Sophos XG/UTM Home Edition

Hello again! Some days ago I talked to a Sophos employee and he founds out that I am the Network Guy and he said that I need to update my recommended hardware for the home edition deployment of the Sophos XG and Sophos UTM Home Edition. Also some of my followers wanted it also, so I took some hours of research to find a good hardware for UTM and also XG use. The UTM supports some Realtek network cards and also a USB NIC compatibility. The XG only supports Intel network cards and won’t start until there are two recognized network interfaces. Since there is only a feature request for XG USB NIC support, we need to add an additional network card in our setup. I think a passive cooled system is a good way to deploy a home firewall system. Since our home internet connection speed reaches 100Mbit per second and beyond, we will need a performant hardware device to route traffic.

I compared many vendors and thought that we give a chance to the ASRock mini ITX mainboard series. The ASRock website makes it easy to compare different mainboard modells. I found the J4105-ITX and the J5005-ITX, both have the same hardware, the only difference is the built-in processor. The ASRock J5005-ITX has the Intel Quad-Core Pentium Silver Processor J5005 (up to 2.8 GHz) processor and the ASRock J4105-ITX has the Intel Quad-Core Processor J4105 (up to 2.5 GHz). So what does this mean? The SG and XG hardware are using of course also Intel CPUs. You can see it in the Sophos SG/XG Series Appliances Technical Specifications datasheet:

 

So based on this information I compared it with the SG/XG 230 hardware (using Intel Pentium G4400). I found the website UserBenchmark.com to compare CPU benchmarks. The battle between the Intel Pentium G4400 and the J4105-ITX shows, that the CPU are very similiar (only a difference of 7%):

Benchmark with Intel Pentium G4400 and Intel Celeron J4105

 

The J5005-ITX mainboard with the Intel Pentium Silver J5005 is only 7% faster but it costs about 45€ more than the J4105-ITX mainboard. So I would recommend the ASRock J4105-ITX mainboard. The original Sophos SG/XG 230 hardware (8GB memory) costs about 1800€ and can easily secure a 100 user company with a firewall throughput of 7Gbit/sec. With all activated security features (Intrusion Prevention, Advanced Threat Protection, Web Protection, Application Control, etc.) you can nearly reach 1GBit/sec. So I think this is a pretty good home hardware 😉

 

Hardware recommendation

Self-built system

This recommendations are not tested! Maybe I will order this hardware for proofing or someone of you can proof it.

Article Name Ø Price 
Mainboard ASRock J4105-ITX 99€
Second NIC Intel EXPI9301CTBLK Gigabit 29€
Memory Crucial CT2K4G4SFS824A DDR4 8GB (2x 4GB Kit) 38€
Hard drive Crucial BX500 CT120BX500SSD1(Z) 120GB 19€
Case SilverStone SST-ML06B 62€
Power supply SilverStone SST-ST30SF v 1.0 – SFX Serie, 300W 50€
PCI express extension cable glotrends PCI-E Verlängerungskabel 0,6 m UEX101 10€
Total: 307€

complete system

I found a similar complete system: Kettop Mi5250L (Intel I5-5200U, 8GB Memory, 128GB SSD, 4 NICs) for 353€ including shipping from Hongkong. The device has four Intel I211-AT network interfaces. I didn’t tested this device, so I give no guaranty that it works with Sophos UTM and/or XG. There is also a cheaper device with four Intel NICs.

 

Article Link Ø Price includig shipping
System with SG/XG 230 performance Kettop Mi5250L (Intel I5-5200U, 8GB Memory, 128GB SSD, 4 NICs 353€
System with SG/XG 135 performance Mi19W-S2 (Intel Celeron J1900, 4GB Memory, 64GB SSD, 4 NICs 259€

 

Registration, Software Download and Installation

Sophos UTM Sophos XG
Account registration Account registration
ISO file download ISO file download
Install Sophos UTM from USB Stick Install Sophos XG from USB Stick

 

Feel free to comment the recommendation or ask for further installation help. If you want to support me, buy stuff over my Amazon links or click on an advertisement. Thank you very much!

42 thoughts on “Sophos XG/UTM Home Edition”

  1. Hi Michel
    i like the “Kettop”, seams to bee a good hardware (performance/price). Does the XG Home support 4 LAN-Ports (1 WAN + 3 LAN) or do i need a smart switch to segment LAN?

    Reply
    • Hi Martin,

      yes you can use all four ports to segment LAN.

      I think you will need more ports for your devices 😉 so you can use a vlan-tag-supported switch. I always recommend the Netgear GS108E-300PES https://amzn.to/33tdPwZ with 5, 8, 16 or 24 ports. The device has a web management interface.

      Reply
  2. Hi, super Blog. Habe viele informative Beiträge gelesen. Nun hätte ich eine Frage. Wollte meinen SG 105 auf 8GB RAM hochrüsten. Wenn ich einen passenden 8GB Speicher einsetze, die Firewall (UTM 9.6) bootet nicht. Wie gesagt der Speicher ist geprüft uns passt von der Spezifikation her. Gibt`s da einen Trick?

    Gruß Pezo

    Reply
  3. Hey Michel,
    kann es sein, dass du bei dem “Self Build System” die zweite Netzwerkkarte vergessen hast?

    Ich kann nur ein ETH Anschluss darauf erkennen!?

    Danke.

    Gruss Norman

    Reply
  4. Moin moin,

    wichtige Information. Ich hab hier das Asrock J4105-ITX. Dieses Board hat kein Legancy Boot. Und ich habe bisher nix gefunden um die Sophos UTM Software mittels UEFI zu installieren.

    Gruß
    Kai

    Reply
      • Ich fürchte da wirds auch keine Alternative geben, weil alle neuen Intel Boards ab der Gemini Platform kein Legacy Boot mehr unterstützen. Also eher nach was Älterem Ausschau halten.

        Reply
        • Huhu, ich hab jetzt lange gesucht.. nix wirklich gefunden was quasi “aktuell” Veraltet ist. Hab jetzt erstmal pfSENSE drauf geschmissen. Wenn ich Langeweile hab setz ich nen Debian mit Proxmox drauf und hau die Sophos in eine VM 🙂

          Gruß Kai

          Dennoch muss ich sagen ist die Hardware-Empfehlung nicht schlecht. Vom Verbrauch her ist der PC echt fluffig. Allerdings ist das Raisercable… bissl über. Man kann die LAN Karte von Intel auch einfach so einbauen 😀

          Reply
  5. Moin Michel, habe mir direkt bei kettop einen Mini pc bestellt (kommt dann aus Korea, hoffe das Teil kommt überhaupt an!).
    Meine UTM soll gegen eine XG ersetzt werden und meine derzeitige Hardware macht schon länger zicken und hat nur zwei NiCs, usb zu nic wird ja seitens XG nicht unterstützt…
    Lasse alle wissen wie die Hardware ist, wenn die Kiste rennt 😉

    Reply
  6. Kann es sein, dass man die Kettop Mini PC nur noch direkt bestellen kann? Ansonsten steht bei den Händlern derzeit nicht verfügbar. Gibt es ggf. anderen Alternativen für Komplettsysteme oder dann doch lieber Komponenten zusammenstecken?

    Reply
  7. @andre – die kettops gibt es entweder über eher unbekannte Händler aus dem europäischen Ausland, habe daher direkt vom Händler aus Korea bestellt. Kontakt mit kettop bisher top! Haben für mich im Nachgang die Lieferadresse noch einmal angepasst – super Support! Teil hängt bisher noch in der Post, ist aber schon in Europa 😉
    Gebe wie gesagt Feedback, sobald ich das Ding aufgesetzt habe.
    In virtualisierten Systemen hat man laut Sophos Performance Einbußen, da die Treiber ja virtuell umgesetzt sind. Habe selbst keine großen Erfahrungen was die Hone Version angeht, habe gehört, dass sowohl utm unter proxmox gut läuft!

    Reply
  8. Hallo Luca,
    ich habe die Kettops jetzt bei mir im Einsatz und kann sagen es läuft tadellos.
    Musste aber auch ca. 3xWochen auf die LIeferung warten.

    @Michel: Ich habe zwei AP’s von Sophos(AP55 und AP55C) und habe sie für MESH konfiguriert. Wenn ich dann den “sekundären” AP vom Netzwerk trenne kann er sich nicht mehr verbinden. Er sollte doch ohne Netzwerk sich beim “Root AP” melden und verbinden. Hast du eine Idee?

    Danke.

    Gruss Norman

    Reply
  9. Hallo Norman
    Hallo Luca
    Ich gehe davon aus, dass ihr die Kettop-Produkte mit Sophos XG betreibt.
    Ist dem so ?
    Ich würde ungern einen Haufen Euronen umsonst investieren.

    Reply
    • Hallo Sebastian,

      ja – ich betreibe auf meiner Kettop Hardware eine Sophos XG.
      Hast du Fragen hierzu, schreib mich gern privat an.

      Luca

      Reply
  10. Hallo Luca

    Vielen Dank für deine Antwort.
    Dann bestelle ich mir mal so ein Kistchen..

    Beste Grüsse
    Sebastian

    Reply
  11. Hi, ich habe eine kleine Frage und hoffe du hast eine Idee. Ich habe die Tage HW und SW erneuert und nun einen J1900 und XG installiert. Leider ist der VPN SSL Durchsatz echt schlecht. von meiner 100 Mbit VDSL Leitung merke ich nichts. Die alte HW (D2500CC) und UTM konnte meinen komplette Upload nutzen. Kann es sein, dass die XG nicht wirklich gut läuft?

