Produkthandbuecher/UTM/G5-BlackDwarf: Unterschied zwischen den Versionen

Aktuelle Version vom 11. März 2026, 12:02 Uhr

Inbetriebnahme

Erste Schritte zur Inbetriebnahme einer Black Dwarf (G5)

Neuer Artikel: 06.2022

notemptyDieser Artikel bezieht sich auf eine Beta-Version

-

Vorbereitung

notemptyEine sorgfältige Vorbereitung auch einfacher Schritte ist Voraussetzung für eine erfolgreiche Installation

Zugangsdaten bereitlegen

Bei Betrieb an einem Modem oder Glasfaseranschluss:
Zugangsdaten des Internet Service Providers bereit halten
- Wer verfügt über die aktuellen Zugangsdaten des ISPs?
- Sind die Zugangsdaten am Installationsort verfügbar?
- Sind die Zugangsdaten zum Installationszeitpunkt verfügbar?
- ggf.: Ist die Person, die über die Zugangsdaten verfügt, zum Installationszeitpunkt verfügbar?
Bei Betrieb hinter einem Router:
- Wie ist die IP-Adresse des Routers?
- Kann die UTM eine feste IP erhalten?
- Bei Neuinstallationen ist auf der externen Schnittstelle DHCP aktiviert
Lokales Netzwerk:
- Wie ist die Netz-IP des lokalen Netzwerkes / der lokalen Netzwerke?
- Welche IP-Adressen sollen die Schnittstellen der UTM in diesen Netzwerken erhalten?
  Es sollte sich dabei in der Regel immer um eine feste IP-Adresse handeln!

Firmware Update vorbereiten

notemptyWarum sollte ein Firmware Update durchgeführt werden?

Soll eine vorhandene Konfigurationsdatei verwendet werden, muss die installierte Firmwareversion identisch oder neuer sein.
Aktuelle Funktionen und Patches stehen sofort zur Verfügung.
Zwischen Herstellung und Auslieferung können mehrere Firmware Versionen veröffentlicht worden sein.
Schäden durch eine Manipulation der Firmware auf dem Transportweg (unwahrscheinlich, aber nicht unmöglich) können damit ausgeschlossen werden.

Es wird ein USB Stick mit dem UTM Image benötigt.
Hierfür kann das Securepoint Imaging Tool verwendet werden. (Resellerportal → Menu Downloads → Tools x )
Anschluss von Tastatur und Monitor

Monitor Anschluss-Typ siehe Tabelle unter der Abbildung

v12 ist zwingend notwendig, da die verbaute Hardware der G5-Geräte z.T. nicht von der v11 unterstützt wird

Bei der Installation/ Update per USB-Stick vorerst das Image UTM v12.x - Interaktive Installation UTM Software v12 - USB-Image verwenden
(nicht Autoinstall oder Autoupdate)

Der vorbereite USB-Stick muss an der UTM angeschlossen werden
Die UTM einschalten
Unter Save & Exit Restore Defaults ausführen
Der USB Stick sollte danach im Bootmenü des Gerätes ganz oben gelistet sein, vorangehend mit dem TAG UEFI
Unter Save & Exit Save Changes and Reset ausführen
Installation/ Update durchführen

Installation der Firmware

Die Installation der Firmware geschieht in wenigen Schritten. Die Optionen der Vorauswahl muss lediglich bestätigt werden.

Anzeige und Bestätigung der Lizenzbedingungen
Entscheidung, ob ggf. ein Upgrade durchgeführt werden soll
Default: Upgrade
Auswahl der Festplatte, auf der die Firmware installiert werden soll
Start der Installation
Aufforderung, den USB-Stick zu entfernen
Reboot
Anzeige der Login Konsole


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Installationsschritt 1

Nachdem das System von dem Installationsmedium gestartet wurde, werden zunächst die Lizenzbedingungen angezeigt. Diese sollten aufmerksam durchgelesen werden. Mit der Schaltfläche Continue erfolgt eine Weiterleitung zum nächsten Dialog, um den Bedingungen zuzustimmen.

Installationsschritt 2

Die Bedingungen müssen akzeptiert werden, um mit der Installation fortzufahren. Werden die Bedingungen nicht akzeptiert, bzw. die Schaltfläche No betätigt, bricht die Installation ab. Die Fortsetzung der Installation erfolgt durch Zustimmung der Bedingungen und der Bestätigung durch Yes .

Installationsschritt Zwischenschritt

Falls auf dem Gerät bereits die UTM Software V11 installiert ist, kann entweder per Upgrade ein Update oder per Overwrite eine Neuinstallation durchgeführt werden.

Installationsschritt 3

Als nächstes muss eine Festplatte ausgewählt werden, auf welcher das Betriebssystem installiert werden soll

Installationsschritt 4

Nachdem eine Festplatte ausgewählt wurde, muss die Installation nochmals bestätigt werden. Wenn die Entscheidung gefallen ist, die Installation auf der angezeigten Festplatte auszuführen, wird dies mit Yes bestätigt.

Installationsschritt 5

Während der Installation wird über den aktuellen Fortschritt informiert

Installationsschritt 6

Wurde die Installation erfolgreich durchgeführt, wird ein entsprechender Dialog darauf aufmerksam machen.
Mit dem Betätigen der OK Schaltfläche wird die Installation abgeschlossen.

Installationsschritt 7

Nun muss der Installationsdatenträger entfernt und das System anschließend neu gestartet werden. Ist die Installation erfolgreich verlaufen, wird nach dem Neustart der Konsolen Login angezeigt.

Black Dwarf

()

A0 RJ45 external

A1 RJ45 internal

HDMI

USB

Einbindung in das lokale Netzwerk

IP-Adressen der UTM per CLI anpassen

Wenn die Administration über das CLI kein Hindernis darstellt, kann die UTM direkt mit den erforderlichen IP-Adressen per CLI versehen werden
In diesem Fall bleiben Monitor und Tastatur direkt an der UTM angeschlossen.
Die Anmeldung erfolgt direkt auf der Konsole.

Anschließen von Tastatur und Bildschirm direkt an der UTM
Anmelden an der UTM: Username admin / Passwort: insecure
es erscheint das Command Line Interface
Netzwerkkonfiguration ändern:
1. Ermitteln der vorhandenen Schnittstellen: interface get
2. Ermitteln der ID der IP-Adressen: interface address get
  ' entspricht der internen Schnittstelle, über die das Admin-Interface erreichbar ist.
  Die ID wird für eine Änderung der IP-Adresse im nächsten Schritt benötigt.
3. Ändern der Schnittstellen-IPs: interface address set id 1 address 192.168.12.1/24
  system update interface (gewünschte IP des internen Netzes mit Subnetzmaske)
4. Aktivieren einer Schnittstelle: interface address new device A0 address 192.168.x.y/24
  system update interface
Administrationszugang einrichten:
In den Werkseinstellungen ist der Zugang zum Admin-Interface der UTM ausschließlich über die interne Schnittstelle (A1) möglich. Soll das Admin-Interface über eine andere Schnittstelle erreichbar sein, muss die IP des Hosts (oder eine Netz-IP mit Subnetzmaske) freigegeben werden:
manager new hostlist 192.168.168.0/24
system update rule Hier: Alle Hosts im Netz 192.168.168.0 (egal an welcher Schnittstelle) können auf das Admin-Interface zugreifen
Achtung: Liegt z.B: die IP 192.168.175.1 an der externen Schnittstelle (A0) an und soll von dort das Admin-Interface aufgerufen werden, muss trotzdem die IP 192.168.175.x extra freigegeben werden.

IP-Adresse des eigenen Rechners anpassen

Die IP-Adresse des eigenen Rechners wird vorübergehend an das Default-Netz der internen Schnittstelle der UTM angepasst.
Anschließend wird der eigene Rechner an die Schnittstelle A1 (das internal interface) der UTM angeschlossen.
Die korrekte Schnittstelle kann der obenstehenden Abbildung und Tabelle entnommen werden.

So geht es

IP-Adresse unter Windows ändern

Anzeige der Netzwerkverbindungen:
r ncpa.cpl
↵
Status der Ethernetverbindung mit Doppelklick anzeigen
Eigenschaften der Schnittstelle anzeigen
Eigenschaften der TCP/IPv4-Verbindung anzeigen
IP-Adresse festlegen:
- IP-Adresse:192.168.175.2
- Subnetzmaske:255.255.255.0
- Standardgateway:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Anzeige der Netzwerkschnittstelle:

Aufruf über Desktopanzeige:
- Klick auf das Netzwerksymbol in der Taskleiste neben der Uhr
- Klick auf Netzwerk- und Interneteinstellungen
- Klick auf Adapteroptionen ändern
Aufruf per Befehl:
- Windowstaste r ncpa.cpl
Mit Doppelklick auf die verwendete Schnittstelle den Status der Ethernetverbindung anzeigen lassen

Im Status Schaltfläche Eigenschaften anklicken

In den Eigenschaften den Eintrag Internetprotokoll, Version 4 (TCP/IPv4) auswählen

Schaltfläche Eigenschaften anklicken

Eintrag Folgende IP-Adresse verwenden: auswählen

IP-Adresse festlegen:

IP-Adresse:192.168.175.2
Subnetzmaske:255.255.255.0
Standardgateway:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)

IP-Adresse unter Linux ändern

Bitte die entsprechende Dokumentation der verwendeten Distributation beachten.
Beispiel für Ubunutu:

Aufruf des Terminals
Namen der Schnittstelle identifizieren: ip a
IP Adresse Ändern: (Im Beispiel ist enp0s3 die verwendete Schnittstelle: sudo ip address add 192.168.175.2/24 dev enp0s3

IP-Adresse auf einem MAC ändern

Menü Systemeinstellungen / Netzwerk
IPv4 konfigurieren: Manuell^▴_▾ im Dropdownmenü auswählen
IP-Adresse:192.168.175.2
Teilnetzmaske:255.255.255.0
Router:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)
SchaltflächeAnwenden

notemptyNach Abschluss des Installationsassistenten und Reboot befindet sich die UTM dann in einem anderen Netz.
Zur weiteren Konfiguration muss die IP-Adresse des eigenen Rechners dann erneut geändert werden.

Einstellen der ursprünglichen IP Adresse:

Feste IP Adressen: Wie oben beschrieben eintragen
DHCP aktivieren:
- Windows: Eigenschaften Internetprotokoll Version 4 (TCPIPv4) → IP-Adresse automatisch beziehen wählen
- Linux: Beispiel für Ubuntu: sudo ip address del 192.168.175.2/24 dev enp0s3
  sudo dhclient enp0s3
  Ggf. die Dokumentation der verwendeten Distributation beachten.
- MAC:: Systemeinstellungen / Netzwerk / IPv4 konfigurieren: Im Dropdownmenü DHCP auswählen

Erster Aufruf

Sofern noch nicht geschehen, müssen jetzt folgende Verbindungen physisch hergestellt werden:

Schnittstelle für das external interface (A0) in Richtung Internet verbinden (Modem, Router etc.).
Schnittstelle für das internal interface (A1)
- mit dem eigenen Rechner verbinden, falls auf diesem die IP-Adresse angepasst wurde.
- mit dem Netzwerk verbinden, von dem aus die UTM administriert werden soll, falls die IP-Adresse der UTM angepasst wurde.

Das Admin-Interface ist über den Port 11115 erreichbar. Aufruf z.B. mit:
https://192.168.175.1:11115 (Default) oder
https://172.16.0.1:11115 wenn die IP-Adresse der UTM auf 172.16.0.1 geändert wurde

Beim ersten Aufruf des Admin-Interfaces erscheint im Browser eine Zertifikatswarnung.
Da der Browser das Zertifikat der UTM nicht kennen kann, wird eine Sicherheitswarnung ausgegeben.
Diese Warnung muss übergangen werden.

Meldung im Firefox: Warnung: Mögliches Sicherheitsrisiko erkannt
Schaltfläche Erweitert / Risiko akzeptieren und fortfahren

Meldung im Chrome / Chromium: Dies ist keine sichere Verbindung. Am Ende auf Weiter zu IP-Adresse (unsicher) klicken.

Meldung im Edge: Ihre Verbindung ist nicht privat. Am Ende auf Weiter zu IP-Adresse (unsicher) klicken.

Meldung im Safari: Diese Verbindung ist nicht privat
Schaltfläche Details einblenden / Link Öffne diese Website

Erste Anmeldung
Beschriftung	Wert	Beschreibung	UTM-Login (noch nicht lizensiert)
Benutzer	admin	Anmeldung mit den Zugangsdaten der Werkseinstellungen: admin
Passwort	insecure	Anmeldung mit den Zugangsdaten der Werkseinstellungen: insecure
Anmelden (admin)

Lizenzvereinbarung und Datenschutzerklärung zustimmen
Akzeptieren		Die Lizenzvereinbarung und die Datenschutzerklärung müssen mit Klick auf die Schaltfläche angenommen werden.	Datenschutzerklärung UTM Ablehnen Akzeptieren Der Datenschutzerklärung muss zugestimmt werden. Lizenzvereinbarung UTM Ablehnen Akzeptieren Der Lizenzvereinbarung muss zugestimmt werden.

Grundlegende Einstellungen
Firewallname	firewall.ttt-point.local	Es muss ein individueller Firewallname vergeben werden. Der Name sollte einem FQDN entsprechen.	Grundlegende Einstellungen UTMbenutzer@firewall.name.fqdn Lizenzvereinbarung Abmelden Grundlegende Einstellungen Die angezeigten Felder können variieren, je nachdem welche Informationen bereits auf der UTM vorliegen
Lizenzschlüssel	Durchsuchen...	Gültige Lizenz einspielen. Jeder Lizenzschlüssel darf nur einmal verwendet werden. Die UTM wird darüber identifiziert und verschiedene Dienste und Konfigurationen werden über den Lizenzschlüssel zugeordnet.
Systemzeit	yyyy-mm-dd hh-m--ss	Die Systemzeit sollte korrekt sein. Sie wird z.B. zur Anwenderauthentifizierung (Kerberos, OTP etc.) mit anderen Servern abgeglichen. Bei zu großer Abweichung wird z.B. keine Anmeldung möglich sein.
Passwort Passwort bestätigen		Das Standard Passwort insecure muss geändert werden. Kennwörter müssen folgende Kriterien erfüllen: mindestens 8 Zeichen Länge mindestens 3 der folgenden Kategorien: Großbuchstaben Kleinbuchstaben Sonderzeichen Ziffern notemptyNeu ab v14.0.7: Passwortänderung bereits beim ersten Login
Globale E-Mail Adresse: notemptyNeu ab v12.4.4	admin@ttt-point.de	Erforderliche Angabe z.B. für den Mailconnector und den Proxy. Dient auch als Postmasteradresse für das Mailrelay
Authentifizierungsmethode: notemptyNeu ab v12.5.1	PIN (empfohlen)Loginmaske	Authentifizierungsmethode für Websessions über die USC Der Websession-PIN sichert auch die Benutzung der folgenden Aktionen im Rahmen der USC ab: Neustarten Herunterfahren Werkseinstellungen Einspielen von Cloud-Backups Wenn der PIN nicht genutzt wird, sind diese Aktionen nicht aus dem Unified Security Portal aufrufbar.
PIN:		PIN als zusätzliche Absicherung für Websessions Es sind keine Zahlenfolgen oder Doppelungen zulässig
PIN:		Erstellt eine sichere PIN
Lizenzvereinbarung		Zeigt die Lizenzvereinbarung an
Datenschutzerklärung		Zeigt die Datenschutzerklärung an
Abmelden		Meldet sich wieder ab. Es werden keine Einstellungen gespeichert!
Abschließen		Schließt den Anmeldevorgang ab und öffnet das Willkommens-Fenster.

Willkommen
Mit dem Willkommensdialog sind grundlegenden Einstellungen abgeschlossen.			Willkommen UTMbenutzer@firewall.name.fqdn Installationsassistent Rundgang starten Willkommen-Dialog
Installationsassistent		Startet den Installationsassistenten.
Rundgang starten		Startet einen Rundgang, der in 15 Schritten die Adminoberfläche und die Menüs erklärt.

Schnittstellen konfigurieren notemptyNeu ab v12.7.0
Wollen Sie die Schnittstellen jetzt konfigurieren?	Ja Nein	Diese Meldung erscheint, wenn nicht alle vorhandenen Schnittstellen richtig konfiguriert sind. Es wird jedoch empfohlen, dies zu tun, um möglichen Problemen vorzubeugen. Mit der Schaltfläche Ja wird direkt die Netzwerkkonfiguration geöffnet.
Nicht erneut nachfragen.	Aus	Wenn diese Meldung nicht erwünscht ist, kann hier eingestellt werden, dass sie nicht wieder angezeigt wird.

notempty Fortfahren mit der Schaltfläche Installationsassistent
→ Wiki Installationsassistent Black Dwarf (G5) anzeigen

Einrichtung mit Installationsassistenten

Achtung: In der .lang-Datei werden je nach Parameter hw Varaiblen gesetzt für die Bezeichnung der Schnittstellen und ob dmz / dmz interface und wlan vorhanden sind

Warnung: Der Anzeigetitel „Installationsassistent“ überschreibt den früheren Anzeigetitel „Black Dwarf (G5) in Betrieb nehmen“.

UTM einrichten mit dem Installationsassistenten

Letzte Anpassung zur Version: 14.0.1

Neu:

Neuer Schritt: DNS - Forwarding

Zuletzt aktualisiert:

Hinweis zur inklusiven WLAN Nutzung bei Lizenzen ab G5

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.7 12.5.1 12.5 12.2.3 12.2 11.6

Vorbemerkungen

Üblicherweise erscheint der Installationsassistent bei der Ersteinrichtung der UTM.
Hierbei wird überprüft, ob schon eine Konfiguration vorhanden ist, die als Startkonfiguration markiert ist. (Status )
Ist das nicht der Fall öffnet sich der Assistent automatisch.
Ein nachträgliches Starten des Installationsassistenten ist nicht ratsam, da andere zwischenzeitlich getätigte Einstellungen dabei überschrieben werden können.

Installationsassistent

Schritt 1 - Allgemein

Beschriftung	Wert	Beschreibung	Installationsassistent UTMbenutzer@firewall.name.fqdnKonfigurationsverwaltung Schritt 1
Firewallname:	firewall.ttt-point.local	Hier geht es darum, wie sich die UTM gegenüber Anfragen meldet. Wenn zum Beispiel das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den Fully Qualified Domain Name (FQDN) des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können. Es geht in dieser Einstellung nicht um den Namen, unter dem die UTM in einer Active Directory Domäne geführt wird. Diese Einstellung wird im Menü Authentifizierung AD/LDAP Authentifizierung Bereich Einstellungen Eintrag Appliance Account vorgenommen.
Globaler Ansprechpartner:	Alina Admin	In diesem Feld wird der Name des Administrators bzw. der Administratorin oder der Organisation eingetragen, welcher später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse:	admin@ttt-point.de	An diese E-Mail Adresse werden wichtige Systemmeldungen verschickt.
Sprache der Berichte:	Deutsch Englisch	Sprache, in der die Berichte und Systemmeldungen versendet werden

Schritt 2 - Datenschutz
Alle Anwendungen anonymisieren	Ja	Bei Aktivierung (Default) werden die Anwendungen der Appliance entsprechend der DSGVO anonymisiert. Unter Authentifizierung Datenschutz kann die Anonymisierung auch individuell für jede Anwendung aktiviert werden. Sollte nur zum Debuggen deaktiviert werden.	Schritt 2
			Schritt 2
Schritt 3 - Intern
Ohne WLAN-Modul Ohne WLAN-Modul
Interne Firewall IP-Adresse:	192.168.175.1/24	Die IP-Adresse der internen Schnittstelle (A1) sowie die Subnetzmaske (als CIDR-Notierung) für das interne Netzwerk	Schritt 3 - ohne WLAN-Modul
Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen:	Nein	Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im internen Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
Router Advertisement:	Aus	Hat die UTM ein IPv6 Prefix erhalten, kann sie das Subnetz per Router Advertisement in dem Netzwerksegment hinter der Schnittstelle bekannt machen. (Siehe Artikel IPv6 Prefix Delegation)

Mit WLAN-Modul Mit WLAN-Modul
Interne Firewall IP-Adresse:	192.168.175.1/24	Die IP-Adresse der internen Schnittstelle (A1) sowie die Subnetzmaske (als CIDR-Notierung) für das interne Netzwerk	Schritt 3 - mit WLAN-Modul
Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen:	Nein	Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im internen Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
WLAN Bridge generieren:	Nein Default	Erstellt eine Bridge, so daß dieses Netzwerk und das WLAN im selben Netz liegen.
Portfilterregel generieren: Wird eingeblendet, wenn WLAN Bridge generieren aktiviert ist	Nein	Bei Aktivierung wird automatisch eine Portfilterregel erzeugt
STP: Wird eingeblendet, wenn WLAN Bridge generieren aktiviert ist	Aus	Bei Aktivierung wird STP (Spanning Tree Protocol) verwendet
STP Bridge Priorität: Wird eingeblendet, wenn WLAN Bridge generieren aktiviert ist	32768^▴_▾ Default	Die Priorität der STP Bridge wird eingestellt

Schritt 4 - Internet Hier wird die Internetverbindung auf der externen Schnittstelle (A0) konfiguriert. Es stehen folgende Varianten zur Auswahl:
Verbindungstyp PPPoE / VDSL Verbindungstyp: PPPoE / VDSL
Bei diesem Typ wird ein ADSL-, SDSL- oder VDSL-Modem an der Schnittstelle zum external interface (A0) angeschlossen. Die Verbindung wird durch die UTM initiiert. Ein Router kann unter diesem Verbindungstyp nur verwendet werden, wenn dieser in einen Modem-Modus versetzt werden kann und gewährleistet werden kann, dass die UTM die Verbindung initiiert.
Benutzername:	(Teilt ISP mit)	Die Zugangsdaten werden durch den ISP (Internet Service Provider) bereitgestellt.	Schritt 4 mit PPPoE / VDSL
Passwort:	(Teilt ISP mit)
PPPoE für VDSL/Glasfaser:	Aus	Einschalten , falls PPPoE über ein VDSL-Modem oder über Glasfaser verbunden ist.
VLAN ID: Wird eingeblendet, wenn PPPoE für VDSL Glasfaser aktiviert ist	7	Die VLAN-ID wird in der Regel vom Netzbetreiber vorgegeben
IPv6 Prefix Delegation:	Aus	Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen. Beispiel: Vom ISP zugewiesenes Netz: 2001:0db8:aaaa:bb::/56 An internen Schnittstellen per Router Adviertisement verteilte Netze: 2001:0db8:aaaa:bb00::/64 2001:0db8:aaaa:bb01::/64
notemptyDie Option DNS-Server des Providers verwenden wurde in Schritt 5 verschoben
Verbindungstyp Ethernet mit statischer IP Verbindungstyp:Ethernet mit statischer IP
Bei diesem Verbindungstyp wird ein Router an der Schnittstelle zum external interface (A0) angeschlossen, der selbst die Verbindung zum Internet initiiert. Die Zugangsdaten des Providers werden dazu in dem vorgeschalteten Router hinterlegt und nicht auf der UTM. Dieser Verbindungstyp kann nicht für die Nutzung mit Modem oder Router im Modem Modus verwendet werden.
Externe IP-Adresse:	192.168.178.101/24	Die IP-Adresse der externen Schnittstelle (A0) und der IP-Adressbereich für das externe Netzwerk (Subnetzmaske in CIDR Notierung). Vorgabe ist ggf. eine bereits vorhandene IP-Adresse. Die externe Schnittstelle erhält per Default eine IP-Adresse über DHCP, sofern ein DHCP-Server im externen Netz vorhanden ist.	Schritt 4 mit Ethernet mit statischer IP
Default Gateway:	192.168.178.1/---	IP-Adresse des Standard-Gateways für die UTM, damit diese weiß, welches der nächste Router für alle Netze ist, die nicht an einer internen Schnittstelle anliegen: In der Regel: Das Internet.
IPv6 Prefix Delegation:	Aus	Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen. Beispiel: Vom ISP zugewiesenes Netz: 2001:0db8:aaaa:bb::/56 An internen Schnittstellen per Router Adviertisement verteilte Netze: 2001:0db8:aaaa:bb00::/64 2001:0db8:aaaa:bb01::/64

Verbindungstyp Kabelmodem mit DHCP Verbindungstyp: Kabelmodem mit DHCP z.B.: DSL-Anschluss über Telefonleitung mit Fritzbox oder Speedport Router. Ursprünglich meist Geräte, die Kabelanbieter ihren Kunden zur Verfügung stellten.
Auch bei diesem Verbindungstyp wird ein Router an der Schnittstelle zum external interface (A0) angeschlossen, der selbst die Verbindung zum Internet initiiert. Die Zugangsdaten des Providers werden dazu in dem vorgeschalteten Router hinterlegt und nicht auf der UTM. Dieser Verbindungstyp kann nicht für die Nutzung mit Modem oder Router im Modem-Modus verwendet werden.			Schritt 4 mit Kabelmodem mit DHCP
DHCP Client:	IPv4	Auswahl, mit welchem Protokoll die Schnittstelle IP-Adressen vom vorgelagerten Router mit DHCP-Server erhält.
	IPv6
	IPv4 & IPv6
DNS-Server des Providers verwenden:	Aus	Bei Aktivierung wird der DNS-Server des Providers verwendet.
IPv6 Prefix Delegation:	Aus	Ermöglicht ein vom Internet Service Provider zugewiesenes IPv6-Netz in /64 Netze aufzuteilen und einzelnen Schnittstellen per Router Advertisement zuzuweisen. Beispiel: Vom ISP zugewiesenes Netz: 2001:0db8:aaaa:bb::/56 An internen Schnittstellen per Router Adviertisement verteilte Netze: 2001:0db8:aaaa:bb00::/64 2001:0db8:aaaa:bb01::/64

Verbindungstyp LTE / andere Verbindungstyp: LTE / andere LTE-Verbindungen oder andere Zugänge werden nach Abschluss des Installationsassistent konfiguriert

Schritt 5 - DNS Forwarding notemptyNeuer Schritt ab v14.0.1 Hier kann das DNS Forwarding des Nameservers konfiguriert werden. Es gibt die gleichen Optionen wie unter Anwendungen Nameserver Bereich DNS Forwarding. Für genauere Informationen siehe den Artikel zum Nameserver.
DNS Forwarding hinzufügen notemptyNeu im Installations-Assistenten ab v14.0.1	DNSDoT	Fügt DNS Forwarding hinzu. Es ist möglich klassisches DNS oder DNS over TLS (DoT) auszuwählen. Weitere Informationen im Artikel zum DNS Forwarding im Nameserver. DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdn Konfiguratinsverwaltung Installationsassistent	Schritt 5
DNS-Server des Providers verwenden:	Ein	Bei Aktivierung wird der DNS-Server des Providers verwendet.

Schritt 6 - DMZ Die Black Dwarf (G5) verfügt nur über 2 Interfaces. Eine zweites (kabelgebundenes) internes Netzwerk ist damit nicht möglich. Der Schritt der DMZ-Einrichtung wird daher übersprungen.
DMZ IP-Adresse:	192.168.176.1/24	Die IP-Adresse der Schnittstelle none sowie die Subnetzmaske (als CIDR-Notierung) für das DMZ-Netzwerk	Schritt 6 ohne WLAN
Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen:	Nein	Bei Aktivierung Ja arbeitet die UTM als DHCP-Server: Alle Clients im DMZ Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt.
Autogenerierte Regeln:	Nein	Es können automatisch Portfilterregeln für dieses Netzwerk angelegt werden, die den Datenverkehr ins Internet auf der Schnittstelle zum external interface (A0) freigeben. Ebenso werden Regeln angelegt, die auch den Datenverkehr aus dem internen Netzwerk in das DMZ-Netz zulassen. Diese Regeln geben alles aus diesem Netzwerk in das Internet und in andere interne Netzwerke frei. notemptyDiese any Regeln sind für Testzwecke gedacht, sollten aber im Produktiv-Betrieb deaktiviert und durch genau definierte Regeln ersetzt werden.
Router Advertisement:	Nein	Hat die UTM ein IPv6 Prefix erhalten, kann sie das Subnetz per Router Advertisement in dem Netzwerksegment hinter der Schnittstelle bekannt machen. (Siehe Artikel IPv6 Prefix Delegation)
WLAN Bridge generieren: Nur, falls ein WLAN-Modul vorhanden ist	Nein	Erstellt eine Bridge, so daß dieses Netzwerk und das WLAN im selben Netz liegen.

