Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png





UTM einrichten mit dem Installationsassistenten
Letzte Anpassung zur Version: 12.2.3
Neu:
  • IPv6 Prefix Delegation in Schritt 4 konfigurierbar
  • Die externe Schnittstelle ist per Default als DHCP-Client konfiguriert
  • Das Protokoll für den DHCP-Client auf dem external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) kann ausgewählt werden

Vorherige Versionen: 12.2 11.6


Vorbemerkungen

  • Üblicherweise erscheint der Installationsassistent bei der Ersteinrichtung der UTM.
    Hierbei wird überprüft, ob schon eine Konfiguration vorhanden ist, die als Startkonfiguration markiert ist. (Status )
    Ist das nicht der Fall öffnet sich der Assistent automatisch.
  • Ein nachträgliches Starten des Installationsassistenten ist nicht ratsam, da andere zwischenzeitlich getätigte Einstellungen dabei überschrieben werden können.

Installationsassistent

Schritt 1 - Allgemein

Beschriftung Wert Beschreibung UTM v12.2 Install-wizard-1.png
Schritt 1
Firewallname: firewall.ttt-point.local Hier geht es darum, wie sich die UTM gegenüber Anfragen meldet.
Wenn zum Beispiel das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den Fully Qualified Domain Name (FQDN) des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können.
  • Es geht in dieser Einstellung nicht um den Namen, unter dem die UTM in einer Active Directory Domäne geführt wird.Diese Einstellung wird im Menü Authentifizierung → AD/LDAP-Authentifizierung → Reiter Einstellungen Eintrag Appliance Account vorgenommen.
  • Globaler Ansprechpartner: Alina Admin In diesem Feld wird der Name des Administrators bzw. der Administratorin oder der Organisation eingetragen, welcher später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
    Globale E-Mail Adresse: admin@ttt-point.de An diese E-Mail Adresse werden wichtige Systemmeldungen verschickt.
    Sprache der Berichte: Deutsch
    Englisch
    Sprache, in der die Berichte und Systemmeldungen versendet werden

    Schritt 2 - Datenschutz

    Alle Anwendungen anonymisieren Ja Bei Aktivierung (Default) werden die Anwendungen der Appliance entsprechend der DSGVO anonymisiert.
    Unter → Authentifizierung →Datenschutz kann die Anonymisierung auch individuell für jede Anwendung aktiviert werden.
  • Sollte nur zum Debuggen deaktiviert werden.
  • UTM v12.2 Install-wizard-2.png
    Schritt 2

    Schritt 3 - Intern

    Interne Firewall IP-Adresse: 192.168.175.1/24 Die IP-Adresse der internen Schnittstelle ( A1 / eth1 / LAN2 - je nach verwendeter Hard- und Software ) sowie die Subnetzmaske (als CIDR-Notierung) für das interne Netzwerk UTM v12.2 Install-wizard-3.png
    Schritt 3 - mit WLAN-Modul
    Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen: Nein Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im internen Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
    WLAN Bridge generieren:
    Nur, falls ein WLAN-Modul vorhanden ist
    Nein Erstellt eine Bridge, so daß dieses Netzwerk und das WLAN im selben Netz liegen.
    Router Advertisement:
    Nur, falls kein WLAN-Modul vorhanden ist
    Nein Hat die UTM ein IPv6 Prefix erhalten, kann sie das Subnetz per Router Advertisement in dem Netzwerksegment hinter der Schnittstelle bekannt machen. (Siehe Artikel IPv6 Prefix Delegation)

    Schritt 4 - Internet

    Hier wird die Internetverbindung auf der externen Schnittstelle (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) konfiguriert.
    Es stehen folgende Varianten zur Auswahl:

    Verbindungstyp DSL-PPPoE
    Verbindungstyp: ‌ DSL-PPPoE 
    Bei diesem Typ wird ein ADSL- oder SDSL-Modem an der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) angeschlossen. Die Verbindung wird durch die UTM initiiert.
  • Es muss sich um ein DSL-Modem handeln.
    Ein Router kann unter diesem Verbindungstyp nur verwendet werden, wenn dieser in einen Modem-Modus versetzt werden kann.
  • Benutzername: (Teilt ISP mit) Die Zugangsdaten werden durch den ISP (Internet Service Provider) bereitgestellt UTM v12.2.3 Install-wizard-4-DSL.png
    Passwort: (Teilt ISP mit)
    IPv6 Prefix Delegation: Aus Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen.Beispiel:
    Vom ISP zugewiesenes Netz:
     2001:0db8:aaaa:bb::/56
    An internen Schnittstellen per Router Adviertisement verteilte Netze:
     2001:0db8:aaaa:bb00::/64
     2001:0db8:aaaa:bb01::/64
    Verbindungstyp VDSL
    Verbindungstyp: ‌ VDSL 
    Hierbei wird ein VDSL-Modem an der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) angeschlossen. Die Verbindung wird durch die UTM initiiert.
  • Ein Router kann unter diesem Verbindungstyp nur verwendet werden, wenn dieser in einen Modem-Modus versetzt werden kann und gewährleistet werden kann, dass die UTM die Verbindung initiiert.
  • Benutzername: (Teilt ISP mit) Die Zugangsdaten werden durch den ISP (Internet Service Provider) bereitgestellt UTM v12.2.3 Install-wizard-4-VDSL.png
    Passwort: (Teilt ISP mit)
    VLAN ID: 7 Wird vom jeweiligen Provider mitgeteilt.
    Die dt. Telekom verwendet üblicherweise in Deutschland z.B. die 7 als VLAN-ID.
    IPv6 Prefix Delegation: Aus Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen.Beispiel:
    Vom ISP zugewiesenes Netz:
     2001:0db8:aaaa:bb::/56
    An internen Schnittstellen per Router Adviertisement verteilte Netze:
     2001:0db8:aaaa:bb00::/64
     2001:0db8:aaaa:bb01::/64
    Verbindungstyp Ethernet mit statischer IP
    Verbindungstyp:‌ Ethernet mit statischer IP 
    Bei diesem Verbindungstyp wird ein Router an der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) angeschlossen, der selbst die Verbindung zum Internet initiiert. Die Zugangsdaten des Providers werden dazu in dem vorgeschalteten Router hinterlegt und nicht auf der UTM.
  • Dieser Verbindungstyp kann nicht für die Nutzung mit Modem oder Router im Modem Modus verwendet werden.
  • Externe IP-Adresse: 192.168.178.101/24 Die IP-Adresse der externen Schnittstelle (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) und der IP-Adressbereich für das externe Netzwerk (Subnetzmaske in CIDR Notierung). Vorgabe ist ggf. eine bereits vorhandene IP-Adresse.
    neu ab 12.2.3: Die externe Schnittstelle erhält per Default eine IP-Adresse über DHCP, sofern ein DHCP-Server im externen Netz vorhanden ist.
    UTM v12.2.3 Install-wizard-4-statisch.png
    Default Gateway: 192.168.178.1/---  IP-Adresse des Standard-Gateways für die UTM, damit diese weiß, welches der nächste Router für alle Netze ist, die nicht an einer internen Schnittstelle anliegen: In der Regel: Das Internet.
    IPv6 Prefix Delegation: Aus Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen.Beispiel:
    Vom ISP zugewiesenes Netz:
     2001:0db8:aaaa:bb::/56
    An internen Schnittstellen per Router Adviertisement verteilte Netze:
     2001:0db8:aaaa:bb00::/64
     2001:0db8:aaaa:bb01::/64
    Verbindungstyp Kabelmodem mit DHCP
    Verbindungstyp: ‌ Kabelmodem mit DHCP 
    z.B.: DSL-Anschluss über Telefonleitung mit Fritzbox oder Speedport Router.
    Ursprünglich meist Geräte, die Kabelanbieter ihren Kunden zur Verfügung stellten.
    Auch bei diesem Verbindungstyp wird ein Router an der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) angeschlossen, der selbst die Verbindung zum Internet initiiert. Die Zugangsdaten des Providers werden dazu in dem vorgeschalteten Router hinterlegt und nicht auf der UTM.
  • Dieser Verbindungstyp kann nicht für die Nutzung mit Modem oder Router im Modem-Modus verwendet werden.
  • UTM v12.2.3 Install-wizard-4-DHCP.png
    DHCP Client: IPv4 Auswahl, mit welchem Protokoll die Schnittstelle IP-Adressen vom vorgelagerten Router mit DHCP-Server erhält.
    IPv6
    IPv4 & IPv6
    IPv6 Prefix Delegation: Aus Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen.Beispiel:
    Vom ISP zugewiesenes Netz:
     2001:0db8:aaaa:bb::/56
    An internen Schnittstellen per Router Adviertisement verteilte Netze:
     2001:0db8:aaaa:bb00::/64
     2001:0db8:aaaa:bb01::/64
    Verbindungstyp LTE / andere
    Verbindungstyp: ‌ LTE / andere 
    LTE-Verbindungen oder andere Zugänge werden nach Abschluss des Installationsassistent konfiguriert

    Schritt 5 - DMZ

    Konfiguration eines zweiten internen Netzes, oft als Demilitarisierte Zone: Üblicherweise ein Netzwerk, das vom internen Netzwerk getrennt ist. bezeichnet.
    In der UTM sind alle Netze per Default voneinander getrennt.

    DMZ IP-Adresse: 192.168.176.1/24 Die IP-Adresse der Schnittstelle A2 sowie die Subnetzmaske (als CIDR-Notierung) für das DMZ-Netzwerk UTM v12.2 Install-wizard-5-Bridge.png
    Schritt 5 mit WLAN
    Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen: Nein Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im DMZ Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
    Autogenerierte Regeln: Nein Es können automatisch Portfilterregeln für dieses Netzwerk angelegt werden, die den Datenverkehr ins Internet auf der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) freigeben.
    Ebenso werden Regeln angelegt, die auch den Datenverkehr aus dem internen Netzwerk in das DMZ-Netz zulassen.
  • Diese Regeln geben alles aus diesem Netzwerk in das Internet und in andere interne Netzwerke frei.
    Diese any Regeln sind für Testzwecke gedacht, sollten aber im Produktiv-Betrieb deaktiviert und durch genau definierte Regeln ersetzt werden.
  • WLAN Bridge generieren:
    Nur, falls ein WLAN-Modul vorhanden ist
    Nein Erstellt eine Bridge, so daß dieses Netzwerk und das WLAN im selben Netz liegen.
    Router Advertisement: Nein Hat die UTM ein IPv6 Prefix erhalten, kann sie das Subnetz per Router Advertisement in dem Netzwerksegment hinter der Schnittstelle bekannt machen. (Siehe Artikel IPv6 Prefix Delegation)

    Schritt 6 - WLAN

    Im Auslieferungszustand ist ein WLAN-Modul in der UTM verbaut.
    Sollte das Modul entfernt worden sein, wird dieser Schritt übersprungen.

  • Für die dauerhafte Nutzung von WLAN (>30 Tage) ist eine Lizenz erforderlich
  • WLAN IP-Adresse:
    Nicht im Bridge Modus
    192.168.177.1/24 Die IP-Adresse des WLAN-Interfaces (wlan0) sowie die Subnetzmaske (als CIDR-Notierung) für das WLAN-Netzwerk.
    Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.
    UTM v12.2 Install-wizard-6.png
    Schritt 6: WLAN Dialog ohne Bridge Konfiguration

    UTM v12.2 Install-wizard-6 Bridge.png
    Schritt 6: WLAN Dialog bei Nutzung einer Bridge
    Ländercode: DE Über den Ländercode wird ermittelt, welche Frequenzen und welche Signalstärken verwendet werden dürfen.Die genutzten Frequenzen und die Sendeleistung lassen sich in einem Wikipedia-Artikel nachlesen.
    SSID: TTT-POINT Der Service Set Identifier (SSID) bezeichnet den Namen unter dem sich das WLAN-Netz den Clients zeigt. Dieser muss in jedem Fall eingegeben werden.
    SSID Broadcast: Ein Mit dieser Option kann definiert werden, ob das WLAN-Netz für jeden Client zu sehen ist, oder ob die Übertragung der SSID unterdrückt werden soll. (Aus)
    Sicherheitsmodus WPA Gilt als unsicher und ist lediglich aus Gründen der Abwärtskompatibilität vorhanden. (Verwendet TKIP als Verschlüsselungsmethode)
    WPA2 Standard mit erhöhter Sicherheit Verwendet AES128 als Verschlüsselungsmethode: https://de.wikipedia.org/wiki/WPA2
    WPA3 v12 Standard mit höchster verfügbarer Sicherheit Verwendet AES256 als Verschlüsselungsmethode und das SAE Verfahren: https://de.wikipedia.org/wiki/WPA3
    Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen:
    Nicht im Bridge Modus
    Aus Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im WLAN Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
    Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.
    Pre-Shared Key: Don'tcopythis:Ei)#W~X$… Basisstation und Mobilgerät müssen über den selben PSK (≙Kennwort) verfügen. Die Sicherheit der Verschlüsselung hängt unmittelbar von der Länge und der Komplexität des PSKs ab!
  • Kurze oder leicht zu erratende PSKs gefährden die Netzwerksicherheit.
  • Erzeugt automatisch einen sehr starken PSK
    Regeln für Internetzugriff generieren:
    Nicht im Bridge Modus
    Aus Es können automatisch Portfilterregeln für dieses Netzwerk angelegt werden, die den Datenverkehr ins Internet auf der Schnittstelle zum external interface (A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software ) freigeben. Ebenso werden Regeln angelegt, die auch den Datenverkehr aus dem Internen Netzwerk in das WLAN-Netz zulassen.
  • Diese Regeln geben alles aus diesem Netzwerk in das Internet und in andere interne Netzwerke frei.
    Diese any Regeln sind für Testzwecke gedacht, sollten aber im Produktiv-Betrieb deaktiviert und durch genau definierte Regeln ersetzt werden.

  • Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.

    Schritt 7 - Administrator

    Benutzer admin Der Benutzername admin kann an dieser Stelle nicht verändert werden UTM v12.2 Install-wizard-7.png
    Passwort: ••••••• Das Admin Passwort insecure ist schon deshalb unsicher, weil es in allen Dokumentationen zu unserer UTM auftaucht und muss daher schnellst möglich gegen ein sehr starkes Admin Passwort ersetzt werden. Das neue Kennwort muss die Kennwortrichtlinien erfüllen.































    Kennwörter müssen folgende Kriterien erfüllen:
    • mindestens 8 Zeichen Länge
    • mindestens 3 der folgenden Kategorien:
      • Großbuchstaben
      • Kleinbuchstaben
      • Sonderzeichen
      • Ziffern
    Passwort bestätigen: •••••••
    Fertig
    • Der Assistent wird abgeschlossen
    • Es wird eine neue Konfiguration angelegt mit dem Namen configuration-wizard-Datum-Uhrzeit
    • Diese Konfiguration wird als Startkonfiguration gesetzt
    • Diese Konfiguration wird als aktive Konfiguration gesetzt

    Neustart

    → Konfiguration →Neu starten

    Wollen Sie das Gerät jetzt neu starten? Ja Damit die Konfigurations-Änderungen übernommen werden, müssen die jeweiligen Dienste in der richtigen Reihenfolge neu gestartet werden.
    Das wird durch einen Neustart des Gerätes erreicht.
    UTM v12.2 Install-wizard-neustart.png
    Wurde die eigene IP-Adresse geändert, um das Admin Interface der UTM zu erreichen, und in Schritt 3 - Intern die Vorgabe geändert, befindet sich die interne Schnittstelle der UTM nun in diesem Netz.

    Zur weiteren Konfiguration muss die IP-Adresse des eigenen Rechners dann erneut geändert werden.
    Siehe dazu den Wiki Artikel zur ersten Anmeldung