Securepoint Wiki - Benutzerbeiträge [de]

UTM/AUTH/OTP v11.8.8

2021-05-06T13:48:37Z

Chris: /* {{#var:46|Eintragen eines Codes}} */

{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/AUTH/OTP.lang}}

</div>{{DISPLAYTITLE:{{#var:display}}}}{{TOC2}}
'''{{#var:head|Wichtige Hinweise bei Verwendung des OTP-Verfahrens}}'''

{{#var:2|Letzte Anpassung zur Version:}} '''11.8.8''' 

{{cl | {{#var:neu}} |
* {{#var:neu--Renegotiation}}
* {{#var:4a|Angaben zum OTP-Token ergänzt}}
* {{#var:4|Eingabe des Passworts und des OTP-Codes in verschiedene Formaten möglich}} | w=40px }}
 
{{#var:5|Vorherige Versionen:}} [[UTM/AUTH/OTP_v11.7| '''11.7''']] / [[UTM/AUTH/OTP_v11.8| '''11.8''']]

=== {{#var:6|Vorbemerkungen}} ===

{{#var:7|Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.}} 

{{ Hinweis | {{#var:8|Hinweis:}}}} {{#var:9|Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss {{ r | jeder Administrator}} über diesen Token verfügen, um auf das Gerät zugreifen zu können.}}

{{#var:10|Eine Ausnahme auf User-Basis ist nicht möglich}} 
SSL-VPN: 
{{#var:11|Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.}} 
{{#var:12|Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.}}

{{#var:13|Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht. Dieser findet sich unter {{ Menu|Authentifizierung | Benutzer}} {{ Button | OTP QR-Codes drucken | P}}.}} 

{{ Hinweis | !! {{#var:14|Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt aus man eine ausgedruckte Version des QR-Codes.}}}} {{ Hinweis | {{#var:15|Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.}}}}

{{#var:16|Ausdruck dieses Codes für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben. Ablage in der Dokumentation.}}

{{ Hinweis | ! {{#var:18|Hinweis:}} }} {{#var:19|Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.}}
{{#var:20|Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:}} 
* {{#var:21|Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen}}
* {{#var:22|Über die CLI mit dem Kommando '''''system date get'''''}}
* {{#var:23|Über die Root Konsole mit dem Kommando '''''date'''''}}

{{#var:24|Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:}} 
* {{#var:25|Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen}}
* {{#var:26|Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss}}

=== {{#var:27|OTP - One-Time-Password}} ===

{{#var:28|Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.}}

{{#var:29|Um dieses 6 stellige Passwort zu generieren, wird als Token eine Smartphone App gneutzt, wie z.B. der [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Dieser ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.}}

=== {{#var:30|OTP einrichten}} ===

==== {{#var:31|Ablauf bei Aktivierung}} ====
# {{#var:32|Sicherstellen, dass die Uhrzeit der UTM und dem Token synchron läuft}}
# {{#var:33|Übertragung des Geheimcodes an den Token}}
# {{#var:34|Aktivieren des OTP Verfahrens auf der UTM}}
# {{#var:35|Testen der Anmeldung bevor die aktuelle Session beendet wurde}}
{{#var:36|Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.}}

=== {{#var:37|Benutzer mit OTP einrichten}} ===
{{ pt2 | {{#var:38|UTM_V115_OTPUser.png}} | {{#var:39|OTP Benutzer}}}}
{{#var:40|Zunächst werden die Benutzer unter {{ Menu |Authentifizierung| Benutzer}} wie gehabt angelegt. 
Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].}}

{{#var:41|Der OTP-Code für diesen Benutzer kann Sie erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden. 
Anzeigen oder ändernmit klick auf den editieren Button {{ Button ||w}} in der Benutzer Zeile im Reiter {{ Reiter | OTP}} auf der rechten Seite.}}

 

==== {{#var:42|Automatisches erstellen eines Codes}} ====
{{ pt2 | {{#var:43|UTM_V115_OTPCode.png}} | {{#var:44|OTP Code}}}}
{{#var:45|Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur. 
Mit der Schaltfläche {{ Button ||r}} kann der Code neu erzeugt werden.}}

 

==== {{#var:46|Eintragen eines Codes}} ====
{{#var:47|Es ist auch möglich mit {{ Button ||s}} manuell einen 16-stelligen base32 oder HEX-kodierten Schlüssel einzugeben.
Dieses wird zum Beispiel bei einem Hardware Token wie dem OTP c200 benötigt. Hier erhält man vom Lieferanten einen Code, der dann bei dem Benutzer hinterlegt werden muss. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B.:
'''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210}}
'''hex(30)'''A6ABBEF26746BC7121AE1764C2863826B98DD210

{{Gallery2 | {{#var:48|UTM_V115_OTPhex.png}} | {{#var:49|OTP HEX kodiert}}
| {{#var:50|UTM_V115_OTPb32.png}} | {{#var:51|OTP base32 kopdiert}}
|i=3 }}

 

=== {{#var:52|OTP Secret}} ===
{{ pt2 | {{#var:53|UTM_V115_OTPpdf.png}} | {{#var:54|OTP PDF Dokument}}}}
{{#var:55|Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.}}
{{ Button | {{#var:56|OTP QR-Codes drucken}} | p}}

{{#var:57|Es wird dann ein Dokument im PDF Format erstellt.}}

 

=== {{#var:59|Einrichten des Google Authenticator}} ===

{{#var:60|Zunächst muss der Google Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden.}}

{{ pt2 | {{#var:61|AND_GA_OTPkto.png}} | hochkant=0.85 | {{#var:62|OTP Konto hinzufügen}} }}
{{#var:62|Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account. Tippen auf den Button ''Einstellungen''.}} 

{{#var:63|Im nun erscheinenden Fenster ''Konto hinzufügen'' wird im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben'' gewählt.}}

{{#var:64|Bei ''Barcode scannen'' wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht auf dem Smartphone befinden.}}

{{#var:65|Zum automatischen erstellen eines Kontos einfach die Kamera des Smartphonein den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code halten.}}
 

{{ pt2 | {{#var:66|AND_GA_OTPkto2.png}} | hochkant=0.85 |{{#var:67|OTP Konto manuell hinzufügen}} }}
{{#var:68|Soll der QR-Code nicht gescannt werden, können die Daten unter ''Schlüssel eingeben'', manuell eingegeben werden. Es muss hierbei '''Zeitbasiert''' gewählt werden.}}

 

{{ pt2 | {{#var:68b|AND_GA_OTPasswd.png}} | hochkant=0.85 | {{#var:69|One-Time-Passwort}} }}
{{#var:70|Im folgenden Fenster wird dann das Konto mit dem OTP-Code angezeigt. 
Dieser ändert sich alle 30 Sekunden. }}

{{#var:71|Die Zeitanzeige rechts gibt einen Überblick, wie lange dieses OTP-Passwort noch aktiv ist.}}
 

=== {{#var:72|Nutzung eines Hardware Tokens}} ===
{{#var:73|Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.}}

{{pt2 | {{#var:74|UTM115_AI_OTPhex60.png}} | {{#var:75|OTP c200 HEX Code}} }}
{{#var:76|Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten wird dazu mit seperater Post ein HEX(60) Code versendet, der wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegt werden muss.}}
<div class="list--element__alert list--element__hint">
{{#var:76b|Hinweis}}
</div>
{{#var:76c|seed-Hinweis}}

{{ Hinweis | {{#var:77|Unbedingt den Token Key eintragen und nicht die Token ID.}} | gelb}} 
{{#var:78|Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.}}
 

=== {{#var:79|OTP überprüfen}} ===
{{ pt2 | {{#var:80|UTM_V115_OTPcp.png}} | {{#var:81|OTP überprüfen}}}}
{{#var:82|Mit {{ Button ||c}} kann getestet werden, ob das OTP, das über die App generiert wird, auch funktioniert.}}

{{#var:83|In dem neu geöffneten Fenster wird das Passwort eingegeben, das die App zu diesem Benutzer anzeigt und auf {{ Button | OK| b}} gecklickt.}} 
{{ b | {{#var:84|Bitte OTP Code eingeben}} }} <code>OTP Code</code>

{{#var:85|Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
 Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.}}
 

=== {{#var:86|OTP den Anwendungen zuweisen}} ===
{{ pt2 | {{#var:87|UTM_v11-8_Authentifizierung_OTP.png}} | hochkant=1 |{{#var:88|OTP Anwendungen}}}}
{{#var:89|Unter {{ Menu |Authentifizierung|OTP}} kann ausgewählt werden bei welchen Anwendungen sich die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.}} 

{{Kasten | {{#var:90|Webinterfaces}}}}
:{{ ButtonAus | {{#var:91|Aus}}}} {{#var:92|Administrator-Webinterface}}
:{{ ButtonAus | {{#var:91|Aus}} }} {{#var:93|Anwender-Webinterface}}

{{Kasten | {{#var:94|VPN}} }} ({{#var:95|Roadwarrior-Verbindungen}})
:{{ ButtonAus | {{#var:91|Aus}} }} {{#var:96|IPSec}}
:{{ ButtonAus | {{#var:91|Aus}} }} {{#var:97|SSL-VPN}} 

{{Kasten |{{#var:98|Firewall}} }}
:{{ ButtonAus | {{#var:91|Aus}} }} {{#var:99|SSH (Konsole)}} 

 

=== {{#var:100|OTP benutzen}} ===
==== {{#var:101|Webinterface}} ====
{{ pt2 | {{#var:102|UTM_v11-8_User-Interface_OTP-Login.png}} | {{#var:103|Login mit OTP}}}}
{{#var:104|Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld {{ic |<big>{{Button||o}}</big>|Anw=UTM }} für den OTP Code.}}

{{#var:105|Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.}}
 

==== {{#var:106|VPN}} ====

{{ Hinweis | {{#var:118|Neue Option ab Version 11.8 | 11.8}} }}
{{#var:119|Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden: Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste)
Aufbau der Verbindung mit Klick auf}} [[Datei:{{#var:120|SSL-VPN-v2 Verbindung-aufbauen.png}}|x20px]] 
{{#var:121|Die Verbindung wird in drei Schritten Aufgebaut:}}
{{Gallery2 | {{#var:122|SSL-VPN-v2_Benutzername.png}} | {{#var:123|Eingabe Benutzername}}
| {{#var:124|SSL-VPN-v2_Kennwort.png}} | {{#var:125|Eingabe Kennwort}}
| {{#var:126|SSL-VPN-v2_OTP.png}} | {{#var:127|Eingabe OTP}}
| {{#var:127a|SSL-VPN-v2_Verbunden.png}} | {{#var:127b|Verbunden}}
| i=4 | i4=9}}

{{ Hinweis | {{#var:108|VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:}} | gelb}}
{{Gallery2| | {{#var:109|Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.}}{{Hinweis|!!|gelb}}{{#var:109b|Diese Variante steht <nicht> in den Versionen 11.8.0 bis 11.8.3.4 zur Verfügung.}} 
| {{#var:110|SSL-VPN-v2_Benutzername.png}} | {{#var:111|Benutzername}}
| {{#var:112|SSL-VPN-v2_Kennwort.png}}| {{#var:112b|KennwortOTP}}
|i=3}}

{{#var:113|Beispiel:}}
{{ td | {{#var:114|Passwort:}}| insecure | w=100px}}
{{ td | {{#var:115|OTP:}} | 123456 | w=100px}}
{{ td | {{ b |{{#var:116|Kennwort}}}} | <code>insecure123456</code> | w=100px}}
{{#var:128|Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.}}
 

==== {{#var:129|SSH-Verbindung}} ====
{{ Hinweis | {{#var:118|Neue Option ab Version 11.8 | 11.8}} }} 
{{ pt2 | {{#var:141|UTMv11-8_SSH-Login.png}} | {{#var:142|SSH-Login mit OTP unter PuTTY und v11.8}} }}
{{#var:143|Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer seperaten Zeile {{ b | Pin }} abgefragt.}}
 

{{ Hinweis | {{#var:108|VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:}} | gelb}} 
{{ pt2 | {{#var:132|UTMv11-7_SSH-Login.png}} | {{#var:133|SSH-Login mit OTP unter PuTTY und v11.7.15}}}}
{{#var:134|Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.}} {{Hinweis|!!|gelb}}{{#var:109b|Diese Variante steht auch wieder ab Version 11.8.4 zur Verfügung.}} 

{{#var:135|Beispiel:}}
{{ td | {{#var:136|Passwort in UTM:}}| insecure | w=120px}}
{{ td | {{#var:137|OTP:}} | 123456 | w=120px}}
{{ td | {{ b |{{#var:138|Password}}}} | <code>insecure123456</code> | w=120px}}

UTM/RULE/Multi-IP

2019-08-19T12:16:58Z

Chris:

{{Set_lang}}

</div><templatestyles src="Vorlage:Gallery.css" />{{DISPLAYTITLE:Multi-IP}}
'''NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle.'''

{{td | Neuer Artikel |
* Best Practice | w=80px}}

In diesem Artikel wird das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IPs eine Portumleitung oder Portweiterleitung über einer bestimmten IP zu konfigurieren.
{{Hinweis|!}}Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP auf einem Netzwerkobjekt angewendet. 
Um also gezielt auf eine dedizierte IP angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:
* Szenario:
** Zugeteiltes Netz: 198.51.100.48/29
** IP 1: 198.51.100.49/29
** IP 2: 198.51.100.50/29

=== Anlegen eines Neuen Netzwerkobjektes ===

{{pt2 | UTM_v11.8.5_Netzwerk_Netzwerkkonfiguration_IP-Adressen.png }}
Die IP-Adressen auf der Schnittstelle müssen unter {{Menu|Netzwerk | Netzwerkkonfiguration}} → {{Reiter|Netzwerkschnittstellen}} → {{Button| Schnittstelle bearbeiten| w}} → {{Reiter | IP-Adressen}} eingetragen sein
 
Anlegen eines neuen Netzwerkobjektes mit {{Menu | Firewall | Portfilter}} → {{Reiter | Netzwerkobjekte}} → {{Button| + Objekt hinzufügen}}
 

{| class="sptable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung !! Abbildung
|-
| {{b|Name}} || {{ic | external-interface-IP2 |w=x}} || Beliebiger, eindeutiger Name || rowspan="5" |[[Datei:UTM_v11.8.5_Rule_Interface1.png|mini|250px]]
|-
| {{b|Typ}} || style="min-width: 300px;" |{{Button | Statische Schnittstelle&emsp; |dr}} ||
|-
| {{b|IP-Adresse}} || {{Button| 198.51.100.50/29&emsp;|dr}} || Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
|-
| {{b|Zone}} || {{Button | firewall-external &emsp;|dr}} ||
|-
| {{b|Gruppe}} || {{ Button |&emsp;&emsp;&emsp;&emsp; |dr}} || ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
|-
| class="Leerzeile" | {{Button | Speichern}} und erneut aufrufen mit {{Button | |w}}
|-
|{{b|Adresse}} || {{ic | 198.51.100.51/'''32'''|w=x}} || {{Hinweis|!|gelb}}Ändern der Subnetzmaske ''/29'' in '''/32''', damit nur diese IP angesprochen wird! || [[Datei:UTM_v11.8.5_Rule_Interface2.png|mini|250px]]
|-
| class="Leerzeile" | {{Button | Speichern}} {{ic|external-interface|w=x}} {{Button | |w}}
|-
| {{b|Adresse}} || {{ic | 198.51.100.49/32|w=x}} || Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste) Bestehende Adresse {{ic | 0.0.0.0/0|w=x}} trifft auf alle IP-Adressen zu! || [[Datei:UTM v11.8.5 Rule Interface4.png|250px|mini]]
|}
 {{Button | Speichern}}
{{Hinweis|! Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden! }}

{{pt2 | UTM_v11.8.5_Rule_Portweiterleitung_2IPs.png | Regel für Portweiterleitung}}
Unter {{Menu|Firewall|Portfilter}} → {{Reiter|Portfilter}} → {{Button|+ Regel hinzufügen}} muss eine Regel konfiguriert werden:
{| class="wikitable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung
|-
| {{Kasten|Quelle}} || Internet ||
|-
| {{Kasten|Ziel}} || {{Kasten| internal-network| blau | c=grau }} ||Gewünschtes Ziel
|-
| {{Kasten|Dienst}} || {{Kasten | https | blau | c=grau }} || Gewünschter Dienst/Port. Hier: Port 8080 (https)
|-
| class="Leerzeile" | {{Kasten|NAT}}
|-
| {{Kasten|Typ}} || {{Button|DESTNAT|dr}} ||
|-
| {{Kasten|Netzwerkobjekt}} || style="min-width: 160px;" |{{Button | external-interface-IP2&ensp;|dr}} || Schnittstelle, die mit der gewünschten IP konfiguriert wurde
|-
| {{Kasten | Dienst}} || {{Button|https|dr}} || gewünschter Dienst / Port
|}
 {{Button | Schließen }} → {{Button | Regeln aktualisieren | play}}

UTM/RULE/Multi-IP

2019-08-19T12:15:35Z

Chris:

{{Set_lang}}

</div><templatestyles src="Vorlage:Gallery.css" />{{DISPLAYTITLE:Multi-IP}}
'''NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle.'''

{{td | Neuer Artikel |
* Best Practice | w=80px}}

In diesem Artikel wird das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IPs eine Portumleitung oder Portweiterleitung für eine IP zu konfigurieren.
{{Hinweis|!}}Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP auf einem Netzwerkobjekt angewendet. 
Um also gezielt auf eine dedizierte IP angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:
* Szenario:
** Zugeteiltes Netz: 198.51.100.48/29
** IP 1: 198.51.100.49/29
** IP 2: 198.51.100.50/29

=== Anlegen eines Neuen Netzwerkobjektes ===

{{pt2 | UTM_v11.8.5_Netzwerk_Netzwerkkonfiguration_IP-Adressen.png }}
Die IP-Adressen auf der Schnittstelle müssen unter {{Menu|Netzwerk | Netzwerkkonfiguration}} → {{Reiter|Netzwerkschnittstellen}} → {{Button| Schnittstelle bearbeiten| w}} → {{Reiter | IP-Adressen}} eingetragen sein
 
Anlegen eines neuen Netzwerkobjektes mit {{Menu | Firewall | Portfilter}} → {{Reiter | Netzwerkobjekte}} → {{Button| + Objekt hinzufügen}}
 

{| class="sptable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung !! Abbildung
|-
| {{b|Name}} || {{ic | external-interface-IP2 |w=x}} || Beliebiger, eindeutiger Name || rowspan="5" |[[Datei:UTM_v11.8.5_Rule_Interface1.png|mini|250px]]
|-
| {{b|Typ}} || style="min-width: 300px;" |{{Button | Statische Schnittstelle&emsp; |dr}} ||
|-
| {{b|IP-Adresse}} || {{Button| 198.51.100.50/29&emsp;|dr}} || Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
|-
| {{b|Zone}} || {{Button | firewall-external &emsp;|dr}} ||
|-
| {{b|Gruppe}} || {{ Button |&emsp;&emsp;&emsp;&emsp; |dr}} || ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
|-
| class="Leerzeile" | {{Button | Speichern}} und erneut aufrufen mit {{Button | |w}}
|-
|{{b|Adresse}} || {{ic | 198.51.100.51/'''32'''|w=x}} || {{Hinweis|!|gelb}}Ändern der Subnetzmaske ''/29'' in '''/32''', damit nur diese IP angesprochen wird! || [[Datei:UTM_v11.8.5_Rule_Interface2.png|mini|250px]]
|-
| class="Leerzeile" | {{Button | Speichern}} {{ic|external-interface|w=x}} {{Button | |w}}
|-
| {{b|Adresse}} || {{ic | 198.51.100.49/32|w=x}} || Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste) Bestehende Adresse {{ic | 0.0.0.0/0|w=x}} trifft auf alle IP-Adressen zu! || [[Datei:UTM v11.8.5 Rule Interface4.png|250px|mini]]
|}
 {{Button | Speichern}}
{{Hinweis|! Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden! }}

{{pt2 | UTM_v11.8.5_Rule_Portweiterleitung_2IPs.png | Regel für Portweiterleitung}}
Unter {{Menu|Firewall|Portfilter}} → {{Reiter|Portfilter}} → {{Button|+ Regel hinzufügen}} muss eine Regel konfiguriert werden:
{| class="wikitable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung
|-
| {{Kasten|Quelle}} || Internet ||
|-
| {{Kasten|Ziel}} || {{Kasten| internal-network| blau | c=grau }} ||Gewünschtes Ziel
|-
| {{Kasten|Dienst}} || {{Kasten | https | blau | c=grau }} || Gewünschter Dienst/Port. Hier: Port 8080 (https)
|-
| class="Leerzeile" | {{Kasten|NAT}}
|-
| {{Kasten|Typ}} || {{Button|DESTNAT|dr}} ||
|-
| {{Kasten|Netzwerkobjekt}} || style="min-width: 160px;" |{{Button | external-interface-IP2&ensp;|dr}} || Schnittstelle, die mit der gewünschten IP konfiguriert wurde
|-
| {{Kasten | Dienst}} || {{Button|https|dr}} || gewünschter Dienst / Port
|}
 {{Button | Schließen }} → {{Button | Regeln aktualisieren | play}}

UTM/RULE/Multi-IP

2019-08-19T12:15:16Z

Chris:

{{Set_lang}}

</div><templatestyles src="Vorlage:Gallery.css" />{{DISPLAYTITLE:Multi-IP}}
'''NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle.'''

