Archiv des Autors: admin

Cloudflare DNS Update über die Sophos UTM ausführen

Nachdem ich meine DNS Einträge über Cloudflare pflege und sich die IPv6 Adresse meiner WAN Schnittstelle der Sophos nach langer Zeit mal wieder änderte, suchte ich nach einer komfortablen Möglichkeit, automatisiert den DNS Eintrag zu aktualisieren.

Der eingebaute Dyndns Dienst von der Sophos unterstützt leider nur 1-2 kostenpflichtige Anbieter, so dass hier nur eine Eigenbaulösung in Frage kam.

Nach kurzer Recherche bin ich auf dieses Script gestoßen:

https://github.com/AmirAzodi/cloudflare_ddns

Einfach die Dateien cf-ddns.conf und cf-ddns.py z.B: nach /home/login/cf-updater/ runterladen, chmod +x auf cf-ddns.py und die Konfiguration entsprechend anpassen, schon kann es losgehen!

<M> utm:/home/login/cf-updater # ./cf-ddns.py
* zone id for "busche.org" is missing. attempting to get it from cloudflare...
* zone id for "busche.org" is XXXXXXX
* host id for "utmhomev6.busche.org" is missing. attempting to get it from cloudflare...
* host id for "utmhomev6.busche.org" is XXXXXXXXX
* update successful (type: AAAA, fqdn: utmhomev6.busche.org, ip: 2a01:66a0:XXXX:XXXX:XXXX:XXXX:5739:760e)
* updates completed. bye.

Das ganze Script jetzt noch als Cronjob einfügen und fertig.

crontab -e

das hier einfügen, damit wird das script alle 5 Minuten ausgeführt.

*/5 * * * * /home/login/cf-updater/cf-ddns.py >/dev/null 2>&1

Kurzreview: Landitec scope7-7525

Zusätzlich zum scope7-1010 durfte ich noch den scope7-7525 von Landitec testen. Auf ein größeres Umfeld ausgelegt, ist diese handliche, voll passiv gekühlte Appliance mit sechs statt drei Intel basierenden Netzwerkports ausgestattet. Zur Installation kommt hier der serielle Konsolenport zum Einsatz. Da es sich hier um professionelle Hardware handelt, ist kein HDMI Anschluss vorhanden.

Als CPU kommt statt dem Dual Core Atom ein echter Quad Core Atom zum Einsatz. Die OpenVPN Transferraten sind dank der vier Kerne deshalb besser als beim scope7-1010, in etwa doppelt so schnell (im Schnitt 138 Mbits/sec mit iperf gemessen). Bei der Nutzung eines RED Tunnels bekommt man ca. 214 Mbits/sec Durchsatz statt 170Mbits/sec.

OpenVPN Iperf3 Messwert (-P 8)
[SUM] 0.00-10.00 sec 188 MBytes 158 Mbits/sec sender
[SUM] 0.00-10.00 sec 187 MBytes 157 Mbits/sec receiver

Red Tunnel Messwert (-P 2)
[SUM] 0.00-10.00 sec 255 MBytes 214 Mbits/sec sender
[SUM] 0.00-10.00 sec 255 MBytes 214 Mbits/sec receiver

Fazit: Interessant ist dieses Gerät in Netzwerkumgebung, in denen mehr als drei Schnittstellen gebraucht werden und der OpenVPN Durchsatz (etwa bei mehreren Site2Site Verbindungen oder Außendienstmitarbeitern) entscheidender ist. Durch die passive Gehäusekühlung ist auch diese Appliance völlig geräuschlos und findet sicher in jeder Installation ihren Platz.

Externer Linkhttps://www.landitec.com/products/open-source-appliance-solutions/scope7-open-source-firewall 

Hardwaretest: scope7-1010 Firewall Appliance

Lieferumfang: Netzteil, Stromkabel, Appliance

Hinweis: Ich stehe in keinem persönlichen oder gewerblichen Verhältnis mit der Firma Landitec und bekomme für dieses Review keinerlei Zuwendung. Aus Interesse an einer kleinen Lösung zum Einsatz der Sophos UTM im Heimbereich hatte ich um eine Leihstellung gebeten. Die scope7-1010 wird nicht als Sophos UTM Appliance angeboten oder beworben. 

Rückseite (Reset, USB 2.0, HDMI, Konsole, Strom)

Die „scope7-1010“ Firewall Appliance welche mir freundlicherweise von der Firma Landitec leihweise zur Verfügung gestellt wurde basiert auf einem Intel Atom E3825 CPU (Bay Trail) mit 1.33Ghz und einer TDP von 6 Watt. Vorderseitig sind 3 LAN Anschlüsse und ein USB 3.0 Port vorhanden. Auf der Rückseite befinden sich ein Reset Schalter, USB2.0-, HDMI-, Konsolen- und Stromanschluss. Das hier vorliegende Testgerät hat 4GB RAM und eine 32GB „half slim mSATA“ SSD verbaut. Das Gehäuse hat die Größe von etwa zwei übereinander gestapelten Musik CDs Hüllen und wird von einem externen Netzteil mit Strom versorgt. Dank Passivkühlung über das gut verarbeitete Metallgehäuse arbeitet die kleine Box komplett lautlos und wurde während des Tests nicht mehr als etwa Handwarm. Das Strommessgerät zeigte wäre der Installation und Betrieb im Mittel einen Wert von ca. 5.8 bis 6.5 Watt an.

Frontansicht (3x RJ45, 1x USB 3.0)

Die Installation von Sophos UTM gestaltet sich recht einfach. Dank HDMI Port und USB Ports ist die Firewall in 15-20 Minuten installiert. Die drei onboard Intel Netzwerkanschlüsse werden ohne Probleme erkannt.

Beim einfachen Routing von Port zu Port gibt es keine Überraschungen. Dank Intel NICs wird hier quasi voller Gigabit Durchsatz erreicht. Beim Speedtest im Internet mit vorgeschalteter Fritzbox wird die CPU nicht sichtbar belastet. Bei PPPoE Verbindungen ist hier je nach Anschluss mit einer kleinen CPU Last zu rechnen.

Zum messen des VPN Durchsatzes habe ich jeweils eine OpenVPN und eine RED Verbindung zu einer anderen Sophos UTM (VM auf einem ESX Host mit 2 Xeon Cores) aufgebaut. Bei der iperf „Gegenstelle“ handelt es sich um eine Ubuntu VM „hinter“ der Sophos UTM VM die mittels NAT angesprochen wird. Leider unterstützt die Sophos UTM nicht die AES Crypto Erweiterung der E3825 CPU des scope7-1010, so dass die Hauptarbeit hier der CPU überlassen wird ohne auf spezialisierte Befehlssätze zurückgreifen zu können. Auch beim Xeon 1220-V2 wird AES nicht durch die Sophos UTM unterstützt. Update: Scheinbar wird der AES Befehlssatz doch unterstützt. An dieser Stelle reiche ich in Kürze noch weitere Messwerte nach.

OpenVPN -P 1 mit iperf3:

[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 73.2 MBytes 61.4 Mbits/sec sender
[ 4] 0.00-10.00 sec 73.0 MBytes 61.3 Mbits/sec receiver

OpenVPN -P 8 mit iperf3:
[SUM] 0.00-10.00 sec 89.7 MBytes 75.2 Mbits/sec sender
[SUM] 0.00-10.00 sec 88.8 MBytes 74.5 Mbits/sec receiver

Leider läuft OpenVPN immer nur auf maximal einem Kern pro Verbindung. Interessanterweise war der Download einer 1GByte großen Testdatei von einer Synology Diskstation mit etwa 90-95Mbits über die OpenVPN Verbindung abgewickelt worden.

Bei dem RED Tunnel sah es im Vergleich zur OpenVPN schon besser aus. Da es kaum einen Unterschied machte mehr als 2 parallele Threads unter iperf3 zu nutzen, habe ich es hier bei 2 belassen.

RED Tunnel -P 2mit iperf3:
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec sender
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec receiver

Bei einzelner RED Verbindungen habe ich um 130 Mbit/sec gemessen. (Dies wäre beim Transfer einer Datei z.B. per SMB der Fall)

Fazit: Im mittleren 400 € Preissegment findet man hier eine komplett fertige offene Firewall Appliance eines deutschen Distributors die sich prima als kleine, lautlose und stromsparende Komplettlösung mittels Sophos UTM oder anderer Software Lösungen um das heimische Netzwerk oder einer kleinen Firmen Außenstelle kümmert. Sollen Dinge wie IPS, Webfilter und weitere Features für alle internen Netze aktiviert werden, so wird man hier in einem größeren Umfeld an die Grenzen der verbauten dual Core Atom CPU stoßen. Legt man allerdings Wert auf die Firewall, Routing und VPN Anbindung in einem möglichst kleinen Gehäuse mit wenig Stromaufnahme und zukünftiger Vorbereitung von Hardware AES ist man hier genau richtig.

Externe LinksLanditec Produktübersicht „Open-Source Firewall

Übersicht von vServer Anbietern mit Möglichkeit für eigene ISO.

