ComputerBase Menü
Aktuelles

(W)LAN mittels Sophos XG Firewall und internes VPN absichern?

M

moby07

Lieutenant
Registriert
Sep. 2007
Beiträge
899
Hallo zusammen,

ich habe vor über meine eigene Fritzbox 6490 das Heimnetz mittels Sophos XG Firewall (Home Edition) abzusichern. Hierbei gibt es jedoch folgende Probleme/Ungelöstes/Überlegungen.
1. Mehrere Sonos One sind über WLAN bis jetzt an der FB 6490 angebunden und müssen weiterhin so betrieben werden können - keine Alternative.
2. DECT-Telefonie wird weiterhin direkt über die FB 6490 laufen.
3. Über eine Zotac CI327 und zwei Ethernet-Anschlüsse wird der Datenverkehr zwischen Fritzbox und Heimnetz geregelt.
4. Das WLAN-Signal der Fritzbox soll bestenfalls weiterhin genutzt werden können:
- sofern eine Tunnelung der Verbindung möglich ist, für eine Verbindung der Sonos One's und weiterer WLAN-Devices (2,4 & 5 GHz Dualband) über Fritzbox > Sophos (Web Protection etc.) > Fritzbox > WAN sowie mittels Regel direkt ins Netz, damit ich mittels Applikation auf dem PC Spotify und die Sonos One allgemein erreichen und steuern kann.
5. PC, TV, NAS, Sky-Receiver und sonstige Geräte wären dann an einem kleinen unmanaged 5-Port Switch direkt am ETH-Port der Firewall angebunden - dürfen hier natürlich auch mittels besonderer Regel mit der Sonos One kommunizieren dürfen.

Hier nochmal zur Darstellung:

WAN (Kabel) > FB 6490 > Zotac CI327 (Sophos XG FW) ETH1 > Switch > PC, TV, NAS, Sky-Receiver
WAN (Kabel) > FB 6490 > Zotac CI327 (Sophos XG FW > (VPN) > FB 6490 Fritzbox > Fritzbox WLAN > Sonos One, Drucker, Smartphone, etc.

Für Vorschläge und Anregungen bin ich natürlich offen.

VG
 
Und was ist jetzt die Frage ? :)

Das mit dem Rücktunnel ist natürlich ungünstig bzw. wie hast dir das vorgestellt das du das WLAN der FB in den VPN Tunnel "umbiegen" kannst ?
Wüsste nicht wie das mit einer FB gehen soll.

Ich würde stattdessen einen AP an den Switch hängen und die WLAN Geräte verbinden sich mit dem.
Damit sind alle Geräte "gezwungen" durch die Sophos Box zu gehen und es ist auch eine saubere Lösung.
 
Zuletzt bearbeitet:
Das wird so nicht klappen. Die Sonos funktionieren nur wenn du im gleichen LAN bist, und wenn du das WLAN der Fritzbox wieder nutzen willst hast du auch dort einige Geräte die auf die FB angewiesen sind. Die Geräte in der XG können die anderen Geräte dann nicht mehr per Broadcast erreichen.

Was du machen müsstest wäre die XG als ersten Router zu nutzen und die FB im Clientmodus dahinter. Genau so habe ich es bei mir mit einer SG Home Edition laufen. Das Problem daran ist der Kabelanschluss, du bist erst mal auf ein Kabelmodem angewiesen. Das müsstest du aber kostenlos von deinem Anbieter bekommen, alternativ muss ein Access-Point her der das WLAN hinter deine Firewall bringt. Dann wäre nur noch DECT und die Telefonie vor der XG aber ich denke das ist zu verkraften.
 
Wie schon geschrieben wurde: Wenn Broadcasts verwendet werden wie bei Sonos und Co, müssen alle Teilnehmer in derselben Broadcastdomain sein. Das funktioniert natürlich nicht, wenn die eine Hälfte vor der Firewall sitzt und die andere Hälfte dahinter. Dazu müsste man einen Broadcast-Relay einrichten, der die Broadcasts von einer Seite zur anderen schaufelt. Das ist gelinde gesagt keine gute Idee.

Eine Firewall trennt Netzwerke, das ist ihre Aufgabe. Selbst wenn man das umbastelt, verliert die Firewall effektiv ihren Sinn und Zweck. Ungefähr so wie eine Schranke mit Türsteher, aber einem simplen Drehkreuz ohne Türsteher direkt daneben...

Fritzbox -- Sophos -- AccessPoints + Switches -- Endgeräte (Sonos, PCs, etc)

So und nicht anders müsste das aussehen ;)
 
Vielen Dank für eure Antworten.

@All
Ihr habt ja Recht. ;) Ist halt nur etwas doof mit den ganzen Endgeräten, die im Wohnzimmer am Kabelanschluss daneben liegen müssen. Wenn ich mir die Preise für die Zotac, den RAM und die SSD sowie den AP und den SW ansehe, käme ja fasst eine Sophos Red 15 in den Sinn. Für über 300 Euro ist die im privaten Umfeld aber schon etwas "too much".
 
Mal eine generelle Frage: Warum?

Du deutest an, dein Netzwerk absichern zu wollen. Wogegen? Hast du konkrete Sicherheitsbedenken, die über "hab mal gehört ne Sophos soll sicherer sein" hinausgehen?
 
  • Gefällt mir
Reaktionen: Madman1209
käme ja fasst eine Sophos Red 15 in den Sinn. Für über 300 Euro ist die im privaten Umfeld aber schon etwas "too much".
Zum Vergrößern anklicken....
Eine Sophos RED 15 ist ein "Filialrouter", der eine Filiale relativ einfach an eine Zentrale anbindet - welche entweder über eine Sophos XG oder SG verfügen muss ;) Eine RED funktioniert niemals standalone, da sie ihre Konfiguration von einer Sophos FW bekommt.
Komplett falsches Gerät. Hat keinerlei Filterfunktionen, egal in welchem Modus sie betrieben wird.
 
Okay alles klar. Das habe ich eben auch nochmal nachgelesen, dachte die könnte man auch unabhängig von den SGs bzw. XGs betreiben. Aber ich glaube ich bleibe bei dem Zotac. Für 150 habe ich einen mit 8 GB RAM gefunden, auch wen nur 2 NICs vorhanden sind.
 
Wie gesagt, es kommt darauf an was du konkret vorhast. Man kann zB auch einen MikroTik oder einen EdgeRouter verwenden. Ein ER-X kostet zB 50€ und hat 5 Interfaces. Damit kannst du schon ne Menge Netzwerke routen (mit VLANs sogar noch mehr). Bisher hast du dich über deine Beweggründe ausgeschwiegen und dann ist es natürlich denkbar schwierig, Tips zu geben.
 
  • Gefällt mir
Reaktionen: Madman1209
Läuft auf der Zotac denn XG oder SG überhaupt? Die haben in der Regel Realtek Chips für die Sophos keine Treiber mitliefert. Die Box von mir hat den Vorteil das Intel verbaut ist.
 
Meine Beweggründe sind einfach mein Hausnetz entsprechend zu sichern. Die Sophos administriere ich beruflich und finde die "kostenlose" Variante für zuhause nicht verkehrt. VPN bzw. Zugriff von Unterwegs möchte ich damit einfacher und einheitlicher unter Kontrolle haben. Zeitgleich ist es für mich auch Übungsprojekt zuhause.

Die Zotac bzw. die Sophos sind laut verschiedenen Berichten kompatibel, die ähnliches vorgehabt haben.
 
Dann müsstest du die Fritzbox "auf Durchzug" stellen, also ihre eigene Firewall abschalten. Entweder durch Bridgemodus oder durch Exposed Host. Gerade dann wäre es natürlich denkbar ungünstig, wenn einige Geräte direkt an der Fritzbox hängen würden.
D.h. alles aus dem Internet würde ungehindert durch die FB gehen und erst an der Sophos abprallen.

Hinter der Sophos, einer pfSense Appliance oder MikroTik, EdgeRouter, etc könntest du dann je nach Hardware auch mehrere Netzwerke und/oder VLANs einrichten, was zB hinter einer Fritzbox sonst nicht möglich ist.

Ein Mischbetrieb mit Geräten vor/hinter der Sophos, o.ä. würde wie gesagt dazu führen, dass Broadcasts nicht mehr alle Teilnehmer erreichen und zudem noch zwei gänzlich verschiedene Sicherheitszonen entstehen, vor und hinter der Sophos. Das könnte zB ein Sicherheitsrisiko durch UPnP darstellen, wenn vermeintlich unwichtige Geräte an der FB plötzlich unbeobachtet Ports via UPnP in der Fritzbox weiterleiten, etc.
Der sichere Netzübergang sollte stets zentral sein, also in einem Gerät.


1) Fritzbox ---bridged/exposed---> Sophos <=> Heimnetz
2) Fritzbox (mit FW und NAT/PAT) --> Sophos (LAN-LAN-Router only, nix NAT)
 
  • Gefällt mir
Reaktionen: Madman1209
Dann führt wohl nichts um die Variante "1" vorbei - auch wenn die Anzahl an Netzwerk-Devices für meine Wohnung etwas viel ist (Fritzbox, Zotac (Sophos), 5-Port-Switch, WLAN-AP)
Also führt kein Weg an folgender Konfiguration vorbei - hier jetzt mal komplett aufgelistet

Fritzbox (< = > 2x DECT-Telefonie) -- bridged --> Sophos --> 5-Port-Switch < = > WLAN-AP (< = > Sonos, Ikea Trädfri) TV, Sky-Receiver, zweiter 5-Port Switch < = > PC, NAS (E-Mail-Server etc.), Drucker

Obwohl... die Fritzbox vornweg ist fast schon Verschwendung. Folgende Konfig würde auch gehen, oder ?
Vodafone Kabelmodem -- (bridge) -- > Sophos > Fritzbox <= > WLAN/LAN/DECT-Telefonie
Nur die DECT-Telefonie durch die Sophos ist dann noch spannend es zu realisieren.
 
Zuletzt bearbeitet:
Natürlich kannst du dann auch direkt ein Modem verwenden.

Dass dir das Setup bei deinem Netzwerk etwas "viel" vorkommt, liegt wohl daran, dass eine Fritzbox als Internet Gateway und Firewall im privaten Umfeld vollkommen ausreichend ist. Durch eine Sophos, o.ä. gewinnt man keine Sicherheit, sondern wenn überhaupt nur zusätzliche Funktionen wie VLANs. Deswegen fragte ich ja weiter oben nach deinen Beweggründen. Wenn du keine VLANs oder allgemein mehrere Subnetze im lokalen Netzwerk nutzt, bringt der Einsatz einer Sophos unterm Strich eben nur ein zusätzliches Gerät mit zusätzlichem Stromverbrauch.

Hättest du einen anderen Router als ne Fritzbox wie diese Technicolor Kabelboxxen oder so, wäre das sinnvoller, weil diese Dinger bekannt dafür sind, kacke zu sein. Eine Fritzbox ist jedoch in aller Regel vollkommen ausreichend, sicher und schnell genug. Aber das ist nur meine Meinung. Dir scheint es primär darum zu gehen, die Sophos einzubauen, "weil du es kannst", aber dann musst du eben auch in den sauren Apfel beißen, dass das Netzwerk etwas oversized erscheint.

Übrigens : "DECT-Telefonie durch die Sophos" sollte nicht das Problem sein
Die Sophos merkt nix von DECT und sieht nur den SIP-Traffic des VoIP - gesetzt den Fall du telefonierst über VoIP. Allerdings brauchst du dann Portweiterleitungen für SIP bzw. RTP.
 
