JARVIS
In dieser Anleitung beschreibe ich die Installation von Sophos UTM (9.3 / 9.1) in der virtuellen Umgebgung von Proxmox (PVE 3.4-11 mit Kernel 3.10.0-1-pve) als KVM (Kernal based Virtuell Machine). Grundsätzlich sollte dies auch in jedem anderen System funktionieren das auf KVM basiert, zudem bietet Sophos auch spezielle Appliances für Hyper-V und Citrix, oder halt den Softwareinstaller für i386 Systeme.
Vorwort
Sophos bietet die Unified Threat Management (UTM) Lösung grundsätzlich in 2 Versionen an. Einmal die ISO für Hardwareappliances wie z.B. die Astaro bzw. Sophos Boxen oder aber für speziell freigegebene Hardware mit dem Dateinamen ssi-xxxVersionxxx.iso . Und als zweite ISO, als Softwareinstaller für virtuelle Maschinen oder i386 Hardware mit dem Dateinamen asg-xxxVersionxxx.iso . Wenn man sich hier vergreift und wie ich z.B. zuerst die ssi ISO herunterläd stößt bei der Installation als KVM auf folgende Meldung:
Systemvoraussetzungen
Bei der Installation kann man sich die Anforderungen für die Sophos UTM anzeigen lassen was wie folgt aussieht:
In diesem Artikel mit einem Überblick über die Home Edition hatte ich es bereits angesprochen.
Proxmox Netzwerkkonfiguration
In dieser Installation gehe ich von 2 Netzwerkkarten aus:
- LAN – eth0 = vmbr0 – Mode = Bridge
- WAN – eth1 = vmbr1 – Mode = Bridge
Grundsätzlich solle bei der Installation von Proxmox bereits die Einrichtung der Netzwerkkarten erfolgt sein. Hier nochmal meine Konfiguration mit eth0 als DHCP und eth1 auf manuell:
cat /etc/network/interfaces # network interface settings auto lo iface lo inet loopback auto eth0 iface eth0 inet manual auto eth1 iface eth1 inet manual auto vmbr0 iface vmbr0 inet static address 192.168.0.33 netmask 255.255.255.0 gateway 192.168.0.3 bridge_ports eth0 bridge_stp off bridge_fd 0 auto vmbr1 iface vmbr1 inet manual bridge_ports eth1 bridge_stp off bridge_fd 0
Proxmox KVM Konfiguration für SOPHOS UTM
Bevor die virtuelle Maschine vorbereitet wird, sollte die richtige ISO, siehe oben, in den entsprechenden Speicherort in Proxmox hochgeladen werden. Danach erfolgt die Erstellung der KVM unter Proxmox. Ich habe hierfür die Standardgrößen gewählt. Je nach deinem Einsatzzweck und den verwendeten Funktionen der UTM muss z.B. die Festplatte größer ausfallen, eine weitere Netzwerkkarte hinzugefügt werden, oder mehr Cores in der CPU gewählt werden.
- CPU : Sockets=1, Cores=1, Type kvm64
- RAM: automatische Speicherzuteilung von 512MB bis 1024MB
- Festplatte: virtio im qcow2 Format ohne Cache
- Netzwerkkarte1: Mode=Bridge, virtio, vmbr0=eth0=LAN
- Netzwerkkarte2: Mode=Bridge, virtio, vmbr1=eth1=WAN
- CD/DVD: iso: asg-9.113-1.1.iso
Zu sagen gibt es hierzu folgendes. Anfänglich habe ich versucht die Installation mit der aktuelle Version von Sophos UTM 9.314-13.1 durchzuführen. Leider blieb diese direkt nach der Meldung Boot von CD/DVD und Bootload …. hängen. Egal welche CPU, Festplattentyp oder Nic verwendet habe, der Fehler war der selbe. Daraufhin habe ich erfolgreich die ältere 9.113-1.1.iso geladen und die Installation durchführen können.
Die Wahl von virtio als Treiber für die Netzwerkkarten, soll gegenüber der Verwendung der Intel E1000 erheblich weniger CPU Last verursachen und zudem mehr Performance bringen.
Sophos UTM Installation in KVM als Softwareinstaller
- Start der Installation mit ENTER, F1 für Hilfe und F3 zum Troubleshooting
- Installation Start mit Button Start
- Hardware Detection
- Anzeige der erkannten Hardware
- Wahl des Keyboard = German
- Wahl der Timezone = Europe
- Wahl der Timezone = Berlin
- Eingabe des aktuellen Datum und Uhrzeit sowie der Zeitzone
- Wahl der Netzwerkkarte für den Adminzugang z.B. aus LAN = eth0
- Eingabe der festen IP-Adresse für die Sophos UTM, der Netzmaske und ggf. des Gateway
- Wahl des Kernel, 64bit hat bei mir nicht funktioniert ich musste No auswählen
- Auswahl ob das Toolkit installiert werden soll mit YES beantworten
- Info das die Festplatte gelöscht wird mit YES beantworten
- Abschluss der erfolgreichen Installation mit Button Reboot
Damit ist die (Grund-) Installtion abgeschlossen und nach einem Neustart, kann auf die ersteinrichtung und Konfiguration über die Webkonsole erfolgen. Hierfür die Seite mittels https://IP-Adresse:4444 aufrufen.
Sophos UTM Installation – Basic Setup
Während die UTM Startet wird ein Bootscreen in der KVM angezeigt, mittels F2 kann dieser ausgeblendet werden und man sieht was grade an Dienste gestartet werden und deren Status. Danach erscheint die Loginmaske im Browser, wo du dich mit dem Benutzer admin anmelden musst. Im ersten Formular werden Basic Punkte wie Hostname, Firmenname, Stadt, Country und dem Passwort für den Webzugang, abgefragt.
Damit ist diese Anleitung zur Installation von Sophos UTM als KVM abgeschlossen und weiter geht es in der nächsten Anleitung mit der ersten Konfiguration in der Webkonsole der UTM (LINK).
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.
Hallo
Kann ich für das LAN Interface auch mehrere physische Netzwerkports verwenden wie bei den meisten Hardware Appliances?
Ich stelle mir eine Konfiguration ca. so vor.
WAN – eth0 = vmbr0 – Mode = Bridge
LAN – eth1, eth2, eth3, eth4 = vmbr1 – Mode = Bridge
auto vmbr0
iface vmbr0 inet static
address 192.168.0.10
netmask 255.255.255.0
gateway 192.168.0.1
bridge_ports eth0
bridge_stp off
bridge_fd 0
auto vmbr1
iface vmbr1 inet manual
bridge_ports eth1, eth2, eth3, eth4
bridge_stp off
bridge_fd 0
Auf dem Internen Netz vmbr1 habe ich bereits alle meine virtuellen Server.
Ich kann auch bereits an eth1 meinen Desktop-Computer (Peer-to-Peer von Desktop-Computer zu Server Netzwerkport) anschließen und dann bin ich im LAN der Sophos vmbr1.
Ist dies auch für alle Vier Ports möglich?
Ich möchte theoretisch an jeden der vier Netzwerkports von meinen Host Server einen Desktop-Computer anschließen können, und dann im vmbr1 Netz landen.
Vielleicht ist meine Überlegung auch falsch aber Danke für jede Hilfe.
Gruss Peter
Hi,
du willst die 4,5,6… physischen Netzwerkkarten wie ein Switch nutzen? Ok, das Problem ist das du das Gateway nur 1x verwenden kannst. Konfiguriere mal für alle anderen ein Linux Bridge entspr. vmbr1, vmbr2 …. mit der IP aus deinem LAN 192.168.0.10 … x.11 … x.12 usw. aber ohne Angabe des Gateways. Klappt die Kommunikation?
Genau, ich möchte die Netzwerkkarten wie ein Switch nutzen. Ich habe dies soweit konfiguriert und die Kommunikation auf vmbr1 funktioniert soweit. Jedoch bekomme ich keine Verbindung auf vmbr2. Ich müsste irgendwie zwei physische Ports in die vmbr1 bringen.
auto vmbr1
iface vmbr1 inet manual
address 192.168.0.10
bridge-ports eth1
bridge-stp off
bridge-fd 0
auto vmbr2
iface vmbr2 inet manual
address 192.168.0.11
bridge-ports eth2
bridge-stp off
bridge-fd 0
Gruss Peter
Hi, da fehlen aber noch netmask und gatway. Letzteres zumindest bei vmbr1. Wie hast du das konfiguriert, per WebGUI oder direkt in der interfaces? Ansonsten klingt es evtl. nach Open vSwitch. Evtl. schaust du dir das mal an.