Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
 
(24 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint Unified Threat Management FAQ}}
{{Set_lang}}
== Allgemein ==
 
'''Die Zugangsdaten zur UTM sind nicht mehr bekannt. Kann das Passwort zurückgesetzt werden? '''
{{#vardefine:headerIcon|fal fa-question}}
Nein, Passwörter von Benutzern auf der UTM können ohne administrativen Zugriff nicht zurückgesetzt werden. Das UTM-System muss durch eine Neu-Installation in Werkseinstellung gebracht werden. Nach Rücksicherung der Konfiguration der UTM kann das Passwort angepasst werden.
{{:UTM/FAQ.lang}}
<div>
 
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<!-- FAQ Vorlage
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Für diesen Vorgang wird ein Backup der aktuellen Konfiguration benötigt. </span></div>
 
{{h3|{{#var:}} }}
'''{{#var:--Frage}}'''
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:--Antwort}}
|w=7em|m=1em}}
</div>
 
-->
 
 
</div>{{TOC2}}{{Select_lang}}
{{Header|07.2022|
<p>
* {{#var:neu--SIP-Helper}}</p>
* {{#var:neu--MAC-Adresse bestimmen}}
* {{#var:neu--Interface umbenennen}}
}}
----
 
<div class="FAQ">
== {{#var:Allgemein}} ==
<li class="list--element__bullet">{{h3|{{#var:Zugangsdaten}} }}{{#var:Zugangsdaten--Frage}}</li>
<div class="Einrücken">
{{cl | {{Whitebox|{{#var:Antwort}} }} |{{#var:Zugangsdaten--Antwort}} |w=7em|m=1em }}{{a|3}}
{{cl|  {{Whitebox|{{#var:Lösung}} }} | {{#var:Zugangsdaten--Lösung}} <br>{{Hinweis| ! {{#var:Zugangsdaten--Hinweis}} }} |w=7em|m=1em}}
</div>
 
 
 
<li class="list--element__bullet">{{h3|{{#var:Ersteinrichtung}} }}{{#var:Ersteinrichtung--Frage}}</li>
<div class="Einrücken">
{{cl|  {{Whitebox|{{#var:Antwort}} }} | {{#var:Ersteinrichtung--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:CLI-Befehle}} }}{{#var:CLI-Befehle--Frage}}</li>
<div class="Einrücken">
{{cl|  {{Whitebox|{{#var:Antwort}} }} | {{#var:CLI-Befehle--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:Durchsatzraten}} }}{{#var:Durchsatzraten--Frage}}</li>
<div class="Einrücken">
{{cl|  {{Whitebox|{{#var:Antwort}} }} | {{#var:Durchsatzraten--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:SNMP}} }}{{#var:SNMP--Problem}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Ursache}} }} | {{#var:SNMP--Ursache}}
|w=7em|m=1em}}
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:SNMP--Lösung}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:SIM PIN}} }}{{#var:SIM PIN--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:SIM PIN--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:UTM Image}} }}{{#var:UTM Image--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:UTM Image--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:Zertifikate konvertieren}} }}{{#var:Zertifikate konvertieren--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:Zertifikate konvertieren--Antwort}}
|w=7em|m=1em}}
</div>
</div>
<div style="clear: both;"></div>




'''Gibt es eine Dokumentation der CLI-Befehle?'''
<li class="list--element__bullet">{{h3|{{#var:speedport}} }}{{#var:speedport--Problem}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Ausgangslage}} }}| {{#var:speedport--Ausgangslage}}
|w=7em|m=1em}}


Ja, die CLI-Befehle sind mit Beispielen im [[UTM/EXTRAS/CLI | Wiki ]] dokumentiert.
{{cl| {{Whitebox|{{#var:Erklärung}} }} | {{#var:speedport--Erklärung}}
|w=7em|m=1em}}


'''Gibt es Angaben zu den Durchsatzraten der unterschiedlichen Appliances?'''
{{cl| {{Whitebox|{{#var:Ursache}} }} | {{#var:speedport--Ursache}}
|w=7em|m=1em}}


Eine Übersicht ist auf [https://www.securepoint.de/produkte/utm-firewalls.html#appliances www.securepoint.de] zu finden.
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:speedport--Lösung}}{{a|4}}
|w=7em|m=1em}}
</div>


'''Was ist bei der Nutzung mehrerer Internet-Verbindungen und VOIP-Anschlüssen zu beachten?'''


Die TK-Anlage muss fest über eine Internet-Leitung geleitet werden.
<li class="list--element__bullet">{{h3|{{#var:PPPoE2Router}} }}{{#var:PPPoE2Router--Frage}}</li>
Die Registrierung über verschiedene IP-Adressen kann zu Problemen führen.
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:PPPoE2Router--Antwort}}
|w=7em|m=1em}}
</div>


'''Servereinstellungen können aufgrund fehlenden SNMP Eintrag nicht gespeichert werden.'''


Nach einem Update auf die Version 11.7.3 kann es bei Änderungen in den Servereinstellungen dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird.
<li class="list--element__bullet">{{h3|{{#var:PPPoE-Zugangsdaten}} }}{{#var:PPPoE-Zugangsdaten--Frage}}</li>
Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden.
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:PPPoE-Zugangsdaten--Antwort}}
|w=7em|m=1em}}
</div>


'''Wie kann die Abfrage der SIM PIN deaktiviert werden?'''


Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden.
<li class="list--element__bullet">{{h3| {{#var:LOAD}} }}{{#var:LOAD--Frage}}</li>
Dies ist [[UTM/NET/Mobile#SIM_PIN_entfernen | hier]] beschrieben.
<div class="Einrücken">
{{cl|  {{Whitebox|{{#var:Antwort}} }} | {{#var:LOAD--Antwort}} |w=7em|m=1em}}
</div>


'''Wie kann das UTM Image neu auf eine UTM installiert werden?'''
Das ist in diesem Artikel beschrieben. -> [[UTM/USB_Booten | Installation / Update vom USB-Stick]]


==  Netzwerk ==


'''Was ist bei der Umstellung der Internet-Verbindung von einer PPPoE-Verbindung auf eine Router-Verbindung zu beachten?'''
== {{#var:Netzwerk}} ==


[[UTM/FAQ/Umstellung_PPPoE_Ethernet | Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang]]
<li class="list--element__bullet">{{h3|{{#var:Netzwerktraffic}} }}{{#var:Netzwerktraffic--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:Netzwerktraffic--Antwort}}
|w=7em|m=1em}}
</div>


'''Können die PPPoE-Zugangsdaten ausgelesen werden?'''


Ja, das Auslesen ist über das CLI-Kommando 'interface get' möglich.
<li class="list--element__bullet">{{h3|{{#var:IPSec Verbindung}} }}{{#var:IPSec Verbindung--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:IPSec Verbindung--Antwort}}
|w=7em|m=1em}}
</div>


'''Wie kann der Netzwerktraffic ausgewertet werden?'''


Der Netzwerktraffic kann unter anderem über die Webinterface Widgets ausgewertet werden.
<li class="list--element__bullet">{{h3|{{#var:S2S-Kommunikation}} }}{{#var:S2S-Kommunikation--Frage}}</li>
Mit einem SSH-Programm und dem Benutzer "root" stehen noch folgende Möglichkeiten zur Verfügung.
<div class="Einrücken">
<pre>iftop -i $Schnittstelle</pre>
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:S2S-Kommunikation--Antwort}}
oder
|w=7em|m=1em}}
<pre>vnstat</pre>
</div>


'''Meine Site-to-Site Verbindung steht, aber ich habe keinen Traffic.'''


Wenn bei einer Site-to-Site Verbindung die Kommunikation nicht erfolgt, sollte zunächst geprüft werden ob der transparente HTTP-Proxy die Pakete abfängt oder ob Regeln für die jeweiligen Netzwerke vorhanden sind.
<li class="list--element__bullet">{{h3|{{#var:HTTPS-Filter}} }}{{#var:HTTPS-Filter--Problem}}</li>
Bei einer IPSec Verbindung kann in den Impliziten Regeln ein globales Accept und die Option "Kein NAT für IPSec Verbindungen" aktiviert werden. Hierfür werden dann keine weiteren Regeln benötigt.
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Ursache}} }} | {{#var:HTTPS-Filter--Ursache}}
|w=7em|m=1em}}


Es kann aber auch sein, dass das Ziel nicht auf Pakete aus fremden Netzwerken antwortet, hierfür muss entweder die Firewall des Ziel angepasst werden oder aber eine Regel mit einem Hide Nat auf das internal-interface gesetzt werden. Dann werden die Pakete von der VPN Verbindung kommend mit der IP-Adresse des Internal Interface genattet und das Ziel nimmt diese ggf. an.
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:HTTPS-Filter--Lösung}}
|w=7em|m=1em}}
</div>


Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.


Beispiel für ein tcpdump auf der Schnittstelle eth1, wobei man die IP-Adressen und Ports sieht und Pakete mit dem Protokoll 1 (ICMP Echo Request) filtert.
<li class="list--element__bullet">{{h3|{{#var:Lancom-Router}} }}{{#var:Lancom-Router--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:Lancom-Router--Antwort}}
|w=7em|m=1em}}
</div>


<pre>tcpdump -i eth1 -nnp proto 1</pre>


'''Meine IPSec Verbindung baut sich nicht auf'''
<li class="list--element__bullet">{{h3|{{#var:Interface umbenennen}} }}{{#var:Interface umbenennen--Frage}}</li>
<div class="Einrücken">
{{cl| 1={{Whitebox| {{#var:Lösung}} }} | 2={{#var:Interface umbenennen--per CLI}} |w=7em|m=1em}}
<div class="Einrücken2">
'''1.''' {{#var:Interface umbenennen--ID ermitteln}}
<div class="Einrücken1"><pre style="font-family: revert;">interface get
id |name |type |flags |qos |zones |options |adi |state
156|A0.7 |VLAN | | | |vlan_id=7,vlan_parent=A0 |mac=00:01:02:03:04:05,mtu=1500 |UP
</pre>
</div>
'''2.''' {{#var:Interface umbenennen--Namen anpassen}}
<div class="Einrücken1"><pre style="font-family: revert;">interface rename id 156 name A99.7</pre></div>
'''3.''' {{#var:Prüfung}}
<div class="Einrücken1"><pre style="font-family: revert;">interface get
id |name |type |flags |qos |zones |options |adi |state
156|A99.7 |VLAN | | | |vlan_id=7,vlan_parent=A0 |mac=00:01:02:03:04:05,mtu=1500 |UP
</pre>
</div></div>
</div>


1. Prüfen ob die Empfehlungen eingehalten wurden -> [[UTM/VPN/%C3%9Cbersicht#Site_to_Site_VPN_Verbindungen | IPSec S2S Empfehlungen]]<br>
2. Die Logmeldungen im Livelog überprüfen -> [[UTM/VPN/IPSec-Troubleshooting | IPSec Troubleshooting]]<br>
3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?<br>
4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen<br>
<pre>tcpdump -i eth0 -nnp host $IP-Adresse des Remote Gateway</pre>


'''HTTP-Webseiten werden vom Webfilter gefiltet, HTTPS nicht'''
{{h3|{{#var:MAC-Adresse bestimmen}} }}
'''{{#var:MAC-Adresse bestimmen--Frage}}'''
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:MAC-Adresse bestimmen--Antwort}}
|w=7em|m=1em}}
</div>


Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen. Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)


== Firewall ==  
{{h3|{{#var:iTunes zulassen}} }}
'''{{#var:iTunes zulassen--Frage}}'''
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:iTunes zulassen--Antwort}}
|w=7em|m=1em}}
</div>


'''Wie können die SIP-Helper entladen werden?'''


Das entladen ist nur über das CLI möglich. Folgende Befehle sind dafür auszuführen:  
== {{#var:Firewall}} ==


''debug kmod unload module nf_nat_sip'' <br>
<li class="list--element__bullet">{{h3|{{#var:SIP-Helper}} }}{{#var:SIP-Helper--Frage}}</li>
''debug kmod unload module nf_conntrack_sip''
<div class="Einrücken">
{{cl| 1={{Whitebox|{{#var:Antwort}} }} | 2={{#var:SIP-Helper--Antwort}}<p>{{#var:kmod_desc}}
<li class="list--element__alert list--element__hint">{{#var:SIP-Helper laden--Antwort}}</li></p>
|w=7em|m=1em}}
</div>


==  Authentifizierung ==


'''Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung 'Failed to join domain: failed to set machine spn: Constraint violation' angezeigt.'''


