+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Registriert seit
    Dec 2005
    Ort
    Köln
    Beiträge
    2,623

    Standard Wer kennt sich mit Multicast, insbesondere mit Sophos aus?

    Ich versuche aus einem Subnetz aus auf eine Fritzbox (Tapi(Capi) zuzugreifen - wenn der Rechner im selben Netz wie die FB ist, dann funktioniert alles - wenn der Rechner aber in einem Subnetz hinter der Sophos ist geht es nicht mehr (Firewall sowohl Windows als auch Sophos haben alles erlaubt).

    Laut Recherchen liegt das daran, das Tapi/Capi Multicast nutzen und das eingerichtet werden muss - jedoch ist die Konfiguration ziemlich komplex und ich habe damit meine Probleme.

    Kennt sich jemand damit aus, oder hat das sogar laufen?

    Danke für eure Mühen.
    Hausautomations-BLOG

    --
    Hinweis: Wer einen Rechtschreibfehler findet, darf diesen behalten - da bin ich gar nicht so .

  2. #2
    Registriert seit
    Sep 2014
    Ort
    Limeshain (Hessen)
    Beiträge
    5,302

    Moooooin!

    Hatte neulich das Thema bei einem Bekannten, der seinen AirPrint Drucker in ein anderes Subnet "veröffentlichen" wollte. Üble Nummer

    Multicast mit mDNS, Bonjour, AirPlay, AirPrint, ... kannst du mit der Sophos vergessen.
    Du bräuchtest ein extra Device was jeweils ein Bein in beiden Netzen hat und da muss dann ein mDNS or Bonjour reflector drauf laufen. Aber damit umgehst du quasi deine Firewall...
    Cisco hat da wohl ein paar mehr Möglichkeiten... Bei Sophos findet man nur einige Feature Requests *gg*

    Wie das jetzt mit deinem TAPI aussieht, da bin ich mir nicht sicher... Hast du mal probiert über "Interfaces & Routing" und "Multicast Routing PIM-SM" etwas zu erreichen? Man findet massenweise Fragen dazu im Internet, aber Lösungen findet man nicht...

    Für die Sophos XG gibt es KB Beiträge zum Thema Multicast Routing:
    How to Configure Multicast Routing in Sophos Firewall - Sophos Community
    Multicast Routing (PIM-SM) - Sophos Community

    Mehr kann ich dir da leider aktuell nicht weiterhelfen. Ist ein ziemlich doofes Thema...

    Viele Grüße,
    Chris
    IP-Symcon Module >> www.bayaro.net << Verfügbare Module: BatterieMonitor, BundesligaTabelle, Enigma2BY, HeizölPreise, Helios, Horoskop, HostMonitor, IPSInformations, MELCloud, Müllabfuhr, PJLink, RSS, TankerkönigSpritpreise, xREL
    IPS Unlimited, ~1200 Scripte, ~7000 Variablen

  3. #3
    Registriert seit
    Dec 2005
    Ort
    Köln
    Beiträge
    2,623

    Hi Chris,

    als erstes mal wieder schön was von dir zu lesen .

    Danke auch für deine Hilfe. Das Thema ist auch in der Tat recht fortgeschritten oder eher selten. Ein Beinchen in jedem Segment habe ich ja - ist ja schließlich die Firewall und hat somit auch ein Beinchen in jedem Netz, hatte das mit einem Aditional Interface versucht - da die Firewall virtualisiert ist könnte ich aber auch problemlos mehrere (zumiindest für die Sophos) "physiche" Interfaces einrichten.

    Die XG habe ich mir lange nicht mehr angeschaut, habe die damals in den Betas angeschaut und das hat mir gar nicht gefallen - vielleicht muss ich mir die ja doch mal wieder anschauen.

    Die UTM ist halt mehr für das Enterprise Segment - es kommen aber immer mehr Anforderungen, wo die Probleme bekommt - auch die Sonos haben bei mir Probleme mit dem SSDP. Auch habe ich vermehrt "stocken" bei den ganzen Streaming Dingen (Stichwort: Web Application Filter, Web Filter - trotz ausnahmen).

    Naja, denke mal das ich mir generell mal was wegen meinem Netzwerkdesign überlegen muss oder mal die XG anschauen muss.

    Danke dir dennoch.
    Hausautomations-BLOG

    --
    Hinweis: Wer einen Rechtschreibfehler findet, darf diesen behalten - da bin ich gar nicht so .

  4. #4
    Registriert seit
    May 2013
    Beiträge
    355

    Ich bin von der utm auf die xg umgestiegen. Schon recht am Anfang. Da hat noch vieles gefehlt. Ist jetzt nicht mehr so.
    Es fühlt sich komisch an alles in einer Regel zu haben. Ist aber dann natürlich viel einfacher. Für Netflix brauchte es aber auch eine Ausnahme.
    Im Unterschied zur utm ist bei der XG erstmal im Webfilter alles offen und muss geschlossen werden.
    Ich bin insgesamt sehr zufrieden. Hab inzwischen untangle, pfsense und opnsense getestet.
    Sollte xg kostenpflichtig werden gehe ich zu opnsense.

    Zum Thema: habe mich wegen subnet für Sonos mit dem Thema beschäftigt. Wollte die extra haben. Habs aufgegeben....


    Gruß Sebastian

  5. #5
    Registriert seit
    Sep 2014
    Ort
    Limeshain (Hessen)
    Beiträge
    5,302

    Abend!

    Die Firewall reicht aber nicht mit jeweils seinem Beinchen in einem Subnet...weil die das eben nicht kann. Zumindest die UTM. Mit der XG soll ein wenig mehr funktionieren - aber vieles auch nicht in dem Bereich
    Für die UTM kannst du dir das zB hier wünschen >> Neworking: Support Bonjour/avahi/mdns to forward mdns between Subnets – Sophos Ideas

    Hast du nicht auch Ubiquiti im Einsatz? Die EdgeMAX können mDNS Reflector spielen und noch andere Sachen in der Richtung...



    Ich selbst bin vor fast 2 Jahren von der UTM zur XG gewechselt, weil die Home Edition der UTM mit 50 IP-Adressen nicht mehr ausgereicht hat
    Bei der XG Home Edition ist man nur auf CPU/RAM beschränkt

    Aktuell ist die XG v17 kurz vorm Release (hab die Beta schon drauf). Da hat sich EINIGES getan, um wieder mehr Funktionen drin zu haben und von den Features näher an die UTM zu kommen. Selbst für mich reicht es mittlerweile aus
    Du kannst also ruhig mal einen Versuch wagen Aber erhoffe dir bzgl. Multicast Routing nicht zu viel! Wenn du da was willst, dann selbst eine "Bridge" bauen (nicht die Firewall) oder auf Cisco wechseln, die sind da wohl etwas besser...

    @Sebastian: Bei der XG ist noch einiges mehr "anders" im Vergleich zur UTM Aber man gewöhnt sich relativ schnell dran. Mittlerweile komme ich gut mit klar und bin wirklich zufrieden!
    Am "überraschen sten" fand ich es, dass man zum richtigen Loggen zwangsweise einen Syslog-Server brauchte. Das hat sich mit der v17 aber auch geändert, da wurde das Logging ordentlich umgebaut und erweitert.

    Schönen Abend allerseits und Grüße,
    Chris
    IP-Symcon Module >> www.bayaro.net << Verfügbare Module: BatterieMonitor, BundesligaTabelle, Enigma2BY, HeizölPreise, Helios, Horoskop, HostMonitor, IPSInformations, MELCloud, Müllabfuhr, PJLink, RSS, TankerkönigSpritpreise, xREL
    IPS Unlimited, ~1200 Scripte, ~7000 Variablen

  6. #6
    Registriert seit
    Nov 2013
    Beiträge
    280

    Ich habe das so gelöst, dass ich hinter der Sophos XG einen Unifi USG Pro sitzen habe, die (NAT disabled) das Routing in die Subnets übernimmt. Für updates der Sonos sollte das Handy/Tablet.. im selben subnet wie die Sonos Boxen sitzen, sonst klappt das update nicht zuverlässig.
    BG
    Hoep


    Gesendet von iPhone mit Tapatalk

  7. #7
    Registriert seit
    Dec 2005
    Ort
    Köln
    Beiträge
    2,623

    Wollte mal einen Zwischenstand geben - habe Samstag auf die XG umgestellt.

    Das meiste läuft schon, leider komme ich aber noch nicht zum umfangreichen testen.

    Falls auch jemand umstellen sollte, hilft das hier vielleicht weiter:

    http://www.leibling.de/2017/12/10/so...on-utm-auf-xg/
    Sophos XG eigenes öffentliches Zertifikat verwenden – Familie Leiblinghttp://www.leibling.de/2017/12/10/so...kat-verwenden/
    Hausautomations-BLOG

    --
    Hinweis: Wer einen Rechtschreibfehler findet, darf diesen behalten - da bin ich gar nicht so .

  8. #8
    Registriert seit
    Sep 2014
    Ort
    Limeshain (Hessen)
    Beiträge
    5,302

    Aaaabend

    Glückwunsch zur XG

    Du schreibst in deinem Blog:
    Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).
    ...das stimmt so nicht... Wenn du nicht eine andere Quelle hast als alle anderen

    Richtig wäre:
    Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM. Der Computer kann höhere Spezifikationen aufweisen. Die XG Firewall Home Edition ist in diesem Fall jedoch nicht in der Lage, die zusätzlichen Kapazitäten zu nutzen.
    Quelle >> https://www.sophos.com/de-de/product...e-edition.aspx

    Grüße,
    Chris
    IP-Symcon Module >> www.bayaro.net << Verfügbare Module: BatterieMonitor, BundesligaTabelle, Enigma2BY, HeizölPreise, Helios, Horoskop, HostMonitor, IPSInformations, MELCloud, Müllabfuhr, PJLink, RSS, TankerkönigSpritpreise, xREL
    IPS Unlimited, ~1200 Scripte, ~7000 Variablen

  9. #9
    Registriert seit
    Nov 2010
    Ort
    Wetterau
    Beiträge
    1,034

    Eine Frage zu dem Thema aus reinem Interesse.

    Ich habe ein Klasse-C privates Netz wo alle Devices drin sind (kein Subnetting, etc.). Einigen Geräten wie TVs, etc. habe ich im Router (Keine UPNP Portöffnung!) den Internetzugang entzogen. Das Router integrierte WLAN habe ich abgeschaltet. Ich setze einen Access Point für Unifi ein und habe dort ein zusätzliches WLAN (SSID) für Gäste aktiviert. Dort habe ich auch eingestellt, dass via Gäste-WLAN nicht im mein "normales" Subnetz zugegriffen werden kann. Das habe ich auch getestet. Die Gäste Clients bekommen zwar eine IP aus meinem Klasse-C Netz, aber können nicht auf andere IPs im gleichen Netzsegment zugreifen.

    Warum baut ihr ein komplexes Sicherheits-Setup mit VLANs, extra Firewall, etc. auf?

    Als IT-Nerd finde ich eine UTM/XG Firewall zwar spannend, sehe bei mir aber noch nicht den wirklichen Anwendungsfall. Ich versuche einen Mittelweg zwischen Sicherheit und Komplexität zu wählen - wobei mehr Sicherheit selten schlecht ist.

    Wobei das FW Log wäre bestimmt sehr spannend um zu sehen was da den ganzen Tag so "anklopft".

    Gruß
    Thorsten
    IPS 5 auf Raspian, KNX, DALI, Homematic, EKM, RGB868 Stripe

  10. #10
    Registriert seit
    Sep 2014
    Ort
    Limeshain (Hessen)
    Beiträge
    5,302

    Eine Sophos bietet viele Möglichkeiten. Und als IT-Admin hat man halt so seine Spielsachen Habe auch einen ESXi Server laufen mit vielen VMs (wie sicher einige andere auch).
    Aber Sicherheit kann man so oder so heut zu Tage nicht groß genug schreiben.

    Die Sophos übernimmt bei mir viele Aufgaben, wie z.B. WebFilter, VPN, Firewall, Virenschutz, E-Mail Schutz (Spam, ...), DMZ, VLAN, WebServer Protection (Cross Site Scripting, SQL Injection, ...), Reverse Proxy, Hotspot-„Zentrale“ fürs Gast-WLAN, DNS, DHCP, ............

    Nicht jeder braucht das alles. Aber die Sophos kann das alles und ist trotzdem recht einfach zu bedienen. Und bietet mir damit einen deutlichen Komfort, neben der gewünschten Sicherheit.
    ...und sie ist kostenlos für Home-User...

    Grüße,
    Chris
    IP-Symcon Module >> www.bayaro.net << Verfügbare Module: BatterieMonitor, BundesligaTabelle, Enigma2BY, HeizölPreise, Helios, Horoskop, HostMonitor, IPSInformations, MELCloud, Müllabfuhr, PJLink, RSS, TankerkönigSpritpreise, xREL
    IPS Unlimited, ~1200 Scripte, ~7000 Variablen

Ähnliche Themen

  1. Kennt wer DietPi als Pendant für Jessie light
    Von Net-Crawler im Forum Allgemeine Diskussion
    Antworten: 4
    Letzter Beitrag: 12.01.16, 11:59
  2. Antworten: 6
    Letzter Beitrag: 30.05.15, 15:22
  3. Kennt wer das HCAN Projekt?
    Von sn00py im Forum Bastel-Ecke
    Antworten: 2
    Letzter Beitrag: 02.04.10, 12:36
  4. wer kennt image magic
    Von pleibling im Forum Allgemeine Diskussion
    Antworten: 4
    Letzter Beitrag: 07.06.06, 15:43