Securepoint Wiki - Benutzerbeiträge [de]

UTM/FAQ-VoIP

2026-04-24T14:15:40Z

Janh: /* {{#var:Allgemein}} */

{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/FAQ-VoIP.lang}}
{{Rollout|VoIP}}

{{var | neu--Artikel aufgeteilt und überabreitet
| Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: [[UTM/VoIP_BestPractice|Beispielszenarien]] und FAQ/Problembehandlung (dieser Artikel)
| The article has been fundamentally revised and split into two articles: [{{#var:host}}UTM/VoIP_BestPractice Example Scenarios] and FAQ/Troubleshooting (this article) }}

</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
{{Header|09.2025|
* {{#var:neu--Artikel aufgeteilt und überabreitet}}
|[[UTM/FAQ-VoIP_v12.6 | 12.6]]
[[UTM/FAQ-VoIP_07.2022 | 07.2022]]
[[UTM/FAQ-VoIP_v11.8 | 11.8]]
|
}}
----

<div class=FAQ>

=== {{#var:Allgemein}} ===

<li class="list--element__bullet">{{h4|{{#var:Paketfilter Regel}} }}{{#var:Paketfilter Regel--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Paketfilter Regel--Antwort}}|w=7em|m=1em}}{{a|3}}
<div style="padding-left: 112px">
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}}
{| class="sptable2 pd5 zh1"
| class=noborder colspan=3 | {{#var:Paketfilter Regel--Lösung}}
|- class=noborder
| colspan=3 | {{Kasten|{{#var:Allgemein}} }}
|-
| {{ b | {{#var:source|Quelle}}: }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}}
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li>
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li>
| class=Bild rowspan=8 | {{Bild|{{#var:Paketfilterrel erstellen--Bild}}|{{#var:Paketfilterregel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
| {{ b | {{#var:dest|Ziel}}: }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}}
|-
| {{ b | {{#var:service|Dienst}}: }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }}
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }}
* rtp: UDP Port 7070-7089
|-
| {{ b | {{#var:action|Aktion}}: }} || {{ Button | Stateless | dr |class=mw13}} ||
|- class=noborder
| colspan="3" | {{ Kasten | [ - ] NAT }}
|-
| {{ b | {{#var:type|TYP}}: }} || {{ Button | HIDENAT |dr|class=mw13}} ||
|-
| {{ b | {{#var:netobject|Netzwerkobjekt}}: }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} ||
|- class="Leerzeile"
|
|}
</div></div></span>
</div>
</div>

<li class="list--element__bullet">{{h4|{{#var:VoIP ohne SIP Helper}} }}{{#var:VoIP ohne SIP Helper--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:VoIP ohne SIP Helper--Antwort}}|w=7em|m=1em}}{{a|3}}
<div style="padding-left: 112px">
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}}
{{#var:VoIP ohne SIP Helper--Lösung}}
===== {{#var:Dienst anlegen}} =====
{| class="sptable2 pd5 zh1 Einrücken"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="9" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}}||{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available}} || {{#var:Name--desc}}
|-
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=available}} ||
|-
| {{b|{{#var:Protokolltyp}} }} || {{Button| |dr|class=mw16}} || <li class="list--element__alert list--element__hint">{{#var:Protokolltyp--desc}}</li>
|-
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Einzelner Port}}|class=aktiv}}{{Button|{{#var:Port-Bereich}} }} || {{#var:Zielport Typ--desc}}
|-
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=available}} || {{#var:Zielport--desc}}
|-
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|class=aktiv}}{{Button|{{#var:Einzelner Port}} }}{{Button|{{#var:Port-Bereich}} }} || {{#var:Quellport Typ--desc}}
|- class="noborder"
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}}
|- class="Leerzeile"
|
|}

===== {{#var:Dienstgruppe anlegen}} =====
<div class="Einrücken">{{#var:Dienstgruppe anlegen--desc}}<br>
{| class="sptable2 pd5"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name-Dienstgruppe--val}} }} || {{#var:Name--desc}}
|-
| {{b|{{#var:Dienste}} }} || {{ic| {{cb|{{spc|udp|o|{{#var:Name--val}} {{#var:Zielports}}5060}}|-|class=max-content}}<br> {{cb|{{spc|udp|o|rtp {{#var:Zielports}} 7070:7089}}|-}}|cb|class=max-content}} || {{#var:Dienste--desc}}
|}

</div>

===== {{#var:Paketfilter Regel}} =====
<div class="Einrücken">

{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"<br>
|- class="bold small no1cell"
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Paketfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || class=mw10 | {{#var:Quelle}} || class=mw10 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || class=mw10 | {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|

|-
| {{spc|drag|o|-}} || 24 || {{spc|netgroup|o|-}} voip-clients || {{spc|host|o|-}} voip-server || {{spc|dienste|o|-}} {{#var:Dienste-Gruppe--val}} || {{Kasten|HN|blau}} || {{Kasten|Stateless|grau|icon=info}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| class=bc__default |
|}

<br><br>

<li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li>
<br clear=all></div>
</div></div></span>
</div>
</div>

<li class="list--element__bullet">{{h4|{{#var:UDP-Session Timeout}} }}{{#var:UDP-Session Timeout--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:UDP-Session Timeout--Antwort}}|w=7em|m=1em}}{{a|3}}
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:UDP-Session Timeout--Lösung}}<br>
{{code|system sysctl new name net.netfilter.nf_conntrack_udp_timeout value 300
system sysctl new name net.netfilter.nf_conntrack_udp_timeout_stream value 300
system update system
system config save
}}|w=7em|m=1em}}
</div>

<li class="list--element__bullet">{{h4|{{#var:SIP via TCP}} }}{{#var:SIP via TCP--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:SIP via TCP--Antwort}}|w=7em|m=1em}}
<div style="padding-left: 112px">
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}}
{{Gallery3
|{{#var:Dienst SIPviaTCP--Bild}}|{{#var:Dienst SIPviaTCP--cap}}|Abb1-header={{Dialog-header|{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|i=2}}
</div></div></span>
</div>
</div>
----

=== {{#var:Problembehandlung}} ===
<li class="list--element__bullet">{{h4|{{#var:Keine Tonübertragung}} }}{{#var:Keine Tonübertragung--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Keine Tonübertragung--Antwort}}|w=7em|m=1em}}{{a|3}}
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:Keine Tonübertragung--Lösung}}|w=7em|m=1em}}
</div>

<li class="list--element__bullet">{{h4|{{#var:Externes Verbinden}} }}{{#var:Externes Verbinden--Frage}}</li>
<div class="Einrücken">
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Externes Verbinden--Antwort}}|w=7em|m=1em}}{{a|3}}
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:Externes Verbinden--Lösung}}|w=7em|m=1em}}
</div>

</div>

Mail cli v11

2022-10-27T14:42:31Z

Janh: /* Mail */

==Mail==

{| {{prettytable}}
!Befehl!! Beschreibung!! Beispiel
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|colspan="3"|'''ab Version 11.5'''
|-
!''filterng''|| ||
|-
|optionen: || ||
|-
|id|| Identifikationsnummer der Filterregel||
|-
|pos|| Positions-Nummer der Regel||
|-
|selector|| Bezeichnung der Filterregel||
|-
|action|| Aktion dieser Regel:|| ACCEPT; MARK; FILTER; BLOCK; REJECT; QUARANTINE
|-
|action_arg|| Legt fest, mit welchem Text die Mail im Betreff bei der Aktion ''MARK'' markiert werden soll|| Frei gestaltbar z.B. [Spam]
|-
|operator || Übereinstimmung des Inhaltes wie: ''ist, ist nicht, enthält, enthält nicht, passt auf regex''|| IS; ISNOT; IN; NOTIN; REGMATCH; TRUE; FALSE
|-
|type|| Typ des Inhaltes|| PROTO; SRC; DST; FROM; RCPT; HEADER; SPAM; VIRUS; URL; CONTENT
|-
|type_arg|| Zusätzliche Information zum Typ des Inhalts|| MIME; SUFFIX
|-
|value|| Inhalt, nach dem gefiltert werden soll||

|-
|binop|| Sollen alle Bedingungen zutreffen oder nur eine davon|| AND; OR
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|mail filterng get|| Listet die Mail-Filterregeln auf|| mail filterng get<br><br>mail filterng selector get<br><br>mail filterng selector item get
|-
|mail filterng new|| Erstellt eine neue Mail-Filterregel<br><br>Eine Regel wird mit mehreren Kommandos angelegt.<br>Das Kommando '''''mail filterng selector new''''' legt zunächst die Regel mit Namen und Verknüpfungsbedingung an.<br><br>'''''mail filterng selector item new''''' setzt die einzelnen Filter.<br><br>'''''mail filterng new''''' definiert dann die Aktion und die Position|| mail filterng selector new name virusfilter binop AND<br><br>
mail filterng selector item new selector virusfilter type PROTO operator IS value [ SMTP ]<br><br>
mail filterng selector item new selector virusfilter type VIRUS operator TRUE<br><br>
mail filterng new selector virusfilter action REJECT pos 1
|-
|mail filterng set|| Ändern einer Mail-Filterregel|| mail filterng set id 3 action DROP<br><br>mail filterng selector item set id 15 value [ value1 value2 value3 ]
|-
|mail filterng delete|| Löschen einer Mail-Filterregel|| mail filterng delete id "3"
|-
|mail filterng update|| Aktualisieren der Mail-Filterregeln|| mail filterng update
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''fetch''|| ||
|-
|optionen: || ||
|-
|id|| Identifikationsnummer der Mail-Connector Instanz||
|-
|host|| IP-Adresse oder Hostname des Mailservers von dem die E-Mails abgeholt werden sollen||
|-
|proto|| E-Mail Protokoll mit dem die Mails abgeholt werden|| POP3; IMAP
|-
|user|| E-Mailadresse des Benutzers oder des Catchall Postfach||
|-
|pass|| Passwort des Postfach||
|-
|flags|| Optionen beim Abholen der Mails|| MULTIDROP; STRATTLS; KEEPMAILS
|-
|cert|| Verwendetes Zertifikat||
|-
|dest|| E-Mail Adresse des Benutzer auf dem lokalen Mailserver oder Domain-Name bei Multidrop||
|-
|envelope|| Envelope Header bei Multidrop|| X-Original-To; X-Envelope-To; Delivered-To
|-
|limit|| Maximale Nachrichtengröße die vom Server abgeholt wird||
|-
|local|| E-Mail Adresse des Benutzer auf dem lokalen Mailserver bei Multidrop||
|-
|remote|| E-Mail Adresse des Benutzer im Envelope Header bei Multidrop||
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|mail fetch get|| Listet die Mail-Connector Instanzen auf|| mail fetch get
|-
|mail fetch new|| Erstellt eine neue Mail-Connector Instanz|| mail fetch new host ''mail.provider.local'' proto ''IMAP'' user ''user@zentrale.de'' pass ''insecure'' dest ''user@zentrale.de'' flags ''[ KEEPMAILS STARTTLS ]''
|-
|mail fetch set|| Ändern einer Mail-Connector Instanz|| mail fetch set id 1 proto POP3
|-
|mail fetch delete|| Löschen einer Mail-Connector Instanz|| mail fetch delete id 1
|-
|mail fetch update|| Aktualisieren der Mail-Connector Instanzen|| mail fetch update
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|colspan="3"|'''In Version 11.5 als auch in älteren Versionen verwendbar'''
|-
!''archiv''|| Mailfilter_Admin Rechte benötigt ||
|-
|mail archive update|| Aktualisiert die Variablen des Mailarchiv(Maximale E-Mail Anzahl/Alter (Tage)/Größe (Megabyte)|| mail archive update count "1024" age "7" size "128"
|-
|mail archive get|| Auflistung der E-Mails im Mailarchiv|| mail archive get
|-
|mail archive count|| Gibt die Menge der im Archiv liegenden E-Mails aus|| mail archive count
|-
|mail archive resend|| Erneutes Versenden einer E-Mail aus dem Archiv|| mail archive resend <name> <rcpt>
|-
|mail archive preview|| Zeigt den Inhalt einer E-Mail an|| mail archive preview name smtp.hkHTSk
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''queue''|| ||
|-
|mail queue get|| Zeigt den Mailqueue|| mail queue get
|-
|mail queue delete|| Entfernt eine einzelne Mail aus der Mailqueue|| mail queue delete id u35CIFQk006986
|-
|mail queue flush|| Versucht die Mails aus der Mailqueue neu zuzustellen|| mail queue flush id u35CLSQk007559 rcpts user@mail.domain
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|colspan="3"|'''Nur in älteren Versionen vor 11.5 verwendbar'''
|-
!''contentfilter''|| ||
|-
|mail contentfilter get|| Listet die erstellten Contenfilter-Regeln auf|| mail contentfilter get
|-
|mail contentfilter new|| Erstellt eine neue Contentfilter-Regel|| mail contentfilter new name "DOK-WL" flags "WHITE_LIST" type "suffix" value "pdf"
|-
|mail contentfilter content new|| Fügt eine neuen Eintrag zu einem bestehenden Contentfilter hinzu|| mail contentfilter content new id "3" type "suffix" value "doc"
|-
|mail contentfilter set|| Ändert eine Contentfilter-Regel|| mail contentfilter set id "3" name "Neuer_Name"
|-
|mail contentfilter delete|| Löscht eine Contentfilter-Regel|| mail contentfilter delete id "3"
|-
|mail contentfilter content delete|| Löscht Content aus einer Contentfilter-Regel|| mail contentfilter content delete content_id "3"
|-
|mail contentfilter update|| Aktualisiert den System Contentfilter|| mail contentfilter update
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
!''filter''|| ||
|-
|optionen: || ||
|-
|id|| Identifikationsnummer der Filterregel||
|-
|pos|| Positions-Nummer der Regel||
|-
|action|| Aktion dieser Regel:|| none; mark; filter; block; reject
|-
|category|| Kategorie der Filterregel|| spam; probably_spam; virus; content; user; urlfilter; nullfilter
|-
|type|| Typ des Inhaltes|| any, rcpt_to; mail_from; helo; src; dst; header
|-
|value|| Inhalt, nach dem gefiltert werden soll||
|-
|flags||Übereinstimmung des Inhaltes || CONTAINS; CONTAINS,NOT; MATCH; MATCH,NOT; REGEX; REGEX,NOT; USER_SEARCH, LDAP_SEARCH
|-
|operator|| Sollen alle Bedingungen zutreffen oder nur eine davon|| AND; OR
|-
|user||Lokal auf der Firewall oder per LDAP verwaltte Nutzer|| ${LOCAL}; ${LDAP}
|-
|rule_id|| ID der Regel in der Filterregel||
|-
|contentfilter||Name der Contentfilterregel||
|-
|style="background:#FFCBCB" | || style="background:#FFCBCB" | || style="background:#FFCBCB" |
|-
|mail filter get|| Zeigt die Mailfilter Einstellungen an|| mail filter get
|-
|mail filter new|| Erstellt eine neue Mailfilter-Regel|| mail filter new proto "smtp" category "nullfilter" action "none"
|-
|mail filter rule new|| Erstellt eine Neue Regel für eine Mailfilterregel|| mail filter rule new id "14" type "mail_from" flags "CONTAINS" value "securepoint.de"
|-
|mail filter set|| Ändern einer Mailfilter-Regel|| mail filter set id "3" action "block"
|-
|mail filter delete|| Löschen einer Mailfilter-Regel|| mail filter delete id "3"
|-
|mail filter rule delete|| Löscht eine Regel innerhalb einer Mailfilterregel|| mail filter rule delete rule_id "18"
|-
|mail filter update|| Aktualisieren der Mailfilter-Regeln|| mail filter update
|}

Syslog cli v11

2022-04-27T15:16:15Z

Janh: /* syslog */

=syslog =

{| border="0" {{prettytable}}
|-
! Befehl !! Beschreibung !! Beispiel
|-
| syslog reset|| Zurücksetzen der Syslog-Meldungen || syslog reset
|-
| syslog get|| Abrufen der letzten historischen Logmeldungen|| syslog get
|-
| syslog server get|| Auflistung der Syslog-Server || syslog server get
|-
| syslog server new|| Hinzufügen eines Syslog-Servers || syslog server new addr "192.168.175.2" port 514
|-
| syslog server delete|| Entfernen eines Syslog-Servers || syslog server delete id 1
|-
| syslog backlog get|| Backlog Konfiguration auflisten || syslog backlog get
|-
| syslog backlog set|| Backlog Konfiguration anpassen || syslog backlog set type messages limit 300000 (300000 Zeilen entsprechen ca. 100MB)
|}

Ersteinrichtung NAC V4.4

2020-10-09T10:52:53Z

Janh: /* Aufrufen der Administrationsoberfläche */

[[Kategorie:NAC]]

===NAC Anschließen===
[[Datei:NAC_Topologie.jpg|200px|thumb|right|NAC Topologie]]
====Positionierung im Netzwerk====
Die Securepoint WLAN und Network Access Controller Lösungen sind Appliances, die mit zwei Ethernet-Karten zum Anschluss innerhalb Ihres Netzwerkes ausgestattet sind. Sie ermöglichen Ihnen auf einfache Weise, das LAN oder WLAN-Netzwerk zu schützen und Kunden/Mitarbeitern sehr einfach Dienste (Web, Email, Zugriff auf Geschäftsprozesse) anbieten zu können.

====Installation====
Die Securepoint NAC Appliances werden zwischen dem Access Netzwerk (drahtlos oder verkabelt) und dem Unternehmens-LAN installiert. Der gesamte Datenverkehr zu oder von Benutzern wird durch die Securepoint NAC Appliance geleitet. Um dies zu erreichen, ist die Securepoint NAC mit zwei Ethernet-Karten ausgestattet. Eine wird mit dem LAN, die andere auf den Access Point bzw. den Switch des zu kontrollierenden Benutzer Netzwerks verbunden.

Wir gehen davon aus, dass im Unternehmens-Netzwerk ein DHCP-Server verfügbar ist.<br>
Im Auslieferzustand ist der DHCP-Client für das Interfaces LAN 1 / Eth0 (OUT) und DHCP-Server für LAN 2 / Eth1 (IN) aktiv.)<br>
Die Standard Gateway-Adresse der NAC auf LAN 2 ist 192.168.100.254.

1. Verbinden sie mit einem Ethernet-Netzwerkkabel die NAC Appliance Schnittstelle LAN1 / Eth0 (out) mit dem LAN (das LAN, woran der DHCP/DNS-Server sich befindet).<br>
(Siehe Abbildungen für MicroNAC/NAC100/NAC200 und NAC400.)

2. Verbinden sie mit einem weiteren Ethernet-Kabel die Schnittstelle LAN 2 /Eth1 (in) der Securepoint Appliance mit einer drahtlosen und/oder verkabelte Access Point Infrastruktur (z.B.: der Switch, mit dem die Access Points verbunden sind).

3. Stromversorgung mit 220 V oder 110 V.

[[Datei:NAC_TopM100200.png|300px|thumb|left|Anschließen der MicroNAC, NAC100/200]][[Datei:NAC_Top400.png|300px|thumb|center|Anschließen der NAC400]]

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Hinweis:'''<br>
Im Auslieferzustand ist der DHCP-Client für das Interfaces LAN 1 / Eth0 (OUT) und DHCP-Server für LAN 2 / Eth1 (IN) aktiv.)
|}

===Aufrufen der Administrationsoberfläche===
Verbinden sie ihren Computer direkt mit der NAC Schnittstelle LAN 2 /Eth1 (in) oder über einen Switch, an dem auch schon der Access Point und die NAC Appliance Verbunden sind.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung:'''<br>
Wenn Ihr Switch VLAN unterstützt, muss der Computer die NAC auf den nativen VLAN erreichen können.
|}

Für den direkten Anschluss wird, je nach Computer, eventuell ein Crossover-Netzwerkkabel benötigt.

Um die Administrationsoberfläche über den Webbrowser aufzurufen, geben sie eine der beiden folgenden URL in die URL-Suchleiste ihres Browsers ein:

* https://controller.access.network/admin/
* https://192.168.100.254/admin/

[[Datei:NAC_Login.png|200px|thumb|right|Administration Login]]

Es öffnet sich das Administrator Login Fenster. Hier werden sie aufgefordert den Benutzernamen und das entsprechende Kennwort einzugeben. Dieses lautet im Auslieferzustand:

<p><span style="white-space:pre">	</span>Benutzername:<span style="white-space:pre">	</span>admin<br>
<span style="white-space:pre">	</span>Kennwort:<span style="white-space:pre">		</span>insecure</p>

Anschließend klicken sie auf [[Datei:NAC_VerbB.png|60px]]

[[Datei:NAC_pwaend.png|200px|thumb|right|Ändern des Passwortes]]
Im nächsten Fenster werden Sie aufgefordert, das Passort zu ändern.
Tragen sie unter „Altes Passwort“ Ihr bisheriges Passwort ein (im Auslieferzustand also insecure) und tragen sie unter „Neues Passwort“ ein selbst gewähltes Passwort ein, welches sie unter „Kennwort bestätigen“ wiederholen. Klicken sie auf den Button [[Datei:NAC_BestB.png|60px]]

[[Datei:NAC_Lizv.png|200px|thumb|right|Lizenzverwaltung]]

===Lizensieren des NAC===
Für den Betrieb des NAC wird in jedem Fall eine gültige Lizenz benötigt, da ansonsten die Network Access Funktionen des NAC nicht genutzt werden können.

Wählen sie in der Menüleiste oben den Menüpunkt '''Betrieb''' und anschließend die Option '''Lizenz''' in dem Menü auf der linken Seite.

Die automatische Lizensierung erfolgt in zwei Stufen:

1. Geben sie die Installations- und Unternehmens-Kontaktdaten im Abschnitt „Parameter für den Erhalt der Lizenz" ein und klicken sie auf den Button [[Datei:NAC_BestB.png|60px]]

Nach dem Verbindungsbildschirm sollten sie dann im Fenster der Lizenzverwaltung einen Hinweis in grün erhalten, dass Ihre Parameter korrekt gespeichert wurden.

2. Wenn die Parameter korrekt gespeichert wurden, wechseln Sie in den Abschnitt
„Online-Installation der Lizenz“ und klicken auf [[Datei:NAC_BestB.png|60px]] um die Lizenz sofort zu installieren.

===Netzwerkkonfiguration===
Die Securepoint NAC Modelle sind für den sofortigen Einsatz vorkonfiguriert. Die Standardeinstellung ist der DHCP Modus.

[[Datei:NAC_OutNetD.png|200px|thumb|right|Konfiguration Ausgangsnetz]]
[[Datei:NAC_InNetD.png|200px|thumb|right|Konfiguration Eingangsnetz]]
Wenn sie feste IP Adressen nutzen möchten oder müssen, können sie sowohl bei den Eingangsnetzen als auch bei den Ausgangsnetzen, die DHCP Funktion abschalten.

Dazu klicken sie im Hauptmenü auf „Konfiguration“ und im Untermenü auf „Netzwerk“.

[[Datei:NAC_nativeout.png|200px|thumb|right|Änderung native-out]]
Um z.B. der Standard Einstellung eine feste IP Einzutragen, wählen sie „Ausgangsnetze“ und klicken sie in das Kästchen der VLAN-ID „native-out“. Anschließend klicken sie auf den Button [[Datei:NAC_AendB.png|60px]]

Deaktivieren Sie DHCP aktivieren, geben Sie Ihre IP-Adresse, Subnetzmaske und das Gateway ein und klicken Sie auf [[Datei:NAC_BestB.png|60px]]

[[Datei:NAC_ProfVerw.png|200px|thumb|right|Profilverwaltung]]
===Benutzerprofil einrichten===
Profile beschreiben Zugangsrechte zu Diensten, Ein- und Ausgang Zonen, zugewiesene Dauer einschließlich Zeitkredit und Dauer.

Wählen sie im Hauptmenü den Punkt Administration und im Untermenü den Menüpunkt Profile.

Um ein neues Profil anzulegen klicken sie auf den Button [[Datei:NAC_HinzB.png|60px]]

[[Datei:NAC_ProfEinr.png|200px|thumb|right|Profil hinzufügen]]
Um z.B. das Profil „Besucher“ mit Zugriffsrechten auf Web- und Mail-Dienste zu erstellen, gehen sie folgendermaßen vor:

1. Tragen sie „Besucher“ im Feld ID-Profil ein.
(Bei ID-Profil handelt es sich um ein Pflichtfeld welches nicht leer bleiben darf.)

2. Wählen sie „Web“ und „Mail“ aus der Liste der verfügbaren Dienste aus und fügen diese jeweils mit einem klick auf [[Datei:NAC_DienstHinzB.png|70px]] den Profildiensten hinzu.

3. Klicken sie auf den + Button vor Gültigkeit und definieren sie die Gültigkeit dieses Profils.

4. Klicken sie auf [[Datei:NAC_BestB.png|60px]] um die Eingaben zu speichern.

[[Datei:NAC_BenVerw.png|200px|thumb|right|Benutzer Verwaltung]]
===Benutzerkonto erstellen===
Um Benutzer neu anzulegen, diese zu ändern oder zu löschen, wählen sie im Hauptmenü Administration und im Untermenü den Punkt Benutzer.

Wenn noch kein Benutzer angelegt ist, sehen sie ein Fenster das kein Benutzer konfiguriert ist mit dem Button „Benutzer erstellen“. Klicken Sie auf diesen Button um den ersten Benutzer anzulegen.

[[Datei:NAC_BenHinz.png|200px|thumb|right|Benutzer Hinzufügen]]
Um z.B. den Benutzer John Smith mit einem Login „jsmith“ zu erstellen gehen sie folgendermaßen vor:

1. Tragen sie unter Anmeldung den Login „jsmith“ ein.
(Bei Anmeldung handelt es sich um ein Pflichtfeld welches nicht leer bleiben darf.)
Tragen sie weiterhin den Namen, Vornamen und ein Passwort ein. Dass Passwort wiederholen sie noch einmal im Feld „Kennwort bestätigen“

2. Wählen sie das Profil „Besucher“ aus der Liste der verfügbaren Profile. Unter Verknüpfte Dienste werden dann die Dienste angezeigt, die mit diesem Profil verknüpft sind.

Der Benutzer erbt die Eigenschaften von seinem Benutzerprofil, sodass die Konto Erstellung hier mit einem Klick auf [[Datei:NAC_BestB.png|60px]] beendet werden kann.

[[Datei:NAC_UserAuth.png|200px|thumb|right|Benutzerzugriff über den NAC]]
===Anmeldung mit dem angelegten Benutzer===
Um zu überprüfen, ob der Benutzer nun auch über den NAC Authentifiziert wird, öffnen sie ein neues Browser Fenster und rufen sie irgendeine gültige Webseite auf. <br>
Sie werden automatisch auf das NAC-Web-Portal weitergeleitet.

Geben sie den angelegten Login „jsmith“ in das Feld Benutzername, das dazugehörige Passwort in das Feld Kennwort ein und klicken sie auf [[Datei:NAC_UserAuthB.png|30px]].

[[Datei:NAC_UserIDSite.png|200px|thumb|right|ID Seite des Benutzers]]
Im nächsten Fenster sehen sie die Benutzer-Daten und können entscheiden, ob sie durch einen klick auf den Link [[Datei:NAC_WebSiteLink.png|300px]] die angeforderte Seite anzeigen lassen ...

... oder die Verbindung mit dem Button [[Datei:NAC_VerbbeendB.png|80px]] beenden möchten.

UTM/IPSec - Fritzbox V11

2020-07-31T15:36:03Z

Janh: /* Die Konfigurationsdatei anpassen */

{{Set_lang}}

{{vardefine:headerIcon|spicon-utm}}
</div>{{DISPLAYTITLE:IPSEC - Fritzbox mit UTM v.11}}{{TOC2}}
<p>'''Erstellen einer IPSec-Verbindung mit einer Fritzbox'''</p>

<p>Letzte Änderungen: 11.2019</p>

</p>{{cl|Neu|
* Layoutanpassung
* Änderungen in der Config der Fritzbox
|w=40px }}

;Vorbemerkung
Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer Securepoint UTM und einem Fremdprodukt herzustellen. Aufgrund der Vielzahl der Geräte und Firmwareversionen können wir aber keine Garantie für einen erfolgreichen Verbindungsaufbau übernehmen.

{{Hinweis | !! Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur möglich, wenn die Securepoint Appliance über eine feste IP-Adresse verfügt.|gelb|c=graul}}Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst für dynamische Adressverwaltung, ist eine Verbindung nicht möglich.
<br>
----
=== Voraussetzungen ===

Es wird eine AVM Fritz!Box benötigt die VPN Anbindungen unterstützt.

Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen.<br>
Wenn zwei dynamische IP-Adressen verbunden werden sollen, wählt die AVM VPN Funktion als Transportmodus den „Aggressive Mode“. Dieser wird von den Securepoint Appliances nicht unterstützt.<br>
Im „Aggressive Mode“ wird die Authentisierung der beiden Gegenstellen nicht verschlüsselt vorgenommen. Die Hashwerte des Preshared Key werden unverschlüsselt übertragen. Somit ist die Sicherheit von der Stärke des Preshared Key und vom verwendeten Hashverfahren abhängig. Da die meisten gemeinsamen Schlüssel aber
nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.
----
=== Einrichtung der Fritzbox ===
Ist das verwendete AVM Produkt noch nicht für den VPN Betrieb ausgelegt, kann auf der Homepage des Herstellers überprüft werden, ob eine neue Firmware diese Funktionalität zu Verfügung stellt.

==== Einspielen einer neuen Firmware Version ====
{{Einblenden3| Firmware update: Details anzeigen | ausblenden|true|dezent}}
{{pt3|fritz_expertenansicht.png|Auf Expertenansicht wechseln}}
Vor dem herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.

* Die ''Konfigurationsoberfläche'' der Fritz!Box wird im Browser aufgerufen.
:Einstellung ab Werk: 192.168.178.1
* Die für die Konfiguration notwendige Expertenansicht ist unter den Menüpunkten ''Einstellungen'' → ''System'' → ''Ansicht'' zu erreichen.
* Im Dialog wird die Checkbox ''Expertenansicht aktivieren'' aktiviert die Auswahl mit ''Übernehmen'' bestätigt.
<br clear=all>

* Nun muss der Menüeintrag ''Firmware-Update'' angeklickt werden.
* Ein Klick auf ''Durchsuchen'' öffnet den Explorer und es kann die eben heruntergeladene aktuelle Firmware Version ausgewählt werden.
* Das Aufspielen der aktuellen Firmware startet mit dem Button ''Update''.
* Das nächste Fenster informiert über den Vorgang der Aktualisierung.
* Der Button ''Zur Übersicht'' ist zu betätigen, wenn der Update-Vorgang abgeschlossen ist.
{{Gallery3|fritz_firmware_start.png|Firmware Aktualisierung starten | fritz_firmware_info.png|Information zur Firmware Aktualisierung | i=5}}
</div>
----
==== DynDNS aktivieren ====
{{pt3|fritz_dyndns.png|Aktivieren der DynDNS Funktion}}
Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt natürlich voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist (z.B. [[SPDyn]]).

* In der Konfigurationsoberfläche → ''Einstellungen'' → im linken Menü → ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben'' → Dialog: ''Freigaben''.
* Wechseln zur Registerkarte ''Dynamic DNS''.
* Aktivieren der Checkbox ''Dynamic DNS benutzen''.
* ''Anbieter'' aus dem Dropdownfeld auswählen.
* ''Domainname'': der Name, der beim Anbieter für die Domain hinterlegt ist
* Anmeldedaten zum DynDNS Anbieter in den Feldern ''Benutzername'', ''Kennwort'' und ''Kennwortbestätigung'' eingeben.
* Klick auf ''Übernehmen''.
<br clear=all>
----
==== Internes Netzwerk ändern ====
{{pt3|fritz_ip_adressen.png|Aufrufen des Dialogs IP-Adressen}}
Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN
Assistenten, nicht für VPN genutzt werden darf, muss das interne Netz gewechselt
werden.

* In der Konfigurationsoberfläche unter ''Einstellungen'' → im linken Menü ''Erweiterte Einstellungen'' → ''System'' → ''Netzwerkeinstellungen'' → Dialog ''Netzwerkeinstellungen''.
* Schaltfläche {{Button|IP-Adressen}}
:Es öffnet sich die Anzeige ''IP-Adressen'.
<br clear=all>

{{pt3|fritz_ip_adressen_setzen.png|Interns Netz ändern}}
* {{b|IP-Adresse}} die neue IP-Adresse des internen Netzes an.
:Es können alle privaten Adressbereiche verwendet werden (10.xxx.xxx.1, 192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
* Eingabe der Subnetzmaske, wenn diese nicht automatisch gesetzt wird.
* Wenn alle verbundene Computer im Netz automatisch eine IP-Adresse und andere Netzinformationen von der Fritz!Box zugewiesen bekommen sollen, muss die Checkbox {{spc|cs|o|-}} ''DHCP-Server aktivieren'' aktiviert werden.
* Eingabe ''IP-Adressen von/bis'' für die IP-Adressen des internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll
* {{Button|Übernehmen}}

* Danach ist eine erneute Anmeldung mit der neuen IP-Adresse an der Fritz!Box erforderlich.
<br>
----
==== VPN Konfiguration erstellen ====

Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf der Internetseite des Herstellers AVM herunterladen können. Die Anwendungssoftware trägt den Namen '''Fritz!Fernzugang einrichten'''.

[[Datei:fritz_ffz_neu.png|thumb|200px|<font size="1">Assistenten starten</font>]]
*Laden Sie sich die Software ''Fritz!Fernzugang einrichten'' herunter und installieren Sie diese auf Ihrem Rechner.
*Starten Sie das Programm.
*Klicken Sie auf das Icon ''Neu'' in der Symbolleiste, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine für die lokale Fritz!Box und eine für die Gegenstelle.
<br><br><br><br>
<br><br>

Ein Assistent führt Sie durch die Erstellung der Konfigurationsdatei.

{{Gallery3|fritz_ffz_ass1.png| Art der Verbindung auswählen
* Wählen Sie im ersten Schritt, welche Geräte miteinander verbunden werden sollen.
:Sie möchten zwei Geräte miteinander verbinden. Markieren Sie den ''zweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerken errichten''.
| fritz_ffz_ass2.png | SPDYN Domain (oder eines anderen dynamischen DNS-Dienstes) eingeben
* Zunächst werden die Daten der lokalen Fritz!Box abgefragt.
* Geben Sie die eingerichtete SPDyn URL des lokalen Routers an.
:In diesem Beispiel: ''fritz_lokal.spdyn.de''
*Klicken Sie auf ''Weiter''.
| fritz_ffz_ass3.png | Internes Netz eingeben
* Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehörige Subnetzmaske ein.
* Klicken Sie ''Weiter''.
| fritz_ffz_ass4.png | Statische IP-Adresse der Securepoint Appliance
* Danach werden die Daten der Gegenstelle abgefragt.
* Geben Sie die feste IP-Adresse der Securepoint Appliance an.
: In diesem Beispiel: ''192.0.2.192''
* Klicken Sie auf ''Weiter''.
|fritz_ffz_ass5.png |Internes Netz der Securepoint Appliance
* Geben Sie dann das interne Netz der Securepoint Appliance und die zugehörige Subnetzmaske ein.
* Klicken Sie ''Weiter''.
| fritz_ffz_ass6.png|Verzeichnis der Dateien anzeigen
* Die Dateneingabe ist damit beendet.
* Im nächsten Schritt entscheiden Sie, ob die Konfigurationsdateien angezeigt oder exportiert werden sollen.
: Wählen Sie hier den ''ersten Punkt''.
* Klicken Sie auf ''Fertig stellen''.
|i=3}}

{{pt3|fritz_ffz_oeffnen.png|Konfigurationsdatei für die lokale Fritz!Box}}
Der Speicherort der Dateien wird angezeigt.<br>
Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen und der entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliance hergestellt werden soll, wird nur die Datei für die lokale Fritz!Box benötigt. Diese hat im Dateinamen die spdyn URL.

* Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.
* Öffnen Sie dazu die Datei in einem ''Editor'' (z. B. MS Editor).
<br>
----
==== Die Konfigurationsdatei anpassen ====
Im nächsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. <br>
<font color=green>Grün markierte Einträge</font> sind individuelle Konfigurationen. <br>
Notwendige manuelle Änderungen sind zusätzlich mit {{Hinweis|!|r}} gekennzeichnet.<br>
Die Datei muss zum Abschluss gespeichert werden!
<br>
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Securepoint"; <font color=green>// {{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font>
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 192.0.2.192; <font color=green>// statische IP-Adresse der Securepoint</font>
remote_virtualip = 0.0.0.0;
localid {
fqdn = "fritz_lokal.spdyn.de"; <font color=green>// spdyn-DNS-Name der Fritz!Box</font>
//ipaddr = xxx.xxx.xxx.xxx; <font color=green>// statische IP-Adresse der Fritz!Box, wenn vorhanden</font>
}
remoteid {
ipaddr = 192.0.2.192; <font color=green>// statische IP-Adresse der Securepoint Appliance</font>
}
mode = phase1_mode_idp; <font color=green>//{{Hinweis|!|r}} Main-Mode</font>
phase1ss = "dh14/aes/sha"; <font color=green>//{{Hinweis|!|r}} Proposals für Phase 1 (DH14, AES, SHA)</font>
keytype = connkeytype_pre_shared;
key = "geheim"; <font color=green>//{{Hinweis|!|r}} VPN Kennwort (Preshared Key)</font>
cert_do_server_auth = no;
use_nat_t = no; / yes; <font color=green>//{{Hinweis|!|r}} Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; </font>
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; <font color=green>// internes Netzwerk der Fritz!Box</font>
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.175.0; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font>
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; <font color=green>//{{Hinweis|!|r}} mit Kompression</font>
accesslist = "permit ip any 192.168.175.0 255.255.255.0"; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font>
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500";
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

<br>
{| class="sptable mw-collapsible mw-collapsed" data-expandtext="Erklärung der Änderungen und Einstellungen" data-collapsetext="ausblenden"
|-
|
|-
! Parameter !! geänderter Wert !! Beschreibung
|-
| <font face=courier>name = </font> || <font face=courier>"Securepoint";</font> || <font color=green>//{{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font><br>
Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.
|-
| <font face=courier>remoteip = </font> || <font face=courier>192.0.2.192;</font>|| <font color=green>//statische IP-Adresse der Securepoint</font><br>
Dies ist die statische IP-Adresse der Securepoint Appliance.
<br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
| <font face=courier>localid{</font><br><font face=courier>&emsp;&emsp; fqdn = </font> || <font face=courier><br> "fritz_lokal.spdyn.de";</font>|| <br><font color=green>// spdyn-Name der Fritz!Box</font><br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
|<font face=courier>&emsp;&emsp;//ipaddr = <br>}</font> || <font face=courier>xxx.xxx.xxx.xxx;</font> ||<font color=green>//statische IP-Adresse der Fritz!Box, wenn vorhanden</font><br>
Sie können hier auch eine IP-Adresse eingeben, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.
|-
| <font face=courier>remoteid {<br>&emsp;&emsp; ipaddr =<br>}</font> || <font face=courier><br>192.0.2.192;</font>|| <font color=green><br>//statische IP-Adresse der Securepoint</font><br>
Wiederholung der statischen IP-Adresse der Securepoint Appliance.<br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
| <font face=courier>mode = </font> || <font face=courier>phase1_mode_idp;</font>|| <font color=green>//{{Hinweis|!|r}} Main-Mode</font><br>
Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.
|-
|<font face=courier>phase1ss = </font> || <font face=courier>"dh14/aes/sha";</font>|| <font color=green>// {{Hinweis|!|r}} Proposals für Phase 1 (DH14, AES, SHA)</font><br>
Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden.
|-
| <font face=courier>key = </font> || <font face=courier>"geheim";</font>|| <font color=green>//{{Hinweis|!|r}} VPN Kennwort (Preshared Key)</font><br>
Geben Sie hier den Preshared Key ein. Sie können auch den vom Assistenten generierten beibehalten, dieser muss dann auch auf der Securepoint hinterlegt werden.
|-
| style="min-width: 130px;" | <font face=courier>phase2localid {<br>
&emsp;&emsp; ipnet {<br>
&emsp;&emsp;&emsp;&emsp; ipaddr = <br>
&emsp;&emsp;&emsp;&emsp; mask = <br>
&emsp;&emsp;}<br>
}</font>
| <br><br><font face=courier>192.168.100.0;<br>255.255.255.0;</font>|| <br><br><font color=green>//{{Hinweis|!|r}} internes Netzwerk der Fritz!Box</font><br>
<font color=green>//Subnetzmaske</font><br>
Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.
|-
| <font face=courier>phase2remoteid {<br>
&emsp;&emsp; ipnet {<br>
&emsp;&emsp;&emsp;&emsp; ipaddr = <br>
&emsp;&emsp;&emsp;&emsp; mask = <br>
&emsp;&emsp;}<br>
}</font>
| <br><br><font face=courier>192.168.175.0;<br>255.255.255.0;</font>|| <br><br><font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint Appliance</font><br>
Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.
|-
| <font face=courier>phase2ss = </font> || <font face=courier>"esp-all-all/ah-none/comp-all/pfs"</font>|| <font color=green>//{{Hinweis|!|r}} mit Kompression</font><br>
Da die Securepoint keinen Authentication Header erwartet aber seit Version 11 die Kompression unterstützt, ändern Sie die Einstellungen der Phase 2 auf <font face=courier>ah-none</font> und <font face=courier>comp-all</font>.
|-
| <font face=courier>accesslist = </font> || <font face=courier>"permit ip any 192.168.175.0 255.255.255.0";</font> || <font color=green>// internes Netzwerk der Securepoint Appliance</font>
|}
----

==== Konfigurationsdatei importieren ====
{{Gallery3 | fritz_config_save.png|VPN Konfiguration speichern
* Gehen Sie In der Konfigurationsoberfläche auf ''Einstellungen'' und navigieren Sie im linken Menü über die Einträge ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben'' zum Dialog ''Freigaben''.
* Wechseln Sie hier zur Registerkarte ''VPN''.
* Benutzen Sie den Button ''Durchsuchen'', um die Konfigurationsdatei in Ihrem System auszuwählen.
: Diese wird in Windows unter dem Pfad
: ''C:/Dokumente und Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname '' oder ''IP/*.cfg'' gespeichert.
* Klicken Sie dann auf den Button ''VPN-Einstellungen importieren''.
|fritz_config_set.png|VPN Verbindung ist eingerichtet
* Wenn Sie nach dem Import auf die Registerkarte gehen, wird die Verbindung im Abschnitt ''VPN-Verbindungen'' aufgeführt.
|i=3}}

<br clear=all>
----

=== Securepoint Appliance einrichten ===

Nun müssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.

*Legen Sie ein '''IPSec VPN Verbindung''' mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die '''IKE-Version 1''' zu benutzen und den gleichen '''Preshared Key''' einzusetzen.
*Erstellen Sie ggf. ein Netzwerkobjekt für die IPSec-VPN Netzwerk der Gegenstelle und '''Firewall Regeln''', wenn Sie diese nicht vom Assistenten automatisch anlegen lassen.
*Passen Sie die '''Einstellungen der Phasen''' der IPSec-Verbindung an. Achten Sie darauf in Phase 2 PFS zu verwenden.

Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben.

Nähere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto [[IPSec_Site_to_Site_v11]].

==Verbindung herstellen==

Stellen Sie die Verbindung von der Securepoint Appliance aus her.

*Gehen Sie in der Navigationsleiste auf den Punkt ''VPN'' und klicken Sie im Dropdownmenu auf den Eintrag ''IPSec Verbindungen''.
:Der Dialog ''IPSec Verbindungen'' erscheint.
*Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button ''Lade'', um die Verbindungsdaten zu laden.
*Zum Starten der Verbindung klicken Sie auf den Button ''Initiiere''.
:Die Verbindung zur Fritz!Box wird aufgebaut.
<br>

{{pt3|fritz_connected.png|Verbindungsstatus einsehen}}
* Um den Status der Verbindung auf der Fritz!Box einzusehen, gehen Sie in der Konfigurationsoberfläche in der Navigationsleiste auf ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben''.
* Wechseln Sie im Dialog ''Freigaben'' auf die Registerkarte ''VPN''.
* Im unteren Bereich ''VPN-Verbindungen'' ist die erstellte Verbindung zu sehen.
*I n der Spalte ''Status'' wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt.

UTM/IPSec - Fritzbox V11

2020-03-25T09:14:08Z

Janh: /* Die Konfigurationsdatei anpassen */

{{Set_lang}}

{{vardefine:headerIcon|spicon-utm}}
</div>{{DISPLAYTITLE:IPSEC - Fritzbox mit UTM v.11}}{{TOC2}}
<p>'''Erstellen einer IPSec-Verbindung mit einer Fritzbox'''</p>

<p>Letzte Änderungen: 11.2019</p>

</p>{{cl|Neu|
* Layoutanpassung
* Änderungen in der Config der Fritzbox
|w=40px }}

;Vorbemerkung
Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer Securepoint UTM und einem Fremdprodukt herzustellen. Aufgrund der Vielzahl der Geräte und Firmwareversionen können wir aber keine Garantie für einen erfolgreichen Verbindungsaufbau übernehmen.

{{Hinweis | !! Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur möglich, wenn die Securepoint Appliance über eine feste IP-Adresse verfügt.|gelb|c=graul}}Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst für dynamische Adressverwaltung, ist eine Verbindung nicht möglich.
<br>
----
=== Voraussetzungen ===

Es wird eine AVM Fritz!Box benötigt die VPN Anbindungen unterstützt.

Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen.<br>
Wenn zwei dynamische IP-Adressen verbunden werden sollen, wählt die AVM VPN Funktion als Transportmodus den „Aggressive Mode“. Dieser wird von den Securepoint Appliances nicht unterstützt.<br>
Im „Aggressive Mode“ wird die Authentisierung der beiden Gegenstellen nicht verschlüsselt vorgenommen. Die Hashwerte des Preshared Key werden unverschlüsselt übertragen. Somit ist die Sicherheit von der Stärke des Preshared Key und vom verwendeten Hashverfahren abhängig. Da die meisten gemeinsamen Schlüssel aber
nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.
----
=== Einrichtung der Fritzbox ===
Ist das verwendete AVM Produkt noch nicht für den VPN Betrieb ausgelegt, kann auf der Homepage des Herstellers überprüft werden, ob eine neue Firmware diese Funktionalität zu Verfügung stellt.

==== Einspielen einer neuen Firmware Version ====
{{Einblenden| Firmware update: Details anzeigen | ausblenden|true|dezent}}
{{pt3|fritz_expertenansicht.png|Auf Expertenansicht wechseln}}
Vor dem herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.

* Die ''Konfigurationsoberfläche'' der Fritz!Box wird im Browser aufgerufen.
:Einstellung ab Werk: 192.168.178.1
* Die für die Konfiguration notwendige Expertenansicht ist unter den Menüpunkten ''Einstellungen'' → ''System'' → ''Ansicht'' zu erreichen.
* Im Dialog wird die Checkbox ''Expertenansicht aktivieren'' aktiviert die Auswahl mit ''Übernehmen'' bestätigt.
<br clear=all>

* Nun muss der Menüeintrag ''Firmware-Update'' angeklickt werden.
* Ein Klick auf ''Durchsuchen'' öffnet den Explorer und es kann die eben heruntergeladene aktuelle Firmware Version ausgewählt werden.
* Das Aufspielen der aktuellen Firmware startet mit dem Button ''Update''.
* Das nächste Fenster informiert über den Vorgang der Aktualisierung.
* Der Button ''Zur Übersicht'' ist zu betätigen, wenn der Update-Vorgang abgeschlossen ist.
{{Gallery3|fritz_firmware_start.png|Firmware Aktualisierung starten | fritz_firmware_info.png|Information zur Firmware Aktualisierung | i=5}}
</div>
----
==== DynDNS aktivieren ====
{{pt3|fritz_dyndns.png|Aktivieren der DynDNS Funktion}}
Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt natürlich voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist (z.B. [[SPDyn]]).

* In der Konfigurationsoberfläche → ''Einstellungen'' → im linken Menü → ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben'' → Dialog: ''Freigaben''.
* Wechseln zur Registerkarte ''Dynamic DNS''.
* Aktivieren der Checkbox ''Dynamic DNS benutzen''.
* ''Anbieter'' aus dem Dropdownfeld auswählen.
* ''Domainname'': der Name, der beim Anbieter für die Domain hinterlegt ist
* Anmeldedaten zum DynDNS Anbieter in den Feldern ''Benutzername'', ''Kennwort'' und ''Kennwortbestätigung'' eingeben.
* Klick auf ''Übernehmen''.
<br clear=all>
----
==== Internes Netzwerk ändern ====
{{pt3|fritz_ip_adressen.png|Aufrufen des Dialogs IP-Adressen}}
Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN
Assistenten, nicht für VPN genutzt werden darf, muss das interne Netz gewechselt
werden.

* In der Konfigurationsoberfläche unter ''Einstellungen'' → im linken Menü ''Erweiterte Einstellungen'' → ''System'' → ''Netzwerkeinstellungen'' → Dialog ''Netzwerkeinstellungen''.
* Schaltfläche {{Button|IP-Adressen}}
:Es öffnet sich die Anzeige ''IP-Adressen'.
<br clear=all>

{{pt3|fritz_ip_adressen_setzen.png|Interns Netz ändern}}
* {{b|IP-Adresse}} die neue IP-Adresse des internen Netzes an.
:Es können alle privaten Adressbereiche verwendet werden (10.xxx.xxx.1, 192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
* Eingabe der Subnetzmaske, wenn diese nicht automatisch gesetzt wird.
* Wenn alle verbundene Computer im Netz automatisch eine IP-Adresse und andere Netzinformationen von der Fritz!Box zugewiesen bekommen sollen, muss die Checkbox {{spc|cs|o|-}} ''DHCP-Server aktivieren'' aktiviert werden.
* Eingabe ''IP-Adressen von/bis'' für die IP-Adressen des internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll
* {{Button|Übernehmen}}

* Danach ist eine erneute Anmeldung mit der neuen IP-Adresse an der Fritz!Box erforderlich.
<br>
----
==== VPN Konfiguration erstellen ====

Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf der Internetseite des Herstellers AVM herunterladen können. Die Anwendungssoftware trägt den Namen '''Fritz!Fernzugang einrichten'''.

[[Datei:fritz_ffz_neu.png|thumb|200px|<font size="1">Assistenten starten</font>]]
*Laden Sie sich die Software ''Fritz!Fernzugang einrichten'' herunter und installieren Sie diese auf Ihrem Rechner.
*Starten Sie das Programm.
*Klicken Sie auf das Icon ''Neu'' in der Symbolleiste, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine für die lokale Fritz!Box und eine für die Gegenstelle.
<br><br><br><br>
<br><br>

Ein Assistent führt Sie durch die Erstellung der Konfigurationsdatei.

{{Gallery3|fritz_ffz_ass1.png| Art der Verbindung auswählen
* Wählen Sie im ersten Schritt, welche Geräte miteinander verbunden werden sollen.
:Sie möchten zwei Geräte miteinander verbinden. Markieren Sie den ''zweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerken errichten''.
| fritz_ffz_ass2.png | SPDYN Domain (oder eines anderen dynamischen DNS-Dienstes) eingeben
* Zunächst werden die Daten der lokalen Fritz!Box abgefragt.
* Geben Sie die eingerichtete SPDyn URL des lokalen Routers an.
:In diesem Beispiel: ''fritz_lokal.spdyn.de''
*Klicken Sie auf ''Weiter''.
| fritz_ffz_ass3.png | Internes Netz eingeben
* Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehörige Subnetzmaske ein.
* Klicken Sie ''Weiter''.
| fritz_ffz_ass4.png | Statische IP-Adresse der Securepoint Appliance
* Danach werden die Daten der Gegenstelle abgefragt.
* Geben Sie die feste IP-Adresse der Securepoint Appliance an.
: In diesem Beispiel: ''192.0.2.192''
* Klicken Sie auf ''Weiter''.
|fritz_ffz_ass5.png |Internes Netz der Securepoint Appliance
* Geben Sie dann das interne Netz der Securepoint Appliance und die zugehörige Subnetzmaske ein.
* Klicken Sie ''Weiter''.
| fritz_ffz_ass6.png|Verzeichnis der Dateien anzeigen
* Die Dateneingabe ist damit beendet.
* Im nächsten Schritt entscheiden Sie, ob die Konfigurationsdateien angezeigt oder exportiert werden sollen.
: Wählen Sie hier den ''ersten Punkt''.
* Klicken Sie auf ''Fertig stellen''.
|i=3}}

{{pt3|fritz_ffz_oeffnen.png|Konfigurationsdatei für die lokale Fritz!Box}}
Der Speicherort der Dateien wird angezeigt.<br>
Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen und der entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliance hergestellt werden soll, wird nur die Datei für die lokale Fritz!Box benötigt. Diese hat im Dateinamen die spdyn URL.

* Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.
* Öffnen Sie dazu die Datei in einem ''Editor'' (z. B. MS Editor).
<br>
----
==== Die Konfigurationsdatei anpassen ====
Im nächsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. <br>
<font color=green>Grün markierte Einträge</font> sind individuelle Konfigurationen. <br>
Notwendige manuelle Änderungen sind zusätzlich mit {{Hinweis|!|r}} gekennzeichnet.<br>
Die Datei muss zum Abschluss gespeichert werden!
<br>
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Securepoint"; <font color=green>// {{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font>
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 192.0.2.192; <font color=green>// statische IP-Adresse der Securepoint</font>
remote_virtualip = 0.0.0.0;
localid {
fqdn = "fritz_lokal.spdyn.de"; <font color=green>// spdyn-DNS-Name der Fritz!Box</font>
//ipaddr = xxx.xxx.xxx.xxx; <font color=green>// statische IP-Adresse der Fritz!Box, wenn vorhanden</font>
}
remoteid {
ipaddr = 192.0.2.192; <font color=green>// statische IP-Adresse der Securepoint Appliance</font>
}
mode = phase1_mode_idp; <font color=green>//{{Hinweis|!|r}} Main-Mode</font>
phase1ss = "dh14/aes/sha"; <font color=green>//{{Hinweis|!|r}} Proposals für Phase 1 (DH14, AES, SHA)</font>
keytype = connkeytype_pre_shared;
key = "geheim"; <font color=green>//{{Hinweis|!|r}} VPN Kennwort (Preshared Key)</font>
cert_do_server_auth = no;
use_nat_t = no; {{f|yes}}
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; <font color=green>// internes Netzwerk der Fritz!Box</font>
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.175.0; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font>
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; <font color=green>//{{Hinweis|!|r}} mit Kompression</font>
accesslist = "permit ip any 192.168.175.0 255.255.255.0"; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font>
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500";
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

<br>
{| class="sptable mw-collapsible mw-collapsed" data-expandtext="Erklärung der Änderungen und Einstellungen" data-collapsetext="ausblenden"
|-
|
|-
! Parameter !! geänderter Wert !! Beschreibung
|-
| <font face=courier>name = </font> || <font face=courier>"Securepoint";</font> || <font color=green>//{{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font><br>
Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.
|-
| <font face=courier>remoteip = </font> || <font face=courier>192.0.2.192;</font>|| <font color=green>//statische IP-Adresse der Securepoint</font><br>
Dies ist die statische IP-Adresse der Securepoint Appliance.
<br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
| <font face=courier>localid{</font><br><font face=courier>&emsp;&emsp; fqdn = </font> || <font face=courier><br> "fritz_lokal.spdyn.de";</font>|| <br><font color=green>// spdyn-Name der Fritz!Box</font><br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
|<font face=courier>&emsp;&emsp;//ipaddr = <br>}</font> || <font face=courier>xxx.xxx.xxx.xxx;</font> ||<font color=green>//statische IP-Adresse der Fritz!Box, wenn vorhanden</font><br>
Sie können hier auch eine IP-Adresse eingeben, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.
|-
| <font face=courier>remoteid {<br>&emsp;&emsp; ipaddr =<br>}</font> || <font face=courier><br>192.0.2.192;</font>|| <font color=green><br>//statische IP-Adresse der Securepoint</font><br>
Wiederholung der statischen IP-Adresse der Securepoint Appliance.<br>''{{Hinweis|!|g}} Wurde bereits im Assistenten konfiguriert.''
|-
| <font face=courier>mode = </font> || <font face=courier>phase1_mode_idp;</font>|| <font color=green>//{{Hinweis|!|r}} Main-Mode</font><br>
Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.
|-
|<font face=courier>phase1ss = </font> || <font face=courier>"dh14/aes/sha";</font>|| <font color=green>// {{Hinweis|!|r}} Proposals für Phase 1 (DH14, AES, SHA)</font><br>
Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden.
|-
| <font face=courier>key = </font> || <font face=courier>"geheim";</font>|| <font color=green>//{{Hinweis|!|r}} VPN Kennwort (Preshared Key)</font><br>
Geben Sie hier den Preshared Key ein. Sie können auch den vom Assistenten generierten beibehalten, dieser muss dann auch auf der Securepoint hinterlegt werden.
|-
| style="min-width: 130px;" | <font face=courier>phase2localid {<br>
&emsp;&emsp; ipnet {<br>
&emsp;&emsp;&emsp;&emsp; ipaddr = <br>
&emsp;&emsp;&emsp;&emsp; mask = <br>
&emsp;&emsp;}<br>
}</font>
| <br><br><font face=courier>192.168.100.0;<br>255.255.255.0;</font>|| <br><br><font color=green>//{{Hinweis|!|r}} internes Netzwerk der Fritz!Box</font><br>
<font color=green>//Subnetzmaske</font><br>
Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.
|-
| <font face=courier>phase2remoteid {<br>
&emsp;&emsp; ipnet {<br>
&emsp;&emsp;&emsp;&emsp; ipaddr = <br>
&emsp;&emsp;&emsp;&emsp; mask = <br>
&emsp;&emsp;}<br>
}</font>
| <br><br><font face=courier>192.168.175.0;<br>255.255.255.0;</font>|| <br><br><font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint Appliance</font><br>
Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.
|-
| <font face=courier>phase2ss = </font> || <font face=courier>"esp-all-all/ah-none/comp-all/pfs"</font>|| <font color=green>//{{Hinweis|!|r}} mit Kompression</font><br>
Da die Securepoint keinen Authentication Header erwartet aber seit Version 11 die Kompression unterstützt, ändern Sie die Einstellungen der Phase 2 auf <font face=courier>ah-none</font> und <font face=courier>comp-all</font>.
|-
| <font face=courier>accesslist = </font> || <font face=courier>"permit ip any 192.168.175.0 255.255.255.0";</font> || <font color=green>// internes Netzwerk der Securepoint Appliance</font>
|}
----

==== Konfigurationsdatei importieren ====
{{Gallery3 | fritz_config_save.png|VPN Konfiguration speichern
* Gehen Sie In der Konfigurationsoberfläche auf ''Einstellungen'' und navigieren Sie im linken Menü über die Einträge ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben'' zum Dialog ''Freigaben''.
* Wechseln Sie hier zur Registerkarte ''VPN''.
* Benutzen Sie den Button ''Durchsuchen'', um die Konfigurationsdatei in Ihrem System auszuwählen.
: Diese wird in Windows unter dem Pfad
: ''C:/Dokumente und Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname '' oder ''IP/*.cfg'' gespeichert.
* Klicken Sie dann auf den Button ''VPN-Einstellungen importieren''.
|fritz_config_set.png|VPN Verbindung ist eingerichtet
* Wenn Sie nach dem Import auf die Registerkarte gehen, wird die Verbindung im Abschnitt ''VPN-Verbindungen'' aufgeführt.
|i=3}}

<br clear=all>
----

=== Securepoint Appliance einrichten ===

Nun müssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.

*Legen Sie ein '''IPSec VPN Verbindung''' mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die '''IKE-Version 1''' zu benutzen und den gleichen '''Preshared Key''' einzusetzen.
*Erstellen Sie ggf. ein Netzwerkobjekt für die IPSec-VPN Netzwerk der Gegenstelle und '''Firewall Regeln''', wenn Sie diese nicht vom Assistenten automatisch anlegen lassen.
*Passen Sie die '''Einstellungen der Phasen''' der IPSec-Verbindung an. Achten Sie darauf in Phase 2 PFS zu verwenden.

Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben.

Nähere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto [[IPSec_Site_to_Site_v11]].

==Verbindung herstellen==

Stellen Sie die Verbindung von der Securepoint Appliance aus her.

*Gehen Sie in der Navigationsleiste auf den Punkt ''VPN'' und klicken Sie im Dropdownmenu auf den Eintrag ''IPSec Verbindungen''.
:Der Dialog ''IPSec Verbindungen'' erscheint.
*Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button ''Lade'', um die Verbindungsdaten zu laden.
*Zum Starten der Verbindung klicken Sie auf den Button ''Initiiere''.
:Die Verbindung zur Fritz!Box wird aufgebaut.
<br>

{{pt3|fritz_connected.png|Verbindungsstatus einsehen}}
* Um den Status der Verbindung auf der Fritz!Box einzusehen, gehen Sie in der Konfigurationsoberfläche in der Navigationsleiste auf ''Erweiterte Einstellungen'' → ''Internet'' → ''Freigaben''.
* Wechseln Sie im Dialog ''Freigaben'' auf die Registerkarte ''VPN''.
* Im unteren Bereich ''VPN-Verbindungen'' ist die erstellte Verbindung zu sehen.
*I n der Spalte ''Status'' wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt.

UTM/APP/Mailrelay-Best Practice 11.7

2019-07-17T14:21:49Z

Janh: /* Relaying */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt, URL-Filter ergänzt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
* Option: To
* Domain: securepoint.de
* Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: None
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.

====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</code>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/x-zip-compressed,application/zip</code>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>zip,7z,ace,arj,cab,zz,zipx</code>

=====Ausführbare Dateien auf Basis der Endung=====
Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi</code>

====Gefälschter Absender====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.

[[Datei:mf_gefaelschter_absender.png |center|Mailfilterregeln für gefälschte Absender]]

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorien====
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
=====Danger=====
Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält
=====Porno und Erotik=====
Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.
=====Hacking=====
Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.</span></div>
</div>
<div style="clear: both;"></div>

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailrelay-Best Practice 11.8

2019-02-07T09:05:52Z

Janh:

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen 2019}}

<p>'''Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Dies sind Einstellungen, die von uns empfohlen werden.</p><p>{{ r | ''Ohne Gewähr auf Vollständigkeit !''}}</p>'''
<p>Letzte Anpassung zur Version: '''11.8'''</p>
<p>Allgemeine Anpassung an die aktuelle Version. {{ Hinweis | Neue Funktion in 11.8 | 11.8 }} Berücksichtigung z.B. der Funktion Mail-Filter Zeitschloss<br>Ergänzung der MIME-Typen für OpenOffice / LibreOffice-Dokumente</p>
<p>Vorherige Version: [[UTM/APP/Mailrelay-Best_Practice_v11.7 | '''11.7''']]</p>
<br>

===Voraussetzungen===
Diese Empfehlungen beziehen sich auf folgendes Szenario:
*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter {{Menu | Netzwerk | Servereinstellungen}} {{Kasten|Firewall}} {{Beschriftung |Globale E-Mail Adresse}} eine gültige Postmaster Adresse eingetragen werden.

{{h3 | Mailrelay | {{Menu | Mailrelay | n}} }}<br><br>
<p>Unter {{Menu| Anwendungen | Mailrelay}} ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden. </p>

<br>
===={{Reiter|Relaying}}====

{{KastenGrau|Relaying-Liste}}

{{pt |UTM_11-8_Mailrelay_Relaying_Domain_hinzufügen.png | hochkant=1}}Konfigurieren mit {{Button |+ Domain / Host hinzufügen}}
{{td |{{Beschriftung|Domain:}} |<code>securepoint.de</code> | w=100px | m=1px }}
{{td |{{Beschriftung|Option:}} |{{MenuD |To}} | w=100px }}
{{td |{{Beschriftung|Aktion:}} |{{MenuD |Relay}} | w=100px }}
<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:
{{td |{{Beschriftung|Domain:}} |<code>IP: 192.168.175.100</code> | w=100px | m=1px }}
{{td |{{Beschriftung|Option:}} |{{MenuD |From}} | w=100px }}
{{td |{{Beschriftung|Aktion:}} |{{MenuD |Relay}} | w=100px }}

<br>
{{KastenGrau|Exakten Domainnamen für das Relaying verwenden:}} {{ButtonAn|Ein}}<br>
<p>Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.</p>

{{Kasten|Einstellungen}}<br>
{{Beschriftung | TLS Verschlüsselung für das Mailrelay aktivieren:}} {{ButtonAn|Ein}}<br>
<p>Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. <br>Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.</p>

<br>
===={{Reiter|SMTP Routen}}====
{{Hinweis | Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen. | gelb}}

Abschnitt: {{Kasten|Einstellungen}}
Die Validierung der Empfänger auf gültige E-Mail Adressen ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

{{ td | {{Beschriftung| E-Mail-Adresse überprüfen: }} | Es stehen folgende {{MenuD|Werte}} zur Verfügung:<br>
*{{ td | {{MenuD|SMTP}} | Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis: | gelb}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange) | w=100px }}
*{{ td | {{MenuD | LDAP}} | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten. | w=100px }}
*{{ td | {{MenuD | Lokale E-Mail-Adressliste}} |Hier stehen alle bekannten Adressen.| w=170px }}
{{ td ||Mit {{Button | Lokale E-Mail-Adressliste bearbeiten}} können Mail-Adressen hinzugefügt und entfernt werden. | w=125px }} | w=200px }}

<div style="clear: both;"></div>
<br>

===={{Reiter|Greylisting}}====
Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. <br>Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.<br>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.<p></p>
<p>Neben der Abwehr von einfachen Spam-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.</p>
{{Kasten|Einstellungen}}
{{td |{{Beschriftung |Greylisting aktivieren: }} | {{ButtonAn|Ein}} Greylisting sollte aktiviert werden.| w=240px| m=3px}}
{{td |{{Beschriftung |SPF aktivieren:}} | {{ButtonAn|Ein}} Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt. <p>Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.</p> | w=240px| m=3px}}
{{td |{{Beschriftung |Automatisches Whitelisten für:}} |<code>60</code> Der Wert kann auf 60 Tage erhöht werden.| w=240px| m=3px}}
{{td | {{Beschriftung |Verzögerung: }} | Vorgabe <code>2</Code> Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | w=240px| m=3px}}
{{td | |<p></p>{{Hinweis | !| gelb}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.<p></p>
{{Hinweis | Positiv | grün}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: <code>30</code> Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.| w=240px| m=3px}}
<br><br>

===={{Reiter|Erweitert}}====

{{td | {{Beschriftung|Greeting Pause}} | {{ButtonAn |Ein}} Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern zu unterscheiden.<br>
Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.<br>
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code><br>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen. | m=6px | w=240px }}

{{td |{{Beschriftung |HELO benötigt}} |{{ButtonAn |Ein}} Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.<br>Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten. | m=6px | w=240px }}

{{td | {{Beschriftung |Recipient flooding verhindern}} |{{ButtonAn |Ein}} Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: {{sw |2}} Versuche) | m=6px | w=240px }}

{{td |{{Beschriftung|Empfängerbeschränkung aktivieren}} |{{ButtonAn |Ein}} Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: {{sw |25}} Empfänger). | m=6px | w=240px }}

{{td |{{Beschriftung |Verbindungslimit aktivieren}} |{{ButtonAn |Ein}} Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: {{sw|5}}). <br>Für bekannte Mailserver können {{Button|Ausnahmen}} von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.. | m=6px | w=240px }}

{{td |{{Beschriftung |Rate Kontrolle aktivieren}} |{{ButtonAn |Ein}} Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. <br>Sollen ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollten für die entsprechenden Mailserver {{Button|Ausnahmen}} hinzugefügt werden. | m=6px | w=240px }}
<br>

===Verschlüsselung===
{{pt |UTM_v11-8_Authentifizierung_Verschlüssellung_Mailrelay.png|Verschlüsselung}}Unter {{Menu| Authentifizierung | Verschlüsselung}} {{Reiter | Mailrelay}} kann eingestellt werden, dass die Verschlüsselung forciert, also zwingend wird. Wenn diese Einstellung aktiviert ist, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

{{td |{{b |Standardwerte überschreiben:}} | {{ButtonAn |Ein}} | w=240px }}

{{td |{{b |Verschlüsselung forcieren:}} | {{ButtonAn |Ein}} | w=240px | m=6px }}

<p>Alle übrigen Einstellungen können unverändert bleiben.</p>

Übernehmen der Einstellungen mit {{Button |Speichern}}.

