KKeine Bearbeitungszusammenfassung |
Andreb (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| (6 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
| Zeile 33: | Zeile 33: | ||
{{var | SSL-VPN mit OTP--Lösung | {{var | SSL-VPN mit OTP--Lösung | ||
| Ist dies nicht gewünscht kann die Zeitspanne bis zur erneuten Renegotiation erhöht werden:<br> | | Ist dies nicht gewünscht kann die Zeitspanne bis zur erneuten Renegotiation erhöht werden:<br> | ||
{{Menu|VPN|SSL-VPN}} → SSL-VPN-Instanz bearbeiten {{Button||w}} → Reiter {{Reiter| Allgemein}} {{b|Renegotiation}} {{Button|2/4/8 Stunden|dr}} | {{Menu-UTM|VPN|SSL-VPN}} → SSL-VPN-Instanz bearbeiten {{Button||w}} → Reiter {{Reiter| Allgemein}} {{b|Renegotiation}} {{Button|2/4/8 Stunden|dr}} | ||
| If this is not desired, the time span until a new renegotiation can be increased:<br> | | If this is not desired, the time span until a new renegotiation can be increased:<br> | ||
{{Menu|VPN|SSL-VPN}} → Edit SSL VPN Instance {{Button||w}} → Tab {{Reiter| General}} {{b|Renegotiation}} {{Button|2/4/8 hours|dr}} }} | {{Menu-UTM|VPN|SSL-VPN}} → Edit SSL VPN Instance {{Button||w}} → Tab {{Reiter| General}} {{b|Renegotiation}} {{Button|2/4/8 hours|dr}} }} | ||
{{var | SSL-VPN mit OTP--Hinweis | {{var | SSL-VPN mit OTP--Hinweis | ||
| Achtung: Wird die Renegotiation erhöht, werden mehr Daten mit den gleichen Keys verschlüsselt. | | Achtung: Wird die Renegotiation erhöht, werden mehr Daten mit den gleichen Keys verschlüsselt. | ||
| Zeile 73: | Zeile 73: | ||
| The UTM system must be reset to factory settings by reinstalling it. <br>After restoring the configuration of the UTM, the password can be adjusted. }} | | The UTM system must be reset to factory settings by reinstalling it. <br>After restoring the configuration of the UTM, the password can be adjusted. }} | ||
{{var | Zugangsdaten--Hinweis | {{var | Zugangsdaten--Hinweis | ||
| Für diesen Vorgang wird ein Backup der aktuellen Konfiguration benötigt. | | Für diesen Vorgang wird ein Backup der aktuellen Konfiguration und das dazugehörige Passwort benötigt. | ||
| A backup of the current configuration is required for this process. }} | | A backup of the current configuration and the corresponding password is required for this process. }} | ||
{{var | Ersteinrichtung | {{var | Ersteinrichtung | ||
| Ersteinrichtung | | Ersteinrichtung | ||
| Zeile 82: | Zeile 82: | ||
| What is recommended before the initial setup? }} | | What is recommended before the initial setup? }} | ||
{{var | 1=Ersteinrichtung--Antwort | {{var | 1=Ersteinrichtung--Antwort | ||
| 2=Wir empfehlen unser aufgezeichnetes Webinar [https://www.youtube.com/watch?v=tL2KMKaE3xE Gutes Netzwerkdesign und sichere Firewall Konfiguration]. Außerdem haben wir eine UTM Firewall Basisschulung ( | | 2=Wir empfehlen unser aufgezeichnetes Webinar [https://www.youtube.com/watch?v=tL2KMKaE3xE Gutes Netzwerkdesign und sichere Firewall Konfiguration]. Außerdem haben wir eine UTM Firewall Basisschulung (Silver Level), welche regelmäßig stattfindent. Eine Übersicht mit den nächsten Terminen ist auf der Startseite der [https://akademie.securepoint.de/ Securepoint Akademie] zu finden. | ||
| 3=We recommend our recorded webinar [https://www.youtube.com/watch?v=tL2KMKaE3xE Good network design and secure firewall configuration] (in German language). We also have a UTM Firewall Basic Training (Silver Level), which takes place regularly. An overview with the next dates can be found [https:// | | 3=We recommend our recorded webinar [https://www.youtube.com/watch?v=tL2KMKaE3xE Good network design and secure firewall configuration] (in German language). We also have a UTM Firewall Basic Training (Silver Level), which takes place regularly. An overview with the next dates can be found at the [https://akademie.securepoint.de/ Securepoint Academy]. }} | ||
{{var | CLI-Befehle | {{var | CLI-Befehle | ||
| CLI-Befehle | | CLI-Befehle | ||
| Zeile 92: | Zeile 92: | ||
{{var | CLI-Befehle--Antwort | {{var | CLI-Befehle--Antwort | ||
| Ja, die CLI-Befehle sind mit Beispielen im [[UTM/EXTRAS/CLI | Wiki ]] dokumentiert. | | Ja, die CLI-Befehle sind mit Beispielen im [[UTM/EXTRAS/CLI | Wiki ]] dokumentiert. | ||
| Yes, the CLI commands are documented with examples in the [ | | Yes, the CLI commands are documented with examples in the [{{#var:host}}UTM/EXTRAS/CLI Wiki]. }} | ||
{{var | Durchsatzraten | {{var | Durchsatzraten | ||
| Durchsatzraten | | Durchsatzraten | ||
| Zeile 100: | Zeile 100: | ||
| Is there any information on the throughput rates of the different appliances? }} | | Is there any information on the throughput rates of the different appliances? }} | ||
{{var | Durchsatzraten--Antwort | {{var | Durchsatzraten--Antwort | ||
| Eine Übersicht ist auf [https://www.securepoint.de/ | | Eine Übersicht ist auf [https://www.securepoint.de/fuer-unternehmen/utm-firewall#c5186 securepoint.de] zu finden. | ||
| An overview can be found at [https://www.securepoint.de/ | | An overview can be found at [https://www.securepoint.de/fuer-unternehmen/utm-firewall#c5186 securepoint.de]. }} | ||
{{var | VOIP | {{var | VOIP | ||
| VOIP | | VOIP | ||
| Zeile 134: | Zeile 134: | ||
Dies ist [[UTM/NET/Mobile#SIM_PIN_entfernen | hier]] beschrieben. | Dies ist [[UTM/NET/Mobile#SIM_PIN_entfernen | hier]] beschrieben. | ||
| The PIN of a SIM can only be removed via SSH and with a root user.<br> | | The PIN of a SIM can only be removed via SSH and with a root user.<br> | ||
This is described [ | This is described [{{#var:host}}UTM/NET/Mobile#Remove_SIM_PIN here]. }} | ||
{{var | UTM Image | {{var | UTM Image | ||
| UTM Image installieren | | UTM Image installieren | ||
| Zeile 143: | Zeile 143: | ||
{{var | UTM Image--Antwort | {{var | UTM Image--Antwort | ||
| Das ist in einem eigenen Artikel beschrieben: [[UTM/USB_Booten | Installation / Update vom USB-Stick]] | | Das ist in einem eigenen Artikel beschrieben: [[UTM/USB_Booten | Installation / Update vom USB-Stick]] | ||
| This is described in a separate article: [ | | This is described in a separate article: [{{#var:host}}UTM/USB_Booten Installation / Update from USB stick] }} | ||
{{var | Zertifikate konvertieren | {{var | Zertifikate konvertieren | ||
| Zertifikate konvertieren | | Zertifikate konvertieren | ||
| Zeile 187: | Zeile 187: | ||
* Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen. | * Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen. | ||
* Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig: | * Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig: | ||
** Unter {{Menu|Anwendungen|Nameserver|Zonen|Foreward-Zone hinzufügen|+|class=fs08}} muss eine Forward-Zone mit folgenden Einstellungen hinzugefügt werden: | ** Unter {{Menu-UTM|Anwendungen|Nameserver|Zonen|Foreward-Zone hinzufügen|+|class=fs08}} muss eine Forward-Zone mit folgenden Einstellungen hinzugefügt werden: | ||
*** {{b|Zonenname:|class=mw6}} {{ic|speedport.ip}} | *** {{b|Zonenname:|class=mw6}} {{ic|speedport.ip}} | ||
*** {{b|Nameserver Hostname:}} {{ic|ns|class=mw6}} | *** {{b|Nameserver Hostname:}} {{ic|ns|class=mw6}} | ||
| Zeile 197: | Zeile 197: | ||
**** {{b|Name:|class=mw6}} {{ic|ns|class=mw6}} | **** {{b|Name:|class=mw6}} {{ic|ns|class=mw6}} | ||
**** {{b|Typ:|class=mw6}} {{Button|A|dr|class=mw6}} | **** {{b|Typ:|class=mw6}} {{Button|A|dr|class=mw6}} | ||
**** {{b|Wert:|class=mw6 }} {{ic|'' IP des internal-interface}}<br>Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann. <br>{{ | **** {{b|Wert:|class=mw6 }} {{ic|'' IP des internal-interface}}<br>Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann. <br>{{Alert}} Dies funktioniert nur wenn die Clients die Securepoint UTM als DNS-Server eingetragen haben. | ||
*** 2. A-Record: {{Button|Eintrag hinzufügen|+}} | *** 2. A-Record: {{Button|Eintrag hinzufügen|+}} | ||
**** {{b|Name:|class=mw6}} {{ic|speedport.ip.}} | **** {{b|Name:|class=mw6}} {{ic|speedport.ip.}} | ||
| Zeile 206: | Zeile 206: | ||
* The simplest would be to connect a client directly to the Speedport to confirm the message. | * The simplest would be to connect a client directly to the Speedport to confirm the message. | ||
* Since the problem comes from the fact that the internal network cannot resolve the IP of the Speedport, a forward zone is simply created. The following steps are necessary for this: | * Since the problem comes from the fact that the internal network cannot resolve the IP of the Speedport, a forward zone is simply created. The following steps are necessary for this: | ||
** Under {{Menu|Applications|Nameserver|Zones|AddForeward-Zone|+|class=fs08}} a forward zone must be added with the following settings: | ** Under {{Menu-UTM|Applications|Nameserver|Zones|AddForeward-Zone|+|class=fs08}} a forward zone must be added with the following settings: | ||
*** {{b|ZoneName:|class=mw6}} {{ic|speedport.ip|class=mw6}} | *** {{b|ZoneName:|class=mw6}} {{ic|speedport.ip|class=mw6}} | ||
*** {{b|Nameserver Hostname:|class=mw6}} {{ic|ns|class=mw6}} | *** {{b|Nameserver Hostname:|class=mw6}} {{ic|ns|class=mw6}} | ||
| Zeile 216: | Zeile 216: | ||
**** {{b|name:|class=mw6}} {{ic|ns|class=mw6}} | **** {{b|name:|class=mw6}} {{ic|ns|class=mw6}} | ||
**** {{b|type:|class=mw6}} {{Button|A|dr|class=mw6}} | **** {{b|type:|class=mw6}} {{Button|A|dr|class=mw6}} | ||
**** {{b|value:|class=mw6}} {{ic|'' IP of internal-interface}}<br>This is needed for the internal network to resolve the speedport.ip page. <br>{{ | **** {{b|value:|class=mw6}} {{ic|'' IP of internal-interface}}<br>This is needed for the internal network to resolve the speedport.ip page. <br>{{Alert}} This only works if the clients have entered the Securepoint UTM as DNS server. | ||
*** 2nd A-Record: {{button|Add record|+}} | *** 2nd A-Record: {{button|Add record|+}} | ||
**** {{b|Name:|class=mw6}} {{ic|speedport.ip.|class=mw6}} | **** {{b|Name:|class=mw6}} {{ic|speedport.ip.|class=mw6}} | ||
| Zeile 236: | Zeile 236: | ||
{{var | PPPoE2Router--Antwort | {{var | PPPoE2Router--Antwort | ||
| Zur Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang gibt es einen [[UTM/FAQ/Umstellung_PPPoE_Ethernet | eigenen Wiki Artikel]] | | Zur Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang gibt es einen [[UTM/FAQ/Umstellung_PPPoE_Ethernet | eigenen Wiki Artikel]] | ||
| There is | | There is an [{{#var:host}}UTM/FAQ/Umstellung_PPPoE_Ethernet own wiki article] on the conversion of the Internet connection from PPPoE to router access. }} | ||
{{var | PPPoE-Zugangsdaten | {{var | PPPoE-Zugangsdaten | ||
| PPPoE-Zugangsdaten auslesen | | PPPoE-Zugangsdaten auslesen | ||
| Zeile 270: | Zeile 270: | ||
# Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten? | # Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten? | ||
# Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen:<br>{{code|tcpdump -i eth0 -nnp host ''IP-Adresse des Remote Gateways''}} | # Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen:<br>{{code|tcpdump -i eth0 -nnp host ''IP-Adresse des Remote Gateways''}} | ||
| 3=# Check whether the recommendations have been complied with → [ | | 3=# Check whether the recommendations have been complied with → [{{#var:host}}UTM/VPN/%C3%9Cbersicht#Site_to_Site_VPN_Verbindungen IPSec S2S Recommendations] | ||
# Check the log messages in the livelog → [ | # Check the log messages in the livelog → [{{#var:host}}UTM/VPN/IPSec-Troubleshooting IPSec Troubleshooting] | ||
# Are there port forwarders that forward the packets to a device behind the UTM? | # Are there port forwarders that forward the packets to a device behind the UTM? | ||
# With an SSH program and the user "root", you can use tcpdump to check whether the IPSec packets arrive on the WAN interface:<br>{{code|tcpdump -i eth0 -nnp host ''IP address of the remote gateway''}} }} | # With an SSH program and the user "root", you can use tcpdump to check whether the IPSec packets arrive on the WAN interface:<br>{{code|tcpdump -i eth0 -nnp host ''IP address of the remote gateway''}} }} | ||
| Zeile 316: | Zeile 316: | ||
| Firewall }} | | Firewall }} | ||
{{var | SIP-Helper | {{var | SIP-Helper | ||
| SIP-Helper entladen | | SIP-Helper laden / entladen | ||
| Unload SIP Helper }} | | Unload SIP Helper }} | ||
{{var | SIP-Helper--Frage | {{var | SIP-Helper--Frage | ||
| Wie können die SIP-Helper entladen werden? | | Wie können die SIP-Helper entladen / geladen werden? | ||
| How can the SIP Helpers be unloaded? }} | | How can the SIP Helpers be unloaded? }} | ||
{{var | SIP-Helper--Antwort | {{var | SIP-Helper--Antwort | ||
| Zeile 334: | Zeile 334: | ||
debug kmod unload module nf_conntrack_h323<br> | debug kmod unload module nf_conntrack_h323<br> | ||
}} }} | }} }} | ||
{{var | kmod_desc | |||
| Laden der SIP-Helper über CLI:<br> | |||
{{code|debug kmod load module nf_nat_sip<br> | |||
debug kmod load module nf_nat_h323<br> | |||
debug kmod load module nf_conntrack_sip<br> | |||
debug kmod load module nf_conntrack_h323}}<br> | |||
Anschließend als root-user per ssh den Befehl {{code|conntrack -F }} mehrmals ausführen | |||
| | |||
debug kmod load module nf_nat_sip | |||
debug kmod load module nf_nat_h323 | |||
debug kmod load module nf_conntrack_sip | |||
debug kmod load module nf_conntrack_h323 | |||
Then as root-user via ssh execute the command | |||
conntrack -F | |||
run several times }} | |||
{{var | Authentifizierung | {{var | Authentifizierung | ||
| Authentifizierung | | Authentifizierung | ||
| Zeile 370: | Zeile 386: | ||
| Die UTM kann über eine Update-Image aus dem Resellerportal jederzeit manuell aktualisiert werden. | | Die UTM kann über eine Update-Image aus dem Resellerportal jederzeit manuell aktualisiert werden. | ||
| The UTM can be updated manually at any time via an update image from the reseller portal. }} | | The UTM can be updated manually at any time via an update image from the reseller portal. }} | ||
{{var | Interface umbenennen | {{var | Interface umbenennen | ||
| Interface umbenennen | | Interface umbenennen | ||
| Rename interface }} | | Rename interface }} | ||
{{var | Interface umbenennen--Frage | {{var | Interface umbenennen--Frage | ||
| Wie kann ich ein Interface der UTM umbennen? | | Wie kann ich ein Interface der UTM umbennen? | ||
| Zeile 400: | Zeile 407: | ||
| MAC-Adresse bestimmen | | MAC-Adresse bestimmen | ||
| Determine MAC address }} | | Determine MAC address }} | ||
{{var | MAC-Adresse bestimmen--Frage | {{var | MAC-Adresse bestimmen--Frage | ||
| Wie kann ich die MAC-Adresse einer Schnittstelle der UTM herausfinden? | | Wie kann ich die MAC-Adresse einer Schnittstelle der UTM herausfinden? | ||
| Zeile 408: | Zeile 412: | ||
{{var | MAC-Adresse bestimmen--Antwort | {{var | MAC-Adresse bestimmen--Antwort | ||
| Die MAC-Adresse lässt sich an zwei Stellen anzeigen: | | Die MAC-Adresse lässt sich an zwei Stellen anzeigen: | ||
1. Im Dashboard über die Schnittstelle der Appliance-Abbildung hovern | 1. Im Dashboard über die Schnittstelle der Appliance-Abbildung hovern | ||
2. Im Menü {{Menu|Netzwerk|Netzwerkschnittstellen}} mit der Maus über den Namen einer Schnittstelle hovern | 2. Im Menü {{Menu-UTM|Netzwerk|Netzwerkschnittstellen}} mit der Maus über den Namen einer Schnittstelle hovern | ||
| The MAC address can be displayed in two places: | | The MAC address can be displayed in two places: | ||
1. Hover over the appliance | 1. Hover over the interface of the appliance mapping in the dashboard | ||
2. Hover over | 2. Hover the mouse over an interface name in the {{Menu-UTM|Netzwerk|Netzwerkschnittstellen}} menu }} | ||
{{var | iTunes zulassen | {{var | iTunes zulassen | ||
| iTunes zulassen | | iTunes zulassen | ||
| Zeile 420: | Zeile 424: | ||
| How can I ensure online access for iTunes? }} | | How can I ensure online access for iTunes? }} | ||
{{var | 1=iTunes zulassen--Antwort | {{var | 1=iTunes zulassen--Antwort | ||
| 2=Konfiguration unter {{Menu| Anwendungen | HTTP-Proxy | Virenscanner }} Abschnitt {{Kasten| Webseiten-Allowlist| grau}}</p><p>Folgende Einträge sind in der Virenscanner-Allowlist des HTTP-Proxys notwendig, damit iTunes in bestimmten Setups korrekt mit dem Internet kommunizieren kann:</p> | | 2=Konfiguration unter {{Menu-UTM| Anwendungen | HTTP-Proxy | Virenscanner }} Abschnitt {{Kasten| Webseiten-Allowlist| grau}}</p><p>Folgende Einträge sind in der Virenscanner-Allowlist des HTTP-Proxys notwendig, damit iTunes in bestimmten Setups korrekt mit dem Internet kommunizieren kann:</p> | ||
<pre> | <pre> | ||
^[^:]*://[^\.]*\.service\.gracenote\.com/ | ^[^:]*://[^\.]*\.service\.gracenote\.com/ | ||
| Zeile 430: | Zeile 434: | ||
</pre> | </pre> | ||
| 3=Configuration at {{Menu| | | 3=Configuration at {{Menu-UTM| Anwendungen | HTTP-Proxy | Virenscanner }} section {{Kasten|Web Page Allowlist| grau}}</p><p>The following entries are necessary in the virus scanner allowlist of the HTTP proxy to allow iTunes to communicate correctly with the internet in certain setups.</p> | ||
<pre> | <pre> | ||
^[^:]*://[^\.]*\.service\.gracenote\.com/ | ^[^:]*://[^\.]*\.service\.gracenote\.com/ | ||
| Zeile 439: | Zeile 443: | ||
^[^:]*://updates-http\.cdn-apple\.com/ | ^[^:]*://updates-http\.cdn-apple\.com/ | ||
</pre> }} | </pre> }} | ||
{{var | | {{var | SIP-Helper laden--Antwort | ||
| | | Das Laden der SIP-Helper per CLI sollte eigentlich nicht mehr erforderlich sein.<br>Dies geschieht automatisch mit der Verwendung der Dienstegruppe ''VoIP'' im Portfilter.<br>Weitere Angaben dazu unter [[UTM/FAQ-VoIP | VoIP FAQ]] | ||
| Loading the SIP helper via CLI should actually no longer be necessary.<br>This happens automatically with the use of the ''VoIP'' service group in the port filter.<br>Further details under [{{#var:host}}UTM/FAQ-VoIP VoIP FAQ] }} | |||
{{var | VoIP--Antwort | |||
| Für Themen rund um VoIP gibt es eigene Wiki-Seiten: | |||
* [[UTM/VoIP_BestPractice | VoIP BestPractice]] | |||
* [[UTM/FAQ-VoIP | VoIP FAQ]] | |||
* [[UTM/CLI/SIP-Proxy | Konfiguration SIP-Proxy]] | |||
| }} | |||
{{var | VoIP--Frage | |||
| Wie konfiguriere ich VoIP? | |||
| }} | |||
{{var | VoIP | |||
| VoIP | |||
| }} | | }} | ||
UTM/FAQ.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki