ESXi mit Sophos UTM

[unknownerror]

Hallo Community,

ich habe ein Problem mit der Konfiguration von ESXi und / oder Sophos, genau weiß ich das nicht.

Folgendes ist geplant:

Kabelrouter (Hitron) -> WAN -> Sophos UTM als VM -> LAN -> Switch -> Endgeräte und ESXi mit übrigen VMs.

Mein Server hat zwei Onboard LAN-Ports (Intel I210) und eine PCIe x4 Intel Karte mit 2 Ports (E1G42ET). Das Management-Network (bei mir 192.168.0.201) läuft über die PCIe-Karte. Gateway ist 192.168.0.1, bislang vergibt der Hitron-Router per DCHP einige wenige Adressen, der Rest ist statisch eingestellt.

Wollte nun zunächst die VM mit Sophos installieren, habe hierzu die Variante mit 2. vSwitch und außerdem mit Passthrough eines ausprobiert. Sophos habe ich unter 192.168.0.202 eingerichtet, ist in beiden Fällen mit dem Port 4444 aber über das LAN nicht erreichbar. Anpingen von der Sophos Konsole funktioniert auch nicht.

Was mache ich falsch ?

Passthrough kann ich für beide Onboard LAN Ports getrennt, für die PCIe-Karte aber nur zusammen ?! Ist das richtig ?

Vielen Dank schon mal !

 

[danton]

Sophos UTM ist meines Wissens eine Firewall d.h. alles Richtung Internet muß du durch. Das bedeutet, die Sophos darf als einiziges System mit deinem Kabelrouter verbunden sein - alle anderen Geräte nicht mehr. Du brauchst auch zwei IP-Bereiche, einmal Router-UTM und einmal UTM-Rest.
Das kannst du erreichen, indem du mehrere virtuelle Switche auf dem ESXi anlegst - an einem hängt das WAN-Interface der UTM und der Netzwerkport mit dem Kabel zum Kabelrouter.
Der zweite virtuelle Switch verbindet das LAN-Interface der UTM mit den restlichen virtuellen Maschinene und der Netzwerkkarte, die das Kabel zum Hardware-Switch mit den restlichen LAN-Systemen hat. Zwischen dem Hardware-Switch und dem Kabelrouter befindet sich kein Netzwerkkabel.
Die UTM sollte dann über die IP erreichbar sein, die du auf der LAN-Seite konfiguriert hast (z.B. 192.168.1.1 wäre hier gut geeignet).

 

[DRieper]

Hi,

wie danton schon anmerkte, muss jeder Traffic durch die Sophos durch.
Wenn die Sophos nur umgangen wird macht sie keinen Sinn als Firewall.

Du kannst einmal bei deinem Kabelprovider schauen ob dieser nicht vielleicht sogar das Hitron Modem in den "bridged" Modus versetzen kann, dann würde die Sophos auf WAN die IPv4-Adresse des ISPs bzw. das IPv6-Subnetz direkt zugewiesen bekommen. Dann fällt das "double-NAT" (#1 durch das Hitron; 2# durch die Sophos) weg - und lediglich die Spohos führt NAT durch.

Wenn du auch für Zugriffe aus deinem LAN -> WAN(Hitron)/Internet ermöglichen möchtest, musst du entsprechende Regeln erstellen damit dies überhaupt möglich ist.

Wenn du beispielsweise aus deinem LAN direkt auf die Sophos zugreifen möchtest, so ist es natürlich erforderlich eine Regel für alle Hosts in deinem LAN(oder einem spezifischen LAN-host) den Zugriff auf Sophos(LAN-IP) 4444/tcp zu erlauben. Ebenfalls wäre es Notwendig wenn jeder Host via 53/udp(dns) und 80&443/tcp Zugriff auf das Internet erhalten soll eine Regel passend definieren.

Prinzipbeispiel:
src: LAN-Network(192.168.x.0/24) from ANY Port TCP --(to)--> dst: ANY(IP/Network/Internet[vX]) at Ports 80 and 443 using TCP

Grundlegend blockt die Sophos glaube alles was nicht explizit zugelassen wurde.
Das trifft auch für deine Tests mit ICMP/Ping zu.

-
DR

 

[IP-Projects.de]

Guten Morgen,

ich darf mich hier einmal einhaken Du möchtest eine Sophos UTM auf deinen Dedicated Server innerhalb deines Netzwerks als VM betreiben. Da spricht erst einmal nichts dagegen. In dem Fall hast du das Sophos UTM Software Appliance ISO heruntergeladen und auf einer VM installiert die mindestens Zwei virtuelle Netzwerkkarten hat. Das ist die Mindestanforderung von Sophos und sollte prinzipiell funktionieren. Eine virtuelle NIC wird in dem Fall als WAN NIC verwendet, eine virtuelle NIC als LAN NIC. Du kannst das theoretisch sogar alles über ein Netzwerk Device im Server abdecken, in dem Fall würde die Eingehende und Ausgehende Kommunikation über die Selbe physikalische Netzwerkkarte laufen. Das ist technisch durchaus möglich, das kann auch Sinn machen, wenn es die Hardware nicht anders kann und man einfach nur z.B. einen kleinen Windows Server mit Port freigaben schützen möchte ... und dafür nicht diese klare Hardwareseitige Trennung benötigt. Im Server sind zwei LAN Karten drinnen, du könntest also die LAN Karte 1 = WAN auf die vNIC 1 binden und die LAN Karte 2 = LAN auf die vNIC 2, dann hättest du auch das sauber abgebildet.

In der Theorie sollte diese Konstellation problemlos laufen, getestet mehrmals auf einem Proxmox KVM vServer Host. Ob man hier VMWare Seitig eventuell noch etwas beachten muss kann ich nicht sagen. Vom Prinzip her funktioniert es aber.

Andere Konstellationen wären, wie schon erwähnt, die Firewall direkt an dem DSL Router anzuschließen. Solange die Firewall nicht das DSL selbst aufbaut, ist dafür keine spezielle Konfiguration notwendig. Firewall WAN Port einfach LAN 1 vom Router anschließen, in den Zweiten LAN Port der Firewall dann den Netzwerk switch. Über LAN 1 bekommt dann die Firewall das Internet und über LAN 2 gibt sie den gefilterten Traffic an den Switch weiter. Du könntest mit so einem Aufbau sogar ein Bridged Setup realisieren. Das bedeutet man baut eine Netzwerk Bridge mit der Firewall von LAN 1 auf LAN 2 und der DSL Router ist weiterhin z.B. für die Vergabe von DHCP IPs und co. zuständig. Die Firewall filtert dann nach vorgegebenen Regeln. So etwas ist aber schwierig mit einer virtuellen Appliance abbildbar. Das muss man schlicht ausprobieren.

 

[Terminatorthree]

Hi,

Ob man hier VMWare Seitig eventuell noch etwas beachten muss kann ich nicht sagen. Vom Prinzip her funktioniert es aber.

Dem kann ich so zustimmen. Tipp: Wenn man mit dem Sophos RED Tunnel auf Layer 2 spielen will, muss man dran denken, den Promiscuous Mode auf dem virtuellen Switch des ESXi zuzulassen. Hat mich einige Stunden meines Lebens gekostet, bis ich drauf gekommen bin.