Fehleranalyse UTM

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


Informationen

Letzte Anpassung zur Version: 11.7.12
Bemerkung: Neuer Artikel
Vorherige Versionen: -

Einleitung

Im Fehlerfall sind folgende Schritte notwendig, damit eine korrekte Fehleranalyse von unserem Support durchgeführt werden kann.

Hinweise

Um einen ordnungsgemäßen Betrieb sicherzustellen, darf das UTM-System nicht ohne ordentliches Herunterfahren stromlos gemacht werden. Ansonsten kann es zu Beschädigungen oder Beeinträchtigungen kommen. Die UTM kann wie folgt ordnungsgemäß heruntergefahren werden.

  • Über das Webinterface (Konfiguration -> Herunterfahren)
  • Über die Powertaste am Gerät
  • Via SPCLI (system poweroff)
  • Via SSH (spcli system poweroff)


Alert-yellow.png
Ein Semikolon ";“ steht für die Eingabe-Taste.


Alert-yellow.png
Auf Terra-Cloud Firewalls kann kein Benutzer "root" erstellt werden, hierfür muss der Support kontaktiert werden.

Vorbereitung

Ein Benutzer mit dem Namen "root", freiwählbaren Passwort und der Gruppe "Administrator" muss auf der Firewall erstellt werden. Login via SSH (z.B. PuTTy) auf der Firewall mit dem Benutzer "root".

Wie ein Benutzer über das Webinterface erstellt wird, ist hier zu finden.

Alert-red.png
Das Passwort "insecure" ist kein sicheres Passwort.

Erhöhen der Syslog-Einträge

spcli; syslog backlog set type messages limit 100000; system config save;

Freigabe der Securepoint IP für eine Fehleranalyse von extern.

manager new hostlist 87.139.55.127/32;

Anschließend die SSH-Verbindung trennen.

Alert-red.png
Es muss sichergestellt werden, dass die Ports 11115 und 22 von einem davorstehenden Router auf die UTM weitergeleitet werden.

Fehleranalyse

Im Fehlerfall bitte folgendes testen und dokumentieren.

  • Pingtest auf die IP der UTM (eth1)
  • Traceroute auf die IP der UTM (eth1)
  • Login UTM via SSH
  • Login UTM via Webbrowser (Bitte mit mindestens zwei Browsern testen)
  • Login UTM via Monitor und Tastatur an der UTM

Wenn der Login via SSH oder Monitor und Tastatur klappen sollte, bitte Folgendes durchführen.

Prüfen der Schnittstellen

ip a;

Hier sollten folgende Informationen angezeigt werden, wobei die IPs, Interface und MAC-Adressen abweichen können. Hier bitte überprüfen, ob die Ports „NO-CARRIER“, „DOWN“ oder „UP“ anzeigen.

root@firewall:~# ip a
5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff
inet 10.10.10.2/24 scope global eth0
valid_lft forever preferred_lft forever
7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 21:22:23:24:24:26 brd ff:ff:ff:ff:ff:ff
inet 192.168.175.1/24 scope global eth1
valid_lft forever preferred_lft forever
8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff

Prüfen der Interface Adressen

spcli; interface address get;

Hier sollten folgende Informationen angezeigt werden, wobei die IDs und IPs abweichen können. Hier bitte prüfen, ob die Interfaces ONLINE sind.

firewall.foo.local> interface address get
id|flags  |device|address
–+——-+——+——-
16|ONLINE |eth0  |10.10.10.2/24
5 |ONLINE |eth1  |192.168.175.1/24

PING-Test ins Internet

exit; tcpdump -i eth1 -nnp proto 1;

Anschließend wird ein Ping auf die IP "9.9.9.9" von einem Gerät, welches sich hinter eth1 befindet und die UTM als Gateway eingetragen hat, durchgeführt.

Hier sollten folgende Informationen angezeigt werden, wobei die IPs abweichen können. Hier bitte prüfen, ob der ICMP echo request und der ICMP echo reply an der Schnittstelle ankommt.

root@firewall:~# tcpdump -i eth1 -nnp proto 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:32:43.051837 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 9, length 64
08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64
08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64
08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64

Dokumentation

Die Ergebnisse müssen dokumentiert werden, auch wenn diese fehlschlagen sollten. Ebenfalls ist es wichtig, dass Meldungen die möglicherweise beim Login auf der UTM angezeigt, auch dokumentiert werden. Anschließend bitte ein Supportticket über das Resellerportal erstellen und das Protokoll bereithalten.