Wechseln zu:Navigation, Suche
Wiki

































De.png
En.png
Fr.png






Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
Letzte Anpassung zur Version: 12.5.0
Neu:
Zuletzt aktualisiert:
12.6.2 (Neue Funktion zum Absichern der genutzten Ports: Connection Rate Limit)
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.4 12.2.5 12.2.3 11.8 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ VPN →IPSecReiter Verbindungen


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.




Konfiguration einer nativen IPSec Verbindung

Neue Verbindungen werden im Menü → VPN →IPSecReiter Verbindungen mit der Schaltfläche IPSec Verbindung hinzufügen hinzugefügt.

Einrichtungsassistent

Verbindungstyp
Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung UTMv11.8.8 IPSEC Assitent1.png
Einrichtungsschritt 1
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein
Schritt 2 - Allgemein
Name: IPSec Roadwarrior Name für die Verbindung UTMv12.2.4 IPSEC S2E ikev2 Assitent2.png
Einrichtungsschritt 2
Verbindungstyp: IKEv1 - Native Mögliche Verbindungstypen:
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native
IKEv1 - L2TP

notempty
Neu ab: 12.4

Der Verbindungstyp IKEv1 - L2TP ist nur auswählbar, wenn L2TP auf Autostart steht, oder explizit im Admininterface aktiviert wird.
L2TP aktivieren unter: → Extras →Erweiterte EinstellungenReiter Ausgeblendete Funktionen L2TP aktivieren: Ja Ausgeblendete Menüschaltflächen aktivieren: Strg + Alt + A

Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
notempty
Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:

Lokal – IKEv1
Schritt 3 - Lokal - IKEv1
Local Gateway ID:     Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt
UTMv12.2.4 IPSEC IKEv1 Assitent3.png
Einrichtungsschritt 3 - IKEv1
Authentifizierungsmethode: Pre-Shared Key Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
RSA Ein vorhandener privater RSA-Schlüssel wird verwendet
Pre-Shared Key:     Ein beliebiger PSK
X.509 Zertifikat:
Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS
Server-Zertifikat Auswahl eines Zertifikates
Privater RSA-Schlüssel: IPSec Key Auswahl eines RSA-Schlüssels
Netzwerke freigeben:
Nur bei IKEv1 - Native
192.168.250.0/24 Netzwerke für die IPSec-Verbindung freigeben

Lokal – IKEv2
Schritt 3 - Lokal - IKEv2
Local Gateway ID:     Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt
UTMv12.2.4 IPSEC Assitent3.png
Einrichtungsschritt 3 - IKEv2
Authentifizierungsmethode: Pre-Shared Key Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
RSA Ein vorhandener privater RSA-Schlüssel wird verwendet
EAP-TLS Nur bei IKEv2 EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
Pre-Shared Key:     Ein beliebiger PSK
Erstellt einen sehr starken Schlüssel
Kopiert den PSK in die Zwischenablage
X.509 Zertifikat:
Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS
Server-Zertifikat Auswahl eines Zertifikates
Privater RSA-Schlüssel: IPSec Key Auswahl eines RSA-Schlüssels
Netzwerke freigeben: 192.168.250.0/24 Netzwerke für die IPSec-Verbindung freigeben

Gegenstelle – IKEv1
Schritt 4 - Gegenstelle - IKEv1
Öffentlicher RSA-Schlüssel:
Nur bei Authentifizierungsmethode RSA
IPSec Key Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle UTMv12.2.4 IPSEC S2E ikev1 Assitent4.png
Einrichtungsschritt 4 - IKEv1
IP-Adresse / Pool:
Nur bei IKEv1 - XAuth
192.168.22.35/24 IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
Öffne Benutzerdialog nach Beendigung:
Nur bei
  • IKEv1 - L2TP und
  • IKEv1 - XAuth
Ja Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.
Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte.
Remote Gateway ID:
Nur bei IKEv1 - Native
192.0.2.192
oder
Mein_Roadwarrior
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
  
IP-Adresse(n):
Nur bei IKEv1 - Native
192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.

  • Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.

  • Gegenstelle – IKEv2
    Schritt 4 - Gegenstelle - IKEv2
    Öffentlicher RSA-Schlüssel:
    Nur bei Authentifizierungsmethode RSA
    IPSec Key Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle UTMv12.2.4 IPSEC S2E ikev2 Assitent4.png
    Einrichtungsschritt 4 - IKEv2
    IP-Adresse / Pool: 192.168.22.35/24 IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
    Authentifizierungsmethode:
    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
    Zertifikat Ein vorhandenes Zertifikat wird verwendet
    EAP-MSCHAPV2 EAP-MSCHAPV2 wird verwendet
    EAP-TLS EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
    X.509 Zertifikat:
    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
    IPSec Cert Das Zertifikat für die Gegenstelle
    Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
    Benutzergruppe:
    Nur bei EAP-MSCHAPv2
    IPSec Benutzergruppe Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden.
    Beenden des Einrichtungsassistenten mit Fertig


    Regelwerk

    Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Implizite Regeln

    notempty
    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN

    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic
    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekte
    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt
    Typ VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe
    Portfilter Regeln
    UTM v11.8.8 Portfilter-Regel IPSec-ikev1.png
    Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
    Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
    Die erste Regel ermöglicht, dass der IPSec-Tunnel überhaupt aufgebaut wird.
    Quelle World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Ziel Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    Dienst Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec
    Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
      

    Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Quelle Vpn-network.svg IPSec Roadwarrior Roadwarrior-Host oder -Netzwerk
    Ziel Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe

    Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
    Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

    Notwendige Änderungen, bei Verwendung eines NCP- oder Greenbow-Clients:

    • UTM
      • Diffie-Hellman Group (Phase 1)
      • DH-Gruppe (PFS) (Phase 2)
        oder
    • NCP- oder Greenbow-Client:
      • IKE-DH-Gruppe
    Bei Verwendung von IKEv1 außerdem:
    • NCP- oder Greenbow-Client:
      • Austausch-Modus: Main Mode (IKEv1)
      • Config_mode aktivieren



    Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:


    IKEv1

    Step-by-step.png





    notempty
    Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

    notempty
    Der Artikel für die neueste Version steht hier

    notempty
    Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht




























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):

































    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 1
    Allgemein

    Reiter Allgemein

    Beschriftung Wert Beschreibung UTMv12.2.4 IPSec RW IKEv1 Phase1.png
    Phase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default
    Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten:
    Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren: notempty
    Neu ab v12.4

    Bei Startverhalten Route
    Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
  • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
  • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja
    Default
    Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.5.1 IPSec S2E IKEv1 Phase1 IKE.png
    Phase 1 IKEv1
    UTM v12.5.1 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Neuer Default Wert ab v12.5.1
    Reiter IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Schwache Algorithmen anzeigen: notempty
    Neu ab v12.5
    Aus Zeigt in den Auswahldialogen auch Algorithmen an, die als schwach gelten und die nicht verwendet werden sollten.
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: notempty
    Änderung ab v12.5
    Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: notempty
    Neu ab: v12.4
    notempty
    Änderung ab v12.5
    2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
      
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      

    Phase 2
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 2
    Allgemein

    Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.5.1 IPSec S2E IKEv1 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv1 / Roadwarrior
    UTM v12.5.1 IPSec S2E IKEv2 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv2 / Roadwarrior
    UTM v12.5.1 IPSec S2S IKEv1 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv1 / S2S
    UTM v12.5.1 IPSec S2S IKEv2 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv2 / S2S
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Neuer Default Wert ab v12.5.1
    Diffie-Hellman Gruppe: Keine IKE DH-Gruppe: DH2 (modp1024)
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
  • Reiter Allgemein: Weitere Einstellungen

    Schwache Algorithmen anzeigen: notempty
    Neu ab v12.5
    Aus Zeigt in den Auswahldialogen auch Algorithmen an, die als schwach gelten und die nicht verwendet werden sollten.
    Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
  • Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
  • Subnetzkombinationen gruppieren: Ja

  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
  • Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz.
  • Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
  • Adress-Pool

    Reiter Adress-Pool
    Beschriftung Wert Beschreibung UTM v12.2.4 IPSec S2S Phase2 4Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP
    192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Reiter Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
  • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
       local:  %any
       remote: 192.0.2.192
       local pre-shared key authentication:
         id: 192.168.175.218
       remote pre-shared key authentication:
         id: 192.0.2.192
       IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.193.0/24
       IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.193.0/24
    

    UTM v12.2 IPSec S2S Phase2 4Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.192.0/24
     IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.193.0/24
     IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.219.0/24
       remote: 192.168.192.0/24
    

    UTM v12.2 IPSec S2S Phase2 3Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt


    IKEv2

    Step-by-step.png





    notempty
    Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

    notempty
    Der Artikel für die neueste Version steht hier

    notempty
    Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht




























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):

































    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 1
    Allgemein

    Reiter Allgemein

    Beschriftung Wert Beschreibung UTMv12.2.4 IPSec IKEv2 Phase1 Allgemein.png
    Phase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default
    Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten:
    Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren: notempty
    Neu ab v12.4

    Bei Startverhalten Route
    Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
  • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
  • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja
    Default
    Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.5.1 IPSec S2E IKEv1 Phase1 IKE.png
    Phase 1 IKEv1
    UTM v12.5.1 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Neuer Default Wert ab v12.5.1
    Reiter IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Schwache Algorithmen anzeigen: notempty
    Neu ab v12.5
    Aus Zeigt in den Auswahldialogen auch Algorithmen an, die als schwach gelten und die nicht verwendet werden sollten.
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: notempty
    Änderung ab v12.5
    Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: notempty
    Neu ab: v12.4
    notempty
    Änderung ab v12.5
    2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
      
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      

    Phase 2
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 2
    Allgemein

    Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.5.1 IPSec S2E IKEv1 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv1 / Roadwarrior
    UTM v12.5.1 IPSec S2E IKEv2 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv2 / Roadwarrior
    UTM v12.5.1 IPSec S2S IKEv1 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv1 / S2S
    UTM v12.5.1 IPSec S2S IKEv2 Phase2 Allgemein.png
    Phase 2 / Reiter Allgemein mit / IKEv2 / S2S
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Neuer Default Wert ab v12.5.1
    Diffie-Hellman Gruppe: Keine IKE DH-Gruppe: DH2 (modp1024)
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
  • Reiter Allgemein: Weitere Einstellungen

    Schwache Algorithmen anzeigen: notempty
    Neu ab v12.5
    Aus Zeigt in den Auswahldialogen auch Algorithmen an, die als schwach gelten und die nicht verwendet werden sollten.
    Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
  • Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
  • Subnetzkombinationen gruppieren: Ja

  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
  • Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz.
  • Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
  • Adress-Pool

    Reiter Adress-Pool
    Beschriftung Wert Beschreibung UTM v12.2.4 IPSec S2S Phase2 4Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP
    192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Reiter Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
  • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
       local:  %any
       remote: 192.0.2.192
       local pre-shared key authentication:
         id: 192.168.175.218
       remote pre-shared key authentication:
         id: 192.0.2.192
       IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.193.0/24
       IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.193.0/24
    

    UTM v12.2 IPSec S2S Phase2 4Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.192.0/24
     IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.193.0/24
     IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.219.0/24
       remote: 192.168.192.0/24
    

    UTM v12.2 IPSec S2S Phase2 3Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt


































    Connection Rate Limit

    Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

    notempty

    Bei Connection Rate Limit handelt es sich um eine Beta-Funktion, die sich noch in der Entwicklung befindet.
    Bei zu gering gesetztem Rate Limit kann es zu unerwartete Effekten kommen, z.B. das ggfs. Dienste eingeschränkt werden können.

    notempty

    Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
    Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

    Die Funktion soll helfen Angriffe abzuwehren.
    SSL-VPN-Zugänge können so z.B. vor agressiven Scans oder Anmeldeversuchen geschützt werden.


    Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.

    Dabei gelten folgende Bedingungen:

    • Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
    • Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
    • Ein kurzfristiges Überschreiten des Limits führt nicht unmittelbar zu einer Sperrung
    • Die Sperrung einer IP-Adresse wirkt nur auf den Zugriff auf den Port, der zu oft genutzt wurde. Andere Ports können weiterhin erreicht werden.
    • Die Funktion ist bei Neuinstalaltionen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
    • Bei Updates muss die Funktion manuell aktiviert werden
    extc-Variable Default-Wert Beschreibung
    CONNECTION_RATE_LIMIT_TCP 0 Anzahl der zugelassenen TCP-Verbindungen einer IP-ADresse je Port
    0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
    CONNECTION_RATE_LIMIT_TCP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden.
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
    CONNECTION_RATE_LIMIT_UDP 20 / 0
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
      
    Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
    CONNECTION_RATE_LIMIT_UDP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!).
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

    Konfiguration mit CLI-Befehlen

    CLI-Befehl Funktion
    extc value get application securepoint_firewall
    Alternativ als root-User:
    spcli extc value get application securepoint_firewall | grep RATE
    Listet alle Variablen der Anwendung securepoint_firewall auf.
    Für das Connection Limit sind die Varaiblen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen.

    application |variable |value --------------------+-------------------------------+----- securepoint_firewall |… |… |CONNECTION_RATE_LIMIT_TCP |0 |CONNECTION_RATE_LIMIT_TCP_PORTS| |CONNECTION_RATE_LIMIT_UDP |20 |CONNECTION_RATE_LIMIT_UDP_PORTS|

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    system update rule
    Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
  • Soll der Wert geändert werden, muss er zunächst auf 0 gesetzt und ein Regelupdate durchgeführt werden. Anschließend kann ein neuer Wert eingetragen werden.
  • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0
    system update rule
    Deaktiviert die Überwachung von TCP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    system update rule
    Beschränkt die Überwachung von TCP-Verbindungenauf die Ports 443 und 11115
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ]
    system update rule
    Ein NULL-Wert hebt die Einschränkung auf bestimmte Ports auf
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    system update rule
    Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
  • Soll der Wert geändert werden, muss er zunächst auf 0 gesetzt und ein Regelupdate durchgeführt werden. Anschließend kann ein neuer Wert eingetragen werden.
  • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0
    system update rule
    Deaktiviert die Überwachung von UDP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ]
    system update rule
    Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195.
    (Beispielhaft für 2 angelgte SSL-VPN Tunnel.)
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule
    Ein NULL-Wert hebt die Einschränkung auf bestimmte Ports auf
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule

    notempty

    Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.

    Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.