Bonjour, Même ressenti. Je suis "CyberOam" depuis 2009 et là c'est moins bien pour plus cher. Avec retour arrière sur certaines mise à jour. Toujours désagréable...
Et attention au passage de la version CR à la version SOPHOS qui peut être délicate, tout ne marchera peut être pas. En plus nouvelle politique commercial, comme si on repartait à zéro. Je me demande si je ne vais pas aller voir ailleurs, mais vers qui ? Cordialement Jean-François -----Message d'origine----- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de David Touitou Envoyé : vendredi 12 janvier 2018 16:57 À : Julien Noisette <jnoise...@ikoula.com> Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] UTM sophos TO XG 'jour. > J’utilise sophos UTM depuis plusieurs années pour de nombreuses > plateformes et j’en suis plutôt content, mais je m’interroge sur la > robustesse de la nouvelle gamme sophos XG et SFV virtual model. > J’aimerai avoir des retours sur expérience sur ces produits, donc si > vous en avez, je suis preneur . merci Je ne vais pas être gentil mais je vais rester factuel. Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait pas faire). Au passage à la 16, ils ont changés plein de chose. Un exemple : toute la conf (and more) est maintenant dans une base PGSQL. Ce qui n'est pas vraiment prévu pour se prendre des reboots sauvages (en agences remote, malgré les onduleurs ça arrive). Un autre exemple (qui va avec) la manière de gérer le failover entre deux XG (physique). Faire quelques failovers à la suite et... split-brain (un des deux qui se retrouve "seul" donc master et le second qui ne voit plus l'autre donc master). En creusant un peu, la base PGSQL est corrompu... Le support propose alors un factory reinstall avec clef USB (pas d'autre moyen de la réparer) voire un changement de device ("c'est le SSD qui est abimé, il vaut mieux le changer" - il semblerait que sur la dernière série de hardware, ce problème de SSD n'existe plus). Résultat : on a arrêté d'envisager de faire du fail-over automatique, les agences remote ont une procédure pour pour remplacer le XG "en prod" par celui "en spare" et on réinjecte la dernière conf. La 17 (sortie il y a peu) est tout sauf sèche en ce qui concerne les VPN et IPsec en particulier. Il aura fallu attendre deux versions de patch pour que le failover de tunnels fonctionne "à peu près" (après avoir recréé les connexions). Mais on ne peut toujours pas régler le MTU du tunnel (alors qu'on peut en UTM depuis des années). Mais l'IDS, même s'il n'est utilisé par aucune règle, consomme plus de la moitié du CPU sur des XG105. Il faut le désactiver totalement (et manuellement). La version actuellement "recommended" par Sophos est la 16.05.6 Il faut quand même savoir qu'il y a deux versions de la 16 qui sont sorties depuis et quatre de la 17... C'est symptomatique d'un QA très problématique, il y a énormément de problèmes de regression. Le SFM (Sophos Firewall Manager) n'est toujours pas capable de gérer du double-NAT quand le subnet intermédaire est le même sur différents sites (et/ou que l'IP "WAN" du XG est la même sur différents sites). Parce que la feature est attachée à la patte WAN du XG (et pas LAN) et que le mode "pull" n'a rien de "pull" (certes c'est le XG qui initie la connexion contrairement au mode push mais ensuite c'est le SFM qui pousse les modifications et pas le XG qui vient les checher). Je préfère ne pas parler du support qui refuse jusqu'à l'idée de monter une maquette avec une VM pour constater des bugs énormes (le dernier, c'est celui des failover groups de la v17). Les upgrades majeures sont à faire avec une clef USB, l'upgrade "en ligne" peut planter le XG (et ça nécessite un factory reinstall). Après, si c'est pour faire un firewall SOHO, lié à un AD (avec le STAS), avec du filtrage "applicatif" (niveau 7), ça doit marcher aussi bien (ou mal) que les concurrents (p'têt que d'autres ont des reports plus jolis). En tout cas le clicodrome fait le job. David --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