{{td | Neuer Artikel |
* Best Practice | w=80px}}

In diesem Artikel wir das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IPs eine Portumleitung oder Portweiterleitung für eine IP zu konfigurieren.
{{Hinweis|!}}Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP auf einem Netzwerkobjekt angewendet. 
Um also gezielt auf eine dedizierte IP angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:
* Szenario:
** Zugeteiltes Netz: 198.51.100.48/29
** IP 1: 198.51.100.49/29
** IP 2: 198.51.100.50/29

=== Anlegen eines Neuen Netzwerkobjektes ===

{{pt2 | UTM_v11.8.5_Netzwerk_Netzwerkkonfiguration_IP-Adressen.png }}
Die IP-Adressen auf der Schnittstelle müssen unter {{Menu|Netzwerk | Netzwerkkonfiguration}} → {{Reiter|Netzwerkschnittstellen}} → {{Button| Schnittstelle bearbeiten| w}} → {{Reiter | IP-Adressen}} eingetragen sein
 
Anlegen eines neuen Netzwerkobjektes mit {{Menu | Firewall | Portfilter}} → {{Reiter | Netzwerkobjekte}} → {{Button| + Objekt hinzufügen}}
 

{| class="sptable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung !! Abbildung
|-
| {{b|Name}} || {{ic | external-interface-IP2 |w=x}} || Beliebiger, eindeutiger Name || rowspan="5" |[[Datei:UTM_v11.8.5_Rule_Interface1.png|mini|250px]]
|-
| {{b|Typ}} || style="min-width: 300px;" |{{Button | Statische Schnittstelle&emsp; |dr}} ||
|-
| {{b|IP-Adresse}} || {{Button| 198.51.100.50/29&emsp;|dr}} || Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
|-
| {{b|Zone}} || {{Button | firewall-external &emsp;|dr}} ||
|-
| {{b|Gruppe}} || {{ Button |&emsp;&emsp;&emsp;&emsp; |dr}} || ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
|-
| class="Leerzeile" | {{Button | Speichern}} und erneut aufrufen mit {{Button | |w}}
|-
|{{b|Adresse}} || {{ic | 198.51.100.51/'''32'''|w=x}} || {{Hinweis|!|gelb}}Ändern der Subnetzmaske ''/29'' in '''/32''', damit nur diese IP angesprochen wird! || [[Datei:UTM_v11.8.5_Rule_Interface2.png|mini|250px]]
|-
| class="Leerzeile" | {{Button | Speichern}} {{ic|external-interface|w=x}} {{Button | |w}}
|-
| {{b|Adresse}} || {{ic | 198.51.100.49/32|w=x}} || Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste) Bestehende Adresse {{ic | 0.0.0.0/0|w=x}} trifft auf alle IP-Adressen zu! || [[Datei:UTM v11.8.5 Rule Interface4.png|250px|mini]]
|}
 {{Button | Speichern}}
{{Hinweis|! Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden! }}

{{pt2 | UTM_v11.8.5_Rule_Portweiterleitung_2IPs.png | Regel für Portweiterleitung}}
Unter {{Menu|Firewall|Portfilter}} → {{Reiter|Portfilter}} → {{Button|+ Regel hinzufügen}} muss eine Regel konfiguriert werden:
{| class="wikitable" style="width:auto;"
! Beschriftung !! Wert !! Beschreibung
|-
| {{Kasten|Quelle}} || Internet ||
|-
| {{Kasten|Ziel}} || {{Kasten| internal-network| blau | c=grau }} ||Gewünschtes Ziel
|-
| {{Kasten|Dienst}} || {{Kasten | https | blau | c=grau }} || Gewünschter Dienst/Port. Hier: Port 8080 (https)
|-
| class="Leerzeile" | {{Kasten|NAT}}
|-
| {{Kasten|Typ}} || {{Button|DESTNAT|dr}} ||
|-
| {{Kasten|Netzwerkobjekt}} || style="min-width: 160px;" |{{Button | external-interface-IP2&ensp;|dr}} || Schnittstelle, die mit der gewünschten IP konfiguriert wurde
|-
| {{Kasten | Dienst}} || {{Button|https|dr}} || gewünschter Dienst / Port
|}
 {{Button | Schließen }} → {{Button | Regeln aktualisieren | play}}

Node cli v11

2019-07-08T07:30:26Z

Chris: /* Node */

==Node==

{| {{prettytable}}
! Befehl !! Beschreibung !! Beispiel
|-
|node get|| Auflisten der Netzwerkobjekte|| node get
|-
|node new|| Erstellt ein neues Netzwerkobjekt|| node new name "Netzwerkobjekt" address "172.16.3.100/24" zone "internal"
|-
|node set|| Ändern eines Netzwerkobjekts|| node set id "Node-ID" address "172.16.3.150"
|-
|node delete|| Löschen eines Netzwerkobjektes|| node delete node delete id "Note-ID"
|-
| || ||
|-
|node group get|| Listet die Netzwerkgruppen mit den Netzwerkobjekten auf|| node group get
|-
|node group new|| Erstellt eine neue Netzwerkgruppe|| node group new name "Server-grp" nodes [ Netzwerkobjekt1 Netzwerkobjekt2 ]
|-
|node group set|| Ändert eine Netzwerkgruppe|| node group set id "Gruppen-ID" nodes [ Netzwerkobjekt1 Netzwerkobjket2 ]
|-
|node group add|| Fügt Netzwerkobjekte zu einer Netzwerkgruppe hinzu|| node group add id "Gruppen-ID" nodes "Netzwerkobjekt"
|-
|node group rem|| Entfernt Netzwerkobjekte aus einer Netzwerkgruppe|| node group rem id "Gruppen-ID" nodes "Netzwerkobjekt"
|-
|node group delete|| Löscht eine Netzwerkgruppe|| node group delete id "Gruppen-ID"
|}

UTM/UEFI BIOS-Update

2019-05-22T14:49:42Z

Chris: /* Das Update */

{{DISPLAYTITLE:UEFI BIOS Update der G3 Hardware}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2.2'''
 
Bemerkung: Neuer Artikel
 

 
== Einleitung ==
Dieser Artikel beschreibt das Aktualisieren des UEFI BIOS für die Securepoint G3-Hardware. Das Image kann aus dem [https://my.securepoint.de/downloads/cat/1/ Resellerportal] heruntergeladen werden.
===Unterstütze Geräte===

* Black Dwarf G3 (FWS-2251)
* RC100 G3 (FWS-2251)
* RC200 G3 (FWS-2251)
* RC300 G3 (FWS-7820)
* RC400 G3 (FWS-7820)
* RC1000 G3 (FWS-7820)

=== Vorbereitung ===
* Ein Monitor muss an der UTM angeschlossen sein
* Eine Tastatur muss an der UTM angeschlossen sein
* Es wird ein USB Stick mit dem UEFI BIOS Update Image benötigt. Hierfür kann das [http://download.securepoint.de/?d=imagingtool Securepoint Imaging Tool] verwendet werden.
* Die UTM muss ausgeschaltet sein
 
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Für Geräte mit nur einem USB-Port wird ein USB-Hub benötigt.</div>
</div>
<div style="clear: both;"></div>

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Weitere Informationen zu dem Update befinden sich auch auf dem Image.</div>
</div>
<div style="clear: both;"></div>

== Das Update ==

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Während des Firmware-Updates keine USB-Geräte entfernen..</div>
</div>
<div style="clear: both;"></div>

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Das Gerät während der Aktualisierung nicht manuell Neustarten, Ausschalten oder Stromlos machen</div>
</div>
<div style="clear: both;"></div>

 
* Der vorbereite USB-Stick muss an der UTM angeschlossen werden.
* Die UTM muss eingeschaltet werden.
* Mit der Taste "ENTF" (Standarttaste, ansonsten Bildschirmanzeige beachten) das UEFI BIOS starten.
* Die Bootreihenfolge anpassen, sodass der USB-Stick an Position #1 und die interne Festplatte an Position #2 steht. Die anderen Positionen sollten deaktiviert sein.
**Reiter "Boot"
** Menü "Boot Option Priorities"
** Menü "Hard Drive BBS Priorities"
** Mit "ESC"-Taste das Menü verlassen
** Im "Boot" Menü alle nicht benötigten Boot-Devices deaktivieren.
* Das BIOS über "Save & Exit" mit der Option "Save Changes and Reset" verlassen.
* Die UTM bootet nun vom USB-Stick.
* Nach dem erfolgreichen Bootvorgang mit dem Befehl "cd" in das für das Gerät benötigte Verzeichnis wechseln.
 
* FWS-2251
** Black Dwarf G3
** RC 100 G3
** RC 200 G3
* FWS-7820
** RC 300 G3
** RC 400 G3
** RC 1000 G3
 
* Im entsprechenden Ordner die "GO.BAT" Datei ausführen. Das Firmware-Update wird nun automatisch durchgeführt und neu gestartet.
* Mit der Taste "ENTF" (Standarttaste, ansonsten Bildschirmanzeige beachten) das UEFI BIOS starten.
* Der USB-Stick kann nun entfernt werden.
* Die Bootreihenfolge anpassen, sodass die interne Festplatte an Position #1 steht.
**Reiter "Boot"
** Menü "Boot Option Priorities"
** Menü "Hard Drive BBS Priorities"
** Mit "ESC"-Taste das Menü verlassen
* Das BIOS über "Save & Exit" mit der Option "Save Changes and Reset" verlassen.
 
<div style="clear: both;"></div>
[[Datei:UEFI-BIOS-SPLASH.jpg |400px|thumb|right| UTM Splash Screen nach UEFI BIOS Update]]
 
* Die UTM bootet nun und der neue Splash-Screen sollte angezeigt werden.

FAQ/UTM1000001

2018-11-19T13:01:26Z

Chris:

Passend zu unserem HOWTO zur Filterung von Office Dokumenten finden Sie hier vorbereitete CLI Kommando Sets die entsprechende Filterregeln im Mailfilter der Securepoint UTM erzeugen.

Bitte beachten Sie, dass die Syntax auf der Securepoint UTM 11.6.x basierend ist.

Die mit # anfangenden Zeilen sind keine CLI Kommandos und können vorher entfernt werden. Sie können diese auch mit auf die Konsole kopieren, müssen dann die Fehler der Ausgabe entsprechend ignorieren.

So verwenden Sie die CLI Kommando Sets:
Melden Sie sich als Benutzer admin über ssh mit einem entsprechenden SSH Client (wie z.B. Putty) an der Securepoint UTM Firewall an. Kopieren Sie das für Sie passende Script (SMTP, POP3 oder MAILCONNECTOR) und fügen Sie dies auf der Oberfläche der UTM ein.

Wenn Sie Ausnahmen für Domains einrichten wollen (wir empfehlen dies nicht zu tun), dann müssen Sie die # vor den entsprechenden Zeilen entfernen und die Liste der in eckigen Klammern stehenden Domainnamen (z.B. vertrautedomain1.tld) durch die gewünschten Ausnahmedomains ersetzen.

Die hier aufgeführten CLI Kommando Sets dienen als Beispiel und haben keinen Anspruch auf Vollständigkeit bezogen auf Mime Typen, Dateierweiterungen usw. Außerdem umfassen diese keine Kundenindividuellen Besonderheiten. Die CLI Kommando Sets dürfen nur von geschultem Personal angewendet werden.

'''CLI Kommando Set für SMTP
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den SMTP zustellen.

<pre>
# SMTP
# REJECT Virus (spfilterset_smtp_reject_virus)
mail filterng selector new name spfilterset_smtp_reject_virus binop AND
mail filterng selector item new selector spfilterset_smtp_reject_virus type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_smtp_reject_virus action REJECT pos 1

# Reject Word by MIME (spfilterset_smtp_reject_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_word_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_word_by_mime action REJECT pos 2

# Reject Excel by MIME (spfilterset_smtp_reject_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_excel_by_mime action REJECT pos 3

# Reject compressed files by MIME (spfilterset_smtp_reject_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_zip_by_mime action REJECT pos 4

# Reject Office files by extention (spfilterset_smtp_reject_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_office_by_ext binop AND
mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type CONTENT type_arg FILENAME operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_office_by_ext action REJECT pos 5

# Reject compressed files by extention (spfilterset_smtp_reject_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type CONTENT type_arg FILENAME operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_zip_by_ext action REJECT pos 6

# REJECT SPAM (spfilterset_smtp_reject_spam)
mail filterng selector new name spfilterset_smtp_reject_spam binop AND
mail filterng selector item new selector spfilterset_smtp_reject_spam type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_smtp_reject_spam action REJECT pos 7

# Quarantine probably SPAM (spfilterset_smtp_quarantine_possibly_spam)
mail filterng selector new name spfilterset_smtp_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_smtp_quarantine_possibly_spam type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_smtp_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

'''CLI Kommando Set für POP3 Proxy
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den POP3 Proxy filtern.

<pre>
# POP3Proxy
# Filter Virus (spfilterset_pop3_filter_virus)
mail filterng selector new name spfilterset_pop3_filter_virus binop AND
mail filterng selector item new selector spfilterset_pop3_filter_virus type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_pop3_filter_virus action FILTER pos 1

# Filter Word by MIME (spfilterset_pop3_filter_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_word_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_word_by_mime action FILTER pos 2

# Filter Excel by MIME (spfilterset_pop3_filter_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_excel_by_mime action FILTER pos 3

# Filter compressed files by MIME (spfilterset_pop3_filter_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_zip_by_mime action FILTER pos 4

# Filter Office files by extention (spfilterset_pop3_filter_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_office_by_ext binop AND
mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type CONTENT type_arg FILENAME operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_office_by_ext action FILTER pos 5

# Filter compressed files by extention (spfilterset_pop3_filter_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type CONTENT type_arg FILENAME operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_zip_by_ext action FILTER pos 6

# Quarantine SPAM (spfilterset_pop3_quarantine_spam)
mail filterng selector new name spfilterset_pop3_quarantine_spam binop AND
mail filterng selector item new selector spfilterset_pop3_quarantine_spam type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_quarantine_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_pop3_quarantine_spam action QUARANTINE pos 7

# Quarantine probably SPAM (spfilterset_pop3_quarantine_possibly_spam)
mail filterng selector new name spfilterset_pop3_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_pop3_quarantine_possibly_spam type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_pop3_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

'''CLI Kommando Set für Mail-Connector
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den Mail-Connector zustellen.

<pre>
# MAIL-Connector
# DROP Virus (spfilterset_mailconnector_drop_virus)
mail filterng selector new name spfilterset_mailconnector_drop_virus binop AND
mail filterng selector item new selector spfilterset_mailconnector_drop_virus type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_drop_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_mailconnector_drop_virus action DROP pos 1

# Quarantine Word by MIME (spfilterset_mailconnector_quarantine_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_word_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_word_by_mime action QUARANTINE pos 2

# Quarantine Excel by MIME (spfilterset_mailconnector_quarantine_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_excel_by_mime action QUARANTINE pos 3

# Quarantine compressed files by MIME (spfilterset_mailconnector_quarantine_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_zip_by_mime action QUARANTINE pos 4

# Quarantine Office files by extention (spfilterset_mailconnector_quarantine_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_office_by_ext binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type CONTENT type_arg FILENAME operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_office_by_ext action QUARANTINE pos 5

# Quarantine compressed files by extention (spfilterset_mailconnector_quarantine_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type CONTENT type_arg FILENAME operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_zip_by_ext action QUARANTINE pos 6

# Quarantin SPAM (spfilterset_mailconnector_quarantine_spam)
mail filterng selector new name spfilterset_mailconnector_quarantine_spam binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_spam type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_mailconnector_quarantine_spam action QUARANTINE pos 7

# Quarantine probably SPAM (spfilterset_mailconnector_quarantine_possibly_spam)
mail filterng selector new name spfilterset_mailconnector_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_possibly_spam type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_mailconnector_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

UTM/APP/HTTP Proxy-Virenscanner

2018-11-07T16:24:07Z

Chris: /* Securepoint Antivirus Pro */

{{DISPLAYTITLE:HTTP-Proxy Virenscanner}}

== Informationen ==
Letze Anpassung zur Version: '''11.7.3.1'''
 
Bemerkung: Anpassung Trendmicro
 
Vorherige Versionen: -
 

==Virenscannerausnahmen für lokale Virenscanner==

Warum müssen die Update Server der jeweiligen Antiviren-Software im Firewall eigenen Virenscaner zur whitelist hinzugefügt werden?

Bei dem Download von Viren-Signatur Updates kann es zu Fehlerkennungen kommen. Daher ist es ratsam, die Update-Server Ihres AV-Herstellers auf die Ausnahmeliste zu setzen.

==Virenscanner Ausnahmen==

Diese Ausnahmen tragen Sie unter "Anwendungen=>Http Proxy=>Virenscanner" ein. Der Virenscanner arbeitet bei den Ausnahmen mit
[http://de.wikipedia.org/wiki/Regul%C3%A4rer_Ausdruck Regular Expressions].

====Securepoint Antivirus Pro====
* ^[^:]*://[^\.]*\.ikarus\.at/
* ^[^:]*://[^\.]*\.mailsecurity\.at/
 
Für die jeweiligen HTTP Proxy Konfigurationen verwenden Sie bitte folgende [[AV/KB/HTTP_Proxy|Anleitung]].

====Eset====

*^[^:]*://[^\.]*\.eset\.com/
 
Zusätzlich müssen Sie beim ESET - Scanner die Update Server vom Proxy ausnehmen. Da der Scanner erst an einem Server die Datenbankunterschiede und die Lizenz abgleicht. Anschließend wird ein Update Server mitgeteilt der direkt über IP - Adresse (nicht über den Hostnamen) angesprochen wird.
 

Legen Sie dazu Netzwerkobjekte in der Zone "external" mit folgenden IP - Adressen an:(am besten Erstellen Sie eine Gruppe wo Sie alle Netzwerkobjekte reinverschieben.)

Beachten Sie bitte, dass sich die IP -Adressen ändern können! In dem fall müssen Sie den Hostnamen ''update.eset.com'' einmal auflösen und die Adressen vergleichen und gegebenfalls anpassen.

*93.184.71.0/26
*62.67.184.64/27
*89.202.149.32/27
*91.228.164.0/22
*84.233.128.0/17
*38.90.226.0/24
 
Anschließend gehen Sie auf "Anwendungen=>Http Proxy=>Transparenter Modus" und fügen eine Regel hinzu:
*Quelle: Internal Network
*Ziel: Ein Netzwerkobjekt oder eine Netzwerkgruppe welche die IP - Adressen der Update Server abbildet
*Type: EXCLUDE

====G-Data====

*^[^:]*://[^\.]*\.gdatasecurity\.com/
*^[^:]*://[^\.]*\.gdata\.de/
*^[^:]*://[^\.]*\.gdatasecurity\.de/
*^[^:]*://[^\]*\.lumension\.com/
*^[^:]*://[^\.]*\.dedicated\.hosteurope\.de/

===== Die folgenden Informationen stammen von GData und werden ohne Gewähr zur Verfügung gestellt: =====

<blockquote>Sehr geehrte Damen und Herren, 
 
bei GDATA Administrator 13 Endpointprotection muss man ein paar Dateien austauschen, damit die Updates wieder durch die UTM gehen. 
 
Bitte laden Sie nachfolgende Dateien herunter. 
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip]
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip]
 
Bitte entpacken Sie beide Dateien. 
 
Die Datei ''GDIUpdt.dll'' kopieren Sie in das Verzeichnis "''C:\Programme (x86)\Common Files\G DATA\IUpdate''" (bei älteren Betriebssystemen unter "''C:\Programme\Gemeinsame Dateien\G DATA\IUpdate''") und ersetzen damit die bereits vorhandene Datei. 
 
Wenn Sie die Datei "''MMS_Neu''" entpackt haben, dann haben Sie den Ordner "''MMS_Neu''" vorliegen. Den Inhalt dieses Ordners kopieren Sie in das Verzeichnis "''C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer''" (bei älteren Betriebssystemen unter "''C:\Programme\G DATA\G DATA AntiVirus ManagementServer''") und ersetzen auch hier alle Dateien.
 
Danach starten Sie den Dienst G Data ManagementServer neu. 
</blockquote>

==== G-Data Outbreak Shield====

*^[^:]*://[^.]*.gdata\.ctmail\.com/

====Trendmicro====

*^[^:]*://[^\.]*\.activeupdate\.trendmicro\.com/
*^[^:]*://[^\.]*\.trendmicro-g\.georedirector\.akadns\.net/
*^[^:]*://[^\.]*\.trendmicro\.com/
*^[^:]*://[^\/]*\.census\.trendmicro\.com/

====McAfee Saas====

*^[^:]*://vs\.mcafeeasap\.com/
*^[^:]*://download\.mcafee\.com/

====Symantec====

*^[^:]*://[^\/]*\.symantecliveupdate\.com/

====Avira====

*^[^:]*://.*\.avira-update\.(com|net)/
oder
*^[^:]*://.*\.avira\.(com|net)/

====F-Secure====

*^[^:]*://.*\.sp\.f-secure\.com/
*^[^:]*://[^\.]*\.f-secure\.com/
*^[^:]*://[^\.]*\.orsp\.f-secure\.com/

====Bitdefender====

*^[^:]*://upgr-mmxiii\.cdn\.bitdefender\.net

====Microsoft Office 365====

*^[^:]*://officecdn\.microsoft\.com/
*^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/

====Sophos====

*^[^:]*://.*\.sophosupd\.(com|net)/
*^[^:]*://http\.00\.s\.sophosxl\.net/

UTM/APP/HTTP Proxy-Virenscanner

2018-11-07T16:23:40Z

Chris: /* Virenscanner Ausnahmen */

{{DISPLAYTITLE:HTTP-Proxy Virenscanner}}

== Informationen ==
Letze Anpassung zur Version: '''11.7.3.1'''
 
Bemerkung: Anpassung Trendmicro
 
Vorherige Versionen: -
 

==Virenscannerausnahmen für lokale Virenscanner==

Warum müssen die Update Server der jeweiligen Antiviren-Software im Firewall eigenen Virenscaner zur whitelist hinzugefügt werden?

Bei dem Download von Viren-Signatur Updates kann es zu Fehlerkennungen kommen. Daher ist es ratsam, die Update-Server Ihres AV-Herstellers auf die Ausnahmeliste zu setzen.

==Virenscanner Ausnahmen==

Diese Ausnahmen tragen Sie unter "Anwendungen=>Http Proxy=>Virenscanner" ein. Der Virenscanner arbeitet bei den Ausnahmen mit
[http://de.wikipedia.org/wiki/Regul%C3%A4rer_Ausdruck Regular Expressions].

====Securepoint Antivirus Pro====
* ^[^:]*://[^\.]*\.ikarus\.at/
* ^[^:]*://[^\.]*\.mailsecurity\.at/

Für die jeweiligen HTTP Proxy Konfigurationen verwenden Sie bitte folgende [[AV/KB/HTTP_Proxy|Anleitung]].

