Reprise du message précédent :
Alors j'y suis allé un peu cash, j'ai mis sophos en bridge et j'ai tout mon LAN derrière désormais. Le problème, c'est que j'ai traefik qui ne peut plus faire son boulot de reverse proxy, et plus rien ne répond, que ce soit en local ou de l'extérieur, quand j'utilise les noms dns de mes applis. Je fais comment?
 
- je mets tous mes serveurs sur le 3ème port ethernet (actuellement inutilisé) de sophos et je déclare une DMZ
- je crée une règle qui permet à traefik de faire son buolot
 
Dans tous les cas, je ne comprends pas exactement sur quel critère traefik est bloqué et donc de quelle manière je vais résoudre ça.

Alors j'y suis allé un peu cash, j'ai mis sophos en bridge et j'ai tout mon LAN derrière désormais. Le problème, c'est que j'ai traefik qui ne peut plus faire son boulot de reverse proxy, et plus rien ne répond, que ce soit en local ou de l'extérieur, quand j'utilise les noms dns de mes applis. Je fais comment?
 
- je mets tous mes serveurs sur le 3ème port ethernet (actuellement inutilisé) de sophos et je déclare une DMZ
- je crée une règle qui permet à traefik de faire son buolot
 
Dans tous les cas, je ne comprends pas exactement sur quel critère traefik est bloqué et donc de quelle manière je vais résoudre ça.
 
EDIT : je viens de brancher mes deux serveurs sur la 3ème interface "DMZ" sur sophos. Le problème c'est que je ne parviens pas à pinguer ces serveurs depuis le LAN. J'ai essayé de créer des règles permissives, mais je n'ai pas dû faire ça correctement.

dans le sophos il y a une option pour les webserver  
https://community.sophos.com/kb/en-us/120388

pour vos firewall je vends le barebone qui a accueilli mon Sophos UTM durant 2 ans
https://www.2ememain.be/plaats/m145 [...] mympSeller
Prix discutable si c'est sur HFR

La page en lien est privée, non accessible. Merci pour le lien vers webserver.
Sinon j'ai l'ado qui est venu me dire que le DHCP ne fonctionnait plus, j'ai dû ajouter deux règles et ajouter un IP Serveur pour que ça fonctionne à nouveau. Sophos est en mode bridge pour le moment.

yep bien vu
https://www.2ememain.be/a/informati [...] ousPage=lr
 
le sophos est en bridge ou c'est la box qui l'est?

Pour mémoire, voici le tuto pour laisser passer les requêtes DHCP vers le routeur quand SOphos est en bridge comme chez moi :  
 
https://community.sophos.com/kb/en-us/122983
 
Et voici comment configurer un serveur web situé dans le LAN pour qu'il soit accessible depuis l'extérieur :  
 
https://community.sophos.com/kb/en-us/126470

Au sujet du tuto DHCP, je pense qu'il est foireux. Pour commencer, ils demandent de créer une règle WAN to LAN , puis LAN to WAN, sauf que chaque fois ils utilisent le même nom de règle : en pratique ce n'est pas permis. ça c'est un détail.  
Par contre autre chose plus gênante, au bout de 24h tout le trafic LAN to WAN passe par cette règle, au vu du volume de données associé :  
 

 
J'ai beau être totalement noob, quand je crée une règle de ce type sans aucun filtre, ça veut dire open bar. Du coup j'ai rajouté cette option, et ça a l'air de fonctionner, on verra si la data transite par là.
 

Bon, les rapports de Sophos sont intéressants. J'ai un appareil wifi qui esssaie de se connecter régulièrement à mon serveur mutualisé OVH en FTP sans succès (FTP login fail). Par contre j'ai mis une heure à retrouver quel appareil c'est. Avec Sophos je n'ai que l'IP source/destination, puis avec mon point d'accès ubiquiti j'ai trouvé la MAC et j'ai déduit que c'était un appareil wifi. Pour OVH j'ai fait un reverse DNS. Sophos ne pourrait pas me faciliter le boulot de reverse DNS? Je n'ai pas tout exploré encore, je demande.
 