Das Computer-Konto der UTM ist aus dem Active Directory zu löschen. Danach kann die UTM erneut in das Active Directory eingebunden werden.
== {{#var:Authentifizierung}} ==


== Update ==
<li class="list--element__bullet">{{h3| {{#var:SSL-VPN mit OTP}} }}{{#var:SSL-VPN mit OTP--Problem}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Ursache}} }} |
{{#var:SSL-VPN mit OTP--Ursache}} |w=7em|m=1em}}


'''Warum erhält die UTM das Online-Update nicht direkt nach der Freigabe des Updates?'''
{{cl| 1={{Whitebox|{{#var:Lösung}} }} | 2=
{{#var:SSL-VPN mit OTP--Lösung}}
<li class="list--element__alert list--element__hint">{{#var:SSL-VPN mit OTP--Hinweis}}</li>
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var:AD-Join}} }}{{#var:AD-Join--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:AD-Join--Antwort}}
|w=7em|m=1em}}
</div>
 
 
<li class="list--element__bullet">{{h3|{{#var: LDAP-Mailadressen}} }}{{#var: LDAP-Mailadressen--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var: LDAP-Mailadressen--Antwort}}
|w=7em|m=1em}}
</div>
 
 
 
== {{#var:Update}} ==


Die Verteilung der Firmware-Updates der UTM erfolgt über einen längeren Zeitraum. Der genauer Zeitraum ist in der Ankündigung im Support-Forum ersichtlich. In dieser Vorgang erfolgt automatisiert und kann nicht manuell beeinflusst werden.
<li class="list--element__bullet">{{h3|{{#var:Online-Update}} }}{{#var:Online-Update--Frage}}</li>
<div class="Einrücken">
{{cl| {{Whitebox|{{#var:Antwort}} }} | {{#var:Online-Update--Antwort}}
|w=7em|m=1em}}


Die UTM kann über eine Update-Image jederzeit manuell aktualisiert werden.
{{cl| {{Whitebox|{{#var:Lösung}} }} | {{#var:Online-Update--Lösung}}
|w=7em|m=1em}}
</div>
 
 
</div>

Aktuelle Version vom 19. Januar 2023, 10:31 Uhr






























De.png
En.png
Fr.png








FAQ
Letzte Anpassung: 07.2022
Neu:

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-

Allgemein

  • Zugangsdaten

    Die Zugangsdaten zur UTM sind nicht mehr bekannt. Kann das Passwort zurückgesetzt werden?
  • Antwort

    Nein. Passwörter von Benutzern auf der UTM können ohne administrativen Zugriff nicht zurückgesetzt werden.

    Lösung

    Das UTM-System muss durch eine Neu-Installation in Werkseinstellung gebracht werden.
    Nach Rücksicherung der Konfiguration der UTM kann das Passwort angepasst werden.
    Für diesen Vorgang wird ein Backup der aktuellen Konfiguration benötigt.


  • Ersteinrichtung

    Was ist vor der Ersteinrichtung zu empfehlen?
  • Antwort

    Wir empfehlen unser aufgezeichnetes Webinar Gutes Netzwerkdesign und sichere Firewall Konfiguration. Außerdem haben wir eine UTM Firewall Basisschulung (Silver Level), welche regelmäßig stattfindent. Eine Übersicht mit den nächsten Terminen ist auf der Startseite der Securepoint Akademie zu finden.


  • CLI-Befehle

    Gibt es eine Dokumentation der CLI-Befehle?
  • Antwort

    Ja, die CLI-Befehle sind mit Beispielen im Wiki dokumentiert.


  • Durchsatzraten

    Gibt es Angaben zu den Durchsatzraten der unterschiedlichen Appliances?
  • Antwort

    Eine Übersicht ist auf securepoint.de zu finden.


  • Servereinstellungen werden nicht gespeichert

    Servereinstellungen können aufgrund fehlenden SNMP Eintrag nicht gespeichert werden.
  • Ursache

    Nach einem Update von einer Version < 11.7.3 kann es bei Änderungen in den Servereinstellungen dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird.
    Lösung

    Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden.


  • SIM PIN--Abfrage deaktivieren

    Wie kann die Abfrage der SIM PIN deaktiviert werden?
  • Antwort

    Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden.
    Dies ist hier beschrieben.