====Eset====

*^[^:]*://[^\.]*\.eset\.com/
 
Zusätzlich müssen Sie beim ESET - Scanner die Update Server vom Proxy ausnehmen. Da der Scanner erst an einem Server die Datenbankunterschiede und die Lizenz abgleicht. Anschließend wird ein Update Server mitgeteilt der direkt über IP - Adresse (nicht über den Hostnamen) angesprochen wird.
 

Legen Sie dazu Netzwerkobjekte in der Zone "external" mit folgenden IP - Adressen an:(am besten Erstellen Sie eine Gruppe wo Sie alle Netzwerkobjekte reinverschieben.)

Beachten Sie bitte, dass sich die IP -Adressen ändern können! In dem fall müssen Sie den Hostnamen ''update.eset.com'' einmal auflösen und die Adressen vergleichen und gegebenfalls anpassen.

*93.184.71.0/26
*62.67.184.64/27
*89.202.149.32/27
*91.228.164.0/22
*84.233.128.0/17
*38.90.226.0/24
 
Anschließend gehen Sie auf "Anwendungen=>Http Proxy=>Transparenter Modus" und fügen eine Regel hinzu:
*Quelle: Internal Network
*Ziel: Ein Netzwerkobjekt oder eine Netzwerkgruppe welche die IP - Adressen der Update Server abbildet
*Type: EXCLUDE

====G-Data====

*^[^:]*://[^\.]*\.gdatasecurity\.com/
*^[^:]*://[^\.]*\.gdata\.de/
*^[^:]*://[^\.]*\.gdatasecurity\.de/
*^[^:]*://[^\]*\.lumension\.com/
*^[^:]*://[^\.]*\.dedicated\.hosteurope\.de/

===== Die folgenden Informationen stammen von GData und werden ohne Gewähr zur Verfügung gestellt: =====

<blockquote>Sehr geehrte Damen und Herren, 
 
bei GDATA Administrator 13 Endpointprotection muss man ein paar Dateien austauschen, damit die Updates wieder durch die UTM gehen. 
 
Bitte laden Sie nachfolgende Dateien herunter. 
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip]
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip]
 
Bitte entpacken Sie beide Dateien. 
 
Die Datei ''GDIUpdt.dll'' kopieren Sie in das Verzeichnis "''C:\Programme (x86)\Common Files\G DATA\IUpdate''" (bei älteren Betriebssystemen unter "''C:\Programme\Gemeinsame Dateien\G DATA\IUpdate''") und ersetzen damit die bereits vorhandene Datei. 
 
Wenn Sie die Datei "''MMS_Neu''" entpackt haben, dann haben Sie den Ordner "''MMS_Neu''" vorliegen. Den Inhalt dieses Ordners kopieren Sie in das Verzeichnis "''C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer''" (bei älteren Betriebssystemen unter "''C:\Programme\G DATA\G DATA AntiVirus ManagementServer''") und ersetzen auch hier alle Dateien.
 
Danach starten Sie den Dienst G Data ManagementServer neu. 
</blockquote>

==== G-Data Outbreak Shield====

*^[^:]*://[^.]*.gdata\.ctmail\.com/

====Trendmicro====

*^[^:]*://[^\.]*\.activeupdate\.trendmicro\.com/
*^[^:]*://[^\.]*\.trendmicro-g\.georedirector\.akadns\.net/
*^[^:]*://[^\.]*\.trendmicro\.com/
*^[^:]*://[^\/]*\.census\.trendmicro\.com/

====McAfee Saas====

*^[^:]*://vs\.mcafeeasap\.com/
*^[^:]*://download\.mcafee\.com/

====Symantec====

*^[^:]*://[^\/]*\.symantecliveupdate\.com/

====Avira====

*^[^:]*://.*\.avira-update\.(com|net)/
oder
*^[^:]*://.*\.avira\.(com|net)/

====F-Secure====

*^[^:]*://.*\.sp\.f-secure\.com/
*^[^:]*://[^\.]*\.f-secure\.com/
*^[^:]*://[^\.]*\.orsp\.f-secure\.com/

====Bitdefender====

*^[^:]*://upgr-mmxiii\.cdn\.bitdefender\.net

====Microsoft Office 365====

*^[^:]*://officecdn\.microsoft\.com/
*^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/

====Sophos====

*^[^:]*://.*\.sophosupd\.(com|net)/
*^[^:]*://http\.00\.s\.sophosxl\.net/

UTM/APP/HTTP Proxy-Virenscanner

2018-11-07T16:21:40Z

Chris: /* Securepoint Antivirus Pro */

{{DISPLAYTITLE:HTTP-Proxy Virenscanner}}

== Informationen ==
Letze Anpassung zur Version: '''11.7.3.1'''
 
Bemerkung: Anpassung Trendmicro
 
Vorherige Versionen: -
 

==Virenscannerausnahmen für lokale Virenscanner==

Warum müssen die Update Server der jeweiligen Antiviren-Software im Firewall eigenen Virenscaner zur whitelist hinzugefügt werden?

Bei dem Download von Viren-Signatur Updates kann es zu Fehlerkennungen kommen. Daher ist es ratsam, die Update-Server Ihres AV-Herstellers auf die Ausnahmeliste zu setzen.

==Virenscanner Ausnahmen==

Diese Ausnahmen tragen Sie unter "Anwendungen=>Http Proxy=>Virenscanner" ein. Der Virenscanner arbeitet bei den Ausnahmen mit
[http://de.wikipedia.org/wiki/Regul%C3%A4rer_Ausdruck Regular Expressions].

====Securepoint Antivirus Pro====
* ^[^:]*://[^\.]*\.ikarus\.at/
* ^[^:]*://[^\.]*\.mailsecurity\.at/

====Eset====

*^[^:]*://[^\.]*\.eset\.com/
 
Zusätzlich müssen Sie beim ESET - Scanner die Update Server vom Proxy ausnehmen. Da der Scanner erst an einem Server die Datenbankunterschiede und die Lizenz abgleicht. Anschließend wird ein Update Server mitgeteilt der direkt über IP - Adresse (nicht über den Hostnamen) angesprochen wird.
 

Legen Sie dazu Netzwerkobjekte in der Zone "external" mit folgenden IP - Adressen an:(am besten Erstellen Sie eine Gruppe wo Sie alle Netzwerkobjekte reinverschieben.)

Beachten Sie bitte, dass sich die IP -Adressen ändern können! In dem fall müssen Sie den Hostnamen ''update.eset.com'' einmal auflösen und die Adressen vergleichen und gegebenfalls anpassen.

*93.184.71.0/26
*62.67.184.64/27
*89.202.149.32/27
*91.228.164.0/22
*84.233.128.0/17
*38.90.226.0/24
 
Anschließend gehen Sie auf "Anwendungen=>Http Proxy=>Transparenter Modus" und fügen eine Regel hinzu:
*Quelle: Internal Network
*Ziel: Ein Netzwerkobjekt oder eine Netzwerkgruppe welche die IP - Adressen der Update Server abbildet
*Type: EXCLUDE

====G-Data====

*^[^:]*://[^\.]*\.gdatasecurity\.com/
*^[^:]*://[^\.]*\.gdata\.de/
*^[^:]*://[^\.]*\.gdatasecurity\.de/
*^[^:]*://[^\]*\.lumension\.com/
*^[^:]*://[^\.]*\.dedicated\.hosteurope\.de/

===== Die folgenden Informationen stammen von GData und werden ohne Gewähr zur Verfügung gestellt: =====

<blockquote>Sehr geehrte Damen und Herren, 
 
bei GDATA Administrator 13 Endpointprotection muss man ein paar Dateien austauschen, damit die Updates wieder durch die UTM gehen. 
 
Bitte laden Sie nachfolgende Dateien herunter. 
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/GDIUpdt.zip]
 
[http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip http://mirror01.gdata.de/dl_users/hotline/business/files/mms/13.0.0.162/MMS_Neu.zip]
 
Bitte entpacken Sie beide Dateien. 
 
Die Datei ''GDIUpdt.dll'' kopieren Sie in das Verzeichnis "''C:\Programme (x86)\Common Files\G DATA\IUpdate''" (bei älteren Betriebssystemen unter "''C:\Programme\Gemeinsame Dateien\G DATA\IUpdate''") und ersetzen damit die bereits vorhandene Datei. 
 
Wenn Sie die Datei "''MMS_Neu''" entpackt haben, dann haben Sie den Ordner "''MMS_Neu''" vorliegen. Den Inhalt dieses Ordners kopieren Sie in das Verzeichnis "''C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer''" (bei älteren Betriebssystemen unter "''C:\Programme\G DATA\G DATA AntiVirus ManagementServer''") und ersetzen auch hier alle Dateien.
 
Danach starten Sie den Dienst G Data ManagementServer neu. 
</blockquote>

==== G-Data Outbreak Shield====

*^[^:]*://[^.]*.gdata\.ctmail\.com/

====Trendmicro====

*^[^:]*://[^\.]*\.activeupdate\.trendmicro\.com/
*^[^:]*://[^\.]*\.trendmicro-g\.georedirector\.akadns\.net/
*^[^:]*://[^\.]*\.trendmicro\.com/
*^[^:]*://[^\/]*\.census\.trendmicro\.com/

====McAfee Saas====

*^[^:]*://vs\.mcafeeasap\.com/
*^[^:]*://download\.mcafee\.com/

====Symantec====

*^[^:]*://[^\/]*\.symantecliveupdate\.com/

====Avira====

*^[^:]*://.*\.avira-update\.(com|net)/
oder
*^[^:]*://.*\.avira\.(com|net)/

====F-Secure====

*^[^:]*://.*\.sp\.f-secure\.com/
*^[^:]*://[^\.]*\.f-secure\.com/
*^[^:]*://[^\.]*\.orsp\.f-secure\.com/

====Bitdefender====

*^[^:]*://upgr-mmxiii\.cdn\.bitdefender\.net

====Microsoft Office 365====

*^[^:]*://officecdn\.microsoft\.com/
*^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/

====Sophos====

*^[^:]*://.*\.sophosupd\.(com|net)/
*^[^:]*://http\.00\.s\.sophosxl\.net/

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2018-11-05T09:24:55Z

Chris: /* Schritt 4 */

{{DISPLAYTITLE:SSL-VPN Roadwarrior}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.1'''
 
Bemerkung: Hashverfahren auswählbar.
 
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]], [[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]]
 

== Einleitung ==
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Mit einem SSL-VPN Roadwarrior können mehrere Clients angebunden werden.</div>
</div>
<div style="clear: both;"></div>

==Roadwarrior konfiguration==
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann unter "VPN" und "SSL-VPN" eine SSL-VPN Verbindung hinzugefügt werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Für die Einrichtung des Roadwarrior wird ein Server-
und ein User-Zertifikat benötigt.</div>
</div>
<div style="clear: both;"></div>
===Einrichtungsassistent===
====Schritt 1====
[[Datei:Utm_ssl-vpn_roadwarrior01.png |300px|thumb|right| Einrichtungsschritt 1]]
 
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*'''Roadwarrior Server'''
*Site to Site Server
*Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
<div style="clear: both;"></div>

====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Einrichtungsschritt 2]]
 
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
<div style="clear: both;"></div>
====Schritt 3====
[[Datei:Utm_ssl-vpn_roadwarrior03.png |300px|thumb|right| Einrichtungsschritt 3]]
 
Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Für jeden Benutzer sollte ein eigenes User-Zertifikat erstellt werden.</div>
</div>
<div style="clear: both;"></div>

====Schritt 4====
[[Datei:Utm_ssl-vpn_roadwarrior04.png |200px|thumb|right| Einrichtungsschritt 4]]
 
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
<div style="clear: both;"></div>

====Schritt 5====
[[Datei:Utm_ssl-vpn_roadwarrior05.png |200px|thumb|right| Einrichtungsschritt 5]]
 
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
*None = Authentifizierung nur über die Zertifikate
*Local = Lokale Benutzer und AD Gruppen
*Radius = Radius Server
<div style="clear: both;"></div>
====Schritt 6====
[[Datei:Utm_ssl-vpn_roadwarrior06.png |400px|thumb|right| Einrichtungsschritt 6]]
 
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
'''Achtung: Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!'''
<div style="clear: both;"></div>
===Regelwerk===
[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|240px|Implizite Regeln]]
 
Unter Firewall -> Implizite Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizite Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden. Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
<div style="clear: both;"></div>
====Regeln====
[[Datei:Utm ssl-vpn-rw regel.png|center|1100px|SSLVPN Regeln für eine Roadwarrior Verbindung]]
 
Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Ein Netzwerkobjekt für das Tunnelnetzwerk muss vorab erstellt werden.</div>
</div>
<div style="clear: both;"></div>

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Als Dienst muss der benötigte Dienst ausgewählt werden.</div>
</div>
<div style="clear: both;"></div>

===Benutzer und Gruppen anlegen===
====Gruppe====
[[Datei:Utm_ssl-vpn_roadwarrior12.png|thumb|240px|SSL-VPN Einstellungen für die Gruppe]]
 
Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine '''Gruppe''' hinzugefügt werden. Die Gruppe muss die Berechtigung '''SSL-VPN''' erhalten.
<div style="clear: both;"></div>
====Benutzer====
[[Datei:Utm_ssl-vpn_roadwarrior13.png|thumb|240px|SSL-VPN Einstellungen für die Benutzer]]
 
Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstelle Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstelle SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der '''SSL-VPN Client Download''' aktiviert werden.
<div style="clear: both;"></div>
===SSL-VPN Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Die Installation muss mit Administratoren-Rechten durchgeführt werden.</div>
</div>
<div style="clear: both;"></div>

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Ab Windows 10 muss der SSL-VPN Client >V2 genutzt werden.</div>
</div>
<div style="clear: both;"></div>

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:Utm_ssl-vpn_roadwarrior14.png|thumb|240px|User-Interface]]
 
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:443 https://192.168.175.1:443]) kann unter SSL-VPN Client Download der Client heruntergeladen werden.
*SSL-VPN Client Installer
*SSL-VPN Portable Client
*Konfiguration und Zertifikat
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Die Konfiguration und Zertifikate sind in den Client Versionen bereits vorhanden.</div>
</div>
<div style="clear: both;"></div>

===Hinweise===
====Verschlüsselung====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich</div>
</div>
<div style="clear: both;"></div>
====Hashverfahren====
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich</div>
</div>
<div style="clear: both;"></div>
====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Search Domain====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
==== Hinweis zu vorgeschalteten Routern/Modems====
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität [[Drittgeräte-Firewalls|deaktivieren]].
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.</div>
</div>
<div style="clear: both;"></div>

====IPv6 für eingehende Verbindungen====
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

UTM/VPN/IPSec-S2S v11.7

2018-08-17T12:16:43Z

Chris: /* Konfiguration einer IPSec Site-to-Site Verbindung */

{{DISPLAYTITLE:IPSec Site-to-Site}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Funktions- und Designanpassung
 
Vorherige Versionen: [[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
 

==Einleitung==

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.

== Konfiguration einer IPSec Site-to-Site Verbindung ==
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.
<div>
</div>
<div style="clear: both;"></div>
===Einrichtungsassistent===
====Schritt 1====
[[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]]
 
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior
*'''Site to Site'''
Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt.
<div style="clear: both;"></div>

====Schritt 2====
[[Datei:IPSec_S2S_Schritt_2.png |350px|thumb|right| Einrichtungsschritt 2]]
 
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt.
Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll.
<div style="clear: both;"></div>
====Schritt 3====
[[Datei:IPSec S2S Schritt 3.png |350px|thumb|right| Einrichtungsschritt 3]]
 
Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden.
Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
<div style="clear: both;"></div>
====Schritt 4====
[[Datei:IPSec_Schritt_4_Gegenstelle.png |350px|thumb|right| Einrichtungsschritt 4]]
 
Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen.
Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben.
Danach kann der Einrichtungsassistent abgeschlossen werden.
<div style="clear: both;"></div>
===Regelwerk===

[[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizierte Regeln]]
 
Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.
<div style="clear: both;"></div>
[[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizierte Regeln]]
 
Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
<div style="clear: both;"></div>

==== Netzwerkobjekt anlegen ====
[[Datei:IPSec_Netzwerkobjekt_anlegen.png|thumb|300px|Netzwerkobjekt]]
 
Sollte unter dem Punkt Implizierte Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden.
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
* Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
* Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen.
* Als Zone wird vpn-ipsec ausgewählt.
<div style="clear: both;"></div>
==== Portfilterregel anlegen ====
[[Datei:IPSec Regel erstellen.png|thumb|350px|Portfilterregel]]
 
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen.
* Als Quelle wird das interne Netzwerk ausgewählt.
* Als Ziel wird das IPSec-Netzwerk ausgewählt.
* Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
* Falls unter den implizierten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt.
<div style="clear: both;"></div>
====Regeln und Routing====
[[Datei:Utm ssl-vpn regel.png|center|1100px|SSLVPN Regeln für eine S2S Verbindung]]
 
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Als Dienst muss der benötigte Dienst ausgewählt werden.</div>
</div>
<div style="clear: both;"></div>

=== Konfiguration des zweiten Gateways ===
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.</div>
</div>
<div style="clear: both;"></div>

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.
* Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt.
* Portfilterregeln werden erstellt.

Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen.
Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.

===Hinweise===
====Der transparente HTTP-Proxy====
Wenn von der aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtern. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss ein '''Exclude''' mit der Quelle '''internal-network'''' zum Ziel '''name-vpn-netzwerk-objekt'''' und dem Protokoll '''HTTP''' erstellt werden.

UTM/VPN/ClientlessVPN v11.7.6

2018-04-17T11:58:25Z

Chris: /* Anpassung der Registry */

{{DISPLAYTITLE:Clientless VPN}}

== Informationen ==
Letze Anpassung zur Version: '''11.7.6.1'''
 
Bemerkung: Hinweis für Terra-Cloud Maschinen hinzugefügt
 
Vorherige Versionen: [[UTM/VPN/ClientlessVPN_v11.7.6 | 11.7.6]]
 

==Einleitung==

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.

===Besonderheiten der Browser===
Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https mit dem entsprechenden User Webinterface Port statt.

Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet. 
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell
bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer Version 9 ist das nicht nötig, da reicht die Bestätigung des Zertifikats
über den normalen https Port.

Der Internet Explorer Version 9 braucht das Flashplugin um die Websockets zu emulieren. Native Websockets
werden vom Internet Explorer Version 9 nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert
werden, damit der Websocket Verbindung vertraut werden kann.

== Einrichtung der FW==
=== Clientless Host hinzufügen===
[[Datei:UTM116_AI_CVPN1.png|200px|thumb|right|Server anlegen]]
Der Menüpunkt zum Hinzufügen von Servern zum ''Clientless VPN'' befindet sich im Menü unter ''VPN''. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Benötigt werden folgende Angaben:
*Name des Host
*Dienst über den auf den Host zugegriffen werden soll
*IP-Adresse des Host
*Port der auf dem Host für den Zugriff freigeschaltet ist
*Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
*Farbtiefe (16 oder 24 bit)

Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.

Die Einträge unter ''Domain'', ''Benutzername'' und ''Passwort'' sind Optional. Werden diese Felder frei gelassen, erfolgt eine Abfrage des Benutzernamens und des Passwort wenn der Host über Clientless VPN aufgerufen wird.

=== Zuweisen der Gruppe===
[[Datei:UTM116_AI_CVPN2.png|200px|thumb|right|Gruppen Berechtigungen]]
Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt ''Authentifizierung'' wird das Untermenü ''Benutzer'' ausgewählt. Im Reiter ''Gruppen'' kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für ''Clientless VPN'' und das ''Userinterface'' erhalten müssen.

[[Datei:UTM116_AI_CVPN3.png|200px|thumb|right|Server der Gruppe zuweisen]]
Anschließend werden im jetzt zusätzlich angezeigten Reiter ''Clientless VPN'' die Server mit dem Plus Button hinzugefügt, auf die die Benutzer dieser Gruppe Zugriff haben sollen.

===Zugriff erlauben===
[[Datei:UTM116_AI_CVPN4.png|200px|thumb|right|Gruppen Berechtigungen]]
Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.

Ab Version 11.6 reicht es aus im Menü unter ''Firewall'' den Menüpunkt Implizite Regel zu wählen und im Reiter VPN die Markierung bei ''User Interface Portal'' zu setzten. Hier wird dann der unter ''Netzwerk'' im Menü ''Servereinstellungen'' eingetragene Port für das User Webinterface automatisch berücksichtigt.

Bei Versionen vor 11.6 müssen die Ports des User Webinterfaces (bei Auslieferung Port 443) sowie die Socketports 2107/2907 freigegeben werden.

Bei Versionen vor 11.4 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.

==Anmelden==
Die Anmeldung am Userinterface der UTM erfolgt über die Eingabe der URL
https://<UTM-IP>
im Browser wenn das User Webinterface noch auf dem Standardport 443 läuft. Sollte der User Webinterface Port geändert worden sein wird die URL durch Eingabe eines Doppelpunkt und des Port erweitert:
https://<UTM-IP>:<Port>

Es erscheint nun ein Button ''Clientless VPN''.
[[Datei:UTM116_UI_CVPN1.png|300px|center]]

Ein Klick auf Clientless-VPN öffnet den folgenden Dialog.
Bei Firefox muss in den Versionen vor 11.6 erst einmal das Zertifikat auf dem Port akzeptiert werden.
[[Datei:UTM116_UI_CVPN2.png|300px|center]]

Mit einen Klick auf den entsprechenden Server wird die Verbindung zu diesem aufgebaut. Ist kein Benutzername und Passwort in den Servereinstellungen unter Clientless VPN hinterlegt, werden diese nun abgefragt.
[[Datei:UTM116_UI_CVPN3.png|600px|center]]

==Hinweise==
===Windows 2012R2 mit aktivierten Terminaldiensten===
[[Datei:GPO_network_auth.png|200px|thumb|right|Gruppenrichtlinien Editor]]
Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“. 
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.

===Anpassung der Registry===
Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser Muss den Wert 1 erhalten.
<pre>Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
SecurityLayer</pre>

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.</div>
</div>
<div style="clear: both;"></div>

UTM/APP/HTTP Proxy-Captive Portal-lokal

2017-11-20T16:31:21Z

Chris: /* Forward-Zone bearbeiten */

{{DISPLAYTITLE:Captive Portal mit einem lokal generierten Zertifikat}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.3'''
 
Bemerkung: Artikel aktualisiert.
 
Vorherige Versionen: -
 

==Konfiguration des Captive-Portal==
=== Servereinstellungen ===
[[Datei:CP_servereinstellunge.png| thumb| 350px|Servereinstellungen - FQDN & DNS-Server]]
==== Firewallname anpassen ====
Der Firewallname sollte als FQDN definiert sein. In unserem Beispiel hier wird dies 'portal.anyideas.de' sein.
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.
Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.

==== DNS-Server eintragen ====
Als primären Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt.

 
 
=== Zertifikate erstellen ===
Da die Landingpage des Captive Portals eine HTTPS-Website ist muss im nächsten Schritt für das benötigte Zertifikat gesorgt werden. Wie ein Zertifikat auf der UTM erstellt werden kann, ist [[UTM/AUTH/Zertifikate | hier]] zu lesen.

=== ggf. Gruppe anlegen ===
[[Datei:CP gruppe.png| thumb| 350px|Benutzer - Gruppe anlegen & Rechte vergeben]]
Soll eine Authentifizierung der User am Captiv Portal erfolgen, muss im nächsten Schritt eine Gruppe mit den dafür nötigen Berechtigungen '''HTTP-Proxy''' erstellt werden. Die Gruppe kann auf Wunsch und bei einer bestehender Integration in ein Active Directory auch auf eine im AD vorhandene oder zu generierende Gruppe gemappt werden.
 
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe angelegt werden kann.
 

=== Implizite Regeln ===
[[Datei:CP Impliziete-regeln.png| thumb| 350px|Firewall - Implizite Regeln]]
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind. 
Der Schalter '''CaptivePortalPage''' öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. 
Der Schalter '''CaptivePortalRedirection''' ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
 

=== Einstellungen im Captive Portal ===
[[Datei:CP Proxy captive auth.PNG| center| 600px|HTTP-Proxy - Captive Portal]]

====Captive Portal====
Dieser Schalter aktiviert oder deaktviert das Captive Portal
==== Authentifizierung ====
Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden.

==== Zertifikat ====
Bitte das oben erwähnte Zertifikat auswählen.
==== Maximale Verbindungszeit ====
Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
==== Hostname der Portalseite ====
Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. 
Bei einem Wildcardzertifikat muss der Hostname der Anwort auf eine DNS-Anfrage des Clients entsprechen.
==== Port der Portalseite ====
Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
==== Netzwerkobjekte ====
In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, welche auf die Landingpage umgeleitet werden sollen.
==== Nutzungsbedingungen ====
Hier ist Platz für von Ihnen und/oder Ihrem Anwalt formulierten Nutzungsbedingungen. 
Dies können wir Ihnen leider aus Haftungsgründen nicht bereitstellen.
 

=== Nameserver ===
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.
In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
==== Forward-Zone hinzufügen ====
Der zu vergebende Zonenname entspricht dem FQDN der Firewall. 
In unserem Fall ist dies 'portal.anyideas.de'. 
Als Hostname des Nameserver tragen wir den 'localhost' ein. 
Das Feld der IP-Adresse kann leer gelassen werden. 
[[Datei:CP_nameserver 1.png | 250px | Nameserver - Zonenname]]
[[Datei:CP_nameserver 2.png | 250px | Nameserver - Nameserver Hostname]]
[[Datei:CP_nameserver 3.png | 212px | Nameserver - Nameserver IP]]
 

=== transparenter Proxy ===
[[Datei:CP_transparenter_proxy.png| thumb| 350px|HTTP-Proxy - Transparenter Proxy]]
Hier ist eine Regel von Nöten:
http | include | wlan0-network | internet
 
Diese Regel erlaubt den Zugriff über den benötigten HTTP-Proxy ins Internet.
 

==== Forward-Zone bearbeiten ====
[[Datei:Nameserver-A.png | 250px | thumb | Nameserver - Nameserver IP]]
Anschließend bearbeiten wir die grade erstellte Zone und fügen folgenden Eintrag hinzu: 
 
Name: FQDN der Firewall z.B. "portal.anyideas.de'''.'''"
Typ: A
Wert: IP der Schnittstelle (wlan0 z.B.)
 

=== Portfilter ===
[[Datei:CP_Portfilter.png | 250px | thumb | Firewall - Portfilter IP]]
Im Portfilter müssen abschließend noch zwei Regeln anlegt werden
# Quelle: captive_portal -> Ziel: internet | Dienst: any | NAT: HideNAT external-interface
# Quelle: wlan-0-network -> Ziel: wlan-interface | Dienst: proxy
 

=== Webfilter ===
Abschließend sollte noch der Webfilter konfiguriert werden.
Da über den Proxy gesurft wird ist auch ohne Regel im Portfilter ein Zugriff auf interne Webserver möglich.
Folgende Schritte sind durchzuführen:
==== mit Authentifizierung ====
# Erstellen einer Gruppe (z.B. grp_CP_webfilter) im Portfilter | Netzwerkobjekte zu welcher das wlan-0-network-Netzwerkobjekt gehört hinzufügen.
# Anwendungen | Webfilter | Profil hinzufügen
# Die neu erstellte Gruppe wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

==== ohne Authentifizierung ====
# Anwendungen | Webfilter | Profil hinzufügen
# Die Gruppe der Benutzer wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

UTM/RULE/Portumleitung-Intern v11.7

2017-11-20T16:18:35Z

Chris: /* Portweiterleitung aus internem Netz über externe IP auf internen Server */

{{DISPLAYTITLE:Portumleitung Intern}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 
== Portweiterleitung aus internem Netz über externe IP auf internen Server ==

'''Hinweis! Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.''' 
Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. In diesem Fall verweist die externe URL, die von Intern aufgerufen wird direkt auf den Internen Ziel-Server. 
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter [http://wiki.securepoint.de/index.php/Howtos-V11/Nameserver#Forward-Zone Forward-Zone] im Nameserver Wiki.

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers. Eine Port Weiterleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel kommt die Anfrage allerdings nicht aus dem Internet, sondern direkt aus dem internen Netz über die IP der Firewall, um den Server mit der öffentlichen Domain ansprechen zu können.

*'''TIPP''': Wenn aus dem internen Netz statt der IP ein DNS-Name aufgerufen UND die Firewall als Nameserver verwendet wird, ist das Anlegen eines A-Records der bessere Weg. Hier muss die Firewall lediglich den Namen zu einer internen Adresse auflösen. Die eigentliche Kommunikation geht dann nicht den Umweg über die Firewall sondern findet direkt zwischen Client und Server statt!!! Ein entsprechendes How-To finden sie [http://wiki.securepoint.de/index.php/Howtos-V11/Nameserver#Forward-Zone "'''HIER'''"].

*Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!

*Zielsetzung: Einen internen Server aus dem internen Netz über die IP der Firewall erreichbar machen.

=== Konfiguration der Appliance ===
==== Netzwerkobjekt anlegen ====
Für eine Portweiterleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
#Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
#Wählen Sie als Typ den Eintrag Host.
#Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.
#Stellen Sie im Feld Zone die Zone internal ein.
#Das Feld Gruppe kann leer bleiben.
#Klicken Sie auf Speichern.

[[Datei:Objekt_anlegen.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]

==== Firewall-Regeln für die Weiterleitung anlegen ====
Damit der entsprechende Port an den Server weitergeleitet wird, muss nun die Portweiterleitung als Regel angelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internal-network und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ DESTNAT.
#Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).
#Wählen Sie als Dienst den Port aus den sie an den Server weiterleiten wollen.
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.

[[Datei:Weiterleitung intern.jpg |800px|thumb|center|Portweiterleitung]]

==== Firewall-Regeln für das Hide-NAT anlegen ====
Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun ein Hide-NAT angelegt werden. Mit diesem verstecken Sie die IP des anfragenden Rechners hinter der IP der Firewall. Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internal-network und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ HIDENAT.
#Als Netzwerkobjekt wird das interne Interface ausgewählt (oder das Interface hinter dem sich der Server befindet).
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.

[[Datei:Hide NAT.jpg |800px|thumb|center|Hide-NAT]]

*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.

UTM/VPN/IPSec-S2S v11.7

2017-09-22T13:50:19Z

Chris: /* Konfiguration einer IPSec Site-to-Site Verbindung */

{{DISPLAYTITLE:IPSec Site-to-Site}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Funktions- und Designanpassung
 
Vorherige Versionen: [[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
 

==Einleitung==

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.

== Konfiguration einer IPSec Site-to-Site Verbindung ==
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Ab der UTM Version 11.7 muss für eine IPSec Site to Site Verbindung das Perfect Forward Secrecy (PFS) aktiviert sein.</div>
</div>
<div style="clear: both;"></div>
===Einrichtungsassistent===
====Schritt 1====
[[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]]
 
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior
*'''Site to Site'''
Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt.
<div style="clear: both;"></div>

====Schritt 2====
[[Datei:IPSec_S2S_Schritt_2.png |350px|thumb|right| Einrichtungsschritt 2]]
 
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt.
Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll.
<div style="clear: both;"></div>
====Schritt 3====
[[Datei:IPSec S2S Schritt 3.png |350px|thumb|right| Einrichtungsschritt 3]]
 
Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden.
Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
<div style="clear: both;"></div>
====Schritt 4====
[[Datei:IPSec_Schritt_4_Gegenstelle.png |350px|thumb|right| Einrichtungsschritt 4]]
 
Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen.
Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben.
Danach kann der Einrichtungsassistent abgeschlossen werden.
<div style="clear: both;"></div>
===Regelwerk===

[[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizierte Regeln]]
 
Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.
<div style="clear: both;"></div>
[[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizierte Regeln]]
 
Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
<div style="clear: both;"></div>

==== Netzwerkobjekt anlegen ====
[[Datei:IPSec_Netzwerkobjekt_anlegen.png|thumb|300px|Netzwerkobjekt]]
 
Sollte unter dem Punkt Implizierte Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden.
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
* Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
* Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen.
* Als Zone wird vpn-ipsec ausgewählt.
<div style="clear: both;"></div>
==== Portfilterregel anlegen ====
[[Datei:IPSec Regel erstellen.png|thumb|350px|Portfilterregel]]
 
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen.
* Als Quelle wird das interne Netzwerk ausgewählt.
* Als Ziel wird das IPSec-Netzwerk ausgewählt.
* Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
* Falls unter den implizierten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt.
<div style="clear: both;"></div>
====Regeln und Routing====
[[Datei:Utm ssl-vpn regel.png|center|1100px|SSLVPN Regeln für eine S2S Verbindung]]
 
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;">Als Dienst muss der benötigte Dienst ausgewählt werden.</div>
</div>
<div style="clear: both;"></div>

=== Konfiguration des zweiten Gateways ===
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;">Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.</div>
</div>
<div style="clear: both;"></div>

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.
* Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt.
* Portfilterregeln werden erstellt.

Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält.
Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.

Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen.
Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.

UTM/APP/HTTP Proxy-Captive Portal-extern

2017-04-25T13:41:54Z

Chris: /* Forward-Zone bearbeiten */

{{DISPLAYTITLE:Captive Portal mit einem käuflich erworbenen Zertifikat}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neue Funktion in der UTM
 
Vorherige Versionen: -
 
==Konfiguration des Captive-Portal==
=== Servereinstellungen ===
[[Datei:CP_servereinstellunge.png| thumb| 350px|Servereinstellungen - FQDN & DNS-Server]]
==== Firewallname anpassen ====
Der Firewallname sollte als FQDN definiert sein. In unserem Beispiel hier wird dies 'portal.anyideas.de' sein.
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.
Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.

==== DNS-Server eintragen ====
Als primären Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt.

 
 
=== Zertifikate importieren ===
Da die Landingpage des Captive Portals eine HTTPS-Website ist muss im nächsten Schritt für das benötigte Zertifikat gesorgt werden. Wir empfehlen hier ausdrücklich ein Zertifikat von einer offiziellen CA zu erwerben (oder ein bereits vorhandenes Wildcardzertifikat zu verwenden), um späteren Irritationen wegen Warnmeldungen des Browsers vorzubeugen.
Grundsätzlich bestehen hier zwei Optionen:
* Ein Zertifikat für einen FQDN
** in diesem Fall wäre der Common Name des Zertifikats 'portal.anyideas.de'
* Ein Wildcardzertifikat
** in diesem Fall wäre der Common Name des Zertifikats '*.anyideas.de'

Im ersten Schritt muss die, zusammen mit dem Zertifikat zur Verfügung gestellte CA, in die UTM importiert werden. 
Anschließend wird der gleiche Schritt für das eigentliche Zertifikat wiederholt.

Mit dem Tool ''openssl'' und den folgenden Befehlen können Zertifikate konvertiert werden:
* X509 zu PEM
openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
* DER zu PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
* P7B zu PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
* PFX zu PEM
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

=== ggf. Gruppe anlegen ===
[[Datei:CP gruppe.png| thumb| 350px|Benutzer - Gruppe anlegen & Rechte vergeben]]
Soll eine Authentifizierung der User am Captiv Portal erfolgen, muss im nächsten Schritt eine Gruppe mit den dafür nötigen Berechtigungen '''HTTP-Proxy''' erstellt werden. Die Gruppe kann auf Wunsch und bei einer bestehender Integration in ein Active Directory auch auf eine im AD vorhandene oder zu generierende Gruppe gemappt werden.
 
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe angelegt werden kann.
 

=== Implizite Regeln ===
[[Datei:CP Impliziete-regeln.png| thumb| 350px|Firewall - Implizite Regeln]]
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind. 
Der Schalter '''CaptivePortalPage''' öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. 
Der Schalter '''CaptivePortalRedirection''' ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
 

=== Einstellungen im Captive Portal ===
[[Datei:CP Proxy captive auth.PNG| center| 600px|HTTP-Proxy - Captive Portal]]

====Captive Portal====
Dieser Schalter aktiviert oder deaktviert das Captive Portal
==== Authentifizierung ====
Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden.

==== Zertifikat ====
Bitte das oben erwähnte Zertifikat auswählen.
==== Maximale Verbindungszeit ====
Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
==== Hostname der Portalseite ====
Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. 
Bei einem Wildcardzertifikat muss der Hostname der Anwort auf eine DNS-Anfrage des Clients entsprechen.
==== Port der Portalseite ====
Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
==== Netzwerkobjekte ====
In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, welche auf die Landingpage umgeleitet werden sollen.
==== Nutzungsbedingungen ====
Hier ist Platz für von Ihnen und/oder Ihrem Anwalt formulierten Nutzungsbedingungen. 
Dies können wir Ihnen leider aus Haftungsgründen nicht bereitstellen.
 

=== transparenter Proxy ===
[[Datei:CP_transparenter_proxy.png| thumb| 350px|HTTP-Proxy - Transparenter Proxy]]
Hier ist eine Regel von Nöten:
http | include | wlan0-network | internet
 
Diese Regel erlaubt den Zugriff über den benötigten HTTP-Proxy ins Internet.
 

=== Nameserver ===
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.
In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
==== Forward-Zone hinzufügen ====
Der zu vergebende Zonenname entspricht dem FQDN der Firewall. 
In unserem Fall ist dies 'portal.anyideas.de'. 
Als Hostname des Nameserver tragen wir den 'localhost' ein. 
Das Feld der IP-Adresse kann leer gelassen werden. 
[[Datei:CP_nameserver 1.png | 250px | Nameserver - Zonenname]]
[[Datei:CP_nameserver 2.png | 250px | Nameserver - Nameserver Hostname]]
[[Datei:CP_nameserver 3.png | 212px | Nameserver - Nameserver IP]]
 

==== Forward-Zone bearbeiten ====
[[Datei:Nameserver-A.png | 250px | thumb | Nameserver - Nameserver IP]]
Anschließend bearbeiten wir die grade erstellte Zone und fügen folgenden Eintrag hinzu: 
 
Name: FQDN der Firewall
Typ: A
Wert: IP der Schnittstelle (wlan0 z.B.)
 

=== Portfilter ===
[[Datei:CP_Portfilter.png | 250px | thumb | Firewall - Portfilter IP]]
Im Portfilter müssen abschließend noch zwei Regeln anlegt werden
# Quelle: captive_portal -> Ziel: internet | Dienst: any | NAT: HideNAT external-interface
# Quelle: wlan-0-network -> Ziel: wlan-interface | Dienst: proxy
 

=== Webfilter ===
Abschließend sollte noch der Webfilter konfiguriert werden.
Da über den Proxy gesurft wird ist auch ohne Regel im Portfilter ein Zugriff auf interne Webserver möglich.
Folgende Schritte sind durchzuführen:
==== mit Authentifizierung ====
# Erstellen einer Gruppe (z.B. grp_CP_webfilter) im Portfilter | Netzwerkobjekte zu welcher das wlan-0-network-Netzwerkobjekt gehört hinzufügen.
# Anwendungen | Webfilter | Profil hinzufügen
# Die neu erstellte Gruppe wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

==== ohne Authentifizierung ====
# Anwendungen | Webfilter | Profil hinzufügen
# Die Gruppe der Benutzer wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

UTM/APP/HTTP Proxy-Captive Portal-lokal

2017-04-25T13:34:13Z

Chris: /* Forward-Zone bearbeiten */

{{DISPLAYTITLE:Captive Portal mit einem lokal generierten Zertifikat}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neue Funktion in der UTM
 
Vorherige Versionen: -
 
==Konfiguration des Captive-Portal==
=== Servereinstellungen ===
[[Datei:CP_servereinstellunge.png| thumb| 350px|Servereinstellungen - FQDN & DNS-Server]]
==== Firewallname anpassen ====
Der Firewallname sollte als FQDN definiert sein. In unserem Beispiel hier wird dies 'portal.anyideas.de' sein.
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.
Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.

==== DNS-Server eintragen ====
Als primären Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt.

 
 
=== Zertifikate erstellen ===
Da die Landingpage des Captive Portals eine HTTPS-Website ist muss im nächsten Schritt für das benötigte Zertifikat gesorgt werden. Wie ein Zertifikat auf der UTM erstellt werden kann, ist [[UTM/AUTH/Zertifikate | hier]] zu lesen.

=== ggf. Gruppe anlegen ===
[[Datei:CP gruppe.png| thumb| 350px|Benutzer - Gruppe anlegen & Rechte vergeben]]
Soll eine Authentifizierung der User am Captiv Portal erfolgen, muss im nächsten Schritt eine Gruppe mit den dafür nötigen Berechtigungen '''HTTP-Proxy''' erstellt werden. Die Gruppe kann auf Wunsch und bei einer bestehender Integration in ein Active Directory auch auf eine im AD vorhandene oder zu generierende Gruppe gemappt werden.
 
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe angelegt werden kann.
 

=== Implizite Regeln ===
[[Datei:CP Impliziete-regeln.png| thumb| 350px|Firewall - Implizite Regeln]]
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind. 
Der Schalter '''CaptivePortalPage''' öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. 
Der Schalter '''CaptivePortalRedirection''' ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
 

=== Einstellungen im Captive Portal ===
[[Datei:CP Proxy captive auth.PNG| center| 600px|HTTP-Proxy - Captive Portal]]

====Captive Portal====
Dieser Schalter aktiviert oder deaktviert das Captive Portal
==== Authentifizierung ====
Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden.

==== Zertifikat ====
Bitte das oben erwähnte Zertifikat auswählen.
==== Maximale Verbindungszeit ====
Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
==== Hostname der Portalseite ====
Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. 
Bei einem Wildcardzertifikat muss der Hostname der Anwort auf eine DNS-Anfrage des Clients entsprechen.
==== Port der Portalseite ====
Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
==== Netzwerkobjekte ====
In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, welche auf die Landingpage umgeleitet werden sollen.
==== Nutzungsbedingungen ====
Hier ist Platz für von Ihnen und/oder Ihrem Anwalt formulierten Nutzungsbedingungen. 
Dies können wir Ihnen leider aus Haftungsgründen nicht bereitstellen.
 

=== transparenter Proxy ===
[[Datei:CP_transparenter_proxy.png| thumb| 350px|HTTP-Proxy - Transparenter Proxy]]
Hier ist eine Regel von Nöten:
http | include | wlan0-network | internet
 
Diese Regel erlaubt den Zugriff über den benötigten HTTP-Proxy ins Internet.
 

=== Nameserver ===
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.
In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
==== Forward-Zone hinzufügen ====
Der zu vergebende Zonenname entspricht dem FQDN der Firewall. 
In unserem Fall ist dies 'portal.anyideas.de'. 
Als Hostname des Nameserver tragen wir den 'localhost' ein. 
Das Feld der IP-Adresse kann leer gelassen werden. 
[[Datei:CP_nameserver 1.png | 250px | Nameserver - Zonenname]]
[[Datei:CP_nameserver 2.png | 250px | Nameserver - Nameserver Hostname]]
[[Datei:CP_nameserver 3.png | 212px | Nameserver - Nameserver IP]]
 

==== Forward-Zone bearbeiten ====
[[Datei:Nameserver-A.png | 250px | thumb | Nameserver - Nameserver IP]]
Anschließend bearbeiten wir die grade erstellte Zone und fügen folgenden Eintrag hinzu: 
 
Name: FQDN der Firewall
Typ: A
Wert: IP der Schnittstelle (wlan0 z.B.)
 

=== Portfilter ===
[[Datei:CP_Portfilter.png | 250px | thumb | Firewall - Portfilter IP]]
Im Portfilter müssen abschließend noch zwei Regeln anlegt werden
# Quelle: captive_portal -> Ziel: internet | Dienst: any | NAT: HideNAT external-interface
# Quelle: wlan-0-network -> Ziel: wlan-interface | Dienst: proxy
 

=== Webfilter ===
Abschließend sollte noch der Webfilter konfiguriert werden.
Da über den Proxy gesurft wird ist auch ohne Regel im Portfilter ein Zugriff auf interne Webserver möglich.
Folgende Schritte sind durchzuführen:
==== mit Authentifizierung ====
# Erstellen einer Gruppe (z.B. grp_CP_webfilter) im Portfilter | Netzwerkobjekte zu welcher das wlan-0-network-Netzwerkobjekt gehört hinzufügen.
# Anwendungen | Webfilter | Profil hinzufügen
# Die neu erstellte Gruppe wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

==== ohne Authentifizierung ====
# Anwendungen | Webfilter | Profil hinzufügen
# Die Gruppe der Benutzer wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

UTM/APP/HTTP Proxy-Captive Portal-lokal

2017-04-25T13:07:43Z

Chris: /* Forward-Zone bearbeiten */

{{DISPLAYTITLE:Captive Portal mit einem lokal generierten Zertifikat}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neue Funktion in der UTM
 
Vorherige Versionen: -
 
==Konfiguration des Captive-Portal==
=== Servereinstellungen ===
[[Datei:CP_servereinstellunge.png| thumb| 350px|Servereinstellungen - FQDN & DNS-Server]]
==== Firewallname anpassen ====
Der Firewallname sollte als FQDN definiert sein. In unserem Beispiel hier wird dies 'portal.anyideas.de' sein.
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.
Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.

==== DNS-Server eintragen ====
Als primären Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt.

 
 
=== Zertifikate erstellen ===
Da die Landingpage des Captive Portals eine HTTPS-Website ist muss im nächsten Schritt für das benötigte Zertifikat gesorgt werden. Wie ein Zertifikat auf der UTM erstellt werden kann, ist [[UTM/AUTH/Zertifikate | hier]] zu lesen.

=== ggf. Gruppe anlegen ===
[[Datei:CP gruppe.png| thumb| 350px|Benutzer - Gruppe anlegen & Rechte vergeben]]
Soll eine Authentifizierung der User am Captiv Portal erfolgen, muss im nächsten Schritt eine Gruppe mit den dafür nötigen Berechtigungen '''HTTP-Proxy''' erstellt werden. Die Gruppe kann auf Wunsch und bei einer bestehender Integration in ein Active Directory auch auf eine im AD vorhandene oder zu generierende Gruppe gemappt werden.
 
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe angelegt werden kann.
 

=== Implizite Regeln ===
[[Datei:CP Impliziete-regeln.png| thumb| 350px|Firewall - Implizite Regeln]]
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind. 
Der Schalter '''CaptivePortalPage''' öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. 
Der Schalter '''CaptivePortalRedirection''' ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
 

=== Einstellungen im Captive Portal ===
[[Datei:CP Proxy captive auth.PNG| center| 600px|HTTP-Proxy - Captive Portal]]

====Captive Portal====
Dieser Schalter aktiviert oder deaktviert das Captive Portal
==== Authentifizierung ====
Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden.

==== Zertifikat ====
Bitte das oben erwähnte Zertifikat auswählen.
==== Maximale Verbindungszeit ====
Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
==== Hostname der Portalseite ====
Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. 
Bei einem Wildcardzertifikat muss der Hostname der Anwort auf eine DNS-Anfrage des Clients entsprechen.
==== Port der Portalseite ====
Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
==== Netzwerkobjekte ====
In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, welche auf die Landingpage umgeleitet werden sollen.
==== Nutzungsbedingungen ====
Hier ist Platz für von Ihnen und/oder Ihrem Anwalt formulierten Nutzungsbedingungen. 
Dies können wir Ihnen leider aus Haftungsgründen nicht bereitstellen.
 

=== transparenter Proxy ===
[[Datei:CP_transparenter_proxy.png| thumb| 350px|HTTP-Proxy - Transparenter Proxy]]
Hier ist eine Regel von Nöten:
http | include | wlan0-network | internet
 
Diese Regel erlaubt den Zugriff über den benötigten HTTP-Proxy ins Internet.
 

=== Nameserver ===
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.
In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
==== Forward-Zone hinzufügen ====
Der zu vergebende Zonenname entspricht dem FQDN der Firewall. 
In unserem Fall ist dies 'portal.anyideas.de'. 
Als Hostname des Nameserver tragen wir den 'localhost' ein. 
Das Feld der IP-Adresse kann leer gelassen werden. 
[[Datei:CP_nameserver 1.png | 250px | Nameserver - Zonenname]]
[[Datei:CP_nameserver 2.png | 250px | Nameserver - Nameserver Hostname]]
[[Datei:CP_nameserver 3.png | 212px | Nameserver - Nameserver IP]]
 

==== Forward-Zone bearbeiten ====
[[Datei:Nameserver-A.png | 250px | thumb | Nameserver - Nameserver IP]]
Anschließend bearbeiten wir die grade erstellte Zone und fügen folgenden Eintrag hinzu: 
 
Name: FQDN der Firewall
Typ: A
Wert: IP der Schnittstelle
 

=== Portfilter ===
[[Datei:CP_Portfilter.png | 250px | thumb | Firewall - Portfilter IP]]
Im Portfilter müssen abschließend noch zwei Regeln anlegt werden
# Quelle: captive_portal -> Ziel: internet | Dienst: any | NAT: HideNAT external-interface
# Quelle: wlan-0-network -> Ziel: wlan-interface | Dienst: proxy
 

=== Webfilter ===
Abschließend sollte noch der Webfilter konfiguriert werden.
Da über den Proxy gesurft wird ist auch ohne Regel im Portfilter ein Zugriff auf interne Webserver möglich.
Folgende Schritte sind durchzuführen:
==== mit Authentifizierung ====
# Erstellen einer Gruppe (z.B. grp_CP_webfilter) im Portfilter | Netzwerkobjekte zu welcher das wlan-0-network-Netzwerkobjekt gehört hinzufügen.
# Anwendungen | Webfilter | Profil hinzufügen
# Die neu erstellte Gruppe wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

==== ohne Authentifizierung ====
# Anwendungen | Webfilter | Profil hinzufügen
# Die Gruppe der Benutzer wählen
# neu generierten Regelsatz bearbeiten
## URL des internen Webserver hinzufügen
## Aktion auf 'blockieren' stellen

Datei:Nameserver-A.png

2017-04-25T13:05:26Z

Chris:

Datei:Mobile-UMTS1.png

2016-12-13T08:52:13Z

Chris:

Datei:Mobile-UMTS.png

2016-12-13T08:50:57Z

Chris:

Datei:Mobile-LTE.png

2016-12-13T08:50:12Z

Chris:

Datei:Mobile-Provider.png

2016-12-13T08:43:27Z

Chris:

Datei:Mobile-Carrier.png

2016-12-13T08:36:06Z

Chris:

Datei:Mobile-PIN.png

2016-12-13T08:31:23Z

Chris:

Datei:Mobile-Zonen.png

2016-12-13T08:01:37Z

Chris:

Datei:Mobile-Modem.png

2016-12-13T07:59:59Z

Chris:

Datei:Mobile-Step1.png

2016-12-13T07:57:50Z

Chris:

Datei:Mobile-hinzufuegen.png

2016-12-13T07:40:54Z

Chris:

UTM/NET/Mobile Provider

2016-12-13T07:34:38Z

Chris: Die Seite wurde neu angelegt: „=== 1.1.2: UMTS/LTE Provider === Bei der UMTS oder LTE Einrichtung muss der passende APN gewählt werden. Die Carrier stehen in einem Dropdown-Menü zur Auswah…“

=== 1.1.2: UMTS/LTE Provider ===
Bei der UMTS oder LTE Einrichtung muss der passende APN gewählt werden. Die Carrier stehen in einem Dropdown-Menü zur Auswahl. Im Folgenden finden Sie eine Liste der Providerdaten im Überblick.

{| {{prettytable}}
|-
|'''Name des Tarifs'''
|'''Access Point Name (APN)'''
|'''Benutzername'''
|'''Passwort'''
|-
|'''Vodafone APN-Einstellungen'''
| 
| 
| 
|-
|Vodafone Websessions APN
|event.vodafone.de
|vf
|vf
|-
|Vodafone Mobile Connect & Mobook APN
|web.vodafone.de
|vf
|vf
|-
|APN Vodafone Prepaid Surfsticks
|event.vodafone.de
|vf
|vf
|-
|'''T-Mobile APN-Einstellungen'''
| 
| 
| 
|-
|» T-Mobile – Variante 1
|internet.t-mobile
|t-mobile
|tm
|-
|» T-Mobile – Variante 2
|internet.t-d1.de
|internet
|t-d1
|-
|» T-Mobile, Congstar, Penny, ja! mobil, usw
|internet.t-mobile oder 
Smartsites.t-mobile (Komplettarif)
|t-mobile
|tm
|-
|'''o2 APN-Einstellungen'''
| 
| 
| 
|-
|» O2 go & Fonic
|internet
|frei lassen
|frei lassen
|-
|» O2 per Tchibo Surf-Stick
|webmobil
|frei lassen
|frei lassen
|-
|» Klarmobil APN Einstellungen
|internet.mobilcom
|frei lassen
|frei lassen
|-
|'''E-Plus APN-Einstellungen'''
| 
| 
| 
|-
|» E-Plus, Aldi Talk, BASE, Blau
|internet.eplus.de
|eplus
|internet
|-
|» Aldi Talk Tagesflatrate
|tagesflat.eplus.de
|eplus
|internet
|-
|» Simyo
|internet.eplus.de
|simyo
|simyo
|-
|» Blau.de
|internet.eplus.de
|blau
|blau
|}

UTM/AUTH/OTP v11.7

2016-12-02T14:53:19Z

Chris: /* OTP überprüfen */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

=OTP - One-Time-Password=

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Diese ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.

==OTP einrichten==

===Ablauf bei Aktivierung===
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft 
2. Übertragen Sie den Geheimcode an den Token 
3. Aktivieren Sie das OTP Verfahren auf der UTM 
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde 
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.

===Benutzer mit OTP einrichten===
[[Datei:UTM_V115_OTPUser.png|250px|thumb|right|OTP Benutzer]]
Zunächst legen Sie Ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch [[Benutzerverwaltung| Benutzerverwaltung]].

Den OTP-Code für diesen Benutzer erhalten Sie erst, wenn die Eingaben zum Benutzer gespeichert wurden. 
Um diesen zu sehen oder zu ändern, klicken Sie auf den editieren Button in der Benutzer Zeile und wechseln Sie auf den Reiter ''OTP'' auf der rechten Seite. 

====Automatisches erstellen eines Code====
[[Datei:UTM_V115_OTPCode.png|250px|thumb|right|OTP Code]]
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, den Sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.

Diesen Code können Sie ändern, indem Sie über den Button [[Datei:UTM_V115_AktB.png|20px]] automatische einen neuen Code erzeugen lassen.

====Eintragen eines Code====
Weiterhin können Sie über [[Datei:UTM_V115_PB.png|20px]] manuell einen 16-stelligen base32 oder HEX kodierten Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.

[[Datei:UTM_V115_OTPb32.png|250px|thumb|center|OTP base32 kopdiert]]
[[Datei:UTM_V115_OTPhex.png|250px|thumb|center|OTP HEX kodiert]]

===OTP Secret===
[[Datei:UTM_V115_OTPpdf.png|250px|thumb|right|OTP PDF Dokument]]
Zur Weitergabe an die Benutzer haben Sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken Sie dazu einfach auf [[Datei:UTM_V115_OTPCdr.png|120px]]

Es wird dann ein Dokument im PDF Format erstellt.

===Einrichten des Google Authenticator===

Zunächst laden Sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.

Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen Sie auf den Button ''Einstellungen''. 
[[Datei:AND_GA_OTPkto.png|250px|thumb|right|OTP Konto hinzufügen]]
Im nun erscheinenden Fenster ''Konto hinzufügen'' wählen Sie im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben''.

Wenn Sie sich für ''Barcode scannen'' entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden. 

Ansonsten halten Sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.

[[Datei:AND_GA_OTPkto2.png|250px|thumb|right|OTP Konto manuell hinzufügen]]

Möchten Sie den QR-Code nicht abscannen, tippen Sie auf ''Schlüssel eingeben'', tragen Sie den Benutzernamen und den Code ein, wählen Sie Zeitbasiert und klicken auf Hinzufügen.

[[Datei:AND_GA_OTPasswd.png|250px|thumb|right|One-Time-Passwort]]
Im folgenden Fenster sehen Sie dann das Konto mit dem OTP-Code. 
Dieser ändert sich alle 30 Sekunden.

Die Zeitanzeige rechts gibt ihnen einen Überblick wie lange dieses OTP-Passwort noch aktiv ist.

===Nutzung eines Hardware Token===
Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.

[[Datei:UTM115_AI_OTPhex60.png|250px|thumb|right|OTP c200 HEX Code]]
Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten erhalten Sie einen HEX(60) Code, den Sie wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegen.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID. 
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt.
|}

===OTP überprüfen===
[[Datei:UTM_V115_OTPcp.png|250px|thumb|right|OTP überprüfen]]
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken Sie unter ''Benutzer Bearbeiten'' im Abschnitt "OTP" auf den Button [[Datei:UTM_V115_OTPPB.png|20px]]

In dem neu geöffneten Fenster geben Sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf [[Datei:UTM_V115_OTPokB.png|30px]]

[[Datei:UTM_V115_OTPcpb.png|250px|thumb|right|OTP korrekt]]
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
 Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.

===OTP den Anwendungen zuweisen===
[[Datei:UTM_V115_OTPanw.png|250px|thumb|right|OTP Anwendungen]]
Wechseln Sie über ''Authentifizierung'' zum Menüpunkt ''OTP''. 
Hier wählen Sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
Dieses kann bei folgenden Anmeldungen zum Einsatz kommen:

;Webinterfaces
*Administrator-Webinterface
*Anwender-Webinterface

;VPN Roadwarrior-Verbindungen
*IPSec
*SSL-VPN

;Firewall
*SSH Konsole

===OTP benutzen===
====Webinterface====
[[Datei:UTM_V115_OTPUlog.png|250px|thumb|right|Login mit OTP]]
Bei einem Login auf das Administrations- oder User-Webinterface erhalten Sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung ''OTP Code:''.

Hier tragen Sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.

====VPN====
[[Datei:UTM_SSLCL_Kab.png|250px|thumb|right|SSL_VPN Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

====Konsole====
[[Datei:UTM SSH Login.png|250px|thumb|right|SSH Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

UTM/AUTH/OTP v11.7

2016-12-02T14:52:28Z

Chris: /* OTP überprüfen */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

=OTP - One-Time-Password=

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Diese ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.

==OTP einrichten==

===Ablauf bei Aktivierung===
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft 
2. Übertragen Sie den Geheimcode an den Token 
3. Aktivieren Sie das OTP Verfahren auf der UTM 
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde 
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.

===Benutzer mit OTP einrichten===
[[Datei:UTM_V115_OTPUser.png|250px|thumb|right|OTP Benutzer]]
Zunächst legen Sie Ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch [[Benutzerverwaltung| Benutzerverwaltung]].

Den OTP-Code für diesen Benutzer erhalten Sie erst, wenn die Eingaben zum Benutzer gespeichert wurden. 
Um diesen zu sehen oder zu ändern, klicken Sie auf den editieren Button in der Benutzer Zeile und wechseln Sie auf den Reiter ''OTP'' auf der rechten Seite. 

====Automatisches erstellen eines Code====
[[Datei:UTM_V115_OTPCode.png|250px|thumb|right|OTP Code]]
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, den Sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.

Diesen Code können Sie ändern, indem Sie über den Button [[Datei:UTM_V115_AktB.png|20px]] automatische einen neuen Code erzeugen lassen.

====Eintragen eines Code====
Weiterhin können Sie über [[Datei:UTM_V115_PB.png|20px]] manuell einen 16-stelligen base32 oder HEX kodierten Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.

[[Datei:UTM_V115_OTPb32.png|250px|thumb|center|OTP base32 kopdiert]]
[[Datei:UTM_V115_OTPhex.png|250px|thumb|center|OTP HEX kodiert]]

===OTP Secret===
[[Datei:UTM_V115_OTPpdf.png|250px|thumb|right|OTP PDF Dokument]]
Zur Weitergabe an die Benutzer haben Sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken Sie dazu einfach auf [[Datei:UTM_V115_OTPCdr.png|120px]]

Es wird dann ein Dokument im PDF Format erstellt.

===Einrichten des Google Authenticator===

Zunächst laden Sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.

Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen Sie auf den Button ''Einstellungen''. 
[[Datei:AND_GA_OTPkto.png|250px|thumb|right|OTP Konto hinzufügen]]
Im nun erscheinenden Fenster ''Konto hinzufügen'' wählen Sie im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben''.

Wenn Sie sich für ''Barcode scannen'' entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden. 

Ansonsten halten Sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.

[[Datei:AND_GA_OTPkto2.png|250px|thumb|right|OTP Konto manuell hinzufügen]]

Möchten Sie den QR-Code nicht abscannen, tippen Sie auf ''Schlüssel eingeben'', tragen Sie den Benutzernamen und den Code ein, wählen Sie Zeitbasiert und klicken auf Hinzufügen.

[[Datei:AND_GA_OTPasswd.png|250px|thumb|right|One-Time-Passwort]]
Im folgenden Fenster sehen Sie dann das Konto mit dem OTP-Code. 
Dieser ändert sich alle 30 Sekunden.

Die Zeitanzeige rechts gibt ihnen einen Überblick wie lange dieses OTP-Passwort noch aktiv ist.

===Nutzung eines Hardware Token===
Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.

[[Datei:UTM115_AI_OTPhex60.png|250px|thumb|right|OTP c200 HEX Code]]
Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten erhalten Sie einen HEX(60) Code, den Sie wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegen.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID. 
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt.
|}

===OTP überprüfen===
[[Datei:UTM_V115_OTPcp.png|250px|thumb|right|OTP überprüfen]]
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken Sie unter ''Benutzer Bearbeiten'' im Abschnitt "OTP" auf den Button [[Datei:UTM_V115_OTPPB.png|20px]]

In dem neu geöffneten Fenster geben Sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf [[Datei:UTM_V115_OTPokB.png|30px]]

[[Datei:UTM_V115_OTPcpb.png|250px|thumb|right|OTP korrekt]]
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.

===OTP den Anwendungen zuweisen===
[[Datei:UTM_V115_OTPanw.png|250px|thumb|right|OTP Anwendungen]]
Wechseln Sie über ''Authentifizierung'' zum Menüpunkt ''OTP''. 
Hier wählen Sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
Dieses kann bei folgenden Anmeldungen zum Einsatz kommen:

;Webinterfaces
*Administrator-Webinterface
*Anwender-Webinterface

;VPN Roadwarrior-Verbindungen
*IPSec
*SSL-VPN

;Firewall
*SSH Konsole

===OTP benutzen===
====Webinterface====
[[Datei:UTM_V115_OTPUlog.png|250px|thumb|right|Login mit OTP]]
Bei einem Login auf das Administrations- oder User-Webinterface erhalten Sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung ''OTP Code:''.

Hier tragen Sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.

====VPN====
[[Datei:UTM_SSLCL_Kab.png|250px|thumb|right|SSL_VPN Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

====Konsole====
[[Datei:UTM SSH Login.png|250px|thumb|right|SSH Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

UTM/AUTH/OTP v11.7

2016-12-02T14:51:58Z

Chris: /* OTP überprüfen */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

=OTP - One-Time-Password=

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Diese ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.

==OTP einrichten==

===Ablauf bei Aktivierung===
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft 
2. Übertragen Sie den Geheimcode an den Token 
3. Aktivieren Sie das OTP Verfahren auf der UTM 
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde 
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.

===Benutzer mit OTP einrichten===
[[Datei:UTM_V115_OTPUser.png|250px|thumb|right|OTP Benutzer]]
Zunächst legen Sie Ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch [[Benutzerverwaltung| Benutzerverwaltung]].

Den OTP-Code für diesen Benutzer erhalten Sie erst, wenn die Eingaben zum Benutzer gespeichert wurden. 
Um diesen zu sehen oder zu ändern, klicken Sie auf den editieren Button in der Benutzer Zeile und wechseln Sie auf den Reiter ''OTP'' auf der rechten Seite. 

====Automatisches erstellen eines Code====
[[Datei:UTM_V115_OTPCode.png|250px|thumb|right|OTP Code]]
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, den Sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.

Diesen Code können Sie ändern, indem Sie über den Button [[Datei:UTM_V115_AktB.png|20px]] automatische einen neuen Code erzeugen lassen.

====Eintragen eines Code====
Weiterhin können Sie über [[Datei:UTM_V115_PB.png|20px]] manuell einen 16-stelligen base32 oder HEX kodierten Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.

[[Datei:UTM_V115_OTPb32.png|250px|thumb|center|OTP base32 kopdiert]]
[[Datei:UTM_V115_OTPhex.png|250px|thumb|center|OTP HEX kodiert]]

===OTP Secret===
[[Datei:UTM_V115_OTPpdf.png|250px|thumb|right|OTP PDF Dokument]]
Zur Weitergabe an die Benutzer haben Sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken Sie dazu einfach auf [[Datei:UTM_V115_OTPCdr.png|120px]]

Es wird dann ein Dokument im PDF Format erstellt.

===Einrichten des Google Authenticator===

Zunächst laden Sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.

Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen Sie auf den Button ''Einstellungen''. 
[[Datei:AND_GA_OTPkto.png|250px|thumb|right|OTP Konto hinzufügen]]
Im nun erscheinenden Fenster ''Konto hinzufügen'' wählen Sie im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben''.

Wenn Sie sich für ''Barcode scannen'' entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden. 

Ansonsten halten Sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.

[[Datei:AND_GA_OTPkto2.png|250px|thumb|right|OTP Konto manuell hinzufügen]]

Möchten Sie den QR-Code nicht abscannen, tippen Sie auf ''Schlüssel eingeben'', tragen Sie den Benutzernamen und den Code ein, wählen Sie Zeitbasiert und klicken auf Hinzufügen.

[[Datei:AND_GA_OTPasswd.png|250px|thumb|right|One-Time-Passwort]]
Im folgenden Fenster sehen Sie dann das Konto mit dem OTP-Code. 
Dieser ändert sich alle 30 Sekunden.

Die Zeitanzeige rechts gibt ihnen einen Überblick wie lange dieses OTP-Passwort noch aktiv ist.

===Nutzung eines Hardware Token===
Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.

[[Datei:UTM115_AI_OTPhex60.png|250px|thumb|right|OTP c200 HEX Code]]
Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten erhalten Sie einen HEX(60) Code, den Sie wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegen.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID. 
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt.
|}

===OTP überprüfen===
[[Datei:UTM_V115_OTPcp.png|250px|thumb|right|OTP überprüfen]]
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken Sie unter ''Benutzer Bearbeiten'' im Abschnitt "OTP" auf den Button [[Datei:UTM_V115_OTPPB.png|20px]]

In dem neu geöffneten Fenster geben Sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf [[Datei:UTM_V115_OTPokB.png|30px]]

[[Datei:UTM_V115_OTPcpb.png|250px|thumb|right|OTP korrekt]]
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.

Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.

===OTP den Anwendungen zuweisen===
[[Datei:UTM_V115_OTPanw.png|250px|thumb|right|OTP Anwendungen]]
Wechseln Sie über ''Authentifizierung'' zum Menüpunkt ''OTP''. 
Hier wählen Sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
Dieses kann bei folgenden Anmeldungen zum Einsatz kommen:

;Webinterfaces
*Administrator-Webinterface
*Anwender-Webinterface

;VPN Roadwarrior-Verbindungen
*IPSec
*SSL-VPN

;Firewall
*SSH Konsole

===OTP benutzen===
====Webinterface====
[[Datei:UTM_V115_OTPUlog.png|250px|thumb|right|Login mit OTP]]
Bei einem Login auf das Administrations- oder User-Webinterface erhalten Sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung ''OTP Code:''.

Hier tragen Sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.

====VPN====
[[Datei:UTM_SSLCL_Kab.png|250px|thumb|right|SSL_VPN Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

====Konsole====
[[Datei:UTM SSH Login.png|250px|thumb|right|SSH Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

UTM/AUTH/OTP v11.7

2016-04-21T12:35:31Z

Chris: /* Eintragen eines Code */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

=OTP - One-Time-Password=

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Diese ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.

==OTP einrichten==

===Ablauf bei Aktivierung===
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft 
2. Übertragen Sie den Geheimcode an den Token 
3. Aktivieren Sie das OTP Verfahren auf der UTM 
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde 
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.

===Benutzer mit OTP einrichten===
[[Datei:UTM_V115_OTPUser.png|250px|thumb|right|OTP Benutzer]]
Zunächst legen Sie Ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch [[Benutzerverwaltung| Benutzerverwaltung]].

Den OTP-Code für diesen Benutzer erhalten Sie erst, wenn die Eingaben zum Benutzer gespeichert wurden. 
Um diesen zu sehen oder zu ändern, klicken Sie auf den editieren Button in der Benutzer Zeile und wechseln Sie auf den Reiter ''OTP'' auf der rechten Seite. 

====Automatisches erstellen eines Code====
[[Datei:UTM_V115_OTPCode.png|250px|thumb|right|OTP Code]]
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, den Sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.

Diesen Code können Sie ändern, indem Sie über den Button [[Datei:UTM_V115_AktB.png|20px]] automatische einen neuen Code erzeugen lassen.

====Eintragen eines Code====
Weiterhin können Sie über [[Datei:UTM_V115_PB.png|20px]] manuell einen 16-stelligen base32 oder HEX kodierten Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.

[[Datei:UTM_V115_OTPb32.png|250px|thumb|center|OTP base32 kopdiert]]
[[Datei:UTM_V115_OTPhex.png|250px|thumb|center|OTP HEX kodiert]]

===OTP Secret===
[[Datei:UTM_V115_OTPpdf.png|250px|thumb|right|OTP PDF Dokument]]
Zur Weitergabe an die Benutzer haben Sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken Sie dazu einfach auf [[Datei:UTM_V115_OTPCdr.png|120px]]

Es wird dann ein Dokument im PDF Format erstellt.

===Einrichten des Google Authenticator===

Zunächst laden Sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.

Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen Sie auf den Button ''Einstellungen''. 
[[Datei:AND_GA_OTPkto.png|250px|thumb|right|OTP Konto hinzufügen]]
Im nun erscheinenden Fenster ''Konto hinzufügen'' wählen Sie im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben''.

Wenn Sie sich für ''Barcode scannen'' entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden. 

Ansonsten halten Sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.

[[Datei:AND_GA_OTPkto2.png|250px|thumb|right|OTP Konto manuell hinzufügen]]

Möchten Sie den QR-Code nicht abscannen, tippen Sie auf ''Schlüssel eingeben'', tragen Sie den Benutzernamen und den Code ein, wählen Sie Zeitbasiert und klicken auf Hinzufügen.

[[Datei:AND_GA_OTPasswd.png|250px|thumb|right|One-Time-Passwort]]
Im folgenden Fenster sehen Sie dann das Konto mit dem OTP-Code. 
Dieser ändert sich alle 30 Sekunden.

Die Zeitanzeige rechts gibt ihnen einen Überblick wie lange dieses OTP-Passwort noch aktiv ist.

===Nutzung eines Hardware Token===
Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.

[[Datei:UTM115_AI_OTPhex60.png|250px|thumb|right|OTP c200 HEX Code]]
Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten erhalten Sie einen HEX(60) Code, den Sie wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegen.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID. 
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt.
|}

===OTP überprüfen===
[[Datei:UTM_V115_OTPcp.png|250px|thumb|right|OTP überprüfen]]
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken Sie unter ''Benutzer Bearbeiten'' im Abschnitt "OTP" auf den Button [[Datei:UTM_V115_OTPPB.png|20px]]

In dem neu geöffneten Fenster geben Sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf [[Datei:UTM_V115_OTPokB.png|30px]]

[[Datei:UTM_V115_OTPcpb.png|250px|thumb|right|OTP korrekt]]
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.

===OTP den Anwendungen zuweisen===
[[Datei:UTM_V115_OTPanw.png|250px|thumb|right|OTP Anwendungen]]
Wechseln Sie über ''Authentifizierung'' zum Menüpunkt ''OTP''. 
Hier wählen Sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
Dieses kann bei folgenden Anmeldungen zum Einsatz kommen:

;Webinterfaces
*Administrator-Webinterface
*Anwender-Webinterface

;VPN Roadwarrior-Verbindungen
*IPSec
*SSL-VPN

;Firewall
*SSH Konsole

===OTP benutzen===
====Webinterface====
[[Datei:UTM_V115_OTPUlog.png|250px|thumb|right|Login mit OTP]]
Bei einem Login auf das Administrations- oder User-Webinterface erhalten Sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung ''OTP Code:''.

Hier tragen Sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.

====VPN====
[[Datei:UTM_SSLCL_Kab.png|250px|thumb|right|SSL_VPN Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

====Konsole====
[[Datei:UTM SSH Login.png|250px|thumb|right|SSH Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

UTM/AUTH/OTP v11.7

2016-04-21T12:34:50Z

Chris: /* Eintragen eines Code */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11.5}}

Wichtige Hinweise bei Verwendung des OTP-Verfahrens 

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich. 

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. 
Eine Ausnahme auf User-Basis ist nicht möglich 
SSL-VPN: 
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden. 
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden. 
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen. 
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung! 
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. 
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. 
|}

Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft. 
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: 
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden: 
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

=OTP - One-Time-Password=

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. 
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Diese ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar. 
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.

==OTP einrichten==

===Ablauf bei Aktivierung===
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft 
2. Übertragen Sie den Geheimcode an den Token 
3. Aktivieren Sie das OTP Verfahren auf der UTM 
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde 
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. 
Ausnahmen sind nicht möglich.

===Benutzer mit OTP einrichten===
[[Datei:UTM_V115_OTPUser.png|250px|thumb|right|OTP Benutzer]]
Zunächst legen Sie Ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch [[Benutzerverwaltung| Benutzerverwaltung]].

Den OTP-Code für diesen Benutzer erhalten Sie erst, wenn die Eingaben zum Benutzer gespeichert wurden. 
Um diesen zu sehen oder zu ändern, klicken Sie auf den editieren Button in der Benutzer Zeile und wechseln Sie auf den Reiter ''OTP'' auf der rechten Seite. 

====Automatisches erstellen eines Code====
[[Datei:UTM_V115_OTPCode.png|250px|thumb|right|OTP Code]]
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor. 
Zum einen als QR-Code, den Sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.

Diesen Code können Sie ändern, indem Sie über den Button [[Datei:UTM_V115_AktB.png|20px]] automatische einen neuen Code erzeugen lassen.

====Eintragen eines Code====
Weiterhin können Sie über [[Datei:UTM_V115_PB.png|20px]] manuell einen 16-stelligen base32 oder HEX kodierten Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210

[[Datei:UTM_V115_OTPb32.png|250px|thumb|center|OTP base32 kopdiert]]
[[Datei:UTM_V115_OTPhex.png|250px|thumb|center|OTP HEX kodiert]]

===OTP Secret===
[[Datei:UTM_V115_OTPpdf.png|250px|thumb|right|OTP PDF Dokument]]
Zur Weitergabe an die Benutzer haben Sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken Sie dazu einfach auf [[Datei:UTM_V115_OTPCdr.png|120px]]

Es wird dann ein Dokument im PDF Format erstellt.

===Einrichten des Google Authenticator===

Zunächst laden Sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.

Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen Sie auf den Button ''Einstellungen''. 
[[Datei:AND_GA_OTPkto.png|250px|thumb|right|OTP Konto hinzufügen]]
Im nun erscheinenden Fenster ''Konto hinzufügen'' wählen Sie im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben''.

Wenn Sie sich für ''Barcode scannen'' entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden. 

Ansonsten halten Sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.

[[Datei:AND_GA_OTPkto2.png|250px|thumb|right|OTP Konto manuell hinzufügen]]

Möchten Sie den QR-Code nicht abscannen, tippen Sie auf ''Schlüssel eingeben'', tragen Sie den Benutzernamen und den Code ein, wählen Sie Zeitbasiert und klicken auf Hinzufügen.

[[Datei:AND_GA_OTPasswd.png|250px|thumb|right|One-Time-Passwort]]
Im folgenden Fenster sehen Sie dann das Konto mit dem OTP-Code. 
Dieser ändert sich alle 30 Sekunden.

Die Zeitanzeige rechts gibt ihnen einen Überblick wie lange dieses OTP-Passwort noch aktiv ist.

===Nutzung eines Hardware Token===
Auch die Nutzung eines Hardware Token ist möglich. 
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.

[[Datei:UTM115_AI_OTPhex60.png|250px|thumb|right|OTP c200 HEX Code]]
Von unserer Seite wird derzeit der OTP c200 unterstützt. Vom Lieferanten erhalten Sie einen HEX(60) Code, den Sie wie [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegen.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID. 
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt.
|}

===OTP überprüfen===
[[Datei:UTM_V115_OTPcp.png|250px|thumb|right|OTP überprüfen]]
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken Sie unter ''Benutzer Bearbeiten'' im Abschnitt "OTP" auf den Button [[Datei:UTM_V115_OTPPB.png|20px]]

In dem neu geöffneten Fenster geben Sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf [[Datei:UTM_V115_OTPokB.png|30px]]

[[Datei:UTM_V115_OTPcpb.png|250px|thumb|right|OTP korrekt]]
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.

===OTP den Anwendungen zuweisen===
[[Datei:UTM_V115_OTPanw.png|250px|thumb|right|OTP Anwendungen]]
Wechseln Sie über ''Authentifizierung'' zum Menüpunkt ''OTP''. 
Hier wählen Sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
Dieses kann bei folgenden Anmeldungen zum Einsatz kommen:

;Webinterfaces
*Administrator-Webinterface
*Anwender-Webinterface

;VPN Roadwarrior-Verbindungen
*IPSec
*SSL-VPN

;Firewall
*SSH Konsole

===OTP benutzen===
====Webinterface====
[[Datei:UTM_V115_OTPUlog.png|250px|thumb|right|Login mit OTP]]
Bei einem Login auf das Administrations- oder User-Webinterface erhalten Sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung ''OTP Code:''.

Hier tragen Sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.

====VPN====
[[Datei:UTM_SSLCL_Kab.png|250px|thumb|right|SSL_VPN Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

====Konsole====
[[Datei:UTM SSH Login.png|250px|thumb|right|SSH Login mit OTP]]
Wenn Sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen Sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.

{|
|Beispiel:
|-
|Passwort:|| insecure
|-
|OTP:|| 12345
|}

Eingabe in der Passwortzeile: insecure12345

UTM/NET/Bridge-WLAN 11.7

2015-11-25T10:03:53Z

Chris: /* Bridge-Interface einrichten */

[[Kategorie:UTMv11]]

==Bridging mit WLAN==
Seit der Version 11.2.5.2 ist es möglich, Schnittstellen durch eine Bridge zu verbinden, sodass diese wie ein Netzwerk dargestellt werden kann. 
Häufigster Anwendungsfall ist das Bridging des Internen Netzwerkes mit dem WLAN Netzwerk, welches wir in diesem Wiki beschreiben.

'''Achtung! Administrieren Sie die Firewall nicht über eine Schnittstelle, die sie zum Bridge-Interface hinzufügen möchten. Wenn Sie Konfiguration z.B. über die DMZ vornehmen möchten, müssen Sie vorher das Netz unter Netzwerk -> Servereinstellungen -> Administration hinzufügen oder eine Regel: "dmz-network -> dmz-interface -> administration -> ACCEPT" erstellen.'''

===Bridge-Interface einrichten===
[[Datei:UTM11_AI_Netkonf.png|250px|thumb|right|Netzwerkkonfiguration 1]]
Im ersten Schritt entfernen sie alle IP-Adressen von den Schnittstellen die sie für die Bridge verwenden möchten und legen ein Bridge Interface an. Dazu wählen sie in der Menüleiste den Eintrag Netzwerk und Netzwerkkonfiguration aus.

[[Datei:UTM11_AI_InterfaceIP.png|250px|thumb|right|IP-Adresse Entfernen]]
[[Datei:UTM11_AI_Netkonfbb.png|250px|thumb|right|Netzwerkkonfiguration 2]]
Zum entfernen der IP Adressen klicken sie auf den Button [[Datei:UTM11_AI_NTeditB.png|20px]] und anschließend auf IP-Adressen und klicken auf den Button [[Datei:UTM11_AI_MinusB.png|20px]] hinter der IP-Adresse. Anschließend klicken sie auf [[Datei:UTM11_AI_SaveB.png|60px]]

Im Bereich Netzwerkschnittstellen klicken sie nun in der unten stehenden Leiste auf [[Datei:UTM11_AI_BridgeB.png|60px]]

[[Datei:UTM11_AI_BAS1spn.png|200px|thumb|right|Bridgeassistent 1]]
Im Step 1 tragen sie den Namen der Bridge-Schnittstelle und die IP Adresse mit der entsprechenden Subnetzmaske ein. Weiterhin können sie hier das [http://de.wikipedia.org/wiki/Spanning_Tree_Protocol Spanning Tree Protokoll] aktivieren. [[Datei:UTM11_AI_WeiterB.png|50px]]

[[Datei:UTM11_AI_BAS2.png|200px|thumb|right|Bridgeassistent 2]]
Im Step 2 wählen sie die Schnittstellen aus, die gebridged werden sollen. Mit der Taste Steuerung und Mausklick können sie diese Markieren. In unserem Beispiel eth1 und wlan0.[[Datei:UTM11_AI_WeiterB.png|50px]]

[[Datei:UTM11_AI_BAS3.png|200px|thumb|right|Bridgeassistent 3]]
Im letzten Step markieren sie schließlich noch die Zonen, die mit dem Bridge-Interface verknüpft werden sollen. In unserem Beispiel internal und firewall-internal.

Abschließend klicken sie auf [[Datei:UTM11_AI_FertigB.png|50px]]
[[Datei:UTM11_AI_Netkonfpb.png|250px|thumb|right|Netzwerkkonfiguration 3]]

===Netzwerkobjekte anpassen===

[[Datei:UTM11_AI_NTObj.png|250px|thumb|right|Netzwerkobjekte]]
Nach Einrichtung der Schnittstellen müssen sie nun die Netzwerkobjekte anpassen. Klicken sie in der Menüleiste auf Firewall und Portfilter.

Im Bereich Netzwerkobjekte schauen sie nach den Objekten, die in unserem Beispiel schon für internal-network und wlan angelegt worden sind und ändern dort die IP-Adressen und/oder die Zonen. Dieses geschieht einfach mit einem Klick auf [[Datei:UTM11_AI_NTeditB.png|20px]]

Die betroffenen Objekte, die in der Spalte Adresse die Schnittstelle eingetragen haben, müssen sie auf die Schnittstelle bridge0 ändern. In unserem Beispiel sind das die Objekte internal-interface und internal-network, welche im Auslieferzustand auf eth1 stehen. Sollten sie schon Objekte für WLAN angelegt haben, müssen sie diese ebenfalls anpassen oder können diese löschen.

===Portfilterregel einrichten===

[[Datei:UTM11_AI_NTObjadd.png|100px|thumb|right|Netzwerkobjekt all-internal]]
Zum Abschluss benötigen sie noch eine Portfilterregel, damit die beiden Schnittstellen auch über die Firewall verbunden werden. Dazu legen sie ein Netzwerkobjekt an, welches als IP-Adresse 0.0.0.0/0 bekommt und mit der Zone internal verknüpft wird.

Wechseln sie in den Bereich Portfilter und klicken sie auf [[Datei:UTM11_AI_AddRuleB.png|80px]] und legen sie eine Regel an, bei der die Quelle und das Ziel, das von Ihnen angelegte Objekt ist mit dem Dienst "any" und Aktion "ACCEPT".

[[Datei:UTM11_AI_BrRule.png|900px]]

Nach einem klick auf [[Datei:UTM11_AI_AktRuleB.png|100px]] ist die einrichtung der Bridge abgeschlossen.

UTM/VPN/SSL VPN-Roadwarrior-iOS 11.7

2015-11-11T12:34:37Z

Chris:

[[Kategorie:UTMv11]]

Da es immer wieder Probleme mit IPSec- und L2TP-VPN durch doppelt genattete Verbindungen oder gesperrte Ports im Zusammenhang mit Mobilen Geräten gibt und seit Anfang des Jahres eine OpenVPN App auch für iOS existiert bei der ein Jailbreak des Gerätes nicht notwendig ist, haben wir dieses zum Anlass genommen, diese Konfiguration in einem Wiki zu beschreiben.

''Achtung! Leider ergibt sich aus der Kombination iOS9 + OpenVPN Connect 1.0.5 ein Problem, sodass sich die Verbindung nicht herstellen lässt. Bis dies nicht in der App mit einer Aktualisierung behoben ist, ist es nicht möglich eine Verbindung herzustellen. '' 
Die Fehlermeldung im Log lautet: 
TLS_ERROR: BIO read tls_read_plaintext error: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

==Vorbereitungen==
Voraussetzung ist natürlich die Einrichtung eines OpenVPN Roadwarrior auf der Securepoint Firewall wie in dem schon bestehenden [[V11_OpenVPN_Roadwarrior|OpenVPN Roadwarrior-Wiki]] beschrieben.

[[Datei:UTMV11_UI_SSL_Dwl.png|250px|thumb|right|Download der Konfigurationsdateien]]
Zuerst laden sie sich die Konfiguration des gewünschten SSL-VPN Benutzers von der Securepoint UTM herunter und entpacken die ZIP Datei.

[[Datei:OVPN_KonfDat1.png|250px|thumb|right|Bearbeiten der Konfigurationsdatei]]
[[Datei:OVPN_KonfDat2.png|250px|thumb|right|Hinzufügen der Zertifikate]]
Dieses erzeugt einen Ordner in dem sie unter /data/config/ vier Dateien finden:
* openvpn.ovpn
* cert.pem
* cert.key
* ca.pem

Die Zertifikate müssen nun in die openvpn.ovpn Datei eingefügt werden.
Dazu öffnen sie die Dateien mit einem Editor:

In der Konfigurations-Datei openvpn.ovpn entfernen sie die folgenden Zeilen
ca ca.pem
cert cert.pem
key cert.key

und kopieren den Inhalt der drei Zertifikat-Dateien unter die letzte Zeile der Konfiguration
in der Form:

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

Nun speichern sie die Änderungen in der Datei ab und wenden sich dem iPad zu.

===Konfiguration auf dem iPad===
[[Datei:iPad_pic1.png|250px|thumb|right|iPad mit OpenVPN App]]
Wechseln sie auf ihrem iPad in den App Store, laden sie sich die OpenVPN App herunter [https://itunes.apple.com/de/app/openvpn-connect/id590379981?mt=8 (OpenVPN Connect)] und öffnen diese.

[[Datei:iPad_pic2.png|250px|thumb|right|Importieren der openvpn.ovpn Datei]]
Importieren sie die angepasste openvpn.ovpn Datei z.B. per iTunes.

[[Datei:iPad_pic3.png|250px|thumb|right|Auswahl des VPN-Profils]]
Öffnen sie die Verbindung indem sie auf den Profilnamen hinter dem Zahnrad tippen.

[[Datei:iPad_pic4.png|250px|thumb|right|Eingabe Benutzername und Kennwort]]
Tragen sie unter User ID und Password die Daten ein, die für diesen Benutzer auf der Securepoint UTM hinterlegt sind.

Mit Aktivierung des Button ''Save‘‘ können sie diese Daten Speichern. Denken sie aber daran, dass dann jeder der dieses Gerät auch die VPN Verbindung aktivieren kann.

Um die Verbindung herzustellen, aktivieren sie den Button ‘‘Connection‘‘.

Natürlich muss vorher eine Internetverbindung per UMTS oder WLAN aufgebaut werden.

[[Datei:iPad_pic5.png|250px|thumb|right|OpenVPN Connect]]
Der ‘‘Status‘‘ wechselt von Disconnected zu Connected und oben in der Statusanzeige erscheint das Symbol [[Datei:iPad_VPNsym.png|25px]].

Damit ist die Verbindung zur Securepoint UTM hergestellt.

Clientlessvpn cli v11

2015-10-15T09:01:30Z

Chris: /* Clientless VPN */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11}}
=Clientless VPN=

{| {{prettytable}}
!Befehl !! Beschreibung !! Beispiel
|-
|clientlessvpn list ||Listet die angelegten clientless VPN's auf ||clientlessvpn list
|-
|clientlessvpn get ||Zeigt einzelne clientless VPN's an ||clientlessvpn get id "5" '''oder''' clientlessvpn get name "Server1"
|-
|clientlessvpn set ||Ändert clientless VPN Einstellungen type = rdp '''oder''' vnc ||clientlessvpn set id "5" '''oder''' clientlessvpn set name "Server1" server "192.168.19.15" type "rdp" port "3389" username "user1" password "geheim" geometry "1024x600@24"
|-
|clientlessvpn new ||Erstellt ein neues clientless VPN type = rdp '''oder''' vnc username und passwort sind optional ||clientlessvpn new name "Server1" server "192.168.19.15" type "rdp" port "3389" username "user1" password "geheim" videomode "1024x600@24"
|-
|clientlessvpn delete ||Löscht ein clientless VPN ||clientlessvpn delete id "5" '''oder''' clientlessvpn delete name "Server1"
|-
|clientlessvpn group get ||Zeigt die clientless VPN Gruppen an ||clientlessvpn group get
|-
|clientlessvpn group set ||Ändert eine clientless VPN Gruppen Einstellungen ||clientlessvpn group set id "3"
|-
|clientlessvpn group new ||Erstellt eine neue clientless VPN Gruppe ||clientlessvpn group new id "3" group_oid "155" id_cvpn "1" enabled "1"
|-
|clientlessvpn group delete ||Löscht eine clientless VPN Gruppe ||clientlessvpn group delete id "3"
|}

Clientlessvpn cli v11

2015-10-13T15:24:07Z

Chris: /* Clientless VPN */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11}}
=Clientless VPN=

{| {{prettytable}}
!Befehl !! Beschreibung !! Beispiel
|-
|clientlessvpn list ||Listet die angelegten clientless VPN's auf ||clientlessvpn list
|-
|clientlessvpn get ||Zeigt einzelne clientless VPN's an ||clientlessvpn get id "5" '''oder''' clientlessvpn get name "Server1"
|-
|clientlessvpn set ||Ändert clientless VPN Einstellungen type = rdp '''oder''' vnc ||clientlessvpn set id "5" '''oder''' clientlessvpn set name "Server1" server "192.168.19.15" type "rdp" port "3389" username "user1" password "geheim" geometry "1024x600@24"
|-
|clientlessvpn new ||Erstellt ein neues clientless VPN type = rdp '''oder''' vnc username und passwort sind optional ||clientlessvpn new name "Server1" server "192.168.19.15" type "rdp" port "3389" username "user1" password "geheim" videomode "1024x600@24"
|-
|clientlessvpn delete ||Löscht ein clientless VPN ||clientlessvpn delete id "5" '''oder''' clientlessvpn delete name "Server1"
|-
|clientlessvpn group get ||Zeigt die clientless VPN Gruppen an ||clientlessvpn group get
|-
|clientlessvpn group set ||Ändert eine clientless VPN Gruppen Einstellungen ||clientlessvpn group set id "3"
|-
|clientlessvpn group new ||Erstellt eine neue clientless VPN Gruppe enabled = on '''oder''' off ||clientlessvpn group new group_oid "3" cvpn_id "5" enabled "on"
|-
|clientlessvpn group delete ||Löscht eine clientless VPN Gruppe ||clientlessvpn group delete id "3"
|}

UTM/CLI/User v11

2015-10-13T15:19:37Z

Chris: /* Kommandos */

[[Kategorie:UTMv11]]
{{lowercase title}}
{{v11}}

==user==

===Berechtigungen und Attribute===

{| {{prettytable}}
!''user group permissions''||
|-
|ADMIN||
|-
|VPN_PPTP||
|-
|VPN_L2TP||
|-
|MAILFILTER_ADMIN||
|-
|HTTP_PROXY||
|-
|WEB_USER||
|-
|VPN_OPENVPN||
|-
|MAIL_RELAY||
|-
|IPSEC_XAUTH||
|-
|VPN_CLIENTLESS||
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''user attribute''!! ''user group attribute''
|-
|mailfilter_download_attachments_filtered|| mailfilter_download_attachments_filtered
|-
|mailfilter_email_addresses|| mailfilter_email_addresses
|-
|openvpn_certificate|| openvpn_certificate
|-
|openvpn_client_download|| openvpn_client_download
|-
|openvpn_gateway|| openvpn_gateway
|-
|openvpn_name|| openvpn_name
|-
|openvpn_redirectgateway|| openvpn_redirectgateway
|-
|password_change||
|-
|password_chars_case||
|-
|password_chars_numbers||
|-
|password_chars_special||
|-
|password_length||
|-
|vpn_l2tp_ip||
|-
|vpn_openvpn_ip||
|-
|vpn_pptp_ip||
|-
|wake_on_lan_hosts|| wake_on_lan_hosts
|}

===Kommandos===

{| {{prettytable}}
!Befehl!! Beschreibung!! Beispiel
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''User''|| ||
|-
|user who|| Zeigt an, welcher Benutzer verbunden und eingeloggt ist || user who
|-
|user get|| Zeigt alle oder einzelne Benutzer an|| user get name "benutzer1"
|-
|user set|| Ändert Benutzereinstellungen|| user set id "183" groups "vpn-benutzer"
|-
|user new|| Erstellt einen neuen Benutzer|| user new name "benutzer2" password "insecure" groups "ssl-user"
|-
|user delete|| Löscht einen Benutzer|| user delete id "193"
|-
|user check|| Überprüft ob ein Benutzer Mitglied einer bestimmten Gruppe ist|| user check name "benutzer1" groups "vpn-user"
|-
|user attribute get|| Zeigt die Attribute eines oder aller Benutzer an|| user attribute get name "benutzer1"
|-
|user attribute set|| Ändert die Attribute des Benutzers|| user attribute set name "admin" attribute "password_change" value "1"
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''User Group''|| ||
|-
|user group get|| Zeigt die Benutzergruppen an|| user group get
|-
|user group new|| Erstellt eine neue Benutzergruppe|| user group new name "proxy-user" permission "HTTP_PROXY"
|-
|user group set|| Ändert die Einstellungen einer Benutzergruppe|| user group set id "194" permission "WEB_USER,VPN_CLIENTLESS"
|-
|user group delete|| Löscht eine Benutzergruppe|| user group delete id "194"
|-
|user group attribute get|| Zeigt die Attribute der Benutzergruppen|| user group attribute get
|}

UTM/VPN/Netmap 11.7

2015-07-22T13:36:20Z

Chris: /* Vorbereitungen */

{{v11.5}}

===NATten von kompletten Subnetzen mit NETMAP===
Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten. 
Weiterhin kann es passieren, dass Sie verschiedene Gegenstellen haben, hinter denen die selben Netzwerke eingerichtet sind. 
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können sie diese Verbindung trotzdem erstellen, ohne auf eine der Seiten das Subnetz komplett zu ändern.

===Vorbereitungen===
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
[[Datei:UTM115_AI_PFNOinaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.

===Zentrale und Filiale haben das selbe Subnetz===
[[Datei:Netmap_sz1.png|800px|center]]
 
In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.

====Netzwerkobjekte erstellen====
Erstellen Sie in der Zentrale zwei Netzwerkobjekte mit Netzwerken, die weder in der Zentrale noch in der Filiale eingerichtet sind.
[[Datei:UTM115_AI_PFNOnmrn.png|250px|thumb|right|Netzwerkobjekt Mapnetz Remote]]
Das Netzwerkobjekt für das Mapnetz der Filiale muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.

[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

Auf der Seite der Filale erstellen Sie ebenfalls zwei Objekte, nur das dort das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, sich in der Zone vpn-ipsec befindet und das Netzwerk 10.0.2.0/24 als Mapnetz der Filiale mit der Zone des internen Netzwerkes angelegt wird.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an. 
Auf der Seite der Zentrale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Filiale 
	Dienst:				Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req'' 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Zentrale

Auf der Seite der Filiale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Zentrale 
	Dienst:				Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req'' 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Map-Netzwerke eintragen.

===Mehrere Filialen haben das selbe Subnetz===
[[Datei:Netmap_sz2.png|800px|center]]
 
Hierbei wir das Mapping nur auf den Filialen eingerichtet, die das selbe Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale benötigen Sie kein Mapping wenn das interne Netz der Zentrale sich von denen der Filiale unterscheidet.

====Netzwerkobjekte erstellen====
Erstellen Sie in der '''Filiale''' zwei Netzwerkobjekte. Eines für das Mapnetz der Filiale mit einem Netzwerk, das weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt wird. 
Das zweite Objekt als ganz normales IPSec-Netzwerkobjekt der Zentrale
.
[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

[[Datei:UTM115_AI_PFNOipsecrn.png|250px|thumb|right|Netzwerkobjekt IPSec-Netz]]
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 172.31.0.0/24.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap2.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte in der '''Filiale''' eine Portfilterregel an.

	Quelle:				Internes Netzwerk 
	Ziel:					IPSec-Netz der Zentrale 
	Dienst:				Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req'' 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben. 
Achten Sie darauf, dass sie in ''Step 4 Subnetze'' auf der Filial-Seite das Netmap-Netzwerk als Lokales Netzwerk eintragen und auf der Seite der Zentrale dieses als Remote-Netzwerk.

===Portfilterregeln===
Nachdem Sie mit der NETMAP Regel die beiden Netzwerke gemappt haben, benötigen Sie nun noch Portfilterregeln die den Datenverkehr regeln.

Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
[[Datei:UTM115_AI_PFRnmvpn.png|250px|thumb|right|Portfilterregel VPN-Verbindung]]
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:

	Quelle:	Mapnetz der VPN Gegenstelle 
	Ziel:		Internes Netzwerk 
	Dienst:	ms-rdp

Hierfür benötigen Sie kein NAT vom Typ NETMAP mehr.

===Wie erreiche ich die Hosts der Gegenstelle===
Da Sie auf beiden Seiten der VPN Verbindung die selben Netwerke benutzen, müssen Sie die Hosts der Gegenstelle mit der gemappten IP-Adresse ansprechen.

In unserem Beispiel bedeutet dies folgendes: 
Einen Rechner mit der IP-Adresse 172.16.3.10 in der Filiale sprechen Sie von der Zentrale aus mit der IP-Adresse 10.0.2.10 an. 
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale sprechen Sie von der Filiale aus mit der IP-Adresse 10.0.1.120 an.

UTM/APP/Nameserver

2015-05-13T12:54:40Z

Chris: /* Einleitung */

{{v11}}
== Einleitung ==
Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das Verfahren, das es ermöglicht, Namen von Rechnern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: securepoint.de in 62.116.166.66). Des Weiteren kann in der V11 eine Namensauflösung an einen anderen Nameserver weitergeleitet werden oder aus einer IP Adresse auf einen bestimmten Namen geschlossen werden (Reverse Lookup). Zusätzlich gibt es die Funktion "DNS Forwarding" die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.

Um die Einstellungen die der Nameserver der V11 bietet, besser verstehen zu können, folgt nun eine "Typ Beschreibung", der Typen die bei der Einrichtung auswählbar sind:

* Beschreibung der Typen

- NS
- A
- AAAA
- TXT
- PTR
- MX
- CNAME

Im weiteren Verlauf wird genauer auf die Einrichtung folgender Punkte der V11 eingegangen:

* Anlegen einer Forward-Zone
* Anlegen einer Reverse-Zone
* Anlegen einer Relay-Zone
* Anlegen eines DNS Forwardings

Beachten Sie, dass aus dem jeweiligen Netz immer eine Regeln für DNS auf das entsprechende Interface vorhanden ist.

=== Beschreibung der Typen ===
==== NS ====
Ein NS oder besser gesagt, NS-RR (Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:

* Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
* Er verkettet Zonen zu einem Zonen-Baum (Delegation).

In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.

==== A ====
Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.

==== AAAA ====
Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.

==== TXT ====
Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.

==== PTR ====
PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(s) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

* in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
* in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
* in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.

==== MX ====
Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.

==== CNAME ====
Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden.

Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

=== Forward-Zone ===
Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain erklärt. Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.

Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== A-RR anlegen ====
Im nächsten Schritt wird der A-RR angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Forward-Zone hinzufügen.
#Tragen Sie im Step 1 die gewünschte Domain in das Feld Zonenname ein.
#Tragen Sie im Step 2 unter Nameserver Hostname "localhost" ein.
#Der Step 3 kann durch klicken auf den Button Fertig übersprungen werden.
#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name" die gewünschte Domain ein. An die Domain wird ein Punkt "." angehängt!
#Als Typ wählen Sie "A".
#In das Feld Wert tragen Sie die interne IP des Servers ein auf den die Domain verweisen soll.
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step_1_A-RR.jpg‎|800px|thumb|center|Step 1 ]]
[[Datei:Step2.jpg|800px|thumb|center|Step 2]]
[[Datei:A-RR_anlegen.jpg|800px|thumb|center|Anlegen des A-RR]]

*Nun ist das Anlegen des A-RR fertig und die Firewall setzt auf Anfrage die Domain auf die gewünschte Private IP um!

==== A-RR testen ====
Um das Umsetzten des zuvor angelegten A-RR zu testen können sie von extern eine DNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "A" aus.
#Tragen Sie im Feld Hostname ihre Domain ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:A-RR_testen.jpg|800px|thumb|center|A-RR testen]]

*Im unteren Fenster löst er, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse auf.

=== Reverse-Zone ===
Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll. Als RR-Typen sind nur PTR Resource Records zulässig. Bei einem PTR-RR steht links eine IP-Adresse und rechts ein Name – im Gegensatz zum A Resource Record, wo links ein Name und rechts eine IP-Adresse steht.

Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern. Viele Spam-Mails werden von Fake-Domainen versendet. Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== PTR-RR anlegen ====
Im nächsten Schritt wird der PTR-RR angelegt.

Zum Verständnis hier eine kurze Beschreibung:

Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).
Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).

Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Reverse-Zone hinzufügen.
#Tragen Sie im Step 1 das gewünschte Subnetz ein, indem sich die IP-Adresse zu der gewünschten Domain befindet.
#Tragen Sie im Step 2 unter Nameserver "localhost" ein und klicken sie auf Fertig.

Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.

#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name", die letzte Zahl der Host-IP ein, die zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
#Als Typ wählen Sie "PTR".
#In das Feld Wert tragen Sie die Domain ein auf die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step1-PTR.jpg |800px|thumb|center|Step 1]]
[[Datei:Step2-PTR.jpg|800px|thumb|center|Step 2]]
[[Datei:PTR-anlegen.jpg|800px|thumb|center|PTR anlegen]]

*Nun ist das Anlegen des PTR-RR fertig und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!

==== PTR-RR testen ====
Um das Umsetzten des zuvor angelegten PTR-RR zu testen, können Sie von extern eine rDNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "PTR" aus.
#Tragen Sie im Feld Hostname die IP ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:PTR-testen.jpg|800px|thumb|center|PTR-RR testen]]

*Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, zu der IP-Adresse die richtige Domain aufgelöst.

=== Relay-Zone ===
Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig. Hierzu ein Beispiel.:

Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet. Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung zuständig ist. Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.test.local) wird diese DNS-Anfrage an die Firewall gestellt. Durch eine Weiterleitung aller Anfragen auf "test.local" an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden. Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== Relay anlegen ====
Im nächsten Schritt wird das Relay angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Relay-Zone hinzufügen.
#Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen die in das Feld IP-Adresse die Adresse des entfernten Nameservers ein.
#Klicken Sie auf Speichern.

[[Datei:Relayzone.jpg|800px|thumb|center|Anlegen der Relay-Zone]]

*Nun ist das Anlegen der Relay-Zone fertig und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!

=== DNS Forwarding ===
Ein DNS Forwarding wird dazu Verwendet um ALLE DNS Anfragen die an den Nameserver der Firewall gestellt werden an eine andere IP weiterzuleiten.

==== Domainweiterleitung anlegen ====
Anlegen einer Domainweiterleitung

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Tab DNS Forwarding.
#Klicken sie auf Domainweiterleitung hinzufügen.
#Tragen sie die gewünschte IP-Adresse ein, an den die DNS Anfragen geschickt werden sollen.
#Klicken Sie auf Speichern.

[[Datei:DNSWeiterleitung.jpg|800px|thumb|center|Anlegen eines DNS Forwardings]]

*Die Domainweiterleitung ist nun angelegt und die DNS Anfragen werden an die gewünschte IP weitergeleitet.

=== Domainweiterleitung durch einen IPSec-Tunnel ===
Bei weilen ist es Nötig interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem IPSec-Netz befindet. Hier ist zu beachten das standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentlich IP wird aber nicht in einen IPSec-Tunnel geroutet.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== Relay anlegen ====
Im nächsten Schritt wird das Relay angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Relay-Zone hinzufügen.
#Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen die in das Feld IP-Adresse die Adresse des entfernten Nameservers ein.
#Klicken Sie auf Speichern.

[[Datei:Relay-zone-ipsec.png|800px|thumb|center|Anlegen der Relay-Zone]]

*Nun ist das Anlegen der Relay-Zone fertig und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!

==== Netzwerkobjekt anlegen ====
Klicken Sie auf der Navigationsleise auf den Punkt Firewall und wählen Sie den Eintrag Portfilter vom Dropdownmenü. Anschließen wählen Sie im Fenster den Tab Netzwerkobjekte.

Folgende Objekte sind vorkonfiguriert:

external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network

# Legen Sie ein Netzwerkobjekt für das IPSec Netzwerk an, indem Sie auf den Button Objekt hinzufügen klicken.
# Tragen Sie im Feld Name eine Bezeichnung für das IPSec-Netzwerk ein
# Wählen Sie als Typ VPN-Netzwerk und tragen Sie unter IP-Adresse die IP-Adresse des IPSec Netzwerkes ein.
# Als Zone wählen Sie vpn-ipsec aus.
# Sichern Sie die Einstellungen mit dem Button Speichern.

[[Datei:netzwerkobjekt_iüpsec_object.png|none|thumb|300px|Netzwerkobjekt]]

==== Regel erstellen ====
Im letzten Schritt muss eine Firewallregel, mit einem Hide-NAT angelegt werden. Diese bewirkt das die DNS-Weiterleitung auch in den Tunnel, und nicht direkt in das Internet, geht.

# Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Portfilter.
# Klicken Sie im Portfilterdialog auf den Button Regel hinzufügen.
# Wählen Sie in der Liste Quelle das Netzwerkobjekt external-interface, in der Liste Ziel das IPSec-Netzwerk und als Dienst den Eintrag domain-udp.
# Wählen Sie in der Liste NAT, bei TYP "HIDENAT" und als Netzwerkobjekt "internal-interface".
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
# Die Checkbox Aktiv muss ebenfalls aktiviert sein.
# Wählen Sie im Feld Logging zwischen den Protokollierungsmethoden NONE, MEDIUM und ALL.
# Unter Kommentar können Sie eine Beschreibung oder Notizen zu der Regel hinzufügen.
# Beim Überfahren der Netzwerkobjekte mit der Maus, wird Ihnen die zugehörigen Netzwerkobjekte und deren IP-Adressen und Zonen angezeigt.
# Klicken Sie auf Speichern.

[[Datei:Regel-hidenat-ext-über-int.png|800px|thumb|center|Anlegen der Regel]]

* Mit dieser Regel werden nun alle Domain-UDP-Anfragen die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

UTM/APP/Nameserver

2015-05-13T12:54:27Z

Chris: /* Einleitung */

UTM/APP/Reverse Proxy v11.7

2015-03-18T11:30:04Z

Chris: /* ACLs - Zugriffsrechte */

{{v11}}
=Reverse Proxy=

==Webinar==
{{#ev:youtube|qYLUkJY8sAI|500| auto}}

==Einleitung==
Mit einem Reverse-Proxy können Sie aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, könne über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem kann bei nur einer öffentlich IP, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.

==Ziel==
Ziel dieses Howtos ist es über den Reverse-Proxy auf einen internen Webserver zuzugreifen.

* Webserver-IP: 172.16.0.91
* Externe-IP: 192.168.6.19
* Domäne: web.test.local -> 192.168.6.19

==Vorüberlegungen==
'''Achtung:'''
Planen Sie auch https an einen Webserver über den Reverse-Proxy weiterzuleiten, so müssen Sie zuerst den Port des Webinterfaces umlegen. Gehen Sie dazu auf "Extras -> Erweiterte Einstellungen" und ändern den Port auf z.B: 4443 ab.

* Damit Sie danach noch auf das Userinterface zugreifen können, benötigen Sie dann natürlich eine entsprechende Regel.

Für https benötigt der Reverse-Proxy natürlich ein Zertifikat damit er die verschlüsselte Verbindung entgegen-nehmen kann.

* Gehen Sie dazu auf "Authentifizierung -> Zertifikate" und erstellen ein neues Zertifikat. '''Wichtig:''' der Name des Zertifikates muss so benannt werden wie die Domäne, bei uns also web.test.local.

=Einrichtung=

==Netzwerkobjekte==
Als ersten benötigen wir ein Netzwerkobjekt mit der IP des Webservers:

* Melden Sie sich an der Appliance an
* Gehen Sie auf Firewall -> Portfilter -> Netzwerkobjekte
* Klicken Sie auf "Hinzufügen" und füllen Sie die Felder entsprechend aus.

[[Datei:Utm-reverseproxy1.png‎|center|]]

==Portfilter==

* Legen Sie nun entsprende Regeln an, die den Zugriff auf das externe Interface freigeben.

[[Datei:Utm-reverseproxy2.png‎|center|]]

==Reverse Proxy==
===Einleitung===
Nun ist es an der Zeit mit der Konfiguration des Reverse-Proxys zu beginnen! Damit Sie verstehen warum das in Gruppen aufgeteilt ist, möchte ich noch mal das Prinzip erläutern.

Ein Portforwarding ermöglicht nur eine 1:1 Beziehung, der Port wird immer an den einen Server durchgeschleift. Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen:

* 1:1 - Eine Domäne/IP : Ein Server
* 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing)
* N:1 - Mehrere Domänen/IPs : Ein Server
* N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)

Nun ist auch klar warum sich die Server in Gruppen befinden, Sie können, müssen aber nicht mehrer Objekte in diese Gruppen legen.

===Servergruppen===
* Gehen Sie dazu auf "Anwendungen -> Reverse-Proxy".
* Fügen Sie ein Servergruppe hinzu.
* In dieser Gruppe fügen wir nun unseren Server ein. Der Anmeldename und das Passwort sind Optional und dienen zur Authentifizierung am Zielserver, wenn dies aktiv sein sollte.

