home- & mediaserver | *USV

Wieder eine kleine Änderung. Ich stelle von der virtuellen Sophos UTM auf eine Hardware Firewall um. Performancetechnisch ist die Virtualisierung natürlich erste Sahne mit i7 und SSD aber die Virtualisierung nervt. Sobald man den Host neu startet ist das Internet weg und somit ist es auch schwer den Host upzudaten. VM Workstation Updaten ist auch nervig, daher weg mit dem Dreck und drauf auf die Hardware.

Die Hardware selbst ist eine alte Sophos UTM 110/120, die ich von meinem Chef geschenkt bekommen habe. Intel Atom CPU, 2GB Arbeitsspeicher, 150GB HDD, 4 LAN Schnittstellen. Ich werde das Ding mit einer 80GB SSD und 4GB Arbeitsspeicher aufbohren und den Lüfter stilllegen. Damit passt das Ding dann wieder in mein Silent-Konzept.
 

Anhänge

  • WP_20170111_12_48_09_Pro.jpg
    WP_20170111_12_48_09_Pro.jpg
    145,5 KB · Aufrufe: 31
  • WP_20170111_12_59_15_Pro.jpg
    WP_20170111_12_59_15_Pro.jpg
    168,5 KB · Aufrufe: 31
Hi Chris, kannst du mir ein paar Fragen zur Sophos UTM beantworten? Wie gut funktioniert denn der Virusscan? Ich suche eine Idiotensichere Lösung, da hier im Haushalt einige Menschen recht unbedarft sind beim Surfen oder Öffnen von dubiosen Email-Anhängen. In meinen wilden Horrorfantasien wütet regelmäßig ein Locky-Ableger auf meinem Fileserver :cry2:
Wie ist die Performance beim Scan? Da mein Server nicht mehr 24/7 läuft, würde die Sophos dann auch auf einem eigenen Rechner laufen. Denke dabei an sowas: http://geizhals.de/asrock-q1900tm-itx-90-mxgsk0-aouayz-a1129301.html?hloc=de + 1x Lan per PCIe. 2x Lan reicht ja, oder?

Dann noch die eigentlich wichtigste Frage: Wie läuft das mit den 50 IPs? Ich brauche definitiv mehr IPs. Kann ich einfach einen DHCP-Server hinter der Firewall betreiben und hier weitere IPs vergeben, oder bekomme ich da ein Problem. Für diese IPs bräuchte ich jetzt auch keinen ausgedehnten Schutz, da die keinen Mist machen.
 
wir hatten auch ne UTM (SG330) in der Firma
die Anti-Malware Scan mittels Sophos und 1 weiteren funktioniert sehr gut
Hatten über den Weg (surfen + Mail) in 3 Jahren keine Probleme , und wir haben hier einige unbedarfte User :wall:
aber Idiotensicher wirst du wohl nix finden, murphy ist überall!!!
 
Ja klar, völlig "dicht" werde ich das hier nicht bekommen, aber man muss Murphy ja nicht Tür und Tor öffnen. Auserdem brauche ich mal wieder was zum Basteln :)
 
Die neuen SG-Firewalls sind natürlich deutlich schneller als die UTM, aber ich denke für kleine Downloads sollte die UTM das im Privatbereich abdecken. D.h. der Download wird von der UTM abgefangen, heruntergeladen, geprüft und freigegeben. Bei Emails kann ebenfalls den kompletten SMTP Verkehr abfangen und prüfen lassen (sofern man einen eigenen Mailserver betreibt). Locky & Co. gehen aber bei der Email-Prüfung durch, weil die Makros nicht als Virus erkannt werden. Hier hilft nur, Pauschal alle Anhänge *.docm und *.xlsm in die Quarantäne verschieben zu lassen. Ich habe zu Hause die Downloadüberwachung aus, aber die Web-Protection ist aktiviert. D.h. teilweise werden gefährliche Webseiten ausgeblendet oder als gefährlich eingestufte Downloads blockiert. Außerdem wird sämtlicher Datenverkehr protokolliert.

Was die IPs angeht, hast du nicht wirklich eine Möglichkeit die Anzahl zu umgehen. Jedes Gerät das via DHCP die Firewall als Gateways zugewiesen bekommt, kommuniziert mit der Firewall. Und irgendwann hast du die Grenze erreicht. Die Firewall merkt sich die IPs 7 Tage. Wenn nach 7 Tage keine Kommunikation kommt, wird die IP aus der Lizenzübersicht gelöscht. Manuell löschen ist nicht möglich! Überschreiten ist im geringen Maße möglich, allerdings weiß ich nicht wie das auf die Kommunikation im Details auswirkt.

Was ich heute noch festgestellt habe: die UTM 110/120 kann nicht mit 4GB aufgerüstet werden, weil die CPU nur 2GB unterstützt.

Was witzig ist: wir haben mal probiert Win10 auf der UTM zu installieren => funktioniert :ugly: Ist also alles Standard-Hardware :D Aber der Intel Atom mit 1,66Ghz reißt mal Garnichts... Morgen kommt die SSD rein und dann sollte das Ding richtig flott sein.
 
Erst mal Danke! Ich bin das gerade noch mal durchgegangen, 50 IPs werden wohl knapp ausreichen. Alternativ gibt es hier auch einige Geräte die keinen Zugang zum Web benötigen und nur intern kommunizieren müssen. Ich habe mir jetzt mal eine Lizenz runtergeladen und probiere das einfach mal auf einem meiner IBM X3650 aus. Da habe ich auch direkt zwei Netzwerkkarten integriert. Dauerlösung kann das dann aber nicht werden mit seinem 250 Watt Verbnrauch pro Stunde...

Wenn die UTM110/120 1,66 GHZ hat und nur 2 GB Ram unterstützt müsste ein Atom N450 oder N570 verbaut sein. Da sollte der Celeron J1900 also locker reichen. Vielleicht auch nur ein Celeron N3150, da gibts ITX-Boards mit 2x GB-Lan unter 100€...
 
Klar, Celeron reicht locker dafür. Teste es einfach mal auf der IBM Kiste. 2 NICs reichen für den normalen Betrieb völlig aus. Du kannst deinen jetzigen Router entweder auf Durchzug stellen oder als Modem benutzen. Die Sophos kann auch die Einwahl über das Modem übernehmen.

Ich bin ja immer so auf Stromsparen bedacht, daher passt mir die UTM 110/120 ganz gut in den Kram mit dem Intel Atom, denn die meiste Zeit hat die CPU sowieso nichts zu tun. Hier mal die Auslastung von meiner virtuellen UTM.
 

Anhänge

  • sophos_cpu.jpg
    sophos_cpu.jpg
    44,6 KB · Aufrufe: 16
Bekanntlich ist ja der dumm, der dummes tut... So eben nebenher konfiguriere ich mir meinen User und vergesse gleich wieder das Passwort. Nach dem Neustart war also kein Login möglich :lolschild:

Also alles auf Anfang und nochmal neu installieren...

Das sieht ja warlich nicht sehr CPU-intensiv aus. War das ein Kern deines i7?

Ich tendiere zu folgender Hardware:

Gigabyte GA-N3150N-D3V => 86,39
2GB DDR3L v. Crucial => 15,99
Chieftec IX-01B => 24,62
M2-ATX MINI-BOX => 19,99
WD3200BPVT => 0,00
Netzteil 12V 1,5A => 0,00
Versand => 5,99

In Summe: 152,98

Stromverbrauch 10 - 15 Watt

Stromverbrauch: 0,075 €/Tag
27,375 €/Jahr

Das wäre ok...
 
Du Held :ugly:

Nein, das waren 2 von 8 Kernen. Ich werde es morgen sehen, was der Atom macht, wenn die SSD drin ist.

Das System klingt gut. Der Stromverbrauch meines homeservers ist durch die Virtualisierungen auch etwas hochgegangen. Vorher waren es mal ~25Watt und jetzt sind es schon 40Watt. Das sind ~100 EUR im Jahr...

Selbst unser Cluster mit zwei SG310 kommt im Schnitt nicht über 10% Auslastung und da geht viel drüber. Wir haben ständig 35 aktive VPN Tunnel zu Kunden, die auch teilweise bei uns auf Terminalserver arbeiten. Die Email-Protection arbeitet pro Monat ~270.000 Mails ab uvm. Die Dinger haben wirklich gut zu tun.
 
Setz mal den Graphen aus der VM Konsole auf Echtzeit
und schau dir dann die Spitzen an
im vCenter sieht man das auch gut, sobald man auf 1 Tag skaliert gehen bereits alle 100% Peaks komplett flöten
Ist für daheim eher irrelevant, da es ja hier nicht auf Sekunden ankommt

mit locky und Macro hast du ja bereits angesprochen, ob es allerdings Zielführend ist alle Anhänge zu blocken, dann hat man ja gar keine Ruhe mehr
Zumindest nicht, wenn man nicht alleine an dem Anschluss hängt

Macht bei dem PReis ein Selbstbau wirklich Sinn, für mehr gehen doch auch die kleinen UTMs nicht weg bei ebay ??
Müsst mal schauen, evtl haben wir noch eine kleine 110er auf Lager, wenn du damit mal testen willst , melden

mfg Stefan

PS: wir haben von Audiocodes ein Gateways mit MS Lync drauf (SBA)
auch mit einem Atom, es ist unfassbar, wie man so einen GurkenCPU für sowas missbrauchen kann.
Hatten leihweise das gleiche MOdell mit nem Celeron, das war wie Lada vs Porsche (auf der Strasse)
 
So, Sophos mit SSD läuft. Ist gleich DEUTLICH flotter. Erinnert mich jetzt fast an meine VM. Heute Abend nehme ich das Ding zu Hause in Betrieb :)

Die Sophos UTM 110/120 liegen gebraucht bei etwa 120 bis 150 EUR, wenn ich das noch richtig im Kopf habe.
 
So, die Sophos ist installiert. Ist schon cool. Backup der alten Sophos gemacht, auf der neuen Sophos hochgeladen, Restore auf das Backup gemacht => alles läuft wie zuvor :thumbsup:

Wichtig, falls jemand auch eine UTM 110/120 mit Home-Use Lizenz benutzen möchte. Die Standard-Software auf der UTM kann mit der Home-Use Lizenz nicht umgehen.
Es gibt von Sophos drei ISOs:

- Hardware Appliance (ASG, UTM, SG)
- Software (Eigenbau Kisten)
- Virtuel (VMs)

Serienmäßig ist auf der UTM die Hardware Appliance ISO drauf. Hier muss man einfach die Software ISO installieren und dann kann man die Home-Use Lizenz nutzen. Einfach die Festplatte in der UTM mit Windows formatieren (alle Partitionen killen), dann die ISO auf CD brennen und mit einem externen Laufwerk booten. Installation ist selberklärend. Falls man einen USB-Stick für die Installation nutzen möchte, bitte das hier beachten https://networkguy.de/?p=728

Die CPU-Auslastung auf der UTM ist im Vergleich zur virtuellen Maschine schön höher. Genau Daten liefere ich, wenn das Ding mal ein bis zwei Tage läuft.
 

Anhänge

  • WP_20170112_19_58_07_Pro.jpg
    WP_20170112_19_58_07_Pro.jpg
    130,4 KB · Aufrufe: 27
So und noch schnell den Lüfter durch einen leiseren ersetzt. Das sollte es erstmal gewesen sein ;)

Dazu auch noch ein Bild, wie das Ding von innen aussieht.
 

Anhänge

  • WP_20170113_18_28_15_Pro.jpg
    WP_20170113_18_28_15_Pro.jpg
    228,3 KB · Aufrufe: 22
  • WP_20170113_18_28_33_Pro.jpg
    WP_20170113_18_28_33_Pro.jpg
    142,2 KB · Aufrufe: 18
  • WP_20170113_18_28_12_Pro.jpg
    WP_20170113_18_28_12_Pro.jpg
    167,1 KB · Aufrufe: 16
So, hier mal ein kleiner Einblick in die CPU-Auslastung.

Interessant zu sehen, wie sehr ein paar Downloads den kleinen Atom gleich ins Schwitzen bringen. Zwischen 20:00 und 21:00 Uhr habe ich gestern etwas heruntergeladen (20GB) und meine VDSL 50 Leitung komplett ausgelastet (volle Bandbreite liegt an). Da kämpft er schon :ugly: Das hat den i7 in der VM damals null gejuckt...
 

Anhänge

  • sophos_cpu1.jpg
    sophos_cpu1.jpg
    46,3 KB · Aufrufe: 19
Das ist ja interessant. Für meine 200er Leitung wäre die UTM 110 also vermutlich zu klein dimensioniert?! Würde ja dann auch für den Selbstbau sprechen. Selbstbau auch weil es einfach Spaß macht und ich am Ende flexibler bin.
@Stefan: Trotzdem vielen Dank für das Angebot.

Das wird jetzt aber alles erst mal aufgeschoben, da ich Gestern meine zwei Echo Dots bekommen habe und erstmal hier am Spielen bin :)

Bis das wieder aktuell wird, gibt es hoffentlich endlich Details zu den kommenden Ryzens und ob diese auch ECC-RAM unterstützden. Falls ja gibt es vermutlich ein Upgrade für meinen Fileserver, auf dem ich dann die Firewall in einer VM laufen lasse.
 
Hi zusammen,

mal zum Verständis bzgl. Sophos UTM:

das ist im Prinzip ein kleiner sparsamer Rechner, auf dem die eigene Sophos-Software läuft. Die Kiste funktioniert dann als Hardware-Firewall + ein paar nützliche Features. Richtig so?

Habe hier heraus gelesen, dass man auch nen Eigenbau-Rechner her nehmen und dort die Sophos Software aufspielen könnte. z.B. ein Intel NUC mit Kaby Lake wäre sparsam und potent.
 
Richtig, aber um eine Hardware-Firewall zu nutzen, brauchst du min. zwei NICs. Aber die UTM läuft auf fast jeder Hardware. USB NICs werden leider nicht unterstützt.
 
Richtig, aber um eine Hardware-Firewall zu nutzen, brauchst du min. zwei NICs.

ja, als ich "NUC" geschrieben hatte, war mir das schon bewusst. :D

warum ich frage:

Wir sind vor 4 Monaten eingezogen: EFH, Loxone-Automation, NAS, USV, Cams etc. pp. - wird alles dieses Jahr (hoffentlich) laufen

Meine jetzige Config:
Telekom-Hausdose - Speedport Hybrid - Switch - PCs
Der Hybrid übernimmt aktuell auch die AP-Funktion für die Smartphones.

PS: mein NAS ist ein Dell T20 mit 16GB ECC RAM, Xeon, Quad-Port NIC (Trunking) an 3 HP 1810 24G Switche, welche untereinander per Glasfaser gelinkt sind. Ein 4. Switch mit POE und Layer 3 für die Cams und SAT>IP (hab nen Server als LNB auf der Schüssel) kommt noch dazu - aber erst, wenn ich ihn brauche (kostet ja Geld).

37HE in 19" steht im Technikraum und will gefüllt werden. :)

Auf dem NAS läuft XPenology (Bootstick). Da drinne die Surveillance Station für die Cams, Musik (per Tablet an die LS im Haus), Video Streaming, Antivir usw.

Wie baue ich da jetzt ne Sophos dazwischen?
Gründe: Kind bekommt bald nen PC, Frau klickt überall rum, Ich will irgendwann mal von Außen zugreifen können, allg. Sicherheit fürs Haus und meine Daten.


btw.: hatte mich mal mit Linux Mint beschäftigt und werde das beim nächsten Aufsetzen beim Frauchen verwenden. Als ich ihr den Mint-Desktop zeigte, war sie zufrieden. Muss nur klären, ob Elster, WIESO usw. laufen.


btw: http://geizhals.de/zotac-zbox-ci323-nano-zbox-ci323nano-be-a1345042.html?hloc=at&hloc=de
sollte damit klappen - steht auchso in den Bewertungen.


Schanke Dön. :D
 
Zuletzt bearbeitet:
Es gibt zwei Varianten, allerdings musst du - wenn es sauber sein soll - dem Speedport die WLAN-Funktion entziehen und hierfür extra was aufbauen.

Modell 1: Kabel von Speedport zur Sophos und der Sophos den Speedport als Gateways eintragen. Den Speedport auf "Durchzug" stellen. Bei mir in der FritzBox heißt das "Exposed Host". Damit werden alle Paket an die Sophos durchgereicht. Und von der Sophos dann in den Switch. Ab sofort ist die Sophos das Gateway.
Modell 2: Der Speedport wird als Modem konfiguriert und die Sophos übernimmt die Einwahl. Ob das aber beim Hybrid überhaupt funktioniert, kann ich dir nicht sagen.

Ich nutze Variante 1. Die Sophos ist mit der FritzBox verbunden und die FritzBox steht auf "Exposed Host". Das Gateway ist die Sophos und alle Firewall und NAT-Regeln laufen ausschließlich über die Sophos. Ich lasse sämtlichen Datenverkehr protokollieren und auch überwachen. So kann ich z.B. nachsehen, auf welchen Websiten mein Sohn unterwegs war ;)

Die Zotac-Box sieht für den Zwecks wirklich SEHR brauchbar aus! Danke für den Tipp!
 
moin moin,
danke für deine schnelle Antwort!

Es muss Modell 1 werden, da es für die Telekom Hybridvariante momentan nur ein Gerät gibt. Und das ist der Speedport Hybrid.

Ich bin schon mal froh, dass du nicht "Modell 3" vorgeschlagen hast: Den Dell T20 mit VMs fürs NAS und für die Sophos.

Hab mir die letzten 10 Seiten hier durch gelesen - von daher weis ich, was du so zu Hause treibst. :D


OK, d.h. ich kann die kleine Kiste (link oben) kaufen und die Sophos Software drauf laufen lassen? Damit hätte ich dann eine separate (Hardware-)Firewall mit allerlei schnickschnack?
Zugriff efolgt dann über LAN per IP?
Wieviel Ram sollte rein? 2x1GB? Wie groß sollte die SSD sein?

PS: die Kiste gibts auch mit SSD und RAM:
http://geizhals.de/zotac-zbox-nano-ci323-plus-zbox-ci323nano-p-a1345054.html


Besten Dank! :beer:
 
Zuletzt bearbeitet:
Zurück
Oben Unten