Schritt 7 - WLAN Im Auslieferungszustand ist ein WLAN-Modul in der Black Dwarf (G5) verbaut. Sollte das Modul entfernt worden sein, wird dieser Schritt übersprungen. Für die dauerhafte Nutzung von WLAN (>30 Tage) bei Geräten bis G3/G4 ist eine gesonderte Lizenz erforderlich Bei Geräten ab G5 ist die Nutzung von WLAN bereits in der Lizenz enthalten
WLAN IP-Adresse: Nicht im Bridge Modus	192.168.177.1/24	Die IP-Adresse des WLAN-Interfaces (wlan0) sowie die Subnetzmaske (als CIDR-Notierung) für das WLAN-Netzwerk. Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.	Schritt 7: WLAN Dialog ohne Bridge Konfiguration Schritt 7: WLAN Dialog bei Nutzung einer Bridge
Ländercode:	DE	Über den Ländercode wird ermittelt, welche Frequenzen und welche Signalstärken verwendet werden dürfen. Die genutzten Frequenzen und die Sendeleistung lassen sich in einem Wikipedia-Artikel nachlesen.
SSID:	TTT-POINT	Der Service Set Identifier (SSID) bezeichnet den Namen unter dem sich das WLAN-Netz den Clients zeigt. Dieser muss in jedem Fall eingegeben werden.
SSID Broadcast:	Ein	Mit dieser Option kann definiert werden, ob das WLAN-Netz für jeden Client zu sehen ist, oder ob die Übertragung der SSID unterdrückt werden soll. (Aus)
Sicherheitsmodus:	WPA	Gilt als unsicher und ist lediglich aus Gründen der Abwärtskompatibilität vorhanden. (Verwendet TKIP als Verschlüsselungsmethode)
	WPA2	Standard mit erhöhter Sicherheit Verwendet AES128 als Verschlüsselungsmethode: https://de.wikipedia.org/wiki/WPA2
	WPA3	Standard mit höchster verfügbarer Sicherheit Verwendet AES256 als Verschlüsselungsmethode und das SAE Verfahren: https://de.wikipedia.org/wiki/WPA3
Pre-Shared Key:	Don'tcopythis:Ei)#W~X$…	Basisstation und Mobilgerät müssen über den selben PSK (≙Kennwort) verfügen. Die Sicherheit der Verschlüsselung hängt unmittelbar von der Länge und der Komplexität des PSKs ab! Kurze oder leicht zu erratende PSKs gefährden die Netzwerksicherheit.
Pre-Shared Key:		Erzeugt automatisch einen sehr starken PSK
Den Clients in diesem Netz die IP-Adressen per DHCP zuweisen: Nicht im Bridge Modus	Aus	Bei Aktivierung arbeitet die UTM als DHCP-Server: Alle Clients im WLAN Netzwerk erhalten per DHCP eine IP-Adresse. Dabei wird die UTM als Standardgateway und DNS Server für die Clients festgelegt. Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.
Router Advertisement:	Nein	Hat die UTM ein IPv6 Prefix erhalten, kann sie das Subnetz per Router Advertisement in dem Netzwerksegment hinter der Schnittstelle bekannt machen. (Siehe Artikel IPv6 Prefix Delegation)
Regeln für Internetzugriff generieren: Nicht im Bridge Modus	Aus	Es können automatisch Portfilterregeln für dieses Netzwerk angelegt werden, die den Datenverkehr ins Internet auf der Schnittstelle zum external interface (A0) freigeben. Ebenso werden Regeln angelegt, die auch den Datenverkehr aus dem Internen Netzwerk in das WLAN-Netz zulassen. Diese Regeln geben alles aus diesem Netzwerk in das Internet und in andere interne Netzwerke frei. notemptyDiese any Regeln sind für Testzwecke gedacht, sollten aber im Produktiv-Betrieb deaktiviert und durch genau definierte Regeln ersetzt werden. Im Bridge Modus wird hier die Einstellung aus dem internen Netz verwendet, in dem der Bridgemodus aktiviert wurde.

Schritt 8 - Zertifikat
CA und Serverzertifikat generieren:	Ja Default	Bei Aktivierung Ja wird eine CA und ein Server-Zertifikat generiert. Die Felder Land, Organisation und Abteilung werden abhängig von der eingespielten Lizenz vorbelegt, können hier aber auch geändert werden.	Schritt 8
Schlüssellänge:	3072	Bit-Länge des Schlüssels auswählen
Gültig seit:	2024/01/01 00:00:00
Gültig bis:	2037/12/31 23:59:59
Land:	DE	Detailangaben dienen zur Identifizierung des Zertifikat-Ausstellers
Staat:	Niedersachsen
Organisation:	TTT Point
Abteilung:	Support
E-Mail-Adresse:	admin@ttt-point.de

Schritt 9 - Administrator
Benutzer	admin	Der Benutzername admin kann an dieser Stelle nicht verändert werden	Schritt 9
Passwort:	••••••••••••••	Kennwörter müssen folgende Kriterien erfüllen: mindestens 8 Zeichen Länge mindestens 3 der folgenden Kategorien: Großbuchstaben Kleinbuchstaben Sonderzeichen Ziffern
Passwort bestätigen:	••••••••••••••
Fertig	Der Assistent wird abgeschlossen Es wird eine neue Konfiguration angelegt mit dem Namen configuration-wizard-Datum-Uhrzeit Diese Konfiguration wird als Startkonfiguration gesetzt Diese Konfiguration wird als aktuelle Konfiguration gesetzt

Neustart Neu starten
Wollen Sie das Gerät jetzt neu starten?	Ja	Damit die Konfigurations-Änderungen übernommen werden, müssen die jeweiligen Dienste in der richtigen Reihenfolge neu gestartet werden. Das wird durch einen Neustart des Gerätes erreicht.
notemptyWurde die eigene IP-Adresse geändert, um das Admin Interface der UTM zu erreichen, und in Schritt 3 - Intern die Vorgabe geändert, befindet sich die interne Schnittstelle der UTM nun in diesem Netz. Zur weiteren Konfiguration muss die IP-Adresse des eigenen Rechners dann erneut geändert werden. Siehe dazu den Wiki Artikel zur ersten Anmeldung
Schnittstellen konfigurieren notemptyNeu ab v12.7.0
Wollen Sie die Schnittstellen jetzt konfigurieren?	Ja Nein	Diese Meldung erscheint, wenn nicht alle vorhandenen Schnittstellen richtig konfiguriert sind. Es wird jedoch empfohlen dies zu tun, um mögliche Probleme vorzubeugen. Mit der Schaltfläche Ja wird direkt die Netzwerkkonfiguration geöffnet.
Nicht erneut nachfragen.	Aus	Wenn diese Meldung nicht erwünscht ist, kann hier eingestellt werden, dass sie bei der nächsten Anmeldung nicht wieder angezeigt wird.

Servereinstellungen

Warnung: Der Anzeigetitel „Servereinstellungen“ überschreibt den früheren Anzeigetitel „Installationsassistent“.

Globale Eigenschaften der UTM

Letzte Anpassung zur Version: 14.1.2

Neu:

Hinweis zu den aktuellen Zertifikats-Anforderungen hinzugefügt
Es können mehrere NTP Server hinterlegt werden (v14.1.0)

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0 12.6 12.2 11.6.12 11.7

notempty

Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt

Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt

HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!

Unsichere Zertifikate sollten dringend ausgetauscht werden!
Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung

Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus

OpenVPN

Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S)

Clientzertifikat bei S2S

ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten)

Mailrelay

Relaying "Zertifikat" (unter TLS Verschlüsselung als Server)

Reverse-Proxy

Einstellungen → SSL-Zertifikat

Webserver

Netzwerk → Serveinstellungen → Webserver → Zertifikat

HTTP-Proxy

SSL-Interception → CA-Zertifikat

Beschriftung	Wert	Beschreibung	Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Servereinstellungen
Firewall Firewall
Firewallname:		Full Qualified Domain Name-Konformer Firewallname. Hier wird festgelegt, wie sich die UTM gegenüber Anfragen meldet. Wenn das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den FQDN des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können. Auslesen: `extc global get variable "GLOB_HOSTNAME"` Setzen: `extc global set variable "GLOB_HOSTNAME" value "utm.firma.local"`
Globaler Ansprechpartner:		In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse:		Hier wird eine E-Mail-Adresse eingetragen, an die Mails gesendet werden können, die ansonsten nicht zustellbar sind. Andernfalls verbleiben nicht zustellbare Mails auf dem Festplattenspeicher, was dazu führen kann, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden können. Ab Version v12.4.2 muss hier eine E-Mail Adresse hinterlegt sein. Andernfalls starten Mailconnector und Proxy nicht! Beim Login wird ggf. eine globale E-Mail-Adresse verlangt. notemptyDie Globale E-Mail Adresse ist ebenfalls die Postmasteradresse für das Mailrelay. Auslesen: `extc global get variable "GLOB_ADMIN_EMAIL"` Setzen: `extc global set variable "GLOB_ADMIN_EMAIL" value "utm-admin@ttt-point.de"`
Sprache der Berichte:	Deutsch	Sprache, in der Berichte der UTM versendet werden. Alternativ zur Auswahl: Englisch
DNS-Server DNS-Server
Nameserver vor lokalem Cache prüfen:	Aus (Default)	Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1) als primärer Nameserver. Bei Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
Primärer Nameserver: Sekundärer Nameserver:		An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll. Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind. notempty Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Zeiteinstellungen Zeiteinstellungen
Aktuelles Datum:	2020-20-32 25:00:20	Die aktuelle Uhrzeit kann auch von Hand eingetragen werden. Aktualisiert die Anzeige. Im Zusammenspiel von Servern, VPN-Verbindungen und im Besonderen bei der OTP-Authentifizierung ist es wichtig, dass alle Komponenten zeitlich synchronisiert sind.
NTP-Server: notemptyaktualisiert: Mehrere Einträge möglich	»ntp.securepoint.de	Die gewünschten NTP-Server können hier eintragen werden. Das Eintragen einer IP-Adresse kann Probleme mit DNS over TLS und DNSSEC vermeiden.
Zeitzone:	Europe/Berlin	Korrekte Zeitzone
Webserver Webserver
Wird der Port für das Admin oder das User-Interface auf einen Well-Known Port gelegt (Ports 0-1023) kann der Zugriff durch den Browser gesperrt werden! Ein Zugriff kann trotzdem möglich sein: Der Start von z.B. Google Chrome oder Edge erfolgt mit dem Start-Parameter --explicitly-allowed-ports=xyz Für Firefox wird in der Konfiguration (about:config in der Adresszeile) unter network.security.ports.banned.override eine String-Variable mit dem Wert des freizugebenden Ports angelegt. Es ist möglich für chromiumbasierte Browser eine zeitlich befristete Richtlinie zu erstellen, die die Verwendung ermöglicht. Hiervon wird aus Sicherheitsgründen dringend abgeraten! Fehlermeldung in Chome / Edge: ERR_UNSAFE_PORT Fehlermeldung im Firefox: Fehler: Port aus Sicherheitsgründen blockiert
Administration Webinterface Port:	11115^▴_▾	Port zum erreichen des Administrations-Interfaces (das z.B. verwendet um die im Bild gezeigte Webseite anzuzeigen. Im Auslieferungszustand: 192.168.175.1:11115
User Webinterface Port:	443^▴_▾	Port zum erreichen des User-Interfaces. Hierüber erfolgt z.B. der Zugang zu gefilterten Mails und VPN-Konfigurationen. notempty Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) für den Reverse-Proxy genutzt wird. notempty Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) weitergeleitet wird.
Zertifikat:		Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat Ohne ein dediziert ausgewähltes Zertifikat wird das Default-Zertifikat der UTM verwendet, das von der Default-CA ausgestellt wurde: firewall.foo.local Soll die UTM vom Browser mit einem gültigen Zertifikat erkannt werden, ist folgendermaßen vorzugehen: Eine CA erstellen ( Authentifizierung Zertifikate Bereich CA Schaltfläche CA hinzufügen) Den öffentlichen Teil der CA exportieren Zertifikat erstellen Bereich Zertifikate Als CA die CA wählen, die in Schritt 2 exportiert wurde Alias DNS FQDN - Name der UTM , wie unter Netzwerk Firewall Bereich Servereinstellungen Abschnitt Firewall Feld Firewallname: eingetragen Es sind jeweils mehrere Einträge möglich! Alias IP IP-Adresse IP-Adresse unter der UTM erreicht werden kann. Es sind jeweils mehrere Einträge möglich! Das soeben erstellte Zertifikat unter Netzwerk Servereinstellungen Bereich Servereinstellungen Abschnitt Webserver Zertifikat: auswählen Die exportierte CA im Browser als Zertifizierungsstelle importieren Es können auch ACME-Zertifikate genutzt werden.
Erweiterte Einstellungen Erweiterte Einstellungen
Maximale aktive Verbindungen:	32000^▴_▾	Maximale Anzahl aktiver Verbindungen zur UTM. Dazu zählen unter anderem: Webinterface SMTP SSH
Last-Rule-Logging:	SHORT -Drei Einträge pro Minute protokollieren	Die Last-Rule-Logging Einstellung regelt die Anzahl der Meldungen, die im Syslog geschrieben werden. NONE - nicht protokollieren SHORT -Drei Einträge pro Minute protokollieren : Es werden nur die ersten drei Logmeldungen je Minute angezeigt. LONG - Alles protokollieren notempty Wir empfehlen, die Einstellung auf short zu lassen.

Ethernet Konfiguration

Warnung: Der Anzeigetitel „Ethernet Schnittstellen“ überschreibt den früheren Anzeigetitel „Servereinstellungen“.

Anlegen und Konfiguration einer Ethernet Schnittstelle

Letzte Anpassung zur Version: 14.0.0

Neu:

Neue Autonegotiation Option: Default
Speed und Duplex sind einstellbar, auch wenn Autonegotiation eingeschaltet ist
Interfaces können zurückgesetzt werden

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.6.0 12.5.1 11.7

Netzwerkschnittstellen Allgemein

Die Zurücksetzen Option wird nur angezeigt, wenn → Zurücksetzen der Schnittstellenoptionen anzeigen Ein
Schaltfläche	Beschreibung		Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Netzwerkschnittstellen Übersicht
Bearbeiten	Bearbeiten der jeweiligen Schnittstelle
ZurücksetzennotemptyNeu ab v14.0.0	Zurücksetzen der Schnittstellenoptionen, dies umfasst alles was mit dem CLI Befehl interface get in der Spalte options gefunden wird (Auflistung hier), sowie die Hotwire Konfiguration.
Löschen	Löschen der jeweiligen Schnittstelle

In dem Tabelleneinstellungen () kann die Darstellung sowie der Inhalt der Tabelle konfiguriert werden. notemptyNeu ab v14.0.0
Zurücksetzen der Schnittstellenoptionen anzeigen:	Aus	Bei Aktivierung An wird die Schaltfläche zum Zurücksetzen einer Netzwerkschnittstelle eingeblendet	Tabelleneinstellungen
Stil:	Default	Passt den Stil der Tabelle für diese Tabelle individuell an (für genauere Information zu den Konfigurationsmöglichkeiten siehe Tools)
Einträge pro Seite:	Default	Passt die Einträge pro Seite der Tabelle für diese Tabelle individuell an (für genauere Information zu den Konfigurationsmöglichkeiten siehe Tools)
Max Höhe:	Default	Passt die maximale Anzeigehöhe der Tabelle für diese Tabelle individuell an (für genauere Information zu den Konfigurationsmöglichkeiten siehe Tools)

Anlegen einer Ethernet-Schnittstelle

Das Erstellen einer Ethernet-Schnittstelle erfolgt mit einem Assistenten im Menü Bereich Netzwerkschnittstellen Schaltfläche Ethernet.