[[Datei:Utm-reverseproxy3.png‎|center|]]

===ACLs - Zugriffsrechte===
Über ACLs lassen sich die Zugriffsrechte dediziert zuweisen. Die folgenden Optionen stehen zur Auswahl:

* req_header: Filter auf den Header des Clients (Es könnte z.B. der Browser bestimmt werden)
* src: Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255)
* dstdomain: Gibt die Domäne/IP des Ziel-Servers an (web.test.local oder 192.168.6.19)
* srcdomain: Gibt die Domäne des Absenders an (securepoint.de)
* srcdom_regex: Regex auf die Domäne (securepoint)
* proto: Protokoll (http, https)
* time: Zeitangabe (M T W H F 9:00-17:00)

Days of the Week

S - Sunday
M - Monday
T - Tuesday
W - Wednesday
H - Thursday
F - Friday
A - Saturday
D - All weekdays

[[Datei:Utm-reverseproxy4.png‎|center|]]

* Wir wollen das der Server sowohl über die IP, als auch den Namen erreichbar ist.
* Dazu fügen wir 2 Einträge hinzu, beide vom Typ "dstdomain" mit den entsprechenden Werten.

[[Datei:Utm-reverseproxy5.png‎|center|]]

===SITES===
Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen.

Die ACLs werden der Reihenfolge nach abgearbeitet, ich kann sie entweder zulassen "Allow" oder verweigern "Deny". Die ACLs vom Typ "Deny" sollten in der Reihenfolge vor den "Allow" ACLs kommen.

[[Datei:Utm-reverseproxy6.png‎|center|]]

===Allg. Einstellungen===
Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server.

[[Datei:Utm-reverseproxy7.png‎|center|]]

UTM/VPN/IPSec-S2E v11.8

2015-02-25T12:55:46Z

Chris: /* Erstellung der native IPSec Verbindung mit dem Assistenten */

[[kategorie:UTMv11]]

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:ipsec_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.
 
 
 

====Schritt 2 - Verschlüsselung====
[[Datei:ipsec_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
 

====Schritt 3 - Authentifizierung====
[[Datei:ipsec_wizard_step3_psk.png|left|thumb|230px|PSK]]
[[Datei:ipsec_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:ipsec_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
 
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:ipsec_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.
 

====Schritt 5 - Regelwerk====
Wichtig ist, dass unter Firewall -> Implizierte Regeln die für IPSec notwendigen Protokolle freigeschaltet werden:

[[Datei:Ipsec-xauth-implizierte-regeln.png|200px|thumb|center|implizierte Regeln]]

====Schritt 6 - Zusätzliche Daten====
[[Datei:ipsec_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu. Benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
 

Die neu angelegte Roadwarrior Verbindung wird nun der Übersicht des Fensters '''IPSec''' angezeigt. Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.

Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben.

UTM/AUTH/Zertifikate v11.7

2014-11-13T10:55:48Z

Chris: /* Zertifikate löschen */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:UTMV11_Z_CA.png|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 
 
<div align="right">[[#top|zum Anfang]]</div>

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:UTMV11_Z_Srv_c.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:UTMV11_Z_RW_c.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===
[[Datei:Export_pem.png|thumb|450px|Export im PEM Format]]
*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 
[[Datei:Export_pem_CA.png|thumb|450px|Export CA im PEM Format]]
*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===
[[Datei:Export_pkcs12.png|thumb|450px|Export im PKCS#12 Format]]
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA.
[[Datei:Export_pkcs12_kennwort.png|thumb|Kennwort für PKCS12 angeben]]
Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
[[Datei:Revoke_cert.png|thumb|450px|Zertifikat widerrufen]]
*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

SPDyn

2014-05-09T13:35:35Z

Chris: /* FRITZ!BOX */

__TOC__

== Was ist SPDNS? ==
SPDNS ist ein Dienst mit dem Maschinen, die nur über eine dynamische IP verfügen, per Hostname erreichbar gemacht werden können. Dadurch sind zum Beispiel Administration und VPN-Einwahl möglich, ohne dass die aktuelle IP-Adresse erst vor Ort erfragt werden muss.

== Unterstützt der Server die Verwendung von IPv6-Adressen? ==
Seit dem 12.05.2014 nimmt der Server auch Updates von IPv6-Adressen an. Vorraussetzung ist, dass für den jeweiligen Hostnamen ein AAAA-Record angelegt wurde.

== Wie lautet die Update-URL ?==

Die Update-URL für [https://www.spdns.de SPDNS] lautet:
<code>
update.spdns.de/nic/update?hostname=<domain>&myip=<ipaddr>
</code> 
Der Update-Server ist sowohl über Port 80/tcp (Plaintext HTTP), als auch auf Port 443/tcp (HTTPS) erreichbar. Sofern der Client es unterstützt, empfehlen wir die Verwendung des HTTPS-Servers, da die Zugangsdaten hier nicht unverschlüsselt übertragen werden.
Sowohl die Securepoint UTM v11, als auch die UTM v11 verwenden ausschließlich den HTTPS-Update-Server.

== Update-Tokens ==
Ein Update-Token ist ein spezielles Passwort, das ausschließlich die Aktualisierung des Hosts erlaubt, für den es erzeugt wurde. Weitere Informationen finden sich in einem [[SPDNS_Update-Tokens|eigenen Artikel]].

== SPDNS-Account in einer Securepoint UTM v10 eintragen ==
{{v10}}
Die DynDNS-Einstellungen finden Sie im Menü ''Netzwerk -> Netzwerkkonfiguration -> DynDNS''. 
Dort haben Sie die Möglichkeit bis zu 5 DynDNS-Accounts einzutragen. 

Eine beispielhafte Konfiguration: 
[[Datei:sp_utm_dyndns.png|311px|center]]

== SPDNS-Account in einer Securepoint UTM v11 eintragen ==
{{v11}}
Die DynDNS-Einstellungen finden Sie im Menü "Netzwerk" -> "Netzwerk-Konfiguration". Klicken Sie dort im Tab "Schnittstellen" auf das Schraubenschlüssel-Symbol neben dem Interface, für das Sie den DynDNS-Namen konfigurieren wollen. Es öffnet sich ein neues Fenster, in dem Sie auf dem Tab "DynDNS" die entsprechenden Einstellungen vornehmen können.

Eine beispielhafte Konfiguration: 
[[Datei:Dyndns-v11.png|305px|center]]

== Verwendung mit Fremdhardware ==
=== ddclient ===
'''Hinweis''': ddclient unterstüzt das Update per SSL erst ab Version 3.7.0. Ab dieser Version kann die Zeile "ssl=yes" einkommentiert werden.

==== Geräte mit öffentlicher IP ====
Wenn das Gerät auf einem Interface direkt die öffentliche IP verwendet, kann die folgende Konfiguration verwendet werden:
<pre>
# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

protocol=dyndns2
use=if, if=eth0
server=update.spdns.de
#ssl=yes
login=$USERNAME
password='$PASSWORD'
$HOSTNAME
</pre>

==== Geräte in einem privaten Netz ====
Ist der ddclient auf einem Gerät im internen Netzwerk installiert, muss die öffentliche IP vorher von einem [[SPDNS_FAQ#Wie ermittle ich meine öffentliche IP|Server im Internet]] abgefragt werden. Das kann mit der folgenden Konfiguration realisiert werden:
<pre>
# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

protocol=dyndns2
use=web, web=checkip.spdns.de
server=update.spdns.de
#ssl=yes
login=$USERNAME
password='$PASSWORD'
$HOSTNAME1,$HOSTNAME2
</pre>

=== DDWRT ===
Eine Anleitung zur Konfiguration findet sich auf [http://fr32k.de/wiki/router/ddns_spdns fr32k.de]

=== inadyn ===
'''ACHTUNG''': inadyn unterstützt zum gegenwärtigen Zeitpunkt (05.04.2014) kein Update der IP über eine SSL-Verbindung!
<pre>
inadyn -u $USERNAME -p $PASSWORD -a $HOSTNAME --dyndns_server_name update.spdns.de --dyndns_server_url /nic/update? --ip_server_name checkip.spdns.de:80 /
</pre>

=== FRITZ!BOX ===
Die DynDNS-Einstellungen finden Sie im Menü ''Erweiterte Einstellungen -> Internet -> Freigaben -> Dynamic DNS''. 
Für die Verwendung des [https://www.spdns.de Securepoint Dynamic DNS Service], wählen Sie als Dynamic DNS-Anbieter "Benutzerdefiniert" aus und tragen folgende URL als Update-URL ein:
 <code>
update.spdns.de/nic/update?hostname=<domain>&myip=<ipaddr>
</code> 
'''ACHTUNG''': die spitzen Klammern sind keine Platzhalter, sondern müssen genau so eingegeben werden.

Ab der FRITZ!OS Version 05.50 unterstützt die Fritzbox das Update auch über SSL. Die Update-URL ändert sich dann wie folgt:
 <code><nowiki>
https://update.spdns.de/nic/update?hostname=<domain>&myip=<ipaddr>
</nowiki></code>

Eine beispielhafte Konfiguration: 
[[Datei:FritzBox-spDNS.jpeg|500px|center]]

Ergänzen Sie die weiteren Felder ''Domainname'' mit Ihrem Hostname, ''Benutzername'' mit Ihrem SPDNS-Login sowie ''Kennwort'' und ''Kennwortbestätigung'' mit Ihrem SPDNS-Kennwort. 

=== OpenWRT ===
'''Hinweis''': Standardmäßig unterstützt OpenWRT zum gegenwärtigen Zeitpunkt (08.05.2014) nur Updates über den HTTP-Server. Informationen zum Aktivieren des Udpates über SSL finden sich im [http://wiki.openwrt.org/doc/howto/ddns.client OpenWRT Wiki].

Das Feld ''Custom Update-URL'' muss wie folgt befüllt werden (der Text in eckigen Klammern muss '''genau so''' übernommen werden): 
<code>http://[USERNAME]:[PASSWORD]@update.spdns.de/nic/update?hostname=[DOMAIN]&myip=[IP]</code>

Beispiel-Konfiguration:
[[Datei:Spdns-openwrt.png]]

== Was bedeutet das Symbol vor dem Hostnamen auf der Profilseite? ==
Dieses Symbol zeigt den Status des [[SPDNS_Update-Tokens|Update-Tokens]] für diesen Host an:
{| {{prettytable}}
|-
! Symbol
! Erklärung
|-
| [[Datei:Bullet_black.png]]
| Für diesen Host kann kein Token generiert werden. Das ist der Fall, wenn dieser Host weder ein A- noch ein AAAA-Record ist.
|-
| [[Datei:Bullet_red.png]]
| Für diesen Host ist kein aktives Token vorhanden. Eine Aktualisierung der IP kann nur mit den Zugangsdaten des User-Accounts erfolgen.
|-
| [[Datei:Error.png]]
| Für diesen Host existiert ein aktives Token, dieses wurde aber bisher nicht verwendet.
|-
| [[Datei:Bullet_green.png]]
| Für diesen Host existiert ein aktives Token, welches auch bereits mindestens einmal für ein Update verwendet wurde.
|}

== Welche Rückgabecodes schickt der Server beim Update einer IP? ==
{| {{Prettytable}} cellpadding="5"
|- style="background-color:#e0e0e0;"
! width="20%" | Rückgabecode
! width="50%" | Erklärung
|-
|<code>abuse</code>||Der Host kann nicht aktualisiert werden, da er aufgrund vorheriger fehlerhafter Updateversuche gesperrt ist.
|-
|<code>badauth</code>||Ein ungültiger Benutzername und/oder ein ungültiges Kennwort wurde eingegeben.
|-
|<code>good</code>||Die Hostname wurde erfolgreich auf die neue IP aktualisiert.
|-
|<code>!yours</code>||Der angegebene Host kann nicht unter diesem Benutzer-Account verwendet werden.
|-
|<code>notfqdn</code>||Der angegebene Host ist kein [[Glossar#FQDN|FQDN]].
|-
|<code>numhost</code>||Es wurde versucht, mehr als 20 Hosts in einer Anfrage zu aktualisieren.
|-
|<code>nochg</code>||Die IP hat sich zum letzten Update nicht geändert. Werden innerhalb eines kurzen Zeitraumes weiterhin Updateversuche dieses Hosts vorgenommen, wird dieser für eine bestimmte Zeitspanne keine Updates mehr entgegen nehmen können.
|}

== Wie können mehr als 5 Hosts über einen Account verwaltet werden? ==

Zunächst haben Sie die Möglichkeit bis zu 5 Hosts zu verwalten. 
Sind diese 5 Hosts erreicht, können Sie weitere Hosts beantragen. 
Klicken Sie hierfür auf den Button '''Request additional hosts'''/'''Weitere Hosts beantragen'''. 

[[Datei:Spdns_request_additional_hosts.png|500px|center]]

==Welche Variablen können in der Update-URL angegeben werden?==
{| {{prettytable}}
! Parameter-Name
! Beispiel
! Erklärung
|-
| hostname
| <code>beispiel1.spdns.de</code> oder <code>beispiel1.spdns.de,beispiel2.spdns.de</code>
| Ein einzelner FQDN oder eine komma-separierte Liste (max 20 Einträge) von FQDNs die aktualisiert werden sollen
|-
| myip
| <code>192.2.0.1</code> oder <code>2001:868:100:901:53::1</code>
| Genau eine IP-Adresse, mit der die Hosts aktualisiert werden sollen
|-
| user
| <code>spdnsUser1</code>
| [Optional] Der Name eines Benutzers, der diesen Host aktualisieren kann. Wenn [[SPDNS_Update-Tokens|Update-Tokens]] verwendet werden, kommt hier ebenfalls der Hostname hin.
|-
| pass
| <code>geheimesP4ssw0rt</code>
| [Optional] Das Passwort eines Benutzers, der diesen Host aktualisieren kann. Wenn [[SPDNS_Update-Tokens|Update-Tokens]] verwendet werden, ist das der Platz für das Token.
|}

*Der <code>user</code>- und <code>pass</code>-Parameter sind nur dann zu verwenden, wenn keine [http://en.wikipedia.org/wiki/Basic_access_authentication HTTP Basic-Auth] durchgeführt wird. Fehlen sowohl der <code>Authorization</code>-Header, als auch die <code>user</code>/<code>pass</code>-Kombination schlägt das Update mit dem <code>badauth</code> Return-Code fehl.
*Ein vorhandener <code>Authorization</code>-Header überschreibt evtl als Parameter übergebene Username/Passwort Kombinationen
*Befindet sich die im Parameter <code>myip</code> übergebene IP in einem privaten Subetz (10.0.0.0/8, 172.16.0.0/20 oder 192.168.0.0/16), wird das Update-Skript stattdessen die für den Verbindungsaufbau verwendete öffentliche IP zum Update verwenden. Dieses Verhalten wird nur aktiviert, wenn sowohl der <code>myip</code>-Parameter, als auch die Client-IP der HTTP-Verbindung eine IPv4-Adresse ist.

== Wie ermittle ich meine öffentliche IP? ==
Um die öffentliche IP eines Gerätes zu vermitteln, stellen wir den Host [http://checkip.spdns.de checkip.spdns.de] zur Verfügung. Dieser ist auch erreichbar unter [http://myip.spdns.de myip.spdns.de] und [http://getip.spdns.de getip.spdns.de].

Die Ausgabe der IP erfolgt entweder als Plaintext (das ist der Standard), JSON oder XML.

Die Plaintext-Seite zeigt immer nur die eine IP-Adresse an, von der die Verbindung zu unserem Server aufgebaut wurde.

Bei der JSON/XML-Ausgabe werden unter Umständen mehrere IP-Adressen angezeigt, je nachdem ob die Verbindung durch einen oder mehrere Proxies erfolgt.

Die Header werden dabei in der folgenden Reihenfolge ausgewertet (weiter vorne in der Liste = höhere Priorität):
* Vom Server erkannte Quell-IP
** REMOTE_ADDR > HTTP_CLIENT_IP
* Vom Client gesendete Header:
** HTTP_X_FORWARDED_FOR > HTTP_X_FORWARDED > HTTP_X_CLUSTER_CLIENT_IP > HTTP_FORWARDED_FOR > HTTP_FORWARDED

Die vom Client gesendeten Header werden nur angezeigt, aber ansonsten vom Update-Server ignoriert. Anders verhält es sich bei der REMOTE_ADDR.

Wenn versucht wird, einen Hostnamen so zu aktualisieren, dass er er auf eine private IP zeigt, wird der Update-Server stattdessen die erkannte öffentliche IP des Clients verwenden.
Das ermöglicht die Verwendung unseres Dienstes auch mit Clients, die keine Möglichkeit haben, ihre öffentliche IP vor dem Update selber festzustellen.

'''ACHTUNG:''' Auch wenn ein Update von einem solchen Client funktioniert, "weiß" dieser Client vermutlich nicht, wann sich seine öffentliche IP ändert und wird den Host nach einem 24h-Reconnect nicht automatisch aktualisieren. Im Allgemeinen reicht dann ein manueller oder über einen Cronjob gesteuerter Neustart des Dyndns-Clients.

=== Ausgabe als JSON-Objekt ===
Beim Aufruf von [http://checkip.spdns.de/json http://checkip.spdns.de/json] werden die gefundenen IP-Adressen nach folgendem Schema mit dem MIME-Type <code>application/json</code> ausgegeben:
<pre>
{
"ipinfo":[{
"ip":"192.0.0.1",
"source":"REMOTE_ADDR"
},{
"ip":"10.0.0.1",
"source":"HTTP_X_FORWARDED_FOR"
},{
"ip":"10.0.0.2",
"source":"HTTP_X_FORWARDED_FOR"
}]
}
</pre>

=== Ausgabe als XML ===
Beim Aufruf von [http://checkip.spdns.de/xml http://checkip.spdns.de/xml] werden die gefundenen IP-Adressen nach folgendem Schema mit dem MIME-Type <code>text/xml</code> ausgegeben:
<pre>
<ipinfo>
<ip ip="192.0.0.1" source="REMOTE_ADDR"/>
<ip ip="10.0.0.1" source="HTTP_X_FORWARDED_FOR"/>
<ip ip="10.0.0.2" source="HTTP_X_FORWARDED_FOR"/>
</ipinfo>
</pre>

== Logmeldungen auf der Webseite ==
=== Ungültiger Hostname: $HOSTNAME ===
'''Kategorie''': Fehler 
'''Ursache''': Die Zugangsdaten für den Account waren korrekt, aber der angegebene Host existiert nicht oder der Benutzer hat keine Berechtigung zum Aktualisieren dieses Hosts 
'''Lösung''': Tragen Sie in Ihrem Dyndns-Client den korrekten Hostnamen ein.

=== Die Aktualisierung war erfolgreich. Es wurde die gleiche IP erneut gesetzt ===
'''Kategorie''': Warnung 
'''Ursache''': Es erfolgte eine Aktualisierung des Hostnamens, dabei wurde aber wieder die gleiche IP verwendet, wie vorher. 
'''Lösung''': Es ist keine Aktion des Nutzers notwendig, solange diese Meldung nicht zu oft erscheint. Die Richtlinie ist hier, dass nicht mehr als ein Update je 30 Minuten erfolgen sollte. Wird diese Meldung zu oft erzeugt, werden weitere Update-Versuche dieses Hosts für eine bestimmte Zeit unterbunden.

=== Bitte verwenden Sie als Update-Server in Ihrem Client "update.spdns.de" (Aktuelle Einstellung: $SOME_OTHER_HOST) ===
'''Kategorie''': Warnung 
'''Ursache''': Ihr Dyndns-Client hat den Host erfolgreich aktualisiert, aber sich dabei nicht zum korrekten Update-Server verbunden. 
'''Lösung''': Im Dyndns-Client muss als Update-Server "update.spdns,de" angegeben werden. 
'''HINWEIS''': Sobald wir auch die Aktualisierung von IPv6-Adressen (AAAA-Records) zulassen, wird diese Meldung zur Kategorie Fehler. Eine Aktualisierung von Hosts ist dann nur noch über eine der folgenden Hostnamen möglich:

* update.spdns.de (IPv4/IPv6) ''[bevorzugter Server]''
* update4.spdns.de (IPv4)
* update6.spdns.de (IPv6)
* login.spdns.de (IPv4/IPv6)
* members.spdns.de (IPv4/IPv6)

Datei:FritzBox-spDNS.jpeg

2014-05-09T13:34:44Z

Chris:

KB UTMV11 AD Join nicht möglich

2013-11-27T16:35:42Z

Chris: Die Seite wurde neu angelegt: „{{v11}} kategorie:UTMv11 === Netbois Name wurde nicht korrekt eingetragen === Bei dem Versuch mit der UTM dem AD beizutreten erhalten Sie einen "CLI Err…“

{{v11}}

[[kategorie:UTMv11]]

=== Netbois Name wurde nicht korrekt eingetragen ===

Bei dem Versuch mit der UTM dem AD beizutreten erhalten Sie einen "CLI Error unknown error" 

Der häufigste Fehler ist das Nicht- oder Falsch-Ausfüllen der Netbios-Arbeitsgruppe unter: 
Authentifizierung -> Externe Authentifizierung -> Active Directory -> Arbeitsgruppe.
 
Bitte beachten Sie, dass dieses Feld immer ausgefüllt sein muss.
 
 

=== Die interne Zone kann nicht aufgelöst werden ===

Die Firewall muss als Nameserver angegeben werden um die interne Zone aufzulösen. Tragen Sie unter: 

Netzwerk -> Servereinstellungen -> Primärer Nameserver: 127.0.0.1 ein. 

Desweiteren legen Sie eine Relay-Zone an. Ihre Domain wird an Ihren Server weitergeleitet.

[[Datei:ADDNS.png|400px|thumb|center|Relay]]

 
=== Uhrzeit stimmt mit PDC nicht überein ===

Überprüfen Sie die Uhrzeit auf der Firewall und Ihrem Primary Domain Controller. Tragen Sie unter: 

Netzwerk -> Servereinstellungen -> NTP-Server 
Ihren PDC ein.
 

=== Kommunikation zum PDC ===

Stellen Sie sicher, dass die Kommunikation zum PDC gewährleistet ist. Überprüfen können Sie dies, indem Sie unter: 
Netzwerk -> Netzwerkwerkzeuge -> Ping 
einen Ping auf Ihren PDC senden.