Kategorie: Sophos

Veröffentlicht am

Sophos XG – Wireless via RED

Ein Bauteil, welches Sophos sehr charmant macht ist die Nutzung von RED-Tunnels.
Größter Vorteil hier ist die hohe Sicherheit + die einfache Installation.

Immer mehr Unternehmen zentralisieren Ihre IT. Mit Sophos RED können z. B. kleine Zweigstellen einfach an die Zentrale angebunden werden und dort Dienste nutzen.

Mit Sophos Wireless besteht die Möglichkeit auch den WLAN-Controller zu zentralisieren.
Alles was benötigt wird, ist eine DHCP-Option im VLAN der Sophos APs in der Zweigstelle:

BO-Step-3-1
1. Erstellen Sie die DHCP-Option und verbinden Sie sie. Sophos AP arbeitet mit Magic IP (1.2.3.4). Konfigurieren Sie daher den DHCP-Server so, dass alle AP-Registrierungsanforderungen an die IP der LAN-Schnittstelle der Zentrale auf der Appliance anstelle an die Magic IP weitergeleitet werden.
Dazu konfigurieren Sie den DHCP server option code [magic IP] für die Schnittstelle, mit der der AP verbunden ist.
Stellen Sie über SSH eine Verbindung zur Zweigstellenanwendung her und wählen Sie Option 4. So rufen Sie die Gerätekonsole auf.
Sobald Sie in der Konsole sind, führen Sie den folgenden Befehl aus:
 
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
BO-Step-3-1
 
Wenden Sie die erstellte DHCP-Option auf dem DHCP-Server an (erstellt in Schritt 2).
Führen Sie den folgenden Befehl aus:
system dhcp dhcp-options binding add dhcpname LAN[IncludesAP] optionname dhcp_magic_ip(234) value 172.16.16.16
 
BO-Step-3-2

Quelle: https://www.itm-store.de/info-faq/how-tos-anleitungen/xg/allgemein/sophos-firewall-einrichtung-accesspoint-ueber-einen-ipsec-tunnel

Veröffentlicht am

Sophos UTM – Postgres Rebuild

Manchmal passiert es einfach, nichts geht mehr.
So ist es mir mit einem Sophos UTM-Cluster ergangen auf dem sich die Postgres-Datenbank verabschiedet hat.
Merken tut man dies meist an zwei Phänomenen :
1. UTM startet plötzlich neu -> bei HA nicht ganz so schlimm
2. Anwender können keine Mails mehr verschicken\empfangen -> Der SMTP-Proxy funktioniert nicht mehr (Der Mail-Manager ist komplett leer)

Sollte euch so etwas widerfahren, halb so schlimm 🙂

Ich habe zuerst im Kernellog der UTMs geschaut ob evtl. ein defekt der HDD/SSD vorliegt und habe keinen Eintrag gefunden.

Dann weiter im „System Messages“ Log wurde ich fündig. Die folgenden Einträge sind ein Indiz für eine defekte Datenbank:
ulogd[9722]: pg1: connect: could not connect to server: No such file or directory
I/O error occurred while writing; fd=’94‘, error=’Broken pipe

Nun steht als fest: Datenbank defekt.
Cool finde ich das dies aber nicht für die gesamte Firewall zu gelten scheint, da andere Dienste einfach weiterlaufen. Bei mir war es ausschließlich der Mail-Dienst aka SMTP-Proxy der seinen Dienst verweigerte.


Also los und Datenbank erneuern…

Was vorher erwähnenswert ist, wäre das die Statistiken oder auch Konfiguration vom Wireless (sofern das noch jemand hat) weg sein sollen….bei mir fehlt nur ein Teil *grübel*

Um den Rebuild durchzuführen, besonders in einem HA Cluster hab ich dies mal zusammen geschrieben. Solltet ihr kein HA Cluster haben, dann die Befehle nur auf der einen Node ausführen.

1. Per SSH mit loginuser Master und Slave anmelden, für Slave SSH auf Master und dann „ha_utils ssh. WICHTIG: Vorher im WebAdmin den „ShellAccess“ aktiveren und ein Kennwort vergeben!

Auf beiden UTMs als loginuser anmelden und dann Dienste stoppen:

su –
/etc/init.d/ulogd stop
/etc/init.d/syslogng stop
kill repctl
killall repctl

Rebuild auf beiden Nodes ausführen (treten Fehlern auf (rote Schrift)ggf. ein zweites mal ausführen. Der Rebuild dauert nicht lange, ca. 30 Sekunden:

/etc/init.d/postgresql92 rebuild

Dann Dienste starten:

repctl
/etc/init.d/syslogng start
/etc/init.d/ulogd start

HA-Log prüfen oder via WebAdmin

cd /var/log
tail high-availability.log

Und schon läuft die UTM wieder wie geschmiert. Wie gesagt, da die Datenbank erneuert wird verliert man wohl Statistiken, konnte ich jetzt so nicht bestätigen, höchstens vom Tag des Rebuilds.