Securepoint Wiki - Benutzerbeiträge [de]

Dhcp cli v11

2018-12-12T09:45:27Z

Lukas: /* DHCP */

=DHCP =

{| border="0" {{prettytable}}
|-
! Befehl !! Beschreibung !! Beispiel
|-
| dhcp pool new || Erstellt einen neuen DHCP Pool || dhcp pool new name "dmz-pool" start "192.168.19.100" end "192.168.19.150"
|-
| dhcp pool set ||Ändert die Eigenschaften eines bestehenden DHCP Pool || dhcp pool set id "6" start "192.168.19.110"
|-
| dhcp pool get ||Auflistung der angelegten DHCP Pools || dhcp pool get
|-
| dhcp pool delete ||Löschen eines bestehenden DHCP Pool || dhcp pool delete name "dmz-pool"
|-
| dhcp lease new ||Erstellt eine neues statisches DHCP Lease || dhcp lease new host "Server" ethernet "52:54:00:12:34:91" ip "192.168.19.120"
|-
| dhcp lease set ||Ändert ein bestehendes statisches DHCP Lease || dhcp lease set id "3" host "Server" ethernet "52:54:00:12:34:91" ip "192.168.19.125"
|-
| dhcp lease get ||Auflistung der vorhandenen statischen DHCP Leases || dhcp lease get
|-
| dhcp lease delete ||Löschen eines bestehenden statischen DHCP Lease || dhcp lease delete host "Name des Lease"
|-
| dhcp lease list ||Auflistung der zugeteilten DHCP Leases || dhcp lease list
|-
| dhcp param new ||Hinzufügen von Pool Parametern default- und/oder max-lease-time|| dhcp param new pool "dmz-pool" default-lease-time "3600" max-lease-time "28800"
|-
| dhcp param set ||Ändern von Pool Parametern || dhcp param set pool "dmz-pool" default-lease-time "7200" max-lease-time "36000"
|-
| dhcp param get ||Auflistung der Pool Parameter || dhcp param get pool "dmz-pool"
|-
| dhcp param delete || Löscht die Parameter eines Pool || dhcp param delete pool "dmz-pool"
|-
| dhcp option new ||Hinzufügen neuer Pool Optionen domain-name-servers, routers, domain-name, netbios-name-servers, smtp-server || dhcp option new pool "dmz-pool" domain-name-servers "192.168.19.10" routers "192.168.19.1"
|-
| dhcp option set ||Ändern von Pool Optionen || dhcp option set pool "dmz-pool" domain-name-servers "192.168.19.12"
|-
| dhcp option get ||Auflistung der Optionen eines DHCP Pool || dhcp option get pool "dmz-pool"
|-
| dhcp option delete ||Löschen der Optionen eines DHCP Pool || dhcp option delete pool "dmz-pool"
|-
|}

Dhcp cli v11

2018-12-12T09:43:37Z

Lukas: /* DHCP */

=DHCP =

{| border="0" {{prettytable}}
|-
! Befehl !! Beschreibung !! Beispiel
|-
| dhcp pool new || Erstellt einen neuen DHCP Pool || dhcp pool new name "dmz-pool" start "192.168.19.100" end "192.168.19.150"
|-
| dhcp pool set ||Ändert die Eigenschaften eines bestehenden DHCP Pool || dhcp pool set id "6" start "192.168.19.110"
|-
| dhcp pool get ||Auflistung der angelegten DHCP Pools || dhcp pool get
|-
| dhcp pool delete ||Löschen eines bestehenden DHCP Pool || dhcp pool delete name "dmz-pool"
|-
| dhcp lease new ||Erstellt eine neues statisches DHCP Lease || dhcp lease new host "Server" ethernet "52:54:00:12:34:91" ip "192.168.19.120"
|-
| dhcp lease set ||Ändert ein bestehendes statisches DHCP Lease || dhcp lease set id "3" host "Server" ethernet "52:54:00:12:34:91" ip "192.168.19.125"
|-
| dhcp lease get ||Auflistung der vorhandenen statischen DHCP Leases || dhcp lease get
|-
| dhcp lease delete ||Löschen eines bestehenden statischen DHCP Lease || dhcp lease delete host "3"
|-
| dhcp lease list ||Auflistung der zugeteilten DHCP Leases || dhcp lease list
|-
| dhcp param new ||Hinzufügen von Pool Parametern default- und/oder max-lease-time|| dhcp param new pool "dmz-pool" default-lease-time "3600" max-lease-time "28800"
|-
| dhcp param set ||Ändern von Pool Parametern || dhcp param set pool "dmz-pool" default-lease-time "7200" max-lease-time "36000"
|-
| dhcp param get ||Auflistung der Pool Parameter || dhcp param get pool "dmz-pool"
|-
| dhcp param delete || Löscht die Parameter eines Pool || dhcp param delete pool "dmz-pool"
|-
| dhcp option new ||Hinzufügen neuer Pool Optionen domain-name-servers, routers, domain-name, netbios-name-servers, smtp-server || dhcp option new pool "dmz-pool" domain-name-servers "192.168.19.10" routers "192.168.19.1"
|-
| dhcp option set ||Ändern von Pool Optionen || dhcp option set pool "dmz-pool" domain-name-servers "192.168.19.12"
|-
| dhcp option get ||Auflistung der Optionen eines DHCP Pool || dhcp option get pool "dmz-pool"
|-
| dhcp option delete ||Löschen der Optionen eines DHCP Pool || dhcp option delete pool "dmz-pool"
|-
|}

