JARVIS
In dieser Anleitung beschreibe ich die Installation der neuen Sophos XG UTM. Ich werde sie in der virtuellen Umgebgung von Proxmox (PVE 3.4-11 mit Kernel 3.10.0-1-pve) als KVM (Kernel based Virtuell Machine) installieren. Grundsätzlich sollte dies auch in jedem anderen System funktionieren das auf KVM basiert, zudem bietet Sophos auch spezielle Appliances für Hyper-V und Citrix, oder halt den Softwareinstaller für i386 Systeme.
In einem zweiten Teil zeige ich die ersten Schritte der Konfiguration nach der Installation.
Vorwort
Sophos bietet die Unified Threat Management (UTM) Lösung grundsätzlich in 2 Versionen an. Einmal die ISO für Hardwareappliances wie z.B. die Astaro bzw. Sophos Boxen oder aber für speziell freigegebene Hardware und als zweite ISO, als Softwareinstaller für virtuelle Maschinen oder i386 Hardware mit z.B. dem Dateinamen SW-SF05_15.01.0-376.iso .
eingesetzte XG UTM Firmware: SFOS 15.01.0
Systemvoraussetzungen
Bei der Installation werden die Systemvoraussetzungen geprüft. Wenn die Festplatte z.B. kleiner 10GB ist, kann die Installation nicht fortgesetzt werden. Ansonsten werden ca. 512MB RAM, min 2 Netzwerkkarten und 1 CPU benötigt.
Des weiteren wird die Webkonsole, später im Installationsverlauf, über die IP-Adresse: https://172.16.16.16:4444 bereitgestellt. Wer diese IP-Adresse nicht im eigenen Netz verwendet, sollte sich also vorbereiten, z.B. mit einer virtuellen IP eth0:1 …Änderbar ist diese Voreinstellung nicht.
Proxmox Netzwerkkonfiguration
In dieser Installation gehe ich von 2 Netzwerkkarten aus:
- LAN – eth0 = vmbr0 – Mode = Bridge
- WAN – eth1 = vmbr1 – Mode = Bridge
Grundsätzlich solle bei der Installation von Proxmox bereits die Einrichtung der Netzwerkkarten erfolgt sein. Hier nochmal meine Konfiguration mit eth0 als DHCP und eth1 auf manuell:
cat /etc/network/interfaces # network interface settings auto lo iface lo inet loopback auto eth0 iface eth0 inet manual auto eth1 iface eth1 inet manual auto vmbr0 iface vmbr0 inet static address  192.168.0.33 netmask  255.255.255.0 gateway  192.168.0.3 bridge_ports eth0 bridge_stp off bridge_fd 0 auto vmbr1 iface vmbr1 inet manual bridge_ports eth1 bridge_stp off bridge_fd 0
Proxmox KVM Konfiguration für SOPHOS XG UTM
Bevor die virtuelle Maschine vorbereitet wird, sollte die richtige ISO, siehe oben, in den entsprechenden Speicherort in Proxmox hochgeladen werden. Danach erfolgt die Erstellung der KVM unter Proxmox. Ich habe hierfür die Standardgrößen gewählt. Je nach deinem Einsatzzweck und den verwendeten Funktionen der UTM muss z.B. die Festplatte größer ausfallen, eine weitere Netzwerkkarte hinzugefügt werden, oder mehr Cores in der CPU gewählt werden.
- OS : Andere Betriebssysteme (other)
- CPU : Sockets=1, Cores=1, Type kvm64
- RAM: automatische Speicherzuteilung von 512MB bis 1024MB
- Festplatte: virtio im qcow2 Format ohne Cache mit 10GB
- Netzwerkkarte1: Mode=Bridge, virtio, vmbr0=eth0=LAN
- Netzwerkkarte2: Mode=Bridge, virtio, vmbr1=eth1=WAN
- CD/DVD: iso: SW-SFOS_15.01.0-376.iso
Die Wahl von virtio als Treiber für die Netzwerkkarten, soll gegenüber der Verwendung der Intel E1000 erheblich weniger CPU Last verursachen und zudem mehr Performance bringen.
Nach der Konfiguration der KVM kann die Intsallation vom DVD/CD Laufwerk gestartet werden. Die ersten Schritte erfolgen über die Konsole:
Sophos UTM Installation in KVM als Softwareinstaller
- die Installation mit y starten
Sophos XG UTM Installation - es wird der erfolgreiche Installationstatus angezeigt und ein Neustart muss durchführen werden
Sophos XG UTM Installation - danach das Password admin eingeben
Sophos XG UTM Installation - Bestätigung der Sophos Endbenutzer-Lizenzvereinbarung die nur in der Weboberfläche erfolgen kann
Bestätigung der Sophos Endbenutzer-EULA - Aufruf von https://172.16.16.16:4444
- Benutzer: admin Passwort: admin
Bestätigung der Sophos Web Admin - und der EULA zustimmen
Sophos XG UTM EULA - danach beginnt die eigentliche Installation, zuvor kann zwischen neuer Installation und einem Upgrade der UTM 9 gewählt werden,
Sophos XG UTM Install Upgrade Serial - um die Installation starten zu können,muss zuerst eine gültige Seriennumer eingegbene werden
- diese hat man oder erhält sie über my sophos im Web
- über den Button „Basic Setup“ muss der WAN-Adapter konfiguriert werden, hier können statische Werte eingetragen oder DHCP aktiviert werden
- !ACHTUNG! ich habe die virtuelle Netzwerkkarte für WAN vorläufig auf mein LAN geschaltet, da die Verbindung ins Internet über eine bestehende UTM lief und nur die IP-Adresse eingetragen !ACHTUNG!
- danach kann die Seriennummer aktiviert werden
Sophos XG UTM Basic Setup - als nächtes muss „Register Device“ angeklickt werden und das „Synchronize License“, es geht ein neues Fenster auf in dem ein Link zur weiteren Konfiguration angeklickt werden sollte
Sophos XG UTM Lizenz - damit ist die Installation abgeschlossen und die eigentliche Konfiguration erfolgt
Im ersten Schritt würde ich nun das initiale Passwort admin ändern. Wie das in der Konsole oder im Webinterface funktioniert zeige ich hier.
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.
Guten Tag
Wie sieht die Konfiguration aus, wenn ich zwei Ports als LAN verwenden möchte?
z.B
LAN – eth0, eth1 = vmbr0 – Mode = Bridge
WAN – eth2 = vmbr1 – Mode = Bridge
Vielen Dank und Freundliche Grüsse
Hi Matthias,
hängt ein wenig davon ab, von dem was du vor hast. Ich würde aber meinen, 1. wenn du eth0 und eth1 getrennt im Lan (192.168.1.x und 192.168.2.x) verwenden möchtest, dann musst du diese auch als vmbr0 und vmbr1 in Proxmox konfigurieren. Falls du sie als Bonding / Teaming /Link Aggregation verwendet möchtest, dann kannst du sie im System als bond0 definieren und dann im Proxmox per vmbr0 ansprechen.
Hallo Jarvis
Vielen Dank! Die erste Variante habe ich bereits so im Einsatz und ist mir klar.
Ich möchte jedoch eth0 und eth1 im gleichen Netz, sodass ich theoretisch an meinen LAN Port keinen Switch anschliessen muss, sondern ich die 2 Ports der Netzwerkkarte als „2 Port Switch“ für mein Internal LAN verwenden kann.
Ist der Ansatz dann als bond0 auf der vmbr0 richtig?
Vielen Dank und Freundliche Grüsse
Hi,
verstehe ich grade nicht recht. Was kommt denn auf eth0 und eth1 von außen an? In der Regel wirst du doch |switch|->port0 = eth0 |pve| und |switch|->port1 = eth1 |pve| verbinden, oder?
Hi, genau momentan habe ich meinen Switch an Netzwerkkarte1: Mode=Bridge, virtio, vmbr0=eth0=LAN
Dieser Port ist bei der Sophos UTM als Internal LAN definiert.
Von aussen möchte ich dann an Netzwerkkarte1 und Netzwerkkarte2 einen Switch anschliessen können, um ins Internal LAN auf der Sophos zu kommen. WAN wäre in diesem Beispiel dann Netzwerkkarte3.
Hoffe das ist irgendwie verständlich xD
Hi,
meine Nacht war wohl zu kurz :). Also 3x Nic eth0, eth1, eth2. eth0=LAN <->|Sophos| -> eth1 und eth2 ??? Ich würde eth0 = WAN <-> Sophos <-> vmbr0 |PVE| einstellen. eth1 =vmbr1 und eth2 =vmbr2 entweder als Bonding um die Performance und Redundanz als bond0 = vmbr1 zu nutzen, oder für getrennte Netze, z.B. LAN und DMZ. Zwischen WAN und LAN /DMZ routet die Sophos ja normalerweise. Sprich wenn du alles so konfigurierst wie du es brauchst, dann kommst du vom WAN über eth0 = vmbr0 ins LAN und umgekehrt von vmbr1 aus dem LAN ins WAN.