Kategorie: Sophos

Sophos: Voip/SIP mit Telekom DeutschlandLAN

Bei einem DeutschlandLAN Anschluß wird SIP/VOIP über die bestehenden Internetleitung realisiert. In dem Beispiel habe ich einen DSL Anschluß welcher über eine Sophos UTM 9.5 realisiert wird und eine Avaya IP Office Anlage mit mehreren Telefongeräten. Die Telefonanlage hängt im lokalen Netz – man könnte auch die Telefonie trennen und auf ein eigenes Interface der Sophos legen oder ein eigenes VLAN verwenden, das war jedoch hier nicht gewünscht.

An der TAE Dose (kein NTBA oder Splitter dazwischen) hängt ein Telekom Speedport Entry 2 welcher ADSL und VDSL beherscht.

An dem Port LAN1 hängt ein LAN Kabel welches auf einen Netzwerk-Port der Sophos geht. Die PPPoE Einwahl läuft erfolgreich über diesen Port. Internet wird über diesen Anschluß realisiert.

Die Zugangsdaten wurden wie folgt eingerichtet:

Username: <Anschlusskennung><Onlinekennung><Mitbenutzer>@t-online.de
Kennwort: <Kennwort>

Bei VDSL bitte darauf achten, das bei der Sophos VDSL bei der PPPoE Einwahl erfolgt und auch VLAN7 getaggt ist. Sollte ein VDSL Modem mit integriert sein, bitte auch schauen ob diese ein VLAN Tagging benötigt.

Die DNS Server waren zuvor auf externe von Google eingestellt, diese habe ich jedoch auf die externen DNS Server welche bei der PPPoE Einwahl bereitgestellt werden (falls nicht automatisch, dann fest einstellen – Adressen können in dem PPPoE Log eingesehen werden). Dies wird benötigt, da die Services über DNS (z.B. _sip._regs.sip-trunk.telekom.de) aufgelöst werden müssen. Bei der Avaya IP Office kann man für die SIP Verbindung gar eigene DNS Server angeben – somit würde diese Anpassung nicht benötigt.

Eine Besonderheit, die ich habe in meinem Fall ist, das ich nicht über die ADSL Leitung rausgehe, sondern Parallel über eine weitere SDSL Leitung, damit jedoch die Telefonanlage auch die Leitung nutzt auf der das Voip läuft, habe ich eine neue Richtlinienroute erstellt (Schnittstellen & Routing > Statisches Routing > Richtlinien Routing > Neue Richtlinie) wie folgt:

Ob diese Regel funktioniert, testet man am besten an einem PC – wenn man die Seite wieistmeineip.de aufruft und die Regel aktiviert muss sich die IP über die man rausgeht ändern auf die Adresse der DeutschlandLAN Leitung.

Je nach Bandbreite sollte man auch noch ein QoS für SIP erstellen.

Dazu dann unter Schnittstellen & Routing > Status die Ports aktivieren und die richtigen Bandbreiten einstellen (in MBit). Dann unter Verkehrskennzeichner einen neuen Eintrag erstellen wie folgt (Adresse der Telefonanlage):

Und anschließend noch unter Bandbreiten Pools noch einen entsprechenden Bandbreitenpool anlegen wie folgt:

Wenn man dann in der Telefonanlage sieht, das sich die Anlage registriert die Rufnummer 0800 55 10033 anrufen, danach beginnt dann die Portierung.

Wird später komplett auf diese Leitung umgestellt sind weitere Anpassungen erforderlich:

  • Im Kundencenter feste IP aktivieren (evtl. übernehmen).
  • DNS Eintrag anpassen.
  • Ist DNS eingerichtet kann man nach kurzer Zeit auch im Kundencenter den DNS-Reverseeintrag einrichten.
  • Kontrollieren ob Name auch auf eventuelle Zeritifikat passt (z.B. bei Exchange Server).
  • Evtl. vorhandene Einträge im SPF für DNS Eintragen (siehe https://www.leibling.de/email-spf-erstellen/).
  • NAT und Firewallregeln anpassen.
  • Schnittstellenrouting entfernen.
  • QoS anpassen sofern eingerichtet.

Update:

In einem bestimmten Falle wurde die Leitung auch direkt von ADSL auf VDSL umgestellt. Es ist ein Speedport Entry 2 vor Ort eingesetzt – mit dem aktuellsten Firmwareupdate (zu finden unter https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-entry-2/firmware-zum-speedport-entry-2?samChecked=true) war dieses auch VDSL Kompatibel und konnte auf LAN2 im Modem Betrieb den Status ausgeben (http://169.254.2.1). Dort kann man dann die Verbindung einsehen:


Email: SPF erstellen

Kategorie: Exchange , Server , Sophos , Support

Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.

Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.

SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:

v=spf1 include:remote.leibling.de include:mx.worldserver.net -all

Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.

Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator

Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/

 



Netzwerk Monitoring mit PRTG

Hier der Status meines Hausnetzes in Echtzeit:


Sophos XG eigenes öffentliches Zertifikat verwenden

Um keine Fehlermeldungen zu erhalten beim Zugriff auf die Adminöberfläche  oder dem Userportal der Firewall setze ich ein öffentliches Zertifikat ein. Da ich das jedoch meistens nur selber nutze, reicht mir ein günstiges einfaches mit einer niedrigen Sicherheitsstufe aus.

Dazu verwende ich die SSL Zertifikate von SSLs.com – diese gibt es für ca. 15€ für 3 Jahre, das sind rund 0,42€ pro Monat.

Da ich nun von der Sophos UTM auf die Sophos XG umstelle, beschreibe ich hier den Weg wie man ein solches Zertifikat einrichtet, was unter der XG wesentlich einfacher geht als unter der UTM.

Als erstes müssen wir ein CSR erstellen, dazu gehen wir in der XG nach Certificates > Certificates > Add und erstellen folgenden CSR:

Da die Daten auch über das fertige Zertifikat einzusehen sind, habe ich die originalen Daten gelassen, ihr tragt da natürlich eure eigenen Daten ein. Da ich schon ein Zertifikat habe und das nur änder (was kostenlos ist bei SSLs.com) übernehme ich oben natürlich das originale Ablaufdatum.

Wenn ihr die Einstellungen bestätigt habt, könnt ihr dann das Zertifkat herunterladen (welches als GZ und TAR komprimiert ist, mit dem kostenlosen 7Zip könnt ihr diese entpacken).

Auf SSLS.com „kauft“ ihr dann das Zertifikat und verwendet das eben entpackte CSR.

Nun müsst ihr noch die Dateien zusammenbauen mit OpenSSL, dazu könnt ihr dann unter Windows OpenSSL installieren, auf einem Mac habt ihr das schon drauf. Dazu verwendet ihr den folgenden Befehl:

openssl pkcs12 -export -in url_domain_de.crt -inkey url_domain_de.key -out url_domain_de.p12

Mit dem neu erstellten Zertifikat könnt ihr nun in der Sophos XG das neue Zertifikat einfügen:

Dieses könnt ihr dann nun unter Administration > Port Settings for Admin Console > Certificate zurordnen.


Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.


Sophos: Öffentliches Zertifikat verwenden

Um eine Sophos ein eigenes Zertifikat zuzuordnen sind nur wenige Handgriffe erforderlich.

Am einfachsten geht das, wenn man auf einem Rechner (Windows oder Mac) schon OpenSSL installiert hat.

Dann im BIN-Unterordner des OpenSSL-Programmordners wechseln um das CSR zu erstellen mit folgenden Befehl:

openssl req -new -newkey rsa:2048 -nodes -out url_domain_de.csr -keyout url_domain_de.key -subj "/C=DE/ST=NorthRhine-Westphalia/L=Ort/O=Firma GmbH/OU=EDV/CN=url.domain.de"

Den Befehl für das CSR kann man sich Online erstellen lassen unter https://www.digicert.com/easy-csr/openssl.htm.

Das entsprechende CSR einreichen (ich verwende gerne z.B. von PSW.net das Limitbreaker 3 Jahre für 99€ inkl. Steuer.

Nachdem das Zertifikat zugesendet wurde, dieses einfach kopieren in das BIN Verzeichnis und die benötigte PK12 Datei erstellen mit den folgendem Befehl:

openssl pkcs12 -export -in url_domain_de.crt -inkey url_domain_de.key -out url_domain_de.p12

Achtet bitte darauf das vorne ein CRT statt einem CSR verwendet wird, merkt euch auch bitte das Passwort DRINGEND!!!.

Nun das entsprechende Zertifikat auf der Sophos im WebAdmin unter Webserver Protection > Zertifikatsverwaltung hinzufügen und auswählen unter Verwaltung > WebAdmin-Einstellungen > HTTPS-Zertifikat > WebAdmin/Benutzerportal Zertifikat .

 

 


Sophos: SSH Befehle für HA Verwaltung

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

 

Quelle: https://community.sophos.com/kb/en-us/115616


Sophos: Keine Einwahl mit Open VPN Client unter iOS und Android

Der aktuelle Open VPN Client unterstützt kein Passworthash mit MD5 mehr. Sollte das noch in der Sophos eingestellt sein, so kann sich der Open VPN Client unter iOS und Android nicht mehr einwählen. Prüfen Sie, ob das Problem mit umstellen auf z.B. SHA1 behoben ist.

Beachten sie, das Sie dann auf allen Clients die Profile neu einrichten müssen.

160705 Sophos VPN Mobilgeräte problem


Sophos: UTM Quarantäne Statusmails senden

Wenn bei der Sophos UTM der Maulfilter aktiviert wird, gelangen einige Mails in die Quarantäne. Per Default sendet keine Mails mit dem Hinweis, das Mails in der Quarantäne sind.

Wenn man solche Mails erhalten möchte, muss man dies unter Webadmin > Email Protection > Quarantine Report aktivieren und einrichten.

manager