Securepoint Wiki - Benutzerbeiträge [de]

RMA

2016-10-28T06:09:17Z

SvenjaS: Änderungswünsche von MarioR

Falls sich eine Securepoint-Hardware als defekt herausstellen sollte, beschreibt dieser Artikel, wie Sie am Besten vorgehen um eine schnelle Abwicklung des Falles zur erreichen. Grundsätzlich ist es sinnvoll, Originalverpackungen zu behalten und gerade gelieferte Geraete sofort auf mögliche Defekte zu prüfen. Letzteres ist besonders wichtig da ein Defekt, der erst beim Endkunden auffällt sehr ärgerlich sein kann. Falls der Verdacht auf einen Hardwaredefekt besteht, am Besten sofort die Seriennummer ermitteln. (Immer auf dem entsprechendem Gerät prüfen, auf dem Karton kann eine andere Seriennummer verzeichnet sein oder vielleicht wurde das Gerät sogar bereits einmal ausgetauscht)

Die Seriennummer hat folgendes Format: R1234567

* Bei einem möglichem Defekt einer Securepoint-Hardware den Hardwaresupport unter der Telefonnummer 04131 24010 kontaktieren. (Gilt z.B. auch für durch Wortmann AG gelieferte Geräte)

* Wir benötigen Angaben zum Produkttyp, Seriennummer und natürlich eine Fehlerbeschreibung. Falls das Produkt über die Wortmann AG bezogen wurde, bitte auch die Wortmann-Kundennummer bereithalten!

* Der Support wird nun versuchen, mit Ihnen den Fehler zu diagnostizieren und zu beheben

* Falls sich das Problem durch unsere Hilfe nicht lösen lässt, oder ein Hardwaredefekt festgestellt wird, kann ein Vorabaustausch (Bedingt VAT/ VOS) durch uns bei der Wortmann AG angefordert werden

* Auf Anfrage kann bei gebuchtem Vorortservice ein Techniker durch die Wortmann AG zum Einsatzort bestellt werden um eine Diagnose oder Reparatur durchzuführen. Auf jeden Fall ist es möglich, bei gebuchtem Vorortservice innerhalb von 24h ein Ersatzteil oder gar ein Austauschgerät zu erhalten.

* Ohne VAT/ VOS ist nur das Versenden von Ersatzteilen oder das Einschicken zur Reparatur an Wortmann möglich

* Je nach Defekt veranlassen wir den Versand des Ersatzteils oder Ersatzgerätes an die von Ihnen angegebenen Adresse

* Falls nichts Anderes vereinbart wurde, muss das defekte Gerät an die Firma Wortmann versendet werden! Bitte erstellen Sie einen Lieferschein mit Angaben zu dem Geraet und einer Fehlerbeschreibung, damit beim Transport oder der Warenannahme keine Probleme auftreten! Bei aelteren Geraeten bitte auch eine Kopie der Kundenrechnung beilegen, damit der gueltige Garantiezeitraum korrekt erfasst werden kann. Falls das Austauschgerät oder das Ersatzteil bereits durch die Wortmann AG geliefert wurde, bitte zusätzlich auch eine Kopie des Lieferscheins beilegen, um die Zuordnung zum RMA-Auftrag zu erleichtern. Wegen der Versandkosten wenden Sie sich bitte an Ihren zuständigen Ansprechpartner.

* Adresse: Wortmann AG Retoure, Bredenhop 20, 32609 Hüllhorst

UTM/NET/VLAN-Switch v11.7

2015-11-17T10:18:28Z

SvenjaS: /* UTM Konfigurieren */

== Einleitung ==

In diesem Abschnitt wird am Beispiel eines Netgear Switches und einer UTM v11 erklärt, wie zwei logisch getrennte [[Glossar#VLAN|VLAN]]'s konfiguriert werden.

[[Datei:vlanueberblick.png]]

== Switch konfigurieren ==

Um den Switch für VLAN zu konfigurieren, muss dessen Weboberfläche aufgerufen werden. Dort befindet sich unter dem Menüpunkt ''VLAN'' die Option ''Add new VLAN''.
Hier wird als VLAN ID die "100" angelegt und die Ports bestimmt, welche dem 100er VLAN angehören sollen.
Damit die UTM VLAN Pakete versenden kann, wird Port 1 als Mitglied von VLAN 100 eingestellt. Dieser versieht von nun an von ihm ausgehende Pakete mit einem VLAN Tag. Die Ports 6 und 7 sind auch Mitglieder, jedoch werden hier ausgehende Pakete nicht getaggt.

[[Datei:vlansettings100.png]]

Nun wird das VLAN 200 eingerichtet.

[[Datei:vlansettings200.png]]

Als letztes wird unter ''PVID Setting'' festgelegt, welche Ports eingehende Pakete taggen sollen.
Hier werden Pakete, welche an Port 6 und 7 eingehen, mit der VLAN ID 100 getaggt. Die Ports 10, 11 und 12 werden mit der VLAN ID 200 getaggt.

[[Datei:pvidsettings.png]]

== UTM Konfigurieren ==

Um die UTM einzurichten werden zwei VLAN-Schnittstellen benötigt, auf denen jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes werden hierfür die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung einer Schnittstelle angelegt werden.

=== Zonen erstellen ===

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster sollte ein aussagekräftigen Namen für die Zone eingetragen werden.

[[Datei:UTM115_ai_Zh_zoneVLAN.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch keine VLAN-Schnittstelle erstellt wurde.

Für das VLAN 100 wird noch die Zone der Schnittstelle selbst benötigt.

[[Datei:UTM115_ai_Zh_zoneVLAN-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben ''INTERFACE''-Zonen den Vorsatz ''firewall-''.

Nun werden zwei weitere Zonen für das VLAN 200 nach dem selben Prinzip erstellt.

=== VLAN Interface anlegen ===

Das Erstellen einer VLAN-Schnittstelle erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID (hier: 100). Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addvlan100s1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt.

[[Datei:.addvlan100s2.png]]

Diese Schritte werden wiederholt, um das VLAN mit der ID 200 anzulegen.

Die Netzwerkkonfiguration sollte nun folgendermaßen aussehen:

[[Datei:.vlannetzwerkkonfig.png]]

UTM/NET/VLAN v11.7

2015-11-17T08:40:39Z

SvenjaS:

== VLAN Schnittstelle anlegen ==

Für die Konfiguration einer VLAN-Schnittstelle, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Schnittstelle benötigt werden. Ab der Version 11.5 können die benötigten Zonen direkt bei der Erstellung der Schnittstelle angelegt werden.

=== Zonen erstellen ===

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zoneVLAN.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch keine VLAN-Schnittstelle erstellt wurde.

Für das VLAN 100 wird noch die Zone der Schnittstelle selbst benötigt.

[[Datei:UTM115_ai_Zh_zoneVLAN-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben ''INTERFACE''-Zonen den Vorsatz ''firewall-''.

=== VLAN-Schnittstelle erstellen ===

Das Erstellen einer VLAN-Schnittstelle erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID (hier: 100). Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für die Schnittstelle (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende VLAN-Konfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

== VLAN Schnittstelle bearbeiten ==

=== Allgemein ===

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

=== IP-Adressen ===

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

=== Zonen ===

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:UTM115_ai_Sb_VLAN_zonen.png]]

=== QoS ===

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_VLAN_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

=== Fallback ===

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann das Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:UTM115_ai_Sb_VLAN_fallb.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-11-13T12:55:55Z

SvenjaS:

== Ethernet Schnittstelle anlegen ==

=== Zonen erstellen ===

Für das Anlegen einer Ethernet-Schnittstelle müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung einer Schnittstelle angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch keine Ethernet-Schnittstelle erstellt wurde.

Es wird noch die Zone für die Schnittstelle selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben INTERFACE-Zonen den Vorsatz ''firewall-''.

=== Ethernet Schnittstelle erstellen ===

Das Erstellen einer Ethernet-Schnittstelle erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die gewünschte IP Adresse angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für die Schnittstelle (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

== Ethernet Schnittstelle bearbeiten ==

Die Konfiguration einer Ethernet-Schnittstelle erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

=== Allgemein ===

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

=== Einstellungen ===

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur die Schnittstelle (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

=== IP-Adressen ===

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

=== Zonen ===

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keiner Schnittstelle zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einer Schnittstelle zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

=== DynDNS ===

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die z. B. nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

=== QoS ===

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

=== Fallback ===

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Haupt-Schnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann das Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-11-13T12:31:58Z

SvenjaS:

== Ethernet Schnittstelle anlegen ==

=== Zonen erstellen ===

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

=== Ethernet Schnittstelle erstellen ===

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

== Ethernet Schnittstelle bearbeiten ==

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

=== Allgemein ===

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

=== Einstellungen ===

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

=== IP-Adressen ===

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

=== Zonen ===

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

=== DynDNS ===

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

=== QoS ===

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

=== Fallback ===

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann das Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/USB Booten v11.7

2015-11-10T15:44:52Z

SvenjaS: /* Booten von USB-Datenträgern der RC-Serie */

[[kategorie:UTMv11]]

== Allgemeines ==

In diesem Artikel wird beschrieben, wie man eine Appliance der RC-Serie von einem USB-Datenträger booten kann. Der USB-Datenträger sollte zum Beispiel mit dem Firmeneigenen [http://download.securepoint.de/?d=imagingtool Imaging-Tool] auf diesen Einsatz vorbereitet werden.

Die RC-Serie verfügt teilweise über ein UEFI (Unified Extensible Firmware Interface). Als Besonderheit löscht das UEFI automatisch Bootmedien aus der Bootreihenfolge, sobald diese beim Systemstart nicht mehr gefunden werden und setzt das erste gefundene Bootmedium permanent an die erste Stelle in der Bootreihenfolge. Somit wird die Appliance nicht automatisch von einem gerade eingesteckten USB-Stick starten.

Bevor die Appliance gestartet wird, sollte folgendes angeschlossen sein: ein Monitor über VGA-Kabel, eine USB-Tastatur und der vorbereitete USB-Datenträger. Als letztes wird die Stromverbindung hergestellt.

Das Erscheinungsbild des UEFI-Menüs kann von den hier gezeigten Bildern abweichen.

==RC100/RC200==

Beim Starten der Appliance wird durch Drücken der ''Entf''-Taste das BIOS-Menü aufgerufen.
Dort sollte im Reiter ''Standard CMOS Setup'' das Datum und die Uhrzeit überprüft werden (Sommerzeit -2 Stunde, Winterzeit -1 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Im Reiter ''Advanced BIOS Features Setup'' kann nun die Boot-Reihenfolge manuell festgelegt werden. Es sollte folgendes gesetzt werden:
* First Boot-Device = USB-ZIP
* Second Boot-Device = USB-Device
* Third Boot-Device = Hard Disk

Danach wird das BIOS-Menü über den Menü-Punkt ''Save and Exit'' sicher verlassen. Die Appliance startet nun neu und sollte vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im BIOS-Menü erneut überprüft werden.

==RC300/RC400/RC700==

Beim Starten der Appliance wird durch Drücken der ''F2''-Taste das UEFI-Menü aufgerufen. Im Reiter ''Main'' sollte das Datum und die Uhrzeit überprüft werden (Sommerzeit -2 Stunde, Winterzeit -1 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Unter ''Save & Exit'' den Menü-Punkt ''Restore Defaults'' auswählen und mit ''Y'' bestätigen. (Achtung: Das Tastaturlayout ist hier amerikanisch. Das ''Y'' und das ''Z'' sind also vertauscht.)

[[Datei:Screen_RC300_UEFI_boot.png]]

Danach wird im Reiter ''Boot'' unter dem Menü-Punkt ''Boot Option Priorities'' die Boot-Reihenfolge festgelegt. Dazu den Punkt ''Hard Drive BBS Priorities'' auswählen. Im neuen Fenster mit ''Enter'' den USB-Datenträger als ''Boot Option #1'' setzen. Die ''Boot Option #2'' sollte nun automatisch mit der internen Festplatte belegt sein.

Mit ''Esc'' gelangt man zurück in das Boot-Menü. Auch hier sollte nun die neue Boot-Reihenfolge zu sehen sein.

Nun sollten noch einige weitere Einstellungen kontrolliert werden. Im Reiter ''Advanced'' ''->'' ''Info Report Configuration'' und ''Serial Port Console Redirection'' und im Reiter ''Chipset'' ''->'' ''PCH-IO Configuration'' ''->'' ''LAN Configuration'' sollten alle Einstellungen auf ''Disabled'' stehen. Das ermöglicht zum Beispiel den Betrieb der Appliance ohne Tastatur.

Zu guter Letzt wird im Reiter ''Save & Exit'' der Punkt ''Save Changes and Reset'' ausgewählt und mit ''Y'' bestätigt. Nun sollte die Appliance nach dem Neustart vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im UEFI-Menü erneut überprüft werden.

[[Datei:Screen_RC300_UEFI_saveexit.png]]

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-10T13:31:48Z

SvenjaS: /* SSL Konfiguration */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Diese IP dient uns als Transfernetzwerk. Es ist wichtig einen IP Beriech zu vergeben der noch nicht, auf den Firewalls, vergeben ist!
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

'''Bitte beachten Sie, dass Sie ab Windows 10 die zweier Versionen unseres SSLVPN-Clients benötigen. Der Download steht auf [http://my.securepoint.de my.securepoint.de] für Sie bereit. Bitte beachten Sie ebenfalls, dass Sie die TAP Treiber, mit Administratorenrechten, mit der zweier Versionen installieren.'''

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:35:37Z

SvenjaS: /* SSL-VPN-Verbindung als Client herstellen */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

'''Bitte beachten Sie, dass Sie ab Windows 10 die zweier Versionen unseres SSLVPN-Clients benötigen. Der Download steht auf [http://my.securepoint.de my.securepoint.de] für Sie bereit. Bitte beachten Sie ebenfalls, dass Sie die TAP Treiber, mit Administratorenrechten, mit der zweier Versionen installieren.'''

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:33:02Z

SvenjaS: /* Benutzer und Gruppen anlegen */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:31:21Z

SvenjaS: /* Regelwerk */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:28:55Z

SvenjaS: /* SSL Konfiguration */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:25:58Z

SvenjaS: /* Zertifikate */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]

'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''

*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2015-11-09T15:25:03Z

SvenjaS: /* Zertifikate */

{{v11}}
=== Einleitung ===
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].
===An der Appliance anmelden===

[[Datei:Loginv11.png|thumb|180px|Login Dialog]]
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
:Bsp.: https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure

===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
 
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]
'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einem User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam das jeder VPN-User sein eigenes Zertifikat hat.'''
*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
 

=== SSL Konfiguration===

[[Datei:SSL-1.png|thumb|240px|]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Klicken Sie auf weiter
 
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig

[[Datei:SSL-be.png|thumb|240px|]]
 
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).

 
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
 

===Regelwerk===

[[Datei:SSL-Implizite-Regeln.png|thumb|240px|]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.

 
[[Datei:SSLObjekt.png|thumb|240px|]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes.

 
[[Datei:SSL-Regel.png|thumb|240px|]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.

 

===Benutzer und Gruppen anlegen===

[[Datei:SSL-Gruppe.png|thumb|240px|]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten.

[[Datei:SSL-Gruppen-Einstellung.png|thumb|240px|]]
 
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle

 Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
 

===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:SSL-Userinterface.png|thumb|240px|]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.

Bsp.: https://192.168.175.1
oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

UTM/NET/VLAN-Switch v11.7

2015-11-06T15:12:49Z

SvenjaS: /* Zonen erstellen */

== Einleitung ==

In diesem Abschnitt wird am Beispiel eines Netgear Switches und einer UTM v11 erklärt, wie zwei logisch getrennte [[Glossar#VLAN|VLAN]]'s konfiguriert werden.

[[Datei:vlanueberblick.png]]

== Switch konfigurieren ==

Um den Switch für VLAN zu konfigurieren, muss dessen Weboberfläche aufgerufen werden. Dort befindet sich unter dem Menüpunkt ''VLAN'' die Option ''Add new VLAN''.
Hier wird als VLAN ID die "100" angelegt und die Ports bestimmt, welche dem 100er VLAN angehören sollen.
Damit die UTM VLAN Pakete versenden kann, wird Port 1 als Mitglied von VLAN 100 eingestellt. Dieser versieht von nun an von ihm ausgehende Pakete mit einem VLAN Tag. Die Ports 6 und 7 sind auch Mitglieder, jedoch werden hier ausgehende Pakete nicht getaggt.

[[Datei:vlansettings100.png]]

Nun wird das VLAN 200 eingerichtet.

[[Datei:vlansettings200.png]]

Als letztes wird unter ''PVID Setting'' festgelegt, welche Ports eingehende Pakete taggen sollen.
Hier werden Pakete, welche an Port 6 und 7 eingehen, mit der VLAN ID 100 getaggt. Die Ports 10, 11 und 12 werden mit der VLAN ID 200 getaggt.

[[Datei:pvidsettings.png]]

== UTM Konfigurieren ==

Um die UTM einzurichten werden zwei VLAN Interfaces benötigt, auf denen jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden. Als erstes werden hierfür die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

=== Zonen erstellen ===

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster sollte ein aussagekräftigen Namen für die Zone eingetragen werden.

[[Datei:UTM115_ai_Zh_zoneVLAN.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zoneVLAN-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

Nun werden zwei weitere Zonen für das VLAN 200 nach dem selben Prinzip erstellt.

=== VLAN Interface anlegen ===

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addvlan100s1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt.

[[Datei:.addvlan100s2.png]]

Diese Schritte werden wiederholt, um das VLAN mit der ID 200 anzulegen.

Die Netzwerkkonfiguration sollte nun folgendermaßen aussehen:

[[Datei:.vlannetzwerkkonfig.png]]

Datei:UTM115 ai Zh zoneVLAN-interface.png

2015-11-06T15:11:12Z

SvenjaS:

Datei:UTM115 ai Zh zoneVLAN.png

2015-11-06T15:10:28Z

SvenjaS:

UTM/NET/VLAN v11.7

2015-11-06T11:33:28Z

SvenjaS: /* Fallback */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende VLAN-Konfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:UTM115_ai_Sb_VLAN_zonen.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_VLAN_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:UTM115_ai_Sb_VLAN_fallb.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb VLAN fallb.png

2015-11-06T11:33:05Z

SvenjaS:

UTM/NET/VLAN v11.7

2015-11-06T11:30:37Z

SvenjaS: /* QoS */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende VLAN-Konfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:UTM115_ai_Sb_VLAN_zonen.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_VLAN_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb VLAN QOS.png

2015-11-06T11:30:15Z

SvenjaS:

UTM/NET/VLAN v11.7

2015-11-06T11:23:12Z

SvenjaS: /* Zonen */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende VLAN-Konfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:UTM115_ai_Sb_VLAN_zonen.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb VLAN zonen.png

2015-11-06T11:21:22Z

SvenjaS:

UTM/NET/VLAN v11.7

2015-11-06T11:20:10Z

SvenjaS: /* VLAN Schnittstelle erstellen */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende VLAN-Konfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/VLAN v11.7

2015-11-06T11:19:23Z

SvenjaS: /* IP-Adressen */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende Netzwerkkonfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_VLAN_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb VLAN IP.png

2015-11-06T11:19:01Z

SvenjaS:

UTM/NET/VLAN v11.7

2015-11-06T11:17:18Z

SvenjaS: /* Allgemein */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende Netzwerkkonfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_VLAN_allg.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressenvlan.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb VLAN allg.png

2015-11-06T11:16:49Z

SvenjaS:

UTM/NET/Ethernet v11.7

2015-11-06T08:50:54Z

SvenjaS: /* Ethernet Schnittstelle erstellen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann das Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/VLAN v11.7

2015-11-06T08:50:12Z

SvenjaS: /* VLAN Schnittstelle erstellen */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:UTM115_ai_Zh_VLAN_Step1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt. Alternativ können ab der Version 11.5 die benötigten Zonen in diesem Schritt angelegt werden. Dazu muss der Haken bei ''Neue Zone Hinzufügen'' gesetzt und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:UTM115_ai_Zh_VLAN_Step2.png]]

Die resultierende Netzwerkkonfiguration könnte wie folgt aussehen:

[[Datei:UTM115_ai_Nk_VLAN.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemeinvlan.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressenvlan.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Nk VLAN.png

2015-11-06T08:33:37Z

SvenjaS:

Datei:UTM115 ai Zh VLAN Step2.png

2015-11-06T08:32:03Z

SvenjaS:

Datei:UTM115 ai Zh VLAN Step1.png

2015-11-06T08:30:54Z

SvenjaS:

UTM/USB Booten v11.7

2015-11-05T15:31:49Z

SvenjaS: /* RC300/RC400/RC700 */

[[kategorie:UTMv11]]

==Booten von USB-Datenträgern der RC-Serie==

=== Allgemeines ===

In diesem Artikel wird beschrieben, wie man eine Appliance der RC-Serie von einem USB-Datenträger booten kann. Der USB-Datenträger sollte zum Beispiel mit dem Firmeneigenen [http://download.securepoint.de/?d=imagingtool Imaging-Tool] auf diesen Einsatz vorbereitet werden.

Die RC-Serie verfügt teilweise über ein UEFI (Unified Extensible Firmware Interface). Als Besonderheit löscht das UEFI automatisch Bootmedien aus der Bootreihenfolge, sobald diese beim Systemstart nicht mehr gefunden werden und setzt das erste gefundene Bootmedium permanent an die erste Stelle in der Bootreihenfolge. Somit wird die Appliance nicht automatisch von einem gerade eingesteckten USB-Stick starten.

Bevor die Appliance gestartet wird, sollte folgendes angeschlossen sein: ein Monitor über VGA-Kabel, eine USB-Tastatur und der vorbereitete USB-Datenträger. Als letztes wird die Stromverbindung hergestellt.

Das Erscheinungsbild des UEFI-Menüs kann von den hier gezeigten Bildern abweichen.

===RC100/RC200===

Beim Starten der Appliance wird durch Drücken der ''Entf''-Taste das BIOS-Menü aufgerufen.
Dort sollte im Reiter ''Standard CMOS Setup'' das Datum und die Uhrzeit überprüft werden (Sommerzeit -2 Stunde, Winterzeit -1 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Im Reiter ''Advanced BIOS Features Setup'' kann nun die Boot-Reihenfolge manuell festgelegt werden. Es sollte folgendes gesetzt werden:
* First Boot-Device = USB-ZIP
* Second Boot-Device = USB-Device
* Third Boot-Device = Hard Disk

Danach wird das BIOS-Menü über den Menü-Punkt ''Save and Exit'' sicher verlassen. Die Appliance startet nun neu und sollte vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im BIOS-Menü erneut überprüft werden.

===RC300/RC400/RC700===

Beim Starten der Appliance wird durch Drücken der ''F2''-Taste das UEFI-Menü aufgerufen. Im Reiter ''Main'' sollte das Datum und die Uhrzeit überprüft werden (Sommerzeit -2 Stunde, Winterzeit -1 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Unter ''Save & Exit'' den Menü-Punkt ''Restore Defaults'' auswählen und mit ''Y'' bestätigen. (Achtung: Das Tastaturlayout ist hier amerikanisch. Das ''Y'' und das ''Z'' sind also vertauscht.)

[[Datei:Screen_RC300_UEFI_boot.png]]

Danach wird im Reiter ''Boot'' unter dem Menü-Punkt ''Boot Option Priorities'' die Boot-Reihenfolge festgelegt. Dazu den Punkt ''Hard Drive BBS Priorities'' auswählen. Im neuen Fenster mit ''Enter'' den USB-Datenträger als ''Boot Option #1'' setzen. Die ''Boot Option #2'' sollte nun automatisch mit der internen Festplatte belegt sein.

Mit ''Esc'' gelangt man zurück in das Boot-Menü. Auch hier sollte nun die neue Boot-Reihenfolge zu sehen sein.

Nun sollten noch einige weitere Einstellungen kontrolliert werden. Im Reiter ''Advanced'' ''->'' ''Info Report Configuration'' und ''Serial Port Console Redirection'' und im Reiter ''Chipset'' ''->'' ''PCH-IO Configuration'' ''->'' ''LAN Configuration'' sollten alle Einstellungen auf ''Disabled'' stehen. Das ermöglicht zum Beispiel den Betrieb der Appliance ohne Tastatur.

Zu guter Letzt wird im Reiter ''Save & Exit'' der Punkt ''Save Changes and Reset'' ausgewählt und mit ''Y'' bestätigt. Nun sollte die Appliance nach dem Neustart vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im UEFI-Menü erneut überprüft werden.

[[Datei:Screen_RC300_UEFI_saveexit.png]]

UTM/USB Booten v11.7

2015-11-05T15:31:26Z

SvenjaS: /* RC100/RC200 */

[[kategorie:UTMv11]]

==Booten von USB-Datenträgern der RC-Serie==

=== Allgemeines ===

In diesem Artikel wird beschrieben, wie man eine Appliance der RC-Serie von einem USB-Datenträger booten kann. Der USB-Datenträger sollte zum Beispiel mit dem Firmeneigenen [http://download.securepoint.de/?d=imagingtool Imaging-Tool] auf diesen Einsatz vorbereitet werden.

Die RC-Serie verfügt teilweise über ein UEFI (Unified Extensible Firmware Interface). Als Besonderheit löscht das UEFI automatisch Bootmedien aus der Bootreihenfolge, sobald diese beim Systemstart nicht mehr gefunden werden und setzt das erste gefundene Bootmedium permanent an die erste Stelle in der Bootreihenfolge. Somit wird die Appliance nicht automatisch von einem gerade eingesteckten USB-Stick starten.

Bevor die Appliance gestartet wird, sollte folgendes angeschlossen sein: ein Monitor über VGA-Kabel, eine USB-Tastatur und der vorbereitete USB-Datenträger. Als letztes wird die Stromverbindung hergestellt.

Das Erscheinungsbild des UEFI-Menüs kann von den hier gezeigten Bildern abweichen.

===RC100/RC200===

Beim Starten der Appliance wird durch Drücken der ''Entf''-Taste das BIOS-Menü aufgerufen.
Dort sollte im Reiter ''Standard CMOS Setup'' das Datum und die Uhrzeit überprüft werden (Sommerzeit -2 Stunde, Winterzeit -1 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Im Reiter ''Advanced BIOS Features Setup'' kann nun die Boot-Reihenfolge manuell festgelegt werden. Es sollte folgendes gesetzt werden:
* First Boot-Device = USB-ZIP
* Second Boot-Device = USB-Device
* Third Boot-Device = Hard Disk

Danach wird das BIOS-Menü über den Menü-Punkt ''Save and Exit'' sicher verlassen. Die Appliance startet nun neu und sollte vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im BIOS-Menü erneut überprüft werden.

===RC300/RC400/RC700===

Beim Starten der Appliance wird durch Drücken der ''F2''-Taste das UEFI-Menü aufgerufen. Im Reiter ''Main'' sollte das Datum und die Uhrzeit überprüft werden (Sommerzeit -1 Stunde, Winterzeit -2 Stunden). Für viele Anwendungen ist eine korrekt eingestellte Zeit zur Kommunikation mit anderen Appliances oder Diensten wichtig.

Unter ''Save & Exit'' den Menü-Punkt ''Restore Defaults'' auswählen und mit ''Y'' bestätigen. (Achtung: Das Tastaturlayout ist hier amerikanisch. Das ''Y'' und das ''Z'' sind also vertauscht.)

[[Datei:Screen_RC300_UEFI_boot.png]]

Danach wird im Reiter ''Boot'' unter dem Menü-Punkt ''Boot Option Priorities'' die Boot-Reihenfolge festgelegt. Dazu den Punkt ''Hard Drive BBS Priorities'' auswählen. Im neuen Fenster mit ''Enter'' den USB-Datenträger als ''Boot Option #1'' setzen. Die ''Boot Option #2'' sollte nun automatisch mit der internen Festplatte belegt sein.

Mit ''Esc'' gelangt man zurück in das Boot-Menü. Auch hier sollte nun die neue Boot-Reihenfolge zu sehen sein.

Nun sollten noch einige weitere Einstellungen kontrolliert werden. Im Reiter ''Advanced'' ''->'' ''Info Report Configuration'' und ''Serial Port Console Redirection'' und im Reiter ''Chipset'' ''->'' ''PCH-IO Configuration'' ''->'' ''LAN Configuration'' sollten alle Einstellungen auf ''Disabled'' stehen. Das ermöglicht zum Beispiel den Betrieb der Appliance ohne Tastatur.

Zu guter Letzt wird im Reiter ''Save & Exit'' der Punkt ''Save Changes and Reset'' ausgewählt und mit ''Y'' bestätigt. Nun sollte die Appliance nach dem Neustart vom USB-Datenträger booten. Ist das nicht der Fall, so sollten die Einstellungen im UEFI-Menü erneut überprüft werden.

[[Datei:Screen_RC300_UEFI_saveexit.png]]

UTM/NET/VLAN v11.7

2015-10-30T13:24:10Z

SvenjaS: /* Zonen erstellen */

== Konfiguration eines VLAN Interface UTMV11 ==

=== VLAN Schnittstelle anlegen ===

Für die Konfiguration eines VLAN Interfaces, auf dem jeweils zwei [[Zonenkonzept|Zonen]] gebunden werden, werden als erstes die Zonen erstellt, da diese anschließend bei der Erstellung der Interfaces benötigt werden.

==== Zonen erstellen ====

Um die Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung'' ausgewählt. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird der Zone ein aussagekräftiger Name zugewiesen.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein VLAN Interface erstellt wurde.

Für das VLAN 100 wird noch die Zone des Interfaces selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Hierfür wird eine neue Zone angelegt, diesmal jedoch mit dem Flag ''INTERFACE''.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== VLAN Schnittstelle erstellen ====

Das Erstellen eines VLAN-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:.addvlan.png]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' die Schnittstelle angegeben, auf der die VLAN Pakete ankommen, inclusive der dazugehörigen VLAN ID. Der Name der Schnittstelle wird aus diesen beiden Parametern automatisch erstellt. Als letztes wird der Schnittstelle noch eine IP-Adresse zugewiesen und ausgewählt, ob der DHCP Server für diese Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addvlan100s1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt und die Auswahl mit [[Datei:.fertig.png]] bestätigt.

[[Datei:.addvlan100s2.png]]

Die resultierende Netzwerkkonfiguration könnte wie folgt aussehen:

[[Datei:.vlannetzwerkkonfig2.png]]

=== VLAN Schnittstelle bearbeiten ===

==== Allgemein ====

Unter dem Menüpunkt ''Allgemein'' ist der Name der Schnittstelle einsehbar, die Schnittstelle auf der das VLAN gelegt wurde und die dazugehörige VLAN ID.

Die MTU, Maximum Transmission Unit, gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.
Bei aktivierter Autonegotiation verhandelt die Schnittstelle ihre MTU Größe selbst.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemeinvlan.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressenvlan.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' können die Zonen der Schnittstelle festgelegt werden. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonenvlan.png]]

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqosvlan.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallback-Schnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settingsvlan.png]]

Da Fallback ein umfangreicheres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:43:52Z

SvenjaS: /* Fallback */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann das Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:41:38Z

SvenjaS: /* QoS */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:UTM115_ai_Sb_QOS.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:40:18Z

SvenjaS: /* DynDNS */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

[[Bild:UTM115_ai_Sb_DYNDNS.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:34:35Z

SvenjaS: /* Zonen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

Wichtig: Wird die Zone ''internal'' keinem Interface zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann '''nicht''' mehr auf das Webinterface zugegriffen werden! Daher sollte die Zone ''internal'' immer einem Interface zugeordnet sein.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:30:23Z

SvenjaS: /* Zonen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt.

[[Bild:UTM115_ai_Sb_zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:28:38Z

SvenjaS: /* IP-Adressen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:UTM115_ai_Sb_IP.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:27:09Z

SvenjaS: /* Einstellungen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:UTM115_ai_Sb_einst.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:24:29Z

SvenjaS: /* Allgemein */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement (RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:UTM115_ai_Sb_allg.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:12:54Z

SvenjaS: /* Ethernet Schnittstelle erstellen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:Utm115_ai_Sh_ethstep1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt. Alternativ können ab der Versoin 11.5 die benötigten Zonen direkt angelegt werden. Dazu muss der Haken bei ''Zone Hinzufügen'' gesetzt werden und der gewünschte Zonenname eingegeben werden. Die dazugehörige Zone für das Interface (firewall-) wird automatisch generiert und braucht nicht angegeben zu werden.

[[Datei:Utm115_ai_Sh_ethstep2.png]]

Danach die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

UTM/NET/Ethernet v11.7

2015-10-30T08:03:45Z

SvenjaS: /* Zonen erstellen */

== Konfiguration eines Ethernet Interface UTMV11 ==

=== Ethernet Schnittstelle anlegen ===

==== Zonen erstellen ====

Für das Anlegen eines Ethernet-Interfaces müssen die dazugehörigen Zonen ([[Zonenkonzept |Zonenkonzept]]) existieren. Diese Zonen können entweder vorab oder seit der Version 11.5 im Assistenten für die Erstellung eines Interfaces angelegt werden.

Um eine Zonen zu erstellen ist es notwendig, eine Administrator-Anmeldung an der Firewall durchzuführen. Anschließend wird der Reiter ''Netzwerk'' '''=>''' ''Zoneneinstellung ausgewählt''. Es erscheint ein neues Fenster, in welchem die [[Datei:addzone.png]] Schaltfläche betätigt wird.

Im neuen Fenster wird ein aussagekräftiger Name für die Zone eingegeben.

[[Datei:UTM115_ai_Zh_zone.png]]

Es darf noch keine Schnittstelle ausgewählt werden, da noch kein Ethernet Interface erstellt wurde.

Für die Ethernetschnittstelle wird noch die Zone für das Interface selbst benötigt.

[[Datei:UTM115_ai_Zh_zone-interface.png]]

Dazu wird erneut eine Zone angelegt, diesmal jedoch mit dem Flag INTERFACE.

Hinweis: Typischerweise haben Interface-Zonen den Vorsatz ''firewall-''.

==== Ethernet Schnittstelle erstellen ====

Das Erstellen eines Ethernet Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch das Betätigen der [[Datei:addeth.png|80px]] Schaltfläche.

Im sich öffnenden Fenster wird in '''Step 1''' der Namen der Schnittstelle und die IP Adresse des Interface angegeben. Als letztes wird die Einstellung getroffen, ob der DHCP Server für die Schnittstelle aktiv sein soll. Abschließend wird dies mit [[Datei:.weiter.png]] quittiert.

[[Datei:.addeths1.png]]

In '''Step 2''' werden die zuvor angelegten Zonen mit der STRG-Taste ausgewählt

[[Datei:.addeths2.png]]

und die Auswahl mit der Schaltfläche [[Datei:.fertig.png]] bestätigt.

=== Ethernet Schnittstelle bearbeiten ===

Die Konfiguration eines Ethernet-Interfaces erfolgt unter dem Reiter ''Netzwerk'' '''=>''' ''Netzwerkkonfiguration'' durch Betätigen der [[Bild:.bearbeiten.png]] Schaltfläche.

==== Allgemein ====

Unter dem Menüpunkt Allgemein ist der Name der Schaltfläche einsehbar, die gerade bearbeitet wird.

Zusätzlich kann festgelegt werden, ob die Schnittstelle als DHCP-Client fungiert, um ihre IP-Adresse automatisch von einem DHCP-Server zu erhalten.

Per Router Advertisement(RA) verkünden Router ihre Anwesenheit im Netz. Dies geschieht periodisch oder auf Router Solicitation Anfragen (RS-Request).

[[Bild:.allgemein.png]]

==== Einstellungen ====

Unter dem Menüpunkt ''Einstellungen'' wird im ersten Feld die MTU festgelegt. Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann.

Zusätzlich kann noch die Geschwindigkeit und die Richtungsabhängigkeit der Schnittstelle festgelegt werden.

Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur das Interface (z.B. eth2) angeben werden muss und nicht direkt die Gateway-IP.

[[Bild:.einstellungen.png]]

==== IP-Adressen ====

Unter dem Menüpunkt ''IP-Adressen'' können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

[[Bild:.ipadressen.png]]

==== Zonen ====

Unter dem Menüpunkt ''Zonen'' werden die Zonen der Schnittstelle festgelegt. Zum besseren Verständnis befindet sich im Wiki [[Zonenkonzept|Zonenkonzept]] ein entsprechender Artikel.

[[Bild:.zonen.png]]

==== DynDNS ====

Unter dem Menüpunkt ''DynDNS'' kann der Schnittstelle, die nur über eine dynamische IP verfügt, ein Domain-Namen zugewiesen werden, über den die Schnittstelle erreichbar ist. Securepoint bietet kostenfrei einen Dynamic DNS Service namens [http://www.spdns.de SPDNS] an.

Eine Beispielkonfiguration sieht dann folgendermaßen aus:

[[Bild:.dyndns.png]]

Weitergehende Informationen zum Thema SPDNS befinden sich unter [[SPDNS_FAQ|SPDNS FAQ]].

==== QoS ====

Quality of Service limitiert die Bandbreite einer kompletten Schnittstelle.

[[Bild:.ifqos.png]]

Weitergehende Informationen zum Thema QoS befinden sich [[Portfilter_Beschreibung_UTMV11#QoS|hier]].

==== Fallback ====

Eine Fallbackschnittstelle ist eine Schnittstelle, die bei Fehlfunktion der Hauptschnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check eines Hosts. Zusätzlich kann der Intervall des Pings und die Anzahl der fehlerhaften Versuche genauer definiert werden.

[[Bild:Fallback settings.png]]

Da Fallback ein größeres Thema ist, wurde dies in einem eigenen [[Fallback|Beitrag]] beschrieben.

Datei:UTM115 ai Sb fallb.png

2015-10-30T08:00:07Z

SvenjaS:

Datei:UTM115 ai Sb QOS.png

2015-10-30T07:59:16Z

SvenjaS:

Datei:UTM115 ai Sb DYNDNS.png

2015-10-30T07:57:32Z

SvenjaS:

Datei:UTM115 ai Sb zonen.png

2015-10-30T07:56:27Z

SvenjaS:

Datei:UTM115 ai Sb IP.png

2015-10-30T07:55:13Z

SvenjaS: