Letzte Anpassung: 07.2022
- Verweis auf VoIP-FAQ für SIP-Helper
- MAC-Adresse einer Schnittstelle bestimmen
- Interface umbenennen per CLI
Allgemein
Zugangsdaten
Die Zugangsdaten zur UTM sind nicht mehr bekannt. Kann das Passwort zurückgesetzt werden?- Antwort
- Lösung
Nach Rücksicherung der Konfiguration der UTM kann das Passwort angepasst werden.
Für diesen Vorgang wird ein Backup der aktuellen Konfiguration benötigt.
Ersteinrichtung
Was ist vor der Ersteinrichtung zu empfehlen?- Antwort
CLI-Befehle
Gibt es eine Dokumentation der CLI-Befehle?- Antwort
Durchsatzraten
Gibt es Angaben zu den Durchsatzraten der unterschiedlichen Appliances?- Antwort
Servereinstellungen werden nicht gespeichert
Servereinstellungen können aufgrund fehlenden SNMP Eintrag nicht gespeichert werden.- Ursache
- Lösung
SIM PIN--Abfrage deaktivieren
Wie kann die Abfrage der SIM PIN deaktiviert werden?- Antwort
Dies ist hier beschrieben.
UTM Image installieren
Wie kann das UTM Image auf einer UTM installiert werden?- Antwort
Zertifikate konvertieren
Wie kann ein Zertifikat konvertiert werden?- Antwort
- Konvertierung DER (.crt .cer .der) zu PEM: openssl x509 -inform der -in certificate.cer -out certificate.pem
- Konvertierung PEM zu DER: openssl x509 -outform der -in certificate.pem -out certificate.der
- Konvertierung PKCS#12 (.pfx .p12) mit Private Key und Zertifikaten zu PEM: openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
- Konvertierung PEM mit Private Key zu PKCS#12 (.pfx .p12): openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
Mit -nocerts wird nur der Private key ausgegeben
Ungewollter Aufruf von speedport.ip
HTTP-Seiten werden auf speedport.ip umgeleitet- Ausgangslage
- Erklärung
- Ursache
- Lösung
- Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen.
- Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig:
- Unter Zonen Schaltfläche muss eine Forward-Zone mit folgenden Einstellungen hinzugefügt werden:
- Zonenname: speedport.ip
- Nameserver Hostname: ns
- IP-Adresse: Den Nameserver wollen wir selber stellen.
Reiter - Unter Einträge findet sich nun ein Typ mit dem Wert ns. Der Punkt hinter dem ns muss entfernt werden.
Die soeben angelegte Foreward-Zone muss anschließend noch bearbeitet werden:
- Nun müssen noch zwei A-Records angelegt werden:
- 1. A-Record:
- Name: ns
- Typ:
- Wert: IP des internal-interface
Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann.
Dies funktioniert nur wenn die Clients die Securepoint UTM als DNS-Server eingetragen haben.
- 2. A-Record:
- Name: speedport.ip.
- Typ:
- Wert: IP des Speedports Routers.
- 1. A-Record:
- Unter Zonen Schaltfläche muss eine Forward-Zone mit folgenden Einstellungen hinzugefügt werden:
PPPoE auf Router Verbindung umstellen
Was ist bei der Umstellung der Internet-Verbindung von einer PPPoE-Verbindung auf eine Router-Verbindung zu beachten?- Antwort
PPPoE-Zugangsdaten auslesen
Können die PPPoE-Zugangsdaten ausgelesen werden?- Antwort
LOAD
Was genau bezeichnet der LOAD?- Antwort
- LOAD bezeichnet die Anzahl Prozesse, die gleichzeitig auf eine Verarbeitung (CPU oder IO) warten oder ausgeführt werden.
- Die Anzahl ist immer Ganzzahlig - im Gegensastz zum Load Average, dem Durchschnittsawert der letzten 1, 5 oder 15 Minuten
- Ist der LOAD Average über einen längeren Zeitraum höher als die Anzahl der Prozessoren bzw. der Threads in allen Prozessoren eines Systems, wird das System ausgebremst.
- Kurzfristige Spitzen sind nicht unüblich
- Der Load-Average sollte mittelfristig nicht über 3/4 der Prozessorzahl liegen
Netzwerk
Netzwerktraffic auswerten
Wie kann der Netzwerktraffic ausgewertet werden?- Antwort
Mit einem SSH-Programm und dem Benutzer "root" stehen noch folgende Möglichkeiten zur Verfügung:
IPSec Verbindung baut sich nicht auf
Die IPSec Verbindung baut sich nicht auf- Antwort
- Prüfen ob die Empfehlungen eingehalten wurden → IPSec S2S Empfehlungen
- Die Logmeldungen im Livelog überprüfen → IPSec Troubleshooting
- Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?
- Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen:
tcpdump -i eth0 -nnp host IP-Adresse des Remote Gateways
Keine Kommunikation bei einer Site2Site Verbindung
Die Site-to-Site Verbindung steht, aber die Kommunikation geht nicht- Antwort
- Zunächst sollte geprüft werden, ob Portfilterregeln für die Netzwerke erstellt sind.
Bei IPSec Verbindungen sollte in den Impliziten Regeln beide Optionen aktiviert sein. - Wenn Pakete mit dem Port 80 (HTTP) nicht ankommen kann der Transparente HTTP-Proxy die Pakete abfangen. Dafür muss dann ein Exclude erstellt werden.
- Das Zielgerät kann die Pakete ggf. nicht annehmen, da diese aus einem anderen Subnet kommen. Entweder die Firewall des Ziels anpassen oder aber eine Portfilterregel mit einem HideNat auf das Interne Interface erstellen.
Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.
Beispiel für ein tcpdump auf der Schnittstelle eth1, wobei man die IP-Adressen und Ports sieht und Pakete mit dem Protokoll 1 (ICMP Echo Request) filtert: tcpdump -i eth1 -nnp proto 1
HTTPS-Webseiten werden nicht vom Webfilter erfasst
HTTP-Webseiten werden vom Webfilter gefiltert, HTTPS nicht- Ursache
- Lösung
Verbindungsabbrüche bei Lancom-Routern
Abbrüche bei VPN Verbindungen mit vorgeschalteten Lancom Router- Lösung
Interface umbenennen
Wie kann ich ein Interface der UTM umbennen?- Lösung
1. ID des Interfaces ermitteln:
interface get id |name |type |flags |qos |zones |options |adi |state 156|A0.7 |VLAN | | | |vlan_id=7,vlan_parent=A0 |mac=00:01:02:03:04:05,mtu=1500 |UP
2. Mit ID kann dann der Name angepasst werden:
interface rename id 156 name A99.7
3. Prüfung
interface get id |name |type |flags |qos |zones |options |adi |state 156|A99.7 |VLAN | | | |vlan_id=7,vlan_parent=A0 |mac=00:01:02:03:04:05,mtu=1500 |UP
MAC-Adresse bestimmen
Wie kann ich die MAC-Adresse einer Schnittstelle der UTM herausfinden?
- Antwort
iTunes zulassen
Wie kann ich den online-Zugang für iTunes sicherstellen?
- Antwort
Folgende Einträge sind in der Virenscanner-Allowlist des HTTP-Proxys notwendig, damit iTunes in bestimmten Setups korrekt mit dem Internet kommunizieren kann:
^[^:]*://[^\.]*\.service\.gracenote\.com/ ^[^:]*://[^\.]*\.mgr-mid\.gcsp\.cddbp\.net/ ^[^:]*://[^\.]*\.mgr\.gcsp\.cddbp\.net/ ^[^:]*://[^\.]*\.gcsp\.cddbp\.net/ ^[^:]*://[^\.]*\.cddbp\.net/ ^[^:]*://updates-http\.cdn-apple\.com/
Firewall
SIP-Helper laden / entladen
Wie können die SIP-Helper entladen / geladen werden?- Antwort
- Das Laden der SIP-Helper per CLI sollte eigentlich nicht mehr erforderlich sein.
Dies geschieht automatisch mit der Verwendung der Dienstegruppe VoIP im Portfilter.
Weitere Angaben dazu unter VoIP FAQ
debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323
Laden der SIP-Helper über CLI:
debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323
Anschließend als root-user per ssh den Befehl conntrack -F mehrmals ausführen
Authentifizierung
SSL-VPN mit OTP
Bei aktivierter OTP-Funktion muss der Benutzer sich nach einer Stunde manuell authentifizieren.- Ursache
- Lösung
- Achtung: Wird die Renegotiation erhöht, werden mehr Daten mit den gleichen Keys verschlüsselt.
Allgemein Renegotiation
→ SSL-VPN-Instanz bearbeiten → Reiter
Fehlermeldung bei AD Anbindung
Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung Failed to join domain: failed to set machine spn: Constraint violation angezeigt.- Lösung
Danach kann die UTM erneut in das Active Directory eingebunden werden.
Keine E-Mail Adressen per LDAP Abfrage
Das Abfragen von E-Mail Adressen per LDAP funktioniert nicht.- Lösung
Update
Online Update nur verzögert
Warum erhält die UTM das Online-Update nicht direkt nach der Freigabe des Updates?- Antwort
Der genaue Zeitraum ist in der Ankündigung im Support-Forum ersichtlich.
Dieser Vorgang erfolgt automatisiert und kann nicht manuell beeinflusst werden.
- Lösung