Securepoint Wiki - Benutzerbeiträge [de]

UTM/VPN/IPSec-S2S v11.7

2015-10-28T13:01:40Z

Alexanders:

{{v11}}

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien finden sich Informatonen auf folgender Seite [[grafische Übersicht möglicher IPSec Verbindungen| Grafische Übersicht möglicher IPSec Verbindungen]].

Die Einstellungen können entweder über das Web-Interface oder über das Securepoint Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.

== Mit der Appliance verbinden ==

Über einen Webbrowser wird das Administrations-Webinterface der Securepoint Appliance aufgerufen. Die aufzurufende Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Wurden die Grundeinstellungen beibehalten, lautet die Adresse:

https://192.168.175.1:11115
Hierbei sollte beachtet werden, dass das Protokoll HTTPS verwendet werden muss.

Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, fragt der Webbrowser nach, ob der Vorgang fortgesetzt werden soll.

Es ist nötig, diese Sicherheitsabfrage zu bestätigen.

Anschließend kann die Anmeldung an der Hauptseite mit dem entsprechenden Benutzernamen und Kennwort erfolgen.

Werkseinstellung:

Benutzername: admin 
Kennwort: insecure

[[Datei:login.png|none|thumb|300px|Login]]

== Das Anlegen von Netzwerkobjekten ==
Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.

Wird eine dynamische IP-Adresse in Verbindung mit einem DynDNS-Dienst genutzt, sollte sichergestellt werden, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. In diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.

=== Netzwerkobjekt anlegen ===
Um ein Netzwerkobjekt anzulegen muss in der Navigationsleise auf den Punkt Firewall geklickt werden und der Eintrag Portfilter aus dem Drop-down-Menü ausgewählt. Anschließend wird in diesem Fenster auf den Reiter Netzwerkobjekte gewechselt.

Folgende Objekte sind vorkonfiguriert:

external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network

# Ein Netzwerkobjekt für das IPSec Netzwerk wird angelegt, indem auf der Button Objekt hinzufügen betätigt wird
# Im Feld Name wird eine Bezeichnung für das IPSec-Netzwerk eingetragen
# Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des IPSec Netzwerkes eingetragen
# Als Zone wird vpn-ipsec ausgewählt
# Die Einstellungen werden mit dem Button Speichern gesichert.

[[Datei:netzwerkobjekt_iüpsec_object.png|none|thumb|300px|Netzwerkobjekt]]

=== VPN-Verbindung anlegen ===

Zum Erstellen der IPSec-VPN-Verbindung wird der Assistent genutzt, der den Nutzer durch den Erstellungsvorgang führt.
 
# In der Navigationsleiste wird unter dem Menüpunkt VPN der Eintrag IPSec aufgerufen.
# Anschließend wird die Schaltfläche Site-to-Site betätigt.
:Der Site-to-Site-Assistent öffnet sich
: 3. Im Namensfeld wird der Namen für die IPSec-Verbindung eingegeben
: 4. In das Feld Remote Gateway wird die IP-Adresse oder der Hostnamen des entfernten Gateways eingegeben.
: Statt der IP-Adresse kann auch das standardmäßig ausgewählte "any" im Feld übernommen werden.
: 5. Dies wird mit Weiter quittiert.

:[[Datei:ipsec_wiz_step1.png|none|thumb|350px|Assistent 1 - Name+Gateway]]
 
# Nun kann die gewünschte Authentifizierung gewählt werden. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
# Der Pre-Shared-Key wird eingetragen
# Anschließend wird zwischen IKE v1 und IKE v2 gewählt
:Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.

:Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.

: 4. Dies wird mit Weiter quittiert

:[[Datei:ipsec_wiz_step2.png|none|thumb|350px|Assitent 2 -Authentifizierung]]

Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.
 
# Im Feld Local Gateway ID wird der zu benutzende Wert für die lokale Appliance eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
# Im Feld Remote Gateway ID wird der zu benutzende Wert für die Gegenstelle eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
: Sollte hierbei Unsicherheit herrschen, kann bei beiden Feldern jeweils die IP-Adresse 0.0.0.0 eingetragen werden. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
:[[Datei:ipsec_wiz_step3.png|none|thumb|350px| Assistent 3 - Gateway ID]]

 
Im letzten Schritt müssen noch die Netzwerke angegeben werden, die miteinander verbunden werden sollen.
 
# Im Feld Lokales Netzwerk wird die IP-Adresse des lokalen Netzwerkes angegeben, welches über die VPN-Verbindung erreichbar sein soll an.
# Im Feld Remote Netzwerk wird dementsprechend die IP-Adresse des entfernten Netzwerkes eingetragen.
# Anschließend wird dies mit Betätigen der Fertig-Schaltfläche quittiert.

:[[Datei:ipsec_wiz_step4_2.png|none|thumb|350px|Assistent 4 - zu verbindende Netze]]

=== Regeln erstellen ===
Es muss mit einer Regel erlaubt werden, dass das externe Interface aus dem Internet per VPN erreichbar ist und dass die IPSec-VPN-Clienten mit dem internen Netzwerk kommunizieren dürfen. Standardmässig sind die VPN-Ports durch die impliziten Regeln freigeschaltet. Die Erstellung wird trotzdem beschrieben.

# In der Navigationsleiste wird auf den Punkt Firewall geklickt und anschließend im Drop-down-Menü der Eintrag Portfilter aufgerufen
# Im Portfilterdialog wird die Schaltfläche Regel hinzufügen betätigt
# In der Liste Quelle wird das Netzwerkobjekt "Internet" ausgewählt, in der Liste Ziel das "External Interface" und als Dienst der Eintrag "ipsec"
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
# Die Checkbox AKTIV muss ebenfalls aktiviert sein
# Im Feld LOGGING kann zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL gewählt werden
# Im Feld QOS (Quality of Service) kann die Bandbreite für die Regel beschränkt bzw. zugesichert werden
# Der NAT TYP ist NONE
# Im Feld RULE ROUTING können die Regeln an ein bestimmtes Interface gebunden werden
# Unter ZEITPROFIL kann in vorher angelegtes Zeitprofil mit der Regel verbunden werden
# Unter Kommentar kann eine Beschreibung oder Notiz zu der Regel hinzugefügt werden
# Dies wird mit Betätigen der Schaltfläche Speichern quittiert

# Für die zweite Regel wird ein weiteres Mal auf den Button Regel hinzufügen geklickt
# Diesmal wird als Quelle das interne Netzwerk gewählt
# Als Ziel wird das IPSec-Netzwerk ausgewählt
# Als Dienst wird any verwendet
# Den Eintrag NAT wird auf [[Hidenat_Exclude_V11 | Hidenat Exclude]] gesetzt und als Netzwerkobjekt wird das ausgehendes Interface ausgewählt
# Dies wird ebenfalls wieder mit Betätigen der Schaltfläche Speichern quittiert

=== Einstellungen ===
Nun werden die globalen Einstellungen für die IPSec-Verbindungen eingestellt. Diese befinden sich in der Navigationsleiste unter dem Punkt VPN - im Eintrag globale VPN Einstellungen.

Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.

Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten keine eigenen DNS-Server vorhanden sein, können auch öffentliche DNS-Server verwendet werden, die sich über eine Suchmaschine im Internet finden lassen.

[[Datei:ipsec_global_allgemein.png|left|thumb|300px|globale IPSec Einstellungen]]
[[Datei:ipsec_global_IKEv2.png|right|thumb|300px|globale Nameserver Einstellungen]]

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

=== Anpassen der IPSec Verbindung ===

IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.

# In der Navigationsleiste wird der Punkt VPN angewählt und im Drop-down-Menü der Eintrag IPSec aufgerufen
:Es erscheint der Dialog IPSec Verbindungen.

:Hier sind alle angelegten IPSec-Verbindungen ausgelistet.
[[Datei:ipsec_connections.png|right|thumb|300px|Auflistung der IPSec-Verbindungen]]

: 2. Von hier aus gelangt man zu den Parametern der Phase 1 und 2. Außerdem kann am Ende jeder Zeile der Status der Verbindung eingesehen und die Verbindung gelöscht werden.
: 3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
: 4. Der Button Initiieren startet die Verbindung.

 
 
 
 
 
 
 
 
 

=== Phase 1 ===
Unter den allgemeinen Einstellungen der Phase 1 sind die Werte für den ersten Verbindungsaufbau eingetragen. Die Art der Authentifizierung und die dazu gehörigen Angaben sind ebenfalls hier abgelegt. Es können noch allgemeine Einstellungen zur Verbindung gemacht werden (Initiator, Dead Peer Detection, Rekeying).

[[Datei:tabelle_phase1.png|left|thumb|450px]]
[[Datei:phase1_allgemein_2.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]]

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Auf der Registerkarte IKEv1 werden die Daten für die Verschlüsselung gespeichert. Ist für die Verbindung die zweite Version von IKE gewählt, ändert sich lediglich der Titel des Dialogs zu IKEv2. Standardmäßig ist der Algorithmus 3DES ausgewählt. Diese Verschlüsselung sollte allerdings nicht mehr gewählt werden. Er ist nur ausgewählt, um die Verbindung zu Gegenstellen zu ermöglichen, die die anderen Verschlüsselungsalgorithmen nicht unterstützen.

[[Datei:tabelle2_phase1.png|left|thumb|450px]]
[[Datei:phase1_ike.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]]
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

=== Phase 2 ===
In der Phase zwei werden die Daten zu der Verschlüsselung des eigentlichen Verbindungsschlüssels gespeichert.

