehr lieferbar. Das Asrock gibt es, aber das hat nach meinem Verständnis nur einen LAN-Port? Wie war das gedacht? Nach meinem Verständnis bräuchte ich doch min. zwei LAN-Ports.
Alternativ habe ich folgendes Mainboard gefunden Gigabyte GA-N3150N-D3V http://geizhals.de/gigabyte-ga-n3150n-d3v-a1333965.html (dieses ist etwas energiesparender, ist aber auch minimal leistungsschwächer mit dem Intel Celeron N3150). Denkst Du dass dieses auch funktionieren würde?
KabelDeutschland: 100 MBit down/6 MBit up.
Danke & Grüße
Frank
Hi Frank,
sollte damit auch gehen, musst du testen, für genaue Speedangaben fehlt mir die Erfahrung mit dem Board. Ja du brauchst auf jeden Fall zwei LAN-Ports. Ich habe das ASRock da mal rausgenommen und das von dir empfohlene reingepackt. Bei dem ASRock kann man mittels Digitus USB GigabitEthernet Adapter nachhelfen. Geht aber zumindest getestet bei UTM, bei XG wahrscheinlich nicht :)
Hallo. ich lese mich gerade in das Thema ein. Klingt sehr spannend.
Mein Internetzugang wird über ein Kabelmodem bereitgestellt, hinter dem eine FritzBox 7490 (DHCP, DNS Server, Internetzugang über LAN1) hängt. Daran angeschlossen 3 Clients und ein Switch für Drucker, NAS und SAT Receiver.
Wenn ich das richtig verstanden habe, muss die Sophos zwischen Fritzbox und Clients. Wie kann ich dann aber WLAN Geräte schützen? Die sind ja dann vor der Firewall…?!
Hi Steffan,
wenn du dich natürlich in das FritzBox WLAN verbindest, bist du natürlich nicht geschützt. Besser wäre es, die XG/UTM kommt direkt ans Kabelmodem und erhält somit die WAN-IP. Die Fritzbox kommt ins interne LAN mit einer einfachen IP. Somit ist alles hinter deiner neuen Firewall.
Ok. klingt logischer. Bin ich mal gespannt ob ich das konfiguriert bekomme…
Danke :-)
Hallo. Heute war der Tag der Tage. Hardware ist gekommen. Da ich nur noch einen Rohling hatte und mir das falsche ISO gezogen habe läuft nun die UTM statt der XG (passiert halt in der Aufregung *g*).
Ich habe Sie zwischen Fritzbox und Modem gehangen, DHCP Server auf der LAN Seite aktiviert und komme wunderbar auf die Weboberfläche der UTM. Soweit sogut – weil mehr geht logischerweise noch nicht.
Gibt es irgendwo ein Tutorial/HowTo für die Grundeinrichtung, dass ich (und vor allem meine Frau) wieder im Netz surfen können?
Danke und Liebe Grüße
Steffen
PS: Board ist übrigens ein Gigabyte GA-N3150N-D3V geworden- ausgestattet mit 8GB RAM und einer 160er Platte, verpackt in einem fast 10 Jahre alten Monster-Chieftec Tower. Wenn es alles funktioniert darf ich mir dann auch ein etwas zeitgemäßeres, kleineres Gehäuse und eine SSD kaufen :-)
Hi Steffen,
naja generell brauchst du ja erst mal nur die Regel “Internal” —any—> “Internet IPv4” danach sollte es gehen. Der Webproxy packt die Pakete transparent auf.
Ich kann die Zotac ZBox CI323 empfehlen. Hat eine schnelle 4-Kern CPU (Intel N3150), kann AES-NI.
2 NICs (Realtek) und Wifi. Ich verwende derzeit UTM9.3 darauf ohne Probleme (das Wifi-Board habe ich aber ausgebaut, kann also nicht sagen ob man es als AP verwenden kann).
Mit meinem 75Mbit Internetanschluss schaffe ich es nicht die CPU über 50% zu bekommen, obwohl IPS, Web Filter usw. eingeschaltet ist.
Hi Edmund. Was sind Deine Erfahrungen nach ein paar Wochen Test? Ich habe eine 100/100 Internetanschluss. Kannst Du die ZOTAC ZBOX CI323 NANO (Intel Celeron N3150, HDMI, USB 3.0 Typ-A) immer noch empfehlen? Danke. Gruss Roman
Ja, läuft einwandfrei, und habe keine Performance-Engpässe bisher gehabt. Im Gegenteil, selbst bei vollen 75 Mbit mit IPS usw. an im Durchschnitt etwa 10-20% CPU Auslastung.
Top Leistung für ein Passiv-Gekühlten Mini-PC.
Kurzes Feedback meinerseits: Die Zotac läuft einwandfrei und ich habe bei 100Mbit eine Auslastung von 20%. Schliesse mich Edmund an: Top Leistung für ein Passiv-Gekühlten Mini-PC
Cool! Und sogar günstig! Ich werde es oben ins Portfolio eintragen. Ist das Gerät ohne Festplatte und die “P” Version mit Festplatte?
Vielen Dank für den Tipp. Denkst du darüber würden auch 400 Mbit laufen? Hast du vielleicht mal einen Durchsatztest im LAN durchgeführt? :)
Der Kollege Roman hat bei 100 Mbit eine CPU AUslastung von 20%.
400 Mbit und mehr wäre also möglich, es kommt darauf an welche Filter du eingeschaltet hast.
Hallo zusammen,
habe derzeit die XG als exposed host hinter eine FritzBox was suboptimal ist.
Heute ist das VDSL Modem angekommen und daher würde ich jetzt gerne direkt eine PPOE Verbindung aufbauen.
Frage: Die XG ist auch als DHCP auf der LAN Seite aktiv. Welche DNS Server trage ich für die LAN Seite ein? 128.0.0.1 als IP für die WAN Seite oder belasse ich local device Settings?
Vg
Patrick
Die XG kann ja über Google DNS mit 8.8.8.8 und 8.8.4.4 auflösen. Die Clients nutzen die XG.
Danke für die schnelle Antwort. Bei der WAN Seite würde ich die DNS Adressen nehmen die der Provider vorgibt. Welche IP stelle ich bei den Clients ein? Die IP der XG auf der WAN oder LAN Seite?
Da die Clients ja im LAN sind, natürlich die LAN IP der XG
Merci. Die XG verhält sich manchmal recht seltsam. Im aktuellen Setup als exposed Host muss ich die FritzBox als DNS Server angeben, sonst geht es nicht, bzw. die Adressauflösung dauert ewig….
Hallo zusammen,
XG baut nun direkt eine PPPOE Verbindung auf und läuft soweit richtig flott. Ich habe hinter der XG eine FritzBox an der auch die IP Telefone hängen. Die Fritzbox habe ich so konfiguriert das die eine Internetverbindung über LAN aufbaut. Die Fritzbox hat ebenfalls DHCP am laufen, vergibt jedoch einen anderen Adressbereich als die XG für die Clients. Nur am Internet Interface der Fritzbox hat die eine IP im Adressbereich der XG.
Frage: SIP Telefonie (Telekom) nach draußen geht.
Ankommende Anrufe gehen jedoch nicht durch.Habe ein Portforwarding auf der XG in Richtung FritzBox eingerichtet, jedoch ohne Erfolg. UDP Ports 5070,5080,30000-31000,40000-41000.
Hat jemand eine Idee woran es liegt? Habe keine Bock mit Wireshark alles auszulesen….
Für alle die es interessiert…
Auf die XG Console gehen und den Befehlt system “system_modules sip unload” eingeben.
