Beiträge von X-Dimension

Vielleicht hilft dir das hier weiter:

http://help.endian.com/entries/200612…nfigure-the-IPS

Die "Intrusion Prevention" ist in Endian Community per default so eingestellt, dass sie dich zwar über mögliche Angriffe informiert,
diese aber nicht blockiert.
Um das zu ändern suche dir einfach die entsprechende "Intrusion Prevention Regel" raus und klicke dahinter einmal auf das auf das dreieckige Schild mit dem Ausrufezeichen. Es sollte nun stattdessen ein Schutzschild-Symbol zu sehen sein, und nach einem Neustart der Intrusion Prevention sollten die entsprechenden Angriffe auch geblockt werden.

Ich hoffe es funktioniert, probiert habe ich es selbst bisher noch nicht.

Bei Sophos stört mich in erster Linie die Lizenz-Politik.
Ich statte aktuell mehrere Schulen mit Firewall-Lösungen aus und die Kassen der Kommunen sind meist völlig leer.
In Schulen ist auch kein derart hoher Sicherheitsbedarf wie in Unternehmen nötig, allerdings hängen gerade in Oberschulen trotzdem gern mal 80-100 Computer und mehr hinter der Firewall und wenn dann Content- und Virenfilter laufen, muss das System schon ordentlich dimensioniert sein.
Solche Systeme kosten dann gern mal mehrere tausend Euro zuzüglich regelmäßige Updates für Content- und Virenfilter-Signaturen.
Das sind Kosten die man den Geldgebern einfach nicht vermitteln kann, vor allem wenn dort zuvor eine 80 Euro Fritzbox auch "ausgereicht" hat.
Deswegen bin ich in der Vergangenheit immer gut mit der Endian Community Edition gefahren. Das ganze auf einem kleinen kostengünstigen Rackserver mit 4-6 Netzwerk-Ports installiert und alle waren zufrieden.
Aktuell habe ich jedoch zwei Projekte, bei denen das ganze nicht mehr funktioniert.
Zum einen habe ich nun ein Netzwerk, das eigentlich 5 getrennte Zonen benötigen würde, was mit der Endian nur über große Umwege funktioniert und an einem anderen Standort hatte ich den gleichen Server wie immer bestellt, jedoch nutzt die neue Revision eine anderen Onboard-Netzwerkcontroller, den die Endian nicht unterstützt.

Die Sophos UTM wäre für den einen Standort mit den 5 Zonen eine gute Alternative, die kostenfreie Version mit der Beschränkung auf 50 Clients würde hier sogar ausreichen, allerdings ist diese ja laut Lizenz-Vereinbarung nur für den Privatgebrauch zulässig.
Von den bisher getesteten Firewall-Distributionen gefiel mir die Sophos nach der Endian eigentlich auch am besten.
Vom Funktionsumfang her fand ich auch PFsense recht gut, aber man wird hier ja von den Einstelloptionen die geboten werden regelrecht erschlagen und die unübersichtliche Benutzeroberfläche verschlimmert das ganze noch.
Ich bin gestern auch noch auf OPNsense gestoßen, das Projekt ist offenbar ein Fork von PFsense und hat eine wesentlich übersichtlichere Oberfläche, allerdings sind hier Funktionen wie IDS und Content-Filter noch nicht implementiert und werden wohl noch bis Juli auf sich warten lassen.

Ich bin schon echt am überlegen ob ich eine Zyxel Zywall USG bestelle, denn die sind bis 50 Benutzer noch relativ günstig zu haben und machen eigentlich alles was sie sollen. Allerdings ist man auch hier wieder auf Abos angewiesen, was ich eigentlich vermeiden will, denn die kostenlosen Filter von ClamAV und Dansguardian, die Endian in der Community Edition integriert, reichen eigentlich vollkommen.

Nicht dass ich hier falsch verstanden werde, ich liebe die Endian Firewall!
Die einfache Bedienung, die Übersichtlichkeit und die Funktionsvielfalt gibt es
in einem Paket bei kaum einer anderen Firewall.

Allerdings habe ich in letzter Zeit immer häufiger Projekte, bei der die Endian an ihre
Grenzen stößt, da sie entweder die Funktion nicht bietet, oder weil Netzwerk-Treiber nicht
aktuell genug sind um die Hardware zu unterstützen. (Ich benutze Ausschließlich die Community Edition)

In den letzten Tagen habe ich nun Smoothwall, PFsense, IPFire, Sophos/Astaro ausprobiert,
aber keine konnte mich wirklich begeistern.
Gerade wenn es darum geht Firewall Richtlinien anzulegen, oder einer Netzwerkschnittstelle
Zonen zuzuordnen, wird es mir bei den anderen "zu kompliziert".
Vielleicht ist es dort ja eigentlich nicht kompliziert, aber es ist einfach nicht so übersichtlich
und selbterklärend wie bei der Endian, oder man wird mit hunderten optionen erschlagen, die
ich gar nicht benötige.

Vom Benutzerinterface finde ich Zyxel USG und Sonic-Wall Firewalls noch recht intuitiv, allerdings kommen
für meine Zwecke UTM Systeme bei denen man Abonnements bezahlen muss nicht in Frage, sondern
eigentlich nur OpenSource Firewall Distributionen.

Daher meine Frage: Mit was arbeiten Endianer denn eigentlich so, wenn sie doch mal "Fremd gehen" müssen ?

Ich muss meine Erfahrung mittlerweile revidieren, denn aktuellere Broadcom Netzwerkkarten mit z.B. dem BCM5720 Chipsatz, mag Endian genauso wenig! Der 2.6.32er Kernel der in der Community Edition verwendet wird ist einfach zu alt.

Gibt es eigentlich eine Möglichkeit selbst Treiberpakte für die Endian zu basteln?

Danke für den Tipp!
Ich hatte auch schon ein paar Mal versucht ein zeitgesteuerten Reconnect hin zu bekommen, aber bei mir wollte die Endian bisher immer nicht.
Vielleicht lag es ja auch an den Rechten des Skript. Werde es nochmal ausprobieren.

Hmm... ich habe gerade das hier gefunden:

http://help.endian.com/entries/253918…ne-in-sub-zones

Möglicherweise funktioniert es ja damit, auch wenn es etwas unkomfortabel ist.

Hallo,

ich habe gerade eine neue Herausforderung bekommen: Ich soll 4-5 strikt von einander getrennte Netzwerke über eine
Endian Firewall ins Internet schleusen.
Bisher habe ich in solchen Fällen immer jedes Netzwerk einer Zone (Grün/Blau/Orange) zugeordnet und dann über VLAN fähige Switche
diese Zonen weiter "verteilt". Damit kann man dann über die Interzone-Firewall bequem Ausnahmeregeln definieren, falls z.B. ein
PC aus Zone blau auch auf einen Drucker in Zone Grün zugreifen soll. Das Problem ist allerdings, dass diese Vorgehensweise nur bis 3 Netzwerke realisierbar ist.
Wie kann ich nun aber 2 weitere Netzwerke einbinden, diese ebenfalls voneinander trennen und auch hier ggf. Ausnahmeregeln hinzufügen?

Vielen Dank für ein paar Ideen

Das kann ich nicht bestätigen. Zumindest neuere Intel Server Adapter Netzwerkkarten werden auch mit Endian 3.0 nur über umwege erkannt, weil Endian veraltete Treiber enthält. Http://bugs.endian.com/view.php?id=4394

Ich habe mit Broadcom/Atheros bessere Erfahrungen gemacht.

Seltsamerweise scheint die automatische Aktualisierung nun zu gehen.
Ich habe noch einmal die Einstellungen unter Dienste -> DynDNS gespeichert und
irgendwann gemerkt, dass No-IP.com jetzt immer die aktuelle IP zeigt.

Ich weiß zwar nicht woran es genau lag, aber ich bin jetzt glücklich mit No-IP und
werde daher auch dort bleiben.

Dann bleiben als kostenlose Anbieter ja mehr oder weniger nur noch regfish.com und selfhost.de.
Wie sind denn da die Erfahrungen mit?

Es gibt einen entsprechenden Bug-Report, da hat sich seit letztem Jahr aber nichts mehr getan:

http://bugs.endian.com/view.php?id=4331

Ich bin auch nicht auf No-IP.com als Anbieter fixiert, ich hatte damit bisher nur recht gute
Erfahrungen und ein entsprechenden Account.
Wenn Dynamische DNS Updates mit einem anderen Anbieter problemlos und zuverlässig mit der Endian
funktionieren, würde ich zur Not auch wechseln.

Irgendwie irritiert mich das jetzt etwas.
Ich bin es von anderen Routern so gewohnt, dass der dort enthaltene DDNS Client automatisch nach einem
Disconnect die neue IP an den DDNS Provider (no-ip, dyndns etc.) übermittelt und ich dachte das würde die Endian auch
so automatisiert machen. Welchen Sinn hat denn sonst eine DDNS Implementierung?
Ein entsprechender Cronjob der das Update-Skript ausführt müsste dann ja eigentlich jede Minute laufen.

nokia001
Funktioniert denn bei dir nach dem von dir beschriebenen "Workaround" der automatische DNS-Update?
Ich habe meine Endian so wie in deiner Anleitung beschrieben konfiguriert und wenn ich im Webinterface
der Endian auf "Update" klicke, wird auch meine aktuelle IP an No-IP gesendet, aber leider auch nur dann!
Automatisiert bzw. zeitgesteuert läuft da irgendwie gar nichts!
Eigentlich sollte die der Abgleich doch alle paar Minuten laufen, sonst macht es ja keinen Sinn.

Mittlerweile musste ich feststellen, dass der Squid Proxy auch dazwischen funkt.
Sobald der Proxy deaktiviert wird, sind zumindest die Webseiten im Firmennetz erreichbar.
Kann ich Squid irgendwie beibringen, dass er auch den DNS-Server des zweiten WAN Ports abfragen soll?

Hallo,

folgendes Szenario:

WAN 1: DSL Anschluss
WAN 2: Firmen-Internes Netz (Dient auch als Internet-Backup-Leitung, daher die Anbindung als WAN)

Beim zweiten WAN Anschluss sind die DNS-Server des Firmennetz in der Endian hinterlegt. (Unter Netzwerk -> Schnittstellen -> Uplink1 -> Primärer/Sekundärer DNS)

Das Problem:
Bisher wurden Anfragen an "servername.firmen.netz" immer wunderbar von der Endian an die für die WAN2 Schnittstelle angegebenen DNS Server
weitergeleitet, dies funktioniert plötzlich nicht mehr!Stattdessen werden nur noch die DNS-Server des DSL-Anbieters abgefragt.
Ein nslookup an servername.firmen.netz schlägt bereits auf der Endian fehl!
Über die IP Adressen kann ich jedoch sämtliche Rechner im Firmennetz durch den zweiten WAN Anschluss erreichen.

Als Workaround könnte ich natürlich bei allen Clients-PCs als alternativen DNS die Adresse des DNS-Servers im Firmennetz angeben,
aber das sollte eigentlich nur Plan-B sein, da die Endian das vorher ja auch selbst gemacht hat.

Was läuft hier schief?

Ich bin nun einen Schritt weiter gekommen!
Sobald ich die Eindringlingsabwehr deaktiviere, läuft plötzlich alles ohne Probleme!
Offenbar wurden irgendwelche IPS Regeln heruntergeladen, die bei VSphere und RDP Verbindungen
durch die VPN Probleme bereiten. Das erklärt auch warum nach einer frischen installation noch alles lief und dann plötzlich nicht mehr.

Die Logs der Eindringlingsabwehr sind jedoch komplett leer.
Wie bringe ich Snort bei, dass es VSphere und RDP in Ruhe lässt?

Da habe ich mich wohl zu früh gefreut.
Nachdem ich gestern nach der Neuinstallation keine Probleme mehr hatte, sind sie heute wieder vorhanden.
Der VSphere Client bekommt keine Verbindung mehr und RDP Verbindungen sind unerträglich langsam.
In den letzten 24 Stunden wurde rein gar nichts an der Endian verändert.
Ich bin völlig ratlos.

Ich habe das Problem jetzt gelöst indem ich die Endian Firewall komplett neu installiert und die alte Konfiguration zurückgespielt hat.
Nun fluppt die RDP Verbindung wieder und der OpenVPN-Durchsatz ist auch auf 90KB/s angestiegen!

Kleiner Nachtrag:
Die Info mit dem nicht funktionierenden Source NAT ist falsch, es lag in diesem Fall an einer Windows Firewall die dazwischen gefunkt hatte.
Es bleibt also ein reines VPN/RDP problem.

Hallo,

die RDP Verbindung war schon nur auf 16Bit Farbtiefe gesetzt, wie ich gerade feststellen musste.
Bei 24 oder gar 32 ist sie nahezu unbenutzbar, es dauert dann rund eine halbe Minute und länger bis ein Mausklick umgesetzt wird.

Nebenbei habe ich auch feststellen müssen, das neu hinzugefügte Source NAT Regeln keine Wirkung mehr
zeigen. Alle alten Regeln funktionieren weiterhin, sogar wenn ich diese in der Endian deaktiviere!
Um die Intel NIC Treiber zu installieren musste ich auf den Development Channel umstellen und dabei wurden
automatisch mehrere Pakete aktualisiert. Ich hoffe nicht dass diese jetzt die Ursache für die Probleme sind.

PS: Die CPU-Last auf der Endian liegt bei unter 10%. Ein CPU Kern hatte 13% der zweite 5%.