DIY NAS/Firewall/Dual-Wan Server

mephisto

Big d00d

Registered: Apr 2001
Location: WU
Posts: 152

08.02.2015 - 17:56

Zitat von Innovaset
aber gsd gibts google -> http://vmware-forum.de/viewtopic.php?t=30142 sollte funktionieren!

Super Danke.

21W ist doch eh schon ein spitzen Wert!

pinkey

Here to stay

Registered: Nov 2003
Location: Tirol/Wien
Posts: 2276

16.02.2015 - 11:20

hat jetzt eigentlich sonst noch wer die sophos utm ausprobiert?

habs bei mir derzeit seit ~1 1/2 tagen laufen aber irgendwie bin ich nicht sooo begeistert.

z.b. hab ich den webfilter an und damit kann man ganz gut die ads filtern - das funktioniert soweit auch ganz gut. das problem ist aber das es relativ häufig einfach ohne ersichtlichen grund hängt und die seite dann mehrmals refreshed werden muss bis sie wirklich auf geht.

auch wie die FW arbeitet is teilweise für mich nicht 100% nachvollziehbar. Wenn ich testweise überral alles erlaube, das als die 1. regel definiere und das ding dann immer noch was blockt ...

ThMb

JO FRLY

Registered: Feb 2009
Location: OÖ
Posts: 1394

16.02.2015 - 11:23

Hatte Sophos beruflich im Einsatz.
Ja, es ist leider tlw. wirklich etwas undurchsichtig, wie und warum manche Sachen geblockt werden. Wie hast du die Regel definiert (any-any-any)? Was wurde danach noch geblockt? Welche Probleme hast du damit noch? Vielleicht kann ich dir bei ein paar Problemen helfen

.

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

16.02.2015 - 11:31

Mich darfst auch gerne fragen - hab jetzt, weils für mich irgendwie "besser" erscheint, eh die sophos qm hyperv laufen.

Komm ganz gut zurecht, nur, gleiches Problem wie du - wan a1 funktioniert, sophos hat die direkte externe ip. - wan 3 funktioniert "nur halb" - soweit ichs rausgefunden habe, liegts daran, daß ich hier im 192.168.x.x arbeite - du auch?

pinkey

Here to stay

Registered: Nov 2003
Location: Tirol/Wien
Posts: 2276

16.02.2015 - 11:33

muss sagen kann mich damit nicht sooo gut aus vorallem nicht mit sophos - d.h. ich kann natürlich einen user fehler nicht ausschließen.

meine probleme waren u.a.

1.) der webfilter blockt ads geht aber immer wieder (eigentlich recht häufig) hängen seiten komplett und nur mehrmals refresh hilft.
1a.) seiten werden subjektiv komplett angezeigt, aber FF ringerl dreht sich immer noch, so als wäre irgendwas noch nicht 100% fertig -> dauert teilweise 30sek+ ... nervig
2.) die any-any-any rule zieht teilweise nicht. hab eine IPSec Cisco VPN Verbindung eingerichtet gehabt, als DNS die WAN IP angegeben. Trotzdem wurden die DNS Anfragen geblockt. Selbst wenns ein config Fehler war (was ich glaube) verstehe ich nicht ganz warum die any-any-any in dem Fall nicht zieht.
3.) IPSec Cisco Client (ich glaub so heißts, habs grad nimma genau im Kopf). Wenn ich hier Standardmäßig den Cisco Pool verwende wie schaff ichs hier einen Gateway etc. definier das die Clients die via VPN reinnkommen übers WAN ins Internet können? Habs mit NAT und FW rules probiert, aber hatte nicht wirklich Erfolg. Es funktioniert zwar jetzt, aber nur weil ich statt dem Cisco Pool das Interne Netz verwendet hab.

Edit:
4.) irgendwie is das Ding langsam/träge und ich verlier auch oft die Verbindung zum Backend wenn ich via Webadmin arbeite. Hab in der VM 2 Cores und 1 GB Ram zugewiesen. müsste eigentlich reichen?

Bearbeitet von pinkey am 16.02.2015, 11:36

ThMb

JO FRLY

Registered: Feb 2009
Location: OÖ
Posts: 1394

16.02.2015 - 17:19

@Webfilter: komisch. Immer wieder bei den gleichen Seiten oder komplett willkürlich? Das Verhalten hatte ich noch nicht.
@DNS: den VPN-IP-Pool hast eh hinterlegt bei den Netzen, die DNS verwenden dürfen? (Müsste unter Network-Services - DNS zu finden sein=. Hier kannst du alle Netze eintragen, die DNS verwenden dürfen.
@Gateway: hast eingestellt das der VPN Pool Zugriff auf das interne hat oder willst du genau das vermeiden und den Traffic direkt über die Astaro ins Netz durchschleusen?
@Performance: 1GB ist nach meiner Erfahrung die absolute Untergrenze. Wennst Ressourcen hast, gib ihm noch 1GB dazu. Wie siehts am Performance-Chart aus auslastungsmäßig?

pinkey

Here to stay

Registered: Nov 2003
Location: Tirol/Wien
Posts: 2276

16.02.2015 - 17:29

@Webfilter: würd sagen eher willkürlich
@DNS: werde ich mir anschauen, das hab ich natürlich nicht gemacht. Hab nur bei den VPN Tabs die IP vom DNS eingetragen. Selbst wenn, sollte bei einer any-any-any rule das dann nicht trotzdem durchgelassen werden?
@Gateway: derzeit is so das der VPN auch zugriff aufs Interne hat. Schön wäre (zumindest zum rumspielen) alle Varianten. D.h. eigener VPN Pool und da direkt ins Netz und/oder eigener VPN Pool und auch zugriff aufs Interne Netz.
@Performance, hab ich mir gestern schon angeschaut, hat eigentlich nie tragisch ausgeschaut, werd ich mir aber heute daheim nochmal anschauen. RAM war wenn ich mich recht erinnern kann nie mehr als so 75% und CPU is auch meist am ideln. Aber wie gesagt, werds mir daheim nochmal anschauen

ThMb

JO FRLY

Registered: Feb 2009
Location: OÖ
Posts: 1394

16.02.2015 - 17:49

Wie schaut die Swap-Partition aus? Auch wenn der RAM nicht zu 100% voll ist kanns schon sein das er auslagert.
Beim VPN vermute ich, dass dir eben die DNS Einstellung fehlt. Denn auch wenn er das Gateway hat bringts dir ohne DNS nichts. Ist die Astaro der DNS Server oder nimmst du die externen vom Provider her?
Verwendest du den HTTP Proxy? Auch hier musst du dann den VPN Pool als "Allowed Network" für den Internetzugang eintragen. Auch wenn er im transparenten Modus läuft.
Als Regel für VPN würd ich hier VPN-Pool - Any - Internet nehmen (IMMER wenns geht bei den Definitions Internet verwenden, und nicht Any, für Regeln nach aussen, zwecks Sicherheit).

//edit: zusätzlich kannst dann noch eine Regel erstellen um den VPN Pool vom internen Netz abzuschotten (VPN Pool - Any - Internal, Block).

pinkey

Here to stay

Registered: Nov 2003
Location: Tirol/Wien
Posts: 2276

16.02.2015 - 20:50

Danke für die Infos. Alles werd ich heut nimma ausprobieren können, aber die nächsten Tage, spätestens am WE spiel ich mich damit wieder weiter

Bzgl. HW auslastung (würd wohl 1 Core allein auch reichen, kann die UTM eigentlich mit mehreren Cores umgehen?):

Maximum Minimum Average Last
CPU Usage 29.45% 1.78% 5.49% 12.39%

Maximum Minimum Average Last
Memory Usage 84.41% 59.66% 70.29% 77.20%
Swap Usage 25.91% 19.45% 23.56% 20.16%

Heute beim surfen hab ich im Moment gefühlt weniger Probleme als am WE. Hab aber auch heute deutlich weniger am PC gemacht.

pinkey

Here to stay

Registered: Nov 2003
Location: Tirol/Wien
Posts: 2276

21.02.2015 - 18:00

Hab der UTM jetzt 2 GB RAM gegeben, swappt nix mehr und RAM is auch bei weitem nicht voll, die CPU langweilt sich meistens. Derzeit hängt grad mal 1 User (ich zum Testen) drauf aber das Teil performt einfach so ganz und gar nicht :/

Ich hab eben wie beschrieben permanent diese Hänger wenn ich auf diverse Seiten geh, für mich nicht nachvollziehbar warum. Ich hab zwar ein paar Filter, aber die Anzahl sollte im vergleich zu einem richtigen produktiv Einsatz sehr sehr gering sein.

So wie es derzeit läuft ist die UTM für mich eigentlich nicht brauchbar, nichtmal als BastelFW. Noch wer Ideen was ich noch ausprobieren könnte - wenn nicht schmeiß ich das Ding wieder runter.

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

23.02.2015 - 00:29

Ich kanns echt nicht nachvollziehen, bei mir arbeitet der Filter recht gut, bin eher positiv beeindruckt (bis auf ein paar details die man default ändern muss)

schon im Sophos forum geguckt?

bin grad erstaunt wie gut Torrent+NZB nebenbei rennt + CS:Go mit nem 30er Ping :cool:

<3

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

05.03.2015 - 15:01

ich hab mich jetzt endlich einmal bei pfsense mit CARP (redundante firewall) gespielt und bin immer noch hin und weg wie geil das funktioniert, das ist einfach der pure wahnsinn

mein versuchsaufbau sind 2 APU1D4 boards mit CARP und ein ALIX2D13 das sich per VPN einwählt.
bricht jetzt eines der APU boards weg sind verbindungen von intern nach extern gradmal einen! ping unterbrochen
damit die VPN zwischen alix und apu VPN wieder steht dauerts noch etwas länger, mit standardsettings ca. 35 sekunden, mit keepalive 1 5 nur mehr rund 25, wobei ich mir mit "1 5" doch etwas mehr reduktion erwartet/erhofft hatte
aber es dauert halt dann auch sicherlich bis per OSPF alle routen wieder verteilt sind usw.

aber generell find ichs einfach so dermaßen geil, ich frag mich jetzt nur warum ich nicht früher damit gespielt hab

edit: falscher thread :bash:

Bearbeitet von userohnenamen am 05.03.2015, 15:10

mephisto Big d00d Registered: Apr 2001 Location: WU Posts: 152	08.02.2015 - 17:56 Zitat von Innovaset aber gsd gibts google -> http://vmware-forum.de/viewtopic.php?t=30142 sollte funktionieren! Super Danke. 21W ist doch eh schon ein spitzen Wert!
pinkey Here to stay Registered: Nov 2003 Location: Tirol/Wien Posts: 2276	16.02.2015 - 11:20 hat jetzt eigentlich sonst noch wer die sophos utm ausprobiert? habs bei mir derzeit seit ~1 1/2 tagen laufen aber irgendwie bin ich nicht sooo begeistert. z.b. hab ich den webfilter an und damit kann man ganz gut die ads filtern - das funktioniert soweit auch ganz gut. das problem ist aber das es relativ häufig einfach ohne ersichtlichen grund hängt und die seite dann mehrmals refreshed werden muss bis sie wirklich auf geht. auch wie die FW arbeitet is teilweise für mich nicht 100% nachvollziehbar. Wenn ich testweise überral alles erlaube, das als die 1. regel definiere und das ding dann immer noch was blockt ...
ThMb JO FRLY Registered: Feb 2009 Location: OÖ Posts: 1394	16.02.2015 - 11:23 Hatte Sophos beruflich im Einsatz. Ja, es ist leider tlw. wirklich etwas undurchsichtig, wie und warum manche Sachen geblockt werden. Wie hast du die Regel definiert (any-any-any)? Was wurde danach noch geblockt? Welche Probleme hast du damit noch? Vielleicht kann ich dir bei ein paar Problemen helfen .
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	16.02.2015 - 11:31 Mich darfst auch gerne fragen - hab jetzt, weils für mich irgendwie "besser" erscheint, eh die sophos qm hyperv laufen. Komm ganz gut zurecht, nur, gleiches Problem wie du - wan a1 funktioniert, sophos hat die direkte externe ip. - wan 3 funktioniert "nur halb" - soweit ichs rausgefunden habe, liegts daran, daß ich hier im 192.168.x.x arbeite - du auch?
pinkey Here to stay Registered: Nov 2003 Location: Tirol/Wien Posts: 2276	16.02.2015 - 11:33 muss sagen kann mich damit nicht sooo gut aus vorallem nicht mit sophos - d.h. ich kann natürlich einen user fehler nicht ausschließen. meine probleme waren u.a. 1.) der webfilter blockt ads geht aber immer wieder (eigentlich recht häufig) hängen seiten komplett und nur mehrmals refresh hilft. 1a.) seiten werden subjektiv komplett angezeigt, aber FF ringerl dreht sich immer noch, so als wäre irgendwas noch nicht 100% fertig -> dauert teilweise 30sek+ ... nervig 2.) die any-any-any rule zieht teilweise nicht. hab eine IPSec Cisco VPN Verbindung eingerichtet gehabt, als DNS die WAN IP angegeben. Trotzdem wurden die DNS Anfragen geblockt. Selbst wenns ein config Fehler war (was ich glaube) verstehe ich nicht ganz warum die any-any-any in dem Fall nicht zieht. 3.) IPSec Cisco Client (ich glaub so heißts, habs grad nimma genau im Kopf). Wenn ich hier Standardmäßig den Cisco Pool verwende wie schaff ichs hier einen Gateway etc. definier das die Clients die via VPN reinnkommen übers WAN ins Internet können? Habs mit NAT und FW rules probiert, aber hatte nicht wirklich Erfolg. Es funktioniert zwar jetzt, aber nur weil ich statt dem Cisco Pool das Interne Netz verwendet hab. Edit: 4.) irgendwie is das Ding langsam/träge und ich verlier auch oft die Verbindung zum Backend wenn ich via Webadmin arbeite. Hab in der VM 2 Cores und 1 GB Ram zugewiesen. müsste eigentlich reichen? Bearbeitet von pinkey am 16.02.2015, 11:36
ThMb JO FRLY Registered: Feb 2009 Location: OÖ Posts: 1394	16.02.2015 - 17:19 @Webfilter: komisch. Immer wieder bei den gleichen Seiten oder komplett willkürlich? Das Verhalten hatte ich noch nicht. @DNS: den VPN-IP-Pool hast eh hinterlegt bei den Netzen, die DNS verwenden dürfen? (Müsste unter Network-Services - DNS zu finden sein=. Hier kannst du alle Netze eintragen, die DNS verwenden dürfen. @Gateway: hast eingestellt das der VPN Pool Zugriff auf das interne hat oder willst du genau das vermeiden und den Traffic direkt über die Astaro ins Netz durchschleusen? @Performance: 1GB ist nach meiner Erfahrung die absolute Untergrenze. Wennst Ressourcen hast, gib ihm noch 1GB dazu. Wie siehts am Performance-Chart aus auslastungsmäßig?
pinkey Here to stay Registered: Nov 2003 Location: Tirol/Wien Posts: 2276	16.02.2015 - 17:29 @Webfilter: würd sagen eher willkürlich @DNS: werde ich mir anschauen, das hab ich natürlich nicht gemacht. Hab nur bei den VPN Tabs die IP vom DNS eingetragen. Selbst wenn, sollte bei einer any-any-any rule das dann nicht trotzdem durchgelassen werden? @Gateway: derzeit is so das der VPN auch zugriff aufs Interne hat. Schön wäre (zumindest zum rumspielen) alle Varianten. D.h. eigener VPN Pool und da direkt ins Netz und/oder eigener VPN Pool und auch zugriff aufs Interne Netz. @Performance, hab ich mir gestern schon angeschaut, hat eigentlich nie tragisch ausgeschaut, werd ich mir aber heute daheim nochmal anschauen. RAM war wenn ich mich recht erinnern kann nie mehr als so 75% und CPU is auch meist am ideln. Aber wie gesagt, werds mir daheim nochmal anschauen
ThMb JO FRLY Registered: Feb 2009 Location: OÖ Posts: 1394	16.02.2015 - 17:49 Wie schaut die Swap-Partition aus? Auch wenn der RAM nicht zu 100% voll ist kanns schon sein das er auslagert. Beim VPN vermute ich, dass dir eben die DNS Einstellung fehlt. Denn auch wenn er das Gateway hat bringts dir ohne DNS nichts. Ist die Astaro der DNS Server oder nimmst du die externen vom Provider her? Verwendest du den HTTP Proxy? Auch hier musst du dann den VPN Pool als "Allowed Network" für den Internetzugang eintragen. Auch wenn er im transparenten Modus läuft. Als Regel für VPN würd ich hier VPN-Pool - Any - Internet nehmen (IMMER wenns geht bei den Definitions Internet verwenden, und nicht Any, für Regeln nach aussen, zwecks Sicherheit). //edit: zusätzlich kannst dann noch eine Regel erstellen um den VPN Pool vom internen Netz abzuschotten (VPN Pool - Any - Internal, Block).
pinkey Here to stay Registered: Nov 2003 Location: Tirol/Wien Posts: 2276	16.02.2015 - 20:50 Danke für die Infos. Alles werd ich heut nimma ausprobieren können, aber die nächsten Tage, spätestens am WE spiel ich mich damit wieder weiter Bzgl. HW auslastung (würd wohl 1 Core allein auch reichen, kann die UTM eigentlich mit mehreren Cores umgehen?): Maximum Minimum Average Last CPU Usage 29.45% 1.78% 5.49% 12.39% Maximum Minimum Average Last Memory Usage 84.41% 59.66% 70.29% 77.20% Swap Usage 25.91% 19.45% 23.56% 20.16% Heute beim surfen hab ich im Moment gefühlt weniger Probleme als am WE. Hab aber auch heute deutlich weniger am PC gemacht.
pinkey Here to stay Registered: Nov 2003 Location: Tirol/Wien Posts: 2276	21.02.2015 - 18:00 Hab der UTM jetzt 2 GB RAM gegeben, swappt nix mehr und RAM is auch bei weitem nicht voll, die CPU langweilt sich meistens. Derzeit hängt grad mal 1 User (ich zum Testen) drauf aber das Teil performt einfach so ganz und gar nicht :/ Ich hab eben wie beschrieben permanent diese Hänger wenn ich auf diverse Seiten geh, für mich nicht nachvollziehbar warum. Ich hab zwar ein paar Filter, aber die Anzahl sollte im vergleich zu einem richtigen produktiv Einsatz sehr sehr gering sein. So wie es derzeit läuft ist die UTM für mich eigentlich nicht brauchbar, nichtmal als BastelFW. Noch wer Ideen was ich noch ausprobieren könnte - wenn nicht schmeiß ich das Ding wieder runter.
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	23.02.2015 - 00:29 Ich kanns echt nicht nachvollziehen, bei mir arbeitet der Filter recht gut, bin eher positiv beeindruckt (bis auf ein paar details die man default ändern muss) schon im Sophos forum geguckt? bin grad erstaunt wie gut Torrent+NZB nebenbei rennt + CS:Go mit nem 30er Ping <3
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	05.03.2015 - 15:01 ich hab mich jetzt endlich einmal bei pfsense mit CARP (redundante firewall) gespielt und bin immer noch hin und weg wie geil das funktioniert, das ist einfach der pure wahnsinn mein versuchsaufbau sind 2 APU1D4 boards mit CARP und ein ALIX2D13 das sich per VPN einwählt. bricht jetzt eines der APU boards weg sind verbindungen von intern nach extern gradmal einen! ping unterbrochen damit die VPN zwischen alix und apu VPN wieder steht dauerts noch etwas länger, mit standardsettings ca. 35 sekunden, mit keepalive 1 5 nur mehr rund 25, wobei ich mir mit "1 5" doch etwas mehr reduktion erwartet/erhofft hatte aber es dauert halt dann auch sicherlich bis per OSPF alle routen wieder verteilt sind usw. aber generell find ichs einfach so dermaßen geil, ich frag mich jetzt nur warum ich nicht früher damit gespielt hab edit: falscher thread Bearbeitet von userohnenamen am 05.03.2015, 15:10

DIY NAS/Firewall/Dual-Wan Server

Forum Index > Hardware > Systeme > Desktops

mephisto

pinkey

ThMb

deleted5875454

pinkey

ThMb

pinkey

ThMb

pinkey

pinkey

deleted5875454

userohnenamen