Sophos: SSH Befehle für HA Verwaltung

Sophos: SSH Befehle für HA Verwaltung

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

 

Quelle: https://community.sophos.com/kb/en-us/115616


Sophos: UTM Quarantäne Statusmails senden

Wenn bei der Sophos UTM der Maulfilter aktiviert wird, gelangen einige Mails in die Quarantäne. Per Default sendet keine Mails mit dem Hinweis, das Mails in der Quarantäne sind.

Wenn man solche Mails erhalten möchte, muss man dies unter Webadmin > Email Protection > Quarantine Report aktivieren und einrichten.

manager


Astaro / Sophos UTM: Updates per Shell verwalten

Möchte man eine Sophos schnell bereitstellen und nicht warten bis alle Updates gefunden wurden, kann man unter Verwaltung > Up2Date > Konfiguration die Intervalle für Firmware- und Patterndownloads auf Manuell umstellen und dann unter Übersicht direkt suchen lassen.

Sollte es nicht gehen oder ein Update fehlgeschlagen sein, so kommt man mit der Shell weiter.

Dazu muss man per SSH auf die Sophos mit Root rechten (einschalten über Webgui > Verwaltung > Systemeinstellungen > Shell Zugriff). Erst mit loginuser anmelden und mit su dann zu root wechseln.

Updates bereinigen:

cd /var/up2date/sys
rm u2d*
auisys.plx

Manuell suchen lassen:

audld.plx

Ansicht in der Webgui aktualisieren:

auisys.plx --showdesc

Eigene Voucher erstellen für Sophos UTM Wireless Portal

Die Sophos UTM Firewall bietet unter anderem die Möglichkeit Wireless Netzwerke zu verteilen. Dies muss nicht nur zwangsläufig mit den eigenen Accesspoints geschehen, sondern geht auch mit fremden.

Zuvor hatte ich dazu Airport Express verwendet, mittlerweile nutze ich Linksys LAPAC1200. Im Prinzip kann man jedoch jeden Accesspoint nehmen, der VLANs unterstütz.

So habe ich auf den untagged VLAN das interne Datennetz und im VLAN 1003 das Gästenetz.

Das Gästenetz ist umverschlüsselt und hat keinen Zugriff auf das interne Netz, sondern nur auf das Internet selber. Damit nun jedoch nicht jeder mit meinem Netz surft, habe ich von der Sophos das Vouchersystem vorgeschaltet.

Mit dem Vouchersystem kann man nun PDF Dateien erstellen, die Codes für das WLAN enthalten – es können auch verschiedene Zeiten und Volumen vergeben können.

Mit dem Zugang kann man nun Besuch oder deinen eigenen Kindern (wobei meine noch zu klein sind dafür) Codes zur Verfügung stellen, womit sie nach dem vordefinierten Umfang surfen können. Ich habe sogar schon gehört, das sowas als „Belohnungssystem“ verwendet wird (z.B. wenn du spülst bekommst du einen Gutschein für eine Stunde surfen).

Da diese in Englisch sind, habe ich mir diese angepasst.

Mit einem Mac ist das sehr einfach, da er direkt PDFs erstellen kann, aber unter Windows dürfte das auch mit PDF Export Tools wie FreePDFXP gut gehen.

Ich habe dazu in Word (natürlich geht auch Pages usw.) einfach ein A6 Dokument erstellt in Querformat und mir dazu die angehangene Vorlage erstellt.

Wichtig ist die Zeile mit den Zahlen und Ziffern, diese wird später nicht angezeigt – sorgt jedoch dafür, das die Variablen später die angegebenen Zeichen verwenden können. Soll z.B. eine Variable in Fett verwendet werden, so muss die Zeile auch noch mal in Fett eingefügt werden.

Diese dann als PDF speichern (Version 1.4) und in der Sophos unter Wireless Protection > Hotspots > Hotspots > erstellten bearbeiten > ganz unten unter Hotspot Customization > Voucher Template ändern.

Das interessante ist, das dieses feature komplett genutzt werden kann in der kostenlosen Home Version ;).

Beispielvoucher:

voucher

Anleitung zum einrichten des Gäste-WLAN/VLAN: Anleitung

Download Wordvorlage: Voucher-Leibling

P.s.: Beachten Sie auch, das die Seitenränder richtig eingestellt sind (z.B. 0,8 cm) und auch der Abstand zum Seitenrand. Bei Word 2011 finden Sie die Einstellungen unter Datei > Seite einrichten … > Einstellungen: Microsoft Word > Seitenränder … > Einstellungen wie folgt:

Bildschirmfoto 2015-07-16 um 15.31.56


VDSL mit Zyxel Modem

Um ein Zyxel VDSL Modem nutzen zu können, muss man die richtigen Einstellungen vornehmen.

Z.B. diese hier:

Bildschirmfoto 2014-09-23 um 14.22.45

In der Astaro / Sophos eine neue Schnittstelle einrichten und keinen Hacken bei VDSL setzen.

 


Fritzbox VPN zu Sophos UTM

In der Fritzbox folgende Konfigurationsdatei einspielen (vorher anpassen):

vpncfg {
     connections {
             enabled = yes;
             conn_type = conntype_lan;
             name = "Name wie er in der FritzBox erscheinen soll";
             always_renew = no;
             reject_not_encrypted = no;
             dont_filter_netbios = yes;
             localip = 0.0.0.0;
             local_virtualip = 0.0.0.0;
             remoteip = x.x.x.x;                 //Feste IP der UTM
             remote_virtualip = 0.0.0.0;
             localid {
                     ipaddr =  169.254.1.100;        // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
             }
             remoteid {
                     ipaddr = x.x.x.x;                  //Feste IP der UTM
             }
             mode = phase1_mode_idp;
             phase1ss = "alt/all-no-aes/all";
             keytype = connkeytype_pre_shared;
             key = "hier irgendwas kompliziertes und geheimes";      //Hier muss der Preshared Key rein, wie auf der UTM im Remote Gateway eingetragen
             cert_do_server_auth = no;
             use_nat_t = no;
             use_xauth = no;
             use_cfgmode = no;
             phase2localid {
                     ipnet {
                             ipaddr = 192.168.0.0;                 //Internes Netz der FritzBox
                             mask = 255.255.255.0;
                     }
             }
             phase2remoteid {
                     ipnet {
                             ipaddr = 192.168.10.0;           // Inernal Netwok der UTM
                             mask = 255.255.255.0;
                     }
             }            
             phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
             accesslist = "permit ip any 192.168.10.0 255.255.255.0";      // Hier nochmal den Zugriff aus dem UTM-Internal-Netz erlauben
     }
     ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                         "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

Danach in der Sophos wie folgt einrichten:

Policy:

UTM-FB_IPSec_Policy

 

Gateway einrichten:

UTM-FB_IPSec_RemoteGW

 

Und dann noch den Tunnel:

UTM-FB_IPSec_Connection

 

Original URL: http://www.astaro.org/local-language-forums/german-forum/48528-vpn-einstellungen-utm9-fritzbox-7360-a.html

Hinwesi: Geht nur mit fester IP (evtl. dynamisch auf der Fritzboxseite).