<br clear=all>

===Mailfilter===
Unter {{Menu | Anwendungen | Mailfilter}} sollten verschieden {{Reiter|Filterregeln}} angepasst bzw. neu erstellt werden:
===={{Reiter|Filterregeln}}====
{{h6|Filterregel "ist als SPAM klassifiziert / SMTP"}}
{{td |{{KastenGrau|Spam_SMTP}} | '''Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.'''<br>Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.<br>Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.<br>{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden. | grün}} {{a | 3}}'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail ablehnen}} <p>{{ kl | Default: Ausführen: '''''E-Mail in Quarantäne nehmen.''''' }} </p>}}
----
{{h6|Filterregel "ist als SPAM klassifiziert / POP3"}}
{{td | {{KastenGrau|Spam_POP3-Proxy}} |
'''Filterkriterien: Protokoll ist "POP3" und ist als Spam klassifiziert.'''<br>
{{Hinweis | Securepoint empfiehlt, dass in diesen Mails die zutreffenden Inhalte entfernt werden. | grün}}<br>
{{ Hinweis | !| rot}} Bei Verwendung des POP3-Proxys dürfen Mails nicht abgelehnt werden! {{ a | 3}}
'''Filterregel bearbeiten:''' {{Beschriftung | Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern}}
<p>{{kl | Default: Ausführen: '''''E-Mail im Betreff markieren mit [Marked as spam]'''''}} </p>
| m=6px }}
----
{{h6|Filterregel "ist als verdächtig eingestuft"}}
{{td |
{{KastenGrau|Possibly_Spam}} |
'''Filterkriterien: ist als verdächtig eingestuft.'''<br>
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.<br>
{{ Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{ a | 3}}
'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}}
<p>{{ kl | Default: Ausführen: '''''E-Mail im Betreff markieren mit [Marked as possibly spam]''''' }} </p>
{{ Hinweis | !| rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{a | 0}}
Hier empfiehlt sich die Option {{MenuD | zutreffenden Inhalt filtern}}
| m=6px }}
----
{{h6|Filterregel "enthält einen Virus"}}
{{td |
{{KastenGrau | Virus}} |
'''Filterkriterien: enthält einen Virus.''' <br>
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne
für potentielle SPAM- und Viren-Versender nur interessanter. <br>
{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden. | grün}} {{ a | 3}}
'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD | E-Mail ablehnen}}
<p>{{kl | Default: Ausführen: '''''zutreffenden Inhalt filtern'''''}} </p>
{{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{a | 0}}
Hier empfiehlt sich die Default-Option {{MenuD | zutreffenden Inhalt filtern}}
| m=6px }}
----
{{h6|Filterregel "mit Inhalt dessen"}}
{{td |
{{KastenGrau|Filter_Extensions}}|
'''Filterkriterien: mit Inhalt dessen FILENAME endet auf''' <br>
Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.<br>
{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{a | 3}}
Filterregel bearbeiten: {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}}
<p>{{kl | Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd,
wsc, wsf, wsh. Ausführen: '''''zutreffenden Inhalt filtern''''' }}
</p> {{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} <br>
Hier empfiehlt sich die Default-Option {{MenuD | zutreffenden Inhalt filtern}}
| m=6px }}
----
{{h6|Filterregel "ist eine Bulk E-Mail"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|Bulk_Mail}} |
'''Anlegen einer neuen Regel. '''<br>
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden.
Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.<br>
{{ Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{a|3}}
{{Beschriftung|Regelname}} <code>Bulk_Mail</code><br>
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und ist eine Bulk E-Mail}} <br>
{{b |Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}} <br>
{{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{ a | 3}}
Hier empfiehlt sich die Option {{MenuD | zutreffenden Inhalt filtern}}
| m=6px }}
----
{{h6|Filterregel "wurde vom URL-Filter erfasst"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|URL_Filter}} |
'''Anlegen einer neuen Regel. '''<br>
E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden.
Bitte dazu die Einstellungen des URL-Filters beachten.<br>
{{ Hinweis | Securepoint empfiehlt, dass bei diesen Mails der <u>zutreffende Inhalt entfernt</u> wird. | grün}} {{a | 3}}
{{Beschriftung | Regelname}} <code>URL_Filter</code><br>
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{MenuD | und wurde vom URL-Filter erfasst}} <br>
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern}}
| m=6px }}
----
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.<br>
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zugestellt werden. <br>Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.<br>
----
{{h6|Filterregel "Word-Dokumente auf Basis des MIME-Types"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|Word_Mime}} |
'''Anlegen einer neuen Regel. '''<br>
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}}
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br>
{{Beschriftung|Regelname}} <code>Word_Mime</code><br>
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
<code>application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document,
application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,
application/vnd.ms-word.template.macroEnabled.12</code> {{ a | 5}}
{{b |Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten <br>
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_Word_Mime</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6 |Filterregel: "Excel-Dokumente auf Basis des MIME-Types"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|Excel_MIME}} |
'''Anlegen einer neuen Regel. '''<br>
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}}
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br>
{{ Beschriftung | Regelname}} <code>Excel_Mime</code><br>
{{ Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | MIME-Typ}} {{ MenuD | ist}}<br>
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
<code>application/vnd.ms-excel, application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,
application/vnd.openxmlformats-officedocument.scodeadsheetml.template, application/vnd.ms-excel.sheet.macroEnabled.12,
application/vnd.ms-excel.template.macroEnabled.12, application/vnd.ms-excel.addin.macroEnabled.12,
application/vnd.ms-excel.sheet.binary.macroEnabled.12</code> {{ a | 3}}
{{b |Aktion ausführen:}} {{ MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_Excel_Mime</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6|Filterregel "Open-Office / Libre-Office-Dokumente auf Basis des MIME-Types"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|OOffice_Mime}} |
'''Anlegen einer neuen Regel. '''<br>
Damit Open-Office- und Libre-Office--Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}}
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br>
{{Beschriftung|Regelname}} <code>Word_Mime</code><br>
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
{{code | application/vnd.oasis.opendocument.chart-template,application/vnd.oasis.opendocument.database,application/vnd.oasis.opendocument.formula,
application/vnd.oasis.opendocument.formula-template,application/vnd.oasis.opendocument.graphics,application/vnd.oasis.opendocument.graphics-template,
application/vnd.oasis.opendocument.image,application/vnd.oasis.opendocument.image-template,application/vnd.oasis.opendocument.presentation,
application/vnd.oasis.opendocument.presentation-template,application/vnd.oasis.opendocument.spreadsheet,
application/vnd.oasis.opendocument.spreadsheet-template,application/vnd.oasis.opendocument.text,application/vnd.oasis.opendocument.text-master,
application/vnd.oasis.opendocument.text-template,application/vnd.oasis.opendocument.text-web}} {{ a | 5}}
{{b |Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten <br>
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_OOffice_Mime</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6 | Filterregel: "Office-Dokumente auf Basis der Dateiendung"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|Office_Extension}} |
'''Anlegen einer neuen Regel. '''<br>
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}}
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br>
{{Beschriftung | Regelname}} <code>Office_Extension</code><br>
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | Dateiname}} {{ MenuD | endet auf}}<br>
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code> {{a | 3}}
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_Office_Extension</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6 | Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"}}
{{td |
{{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|Compressed_MIME}} |
'''Anlegen einer neuen Regel.'''<br>
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}} {{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br>
{{Beschriftung | Regelname}} <code>Word_Mime</code><br>
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | MIME-Typ}} {{ MenuD | ist}}<br>
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
<code>application/x-zip-compressed,application/zip</code> {{a | 3}}
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_Compressed_MIME</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6 | Filterregel: "Komprimierte Dateien auf Basis der Endung"}}
{{td
| {{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau | Compressed_Extension}}
| '''Anlegen einer neuen Regel.'''<br>
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>
{{ Hinweis | Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen <br>
und nach 30 Minuten erneut gefiltert werden! | grün}} {{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br>
{{Beschriftung|Regelname}} <code>Word_Mime</code><br>
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD | Dateiname}} {{MenuD | endet auf}} <br>
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>
<code>zip,7z,ace,arj,cab,zz,zipx</code> {{a | 3}}
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}}
Securepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}}
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}}
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}}
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}}
: {{ Beschriftung | Regelname}} <code>WL_Compressed_Extension</code><br>
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br>
: Button {{Button | + }}
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}}
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code>
: {{Button | Speichern }}
| m=6px }}
----
{{h6 | Whitelist Ausnahme Regeln erstellen }}
{{ td
| {{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau | Whitelist}}
| {{pt|UTM_v11-8_Mailfilter_Filterregeln_Whitelist.png|Mailfilter Whitelist-Regel}}
Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen,
muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.<br>
Diese muss folgende Merkmale enthalten:<br>
<p>{{ b | Wenn eine E-Mail eingeht: }} </p>
* {{ MenuD | und Protokoll }} {{ MenuD | ist }} {{ MenuD | SMTP }}
* {{ MenuD | und ist als Spam klassifiziert }}
* {{ MenuD | und Sender }} {{MenuD | enthält }} <br>
{{cb | securepoint.de}}<br>
{{ b | Aktion ausführen:}} {{MenuD | E-Mails annehmen}}
<p>{{ Button | Speichern }}</p>
}}
{{ td
|
| {{pt|UTM_v11-8_Mailfilter_Filterregeln-verschieben.png|Filterregel verschieben|versatz=48px}}
Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.

Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“,
wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.

Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.
}}
<br clear=all>
----
{{h6 | Gefälschter Absender}}
{{ td
| {{Button|+Filterregel hinzufügen}}<br>
{{KastenGrau|fake_sender_intern}}
|{{pt |UTM_v11-8_Mailfilter_Filterregeln-fake-sender.png |Fake Sender}}
Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden,
empfehlen wir zwei Filterregeln nach folgendem Beispiel zu erstellen:<br>
<p>{{ Hinweis | In diesem Beispiel sollen Mails der Maildomain @securepoint.de angenommen werden.
Die IP-Adresse des Mailservers wird mit 192.168.175.100 angenommen. | gelb}} <br>
{{ Hinweis | Dies sind lediglich Beispieladressen die lokal angepasst werden müssen. | rot}}</p>
{{Button|+Filterregel hinzufügen}}<br>
{{Beschriftung|Regelname}} <code>fake_sender_intern1</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} <br>
{{MenuD | und Sender}} {{MenuD | enthält}} {{cb | @securepoint.de}}<br>
Kriterium hinzufügen {{Button | + }}<br>
{{MenuD | und Quellhost}} {{MenuD | ist nicht}} {{cb | 192.168.175.100}}<br>
{{b |Aktion ausführen:}} {{MenuD | E-Mail ablehnen}}<br>
{{Button | Speichern }}<p></p><p></p>
{{Button|+Filterregel hinzufügen}}<br>
{{Beschriftung|Regelname}} <code>fake_sender_intern2</code><br>
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD| und Header-Feld "From"}} {{MenuD | enthält}} {{cb | @securepoint.de}}<br>
Kriterium hinzufügen {{Button | + }}<br>
{{MenuD|und Quellhost}} {{MenuD | ist nicht}} {{cb | 192.168.175.100}}<br>
{{b |Aktion ausführen:}} {{MenuD | E-Mail ablehnen}}<br>
{{Button | Speichern }}
| m=6px }}
----
{{h4 | URL-Filter | {{Reiter| URL-Filter}} }}
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
<p>{{ Button | + Kategorie hinzufügen }}</p>
{{ td
| {{ MenuD | Danger}}
| Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Botnetze, Crimeware usw.)
| w=130px }}
{{ td
| {{ MenuD | Porno und Erotik }}
| Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen.
| w=130px }}
{{ td
| {{ MenuD | Hacking }}
| Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen.
| w=130px }}

{{Hinweis | Weitere Kategorien sind den Anforderungen des Unternehmens anzupassen. | gelb}}

Durch das Kicken auf {{Button | Speichern }} wird die Filterregel hinzugefügt.
----
{{h4 | Spamreport |{{Kasten | Spamreport }} }}<p></p>
{{:Spielwiese/UTM/APP/Mailfilter_Spamreport}}

==Hinweise==
Diese Einstellungen geben unsere Empfehlung wieder. Wir übernehmen keine Haftung!

Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailrelay-Best Practice 11.7

2019-02-07T09:03:15Z

Janh: /* Komprimierte Dateien auf Basis des MIME-Type */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt, URL-Filter ergänzt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
* Option: To
* Domain: securepoint.de
* Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entscodechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</code>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/x-zip-compressed,application/zip</code>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>zip,7z,ace,arj,cab,zz,zipx</code>

=====Ausführbare Dateien auf Basis der Endung=====
Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi</code>

====Gefälschter Absender====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.

[[Datei:mf_gefaelschter_absender.png |center|Mailfilterregeln für gefälschte Absender]]

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorien====
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
=====Danger=====
Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält
=====Porno und Erotik=====
Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.
=====Hacking=====
Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.</span></div>
</div>
<div style="clear: both;"></div>

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/NET/QoS v11.7

2018-05-03T12:28:38Z

Janh: /* Upload und Download regulieren */

{{DISPLAYTITLE:QoS}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>
==Bandbreiten-Management==
[[Datei:UTM116_AI_QosMenuoh.png|600px|center]]

<br>Die Einstellungen für das automatische oder benutzerdefinierte Bandbreiten-Management befindet sich in einem eigenen Menüpunkt ''QoS'' unterhalb des ''Netzwerk'' Menü.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Beide Modi können nicht gleichzeitig verwendet werden.</span></div>
</div>
<div style="clear: both;"></div>

===Netzwerkschnittstellen===
Durch die Auswahl einer Netzwerkschnittstelle wird hier im Modus ''Automatisch'' die maximal aus- oder eingehende Bandbreite angegeben. <br>
Derzeit kann das Bandbreiten-Management nur auf einer Schnittstelle im Automatischen Modus eingerichtet werden. <br>
Der [[Datei:UTM116_AI_QosEmpf.png|60px]] Hinweis liegt jeweils auf der Schnittstelle, auf der sich die Zone ''external'' befindet.

Im Modus ''Benutzerdefiniert'' wird hier der Schnittstelle das entsprechende Bandbreiten Parent Profil zugewiesen.

Wichtig ist, dass es sich um die tatsächliche Bandbreite handeln und nicht um die vom Provider genannten Daten mit dem Zusatz "bis zu".<br>
Da die tatsächlich verfügbare Bandbreite abhängig von der Tageszeit starken Schwankungen unterliegen kann, müssen hier eher die Werte eingetragen werden, den der Provider als minimal verfügbare Bandbreite angibt.

====Modus: Automatisch====
[[Datei:UTM116_AI_QosAutobb.png|200px|thumb|right|Bandbreite Automatischer Modus]]
[[Datei:UTM116_AI_QosIAuto.png|200px|thumb|right|Netzwerkschnittstellen Automatischer Modus]]
Im Automatischen Modus werden die Priorisierungsinformationen der Datenpakete ausgewertet.

Hier wird die externe Netzwerkschnittstelle benannt, auf der das Bandbreiten-Management stattfinden soll.<br>
Auf dieser Schnittstelle wird dann die Bandbreite für Down- und Upstream benannt, sowie die maximale Anzahl der Hosts, auf die die vorhandene Bandbreite aufgeteilt werden soll.<br>
Es ist in jedem Fall darauf zu achten, dass die Anzahl der Hosts auch der tatsächlichen Anzahl entspricht. Im Zweifel sollten lieber etwas mehr angegeben werden als tatsächlich vorhanden.

Bewährt hat sich die Limitierung des Gesamt Traffic auf 95% der Leitungskapazität.
Dadurch bleiben die Queues beim Provider und dem lokalen Modem frei.

Wenn dieses definiert ist, werden die Datenpakete anhand der ToS (Type of Service) bzw. DSCP (Differentiated Services Code Point) Informationen automatisch eingeteilt. Die Priorität der einzelnen Datenpakete wird also durch die Anwendungen bestimmt.

Der Traffic wird dabei in drei Queues aufgeteilt:
*High Priority
*Normal Priority
*Low Priority

Die Queues (Warteschlangen) werden dann mit unterschiedlicher Priorität abgearbeitet.

Die Aufteilung erfolgt dabei anhand folgender Kriterien:<br>
{| {{prettytable}} style="width: 35em"
!style="background:#FFCBCB"| Priorität !!style="background:#FFCBCB" |TOS-Feld
|-
|High (Minimale Verzögerung)|| 0xb8, 0x10
|-
|Low (Maximaler Datendurchsatz)|| 0x08
|-
|Normal|| Alles andere
|}

====Modus: Benutzerdefiniert====
Im Benutzerdefinierten Modus ist es möglich, die Bandbreite in den Portfilterregeln für bestimmte Dienste zu begrenzen.

Dazu müssen Profile angelegt werden.

===Profile===
[[Datei:QoS_BB.png|600px|center]]
Wichtig ist, an dieser Stelle, sich klar zu machen, von wo nach wo der Datenload stattfindet. Die Queue für die Bandbreitenbegrenzung wird immer an die Schnittstelle angebunden, auf der der Host steht, der die Daten empfangen soll.<br>
Diese Queue wird im Parent-Profil definiert.
{|
|Zunächst werden Profile angelegt. Benötigt wird immer ein Parent- und ein Child-Profil. <br>
In dem Parent-Profil wird die Gesamtbandbreite definiert und in dem Child Profil die Bandbreite, die für die später angelegte Regel zur Verfügung stehen soll.
|[[Datei:UTM116_AI_QosPparent.png|150px|thumb|right|Parent Profil]]
|[[Datei:UTM116_AI_QosPchild.png|150px|thumb|right|Child Profil]]
|-
| || ||[[Datei:UTM116_AI_QosProfile.png|200px|thumb|right|Profile]]
|}

[[Datei:UTM116_AI_QosCustom.png|200px|thumb|right|Netzwerkschnittstelle Benutzerdefiniert]]
Das Parent Profil wird anschließend einer Netzwerkschnittstelle zugewiesen.

===Upload oder Download regulieren===
[[Datei:UTM116_AI_QosPprofiles.png|200px|thumb|right|Profile erstellt]]
Sollen der Upload oder der Download reguliert werden, wird ein Parent- und Child-Profile benötigt.

Das erste Parent-Profil bezieht sich auf den Upload. Hier wird die vom Provider zugesicherte Upload Bandbreite eingetragen.<br>
Das zweite Parent-Profil bezieht sich auf den Download, daher wird hier die vom Provider zugesicherte Download Bandbreite eingetragen.

Als nächstes werden entsprechende Child-Profile benötigt, die dann an die Portfilterregeln gebunden werden.<br>
Zum einen wird ein Child-Profil erstellt, welches an das Upload Parent-Profil gebunden wird. Bei diesem wird eine Upload-Bandbreite definiert, die dann die in der Portfilterregel genutzten Dienste, z.B. SIP und RTP für Voice over IP, zur Verfügung stehen soll.<br>
Für die gewünschte Download Bandbreite wird ebenfalls ein Child-Profil angelegt, welches an das Download Parent-Profil gebunden wird.<br>
Bei <i>Min:</i> und <i>Max:</i> müssen jeweils identische Werte eingetragen werden.

[[Datei:UTM116_AI_QosICustom.png|200px|thumb|right|Netzwerkschnittstellen Profil zuweisen]]
Nun wird unter <i>QoS</i> im TAB <i>Netzwerkschnittstellen</i> das Upload Parent-Profil der WAN-Schnittstelle und das Download Parent-Profil der LAN Schnittstelle zugeordnet.

Zuletzt müssen im Menü <i>Firewall</i> unter dem Menüpunkt <i>Portfilter</i> Portfilterregeln angelegt werden. Zum einen für den Upload und zum anderen für den Download, jeweils mit der Aktion <i>QoS</i>.

[[Datei:UTM116_AI_PFQosupRule.png|200px|thumb|right|QoS Upload Regel]]
Upload:
<Table WIDTH=550>
<tr>
<td>Aktion:</td>
<td>QOS</td>
</tr>
<tr>
<td>Quelle:</td>
<td>Internet</td>
</tr>
<tr>
<td>Ziel:</td>
<td>internes Netzwerk</td>
</tr>
<tr>
<td>Dienst:</td>
<td>Dienst oder Dienstegruppe</td>
</tr>
<tr>
<td>QoS:</td>
<td>Upload Child-Profil</td>
</tr>
</Table>

[[Datei:UTM116_AI_PFQosdownRule.png|200px|thumb|right|QoS Download Regel]]
Download:
<Table WIDTH=550>
<tr>
<td>Aktion:</td>
<td>QOS</td>
</tr>
<tr>
<td>Quelle:</td>
<td>internes Netzwerk</td>
</tr>
<tr>
<td>Ziel:</td>
<td>Internet</td>
</tr>
<tr>
<td>Dienst:</td>
<td>Dienst oder Dienstegruppe</td>
</tr>
<tr>
<td>QoS:</td>
<td>Download Child-Profil</td>
</tr>
</Table>

[[Datei:UTM116_AI_PFQosRules.png|200px|thumb|right|QoS Portfilterregeln]]
Bei diesen Regeln handelt es sich nur um zusätzliche Regeln für das Bandbreiten-Management. Es müssen in jedem Fall weitere Portfilterregeln angelegt werden oder vorhanden sein, die den Datenverkehr zwischen Quelle und Ziel mit den benötigten Ports zulassen. Die Hilfe dazu befindet sich unter [[Portfilter_Beschreibung_UTMV11 | Portfilter]].

Controller Zertifikat NAC V4.4

2018-04-03T08:34:12Z

Janh: /* Zertifikatserneuerung der NAC */

[[Kategorie:NAC]]

==Zertifikatserneuerung der NAC==

===Ein Zertifikat läuft aus===
Da es sich bei der Verbindung mit und über einen Network Access Controller (NAC) immer um eine verschlüsselte Verbindung handelt, wird ein Zertifikat verwendet. <br>
Diese Zertifikate haben aus Sicherheitsgründen immer nur eine begrenzte Laufzeit. Nach dieser Laufzeit muss das Zertifikat ausgetauscht werden.

Ein abgelaufenes Controller Zertifikat der NAC hat zur Folge, dass die Benutzer eine Meldung bekommen, dass die sichere Verbindung aufgrund eines ungültigen Zertifikats fehlgeschlagen ist.

[[Datei:NAC_CZert.png|300px|thumb|right|Anzeige der Zertifikatsdaten]]
Um die Laufzeit ihrer Zertifikate zu überprüfen, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Wenn sie im Bereich "Import/Anzeigen von Zertifikate für das Captive Portal" auf den Schriftzug [[Datei:NAC_CZertB.png|110px]] klicken, wird ihnen der Inhalt dieses Zertifikats unten im Bereich "Zertifikatinhalt" ausgegeben.<br>
Neben dem Distinguished Name (DN) und der Zertifikats Seriennummer wird auch Anfang und Ende der Gültigkeit dieses Zertifikates angegeben.

==Zertifikatserneuerung der NAC ==

Am 26.03.2018 lief das öffentliche Zertifikat der NAC aus.

Die neuen Zertifikaten können Sie im Händlerportal downloaden und anschließend in den NAC importieren.
Neuere Versionen sollten sich das neue Zertifikat automatisch herunterladen.

===Anpassen der NAC an das neue Controller Zertifikat===

Den Controller Namen können Sie unter "Konfiguration => Netzwerk => Controller" anpassen.
Dort müssen Sie den Eingehenden Controller / Domainnamen auf die neue Domain ändern. (controller.access.network)

Sie können den Controller Namen vor oder nach dem Import des neuen Zertifikats anpassen.

[[Datei:Controller_Domain_aendern.jpg|500px|thumb|left|Ändern des Controller Namen]]
<br />
<br />
<br />
<br />
<br />
<br />
<br />

===Ein neues Zertifikat herunterladen===
In der Regel ist es nicht notwendig, ein Zertifikat auszutauschen, da in den Updates für ihre Version ein aktuelles Zertifikat enthalten ist.

Wenn sie kein Update machen konnten oder wollten, erhalten sie neues Zertifikat im Resellerportal.

Das Resellerportal erreichen sie mit einem Internet-Browser über:

;:https://my.securepoint.de

Tragen sie ihre Login Daten ein und klicken sie auf [[Datei:SRP_AnmB.png|60 px]]

Nachdem sie sich eingeloggt haben wechseln sie entweder in den Downloadbereich und wählen dort die Lizenz zum Download aus oder sie kopieren sie den folgenden Link und tragen sie diesen in ein URL Feld des Browsers ein

;:https://my.securepoint.de/downloads/get/27/NAC_Zertifikate_2018-NACZertifikat2018.zip

Es öffnet sich der übliche Download Dialog in dem sie angeben, in welches Verzeichnis auf ihrem PC das Zertifikat gespeichert werden soll.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung!<br>Das Zertifikat können sie nur herunterladen, wenn sie die entsprechende Berechtigung besitzen, also mindestens eine aktive NAC-Lizenz haben.'''
|}

===Ein neues Zertifikat importieren===
[[Datei:NAC_ZertVerw.png|300px|thumb|right|Zertifikatsverwaltung]]
Um das heruntergeladene Zertifikat zu importieren, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Dort müssen Sie unter "Import/Anzeigen von Zertifikate für das Captive Portal" die Zertifikate aus dem .zip Archive Auswählen.

*Unter dem Punkt "Zertifikat von der Zertifizierungsstelle(CA)" importieren Sie das CA Zertifikat, dieses befindet sich auch in der PEM-Datei
*Als "Controller Zertifikat" wählen Sie das neue Controller Zertifikat aus, ebenfalls in der PEM-Datei.
*Unter "Private Key des Controller" den Private Key für das neue Zertifikat, in der KEY-Datei.

Wenn der Private Key mit einem Passwort gesichert wurde, muss dieses im Feld "Private Key-Passwort" hinterlegt werden.

Controller Zertifikat NAC V4.4

2018-04-03T08:33:39Z

Janh: /* Zertifikatserneuerung der NAC ab dem 10.05.2015 */

[[Kategorie:NAC]]

==Zertifikatserneuerung der NAC==

===Ein Zertifikat läuft aus===
Da es sich bei der Verbindung mit und über einen Network Access Controller (NAC) immer um eine verschlüsselte Verbindung handelt, wird ein Zertifikat verwendet. <br>
Diese Zertifikate haben aus Sicherheitsgründen immer nur eine begrenzte Laufzeit. Nach dieser Laufzeit muss das Zertifikat ausgetauscht werden.

Ein abgelaufenes Controller Zertifikat der NAC hat zur Folge, dass die Benutzer eine Meldung bekommen, dass die sichere Verbindung aufgrund eines ungültigen Zertifikats fehlgeschlagen ist.

[[Datei:NAC_CZert.png|300px|thumb|right|Anzeige der Zertifikatsdaten]]
Um die Laufzeit ihrer Zertifikate zu überprüfen, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Wenn sie im Bereich "Import/Anzeigen von Zertifikate für das Captive Portal" auf den Schriftzug [[Datei:NAC_CZertB.png|110px]] klicken, wird ihnen der Inhalt dieses Zertifikats unten im Bereich "Zertifikatinhalt" ausgegeben.<br>
Neben dem Distinguished Name (DN) und der Zertifikats Seriennummer wird auch Anfang und Ende der Gültigkeit dieses Zertifikates angegeben.

==Zertifikatserneuerung der NAC ==

Am 26.03.2018 lief das öffentliche Zertifikat der NAC aus.

Die neuen Zertifikaten können Sie im Händlerportal downloaden und anschließend in den NAC importieren.
Neuere Versionen sollten sich das erneuerte Zertifikat automatisch erneuern.

===Anpassen der NAC an das neue Controller Zertifikat===

Den Controller Namen können Sie unter "Konfiguration => Netzwerk => Controller" anpassen.
Dort müssen Sie den Eingehenden Controller / Domainnamen auf die neue Domain ändern. (controller.access.network)

Sie können den Controller Namen vor oder nach dem Import des neuen Zertifikats anpassen.

[[Datei:Controller_Domain_aendern.jpg|500px|thumb|left|Ändern des Controller Namen]]
<br />
<br />
<br />
<br />
<br />
<br />
<br />

===Ein neues Zertifikat herunterladen===
In der Regel ist es nicht notwendig, ein Zertifikat auszutauschen, da in den Updates für ihre Version ein aktuelles Zertifikat enthalten ist.

Wenn sie kein Update machen konnten oder wollten, erhalten sie neues Zertifikat im Resellerportal.

Das Resellerportal erreichen sie mit einem Internet-Browser über:

;:https://my.securepoint.de

Tragen sie ihre Login Daten ein und klicken sie auf [[Datei:SRP_AnmB.png|60 px]]

Nachdem sie sich eingeloggt haben wechseln sie entweder in den Downloadbereich und wählen dort die Lizenz zum Download aus oder sie kopieren sie den folgenden Link und tragen sie diesen in ein URL Feld des Browsers ein

;:https://my.securepoint.de/downloads/get/27/NAC_Zertifikate_2018-NACZertifikat2018.zip

Es öffnet sich der übliche Download Dialog in dem sie angeben, in welches Verzeichnis auf ihrem PC das Zertifikat gespeichert werden soll.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung!<br>Das Zertifikat können sie nur herunterladen, wenn sie die entsprechende Berechtigung besitzen, also mindestens eine aktive NAC-Lizenz haben.'''
|}

===Ein neues Zertifikat importieren===
[[Datei:NAC_ZertVerw.png|300px|thumb|right|Zertifikatsverwaltung]]
Um das heruntergeladene Zertifikat zu importieren, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Dort müssen Sie unter "Import/Anzeigen von Zertifikate für das Captive Portal" die Zertifikate aus dem .zip Archive Auswählen.

*Unter dem Punkt "Zertifikat von der Zertifizierungsstelle(CA)" importieren Sie das CA Zertifikat, dieses befindet sich auch in der PEM-Datei
*Als "Controller Zertifikat" wählen Sie das neue Controller Zertifikat aus, ebenfalls in der PEM-Datei.
*Unter "Private Key des Controller" den Private Key für das neue Zertifikat, in der KEY-Datei.

Wenn der Private Key mit einem Passwort gesichert wurde, muss dieses im Feld "Private Key-Passwort" hinterlegt werden.

Controller Zertifikat NAC V4.4

2018-04-03T08:30:27Z

Janh: /* Ein neues Zertifikat importieren */

[[Kategorie:NAC]]

==Zertifikatserneuerung der NAC==

===Ein Zertifikat läuft aus===
Da es sich bei der Verbindung mit und über einen Network Access Controller (NAC) immer um eine verschlüsselte Verbindung handelt, wird ein Zertifikat verwendet. <br>
Diese Zertifikate haben aus Sicherheitsgründen immer nur eine begrenzte Laufzeit. Nach dieser Laufzeit muss das Zertifikat ausgetauscht werden.

Ein abgelaufenes Controller Zertifikat der NAC hat zur Folge, dass die Benutzer eine Meldung bekommen, dass die sichere Verbindung aufgrund eines ungültigen Zertifikats fehlgeschlagen ist.

[[Datei:NAC_CZert.png|300px|thumb|right|Anzeige der Zertifikatsdaten]]
Um die Laufzeit ihrer Zertifikate zu überprüfen, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Wenn sie im Bereich "Import/Anzeigen von Zertifikate für das Captive Portal" auf den Schriftzug [[Datei:NAC_CZertB.png|110px]] klicken, wird ihnen der Inhalt dieses Zertifikats unten im Bereich "Zertifikatinhalt" ausgegeben.<br>
Neben dem Distinguished Name (DN) und der Zertifikats Seriennummer wird auch Anfang und Ende der Gültigkeit dieses Zertifikates angegeben.

==Zertifikatserneuerung der NAC ab dem 10.05.2015==

Am 09.05.2015 läuft das öffentliche Zertifikat der NAC aus. Da die ICANN beschlossen hat, dass keine öffentliche Zertifikate mehr für lokale Domain Namen ausgestellt werden dürfen, wurde die Domain des Controllers auf "controller.access.network" geändert.

Die neuen Zertifikaten können Sie im Händlerportal downloaden und anschließend in den NAC importieren.
Sowohl für die Version 4.4.5 als auch für die 4.2.14 wird es ein Update geben, welches die Zertifikate sowie den Controller Namen automatisch austauscht.

===Anpassen der NAC an das neue Controller Zertifikat===

Den Controller Namen können Sie unter "Konfiguration => Netzwerk => Controller" anpassen.
Dort müssen Sie den Eingehenden Controller / Domainnamen auf die neue Domain ändern. (controller.access.network)

Sie können den Controller Namen vor oder nach dem Import des neuen Zertifikats anpassen.

[[Datei:Controller_Domain_aendern.jpg|500px|thumb|left|Ändern des Controller Namen]]
<br />
<br />
<br />
<br />
<br />
<br />
<br />

===Ein neues Zertifikat herunterladen===
In der Regel ist es nicht notwendig, ein Zertifikat auszutauschen, da in den Updates für ihre Version ein aktuelles Zertifikat enthalten ist.

Wenn sie kein Update machen konnten oder wollten, erhalten sie neues Zertifikat im Resellerportal.

Das Resellerportal erreichen sie mit einem Internet-Browser über:

;:https://my.securepoint.de

Tragen sie ihre Login Daten ein und klicken sie auf [[Datei:SRP_AnmB.png|60 px]]

Nachdem sie sich eingeloggt haben wechseln sie entweder in den Downloadbereich und wählen dort die Lizenz zum Download aus oder sie kopieren sie den folgenden Link und tragen sie diesen in ein URL Feld des Browsers ein

;:https://my.securepoint.de/downloads/get/27/NAC_Zertifikate_2018-NACZertifikat2018.zip

Es öffnet sich der übliche Download Dialog in dem sie angeben, in welches Verzeichnis auf ihrem PC das Zertifikat gespeichert werden soll.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung!<br>Das Zertifikat können sie nur herunterladen, wenn sie die entsprechende Berechtigung besitzen, also mindestens eine aktive NAC-Lizenz haben.'''
|}

===Ein neues Zertifikat importieren===
[[Datei:NAC_ZertVerw.png|300px|thumb|right|Zertifikatsverwaltung]]
Um das heruntergeladene Zertifikat zu importieren, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Dort müssen Sie unter "Import/Anzeigen von Zertifikate für das Captive Portal" die Zertifikate aus dem .zip Archive Auswählen.

*Unter dem Punkt "Zertifikat von der Zertifizierungsstelle(CA)" importieren Sie das CA Zertifikat, dieses befindet sich auch in der PEM-Datei
*Als "Controller Zertifikat" wählen Sie das neue Controller Zertifikat aus, ebenfalls in der PEM-Datei.
*Unter "Private Key des Controller" den Private Key für das neue Zertifikat, in der KEY-Datei.

Wenn der Private Key mit einem Passwort gesichert wurde, muss dieses im Feld "Private Key-Passwort" hinterlegt werden.

Controller Zertifikat NAC V4.4

2018-04-03T08:29:10Z

Janh: /* Ein neues Zertifikat herunterladen */

[[Kategorie:NAC]]

==Zertifikatserneuerung der NAC==

===Ein Zertifikat läuft aus===
Da es sich bei der Verbindung mit und über einen Network Access Controller (NAC) immer um eine verschlüsselte Verbindung handelt, wird ein Zertifikat verwendet. <br>
Diese Zertifikate haben aus Sicherheitsgründen immer nur eine begrenzte Laufzeit. Nach dieser Laufzeit muss das Zertifikat ausgetauscht werden.

Ein abgelaufenes Controller Zertifikat der NAC hat zur Folge, dass die Benutzer eine Meldung bekommen, dass die sichere Verbindung aufgrund eines ungültigen Zertifikats fehlgeschlagen ist.

[[Datei:NAC_CZert.png|300px|thumb|right|Anzeige der Zertifikatsdaten]]
Um die Laufzeit ihrer Zertifikate zu überprüfen, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Wenn sie im Bereich "Import/Anzeigen von Zertifikate für das Captive Portal" auf den Schriftzug [[Datei:NAC_CZertB.png|110px]] klicken, wird ihnen der Inhalt dieses Zertifikats unten im Bereich "Zertifikatinhalt" ausgegeben.<br>
Neben dem Distinguished Name (DN) und der Zertifikats Seriennummer wird auch Anfang und Ende der Gültigkeit dieses Zertifikates angegeben.

==Zertifikatserneuerung der NAC ab dem 10.05.2015==

Am 09.05.2015 läuft das öffentliche Zertifikat der NAC aus. Da die ICANN beschlossen hat, dass keine öffentliche Zertifikate mehr für lokale Domain Namen ausgestellt werden dürfen, wurde die Domain des Controllers auf "controller.access.network" geändert.

Die neuen Zertifikaten können Sie im Händlerportal downloaden und anschließend in den NAC importieren.
Sowohl für die Version 4.4.5 als auch für die 4.2.14 wird es ein Update geben, welches die Zertifikate sowie den Controller Namen automatisch austauscht.

===Anpassen der NAC an das neue Controller Zertifikat===

Den Controller Namen können Sie unter "Konfiguration => Netzwerk => Controller" anpassen.
Dort müssen Sie den Eingehenden Controller / Domainnamen auf die neue Domain ändern. (controller.access.network)

Sie können den Controller Namen vor oder nach dem Import des neuen Zertifikats anpassen.

[[Datei:Controller_Domain_aendern.jpg|500px|thumb|left|Ändern des Controller Namen]]
<br />
<br />
<br />
<br />
<br />
<br />
<br />

===Ein neues Zertifikat herunterladen===
In der Regel ist es nicht notwendig, ein Zertifikat auszutauschen, da in den Updates für ihre Version ein aktuelles Zertifikat enthalten ist.

Wenn sie kein Update machen konnten oder wollten, erhalten sie neues Zertifikat im Resellerportal.

Das Resellerportal erreichen sie mit einem Internet-Browser über:

;:https://my.securepoint.de

Tragen sie ihre Login Daten ein und klicken sie auf [[Datei:SRP_AnmB.png|60 px]]

Nachdem sie sich eingeloggt haben wechseln sie entweder in den Downloadbereich und wählen dort die Lizenz zum Download aus oder sie kopieren sie den folgenden Link und tragen sie diesen in ein URL Feld des Browsers ein

;:https://my.securepoint.de/downloads/get/27/NAC_Zertifikate_2018-NACZertifikat2018.zip

Es öffnet sich der übliche Download Dialog in dem sie angeben, in welches Verzeichnis auf ihrem PC das Zertifikat gespeichert werden soll.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung!<br>Das Zertifikat können sie nur herunterladen, wenn sie die entsprechende Berechtigung besitzen, also mindestens eine aktive NAC-Lizenz haben.'''
|}

===Ein neues Zertifikat importieren===
[[Datei:NAC_ZertVerw.png|300px|thumb|right|Zertifikatsverwaltung]]
Um das heruntergeladene Zertifikat zu importieren, loggen sie sich auf der Administrationsoberfläche der NAC ein, wählen unter dem Menüpunkt '''Konfiguration''' das Untermenü '''Authentifizierung''' und dort den Punkt '''Zertifikate'''.

Dort müssen Sie unter "Import/Anzeigen von Zertifikate für das Captive Portal" die drei Zertifikate aus dem .zip Archive Auswählen.

*Unter dem Punkt "Zertifikat von der Zertifizierungsstelle(CA)" importieren Sie das CA Zertifikat.
*Als "Controller Zertifikat" wählen Sie das neue Controller Zertifikat aus.
*Unter "Private Key des Controller" den Private Key für das neue Zertifikat.

Wenn der Private Key mit einem Passwort gesichert wurde, muss dieses im Feld "Private Key-Passwort" hinterlegt werden.

Syslog cli v11

2017-09-20T07:55:55Z

Janh: /* syslog */

UTM/APP/Reverse Proxy-Exchange v11.7

2017-08-31T13:14:19Z

Janh: /* Einrichtung des Reversy Proxy mit Exchange */

{{DISPLAYTITLE:Reverse-Proxy Exchange}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>

==Einleitung==
Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.

[[Datei:Reverse-Proxy OWA.png|500px|center]]

Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.
==Einrichtung des Reverse Proxy mit Exchange==
===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.

Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.

Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]

====Portfilterregel====
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.

Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.

[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]

Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.

====User Webinterface Port====
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.

===Einrichtung===
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.

====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.

Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.

[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.

Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.

[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.

Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.

Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.

Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.

===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.

Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.

Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘

[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.

Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.

Abschließend müssen die Einstellungen noch gesichert werden.

===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
<br>
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden. Außerdem muss in diesem Fall die Auth auf "on" stehen.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

UTM/APP/Reverse Proxy-Exchange v11.7

2017-05-03T15:57:29Z

Janh: /* Übersicht */

{{DISPLAYTITLE:Reverse-Proxy Exchange}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>

==Einleitung==
Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.

[[Datei:Reverse-Proxy OWA.png|500px|center]]

Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.
==Einrichtung des Reversy Proxy mit Exchange==
===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.

Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.

Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]

====Portfilterregel====
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.

Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.

[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]

Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.

====User Webinterface Port====
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.

===Einrichtung===
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.

====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.

Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.

[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.

Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.

[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.

Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.

Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.

Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.

===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.

Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.

Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘

[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.

Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.

Abschließend müssen die Einstellungen noch gesichert werden.

===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
<br>
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden. Außerdem muss in diesem Fall die Auth auf "on" stehen.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

FAQ/UTM1000001

2016-11-10T14:16:58Z

Janh:

Passend zu unserem HOWTO zur Filterung von Office Dokumenten finden Sie hier vorbereitete CLI Kommando Sets die entsprechende Filterregeln im Mailfilter der Securepoint UTM erzeugen.

Bitte beachten Sie, dass die Syntax auf der Securepoint UTM 11.6.x basierend ist.

Die mit # anfangenden Zeilen sind keine CLI Kommandos und können vorher entfernt werden. Sie können diese auch mit auf die Konsole kopieren, müssen dann die Fehler der Ausgabe entsprechend ignorieren.

So verwenden Sie die CLI Kommando Sets:
Melden Sie sich als Benutzer admin über ssh mit einem entsprechenden SSH Client (wie z.B. Putty) an der Securepoint UTM Firewall an. Kopieren Sie das für Sie passende Script (SMTP, POP3 oder MAILCONNECTOR) und fügen Sie dies auf der Oberfläche der UTM ein.

Wenn Sie Ausnahmen für Domains einrichten wollen (wir empfehlen dies nicht zu tun), dann müssen Sie die # vor den entsprechenden Zeilen entfernen und die Liste der in eckigen Klammern stehenden Domainnamen (z.B. vertrautedomain1.tld) durch die gewünschten Ausnahmedomains ersetzen.

Die hier aufgeführten CLI Kommando Sets dienen als Beispiel und haben keinen Anspruch auf Vollständigkeit bezogen auf Mime Typen, Dateierweiterungen usw. Außerdem umfassen diese keine Kundenindividuellen Besonderheiten. Die CLI Kommando Sets dürfen nur von geschultem Personal angewendet werden.

'''CLI Kommando Set für SMTP
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den SMTP zustellen.

<pre>
# SMTP
# REJECT Virus (spfilterset_smtp_reject_virus)
mail filterng selector new name spfilterset_smtp_reject_virus binop AND
mail filterng selector item new selector spfilterset_smtp_reject_virus type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_smtp_reject_virus action REJECT pos 1

# Reject Word by MIME (spfilterset_smtp_reject_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_word_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_smtp_reject_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_word_by_mime action REJECT pos 2

# Reject Excel by MIME (spfilterset_smtp_reject_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_smtp_reject_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_excel_by_mime action REJECT pos 3

# Reject compressed files by MIME (spfilterset_smtp_reject_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_smtp_reject_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_zip_by_mime action REJECT pos 4

# Reject Office files by extention (spfilterset_smtp_reject_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_office_by_ext binop AND
mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type CONTENT type_arg SUFFIX operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_smtp_reject_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_office_by_ext action REJECT pos 5

# Reject compressed files by extention (spfilterset_smtp_reject_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_smtp_reject_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type CONTENT type_arg SUFFIX operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_smtp_reject_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_smtp_reject_zip_by_ext action REJECT pos 6

# REJECT SPAM (spfilterset_smtp_reject_spam)
mail filterng selector new name spfilterset_smtp_reject_spam binop AND
mail filterng selector item new selector spfilterset_smtp_reject_spam type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_reject_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_smtp_reject_spam action REJECT pos 7

# Quarantine probably SPAM (spfilterset_smtp_quarantine_possibly_spam)
mail filterng selector new name spfilterset_smtp_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_smtp_quarantine_possibly_spam type PROTO operator IS value [ SMTP ]
mail filterng selector item new selector spfilterset_smtp_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_smtp_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

'''CLI Kommando Set für POP3 Proxy
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den POP3 Proxy filtern.

<pre>
# POP3Proxy
# Filter Virus (spfilterset_pop3_filter_virus)
mail filterng selector new name spfilterset_pop3_filter_virus binop AND
mail filterng selector item new selector spfilterset_pop3_filter_virus type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_pop3_filter_virus action FILTER pos 1

# Filter Word by MIME (spfilterset_pop3_filter_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_word_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_pop3_filter_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_word_by_mime action FILTER pos 2

# Filter Excel by MIME (spfilterset_pop3_filter_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_pop3_filter_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_excel_by_mime action FILTER pos 3

# Filter compressed files by MIME (spfilterset_pop3_filter_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_pop3_filter_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_zip_by_mime action FILTER pos 4

# Filter Office files by extention (spfilterset_pop3_filter_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_office_by_ext binop AND
mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type CONTENT type_arg SUFFIX operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_pop3_filter_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_office_by_ext action FILTER pos 5

# Filter compressed files by extention (spfilterset_pop3_filter_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_pop3_filter_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type CONTENT type_arg SUFFIX operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_pop3_filter_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_pop3_filter_zip_by_ext action FILTER pos 6

# Quarantine SPAM (spfilterset_pop3_quarantine_spam)
mail filterng selector new name spfilterset_pop3_quarantine_spam binop AND
mail filterng selector item new selector spfilterset_pop3_quarantine_spam type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_quarantine_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_pop3_quarantine_spam action QUARANTINE pos 7

# Quarantine probably SPAM (spfilterset_pop3_quarantine_possibly_spam)
mail filterng selector new name spfilterset_pop3_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_pop3_quarantine_possibly_spam type PROTO operator IS value [ POP3 ]
mail filterng selector item new selector spfilterset_pop3_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_pop3_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

'''CLI Kommando Set für Mail-Connector
'''

Bitte wählen Sie dieses Script, wenn Sie E-Mails über den Mail-Connector zustellen.

<pre>
# MAIL-Connector
# DROP Virus (spfilterset_mailconnector_drop_virus)
mail filterng selector new name spfilterset_mailconnector_drop_virus binop AND
mail filterng selector item new selector spfilterset_mailconnector_drop_virus type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_drop_virus type VIRUS operator TRUE
mail filterng new selector spfilterset_mailconnector_drop_virus action DROP pos 1

# Quarantine Word by MIME (spfilterset_mailconnector_quarantine_word_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_word_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type CONTENT type_arg MIME operator IS value [ application/msword application/vnd.openxmlformats-officedocument wordprocessingml.document application/vnd.openxmlformats-officedocument.wordprocessingml.template application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_word_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_word_by_mime action QUARANTINE pos 2

# Quarantine Excel by MIME (spfilterset_mailconnector_quarantine_excel_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_excel_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type CONTENT type_arg MIME operator IS value [ application/vnd.ms-excel application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.spreadsheetml.template application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_excel_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_excel_by_mime action QUARANTINE pos 3

# Quarantine compressed files by MIME (spfilterset_mailconnector_quarantine_zip_by_mime)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_zip_by_mime binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type CONTENT type_arg MIME operator IS value [ application/x-zip-compressed application/zip ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_mime type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_zip_by_mime action QUARANTINE pos 4

# Quarantine Office files by extention (spfilterset_mailconnector_quarantine_office_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_office_by_ext binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type CONTENT type_arg SUFFIX operator IN value [ doc dot docx docm dotx dotm docb xls xlsx xlt xlm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm pub ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_office_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_office_by_ext action QUARANTINE pos 5

# Quarantine compressed files by extention (spfilterset_mailconnector_quarantine_zip_by_ext)
# Please adjust trusted domain - this is not recommended
mail filterng selector new name spfilterset_mailconnector_quarantine_zip_by_ext binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type CONTENT type_arg SUFFIX operator IS value [ zip 7z ace arj cab zz zipx ]
#mail filterng selector item new selector spfilterset_mailconnector_quarantine_zip_by_ext type FROM operator NOTIN value [ vertrautedomain1.tld vertrautedomain2.tld ]
mail filterng new selector spfilterset_mailconnector_quarantine_zip_by_ext action QUARANTINE pos 6

# Quarantin SPAM (spfilterset_mailconnector_quarantine_spam)
mail filterng selector new name spfilterset_mailconnector_quarantine_spam binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_spam type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_spam type SPAM operator IS value [ VERIFIED ]
mail filterng new selector spfilterset_mailconnector_quarantine_spam action QUARANTINE pos 7

# Quarantine probably SPAM (spfilterset_mailconnector_quarantine_possibly_spam)
mail filterng selector new name spfilterset_mailconnector_quarantine_possibly_spam binop AND
mail filterng selector item new selector spfilterset_mailconnector_quarantine_possibly_spam type PROTO operator IS value [ FETCHMAIL ]
mail filterng selector item new selector spfilterset_mailconnector_quarantine_possibly_spam type SPAM operator IS value [ SUSPECTED ]
mail filterng new selector spfilterset_mailconnector_quarantine_possibly_spam action QUARANTINE pos 8

# Activate filterng and save configuration
mail filterng update
system config save
</pre>

Datei:Ipsec wizard step5.png

2014-08-29T05:55:06Z

Janh: Janh lud eine neue Version von „Datei:Ipsec wizard step5.png“ hoch

UTM/RULE/Portfilter v11.7

2014-04-15T06:23:11Z

Janh: /* Portfilterregel */

== Portfilter Beschreibung UTMv11 ==

=== Einführung ===

Der Portfilter steuert den Datenverkehr, der durch die UTM geht.
Dies gilt für Pakete, die ins Internet gesendet werden als auch vom Internet kommen, sowie für die Pakete innerhalb des lokalen Netzwerks.

=== Portfilter ===

==== Wie arbeitet der Portfilter ====

Die UTM schaut bei ein- und ausgehenden Paketen, anhand von im Paket enthaltende Daten, wie Quelle-IP oder Ziel-IP, '''von oben nach unten''', ob eine passende Vorschrift für das Paket vorhanden ist, und entscheidet dann was mit dem Paket passiert. Diese können bei unzulässigen Paketen verworfen werden (DROP) oder mit einer Bemerkung an den Absender zurückgeschickt werden (REJECT) oder zugelassen wird (ACCEPT). Zusätzlich gibt es noch die Aktion (QOS), falls die Bandbreite der Regel limitiert werden oder (STATELESS), falls Verbindungen statusunabhägig zugelassen werden sollen.

==== Portfilterregel ====

Im Reiter Portfilter können sie Regeln erstellen, die den Datenverkehr steuern.

Grundsätzlicher Aufbau einer solchen Regel ist :

Quelle => Ziel => Dienst => Aktion

Typische Beispiele:

Möchte man den Zugriff vom internal-network ins dmz-network erlauben:

[[Bild:.internaldmz.png]]

Möchte man zum Beispiel, dass aus dem internen Netz HTTP Seiten im Internet erreichbar sind, benötigt man die Regel:

[[Bild:.internalhttp.png]]

Will man den FTP Traffic aus dem internal-network ins Internet verbieten:

[[Bild:.dropftp.png]]

Einen Server im internal-network von außen erreichbar machen:

[[Bild:.serverdnat.png]]

===== NAT =====

Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in ein oder mehrere öffentlichen IP-Adressen

====== Hide NAT ======

Auch Source NAT genannt, bestimmt wie die Adresse übersetzt werden soll, wenn sie aus einer bestimmten Quelle stammen.

Möchte man zum Beispiel, dass die Pakete aus vom Rechner (192.168.175.10/32) zum Server im dmz-network (192.168.0.1/24) mit der IP-Adresse 192.168.0.254 ankommen sieht die entsprechende Regel so aus:

[[Datei:.snatdmz.png]]

====== Dest. NAT ======

Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.

Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (192.168.0.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, würde die Regel so aussehen:

[[Datei:.dnatserver.png]]

===== Rule Routing =====

Unter Rule Routing können sie regelbasiert festlegen, welche Route genommen werden soll.
Wollen sie zum Beispiel, dass der gesamte FTP Traffic über eth0 gehen soll, können sie dies mit Hilfe von Rule Routing realisieren.
Die entsprechende Regel würde so aussehen:

[[Bild:.ruleroute.png]]

=== Netzwerkobjekte ===

Sind Objekte im Netzwerk wie zum Beispiel Schnittstellen, einzelne Hosts, Netzwerke und setzten sich aus Namen, Adresse und deren Zone zusammen. Netzwerkobjekte werden hauptsächlich benötigt um Portfilterregeln zu erstellen. Sie werden aber auch im HTTP Proxy verwendet.

==== Netzwerkobjekte erstellen ====

Um ein Netzwerkobjekt anzulegen klicken sie auf [[Datei:.objadd.png]].

Im sich öffnenden Fenster legen sie als erstes den Namen für das Netzwerkobjekt an.

Als nächstes bestimmen sie den Typ:

{| class="wikitable"
|-
! Typ !! Beschreibung
|-
| Host || ein einzelner Host mit einer IP-Adresse z.B. 192.168.0.13/32
|-
| Netzwerk(Addresse) || ein komplettes Netzwerk z.B. 192.0.0/24
|-
| Netzwerk(Schnittstelle) || eine komplettes Netzwerk hinter einer Schnittstelle z.B. hinter eth1
|-
| VPN-Host || ein einzelner VPN-Host z.B. in der Zone vpn-ipsec
|-
| VPN-Netzwek || ein komplettes VPN-Netz
|-
| Statische Schnittstelle || eine IP-Adresse einer Schnittstelle z.B. 192.168.175.1/32
|-
| Dynamische Schnittstelle || eine dynamische Zuweisung der Adresse des Interfaces
|-
|}

Als letztes wählen sie die [[Zonenkonzept|Zonen]] aus, in der das Netzwerkobjekt liegt.

Zusätzlich können sie mehrere Netzwerkobjekte zu Gruppen zusammenfassen, damit mehrere Objekte mit einer Portfilterregel angesprochen werden können.

Wollen sie zum Beispiel ein Netzwerkobjekt haben, mit dem sie ein komplettes Netz, hinter eth3 in der Zone dmz2 abbilden können, sehe das Netzwerkobjekt so aus:

[[Bild:.netobject.png]]

=== Dienste ===

Dienste werden benötigt, um Portfilterregeln zu erstellen, zum Beispiel um bestimmte Ports zu schließen/öffnen. Sie legen das verwendete Protokoll und gegebenenfalls den Port bzw. Portbereich des Dienstes fest. Viele Dienste sind schon vorkonfiguriert wie http, https, ftp, ssh usw. Ist ein Dienst nicht vorhanden können sie diesen einfach erstellen.

==== Dienst hinzufügen ====

Benötigen sie nun eine Portfilterregel welche den TCP Port 4321 für ein Gerät öffnet, müssen sie den Dienst neu erstellen. Dazu gehen sie auf [[Datei:.objadd.png]] und geben dem Dienst ein aussagekräftigen Namen.

Als nächstes wählen sie das gewünschte Protokoll, in unserem Beispiel tcp und den einzelnen Port 4321 aus.
Sie können zusätzlich auch den Quellport bzw. Quellbereich auswählen.

[[Datei:.dienst.png]]

Auch das zusammenfassen von Diensten in Gruppen ist möglich.

=== Zeitprofil ===

Zeitprofile dienen dazu Portfilterregeln nur zu festgelegten Zeiten zu aktivieren.
Wollen sie zum Beispiel, dass keiner aus dem internal-network von 10 bis 12 Uhr nicht ins Internet darf, erstellen sie als erstes ein Zeitprofil und wählen den Zeitraum aus.

[[Datei:.zeitprofil.png]]

Als letztes erstellen sie eine Portfilterregel internal-network => internet => any => DROP => Zeitprofil1

[[Datei:.zeitrege.png]]

Beachten sie hierbei die Arbeitsweise des Portfilters. Die zeitgesteuerte Regel muss in diesem Fall vor der Regel stehen, die den Zugriff erlaubt.

=== QoS ===

Quality of Service

Mit QoS limitieren sie die Bandbreite von gesamten Schnittstellen oder Portfilterregeln.
Möchte man zum Beispiel, dass eth0 auf 16000kbit/s limitiert ist, und die maximale Bandbreite für http auf 1000kbit/s limitiert ist, erstellen sie zuerst das QoS mit der maximalen Bandbreite von 16000kbit/s. Klicken sie hierfür auf [[Bild:.qosadd.png]]

[[Bild:.qosgesamt.png]]

Als nächstes erstellen sie den QoS für die http-Regel mit 1000kbit/s und als Parent den soebend erstellten QoS für die gesamte Bandbreite.

[[Bild:.qoshttp.png]]

[[Bild:.pregelqos.png]]

==== QoS für Schnittstelle ====

Als nächstes binden sie die QoS auf die Schnittstelle eth0, indem sie unter dem Punkt Netzwerk auf den Reiter Netzwerkkonfiguration gehen.

Bearbeiten sie eth0 [[Bild:.bearbeiten.png]] und gehen auf den Reiter QoS.
Binden sie nun die QoS Regel ein.

[[Bild:.ifqos.png]]

==== QoS für Portfilterregel ====

Zum Schluss müssen sie nur noch die QoS für die http Portfilterregel einbinden.
Dazu gehen sie unter Portfilter auf die entsprechende Regel, für die, die Limitierung aktiviert werden soll, und bearbeiten diese [[Bild:.bearbeiten.png]].
In diesem Beispiel die Regel:

[[Bild:.qosregel.png]]

und binden die QoS Regel ein.

Datei:Vlanueberblick.png

2014-04-14T13:56:21Z

Janh: Janh lud eine neue Version von „Datei:Vlanueberblick.png“ hoch

Datei:Vlanueberblick.png

2014-04-14T13:48:58Z

Janh: Janh lud eine neue Version von „Datei:Vlanueberblick.png“ hoch

UTM/NET/VLAN-Switch v11.7

2014-04-14T13:40:06Z

Janh: /* Einleitung */

== Einleitung ==

In diesem Abschnitt wird ihnen besipielsweise an einem Netgear Switch und einer UTM v11 erklärt, wie sie zwei logisch getrennte [[Glossar#VLAN|VLAN]]'s konfigurieren.

[[Datei:vlanueberblick.png]]

== Switch konfigurieren ==

Loggen sie sich auf der Weboberfläche des Switches ein und gehen sie auf den Menüpunkt VLAN. Wählen sie in der Dropdown Liste ''Add new VLAN''.
Legen sie die VLAN ID 100 an und bestimmen sie die Ports welche dem 100er VLAN angehören sollen.
Damit die UTM VLAN Pakete gesendet bekommt, stellen wir Port 1 als Mitglied von VLAN 100 ein, der ausgehende Pakete mit einem VLAN Tag versieht. Die Ports 6 und 7 sind auch Mitglieder, jedoch werden hier ausgehende Pakete nicht getaggt.

[[Datei:vlansettings100.png]]

Richten sie nun das VLAN 200 ein.

[[Datei:vlansettings200.png]]

Als letztes legen sie unter PVID Setting fest, welche Ports eingehende Pakete taggen soll.
Hier werden Pakete die an Port 6 und 7 eingehen mit der VLAN ID 100 getaggt und die Ports 10, 11 und 12 werden mit der VLAN ID 200 getaggt.

[[Datei:pvidsettings.png]]

== UTM Konfigurieren ==

Um die UTM einzurichten benötigen sie zwei VLAN Interfaces auf denen jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes erstellen wir die Zonen, da sie anschließend bei der Erstellung der Interfaces benötigt werden.

=== Zonen erstellen ===

Loggen sie sich auf der Firewall ein und wählen sie den Reiter Netzwerk und Zoneneinstellung aus. Es erscheint ein neues Fenster in dem sie auf den [[Datei:addzone.png]] Button klicken.

Tragen sie im neuen Fenster einen aussagekräftigen Namen für die Zone ein.

[[Datei:zonevlan100.png]]

Wählen sie noch keine Schnittstelle aus, da sie noch kein VLAN Interface erstellt haben.

Für das VLAN 100 brauchen wir noch die Zone des Interfaces selbst.

[[Datei:.ifzonevlan100.png]]

Dazu legen sie erneut eine Zone an diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

Nun erstellen sie die zwei weitere Zonen für das VLAN 200 nach dem selben Prinzip.

=== VLAN Interface anlegen ===

Zum Erstellen eines VLAN Interfaces, wählen sie den Reiter Netzwerk und Netzwerkkonfiguration aus und klicken sie auf den [[Datei:.addvlan.png]] Button.

Im sich öffnenden Fenster geben sie im Step 1 die Schnittstelle an auf der die VLAN Pakete ankomme und die dazugehörige VLAN ID. Als letztes geben sie der Schnittstelle noch eine IP-Adresse und klicken auf [[Datei:.weiter.png]] .

[[Datei:.addvlan100s1.png]]

Im Step 2 wählen sie die zuvor angelegten Zonen mit der STRG-Taste aus und bestätigen sie die Auswahl mit [[Datei:.fertig.png]] .

[[Datei:.addvlan100s2.png]]

Wiederholen sie die Schritte um das VLAN mit der ID 200 anzulegen.

Ihre Netzwerkkonfiguration sollte nun so aussehen.

[[Datei:.vlannetzwerkkonfig.png]]

Datei:Vlanueberblick.png

2014-04-14T13:39:16Z

Janh:

UTM/NET/VLAN-Switch v11.7

2014-04-14T11:05:47Z

Janh: /* Switch konfigurieren */

== Einleitung ==

In diesem Abschnitt wird ihnen besipielsweise an einem Netgear Switch und einer UTM v11 erklärt, wie sie zwei logisch getrennte [[Glossar#VLAN|VLAN]]'s konfigurieren.

[[Datei:vlanueberblick]]

== Switch konfigurieren ==

Loggen sie sich auf der Weboberfläche des Switches ein und gehen sie auf den Menüpunkt VLAN. Wählen sie in der Dropdown Liste ''Add new VLAN''.
Legen sie die VLAN ID 100 an und bestimmen sie die Ports welche dem 100er VLAN angehören sollen.
Damit die UTM VLAN Pakete gesendet bekommt, stellen wir Port 1 als Mitglied von VLAN 100 ein, der ausgehende Pakete mit einem VLAN Tag versieht. Die Ports 6 und 7 sind auch Mitglieder, jedoch werden hier ausgehende Pakete nicht getaggt.

[[Datei:vlansettings100.png]]

Richten sie nun das VLAN 200 ein.

[[Datei:vlansettings200.png]]

Als letztes legen sie unter PVID Setting fest, welche Ports eingehende Pakete taggen soll.
Hier werden Pakete die an Port 6 und 7 eingehen mit der VLAN ID 100 getaggt und die Ports 10, 11 und 12 werden mit der VLAN ID 200 getaggt.

[[Datei:pvidsettings.png]]

== UTM Konfigurieren ==

Um die UTM einzurichten benötigen sie zwei VLAN Interfaces auf denen jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes erstellen wir die Zonen, da sie anschließend bei der Erstellung der Interfaces benötigt werden.

=== Zonen erstellen ===

Loggen sie sich auf der Firewall ein und wählen sie den Reiter Netzwerk und Zoneneinstellung aus. Es erscheint ein neues Fenster in dem sie auf den [[Datei:addzone.png]] Button klicken.

Tragen sie im neuen Fenster einen aussagekräftigen Namen für die Zone ein.

[[Datei:zonevlan100.png]]

Wählen sie noch keine Schnittstelle aus, da sie noch kein VLAN Interface erstellt haben.

Für das VLAN 100 brauchen wir noch die Zone des Interfaces selbst.

[[Datei:.ifzonevlan100.png]]

Dazu legen sie erneut eine Zone an diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

Nun erstellen sie die zwei weitere Zonen für das VLAN 200 nach dem selben Prinzip.

=== VLAN Interface anlegen ===

Zum Erstellen eines VLAN Interfaces, wählen sie den Reiter Netzwerk und Netzwerkkonfiguration aus und klicken sie auf den [[Datei:.addvlan.png]] Button.

Im sich öffnenden Fenster geben sie im Step 1 die Schnittstelle an auf der die VLAN Pakete ankomme und die dazugehörige VLAN ID. Als letztes geben sie der Schnittstelle noch eine IP-Adresse und klicken auf [[Datei:.weiter.png]] .

[[Datei:.addvlan100s1.png]]

Im Step 2 wählen sie die zuvor angelegten Zonen mit der STRG-Taste aus und bestätigen sie die Auswahl mit [[Datei:.fertig.png]] .

[[Datei:.addvlan100s2.png]]

Wiederholen sie die Schritte um das VLAN mit der ID 200 anzulegen.

Ihre Netzwerkkonfiguration sollte nun so aussehen.

[[Datei:.vlannetzwerkkonfig.png]]

Datei:Vlansettings200.png

2014-04-14T10:46:56Z

Janh: Janh lud eine neue Version von „Datei:Vlansettings200.png“ hoch

Datei:Vlansettings100.png

2014-04-14T10:45:03Z

Janh: Janh lud eine neue Version von „Datei:Vlansettings100.png“ hoch

Datei:Ruleroutinghttps.png

2014-04-01T11:31:13Z

Janh:

UTM/NET/Rulerouting v11.7

2014-04-01T11:29:09Z

Janh: /* Rule Routing einrichten */

== Konfiguration von Port basierten Routen ==

=== Einleitung ===

Port basierte Routen, auch Policy Based Routing oder Rule Routing genannt, sind Routingentscheidungen, die Anhand einer vordefinierten Regel, Dienste, Zieladressen oder Quelladressen mit berücksichtigen und dann entscheidet an welches Gateway die Pakete weitergeleitet werden.

=== Rule Routing einrichten ===

Gehen sie auf Firewall => Portfilter und klicken sie auf [[Bild:.bearbeiten.png]], um die entsprechende Regel zu bearbeiten, die sie routen wollen oder aber erstellen eine neue Portfilterregel. Im Feld Rule Routing tragen sie ihr gewünschtes Gateway ein, zu dem die Pakete, die auf die Regel passen, geleitet werden sollen.

Wollen sie zum Beispiel, dass https Verbindungen zum Gateway 88.64.93.119 geleitet werden, müsste ihre Regel so aussehen:

[[Bild:ruleroutinghttps.png]]

UTM/NET/Rulerouting v11.7

2014-04-01T11:21:57Z

Janh: /* Rule Routing einrichten */

UTM/NET/Rulerouting v11.7

2014-04-01T11:16:46Z

Janh: /* Rule Routing einrichten */

UTM/NET/Rulerouting v11.7

2014-04-01T11:15:22Z

Janh: /* Rule Routing einrichten */

UTM/NET/Rulerouting v11.7

2014-04-01T11:14:28Z

Janh: Die Seite wurde neu angelegt: „== Konfiguration von Port basierten Routen == === Einleitung === Port basierte Routen, auch Policy Based Routing oder Rule Routing genannt, sind Routingentsc…“

== Konfiguration von Port basierten Routen ==

=== Einleitung ===

Port basierte Routen, auch Policy Based Routing oder Rule Routing genannt, sind Routingentscheidungen, die Anhand einer vordefinierten Regel, Dienste, Zieladressen oder Quelladressen mit berücksichtigen und dann entscheidet an welches Gateway die Pakete weitergeleitet werden.

=== Rule Routing einrichten ===

Gehen sie auf Firewall => Portfilter und klicken sie auf [[Bild:.edit.png]], um die entsprechende Regel zu bearbeiten, die sie routen wollen oder aber erstellen eine neue Portfilterregel. Im Feld Rule Routing tragen sie ihr gewünschtes Gateway ein, zu dem die Pakete, die auf die Regel passen, geleitet werden sollen.

Wollen sie zum Beispiel, dass https Verbindungen zum Gateway 88.64.93.119 geleitet werden, müsste ihre Regel so aussehen:

[[Bild:.httpsruler]]

Datei:Defaultroute.png

2014-04-01T10:17:33Z

Janh:

Datei:Routen3.png

2014-04-01T10:15:42Z

Janh:

Datei:Routen2.png

2014-04-01T10:15:14Z

Janh:

UTM/NET/Sourcerouting

2014-04-01T10:14:48Z

Janh: /* Route hinzufügen */

== Konfiguration von Source-Routen ==

=== Einleitung ===

Eine Route, beschreibt den Weg, welchen ein Pakete gehen soll, um aus dem Ursprungsnetz in das gewünschten Zielnetz zu kommen.

=== Default Route ===

Die Default Route legt den Weg der Pakete fest, wenn keine andere Route für die gegebene Zieladresse gefunden wird.

==== Default Route erstellen ====

Zum Erstellen einer Default Route gehen sie auf Netzwerkkonfiguration => Routing und klicken sie auf [[Bild:.adddefaultroute1.png]].

Im sich öffnenden Fenster tragen sie das Gateway ein, an welches die Pakete weitergeleitet werden sollen und legen anschließend fest, ob die Default Route für IPv6 Adressen greift.

[[Bild:.adddefaultroute2.png]]

[[Bild:.defaultroute.png]]

=== Route ===

==== Route hinzufügen ====

Um eine Route zu erstellen klicken sie unter Netzwerkkonfiguration => Routing auf [[Bild:.addroute.png]]

Im sich öffnenden Fenster legen sie die Quelle, die Gateway-IP bzw. die Gateway-Schnittstelle, das Zielnetzwerk und die Gewichtung fest.

Die Gewichtung legt fest, wie stark eine Route belastet werden soll. Die Gewichtung errechnet sich aus dem Faktor der beiden Zahlen. Eine Route mit der Gewichtung 2 wird also doppelt so stark belastet wie eine Route mit der Gewichtung 1.

Wollen sie zum Beispiel, dass alle Clienten aus der Netzadresse 192.168.0.0/24 den Weg über das Gateway 92.188.243.101 nehmen und die Clienten aus der Netzadresse 10.0.0.0/24 den Weg über das Gateway 44.231.66.94, würde die Routen so aussehen:

[[Bild:.routen2.png]]

[[Bild:.routen3.png]]

[[Bild:.routen1.png]]

=== Route Hint ===

Über die Schnittstellenkonfiguration unter Netzwerk => Netzwerkkonfiguration können sie zusätzlich einen Route Hint hinterlegen. Über den Route Hint können sie das Gateway der Schnittstelle definieren. Das hat zum Beispiel den Vorteil, dass Sie im Routing nur das Interface (z.B. eth2) angeben müssen und nicht direkt die Gateway-IP.

Eine Route mit Route Hint würde z.B. so aussehen:

[[Bild:.routehint.png]]

Hier sehen sie eine Default Route, die alle Pakete an den Route Hint von eth0 leitet.

Datei:Routehint.png

2014-04-01T10:13:35Z

Janh:

Datei:Routen1.png

2014-04-01T10:10:37Z

Janh:

Datei:Addroute.png

2014-04-01T10:10:07Z

Janh:

Datei:Adddefaultroute2.png

2014-04-01T10:08:12Z

Janh:

Datei:Adddefaultroute1.png

2014-04-01T10:07:34Z

Janh:

UTM/NET/Sourcerouting

2014-04-01T10:07:07Z

Janh: Die Seite wurde neu angelegt: „== Konfiguration von Source-Routen == === Einleitung === Eine Route, beschreibt den Weg, welchen ein Pakete gehen soll, um aus dem Ursprungsnetz in das gew…“

== Konfiguration von Source-Routen ==

=== Einleitung ===

Eine Route, beschreibt den Weg, welchen ein Pakete gehen soll, um aus dem Ursprungsnetz in das gewünschten Zielnetz zu kommen.

=== Default Route ===

Die Default Route legt den Weg der Pakete fest, wenn keine andere Route für die gegebene Zieladresse gefunden wird.

==== Default Route erstellen ====

Zum Erstellen einer Default Route gehen sie auf Netzwerkkonfiguration => Routing und klicken sie auf [[Bild:.adddefaultroute1.png]].

Im sich öffnenden Fenster tragen sie das Gateway ein, an welches die Pakete weitergeleitet werden sollen und legen anschließend fest, ob die Default Route für IPv6 Adressen greift.

[[Bild:.adddefaultroute2.png]]

[[Bild:.defaultroute.png]]

=== Route ===

==== Route hinzufügen ====

Um eine Route zu erstellen klicken sie unter Netzwerkkonfiguration => Routing auf [[Bild:.addroute.png]]

Im sich öffnenden Fenster legen sie die Quelle, die Gateway-IP bzw. die Gateway-Schnittstelle, das Zielnetzwerk und die Gewichtung fest.

Die Gewichtung legt fest, wie stark eine Route belastet werden soll. Die Gewichtung errechnet sich aus dem Faktor der beiden Zahlen. Eine Route mit der Gewichtung 2 wird also doppelt so stark belastet wie eine Route mit der Gewichtung 1.

Wollen sie zum Beispiel, dass alle Clienten aus der Netzadresse 192.168.0.0/24 den Weg über das Gateway 92.188.243.101 nehmen und die Clienten aus der Netzadresse 10.0.0.0/24 den Weg über das Gateway 44.231.66.94, würde die Routen so aussehen:

[[Bild:.routen1.png]]

=== Route Hint ===

Über die Schnittstellenkonfiguration unter Netzwerk => Netzwerkkonfiguration können sie zusätzlich einen Route Hint hinterlegen. Über den Route Hint können sie das Gateway der Schnittstelle definieren. Das hat zum Beispiel den Vorteil, dass Sie im Routing nur das Interface (z.B. eth2) angeben müssen und nicht direkt die Gateway-IP.

Eine Route mit Route Hint würde z.B. so aussehen:

[[Bild:.routehint.png]]

Hier sehen sie eine Default Route, die alle Pakete an den Route Hint von eth0 leitet.

Datei:.vlannetzwerkkonfig2.png

2014-03-31T13:49:26Z

Janh:

UTM/NET/VLAN v11.7

2014-03-31T13:49:05Z

Janh: /* Konfiguration eines VLAN Interface UTMV11 */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes erstellen wir die Zonen, da sie anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Loggen sie sich auf der Firewall ein und wählen sie den Reiter Netzwerk und Zoneneinstellung aus. Es erscheint ein neues Fenster in dem sie auf den [[Datei:addzone.png]] Button klicken.

Tragen sie im neuen Fenster einen aussagekräftigen Namen für die Zone ein.

[[Datei:zonevlan100.png]]

Wählen sie noch keine Schnittstelle aus, da sie noch kein VLAN Interface erstellt haben.

Für das VLAN 100 brauchen wir noch die Zone des Interfaces selbst.

[[Datei:.ifzonevlan100.png]]

Dazu legen sie erneut eine Zone an diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Zum Erstellen eines VLAN Interfeaces, wählen sie den Reiter Netzwerk und Netzwerkkonfiguration aus und klicken sie auf den [[Datei:.addvlan.png]] Button.

Im sich öffnenden Fenster geben sie im Step 1 die Schnittstelle an, auf der die VLAN Pakete ankommen und die dazugehörige VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern selbst erstellt. Als letztes geben sie der Schnittstelle noch eine IP-Adresse und wählen, ob der DHCP Server für die Schnittstelle aktiv ist. Abschließend klicken sie auf [[Datei:.weiter.png]] .

[[Datei:.addvlan100s1.png]]

Im Step 2 wählen sie die zuvor angelegten Zonen mit der STRG-Taste aus und bestätigen sie die Auswahl mit [[Datei:.fertig.png]] .

[[Datei:.addvlan100s2.png]]

Ihre Netzwerkkonfiguration könnte nun so aussehen.

[[Datei:.vlannetzwerkkonfig2.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt Allgemein sehen sie den Namen der Schnittstelle, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich können sie festlegen, ob die Schnittstelle als DHCP-Client fungiert, um sich ihre IP-Adresse automatisch vom DHCP-Server zu ziehen.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemeinvlan.png]]

==== IP-Adressen ====

Unter dem Menüpunkt IP-Adressen können sie eine oder mehrere Adressen auf eine Schnittstelle legen.

[[Bild:.ipadressenvlan.png]]

==== Zonen ====

Unter dem Menüpunkt Zonen legen sie Zonen der Schnittstelle fest. Für ein besseres Verständnis lesen sie bitte den Artikel [[Zonenkonzept|Zonenkonzept]].

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS finden sie [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle, ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Sie können zusätzlich den Intervall der Pings und die Anzahl der fehlerhaften Versuche genauer definieren.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:.allgemeinvlan.png

2014-03-31T13:47:22Z

Janh:

Datei:.ipadressenvlan.png

2014-03-31T13:46:42Z

Janh:

Datei:.zonenvlan.png

2014-03-31T13:45:58Z

Janh:

Datei:.ifqosvlan.png

2014-03-31T13:44:49Z

Janh:

Datei:Fallback settingsvlan.png

2014-03-31T13:44:19Z

Janh: