USC/Websession: Unterschied zwischen den Versionen

Die Unified Security Console muss in der UTM aktiviert sein

Der Zugriff über die Unified Security Console muss zunächst in der UTM im Menü USC selbst freigeschaltet werden.
Die UTM meldet sich nach dem Update beim Lizenzserver. Erst hier wird die Verfügbarkeit des Dienstes signalisiert und anschließend das Menü freigeschaltet.

notempty

Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird.

Der Vorgang kann verkürzt werden, indem nach einigen Minuten Laufzeit (die UTM muss die Gelegenheit gehabt haben, sich beim Lizenzserver zu melden!) auf dem CLI der Befehl system restrictions update ausgeführt wird.

Beschriftung	Wert	Beschreibung
Datenschutzerklärung:	Ja	Der Datenschutzerklärung muss zugestimmt werden
Aktiviert:	Ja	Hiermit wird die Unified Security Console - und damit die Anzeige, Konfiguration und der Zugriff über das Securepoint Unified Security Portal aktiviert.
Authentifizierungsmethode:	PIN (empfohlen) Loginmaske	Authentifizierungsmethode für eine Websession
PIN:	••••••••	Als Authentifizierung für eine Websession kann eine 6-stellige PIN statt der Loginmaske mit Zugangsdaten gewählt werden. Nach 5 (Default-Wert Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5" ) fehlerhaften Eingaben in Folge wird der Zugang per PIN gesperrt. Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden.
		Zeigt die Websession PIN an
		Erstellt eine neue PIN

• UTM bis v.12.2.2.8: Update erforderlich
  Die UTM verwendet ein älteres Verfahren für die Websession, das nur noch bis zum 30.11.2023 zur Verfügung steht
  • Die UTM ist über ein lokales Netz direkt erreichbar
  • Zugangsdaten (Benutzername und Kennwort) werden benötigt
    oder
  • Die UTM verfügt über eine öffentliche IP
    Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
• UTM bis v12.4.4.1 Ein Update auf die aktuellste Version wird empfohlen
  • Die UTM ist über ein lokales Netz direkt erreichbar
  • Zugangsdaten (Benutzername und Kennwort) werden benötigt
    oder
  • Die UTM verfügt über eine öffentliche IP
    Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
• UTM v12.5.0
  • Die UTM ist über ein lokales Netz direkt erreichbar
  • Zugangsdaten (Benutzername und Kennwort) werden benötigt
    oder
  • Die UTM verfügt über eine öffentliche IP
    Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
  • Es ist zusätzlich eine PIN erforderlich
    Festgelegt auf der UTM im Menü USC / Kasten Unified Security Console

{

---

Beispielkonfiguration einer öffentlichen IPv6 anhand einer Fritzbox

Hinweis
Dieser Abschnitt beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

• Anmeldung auf der Konfigurationsoberfläche (in den Standardeinstellungen unter https://192.168.178.1)
• In den Netzwerkeinstellungen für IPv6 muss die Option DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren ausgewählt werden
• Unteroption DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen wählen
• Portfreigabe in der Fritzbox für den Admin Webinterface Port der UTM (Menü Internet / Freigaben /Reiter Portfreigaben Schaltfläche Gerät für Freigaben hinzufügen

Abb.1

USC erreicht über die Fritzbox an LAN1 die UTM mit IPv6

Abb.2

• Menü Heimnetz ➊ / Netzwerk ➋ / Reiter Netzwerkeinstellungen ➌
• am Ende der Seite Dropdownmenü: weitere Einstellungen ➍
  
• Abschnitt IP Adressen / Schaltfläche IPv6 Einstellungen ➎ (nicht im Bild)
  oder auch IPv6 Konfiguration

Abb.3

• Abschnitt Weitere IPv6-Router im Heimnetz
  Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben ➏
• Abschnitt DHCPv6-Server im Heimnetz
  DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: ➐
  • DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen ➑ aktivieren
• Angaben mit Schaltfläche  OK  ➒ speichern

Abb.4

Erforderlich, wenn die UTM und ggf. weitere Geräte im lokalen Netz von außen per IPv6 erreichbar sein sollen