Zuletzt bearbeitet:
Portweiterleitungen sind für die Telefonie nicht nötig. Du betreibst einfach die Fritzbox im Clientmodus hinter der Sophos und meldest daran die Telefone an. Die Frage ist eher ob Vodafone die Zugangsdaten für den SIP Zugang raus gibt, bei der Telekom funktioniert das so.
 
Jein. Bei SIP sind Signal- und Audioverbindung getrennt. Soweit ich weiß sind die Ports dabei zufällig und ein NAT-Router kann zusammengehörige Verbindungen nicht identifizieren. Sofern der Router daher nicht explizit für SIP-Traversal (heißt so ähnlich, fällt mir gerade nicht ein) geeignet ist, wird man am Ende zwar ein Klingeln hören (Signalverbindung), aber nicht den Gesprächspartner (Audioverbindung).

Zumindest in der Theorie. Wenn der Router SIP-Traffic sauber erkennt, funktioniert das auch ohne Portweiterleitung. Wenn nicht, kann es zu Problemen führen, wenn das SIP-Gerät keine eigene öffentliche IP hat. NAT ist eine Schwachstelle von SIP. Da haben die Schöpfer wohl gepennt...

Details dazu: Klick!
 
Hatte bis jetzt noch keinen Fall bei dem STUN nicht sauber funktioniert hätte aber stimmt es KÖNNTE da schon zu Problemen kommen. Die Sophos verhindet STUN zumindest nicht und selbst wenn gäbe es da sogar einen SIP Proxy.
 
  • Gefällt mir
Reaktionen: Raijin
Klar, die "Fritz" ist schon eine feine Box und kann relativ viel! Insgesamt finde ich eine Lösung am besten zu administrieren. Den Kaspersky-Client möchte ich nicht nur aus Kostengründen beerdigen und die restlichen Geräte einfach besser schützen - auch wenn es nur eine Broadcast-Domäne ohne VLAN letztlich ist.

Die VPN-Funktionalität, Mobile Security und der SMTP-Proxy (Mail-Protection) finde ich einfach schmackhaft. Zumindest die nächsten drei Jahre spare ich 60-100 Euro für die Lizenzierung von Kaspersky & Co.
Am besten wäre die SG 105w. Nur ist für mich dieser Luxus etwas zu oversized für mein privates Heim.

Ich bin gespannt wenn alle Teile da sind. Nur noch der RAM und dann geht's los.

Edit: Hier nochmal ein Bericht, dass es mit der CI327 gehen müsste.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Mein Zotac CI327 läuft seit über einem Jahr ohne Neustart mit einer UTM Home. Habe 4 GB RAM und eine kleine SSD verbaut. Mir war das damals mit den Log-Dateien und der SSD nicht geheuer (eventuell zu viele Schreibzugriffe), deshalb habe ich die Log-Files auf ein Minimum reduziert.

CPU-Auslastung bei etwa 20 echten Clients (Computer und Smartphones) bei maximal 15%. RAM-Auslastung bei etwa 2 GB bei aktivierter Advanced Threat Protection, Intrusion Prevention, Virenscanner und Firewall mit wenigen Regeln.

Man findet im Netz Tipps, wie man die Intrusion Prevention richtig konfiguriert. Insbesondere das Abschalten der Server-Protection spart einiges an Leistung.
Ergänzung ()

In Sophos Foren wird immer die Intel-Lan-Lösung propagiert. Das wird mit Sicherheit auch seine Gründe haben. Mich würde trotzdem mal interessieren, wie groß der Unterschied wirklich ist. Die CI327 als Router/Firewall-Appliance funktioniert wunderbar und superschnell.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Sophos XG Firewall auf OpenMediaVault NAS/Server betreiben
Antworten
6
Aufrufe
1.923
Raijin
Raijin
T
Sophos XG Firewall Zertifikat und IPv6 Probleme
Antworten
9
Aufrufe
1.338
tim1980
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz