17
Wenn die Sophos außer Betrieb ist
Guten Morgen an alle Admins. 
Sagt mal ihr Lieben, wir sitzen hier gerade und diskutieren über ein Worst Case Szenario wenn die Sophos wirklich mal komplet aussteigt und auch nicht mehr will.
Unser kompletes würde dann definitiv lahm liegen, genau wie bei euch allen wahrscheinlich.
Was habt ihr so für Maßnahmen getroffen um dieses Szenario zu umgehen!? Eifach das Gatway ändern und alles fix umkabeln damit alles ohne funktioniert kann ja nicht die einzige Lösung sein bzw. ist das ja auch eine Riskante Lösung....
Ich bin gespannt auf eure Lösungen.
Sagt mal ihr Lieben, wir sitzen hier gerade und diskutieren über ein Worst Case Szenario wenn die Sophos wirklich mal komplet aussteigt und auch nicht mehr will.
Unser kompletes würde dann definitiv lahm liegen, genau wie bei euch allen wahrscheinlich.
Was habt ihr so für Maßnahmen getroffen um dieses Szenario zu umgehen!? Eifach das Gatway ändern und alles fix umkabeln damit alles ohne funktioniert kann ja nicht die einzige Lösung sein bzw. ist das ja auch eine Riskante Lösung....
Ich bin gespannt auf eure Lösungen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321383
Url: https://administrator.de/forum/wenn-die-sophos-ausser-betrieb-ist-321383.html
Ausgedruckt am: 07.04.2025 um 08:04 Uhr
17 Kommentare
Neuester Kommentar
Guten Morgen,
ein zweite vorhalten, welche bei einem Ausfall die Arbeit übernimmt.
Stichwort "HA".
Gruß
ein zweite vorhalten, welche bei einem Ausfall die Arbeit übernimmt.
Stichwort "HA".
Gruß
Moin,
Wieviel ist Euch das Wert ode rkostet es euch, wen das ding ausfällt. ?
Es gibt viele Lösungsszenarien:
- Einen Raspberry Pi schnell anstöpseln und als reinen Router (und ggf als Content-Filter) dazwischenkellen. Die Anzahlder Ports kann durch USb erweitert werden.
- Ein passendes Alix-Board mit pfsense bereitlegen, um im Notfall die Sophos einfach zu ersetzen.
- Eine zweiite Spophos anschaffen.
- Auf die Sicherheit pfeifen udn alls direkt ans gateway klemmen.
- oder mal einen Tag ohne internet auskommen und schnell eine neue Sophos bestellen.
Es gibt noch viele andere Möglichkeiten, aber das ist wiegesagt, eine Optimierungsaufgabe der Kosten im Vorfeld gegen die Kosten im Problemfall.
lks
Das könnte man durchaus machen aber denke nicht das dieses Verfahren bei uns so zur Geltung kommen wird.
Zu den anderen Vorschlägen: Das mit der Zweiten Sophos und dem Selbstmörder-Akt mit dem "alle einfach aufs Gateway" setzen habe ich auch schon geliebäugelt aber das zweite schließe ich echt aus. Denke eher daran vielleicht eine zweite Sophos zu bunkern.....
Moin,
wobei es mit der zweiten Sophos zwei Optionen gibt:
1. Beide im HA als Cold-Standby und dann räumlich trennen und das Life-Beat/ SYNC-Signal via VLAN ermöglichen
Vorteil: Ein AUsfall einer Box beschränkt sich auf wenige Sekunden (2-3 wenn es hoch kommt)
Nachteil: schießt du durch eine Fehlcofig einen Bock, ist der Bock auch auf der anderen Kiste, durch das Life-Sync
2. Beide im Standalone betreiben, dann müssen aber Änderungen zyklisch und manuell auch auf die andere Box übertragen werden.
Vorteil: zwei Autarke Systeme. ist das eine softwareseitig defekt/ strubbelig, ist die andere zunächst unberührt.
Nachteil: Config-Änderungen und Updates müssen immer manuell abgeglichen werden.
Hier könnte es aber ausreichen, zyklisch das Autobackup per Mail zusenden lassen und im Bedarfsfall die jüngste config auf nen USB-Stick und diesen vor dem Booten der UTM in dieselbige einstecken. Das erfordert es aber, dass immer beide auf dem gleichen Firmware-Stand sind
Wir haben ein Cold-Standby. Hat u.A. auch den Vorteil beim Firmware-Upgrades, dass es nahezu keinen Ausfall gibt (außer die og. 2-3 Sekunden) aber ansonsten keine Verluste
NACHTRAG: Je nach bestellter Subscription müsstet ihr doch ohnehin zwei Büchsen haben, oder nicht?
Zumindest, wenn man die FullGuard hat... Wobei es auch sein kann, dass unser DIenstleister proforma immer zwei GEräte direkt mit angeboten hat und ich das - aus Redundanzsicht - nie in Frage gestellt habe...
Gruß
em-pie
wobei es mit der zweiten Sophos zwei Optionen gibt:
1. Beide im HA als Cold-Standby und dann räumlich trennen und das Life-Beat/ SYNC-Signal via VLAN ermöglichen
Vorteil: Ein AUsfall einer Box beschränkt sich auf wenige Sekunden (2-3 wenn es hoch kommt)
Nachteil: schießt du durch eine Fehlcofig einen Bock, ist der Bock auch auf der anderen Kiste, durch das Life-Sync
2. Beide im Standalone betreiben, dann müssen aber Änderungen zyklisch und manuell auch auf die andere Box übertragen werden.
Vorteil: zwei Autarke Systeme. ist das eine softwareseitig defekt/ strubbelig, ist die andere zunächst unberührt.
Nachteil: Config-Änderungen und Updates müssen immer manuell abgeglichen werden.
Hier könnte es aber ausreichen, zyklisch das Autobackup per Mail zusenden lassen und im Bedarfsfall die jüngste config auf nen USB-Stick und diesen vor dem Booten der UTM in dieselbige einstecken. Das erfordert es aber, dass immer beide auf dem gleichen Firmware-Stand sind
Wir haben ein Cold-Standby. Hat u.A. auch den Vorteil beim Firmware-Upgrades, dass es nahezu keinen Ausfall gibt (außer die og. 2-3 Sekunden) aber ansonsten keine Verluste
NACHTRAG: Je nach bestellter Subscription müsstet ihr doch ohnehin zwei Büchsen haben, oder nicht?
Zumindest, wenn man die FullGuard hat... Wobei es auch sein kann, dass unser DIenstleister proforma immer zwei GEräte direkt mit angeboten hat und ich das - aus Redundanzsicht - nie in Frage gestellt habe...
Gruß
em-pie
Zitat von @em-pie:
Moin,
wobei es mit der zweiten Sophos zwei Optionen gibt:
1. Beide im HA als Cold-Standby und dann räumlich trennen und das Life-Beat/ SYNC-Signal via VLAN ermöglichen
Vorteil: Ein AUsfall einer Box beschränkt sich auf wenige Sekunden (2-3 wenn es hoch kommt)
Nachteil: schießt du durch eine Fehlcofig einen Bock, ist der Bock auch auf der anderen Kiste, durch das Life-Sync
2. Beide im Standalone betreiben, dann müssen aber Änderungen zyklisch und manuell auch auf die andere Box übertragen werden.
Vorteil: zwei Autarke Systeme. ist das eine softwareseitig defekt/ strubbelig, ist die andere zunächst unberührt.
Nachteil: Config-Änderungen und Updates müssen immer manuell abgeglichen werden.
Hier könnte es aber ausreichen, zyklisch das Autobackup per Mail zusenden lassen und im Bedarfsfall die jüngste config auf nen USB-Stick und diesen vor dem Booten der UTM in dieselbige einstecken. Das erfordert es aber, dass immer beide auf dem gleichen Firmware-Stand sind
Wir haben ein Cold-Standby. Hat u.A. auch den Vorteil beim Firmware-Upgrades, dass es nahezu keinen Ausfall gibt (außer die og. 2-3 Sekunden) aber ansonsten keine Verluste
NACHTRAG: Je nach bestellter Subscription müsstet ihr doch ohnehin zwei Büchsen haben, oder nicht?
Zumindest, wenn man die FullGuard hat...
Gruß
em-pie
Moin,
wobei es mit der zweiten Sophos zwei Optionen gibt:
1. Beide im HA als Cold-Standby und dann räumlich trennen und das Life-Beat/ SYNC-Signal via VLAN ermöglichen
Vorteil: Ein AUsfall einer Box beschränkt sich auf wenige Sekunden (2-3 wenn es hoch kommt)
Nachteil: schießt du durch eine Fehlcofig einen Bock, ist der Bock auch auf der anderen Kiste, durch das Life-Sync
2. Beide im Standalone betreiben, dann müssen aber Änderungen zyklisch und manuell auch auf die andere Box übertragen werden.
Vorteil: zwei Autarke Systeme. ist das eine softwareseitig defekt/ strubbelig, ist die andere zunächst unberührt.
Nachteil: Config-Änderungen und Updates müssen immer manuell abgeglichen werden.
Hier könnte es aber ausreichen, zyklisch das Autobackup per Mail zusenden lassen und im Bedarfsfall die jüngste config auf nen USB-Stick und diesen vor dem Booten der UTM in dieselbige einstecken. Das erfordert es aber, dass immer beide auf dem gleichen Firmware-Stand sind
Wir haben ein Cold-Standby. Hat u.A. auch den Vorteil beim Firmware-Upgrades, dass es nahezu keinen Ausfall gibt (außer die og. 2-3 Sekunden) aber ansonsten keine Verluste
NACHTRAG: Je nach bestellter Subscription müsstet ihr doch ohnehin zwei Büchsen haben, oder nicht?
Zumindest, wenn man die FullGuard hat...
Gruß
em-pie
Die erste Idee ist echt top!
Die zweite würde auch gehen da wir uns regelmäßig Backups per Mail zusenden lassen und diese dann auch immer noch auf einem Stick sichern.
(Gott sei Dank tun wird das ansonsten hätten wir vor zwei Tagen richtig Probleme bekommen)
Wir hatten diesen Fall schon (HDD der Sophos war defekt).
Unser Netz hat allerdings DNS auch auf dem DC laufen so das die Server alle weiter liefen. Die User arbeiten auf Terminalservern, haben also lokal nur die eine Verbindung zum Server. Nur DHCP lief nicht und einzelne Clients hatten entsprechend Probleme den Terminal Server zu erreichen, da war dann manuelles Eingreifen erforderlich.
Sufen tuen wir über einen Proxy eines externen Anbieters, die VPN Verbindung dahin läuft auf einem eigenen Router, ich habe also das Gateway an den Terminal Servern ändern müssen (oder eine Route gesetzt, bin mir nicht mehr sicher), dann ging das auch weiter.
Unser Systempartner hat dann am selben Tag ein Ersatzgerät vorbei gebracht (das war allerdings kostenpflichtig) und ich hatte zum Glück eine Sicherung der Konfiguration.
Unser Netz hat allerdings DNS auch auf dem DC laufen so das die Server alle weiter liefen. Die User arbeiten auf Terminalservern, haben also lokal nur die eine Verbindung zum Server. Nur DHCP lief nicht und einzelne Clients hatten entsprechend Probleme den Terminal Server zu erreichen, da war dann manuelles Eingreifen erforderlich.
Sufen tuen wir über einen Proxy eines externen Anbieters, die VPN Verbindung dahin läuft auf einem eigenen Router, ich habe also das Gateway an den Terminal Servern ändern müssen (oder eine Route gesetzt, bin mir nicht mehr sicher), dann ging das auch weiter.
Unser Systempartner hat dann am selben Tag ein Ersatzgerät vorbei gebracht (das war allerdings kostenpflichtig) und ich hatte zum Glück eine Sicherung der Konfiguration.
In diesem Zusammenhang möchte ich gerne noch eine zweite Frage stellen. Derzeigtig beziehen wir hier unsere Hardware bei Mercateo.de. Diese sind meines erachtens nach einfach viel zu teuer! Wo bezieht ihr so eure Hardware?
Hi,
ich würde auch die Cold-Standby-Lösung (Active-Passive Cluster im Sophos-Jargon) empfehlen; ist letztlich HA mit minimaler Ausfallzeit (1-3 Sekunden).
Lizenz brauchst du nur für die aktive Appliance; somit hast du de facto nur Einmalkosten für das Standby-Gerät. Solltest du später mal mehr Leistung benötigen brauchst du keine größere Appliance sondern kannst beide als Active-Active betreiben.
Beschaffung am Besten über einen Sophos-Partner, da gibts dann auch Rabatte oder Projektpreise!
VRRP Unterstützt Sophos glaube ich nicht, da sie ein proprietäres HA-Protokoll verwenden. In der Praxis funktioniert das hier wunderbar (2x SG230 im Active-Passive).
mfg
ich würde auch die Cold-Standby-Lösung (Active-Passive Cluster im Sophos-Jargon) empfehlen; ist letztlich HA mit minimaler Ausfallzeit (1-3 Sekunden).
Lizenz brauchst du nur für die aktive Appliance; somit hast du de facto nur Einmalkosten für das Standby-Gerät. Solltest du später mal mehr Leistung benötigen brauchst du keine größere Appliance sondern kannst beide als Active-Active betreiben.
Beschaffung am Besten über einen Sophos-Partner, da gibts dann auch Rabatte oder Projektpreise!
VRRP Unterstützt Sophos glaube ich nicht, da sie ein proprietäres HA-Protokoll verwenden. In der Praxis funktioniert das hier wunderbar (2x SG230 im Active-Passive).
mfg
Wir haben die Sophos auch im HA Verbund und funktioniert super . Alles schön Redundant verkabelt bis zum Hyper-V Cluster mit Backup Internet Leitung .
Zitat von @Hendrik2586:
In diesem Zusammenhang möchte ich gerne noch eine zweite Frage stellen. Derzeigtig beziehen wir hier unsere Hardware bei Mercateo.de. Diese sind meines erachtens nach einfach viel zu teuer! Wo bezieht ihr so eure Hardware?
In diesem Zusammenhang möchte ich gerne noch eine zweite Frage stellen. Derzeigtig beziehen wir hier unsere Hardware bei Mercateo.de. Diese sind meines erachtens nach einfach viel zu teuer! Wo bezieht ihr so eure Hardware?
Hallo Hendrik,
du kannst mich auch dafür gerne mal anschreiben. Bzw lass uns da nächste Woche einfach mal telefonieren.
Viele Grüße,
Christian
Ich kann dir doch nicht alles aufbürden. Ich bin aber für jeden Tip und jede Hilfe dankbar denn auch ich lerne so immer mehr dazu.
Können also gerne mal telefonieren, bin jederzeit erreichbar.
Können also gerne mal telefonieren, bin jederzeit erreichbar.
Moin,
Gruß,
Dani
Zitat von @Hendrik2586:
In diesem Zusammenhang möchte ich gerne noch eine zweite Frage stellen. Derzeigtig beziehen wir hier unsere Hardware bei Mercateo.de. Diese sind meines erachtens nach einfach viel zu teuer! Wo bezieht ihr so eure Hardware?
bitte beim Thema bleiben... und für diese Frage einen neuen Beitrag erstellen.In diesem Zusammenhang möchte ich gerne noch eine zweite Frage stellen. Derzeigtig beziehen wir hier unsere Hardware bei Mercateo.de. Diese sind meines erachtens nach einfach viel zu teuer! Wo bezieht ihr so eure Hardware?
Gruß,
Dani
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
Allerdings weiß ich nicht, ob die Sophos dazu in der Lage ist. Desweiteren, ist diese Konstellation kostspielig.
Eben nur nötig wenn wirklich High Availability gefordert wird.
Allerdings weiß ich nicht, ob die Sophos dazu in der Lage ist. Desweiteren, ist diese Konstellation kostspielig.
Eben nur nötig wenn wirklich High Availability gefordert wird.
@Spirit-of-Eli
Gruß,
Dani
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
So wie ich das bisher verstanden habe, gibt's mehrere VLANs im Netzwerk und jeweils die Sophos ist das Gateway dafür. Daher kann ich seine Bedenken teilen. Neben einen Ausfall möchte auch gerne die aktuelle Firmware aufgespielt werden und wer macht schon gerne Abend/Nachtschichten... Bei der Redudanz der Internetabindung hast du ganz andere Herauforderungen als nur zwei Leitungen zu haben.Gruß,
Dani
Zitat von @Spirit-of-Eli:
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
Ist alles eine Frage des Aufwandes und der Kosten gegenüber dem Nutzen. Nicht jede Hochverfügbarkeitslösung rechnet sich.
lks
Zitat von @Spirit-of-Eli:
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
Allerdings weiß ich nicht, ob die Sophos dazu in der Lage ist. Desweiteren, ist diese Konstellation kostspielig.
Eben nur nötig wenn wirklich High Availability gefordert wird.
Ich würde die Geschichte auf die Spitze treiben und zwei Leitungen per Loadbalancer koppeln und zwei Bretter so syncen, das ohne Probleme eines ausfallen kann.
Allerdings weiß ich nicht, ob die Sophos dazu in der Lage ist. Desweiteren, ist diese Konstellation kostspielig.
Eben nur nötig wenn wirklich High Availability gefordert wird.
so haben wir es am laufen . Einer kann ausfallen und alles läuft ohne merkliche Unterbrechung laufen .