 
 
EDIT : du coup c'est peut être pour ça que je n'arrive plus à le logguer à mon FTP OVH depuis un an, mon IP doit être blacklistée  

Donc fin heureuse pour mon histoire de FTP ovh qui était inaccessible depuis 1 an, c'était bien la caméra qui essayait de s'y connecter pour pousser des images, en boucle, avec de mauvais ID/MDP. Du coup mon IP était blacklistée. Merci sophos pour avoir mis ça en évidence.
 
Bon, grâce à l'aide de Delivereath j'ai réussi à réactiver l'accès à mes apps web depuis l'extérieur, merci à lui.
Maintenant j'aimerais bien que Sophos soit le serveur DHCP de mon réseau. Dans le tuto suivant, je lis ça :
 
"Note: These DHCP server configurations can only be done in Gateway Mode or Mixed Mode."
 
Je suis en bridge mode, je ne trouve pas comment basculer en mixed mode, et d'autre part j'ai bien les menus pour configurer un DHCP... Quand j'aurai un moment je testerai. ça prendra un peu de temps, j'ai une vingtaine d'appareils pour lesquels je dois réserver un bail.

J'ai un comportement étrange de sophos, en bleu l'usage CPU sur 48H, sachant que c'est comme ça depuis le début :  
 

 
On voit un pic CPU à 10% pendant une heure puis repos, puis rebelote, etc.

une tache cron?

Sachant que c'est une image sophos toute neuve, j'ai du mal à imaginer un cron qui travaille à 50 % du temps sur un cpu ryzen.

Par contre les 10 % de consommation CPU mesurés sur la machine virtuelle sophos, ne se voient pas au global sur la conso du CPU, sur le graphique des cpu host, no sur la conso en watt. Pour le moment je ne m'inquiète pas plus, donc.

Bon, je suis à deux doigts de ragequit.
 
Proxmox    
Sophos XG en mode bridge  
Docker installé sur le host proxmox    
Reverse proxy Traeffik  sur docker  
Faire fonctionner ensemble sophos + traeffik pour accéder à mes applis depuis l'extérieur    
 
1 - Si j'ai Docker + Traefik sur le host proxmox mais Sophos est shunté (= retiré du réseau), j'accède à mes serveurs web depuis l'extérieur grâce à Traefik    
2 - Si j'ai Docker + Traefik sur une autre machine que proxmox + Sophos actif, impossible d'accéder à mes serveurs web depuis l'extérieur via Traefik    
 
En gros pas moyen de trouver ce qui cloche dans les flux. Je sais que docker a modifié les iptables du host proxmox, du coup j'ai dû rajouter une règle pour réactiver le réseau vers les VM et LXD sinon c'était bloqué.  
Quand je lance des analyses de flux réseau depuis sophos, je ne vois rien passer de consistant en direction de traeffik, hormis des erreurs "Bad TCP Checksum" aléatoires.  
 
Bref, je sens que je vais installer docker sur une VM sur proxmox, comme préconisé ici ou là. En espérant que ça règle le souci.

C'est ce que j'allais te conseiller, teste docker dans une VM ou un conteneur (mais pour commencer c'est probablement plus efficace dans une VM car je sais que certaines applis qui touchent un peu au réseau peuvent avoir du mal à passer dans un lxc)

J'ai essayé aussi de mettre Docker sur mon host Proxmox et ça a fini aussi dans une VM...

J'ai rajouté en PP un petit retour d'expérience après 5 semaines, c'est positif sur tous les points (voir partie "bilan au 28/10" ). Sinon en ce moment je m'amuse avec la dernière version de grafana et ses jauges vraiment sympathiques.
 

 

 
 
Quoi de neuf les gens depuis 3 ans dans vos configs ?

Perso il y a quelques mois j'ai installé opnsense un peu sur un coup de tête dans une vm proxmox + son ip en dmz sur ma livebox 4 (dmz).

Ça tourne très bien mais je suis un peu déçu des capacités natives de monitoring et de filtrage.

Il faut passer par des plugins tiers (ntopg, sensei machin chose) que je ne trouve pas super bons.

Je retrouve un peu le souci de dafunky : rien que pour identifier un device connecté au réseau c'est la misère. Pour faire des règles tu ne peux pas le faire par adresse mac mais juste par ip, donc en gros ton ado passe en ip fixe sur une ip quelconque et il contourne tout.
Tu veux suivre ce qui se passe un peu sur une machine spécifique, tu dois donc déjà trouver son ip (je trouve un peu débile de mettre des ip fixes à des clients type smartphone, tablette....) et ensuite ben c'est pas folichon... Avoir par exemple une liste des requêtes DNS par ordre chronologique avec leur heure (façon pihole) ça serait pas mal.
Appliquer des filtres, des règles horaires... Pas en gratos.
Ainsi de suite.
Bref en tant que routeur ça marche bien, j'ai eu de bonnes surprises cote vpn avec l'installation de wireguard plutôt simple en suivant un tuto (mais quand même pas en 3 clics) mais pour le suivi/filtrage pour l'instant c'est décevant par rapport à mes attentes.

je pense que tu utilises le Wifi de ta box ?
 
 
 

Ah non pardon, je ne l'ai pas precisé mais j'ai un point d'accès ubiquiti séparé.

"Je retrouve un peu le souci de dafunky : rien que pour identifier un device connecté au réseau c'est la misère"
 
--> Tu te souviens où j'ai parlé de ça? Parce que je ne retrouve pas ce CR sur ce topac.
 
Perso proxmox fonctionne de façon hyper stable depuis day one, mais comme le précise départ je n'utilise pratiquement pas son potentiel, je ne m'y connecte qu'une fois tous les deux mois et il n'y a pas (à ma connaissance) une app user friendly pour smartphone, du coup ça limite son potentiel. Je peux faire des règles de filtrage basés sur l'ip, le site de destination et mettre des règles horaires, mais en pratique ce n'est jamais simple. Pour youtube il y a une quantité de sites à bloquer. ça fonctionne et j'arrive à bloquer youtube, mais ensuite si je dois faire une exception pour mon gamin parce qu'il a un devoir d'allemand avec besoin d'accès à youtube je dois me reconnecter sur proxmox, et j'ai pas la motivation.
 
Pour le blocage des sites pr0n ça fonctionne avec les sites connus mais il suffit que dans google je tape des termes salaces, je vais en seconde page, je clique sur n'importe quel lien et ça passe le plus souvent.
 
Sinon concernant le DHCP j'ai choisi de rester sur pihole que je trouve très bien pour ce job.

Bonjour dafunky !
 
Je venais justement chercher des avis sur les routeurs-firewall Sophos.
 
À la lecture de ton dernier message je ne suis pas sûr de très bien comprendre : utilises-tu encore Sophos XG ? Si non, peux-tu préciser pourquoi et par quoi tu l'as remplacé ?
 
Je pose la question car je suis le nouvel informaticien expert-en-rien-mais-touche-à-tout d'une PME qui utilise un routeur Sophos, et je me demande si on le conserve ou si on le remplace par quelque chose que je maitrise mieux.

depart => Pour ton problème de Wifi, pkoi ne pas crée un SSID spécifique pour ton gamin, tu lui colles un VLAN, et ensuite tu filtre avec ton "firewall" et tu appliques des règles spécifique à ce VLAN
 
Sinon perso je suis toujours sous pfSense  

Salut Romano,

Je suis toujours sous xg et il est à jour. Sa maintenance est bien faite donc pour une entreprise je le garderais en place. Il faut prendre le temps de l'apprivoiser mais ça vaut le coup.

C'est à l'échelle d'une maison que son temps de prise en main se discute.

Sinon j'ai testé son vpn et je l'ai trouvé très bien.

Merci pour ton retour !

Drap

Hello,
 
Je réscite ce post et je ne sais pas si c'est le bon endroit mais j'ai, pour le moment , une question :
 
J'ai récupéré un Sophos GX115, est-ce que c'est utilisable en format autonome ou pas du tout ?
 
Le peu d'info que j'ai trouvé c'est à utiliser avec le cloud.
 
Pour info, ce n'est que pour un projet interne pour séparer 2 réseaux à la maison
 
Merci d'avance et bon weekend

Si je te dis pas de connerie généralement ce genre de matos, c'est sur une base de X86, et donc tu peut softer un pfsense ou autre, dessus ...  
 
https://www.youtube.com/watch?v=JSJt5atXblY