83 — Sophos XGS Firewall-Referenz

Stand: 2026-04-01

Uebersicht

Eigenschaft	XGS Standort A (40er)	XGS Standort B (30er)
IP	10.128.40.1	10.128.30.1
Hostname	X12109F732PCJ5E	X12109F68YHWX03
Modell	XGS 126	XGS 126
Web-Admin	https://10.128.40.1:4444	https://10.128.30.1:4444
API-Zugriff	Ja (178.104.125.96 + 10.244.2.2)	Ja (178.104.125.96 + 10.244.2.2)
Admin-User	admin	admin
Verwaltung	Sophos Central	Sophos Central

Zonen

Zone	Typ	Beschreibung
LAN	LAN	Internes Netz (10.128.40.0/24 bzw. 10.128.30.0/24)
WAN	WAN	Internet-Uplink
DMZ	DMZ	Demilitarisierte Zone
VPN	VPN	SSL-VPN und Site-to-Site
WiFi	LAN	WLAN Access Points
LOCAL	LOCAL	Firewall selbst

Interfaces (Standort A)

Interface	Beschreibung
Port1 (WAN)	Internet-Uplink
LAN	Internes Netz 10.128.40.0/24
DMZ	Separates Segment
CTS Eventim	Dediziertes Segment fuer Ticketing
WiFi	WLAN (ueber APs)

Site-to-Site VPN

Zwischen Standort A (40er) und Standort B (30er) ist ein Site-to-Site VPN aktiv (verwaltet ueber Sophos Central).

SSL-VPN (Remote Access)

Eigenschaft	Wert
Endpunkt	vpn.creative-kirche.de:7443
VPN-Portal	https://vpn.creative-kirche.de:4443
VPN-Netz	10.244.2.0/24
Protokoll	OpenVPN (TCP)

Aktive VPN-Benutzer

User	VPN-IP	System	Modus
VPS (sck-debian-nbg)	10.244.2.2	openvpn-client@ck-vpn	Full Tunnel
Pi5 (raspip5)	10.244.2.3	openvpn-client@sck	Split Tunnel
rpp1	10.244.2.130	openvpn (client.conf)	Full Tunnel (Legacy)

WLAN Access Points

Standort A (Pferdebachstr.) — 5 APs

IP	Beschreibung
10.128.40.31	AP 1
10.128.40.32	AP 2
10.128.40.33	AP 3
10.128.40.37	AP 4
10.128.40.43	AP 5

Standort B (Ruhrstr.) — 8 APs

IP	Beschreibung
10.128.30.31 - 10.128.30.38	AP 1-8

Alle APs werden per SNMP ueber den VPS ueberwacht (via SSH-Tunnel zu SaltoServer).

Monitoring

Syslog

Beide Firewalls senden Syslog an den VPS: - UDP 1514 + TCP 5514 - rsyslog: /etc/rsyslog.d/10-sophos.conf - Logdatei: /var/log/sophos/xgs.log - Weiterverarbeitung: Promtail → Loki (job=syslog) - SeverityLevel muss "Information" sein in der Sophos-Konfiguration

SNMP

Metriken-Prefix: sfos... (NICHT sfosXG...)
Interface-Identifikation: ifDescr (NICHT ifAlias)
Port1 = WAN
Abfrage ueber SNMP-Exporter auf SaltoServer (10.128.40.6:9116, via SSH-Tunnel)

Sophos Central API

Exporter: sophos-central-exporter auf VPS (Port 9788)
Auth: Client Credentials (2-stufig: Token → whoami → Tenant-URL)
Credentials: /home/ak/.env.sophos

API-Zugriff

Beide Firewalls haben API-Zugriff fuer diese IPs freigeschaltet (seit 31.03.2026): - 178.104.125.96 (VPS extern) - 10.244.2.2 (VPS OpenVPN)

API-URL: https://{IP}:4444/webconsole/APIController Auth: XML-basiert (Username/Password im Request-Body) API-Version: 2200.1

Verfuegbare API-Module

Modul	Beschreibung
User	Benutzer auflisten/verwalten
Interface	Netzwerk-Interfaces
Zone	Firewall-Zonen
AdminSettings	Admin-Einstellungen
SystemServices	Dienst-Status
LocalServiceACL	Lokale Dienst-ACLs

Nicht verfuegbar per API: Firewall-Regeln, NAT-Regeln, VPN-Konfiguration, CAPTCHA-Einstellung, API-ACL.

Benutzer

Standort A (XGS 40.1) — 6 Benutzer

Username	Typ	Beschreibung
admin	Super Admin	Built-in
ankn	Administrator	Testkennung ak (VPN)
ankn-vps	User	VPS-Kennung
aknorr	User	andreas.knorr@creative-kirche.de
cenesco	User	cenesco@creative-kirche.de
mvolkmann	User	marcel.volkmann@creative-kirche.de
bsieper	User	bernd.sieper@creative-kirche.de

Standort B (XGS 30.1) — 1 Benutzer

Username	Typ	Beschreibung
admin	Super Admin	Built-in
cenesco	User	it@creative-kirche.de

Hinweise

CAPTCHA ist auf der 40er aktiviert (globale Einstellung, nicht pro Benutzer abschaltbar). Auf der 30er nicht.
XGS 30.1 hat keine Route zu 10.244.2.130 (rpp1). Syslog-Relay laeuft deshalb ueber SaltoServer (10.128.40.6).
Firewall-Regeln, NAT und VPN-Policies sind nur ueber die Web-UI oder Sophos Central konfigurierbar.

Erstellt: 01.04.2026 | Quellen: API-Abfragen, Monitoring-Konfiguration, CLAUDE.md