UTM/NET/Servereinstellungen: Unterschied zwischen den Versionen

Aktuelle Version vom 12. Februar 2026, 14:18 Uhr

Globale Eigenschaften der UTM

Letzte Anpassung zur Version: 14.1.2 (02.2026)

Neu:

Hinweis zu den aktuellen Zertifikats-Anforderungen hinzugefügt
Es können mehrere NTP Server hinterlegt werden (v14.1.0)

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0 12.6 12.2 11.6.12 11.7

notempty

Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt

Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt

HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!

Unsichere Zertifikate sollten dringend ausgetauscht werden!
Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung

Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus

OpenVPN

Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S)

Clientzertifikat bei S2S

ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten)

Mailrelay

Relaying "Zertifikat" (unter TLS Verschlüsselung als Server)

Reverse-Proxy

Einstellungen → SSL-Zertifikat

Webserver

Netzwerk → Serveinstellungen → Webserver → Zertifikat

HTTP-Proxy

SSL-Interception → CA-Zertifikat

Beschriftung	Wert	Beschreibung	Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Servereinstellungen
Firewall Firewall
Firewallname:		Full Qualified Domain Name-Konformer Firewallname. Hier wird festgelegt, wie sich die UTM gegenüber Anfragen meldet. Wenn das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den FQDN des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können. Auslesen: `extc global get variable "GLOB_HOSTNAME"` Setzen: `extc global set variable "GLOB_HOSTNAME" value "utm.firma.local"`
Globaler Ansprechpartner:		In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse:		Hier wird eine E-Mail-Adresse eingetragen, an die Mails gesendet werden können, die ansonsten nicht zustellbar sind. Andernfalls verbleiben nicht zustellbare Mails auf dem Festplattenspeicher, was dazu führen kann, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden können. Ab Version v12.4.2 muss hier eine E-Mail Adresse hinterlegt sein. Andernfalls starten Mailconnector und Proxy nicht! Beim Login wird ggf. eine globale E-Mail-Adresse verlangt. notemptyDie Globale E-Mail Adresse ist ebenfalls die Postmasteradresse für das Mailrelay. Auslesen: `extc global get variable "GLOB_ADMIN_EMAIL"` Setzen: `extc global set variable "GLOB_ADMIN_EMAIL" value "utm-admin@ttt-point.de"`
Sprache der Berichte:	Deutsch	Sprache, in der Berichte der UTM versendet werden. Alternativ zur Auswahl: Englisch
DNS-Server DNS-Server
Nameserver vor lokalem Cache prüfen:	Aus (Default)	Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1) als primärer Nameserver. Bei Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
Primärer Nameserver: Sekundärer Nameserver:		An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll. Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind. notempty Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Zeiteinstellungen Zeiteinstellungen
Aktuelles Datum:	2020-20-32 25:00:20	Die aktuelle Uhrzeit kann auch von Hand eingetragen werden. Aktualisiert die Anzeige. Im Zusammenspiel von Servern, VPN-Verbindungen und im Besonderen bei der OTP-Authentifizierung ist es wichtig, dass alle Komponenten zeitlich synchronisiert sind.
NTP-Server: notemptyaktualisiert: Mehrere Einträge möglich	»ntp.securepoint.de	Die gewünschten NTP-Server können hier eintragen werden. Das Eintragen einer IP-Adresse kann Probleme mit DNS over TLS und DNSSEC vermeiden.
Zeitzone:	Europe/Berlin	Korrekte Zeitzone
Webserver Webserver
Wird der Port für das Admin oder das User-Interface auf einen Well-Known Port gelegt (Ports 0-1023) kann der Zugriff durch den Browser gesperrt werden! Ein Zugriff kann trotzdem möglich sein: Der Start von z.B. Google Chrome oder Edge erfolgt mit dem Start-Parameter --explicitly-allowed-ports=xyz Für Firefox wird in der Konfiguration (about:config in der Adresszeile) unter network.security.ports.banned.override eine String-Variable mit dem Wert des freizugebenden Ports angelegt. Es ist möglich für chromiumbasierte Browser eine zeitlich befristete Richtlinie zu erstellen, die die Verwendung ermöglicht. Hiervon wird aus Sicherheitsgründen dringend abgeraten! Fehlermeldung in Chome / Edge: ERR_UNSAFE_PORT Fehlermeldung im Firefox: Fehler: Port aus Sicherheitsgründen blockiert
Administration Webinterface Port:	11115	Port zum erreichen des Administrations-Interfaces (das z.B. verwendet um die im Bild gezeigte Webseite anzuzeigen. Im Auslieferungszustand: 192.168.175.1:11115
User Webinterface Port:	443	Port zum erreichen des User-Interfaces. Hierüber erfolgt z.B. der Zugang zu gefilterten Mails und VPN-Konfigurationen. notempty Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) für den Reverse-Proxy genutzt wird. notempty Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) weitergeleitet wird.
Zertifikat:		Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat Ohne ein dediziert ausgewähltes Zertifikat wird das Default-Zertifikat der UTM verwendet, das von der Default-CA ausgestellt wurde: firewall.foo.local Soll die UTM vom Browser mit einem gültigen Zertifikat erkannt werden, ist folgendermaßen vorzugehen: Eine CA erstellen ( Authentifizierung Zertifikate Bereich CA Schaltfläche CA hinzufügen) Den öffentlichen Teil der CA exportieren Zertifikat erstellen Bereich Zertifikate Als CA die CA wählen, die in Schritt 2 exportiert wurde Alias DNS FQDN - Name der UTM , wie unter Netzwerk Firewall Bereich Servereinstellungen Abschnitt Firewall Feld Firewallname: eingetragen Es sind jeweils mehrere Einträge möglich! Alias IP IP-Adresse IP-Adresse unter der UTM erreicht werden kann. Es sind jeweils mehrere Einträge möglich! Das soeben erstellte Zertifikat unter Netzwerk Servereinstellungen Bereich Servereinstellungen Abschnitt Webserver Zertifikat: auswählen Die exportierte CA im Browser als Zertifizierungsstelle importieren Es können auch ACME-Zertifikate genutzt werden.
Erweiterte Einstellungen Erweiterte Einstellungen
Maximale aktive Verbindungen:	32000	Maximale Anzahl aktiver Verbindungen zur UTM. Dazu zählen unter anderem: Webinterface SMTP SSH
Last-Rule-Logging:	SHORT -Drei Einträge pro Minute protokollieren	Die Last-Rule-Logging Einstellung regelt die Anzahl der Meldungen, die im Syslog geschrieben werden. NONE - nicht protokollieren SHORT -Drei Einträge pro Minute protokollieren : Es werden nur die ersten drei Logmeldungen je Minute angezeigt. LONG - Alles protokollieren notempty Wir empfehlen, die Einstellung auf short zu lassen.

@@ Zeile 1: / Zeile 1: @@
-{{DISPLAYTITLE:Servereinstellungen}}
+{{Set_lang}}
-== Informationen ==
-Letze Anpassung zur Version: '''11.7'''
-<br>
-Bemerkung: Designanpassung
-<br>
-Vorherige Versionen: [[UTM/NET/Servereinstellungen_v11.6 | 11.6.12]]
-<br>
-== Einleitung ==
+{{#vardefine:headerIcon|spicon-utm}}
-Im Bereich Servereinstellungen sind alle globalen Eigenschaften der UTM zu finden.
-==Servereinstellungen konfigurieren==
+{{:UTM/NET/Servereinstellungen.lang}}
-===Firewall===
-[[Datei:Utm_servereinstellungen01.PNG|400px|thumb|right|Servereinstellungen - Firewall]]
-<br>
-'''Firewallname:'''
-Hier geht es darum, wie sich die UTM gegenüber anfragen meldet. Wenn zum Beispiel das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den Full Qualified Domain Name (FQDN) des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können.<br />
-'''Globaler Ansprechpartner:'''
-In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, welcher später in den UTM Fehlermeldungen für Rückfragen angegeben wird.<br />
-'''Globale E-Mail Adresse:'''
-Hier wird eine E-Mail-Adresse eingetragen, an die Mails gesendet werden können, die ansonsten nicht zustellbar sind.
-Andernfalls verbleiben nicht zustellbare Mails auf dem Festplattenspeicher, was dazu führen kann, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
-<div style="clear: both;"></div>
-<div>
-<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
-<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Globale E-Mail Adresse ist ebenfalls die Postmasteradresse für das Mailrelay.</span></div>
-</div>
-<div style="clear: both;"></div>
-===DNS-Server===
-[[Datei:Utm_servereinstellungen02.PNG|400px|thumb|right|Servereinstellungen - DNS Server]]
-<br>
-An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
-Weiterhin kann hier aktiviert werden, dass die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen sollen.
-<div style="clear: both;"></div>
-<div>
-<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
-<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.</span></div>
-</div>
-<div style="clear: both;"></div>
-===Zeiteinstellungen===
+{{var	| neu--Zertifikate-deprecated
-[[Datei:Utm_servereinstellungen03.PNG|400px|thumb|right|Servereinstellungen - Zeiteinstellungen]]
+		| Hinweis zu den [[#deprecated|aktuellen Zertifikats-Anforderungen]] hinzugefügt
-<br>
+		|  }}
-Im Zusammenspiel von Servern, VPN-Verbindungen und im Besonderen bei der OTP-Authentifizierung ist es wichtig, dass alle Komponenten zeitlich synchronisiert sind.<br />
+{{var	| neu--Mehrere NTP Server
-Daher kann in diesem Abschnitt Datum und Uhrzeit eingestellt, der gewünschten NTP-Server eintragen und die passende Zeitzone gewählt werden.
+		| Es können mehrere [[#Zeiteinstellungen|NTP Server]] hinterlegt werden
-<div style="clear: both;"></div>
+		| Several [[#Zeiteinstellungen|NTP server]] can be stored }}
-===Webserver===
+</div><div class="new_design"></div>{{Select_lang}}{{TOC2}}
-[[Datei:Utm_servereinstellungen04.PNG|400px|thumb|right|Servereinstellungen - Webserver]]
+{{Header|14.1.2|
-<br>
+* {{#var:neu--Zertifikate-deprecated}}
-In den Webserver Einstellungen werden die Ports für die Administrations- und User Weboberfläche eingetragen. Die Standardports sind folgende:
+* {{#var:neu--Mehrere NTP Server}} <small>(v14.1.0)</small>
-*Administration Port 11115
+| [[UTM/NET/Servereinstellungen_v14.0 | 14.0]]
-* User Port 443
+[[UTM/NET/Servereinstellungen_v12.6 | 12.6]]
-<div style="clear: both;"></div>
+[[UTM/NET/Servereinstellungen_v12.2 | 12.2]]
+[[UTM/NET/Servereinstellungen_v11.6 | 11.6.12]]
-<div>
+[[UTM/NET/Servereinstellungen_v11.7 | 11.7]]
-<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
+|{{Menu-UTM|Netzwerk|Servereinstellungen|{{#var:Servereinstellungen}} }}
-<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) für den Reverse-Proxy genutzt wird.</span></div>
+}}
-</div>
+----
-<div style="clear: both;"></div>
+{| class="sptable2 pd5 zh1 Einrücken"
+<div class="Einrücken"><span id=deprecated><p>{{Zertifikate-deprecated}}</p></span></div>
-<div>
+! {{#var:cap}} !! {{#var:Wert}} !! {{#var:desc}}
-<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
+| class="Bild" rowspan="14" | {{Bild| {{#var:server--konfig--bild}} |{{#var:Servereinstellungen}}||{{#var:Servereinstellungen}}|{{#var:Netzwerk}}|icon=fa-save}}
-<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) weitergeleitet wird.</span></div>
+|- class="Leerzeile"
-</div>
+| {{h4|Firewall|{{Kasten|Firewall}} }}
-<div style="clear: both;"></div>
+|-
+| {{b|{{#var:Firewallname}} }} || {{ic||class=available}} || {{hover|FQDN|Full Qualified Domain Name}}-{{#var:fqdn}}<br>
-===Erweiterte Einstellungen===
+{{#var:firewallname--desc}}<br>
-[[Datei:Utm_servereinstellungen05.PNG|400px|thumb|right|Servereinstellungen - Erweiterte Einstellungen]]
+{{Einblenden| {{#var:Firewall Namen per CLI setzen}} | {{#var:hide}} |dezent tolltip}}
-<br>
+{{#var:Firewall Namen per CLI setzen--desc}}
-In den Erweiterten Einstellungen kann eingestellt werden, wieviele maximale aktive Verbindungen zur UTM zugelassen werden. Dazu zählen unter anderem
+</div></div></span>
-*Webinterface
+|-
-*SMTP
+| {{b|{{#var:Globaler Ansprechpartner}} }} || {{ic||class=available}} || {{#var:Globaler Ansprechpartner--desc}}
-*SSH
+|-
-Die Last-Rule-Logging Einstellung regelt die Anzahl der Meldungen, die im Syslog geschrieben werden.
+| <span id=cli_globmail></span>{{b|{{#var:Globale E-Mail Adresse}} }} || {{ic||class=available}} || {{#var:global-mail--desc}}<br> {{Einblenden2|{{#var:Hinweis zu Versionen}}|{{#var:ausblenden}}|true|dezent tolltip|{{#var:Hinweis Globale Mailadresse}} }}<p>{{Hinweis-box|{{#var:global-mail--hinweis}}|g}}</p>
-* none = Es wird nichts geloggt.
+{{Einblenden| {{#var:Globale E-Mail Adresse per CLI setzen}} | {{#var:hide}} |dezent tolltip}}
-* short = Es werden nur die ersten drei Logmeldungen angezeigt.
+{{#var:Globale E-Mail Adresse per CLI setzen--desc}}
-* long =  Es werden alle Logmeldungen angezeigt.
+</div></div></span>
-<div style="clear: both;"></div>
+|-
-<div>
+| {{b|{{#var:sprache-berichte}} }} || {{ic|{{#var:de}}|dr|class=available}} || {{#var:sprache-berichte--desc}} {{ic|{{#var:en}}|dr}}
-<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
+|- class="Leerzeile"
-<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Wir empfehlen, die Einstellung auf short zu lassen.</span></div>
+| {{h4|DNS-Server| {{Kasten|DNS-Server }} }}
-</div>
+|-
-<div style="clear: both;"></div>
+| {{b|{{#var:nameserver-check}} }} || {{ButtonAus|{{#var:Aus}} }} <small>(Default)</small> || {{#var:nameserver-check--desc}}
+|-
+| {{b|{{#var:Primärer Nameserver}} }}<br><br> {{b|{{#var:Sekundärer Nameserver}} }} || {{ic| |class=available}}<br><br> {{ic| |class=available}} || {{#var:nameserver--desc}}<br>
+<li class="list--element__alert list--element__positiv">{{#var:nameserver--hinweis--extern}}</li>
+{{Hinweis-box| {{#var:nameserver--hinweis--dns}}|g}}
+|- class="Leerzeile"
+| colspan="3" | {{h4|{{#var:Zeiteinstellungen}} | {{Kasten|{{#var:Zeiteinstellungen}} }} }}
+|-
+| {{b|{{#var:Aktuelles Datum}} }} || {{ic|2020-20-32 25:00:20 |class=available}} || {{#var:Zeiteinstellungen--datum--desc}}<br> {{Button||refresh}} {{#var:Zeiteinstellungen--refresh}}<li class="list--element__alert list--element__warning">{{#var:Zeiteinstellungen--hinweis}}</li>
+|-
+| {{b|NTP-Server:}}<br> {{Hinweis-box|{{#var:aktualisiert}}: {{#var:Zeiteinstellungen--ntp--neu}}|gr|12.8.0|status=update}} || class=mw9 | {{ic|{{cb|ntp.securepoint.de}}|cb|class=available}} || {{#var:Zeiteinstellungen--ntp--desc}}<li class="list--element__alert list--element__positiv">{{#var:Zeiteinstellungen--ntp-Hinweis}}</li>
+|-
+| {{b|{{#var:Zeitzone}} }} || {{ic|Europe/Berlin|dr|class=available}} ||  {{#var:Zeitzone--desc}}
+|- class="Leerzeile"
+| colspan="3" | {{h4|Webserver| {{Kasten|Webserver}} }}
+|- class="Leerzeile"
+| colspan="3" | <span id="nowellknown"></span>{{:UTM/No-well-Known-Ports-for-Webinterface}}
+|-
+| {{b|{{#var:Webserver--admin-port}} }} || {{ic|11115|c|w=100px}} || {{#var:Webserver--admin-port--desc }}
+|-
+| {{b|User Webinterface Port:}} || {{ic|443|c|w=100px}} || {{#var:Webserver--user-port--desc}}<br> {{Hinweis-box| {{#var:Webserver--hinweis--reverse-proxy}} }}<br> {{Hinweis-box| {{#var:Webserver--hinweis--weiterleitung}}|g}}
+|-
+| {{b|{{#var:Zertifikat}} }} || {{ic| |dr|class=available}} || <p>{{Zertifikate-deprecated|1=info}}</p>{{#var:Zertifikat--desc}}
+<li class="list--element__alert list--element__positiv">{{#var:ACME-Zertifikat}}</li>
+|- class="Leerzeile"
+| colspan="3" | {{h4|{{#var:Erweitert}} |{{Kasten|{{#var:Erweitert}} }} }}
+|-
+| {{b|{{#var:erweitert--max}} }} || {{ic|32000|c}} || {{#var:erweitert--max--desc}}
+|-
+| {{b|Last-Rule-Logging:}} || {{Button|{{#var:erweitert--last-rule--short}} |dr}} || {{#var:erweitert--last-rule--desc}}
+* {{Button|{{#var:erweitert--last-rule--none}} |dr}}
+* {{Button| {{#var:erweitert--last-rule--short}} |dr}}: {{#var:erweitert--last-rule--short--desc}}
+* {{Button| {{#var:erweitert--last-rule--long}} |dr}}
+{{Hinweis-box| {{#var:erweitert--last-rule--hinweis}}|g}}
+|}