[[Datei:tabelle_phase2_2.png|left|thumb|450px]]
[[Datei:phase2_allgemein.png|right|thumb|350px|Allgemeine Einstellungen der Phase 2]]
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
In den Subnetz-Einstellungen der Phase 2 können beide, zu verbindenden Subnetze eingetragen werden.
Dabei sollte darauf geachtet werden, dass es keine gleichen, zu verbindenden Subnetze gibt.
[[Datei:phase2_subnetze.png|left|thumb|350px|Subnetz-Einstellungen der Phase 2]]
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

=== Konfiguration des zweiten Gateways ===

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.
# Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
# Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt - hierbei gilt zu beachten, dass die IKE-Version auf beiden Seiten identisch ist
# Eventuell müssen Firewall Regeln erstellt werden, wenn diese nicht automatisch vom Assistenten erstellt worden sind.
# Die Einstellungen der Phasen der IPSec-Verbindung werdeb angepasst - hier muss beachtet werden, dass die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung eingestellt wurden
:Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.
: 5. Abschließend muss der IPSec-Dienst über die Web-Oberfläche neu gestartet werden, damit die Änderungen aktiv werden.

Es gilt Folgendes zu beachten: Für eine IPSec Site to Site Verbindung ist es erforderlich, falls bereits zwei Default-Routen eingestellt wurden, eine Route-Over Einstellung festzulegen.
Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält.
Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.

Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.

UTM/NET/VDSL 11.7

2015-08-31T07:16:11Z

Alexanders:

[[Kategorie:UTMv11]]

==Internetzugang mit VDSL Konfiguration==
In diesem Artikel wird eine VDSL Schnittstelle für eine VDSL Modem Verbindung angelegt. Hierfür kann entweder die Weboberfläche der Firewall oder die CLI über SSH verwendet werden. 

Der Unterschied zu einer PPPoE Modemverbindung ist, dass die IP des Modems mit angegeben werden muss.

===Allgemeine Informationen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

In dieser Beispielkonfiguration wird die VLAN-ID 7 verwendet, diese variieren jedoch zwischen Providern.
Vor der Einrichtung der VDSL-Verbindung sind derartige Informationen vom Provider einzuholen.

Bekannte VLAN-ID's für VDSL-Einwahlen sind:
<center>
{| border="0" {{prettytable}}
|'''Provider'''
|'''VLAN-ID'''
|-
|EWETEL
| 2011
|-
|M-Net
| 40
|-
|NetColone
| 10
|-
|Telekom
| 7
|-
|Vodafone
| 132
|-
|Willi Tel
| 2511
|-
|}
</center>

Sollte das zu verwendende Modem bereits von sich aus das VLAN-Tagging übernehmen, wird die Verbindung aus Sicht der UTM wie eine ganz normale PPPoE Verbindung gehandhabt. Die Einrichtung einer derartigen Verbindung wird in einem [[Konfiguration_PPPoE_UTMV11| separaten Artikel]] beschrieben.

===Einrichtung über Weboberfläche===
[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Um Zugriff auf die Netzwerkkonfiguration der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen und im Menü ''Netzwerk'' den Menüpunkt ''Netzwerkkonfiguration'' aufzurufen. 
Anschließend ist der VDSL Schnittstellenassistent zu öffnen, welcher im Bereich ''Netzwerkschnittstellen'' durch Betätigen der Schaltfläche [[Datei:Vdsl_button_v11.jpg|50px]] aufgerufen wird.

[[Datei:Vdsl_wizard_v11.jpg|150px|right|thumb||VDSL Assistent Step 1]]
Im Eingabefeld ''Name'' kann ein Schnittstellenname vergeben werden, empfohlen wird jedoch die Beibehaltung der Vorgabe ''"ppp"'' in Verbindung mit der entsprechenden Ziffer (z.B. "ppp0" für die erste Schnittstelle).
Unter ''Schnittstelle'' wird die physikalische Schnittstelle ausgewählt, an welche die VDSL Schnittstelle gebunden werden soll. In diesem Fall ''"eth0"''. Zusätzlich muss hier noch die VLAN-ID angegeben werden
Der '''Step 1''' wird mit einem Klick auf die Schaltfläche [[Datei:UTM_V114_WeiterB.png|40px]] abgeschlossen.

[[Datei:Vdsl_v11_provider_daten.jpg|150px|right|thumb||VDSL Assistent Step 2]]
In '''Step 2''' werden die Zugangsdaten eingetragen, die vom Provider angegeben wurden.
Diese werden mit [[Datei:UTM_V114_WeiterB.png|40px]] bestätigt.

[[Datei:Vdsl_v11_zonen.jpg|150px|right|thumb||VDSL Assistent Step 3]]
In '''Step 3''' werden die gewünschten Zonen ausgewählt. In unserem Beispiel wurden alle Zonen gewählt, die derzeit auf eth0 liegen, da diese auf ''"eth0"'' nicht mehr benötigt werden. ''"eth0"'' dient lediglich der Kommunikation zwischen der Firewall und dem Modem.
Abschließend wird [[Datei:UTM_V114_FertigB.png|40px]] betätigt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Mehrere Zonen können durch Halten der STRG/CTRL Taste (bzw. Command/cmd auf einem Mac) und Anklicken der Einträge mit der linken Maustaste ausgewählt werden.
|}

Sobald der Status auf grün wechselt und eine öffentliche IP-Adresse im Feld ''IP-Adressen'' der PPPoE Schnittstelle ausgegeben wird, ist die Verbindung zum Provider erfolgreich hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt muss noch eine Standardroute für diese Verbindung angelegt werden.

Dazu wird in der ''Netzwerkkonfiguration'' im Bereich ''Routing'' auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]] geklickt.

Die Markierung wird auf „Gateway-Schnittstelle“ gesetzt, die neu erstellte PPPoE Schnittstelle ausgewählt und anschließend mit [[Datei:UTM_V114_SpeichernB.png|50px]] abgespeichert.

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] angelegt werden.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

==CLI==

Die Einrichtung einer VDSL-Verbindung ist auch über die CLI möglich.

=====VLAN-Interface anlegen=====

Hierfür ist eine Anmeldung mit dem Benutzer 'Admin' nötig.
Anschließend wird mit folgendem Befehl das VLAN-Interface erstellt, über welches später die PPPoE-Verbindung aufgebaut wird.
<pre>
interface new name "eth0.7" type "VLAN" options "vlan_id=7,vlan_parent=eth0"
</pre>
Wobei die hier benutzte Zahl '7' die VLAN-ID darstellt, die gegebenenfalls geändert werden muss.

=====VDSL-Interface anlegen=====

Um das PPP-X Interface mit dem VLAN-Interface und den Provider Daten zu verknüpfen, wird folgender Befehl eingegeben:
<pre>
interface new name "ppp0" type "PPPOE" flags "DYNADDR" options "pppoe_user=Securepoint,pppoe_password=insecure,pppoe_parent=eth0.7"
</pre>

Bei ''pppoe_user='' wird der Anmeldename für die VDSL Einwahl eingegeben (hier: 'Securepoint').
Bei ''pppoe_password='' wird das zugehörige Password eingetragen (hier: 'insecure').

*Anschließend werden noch die Zonen external, firewall-external, external_v6, firewall-external_6 und vpn-ipsec auf das ppp0-Interface gebunden:
<pre>
inteface zone get
interface zone set id "X" interface "ppp0"
</pre>

Mit dem Befehl ''Interface zone get'' werden die IDs ausfindig gemacht, die die jeweilige Zone hat. Diese wiederum werden jeweils als Parameter anstelle von 'X' in den zweiten Befehl eingesetzt.

*Zum Abschluss führen wird der Befehl <pre> system update interface </pre> ausgeführt.

==Auswahl des VDSL Modems==

*Viele DSL-Provider bieten entweder gar nicht mehr die Möglichkeit entsprechenden Router als Modem zu konfigurieren, oder aber die Router funktionieren als DSL-Modem, '''NICHT''' aber als VDSL-Modem. Hier sollte auf jeden Fall der Hersteller des Routers/Modems kontaktiert werden.

Ein Überblick über gängige Modelle kann [http://www.vdsl-tarifvergleich.de/vdsl-hardware/vdsl-modem.html hier] eingesehen werden.

Folgende Modems haben sich beim Kunden bewährt:

* Zyxel P-870H-53A V2
* Speedport 300 HS
* ALLNET ALL126AS2
* Draytek Vigor 130

UTM/NET/PPPoE v11.7

2015-08-28T12:32:40Z

Alexanders:

[[Kategorie:UTMv11]]

==PPPoE Konfiguration==
In diesem Artikel wird eine PPPoE Verbindung für eine ADSL Modem Verbindung angelegt.

===PPPoE Schnittstelle anlegen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Um Zugriff auf die Netzwerkkonfiguration der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen und im Menü ''Netzwerk'' den Menüpunkt ''Netzwerkkonfiguration'' aufzurufen. 
Anschließend ist der PPPoE Schnittstellenassistent zu öffnen, welcher im Bereich ''Netzwerkschnittstellen'' durch Betätigen der Schaltfläche [[Datei:UTM_V114_pppoeB.png|50px]] aufgerufen wird.

[[Datei:UTM_V114_PPPoES1.png|150px|right|thumb||PPPoE Assistent Step 1]]
Im Eingabefeld ''Name'' kann ein Schnittstellen Name vergeben werden, empfohlen wird jedoch die Beibehaltung der Vorgabe ''"ppp"'' in Verbindung mit der entsprechenden Ziffer (z.B. "ppp0" für die erste Schnittstelle).
Unter ''Schnittstelle'' wird die physikalische Schnittstelle ausgewählt, an welche die PPPoE Schnittstelle gebunden werden soll. In diesem Fall ''"eth0"''.
'''Step 1''' wird mit einem Klick auf die [[Datei:UTM_V114_WeiterB.png|40px]] Schaltfläche abgeschlossen.

[[Datei:UTM_V114_PPPoES2.png|150px|right|thumb||PPPoE Assistent Step 2]]
In '''Step 2''' werden die Zugangsdaten eingetragen, die vom Provider angegeben wurden.
Diese werden mit [[Datei:UTM_V114_WeiterB.png|40px]] bestätigt.

[[Datei:UTM_V114_PPPoES3.png|150px|right|thumb||PPPoE Assistent Step 3]]
In '''Step 3''' werden die gewünschten Zonen ausgewählt. In unserem Beispiel wurden alle Zonen gewählt, die derzeit auf eth0 liegen, da diese auf ''"eth0"'' nicht mehr benötigt werden. ''"eth0"'' dient lediglich der Kommunikation zwischen der Firewall und dem Modem.
Abschließend wird [[Datei:UTM_V114_FertigB.png|40px]] betätigt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Mehrere Zonen können durch Halten der STRG/CTRL Taste (bzw. Command/cmd auf einem Mac) und Anklicken der Einträge mit der linken Maustaste ausgewählt werden.
|}

[[Datei:UTM_V114_NetkonfmPPPoE.png|200px|right|thumb||Netzwerkschnittstellen mit PPPoE]]
Sobald der Status auf grün wechselt und eine öffentliche IP-Adresse im Feld ''IP-Adressen'' der PPPoE Schnittstelle ausgegeben wird, ist die Verbindung zum Provider erfolgreich hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt muss noch eine Standardroute für diese Verbindung angelegt werden.

Dazu wird in der ''Netzwerkkonfiguration'' im Bereich ''Routing'' auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]] geklickt.

Die Markierung wird auf „Gateway-Schnittstelle“ gesetzt, die neu erstellte PPPoE Schnittstelle ausgewählt und anschließend mit [[Datei:UTM_V114_SpeichernB.png|50px]] abgespeichert.

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] angelegt werden.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

UTM/NET/PPTP v11.7

2015-08-28T12:30:49Z

Alexanders:

[[Kategorie:UTMv11]]

==Internetzugang mit PPTP Konfiguration==
In diesem Artikel wird eine PPTP Schnittstelle für eine ADSL Modem Verbindung angelegt. 
Es handelt sich hierbei nicht um PPTP-VPN, sondern um eine PPPoE Internetverbindung, welche in Österreich und Italien verwendet wird. 
Der Unterschied zu einer PPPoE Modemverbindung ist, dass die IP des Modems mit angegeben werden muss.

===PPTP Schnittstelle anlegen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Um Zugriff auf die Netzwerkkonfiguration der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen und im Menü ''Netzwerk'' den Menüpunkt ''Netzwerkkonfiguration'' aufzurufen. 
Anschließend ist der PPTP Schnittstellenassistent zu öffnen, welcher im Bereich ''Netzwerkschnittstellen'' durch Betätigen der Schaltfläche [[Datei:UTM_V114_pptpB.png|50px]] aufgerufen wird.

[[Datei:UTM_V114_PPTPS1.png|150px|right|thumb||PPTP Assistent Step 1]]
Im Eingabefeld ''Name'' kann ein Schnittstellenname vergeben werden, empfohlen wird jedoch die Beibehaltung der Vorgabe ''"ppp"'' in Verbindung mit der entsprechenden Ziffer (z.B. "ppp0" für die erste Schnittstelle).
Unter ''Schnittstelle'' wird die physikalische Schnittstelle ausgewählt, an welche die PPTP Schnittstelle gebunden werden soll. In diesem Fall ''"eth0"''.
Da die meisten PPTP-Modems die IP Adresse 10.0.0.138 nutzen, können die Eintragungen der lokalen IP-Adresse und der Modem IP-Adresse normalerweise beibehalten werden. Sollte das vorgefundene Modem mit einer anderen IP angesprochen werden, sollte die lokale IP-Adresse an das Modem Subnetz angepasst werden. 
Der '''Step 1''' wird mit einem Klick auf die Schaltfläche [[Datei:UTM_V114_WeiterB.png|40px]] abgeschlossen.

[[Datei:UTM_V114_PPTPS2.png|150px|right|thumb||PPTP Assistent Step 2]]
In '''Step 2''' werden die Zugangsdaten eingetragen, die vom Provider angegeben wurden.
Diese werden mit [[Datei:UTM_V114_WeiterB.png|40px]] bestätigt.

[[Datei:UTM_V114_PPPoES3.png|150px|right|thumb||PPTP Assistent Step 3]]
In '''Step 3''' werden die gewünschten Zonen ausgewählt. In unserem Beispiel wurden alle Zonen gewählt, die derzeit auf eth0 liegen, da diese auf ''"eth0"'' nicht mehr benötigt werden. ''"eth0"'' dient lediglich der Kommunikation zwischen der Firewall und dem Modem.
Abschließend wird [[Datei:UTM_V114_FertigB.png|40px]] betätigt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Mehrere Zonen können durch Halten der STRG/CTRL Taste (bzw. Command/cmd auf einem Mac) und Anklicken der Einträge mit der linken Maustaste ausgewählt werden.
|}

[[Datei:UTM_V114_NetkonfmPPTP.png|200px|right|thumb||Netzwerkschnittstellen mit PPTP]]
Sobald der Status auf grün wechselt und eine öffentliche IP-Adresse im Feld ''IP-Adressen'' der PPTP Schnittstelle ausgegeben wird, ist die Verbindung zum Provider erfolgreich hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt muss noch eine Standardroute für diese Verbindung angelegt werden.

Dazu wird in der ''Netzwerkkonfiguration'' im Bereich ''Routing'' auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]] geklickt.

Die Markierung wird auf „Gateway-Schnittstelle“ gesetzt, die neu erstellte PPPoE Schnittstelle ausgewählt und anschließend mit [[Datei:UTM_V114_SpeichernB.png|50px]] abgespeichert.

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] angelegt werden.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

Konfiguration PPPTP UTMV11

2015-08-28T10:00:11Z

Alexanders: Alexanders verschob Seite Konfiguration PPPTP UTMV11 nach Konfiguration PPTP UTMV11: Es handelt sich um einen Rechtschreibfehler. PPPTP existiert nicht.

#WEITERLEITUNG [[Konfiguration PPTP UTMV11]]

UTM/NET/PPTP v11.7

2015-08-28T10:00:11Z

Alexanders: Alexanders verschob Seite Konfiguration PPPTP UTMV11 nach Konfiguration PPTP UTMV11: Es handelt sich um einen Rechtschreibfehler. PPPTP existiert nicht.

[[Kategorie:UTMv11]]

==Internetzugang mit PPTP Konfiguration==
In diesem Wiki legen wir eine PPTP Schnittstelle für eine ADSL Modem Verbindung an. 
Es handelt sich hierbei nicht um PPTP-VPN sondern um eine PPPoE Internetverbindung welche in Österreich und Italien verwendet wird. 
Der Unterschied zu einer PPPoE Modemverbindung ist, dass die IP des Modem mit angegeben werden muss.

===PPTP Schnittstelle anlegen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Öffnen sie im Menü Netzwerk den Menüpunkt Netzwerkkonfiguration. 
Im Bereich Netzwerkschnittstellen klicken sie unten auf den Button [[Datei:UTM_V114_pptpB.png|50px]] um den PPTP Schnittstellenassistenten zu öffnen.

[[Datei:UTM_V114_PPTPS1.png|150px|right|thumb||PPTP Assistent Step 1]]
Im Eingabefeld Name könnten sie einen Schnittstellen Namen eintragen aber belassen sie am besten die Vorgabe „ppp“ mit der entsprechenden Ziffer. 
Unter Schnittstelle wählen sie die physikalische Schnittstelle aus an die sie die PPPoE Schnittstelle binden möchten. In unserem Fall eth0. 
Da die meisten PPTP-Modem die IP Adresse 10.0.0.138 nutzen, können die Eintragungen der lokalen IP-Adresse und der Modem IP-Adresse normalerweise beibehalten werden. Sollte Ihr Modem mit einer anderen IP angesprochen werden, passen sie bitte auch die lokale IP-Adresse an das Modem Subnetz an. 
Klicken sie auf [[Datei:UTM_V114_WeiterB.png|40px]]

[[Datei:UTM_V114_PPTPS2.png|150px|right|thumb||PPTP Assistent Step 2]]
Im zweiten Step tragen sie die Zugangsdaten ein, die sie von ihrem Provider erhalten haben. 
Klicken sie auf [[Datei:UTM_V114_WeiterB.png|40px]]

[[Datei:UTM_V114_PPPoES3.png|150px|right|thumb||PPTP Assistent Step 3]]
Im dritten Step wählen sie die gewünschten Zonen aus. In unserem Beispiel wähle ich alle Zonen, die derzeit auf eth0 liegen, da diese auf eth0 nicht mehr benötigt werden. 
Abschließend klicken sie auf [[Datei:UTM_V114_FertigB.png|40px]]

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Benutzen Sie Ctrl-Klick (oder Command-Klick auf dem Mac) um mehrere Zonen auszuwählen.
|}

[[Datei:UTM_V114_NetkonfmPPTP.png|200px|right|thumb||Netzwerkschnittstellen mit PPTP]]
Sobald der Status auf grün wechselt und eine Öffentliche IP-Adresse im Feld IP-Adressen der PPTP Schnittstelle ausgegeben wird, ist die Verbindung zum Provider hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt benötigen sie noch eine Standardroute für diese Verbindung.

Dazu wechseln sie in der Netzwerkkonfiguration in den Bereich Routing und Klicken auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]].

Setzen sie die Markierung auf „Gateway-Schnittstelle“, wählen sie die neu erstellte PPPoE Schnittstelle aus uns klicken sie auf [[Datei:UTM_V114_SpeichernB.png|50px]]

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen sie noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] anlegen.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

UTM/NET/PPPoE v11.7

2015-08-28T09:57:03Z

Alexanders: /* PPPoE Konfiguration */

[[Kategorie:UTMv11]]

==PPPoE Konfiguration==
In diesem Artikel wird eine PPPoE Verbindung für eine ADSL Modem Verbindung angelegt.

===PPPoE Schnittstelle anlegen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Um Zugriff auf die Netzwerkkonfiguration der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen und anschließend im Menü ''Netzwerk'' den Menüpunkt ''Netzwerkkonfiguration'' aufzurufen. 
Anschließend ist der PPPoE Schnittstellenassistenten zu öffnen, welcher im Bereich ''Netzwerkschnittstellen'' durch Betätigen der Schaltfläche [[Datei:UTM_V114_pppoeB.png|50px]] aufgerufen wird.

[[Datei:UTM_V114_PPPoES1.png|150px|right|thumb||PPPoE Assistent Step 1]]
Im Eingabefeld ''Name'' kann ein Schnittstellen Name vergeben werden, empfohlen wird jedoch die Beibehaltung der Vorgabe ''"ppp"'' in Verbindung mit der entsprechenden Ziffer (z.B. "ppp0" für die erste Schnittstelle).
Unter ''Schnittstelle'' wird die physikalische Schnittstelle ausgewählt, an welche die PPPoE Schnittstelle gebunden werden soll. In diesem Fall ''"eth0"''.
'''Step 1''' wird mit einem Klick auf die [[Datei:UTM_V114_WeiterB.png|40px]] Schaltfläche abgeschlossen.

[[Datei:UTM_V114_PPPoES2.png|150px|right|thumb||PPPoE Assistent Step 2]]
In '''Step 2''' werden die Zugangsdaten eingetragen, die vom Provider angegeben wurden.
Diese werden mit [[Datei:UTM_V114_WeiterB.png|40px]] bestätigt.

[[Datei:UTM_V114_PPPoES3.png|150px|right|thumb||PPPoE Assistent Step 3]]
In '''Step 3''' werden die gewünschten Zonen ausgewählt. In unserem Beispiel wurden alle Zonen gewählt, die derzeit auf eth0 liegen, da diese auf ''"eth0"'' nicht mehr benötigt werden. ''"eth0"'' dient lediglich der Kommunikation zwischen der Firewall und dem Modem.
Abschließend wird [[Datei:UTM_V114_FertigB.png|40px]] betätigt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Mehrere Zonen können durch Halten der STRG/CTRL Taste (bzw. Command/cmd auf einem Mac) und Anklicken der Einträge mit der linken Maustaste ausgewählt werden.
|}

[[Datei:UTM_V114_NetkonfmPPPoE.png|200px|right|thumb||Netzwerkschnittstellen mit PPPoE]]
Sobald der Status auf grün wechselt und eine öffentliche IP-Adresse im Feld ''IP-Adressen'' der PPPoE Schnittstelle ausgegeben wird, ist die Verbindung zum Provider erfolgreich hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt muss noch eine Standardroute für diese Verbindung angelegt werden.

Dazu wird in der ''Netzwerkkonfiguration'' im Bereich ''Routing'' auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]] geklickt.

Die Markierung wird auf „Gateway-Schnittstelle“ gesetzt, die neu erstellte PPPoE Schnittstelle ausgewählt und anschließend mit [[Datei:UTM_V114_SpeichernB.png|50px]] abgespeichert.

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] angelegt werden.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

UTM/NET/PPPoE-Fehleranalyse v11.7

2015-08-28T09:05:18Z

Alexanders:

[[Kategorie:UTMv11]]

==Wenn die PPPoE Verbindung nicht aufgebaut wird ...==
Sollte eine PPPoE Verbindung wider Erwarten nicht zustande kommen, das bedeutet, auf der ppp-Schnittstelle erscheint keine IP Adresse oder nur die Meldung „Connecting“ oder „no Connection“, empfiehlt es sich, zuerst die and die PPPoE Schnittstelle gebundene Ethernet-Schnittstelle zu überprüfen. 
Wenn der Punkt in der Spalte ''Status'' nicht grün sondern grau angezeigt werden, ist wahrscheinlich die Kabelverbindung zum Modem nicht in Ordnung. 
Es sollte überprüft werden, ob das Modem an der richtigen LAN-Schnittstelle angeschlossen ist und/oder, ob das Netzwerkkabel einen Wackelkontakt hat.

===Live-Log===
Wenn der Status der Ethernet Schnittstelle grün ist, hilft ein Blick in das Live-Log der UTM oder in die Logserver-Dateien des Securepoint Operation Center (SOC).
Der zuständige Dienst ist der Point to Point Server, welcher im Live-Log mit PPPD angegeben wird.

====Fehlende PPPoE Active Discovery (PAD) Pakete====
Stellt sich heraus, dass im Live-Log die folgenden Meldungen erscheinen
pppd | Timeout waiting for PADO packets
pppd | Unable to complete PPPoE Discovery

ist die Ursache in Richtung Internet zu suchen. 
Bei "PADO" und "PADS" Meldungen (siehe [[Informationen_zur_PPPoE| Informationen zur PPPoE]]) fehlen die Rückmeldungen vom Internet Provider. Entweder die "PADI" oder "PADR" Pakete gelangen nicht zum Provider, oder dieser sendet keine Pakete zurück.

Lösungen dazu sind in der Regel:
*Ein wenig abwarten
*Neustart des Modems
*Das Interface mit dem CLI Kommando ''system update interface'' aktualisieren, oder die Securepoint UTM neustarten
*Falls ein Router eingesetzt wird, der in einen Modem-Zustand versetzt wurde, sollte dessen Konfiguration überprüft werden

Können keine Fehler festgestellt werden, sollte der Provider kontaktiert werden.

====Authentifizierung====
Um falsche Login-Daten handelt es sich in der folgenden Meldung:
pppd | PAP authentication failed

Hierbei sollten die Einstellungen mit den Login-Daten des Providers verglichen werden. Insebsondere sollte auch auf Groß- und Kleinschreibung geachtet werden.

====DSL-Modem oder -Leitung====
Bei dem folgenden Meldungs-Block
pppd | No response to 3 echo-requests
pppd | Serial link appears to be disconnected.
pppd | Connect time 1.7 minutes.
pppd | Sent 789644 bytes, received 15063162 bytes.

ist das Modem entweder nicht für die DSL-Geschwindigkeit ausgelegt, oder der Provider stellt eine DSL-Geschwindigkeit bereit, die aber nicht erreicht wird.

Als Lösungen bieten sich an:
*Austausch des Modems
*Leitung vom Provider messen lassen
*Deaktivierung des Link Control Protocol (LCP) auf der entsprechenden PPPoE Schnittstelle der Firewall

====Erfolgreiche Verbindung====
Eine erfolgreich aufgebaute Verbindung sieht dann im Live-Log ungefähr wie folgt aus:
pppd | PPP session is 942
pppd | Using interface ppp0
pppd | Connect: ppp0 <--> eth0
pppd | PAP authentication succeeded
pppd | peer from calling number 00:XX:XX:XX:XX:XX authorized
pppd | local IP address 217.0.0.1

UTM/NET/PPPoE-Fehleranalyse v11.7

2015-08-28T09:03:44Z

Alexanders:

[Kategorie:UTMV11]

==Wenn die PPPoE Verbindung nicht aufgebaut wird ...==
Sollte eine PPPoE Verbindung wider Erwarten nicht zustande kommen, das bedeutet, auf der ppp-Schnittstelle erscheint keine IP Adresse oder nur die Meldung „Connecting“ oder „no Connection“, empfiehlt es sich, zuerst die and die PPPoE Schnittstelle gebundene Ethernet-Schnittstelle zu überprüfen. 
Wenn der Punkt in der Spalte ''Status'' nicht grün sondern grau angezeigt werden, ist wahrscheinlich die Kabelverbindung zum Modem nicht in Ordnung. 
Es sollte überprüft werden, ob das Modem an der richtigen LAN-Schnittstelle angeschlossen ist und/oder, ob das Netzwerkkabel einen Wackelkontakt hat.

===Live-Log===
Wenn der Status der Ethernet Schnittstelle grün ist, hilft ein Blick in das Live-Log der UTM oder in die Logserver-Dateien des Securepoint Operation Center (SOC).
Der zuständige Dienst ist der Point to Point Server, welcher im Live-Log mit PPPD angegeben wird.

====Fehlende PPPoE Active Discovery (PAD) Pakete====
Stellt sich heraus, dass im Live-Log die folgenden Meldungen erscheinen
pppd | Timeout waiting for PADO packets
pppd | Unable to complete PPPoE Discovery

ist die Ursache in Richtung Internet zu suchen. 
Bei "PADO" und "PADS" Meldungen (siehe [[Informationen_zur_PPPoE| Informationen zur PPPoE]]) fehlen die Rückmeldungen vom Internet Provider. Entweder die "PADI" oder "PADR" Pakete gelangen nicht zum Provider, oder dieser sendet keine Pakete zurück.

Lösungen dazu sind in der Regel:
*Ein wenig abwarten
*Neustart des Modems
*Das Interface mit dem CLI Kommando ''system update interface'' aktualisieren, oder die Securepoint UTM neustarten
*Falls ein Router eingesetzt wird, der in einen Modem-Zustand versetzt wurde, sollte dessen Konfiguration überprüft werden

Können keine Fehler festgestellt werden, sollte der Provider kontaktiert werden.

====Authentifizierung====
Um falsche Login-Daten handelt es sich in der folgenden Meldung:
pppd | PAP authentication failed

Hierbei sollten die Einstellungen mit den Login-Daten des Providers verglichen werden. Insebsondere sollte auch auf Groß- und Kleinschreibung geachtet werden.

====DSL-Modem oder -Leitung====
Bei dem folgenden Meldungs-Block
pppd | No response to 3 echo-requests
pppd | Serial link appears to be disconnected.
pppd | Connect time 1.7 minutes.
pppd | Sent 789644 bytes, received 15063162 bytes.

ist das Modem entweder nicht für die DSL-Geschwindigkeit ausgelegt, oder der Provider stellt eine DSL-Geschwindigkeit bereit, die aber nicht erreicht wird.

Als Lösungen bieten sich an:
*Austausch des Modems
*Leitung vom Provider messen lassen
*Deaktivierung des Link Control Protocol (LCP) auf der entsprechenden PPPoE Schnittstelle der Firewall

====Erfolgreiche Verbindung====
Eine erfolgreich aufgebaute Verbindung sieht dann im Live-Log ungefähr wie folgt aus:
pppd | PPP session is 942
pppd | Using interface ppp0
pppd | Connect: ppp0 <--> eth0
pppd | PAP authentication succeeded
pppd | peer from calling number 00:XX:XX:XX:XX:XX authorized
pppd | local IP address 217.0.0.1

UTM/NET/PPPoE v11.7

2015-08-28T07:54:48Z

Alexanders:

[[Kategorie:UTMv11]]

==PPPoE Konfiguration==
In diesem Artikel wird eine PPPoE Verbindung für eine ADSL Modem Verbindung angelegt.

===PPPoE Schnittstelle anlegen===
Benötigt werden:
* eine nicht genutzte [[Konfiguration_eines_Ethernet_Interface_UTMV11#Ethernet_Schnittstelle_erstellen| Ethernet Schnittstelle]]
* entsprechende [[Konfiguration_eines_Ethernet_Interface_UTMV11#Zonen_erstellen| Zonen]]
* Zugangsdaten des Internet Providers

[[Datei:UTM_V114_NetkonfoPPPoE.png|200px|right|thumb||Netzwerkschnittstellen]]
Um Zugriff auf die Netzwerkkonfiguration der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen und anschließend im Menü ''Netzwerk'' den Menüpunkt ''Netzwerkkonfiguration'' aufzurufen. 
Anschließend ist der PPPoE Schnittstellenassistenten zu öffnen, welcher im Bereich ''Netzwerkschnittstellen'' durch Betätigen der Schaltfläche [[Datei:UTM_V114_pppoeB.png|50px]] aufgerufen wird.

[[Datei:UTM_V114_PPPoES1.png|150px|right|thumb||PPPoE Assistent Step 1]]
Im Eingabefeld ''Name'' kann ein Schnittstellen Name vergeben werden, empfohlen wird jedoch die Beibehaltung der Vorgabe ''"ppp"'' in Verbindung mit der entsprechenden Ziffer (z.B. "ppp0" für die erste Schnittstelle).
Unter ''Schnittstelle'' wird die physikalische Schnittstelle ausgewählt, an welche die PPPoE Schnittstelle gebunden werden soll. In diesem Fall ''"eth0"''.
'''Step 1''' wird mit einem Klick auf die [[Datei:UTM_V114_WeiterB.png|40px]] Schaltfläche abgeschlossen.

[[Datei:UTM_V114_PPPoES2.png|150px|right|thumb||PPPoE Assistent Step 2]]
In '''Step 2''' werden die Zugangsdaten eingetragen, die vom Provider angegeben wurden.
Diese werden mit [[Datei:UTM_V114_WeiterB.png|40px]] bestätigt.

[[Datei:UTM_V114_PPPoES3.png|150px|right|thumb||PPPoE Assistent Step 3]]
In '''Step 3''' werden die gewünschten Zonen ausgewählt. In unserem Beispiel wurden alle Zonen gewählt, die derzeit auf eth0 liegen, da diese auf ''"eth0"'' nicht mehr benötigt werden. ''"eth0"'' dient lediglich der Kommunikation zwischen der Firewall und dem Modem.
Abschließend klicken sie auf [[Datei:UTM_V114_FertigB.png|40px]]

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|
Hinweis: Mehrere Zonen können durch Halten der STRG/CTRL Taste (bzw. Command/cmd auf einem Mac) und Anklicken der Einträge mit der linken Maustaste ausgewählt werden.
|}

[[Datei:UTM_V114_NetkonfmPPPoE.png|200px|right|thumb||Netzwerkschnittstellen mit PPPoE]]
Sobald der Status auf grün wechselt und eine öffentliche IP-Adresse im Feld ''IP-Adressen'' der PPPoE Schnittstelle ausgegeben wird, ist die Verbindung zum Provider erfolgreich hergestellt.

===Default Route anlegen===
[[Datei:UTM_V114_DefRoutePPPhinz.png|150px|right|thumb||Routing mit PPPoE]]
Zuletzt muss noch eine Standardroute für diese Verbindung angelegt werden.

Dazu wird in der ''Netzwerkkonfiguration'' im Bereich ''Routing'' auf [[Datei:UTM_V114_DefRoutehinzB.png|110px]] geklickt.

Die Markierung wird auf „Gateway-Schnittstelle“ gesetzt, die neu erstellte PPPoE Schnittstelle ausgewählt und anschließend mit [[Datei:UTM_V114_SpeichernB.png|50px]] abgespeichert.

[[Datei:UTM_V114_NetroutePPPoE.png|200px|right|thumb||Routing mit PPPoE]]

===Netzwerkobjekte und Portfilterregeln===
Falls nicht vorhanden, müssen noch entsprechende [[Portfilter_Beschreibung_UTMV11#Netzwerkobjekte| Netzwerkobjekte]] und [[Portfilter_Beschreibung_UTMV11#Portfilter| Portfilterregeln]] angelegt werden.

[[Datei:UTM_V114_Netobj.png|600px|center|thumb]]

[[Datei:UTM_V114_Portfrgl.png|700px|center|thumb]]

UTM/NET/Servereinstellungen v11.7

2015-08-27T14:40:43Z

Alexanders:

{{v11}}
Dieser Artikel beschreibt die Einrichtung von Datum und Uhrzeit auf einer Securepoint UTM v11
Die Konfiguration kann entweder über das Webinterface oder über die [[CLI]] erfolgen

__TOC__

[[kategorie:UTMv11]]
=Webinterface=
Um Zugriff auf die Zeiteinstellungen der UTM zu erhalten, ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird dort der Dialog ''Netzwerk'' '''->''' ''Servereinstellungen'' aufgerufen.
Innerhalb dieses Dialoges befindet sich der Abschnitt '''Zeiteinstellungen''' , wie in Abbildung 1 dargestellt. 
Hier wird das aktuelle Datum sowie die Uhrzeit dargestellt. 
 
[[Datei:Set time 1 utmv11.png|400px|thumb|left|Zeiteinstellungen]]
{{Absatz-L}}
 
Durch Klicken in das Feld '''Aktuelles Datum''', öffnet sich ein kleines Fenster, in welchem sowohl das aktuelle Datum als auch die Uhrzeit korrigieren werden können.
 
[[Datei:Set time 2 utmv11.png|400px|thumb|left|Korrektur der Uhrzeit]]
{{Absatz-L}}
Nachdem das Datum und die Uhrzeit angepasst wurden, wird dies mit dem Betätigen von '''Fertig''' quittiert.
[[Datei:Set time 3 utmv11.png|400px|thumb|left|Speichern der Einstellung]]
{{Absatz-L}}
Diese Änderungen werden im Dialog '''Servereinstellungen''' mit dem Klicken auf '''Speichern''' vermerkt.
Danach sollte folgender Hinweis auftauchen, welcher ebenfalls mit '''OK''' bestätigt wird und bewirkt, dass die Änderungen aktiv werden.
[[Datei:Set time 4 utmv11.png|400px|thumb|left|Bestätigung und Hinweis]]
{{Absatz-L}}

Achtung: Aufgrund der Zeitänderung ist es möglich, dass die Sitzung über das Webinterface sofort beendet wird. 
Danach sollte eine erneute Anmeldung am Webinterface aber ohne Probleme möglich sein.

=CLI=
Um auf die CLI-Umgebung zu gelangen, ist eine Anmeldung an der UTM über SSH erforderlich. 
Mittels des Befehls '''system date get''' kann das aktuelle Datum inclusive der Uhrzeit ausgelesen werden. 
<pre>
firewall.foo.local> system date get
2012-12-18 10:34:34
</pre>
Das Ausgabe erfolgt in folgendem Format:
JJJJ-MM-TT HH:MM:SS

Zum Anpassen wird der Befehl ''' system date set date ''', gefolgt von der Angabe des Datums sowie Uhrzeit, verwendet.
<pre>
firewall.foo.local> system date set date "2012-12-18 10:00:50"
2012-12-18 10:00:50
**
</pre>
Die Angabe von Datum und Uhrzeit erfolgt im Format JJJJ-MM-TT HH:MM:SS . 
Die Änderung ist nach Ausführen des Befehls sofort aktiv.

UTM/CONFIG/Konfigurationsverwaltung v11.7

2015-08-27T13:49:42Z

Alexanders:

[[kategorie:UTMv11]]

== Konfigurationsverwaltung ==
Die Einstellungen der UTM Appliance werden in einer Konfigurationsdatei gespeichert. Die Konfigurationsdateien werden in der '''''Konfigurationsverwaltung''''' organisiert.

[[Datei:menubar_config.png|150px|thumb|right|Menüeintrag Konfigurationsverwaltung]]
Die Konfigurationsverwaltung ist über den Punkt '''''Konfigurationsverwaltung''''' erreichbar, der im Menüeintrag '''''Konfiguration''''' der Navigationsleiste zu finden ist.
 
 

[[Datei:Config_orga.png|400px|thumb|right|Konfigurationsverwaltung]]
Hier können neue Konfigurationen angelegt und exportiert werden. Ebenfalls besteht die Option, exportierte Konfigurationsdateien (standardmäßig mit der Endung ''".utm"'') zu importieren. Bestehende Konfigurationen können geladen, als Startkonfiguration festgelegt und auch gelöscht werden. Die Einstellungen, die in der Konfiguration gespeichert sind, können auch im Tabellenformat ausgedruckt werden. 
Außerdem besteht die Möglichkeit, die Konfiguration nicht nur lokal auf der Appliance zu speichern, sondern auch als Backup in der Securepoint Cloud zu sichern (mehr Informationen hierzu im Artikel [[Cloud-Backup]]).
 
 
 

Wenn beim ersten Starten der UTM der Installationsassistent ausgeführt wurde, hat dieser automatisch eine Konfigurationsdatei angelegt. Die Datei trägt den Titel <code>configuration-wizard-''Datum''-''Uhrzeit''</code>. 
<div align="right">[[#top|nach oben]]</div>

=== Konfiguration anlegen ===
[[Datei:config_orga_but_add.png|400px|thumb|right|Button '''''Konfiguration hinzufügen''''']]
Um Einstellungen in einer neuen Konfiguration zu speichern, muss zunächst eine neue Konfiguration angelegt werden. 
* Hierfür wird in der '''''Konfigurationsverwaltung''''' die Schaltfläche <code> + Konfiguration hinzufügen</code> betätigt.
 
 
 

[[Datei:config_add.png|180px|thumb|right|Name für die Konfiguration setzen]]
* Es öffnet sich der Dialog '''''KONFIGURATION HINZUFÜGEN'''''. 
* Im Textfeld '''''Name''''' wird ein Name für die neue Konfiguration eingegeben. 
* Anschließend wird die Schaltfläche '''''Speichern''''' betätigt.
 
 

[[Datei:Config_save.png|400px|thumb|right|Konfiguration speichern]]
Die Einstellungen sind noch nicht in der Konfiguration gespeichert. Dies wird auch durch ein Zahnrad in der Spalte ''Status'' signalisiert. 
* Zum Sichern der Einstellungen in der neu angelegten Konfiguration, muss in der Zeile der Konfiguration die Schaltfläche mit dem Diskettensymbol betätigt werden.
 

[[Datei:Config_set_start.png|400px|thumb|right|Konfiguration als Startkonfiguration setzen]]
Wenn die Konfiguration beim Starten der UTM geladen werden soll, muss die Konfiguration als Startkonfiguration gesetzt werden. 
* Hierzu wird in der Zeile der Konfiguration auf die Schaltflächen mit dem Sternsymbol geklickt. 
 
<div align="right">[[#top|nach oben]]</div>

=== Konfiguration exportieren ===
[[Datei:Config_export.png|400px|thumb|right|Konfiguration exportieren]]
Die Exportfunktion ist zum externen Sichern der Konfiguration und zur Übertragung der Konfiguration auf eine andere Appliance gedacht. Die exportierte Datei trägt die Dateiendung ''".utm"'' und liegt im Base64 Format vor. 
* Die für den Export vorgesehene Konfiguration wird in der Liste der '''''Konfigurationsverwaltung''''' lokalisiert. 
* Anschließend wird die Schaltfläche mit dem nach unten weisenden Pfeil betätigt. 
Die Konfiguration wird in das Download-Verzeichnis des Browsers geladen.
<div align="right">[[#top|nach oben]]</div>

=== Externe Konfiguration importieren===
Es ist auch möglich eine bestehende Konfiguration importieren. Hierbei sollte darauf geachtet werden, dass die Datei im UTM Format der Version 11 vorliegt und die Endung ''".utm"'' trägt. 
[[Datei:Config_import.png|400px|thumb|right|Konfiguration importieren]]
* Im Fenster '''''Konfigurationsverwaltung''''' wird die Schaltfläche <code>+ Konfiguration importieren</code> betätigt. 
* Im Textfeld mit der Bezeichnung '''''Name''''' wird ein Name eingegeben, unter der die Konfiguration auf der Appliance gespeichert werden soll. 
* Die Schaltfläche <code>Datei auswählen</code> wird angeklickt und die Konfigurationsdatei im sich öffnenden Fenster vom lokalen System ausgewählt und hochgeladen. 
* Abschließend wird die Schaltfläche <code>Upload</code> betätigt.
<div align="right">[[#top|nach oben]]</div>

===Konfiguration drucken===
[[Datei:Config_print_layout.png|250px|thumb|right|Ausdruck in Tabellenform]]
Die Einstellungen, die in einer Konfiguration gespeichert sind, können auch ausgedruckt werden. Dazu muss die Konfiguration geladen sein. Von nicht aktiven, gespeicherten Konfigurationen können keine Ausdrucke erzeugt werden. 
Bei dieser Funktion werden alle Einstellungen nach Kategorien geordnet und in tabellarischer Form dargestellt.
 
 
 

[[Datei:Config_print.png|400px|thumb|right|Button zum Generieren des Ausdrucks]]
* Klicken Sie in der '''''Konfigurationsverwaltung''''' auf die Schaltfläche <code>+ Aktuelle Konfiguration drucken</code>.
Ein neues Fenster öffnet sich, in dem der Bericht im PDF Format angezeigt wird. Dieser Bericht kann direkt per Kontextmenü ausgedruckt oder gespeichert werden.

SOCv3 Lizenz

2015-08-27T13:06:33Z

Alexanders:

==Security Operation Center Lizenzieren==
Seit der Security Operation Center (SOC) Version 3.1 hat das SOC3 keinen Beta-Status mehr und muss lizenziert werden. Die Lizenz ist kostenlos und für jeweils 1 Jahr gültig.

Ohne Lizenz läuft das SOC3 für 30 Tage in einem Evaluations-Modus und wird anschließend in einen reinen Lese-Modus versetzt.

===Lizenz erstellen===
[[Datei:MSP_Lizerst.png|250px|thumb|right|Lizenz Erstellen]]
Die Lizenz kann im Resellerportal unter [http://my.securepoint.de my.securepoint.de] erstellt oder, wenn diese schon erstellt wurde, dort heruntergeladen werden. Dieses erfolgt in den folgenden Schritten: 
#Im Reseller Portal einloggen
#Auf der Willkommen Seite im Abschnitt ''Nächste Schritte'' die Schaltfläche [[Datei:MSP_H_NLizB.png|90px]] anklicken
#Kunden auswählen und in der Zeile des Kunden unter Optionen auf [[Datei:MSP_H_NLizerstchar.png|100px]] klicken
#Im nun erscheinenden Fenster "Neue Lizenz erstellen" im Auswahlfeld ''Produkt" den Eintrag SOC auswählen
#Akzeptieren der AGB
#Auf die Schaltfläche [[Datei:MSP_H_Lizerst.png|70px]] klicken und herunterladen.

===Lizenz importieren===
Der SOC3 Windows Client wird wie gehabt mit einem Doppelklick auf das Icon gestartet. [[Datei:SOC3_CI_p1SOC3Icon.png|120px]]

[[Datei:SOC3_CI_p2Eval.png|250px|thumb|right|Evaluationsphase]]
[[Datei:SOC3_CI_p3Unreg_RO.png|250px|thumb|right|Unregistriert]]
Im Anmeldefenster befindet sich oben in der Titelleiste des SOC3 auf der rechten Seite der Lizenzstatus.

Wird dort der Status ''Eval'' oder ''Unregistriert - Nur Lesen'' ausgegeben, wird eine Lizenz benötigt, um die Funktionen des SOC3 weiterhin bzw. nach Ablauf im vollem Umfang nutzen zu können.

Um die Lizenz zu installieren, muss die Anmeldung mit einem Benutzer erfolgen, der die Appliance-Administrator Berechtigung hat.

[[Datei:SOC3_CI_p4Warning.png|250px|thumb|right|Lizenzwarnung]]
Nach dem Anmelden erscheint eine Lizenzwarnung, die geschlossen werden kann.

[[Datei:SOC3_CI_p5OCMenu.png|250px|thumb|right|Operation Center Menü]]
Auf der linken Seite des SOC3 Fensters befindet sich das Menü mit den Reitern ''Gateway Center'' und ''Operation Center''.

Um zu den SOC-Appliance-Einstellungen zu gelangen, muss unter ''Operation Center'' der Menüpunkt ''Appliance'' mit einem Doppelklick geöffnet werden.

[[Datei:SOC3_CI_p6AEAreg.png|250px|thumb|right|Lizenz Registrieren]]
Die Lizenzverwaltung befindet sich unter dem Reiter Aktualisierung auf der rechten Seite des SOC3 Fensters.

Mit einem Klick auf die Schaltfläche [[Datei:SOC3_CI_AEAregB.png|80px]] wird die Lizenzdatei, die vorher aus dem Resellerportal heruntergeladen wurde und sich jetzt in einem Verzeichnis des Rechners, wie zum Beispiel ''Downloads'', befindet, auf das SOC3 hochgeladen.

[[Datei:SOC3_CI_p8Reboot.png|250px|thumb|right|SOC3 Neustart]]
Nach dem Auswählen der Lizenz muss ein Neustart durchgeführt werden.

[[Datei:SOC3_CI_p9Login.png|250px|thumb|right|Titelleiste mit Lizenzinformation]]
Nach dem Neustart steht nun die Lizenzinformation in der Titelleiste und die Lizenzierung ist abgeschlossen.

UTM/Installation v11.7

2015-08-27T07:22:07Z

Alexanders:

== Neuinstallation/ Zurücksetzen oder Update per Installationsmedium==
'''Vorsicht''': Bei der Installation wird ein vorhandenes Betriebssystem unwiderruflich zerstört.

'''Voraussetzungen :'''

Das System, auf welchem die UTM Software v11 installiert werden soll, sollte mindestens über die folgenden Merkmale verfügen:
* Zwei Netzwerkkarten

* Eine Festplatte/ SSD
Für die System-Festplatte ist eine Größe von 1GB ausreichend.

* Arbeitsspeicher
Das System sollte mit mindestens 1GB RAM ausgestattet werden.

Grundsätzlich stehen für die Installation ein IMG- und ein ISO-File zur Verfügung.
Der Installationsvorgang unterscheidet sich allerdings nicht. 
Nachdem das System von dem Installationsmedium gestartet wurde, werden zunächst die Lizenzbedingungen angezeigt. Diese sollten aufmerksam durchgelesen werden. Mit der Schaltfläche '''''Continue''''' erfolgt eine Weiterleitung zum nächsten Dialog, um den Bedingungen zuzustimmen. 
[[Datei:Screenshot 1.jpg]]
 
Die Bedingungen müssen akzeptiert werden, um mit der Installation fortzufahren.
Werden die Bedingungen nicht akzeptiert, bzw. die Schaltfläche '''''No''''' betätigt, bricht die Installation ab. Die Fortsetzung der Installation erfolgt durch Zustimmung der Bedingungen und der Bestätigung durch '''''Yes''''' .
 
[[Datei:Screenshot 2.jpg]]
 
Falls auf dem Gerät bereits die UTM Software V11 installiert ist, kann entweder per '''''Upgrade''''' ein Update oder per '''''Overwrite''''' eine Neuinstallation durchgeführt werden.
 
[[Datei:Screenshot 3.jpg]]
 
Als nächstes muss eine Festplatte ausgewählt werden, auf welcher das Betriebssystem installiert werden soll. Eine Festplatte mit einer Größe von 1GB ist hier ausreichend.
 
[[Datei:Screenshot 4.jpg]]
 
Nachdem eine Festplatte ausgewählt wurde, muss die Installation nochmals bestätigt werden. Wenn die Entscheidung gefallen ist, die Installation auf der angezeigten Festplatte auszuführen, wird dies mit '''''Yes''''' bestätigt.
 
[[Datei:Screenshot 5.jpg]]
 
Während der Installation wird über den aktuellen Fortschritt informiert.
 
[[Datei:Screenshot 6.jpg]]
 
Wurde die Installation erfolgreich durchgeführt, wird ein entsprechender Dialog darauf aufmerksam machen. 
Mit dem Betätigen der '''''OK''''' Schaltfläche wird die Installation abgeschlossen.
 
[[Datei:Screenshot 7.jpg]]
 
Nun muss der Installationsdatenträger entfernt und das System anschließend neu gestartet werden. Wenn die Installation erfolgreich verlaufen ist, sollte nach dem Booten nun folgende Eingabemaske auftauchen:
 
[[Datei:Screenshot 8.jpg]]

UTM/NET/VLAN-Switch v11.7

2015-08-26T13:06:04Z

Alexanders:

== Einleitung ==

In diesem Abschnitt wird am Beispiel eines Netgear Switches und einer UTM v11 erklärt, wie zwei logisch getrennte [[Glossar#VLAN|VLAN]]'s konfiguriert werden.

[[Datei:vlanueberblick.png]]

== Switch konfigurieren ==

Um den Switch für VLAN zu konfigurieren, muss dessen Weboberfläche aufgerufen werde. Dort befindet sich unter unter dem Menüpunkt ''VLAN'' die Option ''Add new VLAN''.
Hier wird die VLAN ID 100 angelegt und die Ports bestimmt, welche dem 100er VLAN angehören sollen.
Damit die UTM VLAN Pakete gesendet erhält, wird Port 1 als Mitglied von VLAN 100 eingestellt. Dieser versieht von nun an von ihm ausgehende Pakete mit einem VLAN Tag. Die Ports 6 und 7 sind auch Mitglieder, jedoch werden hier ausgehende Pakete nicht getaggt.

[[Datei:vlansettings100.png]]

Nun wird das VLAN 200 eingerichtet.

[[Datei:vlansettings200.png]]

Als letztes wird unter ''PVID Setting'' festgelegt, welche Ports eingehende Pakete taggen sollen.
Hier werden Pakete, welche an Port 6 und 7 eingehen, mit der VLAN ID 100 getaggt. Die Ports 10, 11 und 12 werden mit der VLAN ID 200 getaggt.

[[Datei:pvidsettings.png]]

== UTM Konfigurieren ==

Um die UTM einzurichten werden zwei VLAN Interfaces benötigt, auf denen jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes werden hierfür die Zonen erstellet, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

=== Zonen erstellen ===

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

[[Datei:zonevlan100.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:.ifzonevlan100.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

Nun werden zwei weitere Zonen für das VLAN 200 nach dem selben Prinzip erstellt.

=== VLAN Interface anlegen ===

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addvlan100s1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt.

[[Datei:.addvlan100s2.png]]

Diese Schritte werden wiederholt, um das VLAN mit der ID 200 anzulegen.

Die Netzwerkkonfiguration sollte nun folgendermaßen aussehen:

[[Datei:.vlannetzwerkkonfig.png]]

UTM/NET/VLAN v11.7

2015-08-26T12:14:17Z

Alexanders:

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:zonevlan100.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:.ifzonevlan100.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addvlan100s1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt.

[[Datei:.addvlan100s2.png]]

Die resultierende Netzwerkkonfiguration könnte wie folgt aussehen:

[[Datei:.vlannetzwerkkonfig2.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemeinvlan.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressenvlan.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich unter [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-08-24T08:12:55Z

Alexanders:

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:zoneeth.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle werden noch Zonen für das Interface selbst benötigt.

[[Datei:.ifzoneeth.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv ist. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addeths1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt

[[Datei:.addeths2.png]]

und die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch vom DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Für ein besseres Verständnis lesen Sie bitte den Artikel [[Zonenkonzept|Zonenkonzept]].

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Hier sehen Sie eine Beispielkonfiguration:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS finden Sie in unseren [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS finden Sie [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:Addeth.png

2015-08-24T08:09:10Z

Alexanders: Screenshot - Ethernet-Schnittstelle hinzufügen / Ergänzung meinerseits, da vorher fehlend.

Screenshot - Ethernet-Schnittstelle hinzufügen / Ergänzung meinerseits, da vorher fehlend.

UTM/NET/Ethernet v11.7

2015-08-24T07:39:13Z

Alexanders: /* Konfiguration eines Ethernet Interface UTMV11 */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:zoneeth.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle werden noch Zonen für das Interface selbst benötigt.

[[Datei:.ifzoneeth.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addeth.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv ist. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addeths1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt

[[Datei:.addeths2.png]]

und die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch vom DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Für ein besseres Verständnis lesen Sie bitte den Artikel [[Zonenkonzept|Zonenkonzept]].

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Hier sehen Sie eine Beispielkonfiguration:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS finden Sie in unseren [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS finden Sie [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-08-24T07:37:01Z

Alexanders: /* Konfiguration eines Ethernet Interface UTMV11 */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:zoneeth.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle werden noch Zonen für das Interface selbst benötigt.

[[Datei:.ifzoneeth.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addeth.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv ist. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addeths1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt

[[Datei:.addeths2.png]]

und die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um sich ihre IP-Adresse automatisch vom DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Für ein besseres Verständnis lesen Sie bitte den Artikel [[Zonenkonzept|Zonenkonzept]].

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Hier sehen Sie eine Beispielkonfiguration:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS finden Sie in unseren [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS finden Sie [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/AUTH/OTP-AD v11.7

2015-08-21T14:59:53Z

Alexanders:

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth. 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Im Falle eines Ausfalls des Smartphones kann das OTP nicht mehr generiert werden kann und es besteht kein Zugriff mehr auf die ausgewählten Funktionen der UTM. 
Sollte sich dieses auch auf die Administration der UTM beziehen, muss diese Firewall komplett neu aufsetzen werden. 
|}

Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben.

Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü ''Netzwerk'' unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

==Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP==
===Attribute im Active Directory===
Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki [[Benutzergruppen_Anbindung-AD | Active Directory Anbindung]], wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt. 
[[Datei:WIN2012_AD_BuGerw.png|250px|right|thumb|AD Erweiterte Einstellungen]]
Eine Liste der Attribute befindet sich im Active Directory unter ''Active Directory-Benutzer und -Computer". 
Dazu ist es allerdings notwendig, unter ''Ansicht'' den Menüpunkt ''Erweiterte Features'' zu aktivieren.

[[Datei:WIN2012_AD_EuserAE.png|250px|right|thumb|AD Attribut-Editor]]
Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab ''Attribut-Editor'' befindet sich eine Liste mit den Attributen.

In diesem Beispiel stehen die Attribute ''extensionAttribute1 - 15'' zur Verfügung. Hier sind keinem Benutzer Werte hinterlegt und ich wähle das ''extensionAttribute10'' um dort den OTP Geheimcode für die User zu hinterlegen.

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

===Attribut in der UTM Eintragen===
[[Datei:UTM115_AI_ADotpA.png|250px|right|thumb|AD OTP Attribut]]
Jetzt muss die UTM wissen, in welchem Attribut des AD sie den OTP Geheimcode findet.

Im Menü ''Authentifizierung'' unter dem Punkt ''Externe Authentifizierung'' im Tab ''AD/LDAP'' befindet sich der Abschnitt ''Erweitert''.

Hier wird im Feld der Zeile ''OTP-Attribute:'' das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.

===OTP Geheimcode generieren===
Da im AD Attribut ''extensionAttribute10'' als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen.

[[Datei:UTM115_AI_ABotpduser.png|250px|right|thumb|Dummy User für OTP-Schlüssel]]
Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.

[[Datei:UTM115_AI_ABotpcode.png|250px|right|thumb|OTP-Schlüssel generieren]]
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''. 
Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.

[[Datei:WIN2012_AD_EUAcode_hinz.png|250px|right|thumb|Schlüssel-Code in Attribut einfügen]]
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden. 
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.

[[Datei:UTM115_AI_ABqrSave.png|250px|right|thumb|QR Code als Grafik speichern]]
Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[OTP_V11#Einrichten_des_Google_Authenticator | hier]].

Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten. 
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.

===Gruppe für AD Authentifizierung anlegen===
Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können. 

[[Datei:UTM115_AI_ABGber.png|250px|right|thumb|Benutzergruppe anlegen]]
Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.

[[Datei:UTM115_AI_ABGadg.png|250px|right|thumb|AD Gruppe mit UTM Benutzergruppe verknüpfen]]
Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.

Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.

UTM/AUTH/OTP-AD v11.7

2015-08-21T14:58:21Z

Alexanders:

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth. 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Im Falle eines Ausfalls des Smartphones kann das OTP nicht mehr generiert werden kann und es besteht kein Zugriff mehr auf die ausgewählten Funktionen der UTM. 
Sollte sich dieses auch auf die Administration der UTM beziehen, muss diese Firewall komplett neu aufsetzen werden. 
|}

Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü ''Netzwerk'' unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

==Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP==
===Attribute im Active Directory===
Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki [[Benutzergruppen_Anbindung-AD | Active Directory Anbindung]], wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt. 
[[Datei:WIN2012_AD_BuGerw.png|250px|right|thumb|AD Erweiterte Einstellungen]]
Eine Liste der Attribute befindet sich im Active Directory unter ''Active Directory-Benutzer und -Computer". 
Dazu ist es allerdings notwendig, unter ''Ansicht'' den Menüpunkt ''Erweiterte Features'' zu aktivieren.

[[Datei:WIN2012_AD_EuserAE.png|250px|right|thumb|AD Attribut-Editor]]
Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab ''Attribut-Editor'' befindet sich eine Liste mit den Attributen.

In diesem Beispiel stehen die Attribute ''extensionAttribute1 - 15'' zur Verfügung. Hier sind keinem Benutzer Werte hinterlegt und ich wähle das ''extensionAttribute10'' um dort den OTP Geheimcode für die User zu hinterlegen.

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

===Attribut in der UTM Eintragen===
[[Datei:UTM115_AI_ADotpA.png|250px|right|thumb|AD OTP Attribut]]
Jetzt muss die UTM wissen, in welchem Attribut des AD sie den OTP Geheimcode findet.

Im Menü ''Authentifizierung'' unter dem Punkt ''Externe Authentifizierung'' im Tab ''AD/LDAP'' befindet sich der Abschnitt ''Erweitert''.

Hier wird im Feld der Zeile ''OTP-Attribute:'' das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.

===OTP Geheimcode generieren===
Da im AD Attribut ''extensionAttribute10'' als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen.

[[Datei:UTM115_AI_ABotpduser.png|250px|right|thumb|Dummy User für OTP-Schlüssel]]
Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.

[[Datei:UTM115_AI_ABotpcode.png|250px|right|thumb|OTP-Schlüssel generieren]]
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''. 
Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.

[[Datei:WIN2012_AD_EUAcode_hinz.png|250px|right|thumb|Schlüssel-Code in Attribut einfügen]]
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden. 
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.

[[Datei:UTM115_AI_ABqrSave.png|250px|right|thumb|QR Code als Grafik speichern]]
Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[OTP_V11#Einrichten_des_Google_Authenticator | hier]].

Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten. 
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.

===Gruppe für AD Authentifizierung anlegen===
Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können. 

[[Datei:UTM115_AI_ABGber.png|250px|right|thumb|Benutzergruppe anlegen]]
Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.

[[Datei:UTM115_AI_ABGadg.png|250px|right|thumb|AD Gruppe mit UTM Benutzergruppe verknüpfen]]
Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.

Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.

UTM/AUTH/OTP-AD v11.7

2015-08-21T14:29:01Z

Alexanders:

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth. 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben, aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü ''Netzwerk'' unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

==Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP==
===Attribute im Active Directory===
Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki [[Benutzergruppen_Anbindung-AD | Active Directory Anbindung]], wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt. 
[[Datei:WIN2012_AD_BuGerw.png|250px|right|thumb|AD Erweiterte Einstellungen]]
Eine Liste der Attribute befindet sich im Active Directory unter ''Active Directory-Benutzer und -Computer". 
Dazu ist es allerdings notwendig, unter ''Ansicht'' den Menüpunkt ''Erweiterte Features'' zu aktivieren.

[[Datei:WIN2012_AD_EuserAE.png|250px|right|thumb|AD Attribut-Editor]]
Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab ''Attribut-Editor'' befindet sich eine Liste mit den Attributen.

In diesem Beispiel stehen die Attribute ''extensionAttribute1 - 15'' zur Verfügung. Hier sind keinem Benutzer Werte hinterlegt und ich wähle das ''extensionAttribute10'' um dort den OTP Geheimcode für die User zu hinterlegen.

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

===Attribut in der UTM Eintragen===
[[Datei:UTM115_AI_ADotpA.png|250px|right|thumb|AD OTP Attribut]]
Jetzt muss die UTM wissen, in welchem Attribut des AD sie den OTP Geheimcode findet.

Im Menü ''Authentifizierung'' unter dem Punkt ''Externe Authentifizierung'' im Tab ''AD/LDAP'' befindet sich der Abschnitt ''Erweitert''.

Hier wird im Feld der Zeile ''OTP-Attribute:'' das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.

===OTP Geheimcode generieren===
Da im AD Attribut ''extensionAttribute10'' als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen.

[[Datei:UTM115_AI_ABotpduser.png|250px|right|thumb|Dummy User für OTP-Schlüssel]]
Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.

[[Datei:UTM115_AI_ABotpcode.png|250px|right|thumb|OTP-Schlüssel generieren]]
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''. 
Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.

[[Datei:WIN2012_AD_EUAcode_hinz.png|250px|right|thumb|Schlüssel-Code in Attribut einfügen]]
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden. 
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.

[[Datei:UTM115_AI_ABqrSave.png|250px|right|thumb|QR Code als Grafik speichern]]
Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[OTP_V11#Einrichten_des_Google_Authenticator | hier]].

Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten. 
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.

===Gruppe für AD Authentifizierung anlegen===
Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können. 

[[Datei:UTM115_AI_ABGber.png|250px|right|thumb|Benutzergruppe anlegen]]
Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.

[[Datei:UTM115_AI_ABGadg.png|250px|right|thumb|AD Gruppe mit UTM Benutzergruppe verknüpfen]]
Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.

UTM/NET/Ethernet v11.7

2015-08-21T13:10:08Z

Alexanders:

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Loggen Sie sich auf der Firewall ein und wählen Sie den Reiter Netzwerk => Zoneneinstellung aus. Es erscheint ein neues Fenster in dem Sie auf den [[Datei:addzone.png]] Button klicken.

Tragen Sie im neuen Fenster einen aussagekräftigen Namen für die Zone ein.

[[Datei:zoneeth.png]]

Wählen Sie noch keine Schnittstelle aus, da Sie noch kein Ethernet Interface erstellt haben.

Für die Ethernetschnittstelle brauchen wir noch die Zone für das Interface selbst.

[[Datei:.ifzoneeth.png]]

Dazu legen Sie erneut eine Zone an, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Zum Erstellen eines Ethernet Interfaces, wählen Sie den Reiter Netzwerk => Netzwerkkonfiguration aus und klicken Sie auf den [[Datei:.addeth.png]] Button.

Im sich öffnenden Fenster geben Sie im Step 1 den Namen der Schnittstelle an und die IP Adresse des Interface. Als letztes wählen Sie, ob der DHCP Server für die Schnittstelle aktiv ist. Abschließend klicken Sie auf [[Datei:.weiter.png]] .

[[Datei:.addeths1.png]]

Im Step 2 wählen Sie die zuvor angelegten Zonen mit der STRG-Taste aus

[[Datei:.addeths2.png]]

und bestätigen Sie die Auswahl mit [[Datei:.fertig.png]] .

=== Ethernet Schnittstelle bearbeiten ===

Für die Konfiguration eines Ethernet Interfaces wählen Sie den Reiter Netzwerk => Netzwerkkonfiguration und klicken auf bearbeiten [[Bild:.bearbeiten.png]].

==== Allgemein ====

Unter dem Menüpunkt Allgemein sehen Sie den Namen der Schnittstelle, die Sie gerade bearbeiten.

Zusätzlich können Sie festlegen, ob die Schnittstelle als DHCP-Client fungiert, um sich ihre IP-Adresse automatisch vom DHCP-Server zu ziehen.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt Einstellungen legen Sie im ersten Feld die MTU fest. Die Maximum Transmission Unit gibt maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich können Sie noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festlegen.

Über das Feld "Route Hint" können Sie das Gateway der Schnittstelle definieren. Das hat zum Beispiel den Vorteil, dass Sie im Routing nur das Interface (z.B. eth2) angeben müssen und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt IP-Adressen können Sie eine oder mehrere Adressen auf eine Schnittstelle legen.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt Zonen legen Sie Zonen der Schnittstelle fest. Für ein besseres Verständnis lesen Sie bitte den Artikel [[Zonenkonzept|Zonenkonzept]].

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt DynDNS können Sie der Schnittstelle, die nur über eine dynamische IP verfügt, einen Domain-Namen zuweisen, über die die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Hier sehen Sie eine Beispielkonfiguration:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS finden Sie in unseren [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS finden Sie [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle, ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Sie können zusätzlich den Intervall der Pings und die Anzahl der fehlerhaften Versuche genauer definieren.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.