UTM/VPN/Netmap 11.7

2018-06-26T14:33:46Z

Lukas: /* NETMAP Regel anlegen */

{{DISPLAYTITLE:NETMAP}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 
==Einleitung==
Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten. 
Weiterhin kann es passieren, dass Sie verschiedene Gegenstellen haben, hinter denen die selben Netzwerke eingerichtet sind. 
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können sie diese Verbindung trotzdem erstellen, ohne auf eine der Seiten das Subnetz komplett zu ändern.
==NATen von kompletten Subnetzen mit NETMAP==
===Vorbereitungen===
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

[[Datei:UTM115_AI_PFNOinaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.

===Zentrale und Filiale haben das selbe Subnetz===

 
[[Datei:Netmap_sz1.png|800px|center]]
 
In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.

====Netzwerkobjekte erstellen====
Erstellen Sie in der Zentrale zwei Netzwerkobjekte mit Netzwerken, die weder in der Zentrale noch in der Filiale eingerichtet sind.
[[Datei:UTM115_AI_PFNOnmrn.png|250px|thumb|right|Netzwerkobjekt Mapnetz Remote]]
Das Netzwerkobjekt für das Mapnetz der Filiale muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.

[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

Auf der Seite der Filale erstellen Sie ebenfalls zwei Objekte, nur das dort das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, sich in der Zone vpn-ipsec befindet und das Netzwerk 10.0.2.0/24 als Mapnetz der Filiale mit der Zone des internen Netzwerkes angelegt wird.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an. 
Auf der Seite der Zentrale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Filiale 
	Dienst:				Dienst der gemapt werden soll 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Zentrale

Auf der Seite der Filiale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Zentrale 
	Dienst:				Dienst der gemapt werden soll 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Map-Netzwerke eintragen.

===Mehrere Filialen haben das selbe Subnetz===
[[Datei:Netmap_sz2.png|800px|center]]
 
Hierbei wir das Mapping nur auf den Filialen eingerichtet, die das selbe Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale benötigen Sie kein Mapping wenn das interne Netz der Zentrale sich von denen der Filiale unterscheidet.

====Netzwerkobjekte erstellen====
Erstellen Sie in der '''Filiale''' zwei Netzwerkobjekte. Eines für das Mapnetz der Filiale mit einem Netzwerk, das weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt wird. 
Das zweite Objekt als ganz normales IPSec-Netzwerkobjekt der Zentrale
.
[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

[[Datei:UTM115_AI_PFNOipsecrn.png|250px|thumb|right|Netzwerkobjekt IPSec-Netz]]
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 172.31.0.0/24.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap2.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte in der '''Filiale''' eine Portfilterregel an.

	Quelle:				Internes Netzwerk 
	Ziel:					IPSec-Netz der Zentrale 
	Dienst:				Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req'' 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben. 
Achten Sie darauf, dass sie in ''Step 4 Subnetze'' auf der Filial-Seite das Netmap-Netzwerk als Lokales Netzwerk eintragen und auf der Seite der Zentrale dieses als Remote-Netzwerk.

===Portfilterregeln===
Nachdem Sie mit der NETMAP Regel die beiden Netzwerke gemappt haben, benötigen Sie nun noch Portfilterregeln die den Datenverkehr regeln.

Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
[[Datei:UTM115_AI_PFRnmvpn.png|250px|thumb|right|Portfilterregel VPN-Verbindung]]
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:

	Quelle:	Mapnetz der VPN Gegenstelle 
	Ziel:		Internes Netzwerk 
	Dienst:	ms-rdp

Hierfür benötigen Sie kein NAT vom Typ NETMAP mehr.

===Wie erreiche ich die Hosts der Gegenstelle===
Da Sie auf beiden Seiten der VPN Verbindung die selben Netwerke benutzen, müssen Sie die Hosts der Gegenstelle mit der gemappten IP-Adresse ansprechen.

In unserem Beispiel bedeutet dies folgendes: 
Einen Rechner mit der IP-Adresse 172.16.3.10 in der Filiale sprechen Sie von der Zentrale aus mit der IP-Adresse 10.0.2.10 an. 
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale sprechen Sie von der Filiale aus mit der IP-Adresse 10.0.1.120 an.

UTM/VPN/Netmap 11.7

2018-06-26T14:31:01Z

Lukas: /* NETMAP Regel anlegen */

{{DISPLAYTITLE:NETMAP}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 
==Einleitung==
Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten. 
Weiterhin kann es passieren, dass Sie verschiedene Gegenstellen haben, hinter denen die selben Netzwerke eingerichtet sind. 
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können sie diese Verbindung trotzdem erstellen, ohne auf eine der Seiten das Subnetz komplett zu ändern.
==NATen von kompletten Subnetzen mit NETMAP==
===Vorbereitungen===
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

[[Datei:UTM115_AI_PFNOinaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.

===Zentrale und Filiale haben das selbe Subnetz===

 
[[Datei:Netmap_sz1.png|800px|center]]
 
In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.

====Netzwerkobjekte erstellen====
Erstellen Sie in der Zentrale zwei Netzwerkobjekte mit Netzwerken, die weder in der Zentrale noch in der Filiale eingerichtet sind.
[[Datei:UTM115_AI_PFNOnmrn.png|250px|thumb|right|Netzwerkobjekt Mapnetz Remote]]
Das Netzwerkobjekt für das Mapnetz der Filiale muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.

[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

Auf der Seite der Filale erstellen Sie ebenfalls zwei Objekte, nur das dort das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, sich in der Zone vpn-ipsec befindet und das Netzwerk 10.0.2.0/24 als Mapnetz der Filiale mit der Zone des internen Netzwerkes angelegt wird.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an. 
Auf der Seite der Zentrale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Filiale 
	Dienst:				Nur hier eingetragene Dienste werden auch gemapt 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Zentrale

Auf der Seite der Filiale:

	Quelle:				Internes Netzwerk 
	Ziel:					Mapnetz der Zentrale 
	Dienst:				Nur hier eingetragene Dienste werden auch gemapt 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Map-Netzwerke eintragen.

===Mehrere Filialen haben das selbe Subnetz===
[[Datei:Netmap_sz2.png|800px|center]]
 
Hierbei wir das Mapping nur auf den Filialen eingerichtet, die das selbe Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale benötigen Sie kein Mapping wenn das interne Netz der Zentrale sich von denen der Filiale unterscheidet.

====Netzwerkobjekte erstellen====
Erstellen Sie in der '''Filiale''' zwei Netzwerkobjekte. Eines für das Mapnetz der Filiale mit einem Netzwerk, das weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt wird. 
Das zweite Objekt als ganz normales IPSec-Netzwerkobjekt der Zentrale
.
[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

[[Datei:UTM115_AI_PFNOipsecrn.png|250px|thumb|right|Netzwerkobjekt IPSec-Netz]]
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 172.31.0.0/24.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap2.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte in der '''Filiale''' eine Portfilterregel an.

	Quelle:				Internes Netzwerk 
	Ziel:					IPSec-Netz der Zentrale 
	Dienst:				Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req'' 
	NAT-Typ:			NETMAP 
	NAT-Netzwerkobjekt:	Mapnetz der Filiale

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben. 
Achten Sie darauf, dass sie in ''Step 4 Subnetze'' auf der Filial-Seite das Netmap-Netzwerk als Lokales Netzwerk eintragen und auf der Seite der Zentrale dieses als Remote-Netzwerk.

===Portfilterregeln===
Nachdem Sie mit der NETMAP Regel die beiden Netzwerke gemappt haben, benötigen Sie nun noch Portfilterregeln die den Datenverkehr regeln.

Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
[[Datei:UTM115_AI_PFRnmvpn.png|250px|thumb|right|Portfilterregel VPN-Verbindung]]
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:

	Quelle:	Mapnetz der VPN Gegenstelle 
	Ziel:		Internes Netzwerk 
	Dienst:	ms-rdp

Hierfür benötigen Sie kein NAT vom Typ NETMAP mehr.

===Wie erreiche ich die Hosts der Gegenstelle===
Da Sie auf beiden Seiten der VPN Verbindung die selben Netwerke benutzen, müssen Sie die Hosts der Gegenstelle mit der gemappten IP-Adresse ansprechen.

In unserem Beispiel bedeutet dies folgendes: 
Einen Rechner mit der IP-Adresse 172.16.3.10 in der Filiale sprechen Sie von der Zentrale aus mit der IP-Adresse 10.0.2.10 an. 
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale sprechen Sie von der Filiale aus mit der IP-Adresse 10.0.1.120 an.