Hallo zusammen,
ich betreibe eine virtuelle Sophos XG auf meinem ESXi und würde nun gerne umsteigen.
Der Grund (falls es jemanden interessiert^^) ist der, dass die UTM nur noch gepflegt aber nicht wirklich weiter entwickelt wird und die XG in aktuellem Zustand (auch wenn Sophos auf jeder Roadshow was anderes behauptet) so nicht nutzbar ist.
Meine Versuche jetzt am Wochenende von Version 17.5 auf Version 18 umzusteigen, endeten in nicht erkannten Access Points, nicht greifenden Regeln und dubiosen Protokollfehlern....
Man, wie ich Sophos geliebt habe... :'( Nun wir es Zeit sich eine neue Liebe zu suchen ;D
Also, hier nun meine Fragen:
Ich würde die OPNsense auch wieder virtuell auf meinem ESXi betreiben. Wie schaut es mit einem Access Point aus? Kann ich einfach einen Unify Lite kaufen, den ins gleiche Subnet hängen und gut? In der Doku habe ich etwas von "Schnittstelle klonen" gesehen was mir nicht so richtig klar ist ???
Wie schaut es mit https scanen aus? Hat das einer in Betrieb? Das konnte man auch auf der Sophos aktivieren, mit dem Ergebnis das 90% der Sites und Services nicht mehr liefen. Ich hatte hier meine Hoffnung in den neuen DPI Scan der Sophos gesetzt aber .... lassen wir das ;)
Vielleicht gibt es hier ja den ein oder anderen Sophos Umsteiger der berichten kann.
Schon mal vielen Dank und einen schönen Sonntag!
Gude und willkommen hier. Ich antworte einfach mal zum Thema der Unifi. Ich habe in diversen Netzen inzwischen vom IPcop auf die OPNsense migriert. Ein weiteres Nezt läuft nach wie vor auf ner Sophos UTM, da endet das Abo im Oktober, dann kommt die weg und ne Sense hin. Die paranoide Konfig von meinem Vorgänger nervt mich eh, aber ich bin ja ein geduldiger Mensch.
In dem Sophos-Netz gab es vor meiner Machtübernahme gar kein WLAN. Aufgrund der etwas seltsamen Architektur (mehr Stahl im Beton als Beton um den Stahl) hatte ich dann mal ne AP AC LR bestellt, inzwischen habe ich zwei Stück in der Hütte, und gut ist.
Der Controller läuft inzwischen für diverse Standorte zentral auf ner Ubuntu-VM total tiefenentspannt. Gäste-WLAN über VLAN war auch kein Problem, ich war echt erstaunt, wie einfach das ging. Wichtig ist hier halt, dass deine Switche, die zwischen der Sense und den APs liegen, entsprechend konfiguriert werden (also in der Regel VLAN0 untagged und VLAN XXX tagged). Aber da reicht schon ein recht einfacher Managed Switch. Anfangs hatte ich mal nen kleinen POE-Switch von Ubiquity mit drin, den habe ich aus ästhetischen Grunden inzwischen wieder rausgeworfen und mache POE mit den Injektoren, die bei den APs dabei waren. Okay, ästhetisch ist das auch net, aber die Teile kann ich einfacher um nen Pfosten vom Rack schnallen als den Miniswitch, der unmotiviert rumfliegt, wie es ihm die Kabel halt diktieren.
Fazit: Geht erstaunlich problemlos sowohl an der UTM als auch an den Sensen. Wenn du soweit bist, kannste mich gern antickern, falls du konkrete Fragen hast.
Quote from: 94565745344574 on April 05, 2020, 02:10:45 PM
Wie schaut es mit https scanen aus? Hat das einer in Betrieb? Das konnte man auch auf der Sophos aktivieren, mit dem Ergebnis das 90% der Sites und Services nicht mehr liefen. Ich hatte hier meine Hoffnung in den neuen DPI Scan der Sophos gesetzt aber .... lassen wir das ;)
https aufbrechen ist immer unschön, egal welche Lösung nutzt. Und wenn man ehrlich ist, hat das ja auch gute Gründe! ;)
Im Endeffekt bleibt Dir nichts anderes übrig als ohne Ende Ausnahmen zu definieren (z.B. Online-Banking, usw.). M.E. ist ein Einsatz von DNS-Blocklisten sinnvoller als das aufbrechen von SSL.