  • UTM Image installieren

    Wie kann das UTM Image auf einer UTM installiert werden?
  • Antwort

    Das ist in einem eigenen Artikel beschrieben: Installation / Update vom USB-Stick


  • Zertifikate konvertieren

    Wie kann ein Zertifikat konvertiert werden?
  • Antwort

    • Konvertierung DER (.crt .cer .der) zu PEM: openssl x509 -inform der -in certificate.cer -out certificate.pem
    • Konvertierung PEM zu DER: openssl x509 -outform der -in certificate.pem -out certificate.der
    • Konvertierung PKCS#12 (.pfx .p12) mit Private Key und Zertifikaten zu PEM: openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
    • Konvertierung PEM mit Private Key zu PKCS#12 (.pfx .p12): openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Mit -nocerts wird nur der Private key ausgegeben

    Mit -nokeys wird nur das Zertifikat ausgegeben.


  • Ungewollter Aufruf von speedport.ip

    HTTP-Seiten werden auf speedport.ip umgeleitet
  • Ausgangslage

    Es wird versucht eine Website aufzurufen, entweder von einem Benutzer im Browser oder auch durch einen Dienst (Bspl: Securepoint AV baut eine http/https Verbindung zu den Lizenzservern auf) und es wird auf „speedport.ip“ umgeleitet. Diese Seite gibt aber nur einen DNS-Resolve Error zurück.
    Erklärung

    Speedport-Router übermitteln „Wichtige“ Nachrichten, wie z.B. „Volumen aufgebraucht“ oder auch „neues Update vorhanden“, über eine interne Website auf die aller http/https Traffic umgeleitet wird bis die Nachricht bestätigt wurde.
    Ursache

    Wenn der Speedport als Router vor der Securepoint hängt wird im Normalfall ein Transfernetz zwischen dem Speedport und der Securepoint aufgebaut sein. Wenn nun der Speedport eine „Nachricht“ hat und somit allen http/https Traffic auf seine interne Seite umleitet, bekommen die Clients aus dem internen Netz der UTM nur einen DNS-Resolve Error bei der Umleitung, da das interne Netz der Securepoint die interne Seite des Speedport nicht auflösen kann.
    Lösung

    Für diese Problematik gibt es zwei Lösungswege:
    • Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen.
    • Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig:
      • Unter → Anwendungen →NameserverReiter Zonen Schaltfläche Foreward-Zone hinzufügen muss eine Forward-Zone mit folgenden Einstellungen hinzugefügt werden:
        • Zonenname: speedport.ip
        • Nameserver Hostname: ns
        • IP-Adresse:     Den Nameserver wollen wir selber stellen.
      • Die soeben angelegte Foreward-Zone muss anschließend noch bearbeitet werden:
        • Unter Einträge findet sich nun ein Typ NS mit dem Wert ns. Der Punkt hinter dem ns muss entfernt werden.
      • Nun müssen noch zwei A-Records angelegt werden:
        • 1. A-Record: Eintrag hinzufügen
          • Name: ns
          • Typ: A
          • Wert: IP des internal-interface
            Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann.
            Dies funktioniert nur wenn die Clients die Securepoint UTM als DNS-Server eingetragen haben.
        • 2. A-Record: Eintrag hinzufügen
          • Name: speedport.ip.
          • Typ: A
          • Wert: IP des Speedports Routers.
    Nun kann die Seite des Speedports auch aus dem internen Netz aufgelöst werden.


  • PPPoE auf Router Verbindung umstellen

    Was ist bei der Umstellung der Internet-Verbindung von einer PPPoE-Verbindung auf eine Router-Verbindung zu beachten?
  • Antwort

    Zur Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang gibt es einen eigenen Wiki Artikel


  • PPPoE-Zugangsdaten auslesen

    Können die PPPoE-Zugangsdaten ausgelesen werden?
  • Antwort

    Ja, das Auslesen ist über das CLI-Kommando interface get möglich.


