Sophos XG Firewall – Erste Eindrücke

Sophos_XG_LogoMontagmorgen. Mal schnell die neue OVF der Firewall XG hochgeladen und… ja… und… erst mal nix. Erst mal muß ein total nerviger Aufwand mit der Registrierung betrieben werden um überhaupt die ersten Gehversuche zu machen. Die Konsole ist gesperrt und man kann nicht mal eben mit ifconfig die IP ins interne LAN setzen, sondern muss einen Clientrechner ins 172er Netz bringen um die quälende Prozedur der Registrierung hinter sich zu bringen. Ich hasse es wenn es mir so schwer gemacht wird. Ein offline Test ist also absolut unmöglich. Den Rechner erst mal ins Netz der XG packen, z.B. 172.16.16.100/24. Dann sollte die Default-IP der XG mit 172.16.16.16 erreichbar sein.
Install_1Install_2
Jetzt mit dem Browser über https://172.16.16.16:4444 die Grundeinrichtung vornehmen:
Install_4 Install_5 Install_6
Wenn man diese ganze Prozedur über sich hat ergehen lassen, so kann man endlich das Dashboard in Augenschein nehmen. Erster Eindruck von mir – das will man nicht 🙁
DASHBOARD_0
Das wird einige Zeit dauern bis man sich von einer UTM auf die neue XG „umgewöhnt“ hat. Hier einige weitere Impressionen der Oberfläche. Was beim VPN auffällt: wo sind die RED Tunnel? Schnell im FAQ nachgesehen -> ist noch nicht drin 🙁    Sophos XG FAQ
VPN_1So sehen die neuen Seiten für die Firewallregeln aus:
FW_1 FW_2       FW_3

Jetzt werde ich erst mal den ersten Eindruck setzen lassen und eine Migration von einer bestehenden UTM ausprobieren. Die meisten Migrationen werden wohl erst mal an dem nicht vorhandenen RED Device scheitern, welches ich für das OSPF Routing benötige….

Veeam Quick Migration für VCenter Server

Nachdem alle unsere virtuellen Server und Desktops auf die neue Nutanix Umgebung migriert wurden, blieb nur noch das VCenter übrig. Dank der VMware Enterprise Lizenz sollte Storage vMotion kein Thema sein, aber irgendwie hatte ich Bedenken das VCenter damit zu migrieren. Zu schlecht sind die Erfahrungen irgendwelche Operationen durchzuführen wenn das VCenter Aufgaben mit sich selbst ausführen soll. Aber Veeam hat ein sogenanntes „Quick Migration“ Feature. Dieses ist in der Lage mittels „Smart/Cold-Switch“ virtuelle Maschinen auch ohne VCenter/Datacenter oder gar zwischen verschiedenen Standalone Hosts zur Laufzeit zu verschieben. Ein paar Klicks später lief das VCenter auf dem neuen Cluster. Ohne Downtime.
Veeam-Quick-Migration

Sophos UTM: Kundenprojekt im Rechenzentrum von LuxConnect

Sophos-D2Ein schönes Kundenprojekt welches hier Erwähnung finden sollte: Ich habe für einen der größten deutschen Kaffeehersteller im Rechenzentrum „LuxConnect“ in Luxemburg eine alte Firewall durch einen Sophos UTM Cluster abgelöst. Die von mir damals installierte und in die Jahre gekommene Linuxfirewall mit Heartbeat, IPTables und OpenVPN musste ersetzt werden. Da die Sophos UTM ebenfalls eine sehr gute Unterstützung von OpenVPN bietet, konnten die bestehenden Standorte an die neue UTM angebunden werden, ohne jede Außenstelle mit neuer Firewallhardware zu versorgen. Diese können nun ohne Zeitdruck sukzessive ausgewechselt werden. Vorhandene IPSEC Tunnel konnten ebenfalls ohne Probleme migriert werden. Eine weitere aktuelle Success Story zu Sophos UTM finden Sie unter der Rubrik „Projekte„.

Sophos UTM: Transparent AD SSO Konflikt mit SSL VPN

Damit es anderen Admins nicht so wie mir ergeht: SSLVPN auf Port 443 ist zwar schön um aus Hotel-WLANs und Länderzone drei ein VPN aufbauen zu können, aber es gibt unschöne Kollisionen mit den Active Directory SSO. In den Webfilter Einstellungen kann man die SSO Abfragen zum DC an ein Interface binden:
sophos-adsso-errorDamit gibt es keine Konflikte mehr mit dem SSLVPN, welche sich in Disconnects der über AD authentifizierten Benutzer bemerkbar machen. Ich hoffe damit einigen Kollegen das ewig lange Suchen zu ersparen…. Hier der entsprechende Eintrag in der Spohos Knowledgebase.

Nutanix CVM check für Nagios

Nutanix-Logo_2Nutanix soll per Nagios überwacht werden. Dafür habe ich mir die MIB von Nutanix aus dem Downloadbereich besorgt und per SNMPTRANSLATE die OIDs ausgelesen die für mich wichtig sind. An einem Beispiel will ich zeigen wie man den Status der CVM in einem Cluster prüfen kann. Dieses kleine Skript kann man für alle anderen Werte auch anpassen. Das MIB File wird bei Ubuntu in den Pfad /usr/share/mibs/netsnmp/ kopiert. Bei den anderen Distributionen kann man mit net-snmp-config –default-mibdirs herausfinden wo die MIB Files gespeichert werden. Nun kann man mittels SNMPTRANSLATE direkt ausprobieren ob die MIBS von Nutanix übersetzt werden:

Im PRISM Webinterface muss SNMP noch eingeschaltet werden. Nutanix arbeitet mit SNMP v3. Der Bequemlichkeit halber habe ich einen User mit SHA Auth und Passwort angelegt.

NUTANIX_SNMP_enable

Nun prüfen wir den Status der CVM anhand der OID:
/usr/local/nagios/libexec/check_snmp -P 3 -U nagios -L authNoPriv -a SHA -A Password 192.168.11.179 -o .1.3.6.1.4.1.41263.2.1.3.1

Hinter die OID muss .1 für den ersten Node angehängt werden. Um einen Range von Nodes zu prüfen, nutzen wir ein Nagios Skript mit einer Schleife:

Wenn man das Skript für Node 1 bis 4 ausführt, bekommt man den Status der CVMs angezeigt:

root@mfs-nagios:/usr/local/nagios/libexec > ./check_nutanix_cvm.sh 192.168.11.179 1 4
Nutanix CVM State OK

Anhand der MIB Tabelle können Sie alle Werte abfragen und in Nagios einbinden.