Port-Nummerierung in Sophos XG Home auf Sophos Appliances

ByAndreas Walker 21. Mai 202221. Mai 2022

Sophos XG Appliances mit SFP-Dual-Personality-Ports (z.B. Sophos XG 105 Rev. 3) haben eine vom Aufdruck an der Appliance abweichende Port-Nummerierung. Diese wird in der Appliance-Spezifischen SFOS-Firmware korrigiert. Bei der installation von Sophos Home resp. eines anderen Firewall-OS (z.B. OPNsense oder PFsense) erfolgt diese Korrektur logischerweise nicht.

Sophos XG 105 Rev. 3

Wer einmal Sophos XG Home auf einer neueren Sophos XG 105 Rev. 3 Appliance installiert hat, wird bemerkt haben, dass das auf der Appliance als Port 2 markierte Port nach dem Abschluss der Installation einfach down geht. Zudem wird über den als Port 1 markierten Port kein DCHP-Lease vergeben.

Nach etwas Probieren habe ich dann bemerkt, dass am Port 4 der Appliance per DHCP eine IP-Adresse aus dem 172.16.16.0/24 Subnetz zugeteilt wird. Dies liegt daran, dass Sophos XG Home im Gegensatz zur nativen Installation die Interfaces strikt nach der PCI-Kennung nummeriert. Dabei hat der Shared SFP- / Gigabit-Port die PCI-ID pci0:1:0:0, wird daher als «Port 1» erkannt und als standardmässiges LAN interface verwendet.

Auch andere Firewall-Betriebssysteme wie z.B. OPNsense unterliegen diesem Problem. Die Ports werden abweichend von der Beschriftung an der Hardware zugewiesen.

Dies ergibt folgende Portnummerierung in Sophos XG Home resp. OPNsense:

Port-Nummerierung der Sophos XG 105 Rev.3 Appliance in Sophos XG Home resp. OPNsense

Native SFOS-Installationen korrigieren dies über angepasste Port-Mappings in der Appliance-Spezifischen Firmware.

Andere Sophos XG Appliances

Gemäss meinem aktuellen Wissensstand betrifft dieses Problem bloss die neueren Sophos XG Appliances mit gesharten SFP-Ports. Es scheint so, als würden die Ports mehr oder minder strikt von Links nach Rechts durchnummeriert.

Methode zum Erkennen von abweichenden Port-Nummerierungen

Ein gutes Werkzeug zum erkennen von Port-Mappings ist OPNsense. Dieses lässt sich als LiveSystem von einem USB-Stick booten. Danach lässt sich in der Shell beobachten welche Interfaces UP & Down gehen.

Der Nachfolgende Konsolen-Mittschnitt auf einer OPNsense-Instanz auf einer Sophos XG 105 Rev. 3 zeigt, wie die Gigabit-Interfaces 1-4 in der Reihenfolge der Beschriftung auf der Appliance verunden werden. Die Interface ID ist Gelb hervorgehoben:

root@OPNsense:~ # 
igb1: link state changed to UP
igb2: link state changed to UP
igb3: link state changed to UP
igb0: link state changed to UP

Es ist zu beachten, dass die Interface-Nummerierung unter BSD mit 0 beginnt. Daher entspricht das Interface «igb0» dem Port 1 in Sophos XG Home.

Weiterführende Links

Quelle

Sophos Community: Sophos XG135 Home No Link

Andreas Walker

Andreas Walker absolvierte eine Ausbildung in der Gastronomie und arbeitete fast 15 Jahre in dieser Branche. Neben seiner Tätigkeit in der Gastronomie baute er eine kleine IT-Firma auf und betreute in seiner Freizeit kleine KUMs bei IT-Projekten. Mit der Zeit rutschte er auch in die IT seines Arbeitgebers und betreute die Standort-IT eines Businesshotels der International tätigen Hotelkette IHG.
Im Sommer 2019 schloss er die Höhere Fachschule Informatik ab. Seit dem Frühling 2019 arbeitet Andreas Walker bei einem lokalen IT-Provider im Kanton Glarus als System Engineer und betreut dort vor allem KMU-Kunden.

Hybrid Cloud-Lösung mit Microsoft 365 und Synology NAS

ByAndreas Walker 1. November 202213. November 2022

Ein relativ günstiges Synology NAS kann mit Microsoft 365-Services zu einer sehr umfangreichen Hybrid-Cloud Lösung für KMUs erweitert werden. Ein kleines How-To

Lokale MS Exchange-Server mit Reverse-Proxy oder WAF vor Webshell-Attacken schützen

ByAndreas Walker 19. November 202220. November 2022

MS Exchange Server, welche direkt hinter einer NAT stehen sind ungenügend vor der Ausnutzung von Sicherheitslücken geschützt. Ein kleiner Appel an Admins und Entscheider Reverse-Proxies oder Web Application Firewalls (WAF) ein zu setzen.

Hyper-V | Netzwerk | Server | Windows

Hyper-V Switch mit Embedded Teaming (SET) erstellen

ByAndreas Walker 26. November 202226. November 2022

Unter Windows Server 2022 werden LBFO-Teamings nicht mehr als Uplink für vSwitches unterstützt. Die Lösung von Microsoft: Switch Embedded Teaming (SET). Eine Anleitung.

Cannot use ASG software license on ASG1xx device.

Firewall | Lizenzierung | Netzwerk | Sophos UTM

Sophos UTM Home auf Sophos Hardware

ByAndreas Walker 8. Januar 202321. Januar 2023

Installation von Sophos UTM Home auf einer Sophos ASG Appliance. Oder wie man den Fehler «Cannot use ASG software license on ASG1xx device.» umgeht.

Gemalter Industrietunnel Dagegen von Will Mu

Firewall | Netzwerk | Sophos XG / Sophos XGS

Redundante Verbindungen für Sophos RED-Tunnels zwischen XG(S) Firewalls

ByAndreas Walker 13. August 202413. August 2024

Bei Sophos RED-Endgeräten kann als Gegenstelle eine primäre und sekundäre IP-Adresse resp. Hostname hinterlegt werden. Baut man jedoch einen RED-Tunnel zwischen zwei Sophos XG(S) Firewalls auf, kann auf der Client-Seite bloss eine IP-Adresse resp. ein Hostname hinterlegt werden. Redundanzen bei den WAN-Interfaces auf der Server-Seite können so nicht genutzt werden. Über einen erstaunlich einfachen Kniff…

Firewall | Sophos XG / Sophos XGS

Sophos Firewall: Zertifikate mit Private Key aus dem Zertifikats-Store exportieren

ByAndreas Walker 5. März 20234. März 2023

Wenn der CSR für ein Zertifikat auf einer Sophos Firewall erstellt wurde, kann der Private Key nicht direkt exportiert werden. Eine Anleitung wie der Export ohne Shell-Zugriff klappt.

Sophos XG 105 Rev. 3

Andere Sophos XG Appliances

Methode zum Erkennen von abweichenden Port-Nummerierungen

Weiterführende Links

Quelle

Das könnte auch noch interessant sein...