Die XG scheint irgendwelche Ports umzubiegen die die FritzBox nicht mag…
Vg
Patrick
Hi, hast du einen Tipp? Hab die aktuelle XG Iso und schon alles versucht. DD auf Usb Stick, USB CDRom mit gebrannter CD. Immer das selbe. Er sagt “Loading Firmware” und dann kommt Error Requirements: Disk 10G Ram: 1 GB
Ich habe das Gigabyte Mainboard, mit 8GB Ram und ner 128er SSD. Auf der gleichen Kiste läuft auch die UTM problemlos.
VG
Christian
Hallo,
super Homepage. Finde immer wieder interessante Dinge. Ich wollte mir heute den vorgefertigen Client bei Amazon bestellen. Leider ist dieser nicht mehr verfügbar – vermutlich EoL. Gibt es schon einen Nachfolger?
Viele Grüße
Tom
Hi Tom,
vielen Dank :) ich werde eben die Einträge ändern.
Hallo Michael,
perfekt, dann werde ich mir den Nachfolger bestellen. Sehe gerade, dass der ein wenig “schwächer” ist. (QuadCore 1,6Ghz). Die Performance sollte aber trotzdem reichen?
vg Tom
Hi Tom,
genaue Performance weiß ich jetzt nicht. Generell ist die XG weniger leistungshungrig wie die UTM. Schau einfach mal. Hast ja 14 Tage Fernabsatzgesetzt und bei Amazon kannst es ohne Grund zurückgeben :) Aber ich denke du wirst locker eine 100 Mbit Inet Leitung damit aussaugen können.
Hallo,
kann man wie bei der alten 9er UTM nach der Ersteinrichtung auch über ein Tagged VLAN mit nur einem Netzwerkadapter arbeiten oder verweigert die Box ohne zweite physikalische Netzwerkkarte immer den Dienst? (Failsafe mode)
Viele Grüße
Markus
Hi Markus,
also mit nur einer Netzwerkkarte geht es leider nicht, hat mich auch total aufgeregt >:-(
Hi Michel,
I just discovered your blog with huge interest and i would like to ask you if you know the difference between Sophos UTM and Sophos XG ?
I don’t find on Sophos Website the matrix between two products.
Thanks for your help.
Hi Jeff,
this is an interesting question! I will release an overview about Sophos UTM vs. XG :)
Hi Michel,
Would you advise XG over the UTM (for home use?)
Gr.
Jan
Hi Jan,
I would recommend UTM. Currently, XG has some missing features.
Ist es so das die XG keine Beschränkung mit 50 IP Adressen hat?
Hatte bislang eine UTM im Einsatz aber meine Lab Umgebung übersteigt leider die 50 Ip Adressen sofort.
Hi Olli,
eine gute Frage, bisher gibt es keine offiziellen Informationen dazu. Man müsste es testen.
soweit ich gelesen habe, gibt es das 50-Ip-Limit bei der XG nicht mehr.
Hallo Michel,
ich habe hinter einer FRITZ!Box eine Sophos XG Firewall im Bridge-Modus am Laufen. Im Control-Center wird neuerdings und nach mehreren Neustarts der Appliance der Gateway-Status bzw. die Verbindungen mit einem roten Punkt bzw. einem roten Symbol angezeigt obgleich alles einwandfrei zu funktionieren scheint.
Irgendeine Idee zu dem merkwürdigen Verhalten?
Viele Grüße
Steve
Wie witzig, Problem scheint sich just the moment erledigt zu haben.
Grüße
Steve
Hi Steve,
auch ich bin ein ungeduldiger Mensch ;)
Hallo Michel,
hast du schonmal https scanning auf der XG aktiviert und das Zertifikat an iOS Devices ausgerollt?
Ich kann das Zertifikat herunterladen werde aber beim import vom iOS Device nach einem Kennwort gefragt, welches ich nicht habe?
Hi Marc,
das ist eigentlich dein Entsperrcode :)
*lol*
Natürlich! Du hast Recht ;) Jetzt fällt es mir auch wieder ein.
Danke für den Gedankenstoß.
Grüße
Hi Michael,
habe die XG Home als VM bei mir zuhause am laufen. Läuft soweit, aber jetzt wollte ich mich mal daran setzen, mein Exchange 2013 dahinter zu klemmen. Mein Englisch ist nicht wirklich gut, mit Anstrengung versuche ich mich durch die komplexen englischen Texte voranzuarbeiten. Meine Frage ist, ob Du eine Deutsche Administrationsanleitung dafür kennst? Ich habe die englische gefunden,da ist ja eigentlich alles erklärt, die brauche ich auf Deutsch. Für Tipps wäre ich sehr Dankbar
Hi Resul,
also du willst Exchange mit der Webserver Protectin schützen? Ich habe das hier http://networkguy.de/?p=998 dokumentiert, du kannst direkt nach den Bildern gehen.
Hallo! Vielleicht eine blöde Frage aber kann man dieses XG firewall auf einem Sophos UTM 110/120 device installieren? Wenn ja würde das genau so gut laufen wie auf einem Intel PC? Danke!
Hi Imre,
nein das geht leider nicht. Wenn du die Sophos Hardware nutzen willst, musst du als Untergrund die SG Variante haben. Da hilft wohl nur ein Eigenbau-System.
Danke Michel!
Hallo,
habe vor kurzem eine Sophos XG85w Firewall erworben inkl. Draytek Vigor 130 Modem. Das Einrichten hat soweit gut funktioniert. Das einzige Problem was ich jedoch habe ist bei einer VPN SSL Verbindung vom Client (Windows) zur X85 Firewall, die Verbindung wird aufgebaut jedoch kann ich nur die Firewall pingen. Eine Firewallregel von VPN zu LAN habe ich erstellt, geht leider immer noch nicht. Hat jemand eine Idee?
PS: Die Seite ist echt KLASSE ;-)
Grüße & Danke
Oliver
Hi Oli,
als Zone VPN mit dem SSL VPN Pool nach LAN mit dem Internal-Network ist erstellt? Pack die mal nach ganz oben, evtl. spinnt hier NAT dazwischen. Was sagt das Firewall-Protokoll.
Danke für deine Rückantwort. Nein habe ich nicht erstellt, hast du einen Tipp wo das gemacht wird bei der XG?
Danke Grüße
Oli
Hallo,
ich habe eine XG105w HW Appliance vor mir stehen. Diese habe ich im ersten Setup- Schritt mit der geräteeigenen Seriennummer registriert. In meinem jugendlichen Leichtsinn war ich der Meinung auch im Nachgang meine Home – Lizenz einspielen zu können. Leider ist dem nicht so.
Gibt es eine Möglichkeit diesen “Registrierungs- Schritt” rückgängig zu machen und mit der neuen “Home- Lizenz- Seriennummer” zu bestücken?
Danke fürs feedback :-)
LG
TschiepTschiep
Hi David,
ich glaube ich muss dir leider eine negative Botschaft überbringen: Die Home Lizenz funktioniert nicht auf einer Hardware Appliance, das ist auch von Sophos so bestätigt: https://community.sophos.com/products/xg-firewall/f/hardware/10928/xg-firewall-home-edition-on-sg-hardware
ich fürchte du musst die Hardware verkaufen und dir ein eigenes System bauen.
vielleicht ein Lichtblick: http://ideas.sophos.com/forums/330219-sophos-xg-firewall/suggestions/10754394-allow-xg-home-edition-run-on-sg-hardware
Hi David! Anscheinend geht es nun: https://community.sophos.com/products/xg-firewall/f/hardware/10928/xg-firewall-home-edition-on-sg-hardware/309100#309100 (letzter Post)
Habe gerade gelesen, dass Sophos die Version 16.01.0 veröffentlicht hat. Ehrlich gesagt habe ich mich immer noch nicht an die XG-Version gewöhnt. Finde die klassische Variante immer noch intuitiver. Daher mal die Frage in die Runde, ob schon jemand Erfahrungen mit der neuen Version hat?
https://community.sophos.com/products/xg-firewall/b/xg-blog/posts/sfos-16-01-0-released-1523397409#?cmp=701j0000001ndy5AAA
Hallo zusammen
Ich möchte auf meiner XG auch das HTTPS Scanning aktivieren. Da ich regelmässig auch Besuch zuhause haben, welche über mein WLAN Surfen habe ich ja mit den Sophos eigenen Zertifikate ein Problem. Was für ein Zertifikaten Typ muss ich mir bestellen, damit auch Fremde übers WLAN auch auf https Seiten surfen können? z.B von goDaddy https://ch.godaddy.com/web-security/ssl-certificate ein normales SSL Zerifikat für Webseiten?
Gruss Patric
Hi Patric,
so ein Zertifikat gibt es nicht. Das wäre ja ein vertrauenswürdiges Zertifikat das “*” ausstellen darf :D das ist nicht möglich. Man muss dem Sophos Zertifikat vertrauen. In Unternehmensnetzwerken verteile ich das öffentliche RootCA Zertifikat via Gruppenrichtlinie. Bei Gastzugängen funktioniert das nicht. Hier solltest du kein HTTPS Scanning einschalten.
Stimmt, da hast du natürlich recht. kann ich den Gastzugang auch aufteilen, wenn das WLAN nicht von der XG verwaltet wird? z.B durch einen anderen Adressbereich?
Ja das geht, wenn du eine getrennte WLAN Zone einrichtest hast du danach ein neues Interface für das du einen neuen IP-Kreis, DHCP und Firewall-Regeln bauen kannst.
I have a question concerning the XG home edition. Is it possible to build a minipc with an internal Wlan NIC and use that NIC as AP ?
Greetings,
David
Hi David,
no that isn’t possible, you need to by a Sophos access point for this. You can also buy a cheap AP to build your home network.
Thx for the info Michel ! is this the same for the UTM ?
Hi David,
yes same for UTM.
Hallo,
Ich habe nach deine Empfehlung eine Zbox ci323 gekauft und XG installiert ,aber ich habe ein Problem,netzwerkkarten werden als 10Mb Karte erkannt und nicht 1Gb und damit extrem schwachleistung,und WLAN wird erkannt aber bekomme ich die Meldung ” unpluged”.
Mit UTM werden die lan Karten richtig erkannt,aber ich will XG installieren und deswegen habe ich das ci323 auch gekauft.
Ich bin für jede Hilfe dankbar
Hi Arash,
WLAN wird so nicht funktionieren, da es die UTM/XG nicht unterstützt. Es gehen nur externe Sophos Access Points. Ein User hat hier das gleiche Problem: https://community.sophos.com/products/xg-firewall/f/hardware/75905/i-m-only-getting-10mbps-through-my-new-xg-home-firewall
kannst du die fest auf 1000 mbit einstellen?
Hello Michel,
do you know if there is a way to check the authenticity of the downloaded ISO-file (md5, sha or gpg)?
I have checked the Sophos website, but I can’t anything.
https://community.sophos.com/products/xg-firewall/b/xg-blog/posts/sfos-16-01-1-released or
https://community.sophos.com/products/xg-firewall/b/xg-blog/posts/sfos-16-01-2-released or
https://www.sophos.com/en-us/mysophos/my-account/network-protection/download-installers.aspx.
SW-SFOS_16.01.2-222.iso is downloaded but I want to make sure it is not malwared.
Greetings,
Siem
Hi Siem,
yes I’m also missing SHA512 checksums. I write an email to Alan Toews to publish always those checksums.
Hi, habe habe mit der aktuellen Version der Xg (16.01.02) Probleme mit den File Transfer zwischen den Vlan. Vermute hier die Hardware. (Jetway Board). Wollte mich erkundigen ob es Probleme mit der von dir genannten Hardware gibt. (Zbox / Gigabyte Board).
Ps: Gib es eine support Matrix für die XG Hardware?
Danke PS. Super Blog
Hi Marcel,
generell sollte es ein Intel Prozessor sein. Die SG ist ja exakt die gleiche Hardware wie XG, du kannst dich an den Hardware-Infos der Appliance halten. Guck mal in der Sizing Guideline: https://networkguy.de/?p=1040 auf der letzten Seite siehst du die Hardware. Ein Board mit Intel Netzwerkkarten wird auf jeden Fall unterstützt. Ich glaube Realtek ging auch noch bei UTM, ob es bei XG geht, weiß ich selbst aus Erfahrung nicht.
Achso: Wenn du Files kopierst, geht die CPU hoch? Mach mal IPS aus und guck ob es gleich bleibt.
Hi,
Is it possible to upgrade to XG from an existing UTM installation?
Hi Jan,
no this is not possible. You need to install a fresh XG and configure every setting by your own. Sophos will deliver a service next year for a migration.
kleiner Hinweiß: Es ist möglich das ganze via USB Stick zu installieren, einfach das ISO via Rufus im DD Modus auf den USB Stick kopieren
Hallo,
ich würde mir folgendes bestellen:
Zotac ci323
120GB Intel 540 Series 2.5″ (6.4cm) SATA 6Gb/s TLC Toggle (SSDSC2KW120H6X1)
Kingston ValueRAM SO-DIMM 8GB, DDR3L-1600, CL11-11-11 (KVR16LS11/8)
Passt diese Hardware zusammen oder ist eine andere Kombination zu empfehlen?
Vielen Dank!
Damit hättest du auf jeden Fall eine performante Hardware. Was für eine Internetverbindung hast du? Wenn man 100Mbit mit IPS voll scannen will, könnte die evtl. ein Flaschenhals sein. Der N3150 ist ähnlich einem Celeron https://www.cpubenchmark.net/cpu.php?cpu=Intel+Celeron+N3150+%40+1.60GHz
ich habe 400 Mbit Kabel Internet.
Was beim N3150 halt interessant ist, ist der Stromverbrauch.
Mehr als ca. 10 Watt im Idle möchte ich aufgrund der Stromkosten vermeiden.
Ok bei 400 Mbit könnte die CPU schon der Flaschenhals sein. Bei der UTM wäre das auf jeden Fall die XG nutzt schnellere Verarbeitungswege, ich kann nicht garantieren ob du mit der Hardware inkl. IPS Schutz auf deine 400 Mbit kommst.
Für mich stellt sich die Frage auch ob IPS sinnvoll ist, da der meiste Traffic zu den Clients (https) eh verschlüsselt ist.
Ich möchte hauptsächlich 400 Mbit Firewall Throughput und so 100 Mbit VPN Durchsatz.
Evtl. 25 Mbit Webserver Protection Durchsatz (falls es das bei XG gibt)
Denkst Du das ist mit dem n3150 möglich?
Uij 100Mbit VPN? Naja wenn du IPS nicht willst und auch vielleicht sogar noch die Web Protection entfernst, brauchst du keine XG :D dann kannst du auch eine Fritzbox kaufen. Kleine stromgünstige Geräte mit den Home Lizenzen war ja “nice” weil man nur 16Mbit Anschlüsse damit schütze, 400 Mbit Anschlüsse brauchen dann aber auch größere Hardware (ganz klar).
Der XG Sizing Guide https://networkguy.de/?p=1370 zeigt bei über 400Mbit die XG330 an, das wäre schon ein Quad
Core i5 (2,9 GHz) <- gesehen auf Realworld Traffic wo jeder Schutz an ist. Leider habe ich das Gerät nicht hier um zu testen. Im schlimmsten Fall kannst du es ja online bestellen, testen und innerhalb 14 Tage zurücksenden. Die Messwerte wären auf jeden Fall interessant!
eine Fritzbox ist im Durchsatz von VPN sehr bescheiden und kann kein AH mit PFS und ESP.
Eigentlich ist mir ein sicherer vernünftiger VPN Zugriff das Wichtigste.
Die N3150 kann AES-NI, wenn man die Cipher AES-GCM verwendet. Damit hab ich schon 100 Mbit IPSec geschafft, da war die CPU nur wenig mehr als normal beschäftigt.
Zu IPS muss man wissen, dass das Snort ist, und der läuft nur auf einem Core soviel ich weiss. Wenn man also viel IPS machen will (also z.B. auch den TLS Verkehr aufbricht), dann ist eine Dualcore mit >2,5 Ghz sicher besser.
Hallo.
Ich nutze derzeit die sophps utm Home auf einem nuc mit 3 USB Netzwerkkarten.
Unterstützt xg mittlerweile auch USB Nic’s?
Habe dies gerade probiert – sieht noch schlecht aus. Bekomme meine USB NICs nicht zum laufen….
Ich habe mir jetzt mal Sophos XG zum test in einer VM installiert.
Kann es sein, dass SSL VPN nur mit 2048 und nicht mit 4096 Schlüssellänge möglich ist?
Mir kommt es erstmal vor, dass in die Standardkonfiguration recht “offen ist”.
Hi!
Doch du kannst unter Fernzugriff/SSL/Erweitert eine Schlüssellänge von 4096 Bit einstellen. Per Default ist sie nicht auf diesem Wert weil bei 4096 Bit schon ordentlich Performance benötigt wird. Wenn 100 VPN-Benutzer verbunden ist geht das schon ziemlich auf die CPU. Ich glaube deren Sizing Guide würde dann nicht mehr so gut aussehen :)
Hallo, ich habe diesen Artikel gefunden – aber bei den vielen Replies irgendwie nicht erkannt, ob mein Vorhaben ebenfalls funktioniert. Ich habe einen Unitymedia Anschluss – als Modem und Router ist eine Fritz 6490 daran – diese kümmert sich auch um Telefonie.
Kann ich das theoretisch so lassen und den Rechner mit Sophos XG im lokalen “Fritzbox” LAN an den ersten Port anschließen und mein komplettes Netz dann an den 2. LAN des XG? Im lokalen Netzwerk würde ich dann den XG als Gateway angeben und der XG bekäme als Gateway die Fritzbox…?
Hi Markus,
genau so :) das Telefon muss evtl. direkt an der Fritzbox bleiben. Wenn du auch deine WLAN Clients schützen willst, musst du das WLAN an der Fritzbox deaktivieren und intern einen AP hinstellen, somit würde es über die XG geroutet und via transparenten Web-Proxy geschützt werden.
Danke – dann probiere ich das mal!
Muss ich in der Config dann den Gateway Modus oder Bridge Modus wählen… Bin anscheinend doch “überfordert” mit der initialen Config…
Hi Markus,
auf jeden Fall den Gateway-Modus.
Danke – habe Deinen Reply jetzt erst gesehen – vorher habe ich auch schon hinbekommen! Nochmals vielen Dank – trotzdem!
Gateway – es geht! Doch nicht zu blöd. Vielen Dank trotzdem…
Mal eine ganz doofe Frage, aber ich wollte eine einfache Portweiterleitung machen, so dass mein Bitcoin Node von außen erreichbar ist. In der alten UTM war das nie ein Problem, aber mit den neuen Regeln sehe ich den Wald vor lauter Bäumen nicht. Weiß zufällig jemand wie man bei der XG die Portweiterleitung einrichtet oder kennt jemand eine gute Seite zum nachlesen?
https://www.sophos.com/de-de/medialibrary/PDFs/documentation/Sophos-XG-Firewall-Administrator-Guide.ashx?la=de-DE
Seite 77, non-http business policy
Vielen Dank, das Dokument hatte ich zwar schon gelesen, leider hat es noch nicht zum Erfolg geführt. Ich glaube, dass Problem hat etwas mit dem Destination Host zu tun. Meine UTM wählt nicht direkt raus, sondern läuft mit einem Cisco Model im Bridge-Modus. Muss ich nun einen Host mit meiner externen IP-Adresse anlegen? Oder was wäre hier das Richtige. Gefühlt habe ich schon alle Varianten ausprobiert, aber wahrscheinlich einfach einen Denkfehler.
Ok, ich habe den Fehler gefunden. Das Cisco Modem von Unitymedia behält die Bridge-Einstellung nicht, sondern wechselt zurück in den Routermodus, was man leider erst sieht, wenn man die Seite erneut aufruft. Daran konnte ich auch nichts ändern, so dass ich nun die Ports dort weiterleiten musste. Damit hat sich dann auch die Frage nach dem Destination-Host erledigt und jetzt läuft es.
Sollte jemand eine bessere Lösung für diese Kombination kennen, dann bin ich für jeden Tipp dankbar.
Ja auch die Technicolor stellen sich direkt auf Routermodus um :/
Hallo Michel, als erstes vielen Dank für diesen super Beitrag. Er hat mir sehr geholfen bei der Einrichtung.
Ich habe folgenden Aufbau: Zyxel VMG1312-B30A im Bridge-Modus –> Sophos XG Home mit 5 NIC noch HDD –> mehrere Switche alles Netgear —> Fritzbox nur für WLAN und IP Telefonie. ISP Telekom.
Meine erstes Problem war die Fritzbox mit der Telephonie. Ich hatte hier als Regel Port 3478; 5060-5062 UDP out freigeben. Ich konnte dann angerufen werden selbst aber nur eine geringe Zahl an Nummern anrufen. Handynummern funktionierten aber 0800nummer z.B. nicht. Mir fiel dann im log die IP 217.0.4.71 auf, zu der viele UDP Verbindung geöffnet werden sollten von den Ports 7078 und 7079. Hier habe ich keine Einstellung gefunden diese Ports rauszulassen, also habe ich die ganz IP für die Fritzbox freigegeben und kann seit dem komplett telefonieren.
Jetzt würde ich gern erfahren wie ich in mein Netzwerk reinkomme. Ich würde gern den FTP Server öffnen, was mir aber nicht gelingt.
Der letzte Schritt ist dann Entertain. Hier warte ich mit Freuden auf deine Anleitung. Zur Zeit schalte ich den Zyxel in den Router-Modus und lasse Entertain parallel zur XG laufen. Soll aber nur für den Übergang sein.
Vielleicht kann ja jemand was mit meinen Tips anfangen und mir bei meinen Problemen helfen.
Viele Grüße
Hi Dirk,
also eigentlich müsstest du für den FTP Server nur TCP 21 mit DNAT auf deinen Server zeigen. Ziel ist deine WAN-Schnittstelle (“Address”). wenn der Zyxel im Routing Modus ist, musst du dort ebenfalls ein DNAT auf die UTM zeigen lassen. Wegen Entertain: Die Telekom tagged bestimmten Traffic mit einer speziellen VLAN ID. Bei Entertain wird der Traffic auf VLAN 8 getagged. Vielleicht könntest du diese Anleitung als Hilfe nehmen: https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/ evtl. geht es auch mit der UTM und dem IGMP Proxy. Schreib mal ob du Erfolg hattest :) ich selbst habe kein Telekom Anschluss, kann es daher nicht testen.
Vielleicht schaust du auch mal in den Thread: https://community.sophos.com/products/unified-threat-management/f/german-forum/58737/t-home-entertain-iptv
Hi!
Super blog – vielen Dank dafür! Ich würde die XG gerne auf einer Zotac Zbox CI327 laufen lassen – allerdings im vollständig transparenten Modus (zwischen einem Server und dem Rest des Netzwerkes)…ich konnte aber keine Hardware mit 3 NIC finden. Kann ich mit der Zbox eine Bridge erstellen und dann doch noch auf das Management Interface zugreifen? Oder brauche ich zwingend eine 3 Karte? Könnte das dann auch eine USB- Karte sein?
Vielen Dank!
Hi Peter,
eigentlich sollte es reichen mit zwei Karten. Du müsstest auf das Webinterface draufkommen. Gib der XG eine IP aus dem internen LAN.
Vielen Dank! Noch eine kurze Frage: Startet die UTM/XG auch von einer M.2 SSD? Oder gibt es da bekannte Probleme?
Hi Peter,
nein das ist absolut kein Problem.
Guten tag
ich probiere momentan die Sophos XG Firewall aus , Wahr bis jetzt auf der UTM 9
nur ich bekomme es nicht hin das der Webfilter Funktioniert,
ich gehe auf Firewall ,
wähle >>> HTTP scannen HTTPS entschlüsseln und scannen und Richtlinien für Web wähle meine filter regelung aus
dennoch ,auf http://www.eicar.org
funktioniert nur eicar.com 68 Bytes die anderen Test files nicht?
kann mir jemanden helfen?
bei der UTM 9 ist das wesentlich einfacher
nebenbei ein wirklich guter blog
Hi, Great write up!
I got an SG-125 Appliance and want to flash it with XG Home license, users on teh Sophos forums have mixed views on if it can, or cannot be done and i read that it certainly can be done, but theres a trick to it, i read you done it on a SG105
do you have an article on how you done, i plan to remove the current SSD and install a new one for this task.
Hi Mick,
on my last conersation with a Sophos technician, he told me that it’s not possible to install XG home on an hardware appliance.
Hi, that is the general advise ive been given also, however i have read that people have achieved this but had to install the Sophos XG Home “Software” ISO and not the “hardware” ISO as the hardware one performs a check if its sophos hardware and denies install
Installing a fresh ssd into the box, and installing the software ISO off a bootable CD apparently goes in as just a normal intel based software install, ive not tried it and cannot confirm this to be correct, more just what i have read.
thanks
Hallo,
ich habe vor mir einen Kabel Anschluss mit 500 Mbits und 50 Upload zu holen.
Da ich viel in Hotspots unterwegs bin, wäre im wesentlichen ein SSL VPN wichtig.
Ein richtiges SSL VPN (das es von keiner Firewall erkannt werden kann, sondern wie https Traffic aussieht), kann die Sophos vermutlich nicht, sondern nur OpenVPN, richtig?
Haltet Ihr ECC Ram für sinnvoll? Leider finde ich dazu kaum stromsparende Hardware.
Aktuell tendiere ich zu http://www.shuttle.eu/de/produkte/slim/ds77u5/ und hoffe das dies ausreicht.
Mich stört nur etwas der Preis (ohne Ram und SSD: 520 Euro), weil die Hardware kein ECC hat.
Hi Mark, ECC RAM kenne ich jetzt nur aus dem Serverbereich :) Sophos macht direkt SSL, ist nicht verdeckt als HTTPS. Wenn du 500/50 Mbit darüber laufen lassen willst, muss deine Hardware schon sehr performant sein. Aktuell habe ich aber leider keine Erfahrung welche Hardware das GARANTIERT kann. CPU ist hier entscheidend.
Hallo,
Ich würde die XG gerne zusammen mit meinem TV Server betreiben, der eh 24/7 läuft. Dann könnte ich wenigstens ein zusätzliches System sparen.
Die Frage ist jetzt, reicht es für die XG eine VM zu erstellen der ich zwei virtuelle NICs mit zwei physischen NICs als Basis bereitstelle, dann bräuchte ich kein CPU-Upgrade mit VT-d (restliche Hardware wäre vorhanden) oder müssen die physischen NICs zwingend direkt durchgereicht werden?
Hey Tim :)
sollte auch gehen, die Frage ist wie du alles routen willst. Wenn die im LAN stehen soll bridged du ja ins LAN rein.
Is 4Gb enough? Or is 8Gb better in the CI323 with Sophos XG Home?
4GB is enough. XG Home Edition supports only maximum of 6 GB RAM.
Hi Michel,
hast du zufällig schon eine Lösung für das Entertain Problem in Verbindung mit einer XG Firewall?
Besten Gruß
Sven
Hi Sven,
ich glaube da wird es auch keine Lösung geben. Bei der UTM konnte man wohl noch was basteln (“tag vlan 9 bei bestimmten Subnetzen”). Das geht so bei der XG nicht mehr, die ist sehr “closed”.
Hi Michel,
Ich habe selber schon einige UTMs bei Kunden aufgebaut und eingerichtet und nutze die Home Lizenz jetzt auch schon seit ca. 3 Jahren auf einem kleinen Atom 330 extrem stabil.
Aufgrund der Lizenz Beschränkung auf 50 IPS bin ich jetzt aber gezwungen auf die XG zu gehen und beiße mir gerade an der PPPoE Einwahl an meinem VDSL 100er die Zähne aus, vielleicht hast du noch eine Idee woher die Probleme kommen?
Zu meinem Aufbau:
Zyxel VMG1312B VDSL Modem im Bridge Mode
– die UTM hierran mit VLAN Tag Setzung (UTM) und MTU 1476 -> Alles Prima /schnell
– über die XG bekomme ich zum Beispiel Spiegel.de überhaupt nicht geladen und ander Seiten teils nur extrem langsam (trotz Speedtests auf http://speedtest.t-online.de die die selben Ergebnisse liefern wie bei der UTM)
Config der XG
Port 2 WAN – DHCP & Static (beides schonmal probiert, sollte aber keinen Einfluss haben)
Port2.7 WAN Vlan Interface auf VLan 7 mit PPPoE Einwahl und sonst Standard Werten
An MTU/MSS auf Port 2 habe ich folgende Kombis durch:
Standard 1500/1460 (habe gelesen die XG zieht beim PPPoE IF eh die 8 Byte für PPPoE ab)
1484/1444
1476/1436
1468/1428
1460/1420
1452/1412
1446/1406
1438/1398
Link ist fest auf 100Mbit FullDuplex eingestellt.
Jedesmal hat die Einwahl funktioniert, der Webseiten Aufruf mal besser mal schlechter aber bestimmte Seiten wie z.b. Spiegel.de überhaupt nicht.
Die Namensauflösung und ein Traceroute funktionieren, die Firewall ist mit LAN to WAN Any/Any beregelt und den Failover Check habe ich von der Gateway IP (die bei der Telekom nicht ping visible ist) auf den Google DNS gelegt, um zu vermeiden dass hierher Probleme kommen.
Für die Tests ist sowohl IPS als auch alle anderen Extras (Webfilter etc.) auf none gestellt.
Ich hatte auch schonmal probiert das physische Interface aus dem WAN in eine eigene DMZ Zone zu legen und es somit komplett raus zu halten, selbes Ergebnis :( .
Auf der XG ist die aktuellste Firmware von vor ein paar Tagen drauf, die Vorgänger Version hatte aber die selben Fehler.
Achso als Hardware hängt die Zotac Zbox CI323 drunter.
Ich bin mit meinem Latein am Ende und vermute entweder ein Problem mit den Realtek Karten (würde dann aber eher sagen es sollte ganz oder garnicht gehen) oder irgendetwas was ich bis jetzt komplett nicht bedacht habe.
Ne Idee ? :)
Viele Grüße
Rene
Hi Rene,
leider aktuell keine Idee. Ich werde beruflich erst ab nächsten Monat beginnen XGs an Kunden zu bringen da bisher andere Partner viele Probleme im Business Umfeld hatten, also bisher nur UTMs verkauft. Wenn ich mehr weiß, sage ich Bescheid. Ansonsten mal MTU Werte verändert? Hört sich danach an.
Hallo Michel,
habe deine beiden Artikel zur UTM und XG gelesen.
Lohnt sich für mich als Normalo Anwender eigentlich der Aufwand, vor allem wenn man kein IT Mensch ist?
Habe einen lahmen Telekom Anschluss, eine Fritz Box 7490, an der ein DECT Fritz Fon, NAS und die üblichen WLAN Verdächtigen hängen.
Am Hardware aufbauen und installieren hätte ich Spaß, aber wie aufwendig ist das konfigurieren für den Alltagsbetrieb? Hier wäre nur 0815 Internet Nutzung relevant, kein Entertainment oder Fernzugriff.
Hi Stephan,
wenn du damit nicht viel machst, bleibt es irgendwann liegen. Ist halt ein Hobby, viele Eltern nutzen es um den Internetzugang ihrer Kinder zu schützen. Probier doch mal die Online Demo aus: https://secure2.sophos.com/de-de/products/next-gen-firewall/free-trial/xg-firewall-demo.aspx
ich denke du wirst dich wohlfühlen. Man baut z.B. Application-, Web- und IPS Regeln und baut sie in eine Firewall-Regeln ein.
Hello Michael,
thank you for your very useful blog about UTM and XG. I am fan of UTM for a long time. Now i bought new quad-core MOBO with J1900…and have a great dilemma. Currently i am running UTM Home edition at home, with approx 20rules, turned on IPS, web proxy, also web server protection, site-to-site VPN and SSL VPN for remote access on old dual core atom processor. I’d like to ask you for your experience, if it its worth to migrate to current v16 of XG. I am still not convinced what benefit could be for me. It is radical performance with all features turned on on XG I can get? Or something else? What is beneficial in current version of XG? Can you share your experience please. Some time has passed and Sophos made some improvements on XG so what do you think about v16 of XG comparing to current UTM?
Thank you.
Hello Jan,
thank you very much! If you are happy with UTM you don’t need to change to XG. Currently v17 of SFOS (XG) is in beta status. Later this month v17 will be officially released. After this I will go to a Sophos Engineer course and will start distributing XGs at small customers. After this I can tell more about UTM vs XG. V16 has currently a big feature gap to UTM.
Hello Michael,
may i ask you for some guidance and help? As i have new quadcore MB, I am considering to turn on web filtering feature for HTTPS scan and decrypt. To be honest, I’ve tried to set it up couple of times, but always i end with results which makes me nuts as most of the https webpages including internet banking were blocked, displayed incorrectly of course with certificate issues…it makes me crazy…and thats the point, could you guide me, send me some reference how to set it up? I’ve thought to have UTM box as certificate authority or I have also windows server 2012 R2 so maybe I can set it there. I’d like to understand how to configure it on UTM and how to deploy certificates to users/laptops etc so it will work properly…would you be so kind….I appreciate any help…
Michael, just ignore it. I’ve found a guide from Sophos…now it works pretty well…test file from eicar is blocked…sometimes I am LAME :)
….maybe one thing…HTTPS scan and decrypt works like a charm on all devices like Apple macbooks, Adnroid devices, Windows machine except iOS devices. I am not able to make it running. In logs I always see something like that:
“http” request=”(nil)” function=”read_request_headers” file=”request.c” line=”1586″ message=”Read error on the http handler 80 (Input/output error)”
I’ve checked to skip certificate checks under exception tab and also imported certificate from https://passthrough.fw-notify.net/cacert.pem into iOS devices but unfortunatelly without luck….so do you have any advices?
Thank you.
I will install XG first with SFOS v17 after September to our customers because many other partners had problems with XG so we only sold UTMs. I think after some practise I can help more people here :)
I’ve followed the guide from Sophos and not only iPad got problems. Most of the stuff is not working after importing certificate and enabling HTTPS decrypt and scan…skype is not working, itunes, evernote, webex, etc… lot of content is simply blocked and not displayed…spending another day troubleshooting and it makes me nuts…I think…this UTM feature simply doesn’t work…
I think Skype don’t allows other certificates (I think there is a certificate check). So what certificate is shown when you go to this website? Typical full https scan will show the certificate of the XG CA
Hallo zusammen,
falls es jemanden interessiert. Damit wäre es theoretisch möglich ein NUC als SG/XG zu betreiben, man müsste nur das Gehäuse des NUCs ein bisschen bearbeiten und eine SATA Festplatte verwenden. Das NUC im Link hätte sogar die vPro Technologie, evtl. für VNC Zugriff zum installieren. Der M.2 to 2xRJ45 hat einen Intel Chip (kostet allerdings ~ 100 €).
https://www.intel.de/content/www/de/de/products/boards-kits/nuc/kits/nuc7i5dnke.html
http://www.delock.de/produkte/G_62753/merkmale.html
fg
Andy
Super Anleitung :)
aber leider bekomme ich keine XG Home Lizenz auf eine x135. Oder hat jemand Erfahrungen damit?
Hi Klaus,
das ist korrekt, Home Lizenzen gehen nicht auf XG/SG Hardware appliances. Das ging nur mit der UTM. Für eine XG Home Lizenz brauchst du eigene Hardware.
Ok das ist aber sehr schade.
Was meinst du … würde das mit dieser Hardware mit der XG Home gehen?
https://www.pondesk.com/product/Intel-Atom-E3845-4-LAN-3G4G-HD-Fanless-Firewall-Router_MNHO-048
oder dieser? https://www.pondesk.com/product/Intel-J1900-4-LAN-3G4G-WiFi-Firewall-Router-Fanless-Mini-PC_MNHO-043
Hi Klaus,
an sich ist die geeignet für UTM und XG. Bei Geschwindigkeiten über 200Mbit und vollem IPS müsstest du eine stärkere CPU nehmen. Den WLAN Adapter onboard kannst du nicht nutzen.
kann ich Sophos XG Home auf diesem Gerät installieren? Hat jemand Erfahrungen?
ups… https://www.pondesk.com/product/Intel-Atom-E3845-4-LAN-3G4G-HD-Fanless-Firewall-Router_MNHO-048
Ich denke schon, in der Beschreibung schreiben die sogar „Sophos“ :-D
Ich habe das MNHO-048. Die Installation des Home Image SW-SFOS_16.05.8_MR-8-320.iso geht Problemlos. Jedoch komme ich nicht auf auf die https:\\172.16.16.16:4444
Mit Putty kann ich mich jedoch anmelden. Hat jemand eine Idee?
I hope your problem with MNHO-48 intel atom E3845 4 LAN router/firewall/switch would have been resolved yet as i am using the same device and every thing is working fine.If you still need any help then please let me know.
Ich habe meine UTM 120 nun mit der Sophos XG versorgt.
Alles läuft soweit gut bis auf die Tatsache, dass manche Speetests nicht funktionieren (wie z.B. wieistmeineip.de).
Der Internet-Speed meiner aktuellen Telekom-Business-Linie wird mit 50/10 auch ausgereizt (der Test über unitymedia funktioniert). Die nächsten Tage bekomme ich eine Unitymedia 150/10-Leitung. Da bin ich dann gespannt, was hier für Ergebnisse auftauchen.
Das einzige, was mich etwas beunruhigt, ist die Memory-Auslastung. Diese liegt bei konstant ca. 89 %. CPU ist im grünen Bereich, nachts bei 2-3 %, im Betrieb bei ca. 20%, ab und zu ein Spitzenwert von 60 %-
Ausserdem ist das Webinterface ein wenig “schleppend”, also langsam. Aber das macht mir eigentlich auch nichts, da greift man ja regelmäßig selten darauf zu.
Ist die Memory-Auslastung “normal”?
Mehr speicher geht ja leider nicht, da der im UTM verbaute N450 nur 2 GB unterstützt.
Hi Axel,
leider ja. Das System darunter reserviert sich Speicher, das heißt die 89% werden aber nicht dauerhaft benutzt. Generell sollte es in Ordnung sein. Schreib dann mal ob es für eine 150 Mbit Leitung reicht.
@Axel:
Hast du schon Erkenntnisse mit deiner neuen Leitung?
Habe ich richtig verstanden, dass du eine UTM 110/120 (Rev5) mit der XG Home Edition nutzt?
Danke
Also:
Ich betreibe, um es mal komplett darzustellen, eine UTM120 (2 GB RAM, den Original-N450-Prozessor (mit Sophos XG Home Edition 16.05.8 (Installation des Softwareimages)), die „Original“ Sophos HD habe ich durch eine „Nochvorhandene“-0815-SSD (irgendeine Kingston) ersetzt. Das Ganze mit zwei LAN-Segmenten unter Nutzung eines 150/10-Unitymediaanschlusses (Internet Phone Business) mit der mitgelieferten FritzBox6490.
Die Performace des Webinterfaces ist schleppend.
Die per Vertrag spezifizierte Download-/Upgrade-Rate wird sogar leicht überschritten (also bei mehreren Tests ca. 160/11-12 MBit/s), dies allerdings nur getestet bei dem von Unitymedia bereitgestellten Speedtests. Andere Speedtests (wieistmeineip.de z.B.) funktionieren bei der Standardkonfiguration der XG Home nicht und ich hatte auch keine grosse Lust, da nochmal nachzupfriemeln.
Worüber ich gestolpert bin, war die Tatsache, dass man bei der FritzBox für die entsprechenden Ports den Eco-Mode rausnehmen muss, ansonsten werden nur 100 Mbit geliefert und dann kommt beim Speedtests auch maximal 100 MBit raus. Ich meine, bei der Sophos musste ich dann den entsprechenden Port dann auch noch manuell auf 1GBit setzen, bin mir aber nicht sicher.
Zusammenfassend:
Die Kombination der alten Hardware reicht bei dieser Leitungsstärke bei allen aktivierten Features aus.
Noch Fragen?
Danke Axel, das war schon hilfreich.
Bei mir läuft seit 4 Jahren eine 9.x UTM auf Hyper-V absolut unauffällig, wenn auch nur an einem 16/1 ADSL2.
Gerne hätte ich, auch aus Gefühlsduselei wieder ne eigene Hardware im Rack, auch unabhängig vom Hyper-V Host.
Auch wenn die nominalen Bandbreiten erreicht werden bei einem solchen synthetischen
Speedtest, denke ich mir, dass Client-Anfragen ggf verzögert werden usw.
Daher werde ich mir die XG-Home erst mal wieder unter Hyper-V anschauen.
Eine gebrauchte UTM220 frisst 70w Isle und macht sicherlich auch akustisch Radau.
Grüße!
Ja eine UTM220 mit 70W ist was für Firmen, nicht für Home :)
Hey Michel,
kann man die XG Home im Gegensatz zur UTM Hardware, problemlos auf der alten Astaro ASG Hardware installieren?
Auf eBay werden die 220er, 320er und sogar die 525er relativ günstig angeboten. Ggf. könnte man noch den RAM aufstocken und die Platte austauschen?
Wäre das LCD-Display mit nutzbar?
Welchen Durchsatz könnte man erwarten?
Hi Tobi,
ich weiß nicht ob das funktioniert. Generell gibt es die XG ja erst seit der “SG-Hardware”. Du solltest also die Voraussetzungen dieser Geräte erfüllen (siehe Sizing Guide). Das nächste Problem könnte sein, dass die XG Software ISO (also auch die für Home Use) die UTM Hardware erkennt und die Home Lizenz verweigert. Leider habe ich hier keine Erfahrungen.
hello,
did you know that you *can* install XG with just a USB stick on the Zotac CI323?
No need for a USB DVD rom drive anymore!
You just need to install the latest bios firmware (min. pb301CI323) from zotac.com and boot from one of the USB 2.0 ports on the backside of the device. (booting from USB3.0 on the front side didnt work with my USB stick).
I used a cheap usb 2.0 stick with 2Gb of memory.
It worked for me with XG16 and XG17.
Gr.
MK
Hello! Ok cool, thank you!
Hello Michel,
I was curious how your experience is with XG Home V17. Would you recommend to switch from UTM to XG?
Gr. Jos
Hi Jos,
the new v17 has now the same features as the UTM. For myself, I will really work with it at January/February because then I will sell them to the customer (small customers at start) at my company. After this I can tell more about XG.
ok, thank you for your feedback
Sophos XG Home Lizenz auf XG Hardware (in meinem Fall XG135) geht ohne Probleme.
XG Hardware mit Usb-Stick mit gparted booten, HDD löschen und neu erstellen.
DD bootbaren stick erstellen und das XG Software Iso drauf kopieren.
XG mit Monitor und Keyb booten, und installieren.
Rechner auf DHCP stellen und mit LAN Port 1 verbinden, WAN an Port 2, sie sollte nun unter https:\\172.16.16.16:4444 erreichbar sein. Einrichtung ganz normal durführen und mann kann auch seine Home Lizenz dort eintragen. In den weiteren Schritten können die IP´s etc umgestellt werden.
Hallo Michel,
zunächst einmal vielen Dank für Deinen informativen Blog.
Ich habe nunmehr ein Problem mit meiner Konfiguration bestehend aus einer Sophos XG Firewall und zwei Sophos AP 50. Die Sophos XG Firewall ist als Bridge konfiguriert. Dahinter befindet sich ein internes Netzwerk bestehend aus mehreren Switches. Alle Geräte innerhalb des internen Netzwerks (LAN wie WLAN) sind als Geräte mit einer manuell fest zugewiesenen IP konfiguriert. Für die Zuweisung der beiden IPs für die beiden APs läuft von Seiten der Sophos XG Firewall ein DHCP-Server zwecks Vergabe der solchen. Beiden APs wurde seitens der Sophos XG Firewall eine IP zugewiesen und sind Status aktiv. Ein WLAN-Netzwerk ist seitens der Sophos XG mit Client-Verkehr „Bridge to AP LAN“ konfiguriert. Weise ich solches der ersten AP (bzw. nur einer AP) zu, funktioniert die Verbindung mobiler Geräte ohne Beanstandung. Wird jedoch auf die zweite AP dasselbe WLAN-Netzwerk (oder ein anderes) aufgeschaltet, baut das mobile Endgerät zwar nach einer gewissen Dauer scheinbar die Verbindung zur zweiten AP auf (mobiles Endgerät erscheint in der WLAN-Client-Liste der Sophos Firewall), jedoch erfolgt keine Verbindung zum Internet über jene zweite AP obgleich die Verbindung zur ersten AP, sofern sie denn wieder zustande kommt, ohne Beanstandung funktioniert. Die im Netzwerk befindlichen Switche laufen auf 802.1Q VLAN Enabled. (Vielleicht ist hier das beschriebene Problem zu verorten?)
Ein weiteres Problem habe ich mit der Live-Bild-Funktion der FRITZ!Box in Verbindung mit der Sophos XG Firewall. Befindet sich die Sophos XG Firewall zwischen FRITZ!Box und internem Netzwerk, so wird der Stream einer innerhalb des internen Netzwerkes befindlichen Adresse bzw. Cam nicht an die FRITZ!Box bzw. die daran angemeldeten Handteile weitergegeben. Ohne die Sophos XG Firewall erfolgt die Weitergabe des Bildes an die Handteile ohne Beanstandung. – Muss ich hier in der Sophos XG Firewall eine spezielle Regel erstellen?
Da meine Kenntnisse der Konfiguration bzw. Administration von Netzwerken nicht auszureichen das beschriebene Problem zu lösen, würde ich mich über die entscheidenden Tipps freuen, die mich auf den Weg bringen die beiden oben beschriebenen Probleme zu lösen.
Viele Grüße
Niklas
Hallo Michel,
zuerst vielen Dank für dein super informatives Blog!
Auch wenn ich glaube schon die Antwort zu wissen, trotzdem die Frage ob auf meiner vorhandenen Sophos UTM 110/120 (laut Label: Model UTM110/120 rev.5 (UTM100 enabled), Manufactured: Nov 2013) auch die Sophos XG Home Edition laufen würde? Laut deinem Posting “I’m using an ASG120 (same hardware as Sophos UTM 120 Rev. 4) with 2GB RAM. Surfing the web and downloading speed have increased! I can download with full speed WITH activated web filter and full IPS. I could only use half of my internet bandwidth with the Sophos UTM v9 and activated IPS.” sollte das ja gehen?! Meine UTM110/120 hat auch 2 GB RAM.
Aktuell nutze ich die UTM v9 welche recht gut funktioniert (nur etwas Geschwindigkeitseinbußen beim Download).
Vielen Dank für deine/eure Hilfe!
Mirko
Nachtrag: UTM v9 mit der Home License (via modifizierter /etc/asg .. )
Hi Mirko,
Ich vermute die Hardware wird zu klein sein aber teste es einfach mal, leider kann ich dir nicht sagen ob es funktioniert auf der UTM Hardware, evtl. sieht das der XG Installer und bricht ab. Mach doch einfach ein Backup deiner UTM und installiere XG mit der Home Lizenz. Wenn es nicht klappt installierst du die UTM mit der neuesten ISO und spielst dein Backup wieder ein. Ich denke nach einer Stunde sollte der Test durch sein. Die XG musst du von neu auf konfigurieren, ein Import der UTM Config ist nicht möglich.
Hallo Michel
auch von mir ein grosses Lob für deine Blogs.
Du hast Ende letzten Jahre was von einem Vergleich XG vs. UTM geschrieben. Gibt es den schon (hab ich nicht gefunden)
Den zotac als Hardware zu verwenden gefällt mir, auch wenn es nur 2 NIC’s gibt.
Segmentierung dann über VLAN im managed Switch.
was empfiehlst Du für den Home-Bereich (HP, Ubiquiti, netgear, Zyxel etc.)
Habe aktuell eine Zywall USG 20 (Baujahr 2012: da fehlt mir aber ein vernünftiger Virenschutz/Contentfilter bzw. Statistiken)
und testweise einen Ubiquiti AP-AC-LR (es sollen 3 AP werden, die über gutes Roaming verfügen, Fabrikat und Typ noch offen)
Bei mir laufen alle Rechner mit Sophos Home Premium, was sehr einfach zu Pflegen ist.
Hi Martin,
Vielen Dank! Aktuell kommt die Blogpflege zu kurz, tut mir Leid, ich hoffe ich nehme mir irgendwann mehr Zeit :) Als Firewall Hardware für XG würde ich die Zotac Box empfehlen, ist der einfachste Weg. Bei Switches kannst du ruhig netgear oder Ubiquiti nehmen. Ubiquiti sind super Home Access Points, gibt ja auch solche Bundles.
Bis dann
Michel
Hi Michel,
vielen Dank das Du Dir die Mühe mit diesem Blog machst. Hat mir enorm dabei geholfen erst eine UTM 110/120 dann eine SG 135 mit Sophos XG Home an den Start zu bringen.
Bitte nicht nachlassen.
Vielen Dank :)
Hi Fretschge,
gehe ich richtig in der Annahme, dass auf deiner UTM 110/120 dann die XG home läuft? Wie performant ist die im Vergleich zur UTM v9? Wie sind deine Erfahrungswerte? Bisher konnte ich dieses Setup so nämlich auf meiner 110/120er noch nicht aufsetzen (zu wenig Zeit..).
Besten Dank,
Mirko
Hi Mirko, nachdem ich von VF Kabel 25/1 auf VDSL 100/40 umgestellt habe reichte mir die Performance der 110/120 nicht mehr aus. Scan http,Scan FTP,IDS,APT,Web und App-Filter on plus 6 FW Regeln bei rund 20 Devices bremsen bei VDSL 100 schon spürbar.Ein Vergleich mit UTM 9 habe ich nicht durchgeführt.Habe gleich mit XG losgelegt.So kann ich recht gut kontrollieren was meine beiden Heranwachsenden so im Internet treiben.Auf die SG 135 habe wg. der Quad Atom CPU,den 6 GB RAM und den 8 NICs umgestellt.Jetzt habe ich erstmal alles was ich brauche,vor allem etwas zum Spielen.
Hallo Michel,
danke für diesen Blog, sehr informativ.
Ich möchte einen Internetanschluß (LTE) auf zwei Netze aufteilen und doppel NAT vermeiden.
Daher meine Frage wie ich das am Besten anstelle?
WWW –> LTE Modem (BridgeModus mit öffentlicher IP) –> Sophos XG –> ???
Ich hab mir das so vorgestellt: Hardware der XG 3x EthSchnittstelle (1x WAN 2xLAN)
– NAT macht die XG
– DHCP macht für beide Netze die XG (kann diese 2 getrennte DHCP Bereiche managen?)
– An die Eth Ports kommen billig Router als Accesspoints für WLAN
Ist das so machbar?
Danke Fred
Hi Fred,
ja du kannst zwei getrennte DHCP Bereiche machen, das geht. Intern packst du einfach normale Access Points, die landen dann somit im Netz und nutzen die XG als Gateway, DHCP, DNS. Geht das überhaupt mit einem LTE Modem? Dann müssten ja irgendwie Zugangsdaten in der XG eingetragen werden (PPPoE). Ansonsten wird es halt genattet an der XG und die nutzt den LTE Router als next-hop. Die Sophos XG Hardware unterstützt das LTE Modem was dort in einen FlexPort kommt, da könnte man die Einwahl konfigurieren: https://community.sophos.com/kb/en-us/132393 ich denke die WAN-IPs bekommst du nicht direkt an die XG.
Schönen Sonntag
Michel
Hallo Michel,
kannst du vielleicht bitte nochmal einen Neuvorschlag für ein Komplettsystem / Eigenbau Sophos XG liefern? Die oben genannten Komponenten sind seid längerer Zeit nicht bzw. nur noch als Chinaimport verfügbar.
Vielen Dank
Mirko
Hi Mirko, ich habe mal einen neuen Blogpost geschrieben :) schau mal rein https://networkguy.de/sophos-xg-utm-home-edition/
Hallo Michel
Ich habe seit kurzem eine XG106 installiert. Die hatte ich gekauft weil die den Glasfaser Anschluss hat und ich die Sophos direkt mit dem Fibre2Home anschliessen kann.
Leider finde ich kein Weg eine Home Lizenz für diese Sophos zu generieren. Hast du vielleicht ein Tip für mich?
Ist es überhaupt möglich auf Sophos XG Hardware eine Home Lizenz zu generieren/laden?
Vielen Dank für deine Tips!
Grüsse Patrick
Hi Patrick,
das hat Sophos leider von Anfang an unterbunden. Bei der UTM Hardware konnte man noch einen Trick anwenden, hier leider nicht mehr.