Archiv für den Monat: März 2016

Sophos UTM mit einer Fritzbox per VPN verbinden (Site2Site per IPsec)

Man findet einiges an Anleitungen und Hinweisen zur Vernetzung einer Sophos UTM und einer Fritzbox per Site2Site über IPsec. VIele Infos dazu sind schon älter und funktionieren so nicht mehr. Auch diese Anleitung bezieht sich jeweils auf einen bestimmten Firmwarestand als Funktionsfähig. Letztendlich ist ein Site2Site zwischen 2 Herstellern immer als problematisch anzusehen. Die Fritzbox 7490 schafft ca. 10 Mbit VPN mit dieser Config. Zwischendurch kann es kurze Aussetzer geben.

Weiterlesen

Letsencrypt Zertifikat für die Sophos UTM erstellen

UPDATE: Es gibt eine schönere Lösung. Eigenbau eines Community Mitglieds inkl. Cronjob und vollautomatisiert: https://github.com/rklomp/sophos-utm-letsencrypt  – Eine bebilderte Anleitung folgt demnächst.

Natürlich macht es keinen Sinn ein ordentliches HTTPS Zertifikat für die Webadmin Seite der Sophos zu erstellen wenn wir das CA als Vertrauenswürdigen Zertifikatsherausgeber importieren. Allerdings soll diese Anleitung exemplarisch zeigen, wie man auf diese Art und Weise auch Zertifikate z.B. für die das eigene Owncloud oder für WordPress erzeugen kann. Es bleibt auch noch die Hoffnung das Sophos aufgrund eines Feature Requests zur Implementierung von Letsencrypt diese Anleitung weitgehend überflüssig macht!

Letsencrypt ist seit Ende 2015 in einer öffentlichen Beta an den Start gegangen, mit dem sich z.B. per Linux Kommandozeile ein 3 Monate gültiges https Zertifikat erstellen lässt. Eigentlich ist es Sinn und Zweck diese Zertifikate möglichst automatisiert erzeugen zu lassen, hoffen wir also auf zukünftige Implementierung.

Weiterlesen

Umgehung von CGN Problemen durch Sophos UTM und RED auf vServer mit fester IPv4

Update: Hatte bei einem vServer Anbieter Probleme mit dieser Vorgehensweise. Die Sophos VM hat ohne Ende UDP Traffic verursacht und sowohl Absender als auch Empfänger IP ziemlich lahm gelegt. Bitte bei der Einrichtung prüfen ob dies der Fall ist, oder alternativ den RED Interfaces interne IP Adressen geben und auf der vServer UTM ein MASQ + NAT auf die interne RED IP der Heim Sophos einrichten. z.B. dem RED Interface der vServer Sophos die 172.24.25.1 und der Heim Sophos die 172.24.25.2. Auf der vServer Sophos die entsprechende ausgehende Firewall Regel anlegen und Masquarading aktivieren zum ausgehenden WAN Interface. Ist zwar wieder NAT aber funktioniert genau so gut!

alter Beitrag:

Mittlerweile verwenden einige Provider (grad neue Provider) aufgrund von der allgemeinen IPv4 Knappheit Carrier Grade NAT (CGN) um ihre Kunden den Zugang zum Internet zu ermöglichen.  Dies bedeutet, das sich x Kunden eine öffentliche IPv4 teilen, der Provider ausgehend NAT über eben diese einrichtet und eingehend initiierte Verbinden nicht funktionieren. Es gibt zwar Ansätze in der Art von einer UPNP ähnlichen Weise das CGN selektiv durch den Kundenrouter zu „öffnen“, allerdings ist mir noch kein Provider bekannt der dies tatsächlich ermöglicht. Die mögliche Allgemeinlösung nennt sich IPv6, dieses Protokoll hat derzeit noch einen – vergleichsweise – geringen Verbreitungsgrad, leidet unter dem Henne-Ei Problem, ist also noch nicht Flächendeckend nutzbar.

Mein Grundproblem ist das mein neuer FTTH Provider leider nur DS-Lite anbietet, d.h. ich benutze mit anderen Kunden zusammen eine IPv4 über das besagte CGN Gateway des Providers und bekomme ein volles IPv6-Stack inkl. /48 Prefix. Eingehende Verbindungen etwa für Owncloud, Teamspeak Server oder einer Webcam über IPv4 kann ich wie schon erwähnt aus den Gründen nicht von Aussen erreichbar machen.

Weiterlesen