öffentliche IPv4 Adressen vom vServer zur Sophos UTM über RED Tunnel

(Es handelt sich hier um einen aktualisierten alten Beitrag mit nun vernünftigen Routing und ohne Nebenprobleme)

Mittlerweile verwenden einige Provider (grad neue Provider) aufgrund von der allgemeinen IPv4 Knappheit Carrier Grade NAT (RFC 6264) um ihre Kunden den Zugang zum Internet zu ermöglichen.  Dies bedeutet, das sich x Kunden eine öffentliche IPv4 teilen, der Provider ausgehend NAT über eben diese einrichtet und eingehend initiierte Verbinden nicht funktionieren. Es gibt zwar Ansätze in der Art von einer UPNP ähnlichen Weise das CGN selektiv durch den Kundenrouter zu „öffnen“, allerdings ist mir noch kein Provider bekannt der dies tatsächlich ermöglicht. Die mögliche Lösung nennt sich IPv6, dieses Protokoll hat derzeit noch einen – vergleichsweise – geringen Verbreitungsgrad, leidet unter dem Henne-Ei Problem, ist also noch nicht flächendeckend nutzbar. IPv6 sollte trotzdem soweit möglich eingesetzt werden.

Weiterlesen

Cloudflare DNS Update über die Sophos UTM ausführen

Nachdem ich meine DNS Einträge über Cloudflare pflege und sich die IPv6 Adresse meiner WAN Schnittstelle der Sophos nach langer Zeit mal wieder änderte, suchte ich nach einer komfortablen Möglichkeit, automatisiert den DNS Eintrag zu aktualisieren.

Der eingebaute Dyndns Dienst von der Sophos unterstützt leider nur 1-2 kostenpflichtige Anbieter, so dass hier nur eine Eigenbaulösung in Frage kam.

Weiterlesen

Kurzreview: Landitec scope7-7525

Zusätzlich zum scope7-1010 durfte ich noch den scope7-7525 von Landitec testen. Auf ein größeres Umfeld ausgelegt, ist diese handliche, voll passiv gekühlte Appliance mit sechs statt drei Intel basierenden Netzwerkports ausgestattet. Zur Installation kommt hier der serielle Konsolenport zum Einsatz. Da es sich hier um professionelle Hardware handelt, ist kein HDMI Anschluss vorhanden.

Weiterlesen

Hardwaretest: scope7-1010 Firewall Appliance

Lieferumfang: Netzteil, Stromkabel, Appliance

Hinweis: Ich stehe in keinem persönlichen oder gewerblichen Verhältnis mit der Firma Landitec und bekomme für dieses Review keinerlei Zuwendung. Aus Interesse an einer kleinen Lösung zum Einsatz der Sophos UTM im Heimbereich hatte ich um eine Leihstellung gebeten. Die scope7-1010 wird nicht als Sophos UTM Appliance angeboten oder beworben. 

Rückseite (Reset, USB 2.0, HDMI, Konsole, Strom)

 

 

Weiterlesen

Übersicht von vServer Anbietern mit Möglichkeit für eigene ISO.

Auf der Suche nach einem passenden vServer Anbieter um dort eine Sophos UTM zu hosten habe ich festgestellt, das es viele Vor- und Nachteile gibt. Die Preise reichen von 3,99 pro Monat bis hin zu ca. 15 € pro Monat. Eine zusätzliche IP Adresse kostet dann meistens nochmal um die 1-2 €. Eine gute & günstige Alternative wenn es nur um reine TCP/IP Verbindungen geht und man durch Carrier Grade NAT beschnitten wäre ist www.feste-ip.net (REF Link). Der Support ist hier klasse und man bekommt eine schlanke Lösung mit niedrigen monatlichen Kosten und kaum Wartungsaufwand.

Weiterlesen

Partitionen der Sophos UTM vergrößern

Achtung: Diese Anleitung ist nur für Personen die wissen was sie tun. Hiermit greift man direkt in die Partitionierung einer Sophos UTM ein. Dies ist total „unsupported“. Als Beispiel nehmen wir hier die Installation bei Providerdienste.de da wir dort 2 virtuelle Festplatten bekommen. VDA mit 10 GB und VDB mit 30 GB. Damit die Sophos Log und Storage auf die großen Partitionen schreiben kann muss etwas Anpassungsarbeit geleistet werden.

Anleitung angepasst von https://gajetzki.com/blog/solving-sophos-virtual-appliance-disk-space-issues

Weiterlesen

Sophos UTM bei Providerdienste.de installieren

Achtung: Diese Anleitung setzt gewisse Grundkenntnisse im Umgang mit Linux, der Sophos UTM und vServern voraus. Die Installation eigener ISOs bei Providerdienste Cloud Server ist nicht offiziell supported. 

Kurze Anleitung (Abgekupfert von: https://www.lowendtalk.com/discussion/81896/install-windows-on-any-wholesaleinternet-preconfigured-server-using-qemu-kvm)

  • Cloudserver bei Providerdienste.de bestellen (ich habe den Cloud30 genommen). Ich bedanke mich schonmal falls jemand meinen REF Link benutzt (gibt 15% Rabatt in den ersten 6 Monaten und 15 € Guthaben für mich)  https://www.providerservice.com/?pdid=OB585F46575D623B6B65
  • Rescue System starten -> VDA 10 GB und VDB 30 GB stehen zur Verfügung
  • per SSH auf das Rescue System verbinden
  • „dd if=/dev/zero of=/dev/vda bs=1M count=1“ danach „dd if=/dev/zero of=/dev/vdb bs=1M count=1“ gefolgt von „partprobe“ und „mkfs.ext3 /dev/vdb“
  • „mkdir /mnt/test“ danach „mount /dev/vdb /mnt/test“
  • asg-9.351-3.1.iso (oder neuer) per wget unter /mnt/test ablegen

vKVM herunterladen: wget -qO- /tmp http://notfor.pro/content/files/vkvm.tar.gz | tar xvz -C /tmp

Vorher noch den Speicher aufräumen damit KVM den Ram nutzen kann und uns die Installation nicht den KVM crasht.

„free && sync && echo 3 > /proc/sys/vm/drop_caches && free“

  • mit qemu die Installations ISO starten:
    /tmp/qemu-system-x86_64 -net nic -net user,hostfwd=tcp::3389-:3389 -m 1024M -localtime -vga std -usbdevice tablet -k en-us -cdrom /mnt/test/asg-9.351-3.1.iso -drive file=/dev/vda,if=virtio -boot once=d -vnc :1
  • jetzt mit einem VNC Viewer auf Display 1 der VM IP connecten und wir sehen den Installer (z.B. Chicken of the VNC unter macOS)
  • IP Adresse, Subnetz und Gateway entsprechend der Daten aus dem vServer Kundenbackend übernehmen und eintragen bei der Installation
  • Installation läuft durch. Wenn fertig KVM beenden (CTRL+C) und Server neu starten
  • https://ip-des-v-servers:4444 aufrufen und die Sophos UTM konfigurieren

Damit wir auch den restlichen Speicherplatz des vServers nutzen können hier die Anleitung zum Anlegen weiterer Partitionen auf VDB und zur Anpassung der FSTAB.

HBA Modus auf HP P420 aktivieren

um z.B. FreeNAS mittels eines HP P420 Raid Controllers zu versorgen kann man diesesen über das Tool „hpssacli“ in den hba Modus versetzen. Er gibt seine Platten dann 1:1 weiter.

Das HPSSACLI Tool ist z.B. Bestandteil der „HP Service Pack for Proliant“ DVD die es bei bestehender Garantie zum Download direkt bei HP gibt.

  1. Von der HP SPP ISO starten und den „interactive“ Modus auswählen.
  2. im HP Smart Storage Admin nun ein ggf. noch bestehendes Array löschen (Daten gehen verloren!)
  3. Das Tool verlassen und im Hauptbildschirm folgende Tastenkombination drücken: „Strg + Alt + d + b +x“ – es sollte sich eine CLI öffnen
  4. in der CLI wechseln wir nun das Verzeichnis „cd /opt/hp/hpssacli/bld/“
  5. Mittels „./hpssacli ctrl all show config“ nachschauen auf welchem Slot der P420 sitzt. In meinem Fall war das Slot 2
  6. Nun setzen wir mit dem Befehl „./hpssacli controller slot=2 modify hbamode=on forced“ den Controller in dem HBA Modus. Exit und Neustart -> FERTIG.

Zusatzinfo: Sollte man den Raid Controller wieder nutzen wollen ohne HBA Modus muss man das ganze in abgewandelter Form wiederholen. statt „hbamode=on“ wird dann „hbamode=off“ eingetragen und die Raid Funktionalität steht wieder zur Verfügung.

Zusatzinfo2: Der P420 eignet sich unter ESXi 6.0U2 nicht zum Durchreichen an eine virtuelle Maschine!

Externe Links: https://kallesplayground.wordpress.com/useful-stuff/hp-smart-array-cli-commands-under-esxi/

Sophos UTM mit einer Fritzbox per VPN verbinden (Site2Site per IPsec)

Man findet einiges an Anleitungen und Hinweisen zur Vernetzung einer Sophos UTM und einer Fritzbox per Site2Site über IPsec. VIele Infos dazu sind schon älter und funktionieren so nicht mehr. Auch diese Anleitung bezieht sich jeweils auf einen bestimmten Firmwarestand als Funktionsfähig. Letztendlich ist ein Site2Site zwischen 2 Herstellern immer als problematisch anzusehen. Die Fritzbox 7490 schafft ca. 10 Mbit VPN mit dieser Config. Zwischendurch kann es kurze Aussetzer geben.

Weiterlesen

Letsencrypt Zertifikat für die Sophos UTM erstellen

UPDATE: Es gibt eine schönere Lösung. Eigenbau eines Community Mitglieds inkl. Cronjob und vollautomatisiert: https://github.com/rklomp/sophos-utm-letsencrypt  – Eine bebilderte Anleitung folgt demnächst.

Natürlich macht es keinen Sinn ein ordentliches HTTPS Zertifikat für die Webadmin Seite der Sophos zu erstellen wenn wir das CA als Vertrauenswürdigen Zertifikatsherausgeber importieren. Allerdings soll diese Anleitung exemplarisch zeigen, wie man auf diese Art und Weise auch Zertifikate z.B. für die das eigene Owncloud oder für WordPress erzeugen kann. Es bleibt auch noch die Hoffnung das Sophos aufgrund eines Feature Requests zur Implementierung von Letsencrypt diese Anleitung weitgehend überflüssig macht!

Letsencrypt ist seit Ende 2015 in einer öffentlichen Beta an den Start gegangen, mit dem sich z.B. per Linux Kommandozeile ein 3 Monate gültiges https Zertifikat erstellen lässt. Eigentlich ist es Sinn und Zweck diese Zertifikate möglichst automatisiert erzeugen zu lassen, hoffen wir also auf zukünftige Implementierung.

Weiterlesen