Sophos UTM Home mit pfSense gegen IP Knappheit Tutorial (esxi 6.5 Version)

Seit einigen Tagen bekommen ich von meiner Sophos UTM 9 Home Edition nicht so erfreuliche Nachrichten. Immer und immer wieder sagt mir das System per Mail, dass ich schon 47 von 50 möglichen IP-Adressen verwendet. Nun virtualisiere ich sehr viel und habe auch das ein oder andere Smart-Gerät im Haushalt, sodass ich hier leider noch nicht einmal IP’s ausdünnen könnte.

Als erstes habe ich probiert, über das IP-Adressen zurück setzten, dem Problem entgegen zu wirken und zu schauen, ob vielleicht doch die ein oder andere IP brach liegt.


Leider ist dem nicht so und ich muss ich mich auf die Suche nach einer Lösung machen. Natürlich unterhält man sich mit dem ein oder anderen über seine Probleme und so habe ich mir folgende Szenarien überlegt.

Klar ist das eine UTM-Version weiter bestehen bleiben muss, da
die WAF-Funktion sehr viel genutzt wird. Somit stehe folgende Varianten zur Wahl
  1. 2x Sophos UTM Home Systeme. Beide bekommen einen eigenen WAN-Zugang (WAN kommt von der FritzBox) und haben damit einen eigenen Internetzugang. Die eine UTM wird nur interne Geräte verwalten, die andere nur DMZ Systeme. Damit die Netzwerke miteinander reden können, werden sie über ein in esxi konfiguriertes vLAN verbunden.
  2. Wie bereits erwähnt, wird für den DMZ-Bereich die UTM erhalten, damit die WAF-Funktion weiter genutzt werden kann. Auch wie unter Variante 1, wird jeder “Router” einen eigenen WAN-Zugang bekommen. Für den internen Bereich kommt opensens zum Einsatz. Hierdurch wird die erneute IP-Knappheit im internen Bereich vermieden. 50 IPs im DMZ-Bereich erscheinen mir aktuell unrealistisch, daher kann hier ohne Probleme UTM 9 weiter zum Einsatz kommen. Damit beiden Subnetze mit einander reden können, wird auch hier in esxi eine virtuelle LAN-Verbindung zwischen den zwei Systemen hergestellt.
  3. Wie bereits in Variante 2, wird für den DMZ-Bereich die UTM erhalten, damit die WAF-Funktion weiter genutzt werden kann. Auch wie unter Variante 2, wird jeder “Router” einen eigenen WAN-Zugang bekommen. Für den internen Bereich kommt pfsens zum Einsatz. Hierdurch wird die erneute IP-Knappheit im internen Bereich vermieden. 50 IPs im DMZ-Bereich erscheinen mir aktuell unrealistisch, daher kann hier ohne Probleme UTM 9 weiter zum Einsatz kommen. Damit beiden Subnetze mit einander reden können, wird auch hier in esxi eine virtuelle LAN-Verbindung zwischen den zwei Systemen hergestellt.

Da die “Not” doch recht akut ist, werde ich vorerst mit der ersten dritten Variante anfangen. Jedoch werde ich zukunftsweisend auch die anderen Varianten erproben.
Nun möchte ich mit euch zusammen die Umsetzung ausprobieren und passend in meinem Wiki dokumentieren.

<— UPDATE —>
Da es zu Problemen, in der Kombinationen 2 UTM’s zu verwenden, gekommen ist, habe ich kurzfristig auf pfSense umgeschwenkt.
Der erste Grund war, dass ich einen Gatewaykonflikt hatte, der sich auf die Schnelle nicht lösen lies. Hier muss ich erst einmal schauen, warum dies so ist.
Dann ist mir aufgefallen, dass im LAN DHCP Server 29 Geräte gemeldet waren.
Da 29 registrierten IPs schon mehr als 50% der UTM freien IPs verbraucht sind, hab ich beschlossen, gleich eine andere Variante um zusetzten.

Du hast eine Bessere Idee? Ich bin für Alternativen immer offen. Schreib mir doch bitte eine kurze Mail und ich nehme deine Idee hier gerne mit auf.

Tutorial Link