Menü Internet → Freigaben→ Reiter Portfreigaben/ Schaltfläche Gerät für Freigaben hinzufügen

• Gerät aus Dropdownmenü auswählen ➓
  IP-Adresse manuell eingeben wählen, falls diese nicht per DHCP zugeteilt wird
• Falls gewünscht: Ping für IPv6 aktivieren ⓫
• Option Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen aktivieren ⓬
• Schaltfläche Neue Freigabe anklicken ⓭
  Es öffnet sich ein weitere Dialog

Abb.5

• Option Portfreigabe wählen
• Anwendung Andere Anwendung
• Bezeichnung Aussagekräftiger Name
• Protokoll TCP
• Port an Gerät 11115 bis Port 11115
  Port ggf. anpassen, wenn unter Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt Webserver Administration Webinterface Port: ein anderer Port konfiguriert wurde
• Im Abschnitt Freigabe aktivieren die Option
  Internetzugriff über IPv6 wählen
• Eingabe abschließen mit OK
• In der Übersicht Eingaben bestätigen mit OK (siehe Abb.4 Nr. ⓮)

Abb.6

Alle Angaben prüfen und mit Übernehmen bestätigen

Konfiguration auf der UTM:

Schnittstellen bearbeiten

Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration

Externe Schnittstelle

In der Regel A0, LAN1 oder eth0 - je nach verwendeter Hardware

verbunden zum Internet über NAT-Router

Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen / externes Interface bearbeiten / Reiter Allgemein

DHCP Client IPv4 & IPv6
Router Advertisement: Aus
IPv6 Prefix Delegation Ein

Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration

Interne Schnittstelle

Z.B. A1, LAN2 oder eth1 - je nach verwendeter Hardware

(muss für alle internen Schnittstellen konfiguriert werden, die eine öffentliche IPv6-Adresse an Clients verteilen sollen (und damit auch selber eine erhalten).

Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen / internes Interface bearbeiten / Reiter Allgemein

DHCP Client Aus
Router Advertisement: Ein
IPv6-Adressen vergeben: Ja
IPv6 Prefix Delegation: Aus

Default-Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration

Default-Route hinzufügen

Gateway Typ: IPSchnittstelle
Gateway: LAN1
IPv6: Ein

Damit die IPv6-Adressen geroutet werden können, muss unter Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche Default-Route hinzufügen eine Default-Route hinzugefügt werden.
Speichern

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk

Netzwerkkonfiguration mit IPv6 Prefix Delegation

• Die externe Schnittstelle sollte nach einem kurzen Moment eine dynamische … /64-IPv6-Adresse erhalten
  Sollte hier eine 128er Adresse stehen müssen die Einstellungen in der Fritzbox kontrolliert werden

Netzwerkobjekte und Paketfilterregeln erstellen

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Netzwerkobjekt internal_v6

Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

Name: internal_network_v6

Typ: Netzwerk (Schnittstelle)
Adresse: LAN2
Zone: internal

Bei Systemen die vor v12.4 aufgesetzt wurden: internal_v6

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Netzwerkobjekt Internet_v6

Name: Internet_v6
Typ: Netzwerk (Adresse)
Adresse:    ⸬/0 
Zone: external
Bei Systemen die vor v12.4 aufgesetzt wurden: external_v6

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Mögliche Paketfilterregel

Quelle: internal_network_v6

Ziel: internet_v6
Dienst: default-internet
Aktion: Accept
NAT

Typ: NONE Kein NAT!

Die UTM ist jetzt über eine öffentliche IPv6 erreichbar.
Nach einigen Minuten wird diese Adresse in der Auswahlbox für IP-Adressen in der USC angezeigt.

• UTM ab v.12.5.1:
  • Die UTM ist über ein lokales Netz direkt erreichbar
  • Zugangsdaten (Benutzername und Kennwort) werden benötigt
    oder
  • Eine Websession aus entfernten Netzen ist auch möglich, wenn die UTM über keine öffentliche IP verfügt
  • Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
  • Login mit PIN oder Zugangsdaten möglich
    Festgelegt auf der UTM im Menü USC / Kasten Unified Security Console