Auf der Suche nach einem passenden vServer Anbieter um dort eine Sophos UTM zu hosten habe ich festgestellt, das es viele Vor- und Nachteile gibt. Die Preise reichen von 3,99 pro Monat bis hin zu ca. 15 € pro Monat. Eine zusätzliche IP Adresse kostet dann meistens nochmal um die 1-2 €. Eine gute & günstige Alternative wenn es nur um reine TCP/IP Verbindungen geht und man durch Carrier Grade NAT beschnitten wäre ist www.feste-ip.net (REF Link). Der Support ist hier klasse und man bekommt eine schlanke Lösung mit niedrigen monatlichen Kosten und kaum Wartungsaufwand.

Ich bedanke mich im voraus für die Nutzung meiner REF Anmeldelinks zu den Providern. Diese ermöglichen es mir hin und wieder neue Anbieter zu testen oder Testsysteme für eine Anleitung aufzusetzen ohne extra Geld zu investieren.

Providerdienste (REF Anmeldelink)

  • Serverstandort in u.a. in Düsseldorf
  • Support antwortet schnell und ist hilfsbereit
  • schon der kleinste Cloud Server eignet sich gut für eine minimale Sophos Installation
  • Installation der Sophos setzt ein paar manuelle Handgriffe vorraus. Anleitung dafür findet man hier in meinem Blog.

PHP-Friends (Link)

  • Serverstandort nahe Frankfurt
  • sehr guter, schneller Service
  • direkte Möglichkeit eigene ISOs zu installieren

Vultr.com (REF Anmeldelink)

  • Viele auswählbare Standorte Weltweit auswählbar
  • Stundenweise Abrechnung wenn man nur mal was ausprobieren möchte
  • IPv4/IPv6 inkl. Reverse DNS und privatem Subnet
  • eigene ISO lässt sich über Webinterface hochladen

Partitionen der Sophos UTM vergrößern

Achtung: Diese Anleitung ist nur für Personen die wissen was sie tun. Hiermit greift man direkt in die Partitionierung einer Sophos UTM ein. Dies ist total „unsupported“. Als Beispiel nehmen wir hier die Installation bei Providerdienste.de da wir dort 2 virtuelle Festplatten bekommen. VDA mit 10 GB und VDB mit 30 GB. Damit die Sophos Log und Storage auf die großen Partitionen schreiben kann muss etwas Anpassungsarbeit geleistet werden.

Anleitung angepasst von https://gajetzki.com/blog/solving-sophos-virtual-appliance-disk-space-issues

Partition vergrößern nach Installation auf Providerdienste:

  • SSH auf die Sophos einrichten und verbinden
  • „bügeln“ von /dev/vdb mit „dd if=/dev/zero of=/dev/vdb bs=1M count=1“ gefolgt von „partprobe“
  • cfdisk /dev/vdb dort 2 Linux Primary Partitions anlegen
  • mkfs.ext4 /dev/vdb1
  • mkfs.ext4 /dev/vdb2

in der „/etc/fstab“ nach den Einträgen für /var/storage und /var/log schaue

/dev/vda5 719836 674320 0 100% /var/storage
/dev/vda7 971260 18696 882628 3% /var/log

wir wollen also vda5 und vda7 auf die neuen Partitionen (auf VDB) umlegen …

damit möglichst wenig Dienste stören folgende Befehle absetzen:

  • „/etc/init.d/postgresql92 stop“
  • „for i in `ls /etc/init.d`; do $i stop; done;“

temp mounts zum Dateien kopieren anlegen

  • „mkdir /mnt/newstorage“
  • „mkdir /mnt/newlog“

und mounten …

  • „mount /dev/vdb1 /mnt/newstorage“
  • „mount /dev/vdb2 /mnt/newlog“

Dateien jetzt rüberholen…

  • „rsync -aAXv –exclude=“proc/*“ –exclude=“dev/*“ /var/storage/* /mnt/newstorage“
  • „rsync -aAXv –exclude=“proc/*“ –exclude=“dev/*“ /var/log/* /mnt/newlog“

Jetzt brauchen wir noch die UIDs der neuen Partitionen für unsere fstab, das erleidgen wir z.B. durch folgende Befehle:

  • blkid /dev/vdb1 >> /etc/fstab
  • blkid /dev/vdb2 >> /etc/fstab

jetzt könne wir die „/etc/fstab“ anpassen damit die neuen Partitionen genutzt werden:

  • „vim /etc/fstab“

die UIDs unten von den neuen Partitionen können wir einfahc mit einem # davor auskommentieren. Die UIDs von storage und log ersetzen wir einfach mit den neuen UIDs. Bitte hier besonders gut aufpassen sonst haben wir nach dem nächsten Reboot ein problem.

fstab speichern, reboot und über mehr Speicherplatz freuen 🙂

Sophos UTM bei Providerdienste.de installieren

Achtung: Diese Anleitung setzt gewisse Grundkenntnisse im Umgang mit Linux, der Sophos UTM und vServern voraus. Die Installation eigener ISOs bei Providerdienste Cloud Server ist nicht offiziell supported. 

Kurze Anleitung (Abgekupfert von: https://www.lowendtalk.com/discussion/81896/install-windows-on-any-wholesaleinternet-preconfigured-server-using-qemu-kvm)

  • Cloudserver bei Providerdienste.de bestellen (ich habe den Cloud30 genommen). Ich bedanke mich schonmal falls jemand meinen REF Link benutzt (gibt 15% Rabatt in den ersten 6 Monaten und 15 € Guthaben für mich)  https://www.providerservice.com/?pdid=OB585F46575D623B6B65
  • Rescue System starten -> VDA 10 GB und VDB 30 GB stehen zur Verfügung
  • per SSH auf das Rescue System verbinden
  • „dd if=/dev/zero of=/dev/vda bs=1M count=1“ danach „dd if=/dev/zero of=/dev/vdb bs=1M count=1“ gefolgt von „partprobe“ und „mkfs.ext3 /dev/vdb“
  • „mkdir /mnt/test“ danach „mount /dev/vdb /mnt/test“
  • asg-9.351-3.1.iso (oder neuer) per wget unter /mnt/test ablegen

vKVM herunterladen: wget -qO- /tmp http://notfor.pro/content/files/vkvm.tar.gz | tar xvz -C /tmp

Vorher noch den Speicher aufräumen damit KVM den Ram nutzen kann und uns die Installation nicht den KVM crasht.

„free && sync && echo 3 > /proc/sys/vm/drop_caches && free“

  • mit qemu die Installations ISO starten:
    /tmp/qemu-system-x86_64 -net nic -net user,hostfwd=tcp::3389-:3389 -m 1024M -localtime -vga std -usbdevice tablet -k en-us -cdrom /mnt/test/asg-9.351-3.1.iso -drive file=/dev/vda,if=virtio -boot once=d -vnc :1
  • jetzt mit einem VNC Viewer auf Display 1 der VM IP connecten und wir sehen den Installer (z.B. Chicken of the VNC unter macOS)
  • IP Adresse, Subnetz und Gateway entsprechend der Daten aus dem vServer Kundenbackend übernehmen und eintragen bei der Installation
  • Installation läuft durch. Wenn fertig KVM beenden (CTRL+C) und Server neu starten
  • https://ip-des-v-servers:4444 aufrufen und die Sophos UTM konfigurieren

Damit wir auch den restlichen Speicherplatz des vServers nutzen können hier die Anleitung zum Anlegen weiterer Partitionen auf VDB und zur Anpassung der FSTAB.

HBA Modus auf HP P420 aktivieren

um z.B. FreeNAS mittels eines HP P420 Raid Controllers zu versorgen kann man diesesen über das Tool „hpssacli“ in den hba Modus versetzen. Er gibt seine Platten dann 1:1 weiter.

Das HPSSACLI Tool ist z.B. Bestandteil der „HP Service Pack for Proliant“ DVD die es bei bestehender Garantie zum Download direkt bei HP gibt.

  1. Von der HP SPP ISO starten und den „interactive“ Modus auswählen.
  2. im HP Smart Storage Admin nun ein ggf. noch bestehendes Array löschen (Daten gehen verloren!)
  3. Das Tool verlassen und im Hauptbildschirm folgende Tastenkombination drücken: „Strg + Alt + d + b +x“ – es sollte sich eine CLI öffnen
  4. in der CLI wechseln wir nun das Verzeichnis „cd /opt/hp/hpssacli/bld/“
  5. Mittels „./hpssacli ctrl all show config“ nachschauen auf welchem Slot der P420 sitzt. In meinem Fall war das Slot 2
  6. Nun setzen wir mit dem Befehl „./hpssacli controller slot=2 modify hbamode=on forced“ den Controller in dem HBA Modus. Exit und Neustart -> FERTIG.

Zusatzinfo: Sollte man den Raid Controller wieder nutzen wollen ohne HBA Modus muss man das ganze in abgewandelter Form wiederholen. statt „hbamode=on“ wird dann „hbamode=off“ eingetragen und die Raid Funktionalität steht wieder zur Verfügung.

Zusatzinfo2: Der P420 eignet sich unter ESXi 6.0U2 nicht zum Durchreichen an eine virtuelle Maschine!

Externe Links: https://kallesplayground.wordpress.com/useful-stuff/hp-smart-array-cli-commands-under-esxi/

Sophos UTM mit einer Fritzbox per VPN verbinden (Site2Site per IPsec)

Man findet einiges an Anleitungen und Hinweisen zur Vernetzung einer Sophos UTM und einer Fritzbox per Site2Site über IPsec. VIele Infos dazu sind schon älter und funktionieren so nicht mehr. Auch diese Anleitung bezieht sich jeweils auf einen bestimmten Firmwarestand als Funktionsfähig. Letztendlich ist ein Site2Site zwischen 2 Herstellern immer als problematisch anzusehen. Die Fritzbox 7490 schafft ca. 10 Mbit VPN mit dieser Config. Zwischendurch kann es kurze Aussetzer geben.

Weiterlesen

Letsencrypt Zertifikat für die Sophos UTM erstellen

UPDATE: Es gibt eine schönere Lösung. Eigenbau eines Community Mitglieds inkl. Cronjob und vollautomatisiert: https://github.com/rklomp/sophos-utm-letsencrypt  – Eine bebilderte Anleitung folgt demnächst.

Natürlich macht es keinen Sinn ein ordentliches HTTPS Zertifikat für die Webadmin Seite der Sophos zu erstellen wenn wir das CA als Vertrauenswürdigen Zertifikatsherausgeber importieren. Allerdings soll diese Anleitung exemplarisch zeigen, wie man auf diese Art und Weise auch Zertifikate z.B. für die das eigene Owncloud oder für WordPress erzeugen kann. Es bleibt auch noch die Hoffnung das Sophos aufgrund eines Feature Requests zur Implementierung von Letsencrypt diese Anleitung weitgehend überflüssig macht!

Letsencrypt ist seit Ende 2015 in einer öffentlichen Beta an den Start gegangen, mit dem sich z.B. per Linux Kommandozeile ein 3 Monate gültiges https Zertifikat erstellen lässt. Eigentlich ist es Sinn und Zweck diese Zertifikate möglichst automatisiert erzeugen zu lassen, hoffen wir also auf zukünftige Implementierung.

Weiterlesen

Umgehung von CGN Problemen durch Sophos UTM und RED auf vServer mit fester IPv4

Update: Hatte bei einem vServer Anbieter Probleme mit dieser Vorgehensweise. Die Sophos VM hat ohne Ende UDP Traffic verursacht und sowohl Absender als auch Empfänger IP ziemlich lahm gelegt. Bitte bei der Einrichtung prüfen ob dies der Fall ist, oder alternativ den RED Interfaces interne IP Adressen geben und auf der vServer UTM ein MASQ + NAT auf die interne RED IP der Heim Sophos einrichten. z.B. dem RED Interface der vServer Sophos die 172.24.25.1 und der Heim Sophos die 172.24.25.2. Auf der vServer Sophos die entsprechende ausgehende Firewall Regel anlegen und Masquarading aktivieren zum ausgehenden WAN Interface. Ist zwar wieder NAT aber funktioniert genau so gut!

alter Beitrag:

Mittlerweile verwenden einige Provider (grad neue Provider) aufgrund von der allgemeinen IPv4 Knappheit Carrier Grade NAT (CGN) um ihre Kunden den Zugang zum Internet zu ermöglichen.  Dies bedeutet, das sich x Kunden eine öffentliche IPv4 teilen, der Provider ausgehend NAT über eben diese einrichtet und eingehend initiierte Verbinden nicht funktionieren. Es gibt zwar Ansätze in der Art von einer UPNP ähnlichen Weise das CGN selektiv durch den Kundenrouter zu „öffnen“, allerdings ist mir noch kein Provider bekannt der dies tatsächlich ermöglicht. Die mögliche Allgemeinlösung nennt sich IPv6, dieses Protokoll hat derzeit noch einen – vergleichsweise – geringen Verbreitungsgrad, leidet unter dem Henne-Ei Problem, ist also noch nicht Flächendeckend nutzbar.

Mein Grundproblem ist das mein neuer FTTH Provider leider nur DS-Lite anbietet, d.h. ich benutze mit anderen Kunden zusammen eine IPv4 über das besagte CGN Gateway des Providers und bekomme ein volles IPv6-Stack inkl. /48 Prefix. Eingehende Verbindungen etwa für Owncloud, Teamspeak Server oder einer Webcam über IPv4 kann ich wie schon erwähnt aus den Gründen nicht von Aussen erreichbar machen.

Weiterlesen