KKeine Bearbeitungszusammenfassung |
|||
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{ | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/Extras/Fehleranalyse.lang}} | |||
{{var | neu--Layout | |||
| Allgemeine Layoutanpassung | |||
| General layout adaption }} | |||
* | </div><div class="new_design"></div>{{Select_lang}} {{TOC2}} | ||
{{Header|02.2024| | |||
*{{#var:neu--Layout}} | |||
|[[UTM/Extras/Fehleranalyse_v11.7 | 11.7]] | |||
}} | |||
---- | |||
=== {{#var:Einleitung}} === | |||
<div class="einrücken"> | |||
{{#var:Einleitung--desc}} | |||
<br clear=all></div> | |||
==== {{#var:Hinweise}} ==== | |||
<div | <div class="einrücken"> | ||
< | {{#var:Hinweise--desc}} | ||
< | <li class="list--element__alert list--element__hint">{{#var:Hinweis-Eingabe Taste}}</li> | ||
<li class="list--element__alert list--element__hint">{{#var:Hinweis-Terra Cloud}}</li> | |||
<li class="list--element__alert list--element__hint">{{#var:Hinweis-spcli}}</li> | |||
<br clear=all></div> | |||
< | |||
< | |||
---- | ---- | ||
=== | === {{#var:Vorbereitung}} === | ||
< | <div class="einrücken"> | ||
{{#var:Vorbereitung--desc}} | |||
<br clear=all></div> | |||
==== {{#var:Erhöhen der Syslog-Einträge}} ==== | |||
<div class="einrücken"> | |||
{{#var:Erhöhen der Syslog-Einträge--desc}}<br> | |||
{{code|1=spcli syslog backlog set type messages limit 100000 <i class="fas fa-arrow-turn-down-left key"></i><br>spcli system config save <i class="fas fa-arrow-turn-down-left key"></i>|class=inline-block}} | |||
<br clear=all></div> | |||
==== {{#var:Freigabe der Securepoint IP}} ==== | |||
<div | <div class="einrücken"> | ||
{{#var:Freigabe der Securepoint IP--desc}}<br> | |||
{{code|1=spcli manager new hostlist securepoint.de <i class="fas fa-arrow-turn-down-left key"></i>}}<br> | |||
< | {{#var:Anschließend die SSH-Verbindung trennen}} | ||
{{Hinweis-box|{{#var:Hinweis-SSL Ports}} }} | |||
<br clear=all></div> | |||
---- | ---- | ||
== Fehleranalyse == | === {{#var:Fehleranalyse}} === | ||
<div class="einrücken"> | |||
{{#var:Fehleranalyse--desc}} | |||
<br clear=all></div> | |||
==== {{#var:Prüfen der Schnittstellen}} ==== | |||
<div class="einrücken"> | |||
{{#var:Prüfen der Schnittstellen--desc}} | |||
{{code|<nowiki>root@firewall:~# ip a | |||
< | |||
5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 | 5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 | ||
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff | link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff | ||
Zeile 88: | Zeile 68: | ||
valid_lft forever preferred_lft forever | valid_lft forever preferred_lft forever | ||
8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000 | 8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000 | ||
link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff</ | link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff</nowiki>}} | ||
<br clear=all></div> | |||
=== Prüfen der Interface Adressen === | ==== {{#var:Prüfen der Interface Adressen}} ==== | ||
< | <div class="einrücken"> | ||
{{#var:Prüfen der Interface Adressen--desc1}}<br> | |||
{{code|1=spcli interface address get <i class="fas fa-arrow-turn-down-left key"></i>}}<br> | |||
{{#var:Prüfen der Interface Adressen--desc2}}<br> | |||
{{code|<nowiki>firewall.foo.local> interface address get | |||
< | |||
id|flags |device|address | id|flags |device|address | ||
–+——-+——+——- | –+——-+——+——- | ||
16|ONLINE |eth0 |10.10.10.2/24 | 16|ONLINE |eth0 |10.10.10.2/24 | ||
5 |ONLINE |eth1 |192.168.175.1/24</ | 5 |ONLINE |eth1 |192.168.175.1/24</nowiki>}} | ||
<br clear=all></div> | |||
= | |||
==== {{#var:PING-Test ins Internet}} ==== | |||
<div class="einrücken"> | |||
< | {{#var:PING-Test ins Internet--desc}}<br> | ||
{{code|<nowiki>root@firewall:~# tcpdump -i eth1 -nnp proto 1 | |||
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode | tcpdump: verbose output suppressed, use -v or -vv for full protocol decode | ||
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes | listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes | ||
Zeile 116: | Zeile 92: | ||
08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64 | 08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64 | ||
08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64 | 08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64 | ||
08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64</ | 08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64</nowiki>}} | ||
<br clear=all></div> | |||
---- | ---- | ||
== Dokumentation == | |||
=== Dokumentation === | |||
<div class="einrücken"> | |||
{{#var:Dokumentation--desc}} | |||
<br clear=all></div> |
Aktuelle Version vom 20. Februar 2024, 15:52 Uhr
- Allgemeine Layoutanpassung
Einleitung
Im Fehlerfall sind folgende Schritte notwendig, damit eine korrekte Fehleranalyse von unserem Support durchgeführt werden kann.
Hinweise
Um einen ordnungsgemäßen Betrieb sicherzustellen, darf das UTM-System nicht ohne ordentliches Herunterfahren stromlos gemacht werden. Ansonsten kann es zu Beschädigungen oder Beeinträchtigungen kommen. Die UTM kann wie folgt ordnungsgemäß heruntergefahren werden.
- Über das Webinterface (Konfiguration -> Herunterfahren)
- Über die Powertaste am Gerät
- Via SPCLI (system poweroff)
- Via SSH (poweroff)
Vorbereitung
Ein Benutzer mit Root-Berechtigungen wird benötigt. Hierzu wird dringend empfohlen einen Support Benutzer zu verwenden, da dieser immer ein Ablaufdatum hatn und ein permanenter root-Benutzer ein Sicherheitsrisiko darstellt.
Erhöhen der Syslog-Einträge
Mit den folgenden Befehlen kann die maximale Anzahl an Syslog-Einträgen erhöht werden, dies ist sinnvoll bei der Fehleranalyse, da so ein längerer Zeitraum analysiert werden kann.
spcli syslog backlog set type messages limit 100000
spcli system config save
Freigabe der Securepoint IP
Für eine externe Fehleranalyse muss die IP von Securepoint für das Admin Interface freigegeben werden:
spcli manager new hostlist securepoint.de
Anschließend die SSH-Verbindung trennen.
Fehleranalyse
Im Fehlerfall bitte folgendes testen und dokumentieren.
- Pingtest auf die IP der UTM (eth1)
- Traceroute auf die IP der UTM (eth1)
- Login UTM via SSH
- Login UTM via Webbrowser (Bitte mit mindestens zwei Browsern testen)
- Login UTM via Monitor und Tastatur an der UTM
Wenn der Login via SSH oder Monitor und Tastatur klappen sollte, bitte Folgendes durchführen.
Prüfen der Schnittstellen
Um die Schnittstellen zu überprüfen kann der Befehl ip a genutzt werden. Die Ausgabe von diesem sollte ähnlich (IP-Adressen, Interfaces und MAC-Adressen können abweichen) wie die folgende Aussehen. Besonders darauf geachtet werden sollte, ob die Ports NO-CARRIER, DOWN oder UP anzeigen.
root@firewall:~# ip a 5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff inet 10.10.10.2/24 scope global eth0 valid_lft forever preferred_lft forever 7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 21:22:23:24:24:26 brd ff:ff:ff:ff:ff:ff inet 192.168.175.1/24 scope global eth1 valid_lft forever preferred_lft forever 8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000 link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff
Prüfen der Interface Adressen
Mit den folgenden Befehlen können die Interface Adressen überprüft werden:
spcli interface address get
Die Ausgabe sollte ähnlich (IP-Adressen und Interfaces können abweichen) wie die folgende aussehen. Besonders darauf geachtet werden sollte, dass die Interfaces ONLINE sind.
firewall.foo.local> interface address get
id|flags |device|address
–+——-+——+——-
16|ONLINE |eth0 |10.10.10.2/24
5 |ONLINE |eth1 |192.168.175.1/24
PING-Test ins Internet
Wenn die Securepoint CLI (spcli) geöffnet ist muss diese nun mit exit geschlossen werden.
Anschließend kann mit Befehl tcpdump -i A1 -nnp proto 1 ein Ping auf die IP "9.9.9.9" von einem Gerät, welches sich hinter eth1 befindet und die UTM als Gateway eingetragen hat, durchgeführt werden.
Hier sollten folgende Informationen angezeigt werden, wobei die IPs abweichen können. Hier bitte prüfen, ob der ICMP echo request und der ICMP echo reply an der Schnittstelle ankommt.
root@firewall:~# tcpdump -i eth1 -nnp proto 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:32:43.051837 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 9, length 64
08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64
08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64
08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64
Dokumentation
Die Ergebnisse müssen dokumentiert werden, auch wenn diese fehlschlagen sollten. Ebenfalls ist es wichtig, dass Meldungen die möglicherweise beim Login auf der UTM angezeigt, auch dokumentiert werden.
Anschließend bitte ein Supportticket über das Resellerportal erstellen und das Protokoll bereithalten.