RE: [FRnOG] [TECH] UTM sophos TO XG

2018-01-16 Par sujet Vincent Duvernet 
Allez je prends la suite.
(revendeur Sophos aussi). Le support du distributeur est pénible. Soit chez 
l'un il faut acheter un contrat de support (même si on a un contrat Sophos 
acheté chez eux), soit il faut appeler un 0892. Non mais sérieux, 0892 
C'est bon pour les sites pornos ça mais en 2018...

Bref, lors du passage à la v15, j'avais un UTM en mode bridge / transparent et 
du coup, pouf, pouf plus d'Internet de personne du côté LAN. J'ai du sortir le 
boitier de prod' et monter une archi chez nous avec un PC derrère double LAN en 
Teamviewer. Ils ont fini par trouver le bug.

Là, j'ai migré en v17 sur une config de base et pouf, re pouf, plus de VPN 
IPSEC qui monte. Après bidouille avec le support, il se remonte mais je ne 
pouvais plus rien pinger. Et là ce soir, ça refonctionne à nouveau.

Alors, certes, j'ai des petites structures qui n'ont pas les moyens de dépenser 
des sommes énormes pour des justifications qu'ils ne comprennent pas ^^. Mais 
c'est vrai que c'est pas un modèle de stabilité.

Après, un XG, c'est toujours mieux qu'un SG. Mais heureusement, on peut flasher 
les SG en XG.

Vincent

NOLMË INFORMATIQUE
Vincent Duvernet
Directeur technique
Lieudit Morellière 61360 St Jouin de Blavou - FRANCE
Tel: +33 (0)2 33 85 57 27 - +33 (0)6 60 87 20 70
vincent.duver...@nolme.com | www.nolme.com

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Michel KOENIG
Envoyé : samedi 13 janvier 2018 11:10
À : Jean-François ESPERET <jfespe...@firstwan.fr>; David Touitou 
<da...@network-studio.com>; Julien Noisette <jnoise...@ikoula.com>
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] UTM sophos TO XG

Bonjour,

Je suis revendeur des solutions Sophos, mais malheureusement, je dois admettre 
que leur FireWall (ex Astaro) ne sont pas au TOP Je ne peux qu'être en accord 
avec vos remarques Pour moi, ces produits sont sympa grâce à un GUI facile et 
des rapport sexy (mais produit qui reste très orienté à mon avis pour les TPE 
et les réseaux simples) On reste bridé sur les UTM Sophos dans les possibilités 
offertes par le GUI, et la partie log pour faire du trouble shooting est 
inexploitable Pour ma part, concernant les firewall, je commercialise depuis 18 
ans les produits Clavister : https://www.clavister.com C'est un produit très 
technique qui demande une prise en main, mais si j'ose la comparaison, 
Clavister est une boite de Lego avec laquelle on peux construire ce que l'on 
souhaite, alors que la plupart des firewall sont des Playmobil ou l'on ne peux 
bouger que la tête et les bras 
De plus, chez Clavister on a un vrai support (certes en anglais), des logs et 
des dump pcap pour nous aider à solutionner les problèmes Le code Clavister est 
écrit à 100% par eux (pas d'OS en dessous) ce qui nous donne des perf et un 
niveau de sécurité très élevée (code complet de l'OS 20Mo) 100% du code 
maitrisé, c'est aussi zéro points d'entrées pour les NSA et autres : 
https://www.clavister.com/globalassets/documents/resources/miscs/clavister-info-trust-your-security-solution-en.pdf
Dernière remarque qui me semble importante au regard de votre post, tous les 
client Clavister sont en failover au moins au niveau du siège et cela 
fonctionne parfaitement.

Je peux vous mettre en relation avec le grossiste France ou vous aider sur ces 
produits si vous le souhaitez

Salutations
Michel KOENIG

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Jean-François ESPERET Envoyé : vendredi 12 janvier 2018 17:53 À : David Touitou 
<da...@network-studio.com>; Julien Noisette <jnoise...@ikoula.com> Cc : 
frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] UTM sophos TO XG

Bonjour,
Même ressenti. 
Je suis  "CyberOam" depuis 2009 et là c'est moins bien pour plus cher.
Avec retour arrière sur certaines mise à jour.
Toujours désagréable...

Et attention au passage de la version CR à la version SOPHOS qui peut être 
délicate, tout ne marchera peut être pas.
En plus nouvelle politique commercial, comme si on repartait à zéro.

Je me demande si je ne vais pas aller voir ailleurs, mais vers qui ?

Cordialement
Jean-François

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Touitou Envoyé : vendredi 12 janvier 2018 16:57 À : Julien Noisette 
<jnoise...@ikoula.com> Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] UTM 
sophos TO XG

'jour.

> J’utilise sophos UTM depuis plusieurs années pour de nombreuses 
> plateformes et j’en suis plutôt content, mais je m’interroge sur la 
> robustesse de la nouvelle gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si 
> vous en avez, je suis preneur  . merci

Je ne vais pas être gentil mais je vais rester factuel.


Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait 
pas fair

RE: [FRnOG] [TECH] UTM sophos TO XG

2018-01-13 Par sujet Michel KOENIG 
Bonjour,

Je suis revendeur des solutions Sophos, mais malheureusement, je dois admettre 
que leur FireWall (ex Astaro) ne sont pas au TOP
Je ne peux qu'être en accord avec vos remarques
Pour moi, ces produits sont sympa grâce à un GUI facile et des rapport sexy 
(mais produit qui reste très orienté à mon avis pour les TPE et les réseaux 
simples)
On reste bridé sur les UTM Sophos dans les possibilités offertes par le GUI, et 
la partie log pour faire du trouble shooting est inexploitable
Pour ma part, concernant les firewall, je commercialise depuis 18 ans les 
produits Clavister : https://www.clavister.com 
C'est un produit très technique qui demande une prise en main, mais si j'ose la 
comparaison, Clavister est une boite de Lego avec laquelle on peux construire 
ce que l'on souhaite, alors que la plupart des firewall sont des Playmobil ou 
l'on ne peux bouger que la tête et les bras 
De plus, chez Clavister on a un vrai support (certes en anglais), des logs et 
des dump pcap pour nous aider à solutionner les problèmes
Le code Clavister est écrit à 100% par eux (pas d'OS en dessous) ce qui nous 
donne des perf et un niveau de sécurité très élevée (code complet de l'OS 20Mo)
100% du code maitrisé, c'est aussi zéro points d'entrées pour les NSA et autres 
: 
https://www.clavister.com/globalassets/documents/resources/miscs/clavister-info-trust-your-security-solution-en.pdf
 
Dernière remarque qui me semble importante au regard de votre post, tous les 
client Clavister sont en failover au moins au niveau du siège et cela 
fonctionne parfaitement.

Je peux vous mettre en relation avec le grossiste France ou vous aider sur ces 
produits si vous le souhaitez

Salutations
Michel KOENIG

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Jean-François ESPERET
Envoyé : vendredi 12 janvier 2018 17:53
À : David Touitou <da...@network-studio.com>; Julien Noisette 
<jnoise...@ikoula.com>
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] UTM sophos TO XG

Bonjour,
Même ressenti. 
Je suis  "CyberOam" depuis 2009 et là c'est moins bien pour plus cher.
Avec retour arrière sur certaines mise à jour.
Toujours désagréable...

Et attention au passage de la version CR à la version SOPHOS qui peut être 
délicate, tout ne marchera peut être pas.
En plus nouvelle politique commercial, comme si on repartait à zéro.

Je me demande si je ne vais pas aller voir ailleurs, mais vers qui ?

Cordialement
Jean-François

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Touitou Envoyé : vendredi 12 janvier 2018 16:57 À : Julien Noisette 
<jnoise...@ikoula.com> Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] UTM 
sophos TO XG

'jour.

> J’utilise sophos UTM depuis plusieurs années pour de nombreuses 
> plateformes et j’en suis plutôt content, mais je m’interroge sur la 
> robustesse de la nouvelle gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si 
> vous en avez, je suis preneur  . merci

Je ne vais pas être gentil mais je vais rester factuel.


Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait 
pas faire).


Au passage à la 16, ils ont changés plein de chose.

Un exemple : toute la conf (and more) est maintenant dans une base PGSQL.
Ce qui n'est pas vraiment prévu pour se prendre des reboots sauvages (en 
agences remote, malgré les onduleurs ça arrive).

Un autre exemple (qui va avec) la manière de gérer le failover entre deux XG 
(physique).
Faire quelques failovers à la suite et... split-brain (un des deux qui se 
retrouve "seul" donc master et le second qui ne voit plus l'autre donc master).
En creusant un peu, la base PGSQL est corrompu... Le support propose alors un 
factory reinstall avec clef USB (pas d'autre moyen de la réparer) voire un 
changement de device ("c'est le SSD qui est abimé, il vaut mieux le changer" - 
il semblerait que sur la dernière série de hardware, ce problème de SSD 
n'existe plus).

Résultat : on a arrêté d'envisager de faire du fail-over automatique, les 
agences remote ont une procédure pour pour remplacer le XG "en prod" par celui 
"en spare" et on réinjecte la dernière conf.


La 17 (sortie il y a peu) est tout sauf sèche en ce qui concerne les VPN et 
IPsec en particulier.
Il aura fallu attendre deux versions de patch pour que le failover de tunnels 
fonctionne "à peu près" (après avoir recréé les connexions).
Mais on ne peut toujours pas régler le MTU du tunnel (alors qu'on peut en UTM 
depuis des années).

Mais l'IDS, même s'il n'est utilisé par aucune règle, consomme plus de la 
moitié du CPU sur des XG105.
Il faut le désactiver totalement (et manuellement).


La version actuellement "recommended" par Sophos est la 16.05.6 Il faut quand 
même savoir qu'il y a deux versions de la 16 qui sont s

RE: [FRnOG] [TECH] UTM sophos TO XG

2018-01-12 Par sujet Jean-François ESPERET 
Bonjour,
Même ressenti. 
Je suis  "CyberOam" depuis 2009 et là c'est moins bien pour plus cher.
Avec retour arrière sur certaines mise à jour.
Toujours désagréable...

Et attention au passage de la version CR à la version SOPHOS qui peut être 
délicate, tout ne marchera peut être pas.
En plus nouvelle politique commercial, comme si on repartait à zéro.

Je me demande si je ne vais pas aller voir ailleurs, mais vers qui ?

Cordialement
Jean-François

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Touitou
Envoyé : vendredi 12 janvier 2018 16:57
À : Julien Noisette <jnoise...@ikoula.com>
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] UTM sophos TO XG

'jour.

> J’utilise sophos UTM depuis plusieurs années pour de nombreuses 
> plateformes et j’en suis plutôt content, mais je m’interroge sur la 
> robustesse de la nouvelle gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si 
> vous en avez, je suis preneur  . merci

Je ne vais pas être gentil mais je vais rester factuel.


Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait 
pas faire).


Au passage à la 16, ils ont changés plein de chose.

Un exemple : toute la conf (and more) est maintenant dans une base PGSQL.
Ce qui n'est pas vraiment prévu pour se prendre des reboots sauvages (en 
agences remote, malgré les onduleurs ça arrive).

Un autre exemple (qui va avec) la manière de gérer le failover entre deux XG 
(physique).
Faire quelques failovers à la suite et... split-brain (un des deux qui se 
retrouve "seul" donc master et le second qui ne voit plus l'autre donc master).
En creusant un peu, la base PGSQL est corrompu... Le support propose alors un 
factory reinstall avec clef USB (pas d'autre moyen de la réparer) voire un 
changement de device ("c'est le SSD qui est abimé, il vaut mieux le changer" - 
il semblerait que sur la dernière série de hardware, ce problème de SSD 
n'existe plus).

Résultat : on a arrêté d'envisager de faire du fail-over automatique, les 
agences remote ont une procédure pour pour remplacer le XG "en prod" par celui 
"en spare" et on réinjecte la dernière conf.


La 17 (sortie il y a peu) est tout sauf sèche en ce qui concerne les VPN et 
IPsec en particulier.
Il aura fallu attendre deux versions de patch pour que le failover de tunnels 
fonctionne "à peu près" (après avoir recréé les connexions).
Mais on ne peut toujours pas régler le MTU du tunnel (alors qu'on peut en UTM 
depuis des années).

Mais l'IDS, même s'il n'est utilisé par aucune règle, consomme plus de la 
moitié du CPU sur des XG105.
Il faut le désactiver totalement (et manuellement).


La version actuellement "recommended" par Sophos est la 16.05.6 Il faut quand 
même savoir qu'il y a deux versions de la 16 qui sont sorties depuis et quatre 
de la 17...

C'est symptomatique d'un QA très problématique, il y a énormément de problèmes 
de regression.


Le SFM (Sophos Firewall Manager) n'est toujours pas capable de gérer du 
double-NAT quand le subnet intermédaire est le même sur différents sites (et/ou 
que l'IP "WAN" du XG est la même sur différents sites).
Parce que la feature est attachée à la patte WAN du XG (et pas LAN) et que le 
mode "pull" n'a rien de "pull" (certes c'est le XG qui initie la connexion 
contrairement au mode push mais ensuite c'est le SFM qui pousse les 
modifications et pas le XG qui vient les checher).


Je préfère ne pas parler du support qui refuse jusqu'à l'idée de monter une 
maquette avec une VM pour constater des bugs énormes (le dernier, c'est celui 
des failover groups de la v17).


Les upgrades majeures sont à faire avec une clef USB, l'upgrade "en ligne" peut 
planter le XG (et ça nécessite un factory reinstall).


Après, si c'est pour faire un firewall SOHO, lié à un AD (avec le STAS), avec 
du filtrage "applicatif" (niveau 7), ça doit marcher aussi bien (ou mal) que 
les concurrents (p'têt que d'autres ont des reports plus jolis). En tout cas le 
clicodrome fait le job.


David


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM sophos TO XG

2018-01-12 Par sujet David Touitou 
'jour.

> J’utilise sophos UTM depuis plusieurs années pour de nombreuses plateformes et
> j’en suis plutôt content, mais je m’interroge sur la robustesse de la nouvelle
> gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si vous en
> avez, je suis preneur  . merci

Je ne vais pas être gentil mais je vais rester factuel.


Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait 
pas faire).


Au passage à la 16, ils ont changés plein de chose.

Un exemple : toute la conf (and more) est maintenant dans une base PGSQL.
Ce qui n'est pas vraiment prévu pour se prendre des reboots sauvages (en 
agences remote, malgré les onduleurs ça arrive).

Un autre exemple (qui va avec) la manière de gérer le failover entre deux XG 
(physique).
Faire quelques failovers à la suite et... split-brain (un des deux qui se 
retrouve "seul" donc master et le second qui ne voit plus l'autre donc master).
En creusant un peu, la base PGSQL est corrompu... Le support propose alors un 
factory reinstall avec clef USB (pas d'autre moyen de la réparer) voire un 
changement de device ("c'est le SSD qui est abimé, il vaut mieux le changer" - 
il semblerait que sur la dernière série de hardware, ce problème de SSD 
n'existe plus).

Résultat : on a arrêté d'envisager de faire du fail-over automatique, les 
agences remote ont une procédure pour pour remplacer le XG "en prod" par celui 
"en spare" et on réinjecte la dernière conf.


La 17 (sortie il y a peu) est tout sauf sèche en ce qui concerne les VPN et 
IPsec en particulier.
Il aura fallu attendre deux versions de patch pour que le failover de tunnels 
fonctionne "à peu près" (après avoir recréé les connexions).
Mais on ne peut toujours pas régler le MTU du tunnel (alors qu'on peut en UTM 
depuis des années).

Mais l'IDS, même s'il n'est utilisé par aucune règle, consomme plus de la 
moitié du CPU sur des XG105.
Il faut le désactiver totalement (et manuellement).


La version actuellement "recommended" par Sophos est la 16.05.6
Il faut quand même savoir qu'il y a deux versions de la 16 qui sont sorties 
depuis et quatre de la 17...

C'est symptomatique d'un QA très problématique, il y a énormément de problèmes 
de regression.


Le SFM (Sophos Firewall Manager) n'est toujours pas capable de gérer du 
double-NAT quand le subnet intermédaire est le même sur différents sites (et/ou 
que l'IP "WAN" du XG est la même sur différents sites).
Parce que la feature est attachée à la patte WAN du XG (et pas LAN) et que le 
mode "pull" n'a rien de "pull" (certes c'est le XG qui initie la connexion 
contrairement au mode push mais ensuite c'est le SFM qui pousse les 
modifications et pas le XG qui vient les checher).


Je préfère ne pas parler du support qui refuse jusqu'à l'idée de monter une 
maquette avec une VM pour constater des bugs énormes (le dernier, c'est celui 
des failover groups de la v17).


Les upgrades majeures sont à faire avec une clef USB, l'upgrade "en ligne" peut 
planter le XG (et ça nécessite un factory reinstall).


Après, si c'est pour faire un firewall SOHO, lié à un AD (avec le STAS), avec 
du filtrage "applicatif" (niveau 7), ça doit marcher aussi bien (ou mal) que 
les concurrents (p'têt que d'autres ont des reports plus jolis). En tout cas le 
clicodrome fait le job.


David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM sophos TO XG

2018-01-12 Par sujet Raphael Maunier 
Hello,

Je pense que tu as tout dit :)
Le produit n’est pas à la hauteur du prix qu’ils en demandent ( et il manque 
des fonctionnalités qui étaient la avant )
De plus, pénible de négocier avec eux, j’ai changé de crémerie depuis !

Raphael

Envoyé de mon iPhone

> Le 12 janv. 2018 à 16:24, Julien Noisette  a écrit :
> 
> Bonjour à tous,
> 
> J’utilise sophos UTM depuis plusieurs années pour de nombreuses plateformes 
> et j’en suis plutôt content, mais je m’interroge sur la robustesse de la 
> nouvelle gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si vous en 
> avez, je suis preneur  . merci
> 
> Pour ma part je trouve les prix élevés pour cette nouvelle gamme.
> 
> Bon Weekend
> 
> Cordialement,
> 
> Julien Noisette |  Administrateur Réseau et Technicien Datacenter
> Ikoula - 34 rue du Pont ASSY - 51100 REIMS - France
> 
> Ikoula, c'est deux divisions
> Express Hosting : Des solutions d'hébergements packagées et flexibles allant 
> du nom de domaine aux serveurs dédiés physiques ou virtuels disponibles en 15 
> min.
> Enterprise Services : Spécialiste de l'infogérance, du cloud computing et des 
> plateformes collaboratives, Ikoula assure en 24/7 sur site, la haute 
> disponibilité de vos applications et garantit votre tranquillité.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] UTM sophos TO XG

2018-01-12 Par sujet Julien Noisette 
Bonjour à tous,

J’utilise sophos UTM depuis plusieurs années pour de nombreuses plateformes et 
j’en suis plutôt content, mais je m’interroge sur la robustesse de la nouvelle 
gamme sophos XG et SFV virtual model.
J’aimerai avoir des retours sur expérience sur ces produits, donc si vous en 
avez, je suis preneur  . merci

Pour ma part je trouve les prix élevés pour cette nouvelle gamme.

Bon Weekend

Cordialement,

Julien Noisette |  Administrateur Réseau et Technicien Datacenter
Ikoula - 34 rue du Pont ASSY - 51100 REIMS - France

Ikoula, c'est deux divisions
Express Hosting : Des solutions d'hébergements packagées et flexibles allant du 
nom de domaine aux serveurs dédiés physiques ou virtuels disponibles en 15 min.
Enterprise Services : Spécialiste de l'infogérance, du cloud computing et des 
plateformes collaboratives, Ikoula assure en 24/7 sur site, la haute 
disponibilité de vos applications et garantit votre tranquillité.


---
Liste de diffusion du FRnOG
http://www.frnog.org/