    Reply
  12. Eigentlich sollte eine XG von der Logik her (alles in einer Firewall-Regel; nicht mehr jedes Paket durch alle möglichen Filter) schneller sein. Hast du mal eine Regel an erster Stelle gesetzt ohne aktivierten Webfilter und ohne Intrusion Prevention?

    Reply
    • Das habe ich versucht, leider ohne erfolg. mehr als 400-700KB schaffe ich nicht über den Tunnel. Dabei zeigt mir psmon für von nicht mehr als 10-20% an. Ansonsten ist der J1900 schon ok für meine Internetleitung würde ich sagen. Ach ja, schau mal nach HUNSN auf Amazon. Vielleicht was für deine Seite =)
      Gruß

      Reply
      • Cool HUNSN sieht top aus, im Grunde genommen ist es wahrscheinlich alles aus einer einzigen Fabrik und die Händler nennen es einfach nur um 😀

        auch mal Unterschied TCP und UDP getestet? Du musst in der lokalen ovpn Datei noch beim Ziel auf tcp oder udp ändern.

        Reply
        • Hi,
          ich hab es grad getestet. TCP 500-700KB UDP 1300-1900KB Eine klare Steigerung. Beim Speedtest steigt die CPU Last laut PSMON auf bis zu 60% bei sslvpn. Finde das schon sehr viel. Das hat UTM aus meiner Sicht besser geschafft. Werde aber wohl wieder auf TCP stellen, da es im Urlaub oder freien WLAN’s weniger “Probleme” macht. Hast du evtl noch eine Idee?

          Gruß

          Reply
          • Hi Robert,

            UDP ist generell besser. Du kommunizierst ja via TCP und wenn das noch mal via TCP “umtunnelt” wird, wird es natürlich sehr langsam 🙂

            teste bitte mal IPsec VPN bzw. “Sophos Connect” die neue XG-VPN Möglichkeit. Testest du mit “iperf”? https://iperf.fr/iperf-download.php#windows

            auf dem “server” startest du eine commandline und startest dann iperf3 -s

            und auf dem Client iperf3 -c IP-ADRESSE

  13. Hallo zusammen, ich möchte nun nach gut 6 Jahren mit der Konfiguration (Intel BLKD2500CCE Sockel BGA (mini-ITX, Intel NM10, 2x DDR3 SO-DIMM, PC3-8500S, max 4GB) ein Upgrad durchführen.

    Der ASROCK J5005 sieht für mich dafür am besten aus. Nun zu meiner Frage: “Ist es möglich die SSD samt der bestehenden Sophos UTM Installation in die neue Hülle mit dem J5005 zu übernehmen, also ohne Neuinstallation/Konfiguration?

    Danke und Gruß

    Reply
    • Ich würde es dir nicht empfehlen. Einfach ein Backup der Konfiguration machen, die neue Maschine sauber neu installieren und dann das Backup einspielen. Hat bei mir gut geklappt.

      Reply
  14. Danke für deine Antwort :).
    Also werde ich neuinstallieren per USB Stick und dann die Konfiguration der alten übernehmen.
    Funktioniert das einfach so? Weil sich im Prinzip ja die gesamte Hardware verändert inkl. der beiden Netzwerkadapter von Intel zu Realtek.

    Grüße

    Reply
  15. Hi zusammen,
    zuerst vielen Dank, Michel, für den super informativen Blog.
    Ich wollte mal nach eurer Meinung fragen, da ich mir ebenfalls einen Kettop (Mi5005L 5Th Gen Intel Core I3-5005U) gekauft habe. 8GB Ram und 120gb ssd von Crucial rein gebaut. Der PC benötigt in den meisten Fällen ewig bis er startet.
    Wenn er das überhaupt macht. Nach dem Einschalten verharrt er meistens in dem Zustand, dass die Power led kurz leuchtet, wieder aus geht und wieder von vorne beginnt.
    Die LEDs des Netzwerkports sind gegensätzlich aktiv (WoL). Der Monitor verbleibt im Standby. Irgendwann startet er dann ab und zu mal und bootet. Wenn er bootet, ist die UTM ansprechbar für einen bestimmten Zeitraum. Zwischen wenigen Minuten und Stunden rebootet die UTM unvermittelt mit lustigen Fehlermeldungen in der Konsole:

    Code: Bad RIP value

    BUG: unable to handle kernel paging request at fffff…

    Oops: 0010 [#2] SMP

    Habt ihr ähnliche Probleme? Oder läuft der PC einfach nur wie er soll?
    Danke und Grüße
    Marc

    Reply
    • Hallo Marc,

      es geht um eine SG UTM, richtig? Ich hatte mit meinem Kettop auch so einige Startschwierigkeiten…
      Hast du mal probiert das System neu aufzusetzen, wie verhält es sich dann?

      Reply

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.