  • LOAD

    Was genau bezeichnet der LOAD?
  • Antwort

    • LOAD bezeichnet die Anzahl Prozesse, die gleichzeitig auf eine Verarbeitung (CPU oder IO) warten oder ausgeführt werden.
    • Die Anzahl ist immer Ganzzahlig - im Gegensastz zum Load Average, dem Durchschnittsawert der letzten 1, 5 oder 15 Minuten
    • Ist der LOAD Average über einen längeren Zeitraum höher als die Anzahl der Prozessoren bzw. der Threads in allen Prozessoren eines Systems, wird das System ausgebremst.
    • Kurzfristige Spitzen sind nicht unüblich
    • Der Load-Average sollte mittelfristig nicht über 3/4 der Prozessorzahl liegen


    Netzwerk

  • Netzwerktraffic auswerten

    Wie kann der Netzwerktraffic ausgewertet werden?
  • Antwort

    Der Netzwerktraffic kann unter anderem über die Webinterface Widgets ausgewertet werden.

    Mit einem SSH-Programm und dem Benutzer "root" stehen noch folgende Möglichkeiten zur Verfügung:

    iftop -i $Schnittstelle oder vnstat


  • IPSec Verbindung baut sich nicht auf

    Die IPSec Verbindung baut sich nicht auf
  • Antwort

    1. Prüfen ob die Empfehlungen eingehalten wurden → IPSec S2S Empfehlungen
    2. Die Logmeldungen im Livelog überprüfen → IPSec Troubleshooting
    3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?
    4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen:
      tcpdump -i eth0 -nnp host IP-Adresse des Remote Gateways


  • Keine Kommunikation bei einer Site2Site Verbindung

    Die Site-to-Site Verbindung steht, aber die Kommunikation geht nicht
  • Antwort

    1. Zunächst sollte geprüft werden, ob Portfilterregeln für die Netzwerke erstellt sind.
      Bei IPSec Verbindungen sollte in den Impliziten Regeln beide Optionen aktiviert sein.
    2. Wenn Pakete mit dem Port 80 (HTTP) nicht ankommen kann der Transparente HTTP-Proxy die Pakete abfangen. Dafür muss dann ein Exclude erstellt werden.
    3. Das Zielgerät kann die Pakete ggf. nicht annehmen, da diese aus einem anderen Subnet kommen. Entweder die Firewall des Ziels anpassen oder aber eine Portfilterregel mit einem HideNat auf das Interne Interface erstellen.

    Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.

    Beispiel für ein tcpdump auf der Schnittstelle eth1, wobei man die IP-Adressen und Ports sieht und Pakete mit dem Protokoll 1 (ICMP Echo Request) filtert: tcpdump -i eth1 -nnp proto 1


  • HTTPS-Webseiten werden nicht vom Webfilter erfasst

    HTTP-Webseiten werden vom Webfilter gefiltert, HTTPS nicht
  • Ursache

    Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen.
    Lösung

    Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)


  • Verbindungsabbrüche bei Lancom-Routern

    Abbrüche bei VPN Verbindungen mit vorgeschalteten Lancom Router
  • Lösung

    Bei VPN Verbindungen (IPSec und SSL-VPN, Site-to-Site oder Roadwarrior) kann es zu Abbrüchen kommen, wenn davor ein Lancom Router VoIP macht. In diesem Fall kann es helfen, wenn auf dem Lancom in der Konfiguration → Voice Call Manager → Erweitert bei "Abgehende Pakete bevorzugen" der Wert "keine Veränderung" eingetragen wird.


  • Interface umbenennen

    Wie kann ich ein Interface der UTM umbennen?
  • Lösung

    Umbennenung per CLI:

    1. ID des Interfaces ermitteln:

    interface get
    id |name	|type	|flags	|qos	|zones	|options			|adi				|state
    156|A0.7	|VLAN	|	|	|	|vlan_id=7,vlan_parent=A0	|mac=00:01:02:03:04:05,mtu=1500	|UP
    

    2. Mit ID kann dann der Name angepasst werden:

    interface rename id 156 name A99.7

    3. Prüfung

    interface get
    id |name	|type	|flags	|qos	|zones	|options			|adi				|state
    156|A99.7	|VLAN	|	|	|	|vlan_id=7,vlan_parent=A0	|mac=00:01:02:03:04:05,mtu=1500	|UP
    


    MAC-Adresse bestimmen

    Wie kann ich die MAC-Adresse einer Schnittstelle der UTM herausfinden?

    Antwort

    Die MAC-Adresse lässt sich an zwei Stellen anzeigen: 1. Im Dashboard über die Schnittstelle der Appliance-Abbildung hovern
    Neu ab v12.2.2
    2. Im Menü → Netzwerk →Netzwerkschnittstellen mit der Maus über den Namen einer Schnittstelle hovern
    Neu ab v12.2.2


    iTunes zulassen

    Wie kann ich den online-Zugang für iTunes sicherstellen?

    Antwort

    Konfiguration unter → Anwendungen →HTTP-ProxyReiter Virenscanner Abschnitt Webseiten-Allowlist

    Folgende Einträge sind in der Virenscanner-Allowlist des HTTP-Proxys notwendig, damit iTunes in bestimmten Setups korrekt mit dem Internet kommunizieren kann:

    ^[^:]*://[^\.]*\.service\.gracenote\.com/
    ^[^:]*://[^\.]*\.mgr-mid\.gcsp\.cddbp\.net/
    ^[^:]*://[^\.]*\.mgr\.gcsp\.cddbp\.net/
    ^[^:]*://[^\.]*\.gcsp\.cddbp\.net/
    ^[^:]*://[^\.]*\.cddbp\.net/
    ^[^:]*://updates-http\.cdn-apple\.com/ 
    


    Firewall

  • SIP-Helper laden / entladen

    Wie können die SIP-Helper entladen / geladen werden?
  • Antwort

    Das entladen ist nur über das CLI möglich. Folgende Befehle sind dafür auszuführen:

    debug kmod unload module nf_nat_sip
    debug kmod unload module nf_nat_h323
    debug kmod unload module nf_conntrack_sip
    debug kmod unload module nf_conntrack_h323

    Laden der SIP-Helper über CLI:
    debug kmod load module nf_nat_sip
    debug kmod load module nf_nat_h323
    debug kmod load module nf_conntrack_sip
    debug kmod load module nf_conntrack_h323

    Anschließend als root-user per ssh den Befehl conntrack -F mehrmals ausführen

  • Das Laden der SIP-Helper per CLI sollte eigentlich nicht mehr erforderlich sein.
    Dies geschieht automatisch mit der Verwendung der Dienstegruppe VoIP im Portfilter.
    Weitere Angaben dazu unter VoIP FAQ

  • Authentifizierung

  • SSL-VPN mit OTP

    Bei aktivierter OTP-Funktion muss der Benutzer sich nach einer Stunde manuell authentifizieren.
  • Ursache

    Im Standard wird nach einer Stunde die Verschlüsselung erneut ausgehandelt (Renegotiation). Hierbei erfolgt auch eine erneute Authentifizierung des Benutzers. Ist die OTP-Funktion aktiv muss zu diesem Zeitpunkt ein aktueller OTP übergeben werden.
    Lösung

    Ist dies nicht gewünscht kann die Zeitspanne bis zur erneuten Renegotiation erhöht werden:

    → VPN →SSL-VPN → SSL-VPN-Instanz bearbeiten → Reiter Allgemein Renegotiation 2/4/8 Stunden

  • Achtung: Wird die Renegotiation erhöht, werden mehr Daten mit den gleichen Keys verschlüsselt.

  • Fehlermeldung bei AD Anbindung

    Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung Failed to join domain: failed to set machine spn: Constraint violation angezeigt.
  • Lösung

    Das Computer-Konto der UTM muss aus dem Active Directory gelöscht werden.
    Danach kann die UTM erneut in das Active Directory eingebunden werden.


  • Keine E-Mail Adressen per LDAP Abfrage

    Das Abfragen von E-Mail Adressen per LDAP funktioniert nicht.
  • Lösung

    Bitte hierfür unseren Support kontaktieren.


    Update

  • Online Update nur verzögert

    Warum erhält die UTM das Online-Update nicht direkt nach der Freigabe des Updates?
  • Antwort

    Die Verteilung der Firmware-Updates der UTM erfolgt über einen längeren Zeitraum.
    Der genaue Zeitraum ist in der Ankündigung im Support-Forum ersichtlich.
    Dieser Vorgang erfolgt automatisiert und kann nicht manuell beeinflusst werden.
    Lösung

    Die UTM kann über eine Update-Image aus dem Resellerportal jederzeit manuell aktualisiert werden.