Auf UTMs mit dem Namensschema ethx lassen sich beliebig viele Schnittstelen anlegen.
Auf UTMs mit dem Namensschema LANx bzw. Ax können nur Schnittstellen angelegt werden, die auch existieren.

Beschriftung	Wert	Beschreibung	Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration
Name:	LAN4	Name der Schnittstelle. Existiert eine ungenutze Schnittstelle, wird per Default der nächste freie LANx Name verwendet. Es kann aber auch ein Name von Hand eingetragen werden.
IP-Adresse:	192.168.176.1/24	Soll die Schnittstelle über eine feste IP verfügen, wird diese hier eingetragen.
DHCP-Client:	Aus IPv4 IPv6 IPv4 & IPv6	Hier wird die Einstellung getroffen, ob- und wenn ja für welches IP-Protokoll - die Schnittstelle ihre IP-Adressen von einem DHCP-Server beziehen soll.

Zonen:		Zuvor angelegte Zonen können mit Klick in die Klickbox ausgewählt werden.
Neue Zone hinzufügen:	Nein dmz1	Bei Aktivierung wird eine neue Zone mit einem frei wählbarem Namen (hier: dmz1) erstellt.
Regeln generieren:	Nein	Bei Aktivierung werden autogenerierte Regeln erstellt, um den Netzwerkverkehr zu allen bisher vorliegenden Netzen zu ermöglichen. notempty Diese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Schnittstelle zu erleichtern. Sie lassen sich nicht bearbeiten und müssen unbedingt durch individualisierte Regeln ersetzt und anschließend deaktiviert oder gelöscht werden!
Zugehörige Netzwerkobjekte aktualisieren: notemptyNeu ab v12.6.0	Ein	Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen.

Abschluss des Assistenten mit der Schaltfläche Fertig

Bearbeiten einer Ethernet Schnittstelle

Die Konfiguration einer Ethernet-Schnittstelle erfolgt im Menü Netzwerk Netzwerkkonfiguration Bereich Netzwerkschnittstellen Schaltfläche

Allgemein

Beschriftung	Wert	Beschreibung	Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration
Name:	LAN1	Der Name der Schnittstelle läßt sich nachträglich ändern.
DHCP-Client:	Aus IPv4 IPv6 IPv4 & IPv6	Hier wird die Einstellung getroffen, ob- und wenn ja für welches IP-Protokoll - die Schnittstelle ihre IP-Adressen von einem DHCP-Server beziehen soll.
Router Advertisement:	Aus	Hat die UTM (auf einer externen Schnittstelle) ein IPv6 Prefix erhalten, kann sie das Default Gateway und das Subnetz per Router Advertisement bekannt machen und gleichzeitig entsprechende IPv-6 Adressen im angeschlossenen Netzwerk verteilen. (Siehe Artikel IPv6 Prefix Delegation)
IPv6-Adressen vergeben:	Ein	Ist es nicht erwünscht, das die UTM IPv6 Adressen verteilt, sondern nur das Default Gateway, dann muss diese Option deaktiviert werden.
IPv6 Prefix Delegation:	Aus	Aktiviert die IPv6 Prefex Delegation, um auf dieser Schnittstelle IPv6 Prefixe zugeteilt zu bekommen. (Nur für externe Schnittstellen zulässig.)
Einstellungen Einstellungen
MTU:	1500^▴_▾	Die Maximum Transmission Unit gibt die maximale Paketgröße an, die ohne Fragmentierung übertragen werden kann. Je nach Netzwerktyp (Kabel, Ethernet, VPN-Nutzung) können hier andere Werte bei Verbindungsproblemen Abhilfe schaffen.
Autonegotiation: notemptyNeue Option: Default	Aus AnDefault	Erlaubt (an) bzw. verbietet (aus) Ethernet-Netzwerkports selbständig die maximal mögliche Übertragungsgeschwindigkeit und das Duplex-Verfahren miteinander auszuhandeln und zu konfigurieren. Oder führt keine Überprüfung der Autonegotiation durch (default) und produziert daher auch keinen Fehler, wenn die Option gar nicht änderbar ist
Geschwindigkeit: notemptyAuch bei aktivierter Autonegotiation	10 MBit/s 100 MBit/s 1000 MBit/s	Geschwindigkeit der Netzwerkkommunikation
Duplex: notemptyAuch bei aktivierter Autonegotiation	full half	Duplex erlaubt das gleichzeitige Senden und Empfangen von Datenpaketen. HUBs beherrschen i.d.R. nur Halfduplex. Wenn an einem Ende der Verbindung der Autonegotiation-Modus aktiviert ist und am anderen Ende Vollduplex-Betrieb erzwungen wird, erkennt der Teilnehmer mit Autonegotiation den Link als Halb-duplex, wodurch eine große Zahl von Übertragungsfehlern auftritt. →Wikipedia
Route Hint IPv4:	192.0.2.192/---	Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur die Schnittstelle (z.B. LAN3) angeben werden muss und nicht direkt die Gateway-IP.
Route Hint IPv6:	2001:DB8::123/---	Über das Feld "Route Hint" ist es möglich das Gateway der Schnittstelle zu definieren. Das hat zum Beispiel den Vorteil, dass im Routing nur die Schnittstelle (z.B. LAN3) angeben werden muss und nicht direkt die Gateway-IP.
Per CLI lässt sich zusätzlich ein Flow Control konfigurieren. Autonegotiate aktivieren: interface set name "LAN1" options [ pause_autoneg=1 ] RX (Das Interface kann Pause Frames empfangen.) aktivieren: interface set name "LAN1" options [ pause_rx=1 ] TX (Das Interface kann Pause Frames an andere Teilnehmer in dem Netzwerk senden.) aktivieren: interface set name "LAN1" options [ pause_tx=1 ] Konfiguration einsehen: interface get
IP-Adressen IP-Adressen
IP-Adressen	»192.168.121.1/24»fc80:1234::1/64	Unter dem Menüpunkt IP-Adressen können eine oder mehrere Adressen auf eine Schnittstelle gelegt werden.

Zonen Zonen
Zonen	»internal»firewall-internal»internal_v6»fireall-internal_v6	Unter dem Menüpunkt Zonen werden die Zonen der Schnittstelle festgelegt. Wichtig: Die Zone internal sollte immer einer Schnittstelle zugeordnet sein. Wird die Zone internal keiner Schnittstelle zugeordnet und ist die Administration über das Webinterface nicht explizit freigegeben, kann nicht mehr auf das Webinterface zugegriffen werden!

DynDNS DynDNS
Aktiviert:	Ja	Aktiviert bzw. deaktiviert (default) die DynDNS Funktion	DynDNS-Einstellungen
Hostname:	hostname.spdns.de	Gewünschter Hostname
Benutzer:	hostname.spdns.de	Hier muss der zugehörige Benutzer eingetragen werden. Bei Verknüpfung mit einem Reselleraccount muss hier der zugehörige Hostname eingetragen werden.
Passwort:		Hier muss das Passwort eingetragen werden. Bei Verknüpfung mit einem Reselleraccount muss hier das Update-Token eingetragen werden.
Server:	update.spdyn.de	Der Securepoint-Updateserver
MX:
Webresolver:	Ein	Muss aktiviert werden, wenn der NAT Router sich vor dem DNS befindet (Bsp.: UTM → Fritzbox/Speedport o.ä. → Internet)
Protokoll:		Der DNS-Dienst kann für ausschließlich IPv4 oder IPv6 Adressen, oder sowohl IPv4 als auch IPv6 aktiviert werden.


Fallback Fallback
Fallback-Schnittstelle:	wan3	Schnittstelle, die bei Fehlfunktion der Haupt-Schnittstelle für diese einspringt. Überprüft wird die Störungsfreiheit durch Ping-check einer IP. Weitere Hinweise zur Konfiguration eines Fallbacks finden sich in einem eigenen Wiki Artikel	Fallback-Einstellungen
Ping-check IP:	»203.0.2.203 »192.0.2.192 Beispiel-IPs müssen ersetzt werden	Bis zu 4 Hosts, auf den bzw. die der Ping-Check durchgeführt werden soll. Das kann ggf. auch ein Host im internen Netz sein. Antwortet ein Ping-Check-Host nicht, wird unmittelbar die darauf folgende IP-Adresse probiert. Antwortet keiner der Ping-check-Hosts wird das als ein Fehlversuch gewertet und nach dem Ping-Check-Intervall erneut geprüft.
Ping-check Intervall:	5^▴_▾ Sekunden	Zeitraum zwischen den Pingversuchen
Ping-check Threshold:	4^▴_▾ Versuche	Anzahl der fehlgeschlagenen Pingversuche, bevor auf die Fallback Schnittstelle gewechselt wird.

Default-Route anlegen

Anlegen einer Standardroute für Verbindungen unter: Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche Default-Route hinzufügen
Gateway Typ Schnittstelle Gateway Typ: Schnittstelle
Beschriftung	Wert	Beschreibung	Default-Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Default Route anlegen
Gateway:	wan0	Auswahl der Schnittstelle, über die die Default Route laufen soll
Dialog Speichern und schließen

Default-Route für IPv4. Ggf. muss eine weitere Default-Route für IPv6 angelegt werden.			Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Routing mit PPPoE

Gateway Typ IP Gateway Typ: IP
Beschriftung	Wert	Beschreibung	Default-Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Default Route anlegen
Gateway:	fe80:1234::1/---	IP-Adresse des Gateways. Wird eine Link Local IPv6 erkannt, wird die Schaltfläche "Schnittstelle" eingeblendet und es muss eine Schnittstelle ausgewählt werden.
Schnittstelle: Nur bei Link local IPv6	LAN1	Schnittstelle, über welche die IP-Adresse erreicht werden kann.
Dialog Speichern und schließen

Default-Route für IPv6. Ggf. muss eine weitere Default-Route für IPv4 angelegt werden.			Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Routing mit PPPoE

Mobilfunkeinstellungen

Warnung: Der Anzeigetitel „Mobilfunkeinstellungen“ überschreibt den früheren Anzeigetitel „Ethernet Schnittstellen“.

Mobilfunkeinstellungen auf der UTM

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

Zuletzt aktualisiert:

Fehlerhaften 5G Hinweis entfernt

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.3 11.7 11.6.11

Vorbemerkung

Unter Netzwerk Netzwerkkonfiguration Bereich Mobile kann eine UMTS oder LTE Schnittstelle konfiguriert werden.
Der verwendete Modus hängt vom Modem ab, die Einrichtung unterscheidet sich nicht.

Das Upgradekit für die UMTS oder LTE-Funktion kann für die Black Dwarf, die RC100 und die RC200 nachträglich bezogen werden.
Auf Wunsch ist es auch möglich, dass das UMTS oder LTE-Modul schon vor Auslieferung verbaut wird.
Die Geräte bzw. die Upgradekits sind ausschließlich über Securepoint oder die Wortmann AG zu beziehen.
Fremdprodukte werden nicht unterstützt.
Eine detaillierte Anleitung zum nachträglichen Einbau ist hier zu finden. Einbau Upgradekit

Bitte beachten, dass das Gerät nach einem Absturz des Modems für mehrere Minuten komplett stromlos gemacht werden muss, damit sich dieses erfolgreich neu einwählen kann.

Verfügbare Module

Name	Hersteller	Funktion
MC7304	Sierra Wireless Incorporated	LTE Modem
EM770W	Huawei	UMTS Modem
	Qualcomm	LTE Modem

Mobile-Schnittstelle hinzufügen

Die Mobile Schnittstelle wird unter Netzwerk Netzwerkkonfiguration Bereich Mobile Schaltfläche + Mobile konfiguriert. Es öffnet sich der Einrichtungsassistent für die Mobile-Schnittstelle.	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Mobile-Schnittstelle hinzufügen
Einrichtungsschritt 1	Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration
Einrichtungsschritt 2 Das zu konfigurierende Modul wird ausgewählt.
Einrichtungsschritt 3 Die Zonen müssen auf das Interface gelegt werden. Wenn die Mobile Schnittstelle als Internetverbindung genutzt werden soll, werden hier die Zonen external und firewall-external benötigt. Es können auch neue Zonen angelegt werden. Für eine Fallback Schnittstelle werden keine Zonen benötigt.
SIM verwalten
SIM entsperren Die SIM-Karte kann durch einen Klick auf das Schloss-Symbol und die Eingabe der PIN aktiviert werden.	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk SIM-Karten Entsperrung
SIM PIN entfernen Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden. Modem anzeigen lassen: mmcli -L Pfad zur SIM anzeigen: mmcli -m "MODEM-NUMBER" PIN Abfrage deaktiveren: mmcli -i "PATH-TO-SIM" --pin="PIN" --disable-pin

Provider Auswahl Nachdem die SIM entsperrt wurde kann die Verbindung bearbeitet und der Provider gewählt werden. Die Carrier unterscheiden sich durch den jeweiligen APN. Eine Übersicht der am häufigsten genutzten Provider ist hier zu finden: Mobile Provider	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk
	Modem bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration
Route hinzufügen Damit über die Mobile-Schnittstelle eine Verbindung zum Internet hergestellt werden kann, wird eine Standardroute über das Mobile-Interface (wwan0) benötigt. Die Konfiguration einer Defaultroute ist hier zu finden Defaultroute konfigurieren Die Einrichtung der Mobile-Verbindung ist hiermit abgeschlossen.

Signalqualität Die Signalqualität kann unter Netzwerk Netzwerkkonfiguration Bereich Mobile ausgelesen werden. Die Signalqualität wird in Prozent angegeben.	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk LTE-Signal mit LTE Modem
	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk HSPA-Signal mit UMTS Modem

WLAN Konfiguration

Warnung: Der Anzeigetitel „WLAN-Funktion“ überschreibt den früheren Anzeigetitel „Mobilfunkeinstellungen“.

WLAN-Funktion einer UTM Black Dwarf, RC100 und RC 200

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces
Hinweis auf maximale Anzahl an WLAN-Clients

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.1 11.6

WLAN-Funktionalität

Das WLAN steht in den Geräten "Black Dwarf", "RC100" und "RC200" ab der Auslieferung oder aber als Nachrüstsatz zur Verfügung.
Die Geräte/Nachrüstsätze sind ausschließlich über die Securepoint GmbH oder die Wortmann AG zu beziehen.

Fremdprodukte werden nicht unterstützt.

Eine detaillierte Anleitung zum nachträglichen Einbau findet sich hier.

Achtung: Es handelt sich in dieser Anleitung der WLAN-Einrichtung um keine Bridge-Konfiguration. Der WLAN-IP-Kreis muss in einem eigenständigen Subnetz liegen.
Wie auch bei jeder DMZ sind ggf. Regeln und HideNATs zu erstellen, um den Zugriff auf das Internet/lokale Netz zu ermöglichen.
Soll eine Bridge eingerichtet werden, in der das WLAN und das interne Netzwerk im selben IP-Netz liegen, ist die entsprechende Anleitung für Bridging zu verwenden.

Es können sich bis zu 28 Clients mit dem WLAN der UTM verbinden

Aufruf der WLAN-Konfiguration im Menü Bereich WLAN

Einstellungen

Beschriftung

Wert

Beschreibung

Modus:

Legt die Geschwindigkeit und ggf. auch die Frequenz der Übertragung fest.

Modus:	Beschreibung:
802.11a	54 MBit/s, 5 GHz
802.11b	11 Mbit/s, 2,4 GHz
802.11g	54 MBit/s, 2,4 GHz
802.11an	802.11n mit bis zu 300 MBit/s, 5GHz Abhängig von den Einstellungen der HT Capabilities des Clients
802.11gn	802.11n mit bis zu 300 MBit/s, 2,4GHz Abhängig von den Einstellungen der HT Capabilities des Clients

Ländercode:

Über den Ländercode wird ermittelt, welche Frequenzen und welche Signalstärken verwendet werden dürfen.

Die genutzten Frequenzen und die Sendeleistung lassen sich in einem Wikipedia-Artikel nachlesen.

Kanal:

Der Kanal kann, je nach Modus, individuell festgelegt oder automatisch gewählt werden.

Beacon-Intervall:

100^▴_▾(default)

Frequenz in ms mit der die Basistation allgemeine Informations- und Management-Pakete mit Identifikationsdaten aussendet, um über seine Anwesenheit informieren

Tatsächlich wird der Wert kμs (Kilomikrosekunden) angegeben. Eine kμs entspricht 1,024 Millisekunden bzw. 0,001024 Sekunden

Speichern und schließen

Speichert die Einstellungen und schließt den Eingabedialog.

WLAN QR-Codes drucken

Erzeugt eine html-Seite mit Zugangscodes im QR Format für die WLANs und öffnet den Druck-Dialog des Browsers

WLAN hinzufügen

Öffnet den WLAN-Assistenten

Abhängig von der lieferbaren WLAN-Hardware können bis zu 4 WLAN Netze möglich sein.

Schritt 1 - IP-Adresse

BSS:

wlan0

Interface Name - wird vorgegeben und lässt sich nicht ändern. (ist Bestandteil des Basic service Set)

Schritt 1 - IP-Adresse

IP-Adresse:

192.168.177.1/24

IP-Adresse des WLAN-Interfaces.

Die Adresse des Interfaces legt auch automatisch das verwendete Netz für das WLAN fest.

Das für das WLAN gewählte Netz (in diesem Fall 192.168.177.0/24) darf auf keinen Fall mit einem anderen Netz auf der Appliance übereinstimmen!

Schritt 2 - SSID

Netzname (SSID):

TTT-Point-WLAN

Der Name des Netzes, das andere Geräte für eine Verbindung angeben müssen

Schritt 2 - SSID

SSID-Broadcast:

Ein

Bei Aktivierung wird das WLAN für andere Geräte angezeigt.

Schritt 3 - Authentifizierung

Sicherheitsmodus:

Gilt als unsicher und ist lediglich aus Gründen der Abwärtskompatibilität vorhanden.

Schritt 3 - Authentifizierung

Standard mit erhöhter Sicherheit

Standard mit höchster verfügbarer Sicherheit.

Management Mode:

Pre Shared Key. Basistation und Mobilgerät müssen über den selben PSK (≙Kennwort) verfügen. Die Sicherheit der Verschlüsselung hängt unmittelbar von der Länge und der Komplexität des PSKs ab! Kurze oder leicht zu erratende PSKs gefährden die Netzwerksicherheit.
Es wird automatisch ein sicherer PSK vorgeschlagen, der sich mit neu erzeugen lässt.

Simultaneous Authentication of Equals: (Nur bei WPA3)
Nutzt ebenfalls einen PSK, verwendet aber ein verbessertes Verfahren zum Schlüsselaustausch.

Aus dem Passwort wird ein eindeutiger aber bei jedem Client anderer Pairwise Master Key (PMK) abgeleitet. Trotz Verwendung eines für alle Clients gleichen Passworts erhält jeder Client einen eigenen PMK. Aus dem PMK werden mittels Vier-Wege-Handshake zwischen WLAN-Client und dem Authentifikationsserver Pairwise Transient Keys (PTK) abgeleitet, mit denen die eigentliche Verschlüsselung der Daten erfolgt.

Extensible Authentication Protocol / WPA Enterprise: Authentifizierung über einen Radius Server. (Dieser wird unter festgelegt.)

Opportunistic Wireless Encryption: Verschlüsselte Verbindungen ohne Passwort. Kann z.B. für das Captive Portal genutzt werden

Schritt 4 - Zonen

Neue Zone:

Ein

Legt eine neue Zone für das WLAN an.

Jedes WLAN benötigt eine eigene Zone.

Es kann für jedes WLAN eine eigene Zone (mit eigenen Portfilterregeln) erstellt werden

Schritt 4 - Zonen

Regeln generieren:

Ein

Erstellt einen Portfilter Regelsatz für diese Schnittstelle mit

any-Regeln.

Diese dienen lediglich dazu, das Netzwerk temporär in Betrieb zu nehmen und sollten unbedingt durch individuelle Portfilterregeln ersetzt werden!
(Menü )

Soll der Transparente Modus des HTTP-Proxys genutzt werden, muss dieses zusätzlich konfiguriert werden: Reiter Transparenter Modus Schaltfläche Transparente Regel hinzufügen

DHCP-Pool anlegen:

Ein

Legt einen DHCP-Pool mit dem gewählten Netz und der Schnittstellen-IP al Router-Adresse an. Bearbeiten im Abschnitt DHCP-Pools

Fertig

Abschluss des Assistenten und speichern der Einstellungen

WLAN Einstellungen bearbeiten

Abschnitt Allgemein

BSS

Anyideas

Interface Name - wird vorgegeben und lässt sich nicht ändern. (ist Bestandteil des Basic service Set)

Liste der konfigurierten WLANs (max. 2)

Abhängig von der lieferbaren WLAN-Hardware können bis zu 4 WLAN Netze möglich sein.

Netzname (SSID)

TTT-Point-WLAN

Der Name des Netzes, das andere Geräte für eine Verbindung angeben müssen

SSID-Broadcast

Ein

Bei Aktivierung wird das WLAN für andere Geräte angezeigt.

Abschnitt Authentifizierung

Einstellungen wie im Assistenten Schritt 3
Zusätzlich bei WPA bzw. WPA2:

Verschlüsselung:

Verschlüsselungsprotokoll, das auf dem Advanced Encryption Standard (AES) basiert.

Es wird ein 128 Bit langer Schlüssel mit einem 48 Bit langen Initialisierungsvektor verwendet.

Verwendet einfache Verschlüsselung.

Von der Verwendung wird dringend abgeraten!
Steht bei Verwendung von WPA3 nicht zur Verfügung.

Abschnitt Einstellungen

AP Isolation:

Ein

Endgeräte können im WLAN-Netz nur die Firewall erreichen. Clients im selben WLAN-Netz können sich also untereinander nicht erreichen.

Einstellungen der WLAN Verbindung

Wi-Fi Multimedia (WMM):

Ein

Endgeräte können ihre Frames mit einem Tag versehen, wodurch die Priorität beeinflusst wird.

Management Frame Protection (MFP):

Ermöglicht bei Aktivierung eine Verschlüsselung der Kommunikation für den Aufbau und Betrieb der Datenverbindung nach IEEE 802.11w
Erhöht damit Netzwerksicherheit und verhindert z.B. Man in the Middle Anfgriffe.
Erfordert WPA2 oder WPA3

WPA Group Rekeying:

600(default)

Der eingetragene Wert gibt das Zeitintervall in Sekunden an, indem die Verschlüsselung neu ausgehandelt wird.

DHCP-Server IPv4

Warnung: Der Anzeigetitel „DHCP-Server IPv4“ überschreibt den früheren Anzeigetitel „WLAN-Funktion“.

Einrichtung des DHCP-Servers für ein IPv4-Netzwerk

Letzte Anpassung zur Version: 14.1.1

Neu:

Neuer Abschnitt Erweiterte Einstellungen bei Pool bearbeiten

Das Design des Dialogs wurde überarbeitet

Zuletzt aktualisiert:

Hinweis zu dynamischen Leases

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0.3 12.6 12.5 12.4 11.8.4 11.7

IP-Adressbereiche vorbereiten

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Netzwerkschnittstellen

Damit die Firewall als DHCP-Server in einem Netz fungieren kann, muss eine feste IP aus dem Netzbereich, der vergeben werden soll, auf der entsprechenden Schnittstelle liegen. Im Beispiel werden IP-Adressen im Netzwerk 192.168.222.0/24 vergeben. Um dieses Vorhaben zu realisieren, wird eine IP aus diesem Netzwerk auf dem Interface hinzugefügt. LAN3 → → IP-Adressen → In der Klickbox ggf. die IP-Adresse aus dem gewünschtem Netz mit der gewünschten Subnetzmaske eintragen/auswählen. Hier 192.168.222.1/24

DHCP-Server einrichten

DHCP

Allgemein

Beschriftung	Wert	Beschreibung	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk DHCP-Pools
Ausführliche Protokollierung (Debug-Modus): notemptyNeu	Aus	Bei Aktivierung werden alle DHCP-Anfragen in das Syslog aufgenommen
DHCP-Pools DHCP-Pools Es können mehrere DHCP-Pools hinzugefügt werden Dabei steht nur der erste Pool je Subnetz für dynamische Leases zur Verfügung. Weitere Pools sind ausschließlich für statische Leases nutzbar Beispiel: Pool_1: 192.168.14.20 - 192.168.14.50 Pool_2: 192.168.14.100 - 192.168.14.150 Sind 31 Leases per DHCP vergeben worden, werden keine weiteren dynamischen Leases mehr zugewiesen. Der 32. Client erhält keine IP-Adresse mehr dynamisch zugewiesen und hat damit keine Netzwerk-Kommunikation. Ist einem Client über die MAC-Adresse ein statisches Lease mit der Adresse 192.168.14.101 zugeordnet, wird diese zugewiesen. Nach einem Klick auf Pool hinzufügen öffnet sich der Einrichtungsassistent und die DHCP-Parameter können angegeben werden
Andere DHCP-Server ignorieren:	Aus	Bei Aktivierung werden andere DHCP-Server notemptyNeu: IPv4 und IPv6 ignoriert.
Werden (über alle Pools zusammen) mehr als 1000 IP-Adressen per DHCP benötigt, muss die Anzahl der möglichen Leases erhöht werden. Die geschieht im Menü Extras Erweiterte Einstellungen Bereich Extc-Variablen mit der Variablen MAXLEASES. Der Wert 0 entspricht dabei dem Defaultwert des Dienstes: 1000 Leases. Werden mehr Leases benötigt, muss hier der tatsächliche Wert eingetragen werden. Bearbeiten

Schritt 1: Name + Pool-Länge

In Schritt 1 wird der Name für den Pool sowie der gültige IP-Bereich für den DHCP verlangt.
Im Beispiel werden folgende IP-Adressen vergeben
Pool-Startadresse: 192.168.222.150/---
Pool-Endadresse: 192.168.222.170/---

Schritt 2: Nameserver

In Schritt 2 kann der DNS-Server für die DHCP-Clients festgelegt werden.
Hier kann entweder die IP eines öffentlichen DNS-Servers oder die IP der Firewall selbst eingetragen werden. Im Beispiel nutzen die Clients die Firewall selber als DNS.notemptyDamit die UTM die DNS-Anfragen aus dem internen Netzwerk auch beantwortet, wird eine entsprechende Regel benötigt.

Schritt 3: Router + Optionen

In Schritt 3 des Assistenten wird das Standardgateway der DHCP-Clients angegeben.
Im Normalfall wird hier immer die IP der Firewall eingetragen.notemptyEin falscher Eintrag in diesem Feld verhindert möglicherweise einen Zugriff in das Internet!

Pool bearbeiten

Nachdem der Pool korrekt angelegt wurde, können die Pool-Start- und Endadresse geändert, sowie weitere Parameter des DHCP-Pools eingerichtet werden, die an den DHCP-Client übergeben werden sollen.

Allgemein

Pool bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Pool bearbeiten Bereich Allgemein

Änderungen bei der Pool-Startadresse und der Pool-Endadresse möglich

Einstellungen - DHCP Optionen

Option	Options-Nummer	Wert	Beschreibung	Pool bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Pool bearbeiten Bereich Allgemein
Router:	3	»192.168.222.1	Router, wie in Schritt 3 konfiguriert
Domainname:	15	securepoint.local	Name der Domain, in der die DHCP-Leases vergeben werden
Domain Nameserver:	5	»192.168.222.1	Nameserver, wie in Schritt 2 konfiguriert
Netbios Nameserver:	44		NetBIOS over TCP/IP Name Server Option
SMTP-Server:	69		Simple Mail Transport Protocol (SMTP) Server Option
NTP Server:	41		Server sollten in der Reihenfolge ihrer Präferenz aufgelistet werden.
Vendor Encapsulated Options:	43		Werte müssen codiert angegeben werden.
TFTP Server Name:	66	profile.gigaset.net	Die IPv4-Adresse, oder der Hostname vom TFTP Server option tftp-server-name text;
Bootfile Name:	67		Die Bezeichnung der Datei des Bootfile option bootfile-name text;
Default URL:	114	https://teamwork.gigaset.com/gigawiki/display/GPPPO/DHCP+option+114	Default URL option default-url string;
VLAN ID:	132		Die ID des verwendeten VLAN option vlan-id code 132 = text; option vlan-id "128";
Next Server:			Die IPv4-Adresse des Next Servers Fehlt der Wert, kann TFTP gegebenenfalls nicht funktionieren.
Default Lease Time:	51	600 Sekunden	Standard Gültigkeitsdauer der IP-Adresse, wenn der Client keine explizite Dauer angefragt hat.
Maximal Lease Time:		7200 Sekunden	Maximale Gültigkeitsdauer der IP-Adresse in Sekunden, die der Client bei expliziter Anfrage erhalten darf.
Unbekannte Clients ablehnen:		Nein	Bei Aktivierung Ja wird nur dann eine IP-Adresse vergeben, wenn zu der MAC-Adresse des Clients ein Eintrag im Reiter Statisches DHCP vorhanden ist. notemptygeändertes Standard Verhaltenab v12.7: Der statische Lease Eintrag zum DHCP muss im selben Pool vorliegen um als bekannt zu gelten. Der statische Lease Eintrag zum DHCP muss im selben Pool vorliegen um als bekannt zu gelten.

Erweiterte Einstellungen

notemptyNeu ab: 14.1.1
Falls weitere DHCP-Einstellungen vorgenommen werden sollen, kann mittels der Schaltfläche Option hinzufügen in dem sich öffnendem Dialogfenster aus allen 256 möglichen Optionen eine ausgewählt und deren Wert eingegeben werden.			Pool Option hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfigurationPool bearbeiten

Beschriftung	Wert	Beschreibung	Pool bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Erweiterte Einstellungen mit einer eingestellten DHCP-Option
ID	5	Die ID der DHCP-Option Im Dialogfenster wird beim Hovern beim -Icon deren RFC-Nummer angezeigt
Name	Name Servers	Der Name der DHCP-Option
Wert	192.168.222.1	Der Wert der DHCP-Option. Je nach ausgewählter DHCP-Option kann ein anderer Werttyp benötigt werden.

Statisches DHCP

Sollen Hosts vorgegebene IP-Adressen zugewiesen bekommen (also an die MAC-Adresse gebundene feste IPs, die aber durch die UTM zugeteilt werden), können diese IPs mit statischen Leases reserviert werden:
Konfiguration unter Netzwerk Netzwerkkonfiguration Bereich Statisches DHCP mit der Schaltfläche Lease hinzufügen

Host:	MaxMustermann-Laptop	Aussagekräftiger Hostname	Lease hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Dialog Lease hinzufügen
Ethernet:	12:34:56:78:90:AB	MAC-Adresse des Hosts
IP:	192.168.222.111/---	IP-Adresse, die exklusiv für diesen Host reserviert werden soll
Speichern und schließen		Speichert und übernimmt den Lease und schließt den Erstellungsdialog.

notemptyWichtig: Leases müssen zwingend in einem existierenden DHCP-Pool liegen!			Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Statisches DHCP
notemptyEine gemeinsame Verwendung von statischen und dynamischen IP-Adressen innerhalb eines Pools ist möglich.

Statische Leases ausserhalb eines Pools

Bestehende Statische Leases, die nicht innerhalb eines DHCP-Pools liegen, müssen zwingend geändert werden Werden solche Leases nach einem Update erkannt, wird eine Meldung eingeblendet, die auffordert, die DHCP-Einstellungen anzupassen. Es können nun entweder die Leases angepasst und in bestehenden Pools verlegt werden oder weitere DHCP-Pools erzeugt werden, die statische Leases beinhalten oder bestehende DHCP-Pools erweitert werden, so daß sie statische Leases beinhalten			Warnung bei Anmeldung

Konfiguration des DHCP-Relay

Mit dem DHCP-Relay können Geräte ihre Netzwerkkonfiguration dynamisch über das Netz erhalten, auch wenn der DHCP Server in einem anderen Teilnetz steht.

Beschriftung	Wert	Beschreibung	Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Netzwerkkonfiguration DHCP Relay Übersicht
Debug-Modus aktivieren: notemptyNeu ab v12.7.1	Aus	Erst bei Aktivierung Ein werden Logmeldungen geschrieben
DHCP Relay IPv4 DHCP Relay IPv4
DHCP-Server IP-Adressen:notemptyaktualisiertMehrere Einträge möglich	»192.168.178.1	IP-Adressen des/der DHCP-Server/s Das Netz bzw. die Netze, in dem die Server stehen müssen der UTM bekannt sein.
Clientseitige Schnittstellen:	LAN2	Schnittstellen, für die der DHCP Server zuständig sein soll.
DHCP Relay IPv6 DHCP Relay IPv6
Serverseitige Schnittstellen:	LAN1	Schnittstelle, hinter der ein DHCP-v6 Server steht
Clientseitige Schnittstellen:	LAN2	Schnittstellen, für die ein DHCP-v6 Server zuständig sein soll.

Widget

Im Administratorinterface der UTM existiert ein DHCP-Widget, welches einen Überblick über die vorhandenen DHCP-Verbindungen liefert.
Weitere Informationen sind im Wiki-Artikel UTM Widgets zu finden.

Zoneneinstellungen

Warnung: Der Anzeigetitel „Zoneneinstellungen“ überschreibt den früheren Anzeigetitel „DHCP-Server IPv4“.

Zoneneinstellungen auf der UTM

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.4 11.7

Einleitung

Das Zonenkonzept definiert, über welche Schnittstelle ein Objekt (Host oder Netz) die NextGen UTM erreicht.
Hierzu wird es in der Netzwerkkonfiguration auf ein Interface, sowie im Regelwerk an ein Netzwerkobjekt gebunden.

Das Zonenkonzept

Eine neue Zone anlegen

Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen Zone hinzufügen

Eine neue Zone wird unter Netzwerk Zoneneinstellungen angelegt, indem auf die Schaltfläche Zone hinzufügen geklickt wird.
Eine Zone kann nur ohne, oder mit einer bereits erstellten Schnittstelle erstellt werden.

Die Zonen

Das Zonenkonzept

Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:

Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden.
Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind.
VPN-Zonen unterscheiden verschiedene Netze, die über VPN-Verbindungen angebunden sind.

Die Art einer Zone wird durch Flags gesteuert, welche beim Anlegen der Zone definiert werden. Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“).
Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.
Beispiele:
Internal Network: internal
Internal Interface: firewall-internal
External Interface: firewall-external
Internet: external
Mailserver: internal
Webserver in der 1. DMZ: DMZ1
Entferntes IPSec-Subnetz: vpn-ipsec
Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden?
Hier ein Beispiel für eine Portfilterregel:

Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External". Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden.	#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
	4	internal-network	internet	HTTP		Accept	Ein

Wird nun z.B. "www.ttt-point.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung.
Die Dienste der Firewall sind über die jeweiligen Schnittstellen erreichbar.
Ist also die Firewall der DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall.
Diese Anfrage muss mit einer Portfilterregel erlaubt werden:

Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich nicht hinter unterschiedlichen Schnittstellen.
Vielmehr befindet sich das Ziel (die Schnittstelle) im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden jedoch Regeln für Verbindungen zu Netzwerken oder Hosts in einer anderen Tabelle des Portfilters erstellt als solche, die die Firewall selbst zum Ziel haben.
Schnittstellen befinden sich also in ihren eigenen Interface-Zonen, so dass hier z.B. die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt.

Quelle und Ziel einer Verbindung, die im Portfilter-Regelwerk freigegeben wird, befinden sich also immer in unterschiedlichen Zonen:

Entweder in einer anderen Netzwerkzone und damit hinter einem anderen Interface, oder
in der Interface-Zone der Schnittstelle, hinter der sich das Netzwerksegment der Quelle befindet.

#

Quelle

Ziel

Dienst

NAT

Aktion

Aktiv

4

internal-network

internal-interface

DNS

Accept

Ein

Flags

Flag	Bedeutung	Zoneneinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Zoneneinstellungen
Kein Flag	Es handelt sich um die Zone eines Netzwerks.
Interface	Es handelt sich um die Zone zu einer UTM-Schnittstelle. Diese wird in der Regel genutzt, um die Dienste, die die UTM anbietet (Nameserver, Proxy), erreichbar zu machen.
Policy_IPSec	Es handelt sich um die Zone eines IPSec-VPN Netzwerkes.
PPP_VPN	Es handelt sich um die Zone in der sich PPTP- oder L2TP-VPN Clients befinden.

IPv6

Ab Version 12.4 werden keine extra Zonen mehr für IPv6 benötigt.
Es wird bereits anhand der Art der IP festgelegt, ob die Regel nach iptables oder ip6tables geschrieben werden muss.

Bei Neuinstallationen werden keine IPv6 Zonen mehr angelegt.
Existierende Zonen bleiben beim Firmware-Upgrade oder Import einer Konfiguration bestehen.

Netzwerkwerkzeuge

Warnung: Der Anzeigetitel „Netzwerkwerkzeuge“ überschreibt den früheren Anzeigetitel „Zoneneinstellungen“.

Netzwerk Werkzeuge zur Systemanalyse in der UTM

Letzte Anpassung zur Version: 14.1.1

Neu:

Aufruf und Schließen jetzt über Tool-Leiste (unten links)
Neue Funktion: Ähnlichkeitserkennung

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0 12.6 12.2.2 11.8 11.7

Einleitung

Tool-Leiste unter dem Seiten-Menü links

notemptyNeue Platzierung des Menüs in der Tool-Leiste ab v14.1.0
Zum Überprüfen der Netzwerkverbindungen werden auf dem Webinterface der UTM über die Tool-Leiste unter Netzwerkwerkzeuge verschiedene Funktionen zur Verfügung gestellt.

Zum Schließen des Dialogs klickt man entweder wieder auf oder nutzt dafür alternativ die Schaltfläche .

Dialog mit Dropdown-Schaltfläche

notemptyNeu ab v14.1.0 Die Netzwerkwerkzeuge werden als modaler Dialog zusätzlich am unteren Bildschirmrand eingeblendet und können neben anderen Menüs angezeigt werden.
Bei einer Bildschirmbreite von mehr als 1580 Pixeln kann der Dialog wahlweise auch am rechten Bildschirmrand angezeigt werden.

Route Route
Durch das betätigen der Schaltfläche Senden wird die Main-Routingtabelle der UTM angezeigt. Entspricht dem Befehl ip route show table main als root auf der UTM ausgeführt. Per default wird die Main-Routing-Tabele für IPv4 angezeigt. Es kann aber auch die Routing-Tabelle für IPv6 Ein angezeigt werden.			Netzwerkwerkzeug - Route
			Netzwerkwerkzeug - Route
Ping Ping
Mit Ping kann überprüft werden, ob ein bestimmter Host in einem internen oder externen Netzwerk erreichbar ist. Es wird dafür auf der UTM von dieser Stelle aus keine Portfilter-Regel benötigt, wohl aber, wenn von einem Netzwerkgerät aus gepingt werden soll. notempty Nicht jedes Ziel lässt icmp-echo-request zu! Ping für IPv4			IPv4 Ping-Test
Einstellungen
IPv6	Aus	Bleibt bei einem IPv4-Ping deaktiviert
Quelle	192.168.175.1	Auswahl der IPv4-Adresse mit der gepingt werden soll
Ziel	k.root-servers.net	Ziel-Name oder IP-Adresse
Senden		Startet den Ping-Test
Antwort		Der Root-Server k.dns-zone.net des Ripe NCC


Ping für IPv6
Einstellungen
Beschriftung	Wert	Beschreibung	IPv6 Ping-Test
IPv6	Ein	Aktivieren, damit IPv6 überhaupt verwendet wird		IPv6 Ping-Test
Quelle:	2001:db08:aaaa:bbb00::1	Auswahl der IPv6-Adresse, mit der gepingt werden soll
Ziel:	k.root-servers.net	Ziel-Name oder IP-Adresse
Senden		Ping-Test starten
Antwort		Der Root-Server k.root-servers.net des Ripe NCC sollte wie nebenstehend abgebildet antworten


Host Host
Einstellungen
Abfragetyp:	Any	Alle aufgelistete Typen werden abgefragt	Netzwerkwerkzeug - Host
	A	Der A-Record spezifiziert die IPv4-Adresse für den angegebenen Host
	AAAA	Der AAAA-Record spezifiziert die IPv6-Adresse für den angegebenen Host
	PTR	Im Gegensatz zur Vorwärts-DNS-Auflösung (A- und AAAA-Records) wird der PTR-Datensatz verwendet, um Domänennamen basierend auf einer IP-Adresse zu finden
	MX	Der MX-Record gibt einen Mail-Exchange-Server für einen DNS an. Die Informationen werden vom Simple Mail Transfer Protocol (SMTP) verwendet, um E-Mails an richtige Hosts weiterzuleiten.
	TXT	Der TXT-Record kann beliebige, nicht formatierte Textzeichenfolgen enthalten. Dieser wird vom Sender Policy Framcework (SPF) verwendet, um zu verhindert, dass gefälschte E-Mails versendet werden.
	SOA	Der SOA-Record legt Kerninformationen zu einer DNS-Zone fest, einschließlich des Primären Nameservers, der E-Mail des Domänenadministrators, der Domänen-Seriennummer und mehrerer Zeitgeber, die sich auf die Aktualisierung der Zone beziehen
	NS	Der NS-Record gibt einen autorisierenden Nameserver für einen bestimmten Host an
Hostname:	securepoint.de	Host, der Angefragt werden soll
Nameserver:	127.0.0.1	Nameserver, der verwendet werden soll. Hier die UTM selbst.
Antwort		Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: securepoint.de has address 51.89.43.189

Traceroute Traceroute
Einstellungen
Mit diesem Tool können die Hops einer Verbindung zum Host sichtbar gemacht werden. Sollte z. B. ein Ziel nicht erreichbar sein, könnte hiermit die letzte erreichbare IP-Adresse auf dem Weg ermittelt werden.			Netzwerkwerkzeug - Traceroute
IPv6:	Aus	Festlegen, ob IPv6 verwendet werden soll
Quelle: notemptyNeu ab v14.0.0	LAN1	Quelle von der der Traceroute ausgeht
Ziel:	k.root-servers.net	Angabe des Ziels, das mit Traceroute verfolgt werden soll
Antwort		Ergebnis der Traceroute-Funktion

URL Kategorisieren URL Kategorisieren
Der URL-Filter kategorisiert Webseiten und filtert entsprechend den Vorgaben (Content Filter). Hier kann überprüft werden, wie bestimmte Seiten Kategorisiert werden.			Netzwerkwerkzeug - URL Kategorisieren
Einstellungen
URL:	securepoint.de	Website, deren Kategorisierung abgefragt werden soll
Antwort	Allow	Kategorisierung durch den Contentfilter der UTM
Wenn Zweifel an der Kategorisierung einer URL bestehen, bzw. eine Änderung erforderlich scheint, kann das auf cf-support.securepoint.de gemeldet werden. Eine Übersicht über die zur Verfügung stehenden Kategorien gibt es in unserem Wiki hier.

Ähnlichkeitserkennung Ähnlichkeitserkennung
notemptyNeu ab v14.1.1 Experimentell Diese Feature ist experimentell und sollte daher nur mit Bedacht verwendet werden!
Domains	»securepoint.de »google.de »hansestadt-lueneburg.de »goooogle.de »lueneburger-heide.de	Man kann mehrere Domains zugleich überprüfen lassen. Das Ergebnis hier: Nicht vertrauenswürdig: ❌ Die Domain "gooooogle.de" ähnelt der Domain "google.de". Vertrauensswürdige Domains: ✅ Die Domain "securepoint.de" ist eine vertrauenswürdige Domain. ✅ Die Domain "google.de" ist eine vertrauenswürdige Domain. ✅ Die Domain "hansestadt-lueneburg.de" ist eine vertrauenswürdige Domain. ✅ Die Domain "lueneburger-heide.de" ist eine vertrauenswürdige Domain.	Test von mehreren Domains
			Test von mehreren Domains
Testen		Startet die Ähnlichkeitserkennung für Domain-Namen


Routingtabelle Routingtabelle
Zeigt alle auf der UTM gespeicherten Routen an Neu ab v12.2.2			Netzwerkwerkzeug - Routingtabelle
			Netzwerkwerkzeug - Routingtabelle

Paketfilter

Warnung: Der Anzeigetitel „Paketfilter“ überschreibt den früheren Anzeigetitel „Netzwerkwerkzeuge“.

Anlegen und verwenden von Paketfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen

Letzte Anpassung zur Version: 14.1.0

Neu:

QoS Konfiguration
unter Firewall Paketfilter Schaltfläche Regel hinzufügen
verschoben von Bereich Extras zu Allgemein
Log-Schaltfläche für Paketfiltergruppen

Cloud-verwaltete Paketfilterregeln und Netzwerkobjekte
Autogenerierte Regeln lassen sich bearbeiten
Tabellen-Menü zur Layoutanpassung
Neues Attribut Log Alias (v14.0)
Schaltflächen für Log Zugriff (v14.0)

Zuletzt aktualisiert:

Hinweis auf den Regelassistenten eingefügt

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0.1 12.7.1.1 12.6 12.4 12.2 12.1 11.7

Der Portfilter wurde in der Version 12.6 in Paketfilter umbenannt, was seiner Wirkungsweise wesentlich besser entspricht.
Die Funktion und Anordnung im Menü ist identisch geblieben.

Ab der Version 12.7.1.1 wird iptables vorübergehend wieder zur Default Rule Engine.
Für Testzwecke kann iptables durch nftables ersetzt werden.

Nftables bietet mehr Flexibiltät und aktuellere Kernelunterstützung und wurde als Ablösung von iptables entwickelt.
system rule_engine set value "nftables"
bzw.
system rule_engine set value "iptables"

Paketfilter Beschreibung

Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Paketfilter Log Regeln aktualisieren Menü Paketfilter Der Paketfilter steuert den Datenverkehr, der durch die UTM geht.

Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet
Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet.
Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln von oben nach unten überprüft.
Die #laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regelerstellung an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird!
Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon nachträglich in der Reihenfolge verschoben werden.

Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel.
Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet.
Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft.
Trifft diese dann zu wird die dort angegebene Aktion ausgeführt.

Existiert für ein Datenpaket keine zutreffende Regel, wird das Paket verworfen Default Drop

Eine Paketfilterregel beinhaltet verschiedene Elemente:

Zwei Netzwerkobjekte (Quelle / Ziel)
einen Dienst
ggf. Angaben zum NAT-Typ (Network Address Translation)
ggf. Rule Routing
ggf. ein QoS-Profil, daß die zur Verfügung gestellte Bandbreite für bestimmte Datenpakete reguliert
ggf. ein Zeitprofil, zu dem die Regel angewendet werden soll
eine Aktion, die ausgeführt werden soll
Angaben zum Logging
die Zuordnung zu einer Regel-Gruppe

Paketfilterregel

Die Grundstruktur einer Regel ist:
Quelle → Ziel → Dienst → Aktion
Mit Regel kopieren können Regeln kopiert werden: Der Dialog Regel hinzufügen wird mit einer Kopie der jeweiligen Regel geöffnet.
Das Logging lässt sich direkt in der Übersicht für einzelne Regeln oder Regelgruppen verändern (siehe Abschnitt Logging
3/Min

) und notemptyNeu ab v14.0: über die Schaltfläche Paketfilter Log für die einzelnen Regeln einsehen oder über Paketfilter Log für alle Regeln einsehen.

Es wird anhand des Log-Attributes geloggt und nicht anhand der Id, dieses ist nicht garantiert einzigartig und es kann somit zu falsch angezeigten Logging Einträgen kommen.

Typische Beispiele:	#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Cloud	Aktiv
Aus dem internen Netz soll das Internet erreichbar sein	7	internal-network	internet	default-internet	HN	-	Accept		Ein

Aus dem Internen Netz soll das dmz1 Netzwerk für alle Dienste erreichbar sein	8	internal-network	dmz1-network	any		-	Accept		Ein

Ein Server im internen Netzwerk soll von außen über ssh erreichbar sein	9	internet	internal-network	ssh	DN ➞	3/Min	Accept		Ein

Aus dem internen Netz soll das Internet erreichbar sein, es soll jedoch kein ftp ermöglicht werden!	10	internal-network	internet	ftp		3/Min	Drop		Ein
	7	internal-network	internet	default-internet	HN	Alles	Accept		Ein
Der Paketfilter wird von oben nach unten abgearbeitet. Trifft eine Regel zu, wird die Prüfung des Regelwerks beendet und die konfigurierte Aktion ausgeführt. Daher muss das Verbot von ftp vor der allgemeinen Erlaubnisregel stehen. Eine angelegte Regel kann mit Drag and Drop auf das Icon verschoben werden und in der Reihenfolge gezielt plaziert werden.

Wenn eine Regel über die VPN Konfiguration erstellt wurde, wird dies in der Spalte Cloud-verwaltet mit gezeigt. Diese Regeln können nicht kopiert, bearbeitet oder gelöscht werden.		LG2-internal-networks	vpn-netzwerk	default-internet		-	ACCEPT		Ein
		vpn-netzwerk	LG2-internal-networks	LG2-any-service		-	ACCEPT		Ein

Autogenerierte Regeln

autogeneriert Die UTM verfügt ab Werk über autogenerierte Regeln.
Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei
notemptyDiese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Firewall zu ermöglichen.
Sie müssen unbedingt angepasst oder durch individualisierte Regeln ersetzt werden!
notemptyNeu ab v14.0.1: Autogenerierte Regeln lassen sich bearbeiten
Die Sichtbarkeit der autogenerierten Regeln lassen sich in einem Dropdownmenü mit diesem Schalter regeln: Ein autogenerierte Regeln anzeigen Default

Paketfilterregel Einstellungen

notemptyNach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
Erst danach werden die Regeln angewendet!
/ Regel hinzufügen → Regeln aktualisieren

notemptyMan kann Paketfilter-Regeln auch mit Unterstützung des Regelassistenten erstellen.

notemptyNeu ab v14.0 In dem Tabellen-Menü () lässt sich das Layout der Tabelle anpassen. Mehr Informationen sind hier zu finden.
Allgemein Allgemein
Beschriftung	Wert	Beschreibung	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Regel Assistent Paketfilterregel-Einstellungen Allgemein
Aktiv:	Ein	Nur bei Aktivierung wird auf diese Regel geprüft
Quelle:	internal-network	Netzwerkobjekt oder Benutzergruppe, die als Quelle des Datenpaketes zugelassen ist.
Ziel:	internet	Netzwerkobjekt oder Benutzergruppe, die als Ziel des Datenpaketes zugelassen ist.
Dienst:	default-internet	Gewünschter Dienst mit hinterlegtem Port (siehe Dienste)
Netzwerkobjekt hinzufügen / Dienst hinzufügen		Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes oder eines Dienstes
Netzwerkobjekt wechseln		Tauscht die Netzwerkobjekte Quelle und Ziel
Aktion: Aktion	ACCEPT	ACCEPT Leitet das Paket weiter
	DROP	DROP Das Paket wird verworfen
	REJECT	REJECT Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen.
	QOS	QOS Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert. Konfiguration der QoS-Profile im Menü Netzwerk QoS Bereich Profile
	STATELESS	STATELESS Lässt Verbindungen statusunabhägig zu
notemptyOption verschoben	QoS	Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert. Konfiguration der QoS-Profile im Menü Netzwerk QoS Bereich Profile Steht nur zur Verfügung, wenn als Aktion QOS ausgewählt wurde.
Gruppe:	default	Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden, notemptyNeu ab v12.7.0 sowie die Loggingeinstellung aller beinhalteten Regeln zentral über eine Schaltfläche angepasst werden.

Log Log
Logging: Logging		Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird. notemptyNeu ab v12.7.0 Diese Einstellung ist auch in der Paketfilter Übersicht für einzelne Filter sowie auch komplette Gruppen vorhanden.	Paketfilterregel-Einstellungen Log
	None	Keine Protokollierung (default)
	Short	Protokolliert die ersten drei Einträge je Minute
	Long	Protokolliert alle Einträge
Log Alias: Log Alias notemptyNeu ab v14.0	default	Kurzer (maximal 10 Zeichen langer) Alias für die Paketfilterregel, der im Log statt der Id angezeigt wird. Der Alias muss nicht für diese Regel einzigartig sein.

NAT [ - ] NAT	Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab.
Typ:	NONE	Es wird kein NAT durchgeführt
	FULLCONENAT	Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein.	Full Cone NAT
	HIDENAT	Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle. Standardfall ist der Datenverkehr von einem internen Netz mit privaten IP Adressen mit dem Internet. Die IP aus dem lokalen Netz wird mit der IP derjenigen Schnittstelle maskiert, die den Zugang zum Internet herstellt.	HideNat
	HIDENAT_EXCLUDE	HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden. Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen. Siehe dazu auch den Wikiartikel HideNAT Exclude. Die HideNAT-Exclude Regel muss dabei vor der HideNAT Regel stehen, damit die Ausnahme greift.	HideNAT Exclude HideNAT Exclude Regel vor HideNAT Regel
	DESTNAT	Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten. Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden. Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein.	Destination NAT
	NETMAP	NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden. Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen Wikiartikel NetMap	NetMap

Netzwerkobjekt:	external-interface	Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt. Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet. In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können.
Dienst:	ssh	Verwendet im lokalen Zielnetzwerk den ausgewählten Dienst. Dieser Wert ist oft (aber keinesfalls immer) identisch mit dem darüberstehenden Dienst des Datenquellpaketes, auf den die Regel überprüft wird. Steht nur zur Verfügung, wenn als Typ DESTNAT oder NETMAP ausgewählt wurde.
Extras [ - ] Extras
Rule Routing Rule Routing	wan0	Im Abschnitt [ - ] Extras wird im Feld Rule Routing regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen. Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle wan0 geleitet. Das Dropdownfeld gibt nur wan-Schnittstellen zur Auswahl vor. Erfolgt der Zugang zum Internet über einen Router, der an einer Ethernet-Schnittstelle angeschlossen ist, kann diese manuell eingetragen werden.	Paketfilter Regel mit Rule Routing
Zeitprofil	Zeitprofil	Beschränkt die Gültigkeit der Regel auf ein zuvor definiertes Zeitprofil. Siehe Abschnitt Zeitprofile.

Beschreibung	Erweiterte Regeldetails anzeigen Ein	Alternativer Text, der statt der Regeldetails angezeigt werden kann. Die Anzeige der alternativen Texte erfolgt mit der Schaltfläche	Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Regelbeschreibung in Klartext
notemptyNach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden. Erst danach werden die Regeln angewendet! / Regel hinzufügen → Regeln aktualisieren

Netzwerkobjekte

Menü unter Firewall Netzwerkobjekte
Schaltfläche	Beschreibung	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Reiter Netzwerkobjekte
Bearbeiten	Öffnet die Netzwerkgruppe bzw. das Netzwerkobjekt zum Bearbeiten
Löschen	Löscht die Netzwerkgruppe bzw. das Netzwerkobjekt. Das Löschen muss ein weiteres mal bestätigt werden Bei GeoIP-Netzwerkobjekten erfolgt nach Bestätigung das Löschen aller GeoIP-Netzwerkobjekte mit dem gleichen Präfix
Gruppe hinzufügen	Erzeugt eine neue Netzwerkgruppe, der sofort Netzwerkobjekte hinzugefügt werden können
	GeoIP-Objekte anzeigen Ein Bei Deaktivierung Aus: Blendet GeoIP-Objekte zur besseren Übersichtlichkeit aus
Netzwerkobjekte beinhalten : einen Namen eine Adresse (IP oder Netzwerk), einen Hostnamen oder eine Schnittstelle und eine Zone. Netzwerkobjekte werden hauptsächlich benötigt um Paketfilterregeln zu erstellen, sie werden aber auch im HTTP Proxy verwendet. Die Mitglieder einer Netzwerkgruppe werden dabei als Label dargestellt. Bei Klick auf ein Label werden in der Tabelle Netzwerkobjekte die Details dazu angezeigt. notemptyNeu ab v14.0 Existieren Netzwerkobjekte, die über die USC erstellt wurden, wird in der Spalte Cloud-verwaltet angezeigt, ob es sich um solche Objekte oder um lokal erstellte Objekte handelt. Cloud-verwaltete Objekte müssen in der Cloud unter Unified Network Consolekonfig bearbeitet werden.

Netzwerkgruppen bearbeiten / Hinzufügen Netzwerkgruppen bearbeiten / Hinzufügen Menü unter Firewall Netzwerkobjekte Schaltfläche + Gruppe hinzufügen
Beschriftung	Wert	Beschreibung	Netzwerkgruppen bearbeiten / Hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Dialog Netzwerkgruppe bearbeiten / erstellen
Name:	Geo-DACH	Frei wählbarer Name der Netzwerkgruppe
Netzwerkobjekte:	GEOIP: AT (Österreich) GEOIP: CH (Schweiz) GEOIP: DE (Deutschland)	In der Klickbox können bestehende Netzwerkobjekte hinzugefügt werden
	Öffnet den Dialog zum Hinzufügen eines weiteren Netzwerkobjektes
✕	Entfernt ein Netzwerkobjekt aus der Netzwerkgruppe

Netzwerkobjekte erstellen / bearbeiten Netzwerkobjekte erstellen / bearbeiten
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekte erstellen / bearbeiten
Name:	Host-Objekt	Frei wählbarer Name für das Netzwerkobjekt. OK - nicht wirklich frei: Auch wenn es technisch möglich sein sollte, ist von kryptischen Sonderzeichen wie geschweiften Klammern, Backslashes und Ähnlichem Abstand zu nehmen. Spätestens in einem AD-Umfeld kann so etwas zu Problemen führen.
Typ:	Der Typ bestimmt, wie die Zugehörigkeit zu diesem Netzwerkobjekt festgestellt wird.
	Host	Ein einzelner Host mit einer IP-Adresse z.B. 192.0.2.192/32 → 192.0.2.192/---
	Netzwerk (Adresse)	Ein komplettes Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
	Netzwerk (Adresse mit beliebiger Subnetzmaske)	Netzwerk mit einer beliebigen Subnetzmaske. Dies ist nützlich, wenn sich der Prefix ändern kann. (Beispiel: 192.0.2.0/0.255.255.0 oder 2001:DB8::1234/::FFFF:FFFF)
	Netzwerk (Schnittstelle)	Ein komplettes Netzwerk hinter einer Schnittstelle z.B. LAN2 Achtung: Beim HideNat wird nur die erste, auf dieser Schnittstelle liegende IP verwendet. Bei Verwendung mit HideNat sollte versucht werden, eine Netzwerkadresse zu verwenden.
	VPN-Host	Ein einzelner VPN-Host mit einer IP-Adresse, z.B. 192.0.2.192/32 → 192.0.2.192/--- Als Zone lassen sich bei diesen Netzwerkobjekten ausschließlich Zonen auswählen, die in der Zonenverwaltung ( Netzwerk Zoneneinstellungen Schaltfläche ein Flag Policy_IPSEC oder PPP_VPN haben)
	VPN-Netzwek	Ein komplettes VPN-Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
	Statische Schnittstelle	Aus einem Dropdownmenü lässt sich eine konfigurierte IP-Adresse einer Schnittstelle auswählen, z.B. 192.0.2.1/24
	Dynamische Schnittstelle	Eine dynamische Zuweisung der Adresse des Interfaces anhand der zugeordneten Zone. Z.B.: 0.0.0.0/. oder eth0
	Hostname	Ein Hostname, z.B.: my.host.local
	GeoIP	Erzeugt für jedes Land ein Netzwerkobjekt in der angegebenen Zone. IP-Adressen werden über Organisationen und Institutionen denen die zugehörigen IP-Netze zugewiesen sind, einem Land zugeordnet. Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein! Das Hinzufügen eines Netzwerkobjektes vom Typ GeoIP erzeugt ca. 250 neue Netzwerkobjekte!
Adresse:	192.0.2.192	Je nach gewähltem Typ. S.o.
Schnittstelle: nur bei Typ Netzwerk (Schnittstelle) oderDynamische Schnittstelle	LAN1	Alle Hosts hinter dieser Schnittstelle gehören zu diesem Netzwerkobjekt
IP-Adresse: nur bei Typ Statische Schnittstelle	192.168.175.1	Alle Hosts hinter der Schnittstelle mit dieser IP-Adresse gehören zu diesem Netzwerkobjekt
Hostname: nur bei Typ Hostname	my.host.local	Hostname des Netzwerkobjektes
Präfix: nur bei Typ GeoIP	ext2_	Präfix, das den Netzwerkobjekten vorangestellt wird (zur besseren Identifizierung) Beispiel: Präfix ext2_ → Netzwerkobjekt ext2_GEOIP:DE
Zone:	Zone	Zone, in der das Netzwerkobjekt liegt. Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Packetfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits. Je nach gewähltem Netzwerktyp wird bereits eine Zone vorgeschlagen oder es erfolgt eine Einschränkung der Zoneauswahl.
Gruppen:	»internal-networks	Netzwerkobjekte können zu Gruppen zusammengefasst werden, um Paketfilterregeln mehreren Objekt zuweisen zu können. notemptyNetzwerkobjekte können auch zu mehreren Gruppen gehören. Das kann zu widersprüchlichen Regeln für das selbe Netzwerkobjekt führen, die nicht sofort offensichtlich sind. Es gilt (wie bei allen Regeln), daß diejenige Regel ausgeführt wird, die zuerst durchlaufen wird und in dessen Netzwerkgruppe das Netzwerkobjekt enthalten ist.
Speichern		Speichert das Netzwerkobjekt, lässt den Dialog aber geöffnet, um weitere Objekte anlegen zu können.
Speichern und schließen		Speichert das Netzwerkobjekt und schließt den Dialog

Dienste

Menü Aufruf:

notemptyNeu ab v12.7.2:Alle ICMP-Dienste sind für IPv4 und IPv6 verfügbar. Die IPv6 Dienste beginnen mit icmpv6- anstatt icmp-.

Menü Dienste

Dienste hinzufügen / bearbeiten

Ist ein Dienst nicht vorhanden kann dieser mit Objekt hinzufügen angelegt werden.
Abhängig vom verwendeten Protokoll, lassen sich weitere Einstellungen vornehmen:

Ports (TCP und UDP)
Pakettypen (ICMP)
Protokolltyp (gre)

Name des Dienstes und Protokoll müssen in jedem Falle angegeben werden.

Bei den Protokollen tcp und udp kann die Freigabe auf einen einzelnen Zielport oder auf Portbereiche beschränkt werden. Quellports können beliebig sein (Keine), ein einzelner Port oder ein Portbereich.

Soll ein bestehender Dienst auf einem anderen Port laufen, kann der Dienst bearbeitet und der Port geändert werden.

Dienstgruppen

Dienste lassen sich in Dienstgruppen zusammenfassen. Auch hier gibt es bereits vordefinierte Gruppen, die ergänzt und geändert werden können. Detailanzeige mit Klick auf die Schaltfläche .

notemptyAktualisiert zu v12.7.2: Die Dienstgruppe Windows-Domain wurde erweitert.

Dienste:

domain-tcp Zielports: 53

domain-udp Zielports: 53

ldap-tcp Zielports: 389

ldap-udp Zielports: 389

ldap-ssl Zielports: 636

ms-ds Zielports: 445

netbios-tcp Zielports: 139

netbios-udpZielports: 137:138

netbios-rpc Zielports: 135

w32time Zielports: 123

kerberos-tcp Zielports: 88

kerberos-udp Zielports: 88

kerberos-password-change-tcp Zielports: 464

kerberos-password-change-udp Zielports: 464

ldap-gc Zielports: 3268

ldap-gc-ssl Zielports: 3269

Die Änderungen werden nur bei Neuinstallation wirksam, aktuelle Konfigurationen werden nicht verändert.

notemptyNeu ab v12.7.2: Es gibt eine Dienstgruppe namens sp-backup, die die Nutzung von Securepoint Unified Backups ermöglicht.

Dienste:

sp-backup-portal Zielports: 8086:8087

sp-backup-vault Zielports: 2546

Beispiel: Die Gruppe default-internet enthält z.B. die Dienste:

Icon	Name	Protokoll		Dienstgruppe bearbeiten UTMbenutzer@firewall.name.fqdnFirewallDienste
	domain-udp	udp	Port 53
	ftp	tcp (ftp)	Port 21
	http	tcp	Port 80
	https	tcp	Port 443
	icmp-echo-req	icmp	Pakettyp 8

Dienst einer Dienstgruppe hinzufügen/entfernen

Mit einem Klick in die Klickbox wird der gewünschte Dienst ausgewählt und dadurch hinzugefügt.
Wird auf die Schaltfläche geklickt, wird ein neuer Dienst erstellt und anschließend der Dienstgruppe hinzugefügt.
Ein Dienst wird mit Klick auf ✕ von der Dienstgruppe entfernt.

Zeitprofile

Zeitprofile UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Zeitprofile Übersicht Zeitprofile dienen dazu Paketfilterregeln nur zu festgelegten Zeiten zu aktivieren. Sie können unter Firewall Zeitprofile konfiguriert werden.
Im abgebildeten Beispiel greift das Profil täglich zwischen 3:00 Uhr und 3:59:59 Uhr sowie werktäglich von 7:00 Uhr bis 17:59:59 Uhr. Dies ist in der Tabelle unter Zeitfenster zu erkennen. Unter Verwendet in Paketfilter-Regeln werden die IDs zusammen mit den Beschreibungen der Paketfilter aufgelistet, für die dieses Zeitprofil eingerichtet ist. Außerdem kann mit einem Klick auf den entsprechenden Eintrag der Paketfilter bearbeitet werden. In der Spalte Name ist ein vergebener Name zu sehen, der das Zeitprofil beschreiben sollte.

Zeitprofile anlegen

Zeitprofil hinzufügen UTMbenutzer@firewall.name.fqdnFirewallZeitprofile Zeitprofil hinzufügen

Anlegen eines Zeitprofils unter Firewall Zeitprofile Schaltfläche Zeitprofil hinzufügen.
Zeiten auswählen
- Mit klicken der Maus können einzelne Felder oder Zeitbereiche ausgewählt werden
- Mit gedrückt halten der Maus können mehrere Felder und Zeitbereich ausgewählt werden
Übernehmen der Zeiteinstellungen mit der Schaltfläche Speichern und schließen

Zeitprofile verwenden

Zeitprofile können beim Erstellen oder Bearbeiten von Paketfilterregeln unter dem Abschnitt Extras ausgewählt werden.

notemptyEine Beschreibung der Impliziten Regeln ist hier zu finden.

Implizite Regeln

Warnung: Der Anzeigetitel „Implizite Regeln“ überschreibt den früheren Anzeigetitel „Paketfilter“.

Implizite Regeln der UTM

Letzte Anpassung zur Version: 14.0.8.2

Neu:

DESTNAT für den TI-Proxy

Einstellungen für GeoIP Sperrungen verschoben zu IDS/IPS

notemptyDieser Artikel bezieht sich auf eine Beta-Version

14.0.1 12.7 12.5 12.4 12.2 12.1 11.7

Implizite Regeln

Einstellungen im Menü Firewall Implizite Regeln .
Für bestimmte Anwendungsfälle wurden Implizite Regeln hinzugefügt. Diese Regeln können ganz einfach vom Anwender je nach Bedarf aktiviert oder deaktiviert werden. Einige von diesen Regeln sind bereits default aktiv.
notemptyDie Eingangs-Zonen sind für diese Regeln nicht relevant, d.h. bei Aktivierung sind ggf. Ports auf allen Schnittstellen freigegeben.

Gruppe / Regel	Beschreibung	Protokoll	Port	Aktiv (Default)

BlockChain	Aktiviert / deaktiviert die gesamte Gruppe	AlleEinigeKeine
FailToBan_ssh	Zugriff per ssh.Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel	TCP	22	Ein
FailToBan_http_admin	Zugriff über das Admin Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	11115*	Ein
FailToBan_http_user	Zugriff über das User Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	443*	Ein
FailToBan_smtp	Zugriff über das Mailgateway. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Anwendungen Mailrelay Bereich Smarthost	TCP	25*	Ein

CaptivePortal	Umleitung des Verkehrs auf eine Landingpage ermöglichen	AlleEinigeKeine
CaptivePortalPage	Öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. Port Änderungen möglich unter Anwendungen Captive Portal Bereich Erweitert	TCP	8085*	Aus
CaptivePortalRedirection	Umleitung des Traffics auf den oben genannten Port.			Aus

IPComp		AlleKeine
IPComp	Akzeptiert Verbindungen mit dem Protokoll IPComp (Komprimierung der Datenpakete, IP-Protokoll Nummer 108)	IPComp		Aus

IpsecTraffic	Aktiviert / deaktiviert die gesamte Gruppe	AlleEinigeKeine
Accept	Akzeptiert Ein- und Ausgehend en Datenverkehr einer IPSec-Verbindung			Ein
Kein NAT für IPSec Verbindungen	Nimmt alle IPSec-Verbindungen vom NAT aus Geänderte Default Einstellung für Neu-Installationen ab v12.5			Aus

Silent Services Accept		AlleKeine
Bootp	Akzeptiert Anfragen für das Bootstrap Protokoll Bootp zur Übermittlung einer IP Adresse und ggf. weiterer Parameter Anfragen für DHCP (Erweiterung von Bootp)	UDP	67	Ein
Bootp		UDP	68	Ein

Silent Services Drop		AlleEinigeKeine
NetBios Datagram	Verwirft diese Pakete ohne Logmeldung	UDP	138	Ein
NetBios Nameservice	Verwirft diese Pakete ohne Logmeldung	UDP	137	Ein
NetBios Session Service	Verwirft diese Pakete ohne Logmeldung	UDP	139	Ein

VPN		AlleEinigeKeine
IPSec IKE	Akzeptiert Verbindungen auf Port 500/UDP	UDP	500	Ein
IPSec ESP	Akzeptiert Verbindungen mit dem Protokoll ESP (50)	ESP		Ein
IPSec NAT Traversal	Akzeptiert Verbindungen auf Port 4500/UDP	UDP	4500	Ein
SSL VPN UDP	Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll UDP konfiguriert wurde	UDP	1194	Ein
SSL VPN TCP	Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll TCP konfiguriert wurde	TCP	1194	Ein
User Interface Portal	Akzeptiert Verbindungen auf Port 443/TCP. Erforderlich für das User Interface.	TCP	443	Ein
Wireguard	Ermöglicht Verbindungen mit dem Wireguard Protokoll. Port Änderungen möglich unter VPN WireGuard Schaltfläche Bearbeiten der Verbindung	UDP	51280*	Ein

TI-Proxy notemptyNeu ab v14.0.7.2		AlleKeine
DESTNAT für TCP Verbindungen vom Konnektor zu Kartenterminals	Erstellt und erlaubt eine Portweiterleitung von den IP-Adressen und Ports wie im TI-Proxy hinterlegt vom Konnektor per destnat zu den Kartenterminals (default: 60000→4742)	TCP	60000	Ein

HTTP Proxy

Warnung: Der Anzeigetitel „HTTP-Proxy“ überschreibt den früheren Anzeigetitel „Implizite Regeln“.

Konfiguration des HTTP-Proxy

Letzte Anpassung zur Version: 14.1.2

Neu:

Hinweis zu den aktuellen Zertifikats-Anforderungen hinzugefügt
Umbennenung der Webseiten-Allowlist und Aktualisierung der Beschreibung
Anlegen von weiteren Konfigurationsprofilen möglich(14.1.1)
FastDiff aktualisiert die Viruspattern in Echtzeit(14.1.0)
SigQA Übermittelt neue aber unbekannte Signaturen an unser AV-Labor(14.1.0)

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.7.2 12.6.2 12.5 12.4 12.2 11.8 11.7

Einleitung

Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz.
Die Clients stellen ihre Anfragen an den Proxy und dieser reicht sie an die entsprechenden Server weiter.
Die tatsächliche Adresse des Clients bleibt dem Server verborgen.
Auf diesem Wege ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.

notemptyNeu ab v14.1.1Bei Bedarf kann man neben dem Standardprofil weitere Konfigurationsprofile hinzufügen.

Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten!

notempty

Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt
Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt
HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!
Unsichere Zertifikate sollten dringend ausgetauscht werden!
Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung
Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus
Betroffene Anwendungen:
- OpenVPN
  - Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S)
  - Clientzertifikat bei S2S
  - ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten)
- Mailrelay
  - Relaying "Zertifikat" (unter TLS Verschlüsselung als Server)
- Reverse-Proxy
  - Einstellungen → SSL-Zertifikat
- Webserver
  - Netzwerk → Serveinstellungen → Webserver → Zertifikat
- HTTP-Proxy
  - SSL-Interception → CA-Zertifikat

Globales Profil

notempty Das globale Profil gilt für alle Schnittstellen und den transparenten Proxy. Die meisten Einstellungen werden durch zusätzlich angelegte Profile überschrieben.

Allgemein

Beschriftung	Wert	Beschreibung	Globales Konfigurationsprofil bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Bereich Allgemein
Proxy Port:	8080^▴_▾	Gibt an, auf welchem Port der Proxy anzusprechen ist
Ausgehende Adresse:		Die ausgehende Adresse wird für 2 Szenarien benutzt: Wenn der Proxy an ein Interface gebunden werden soll Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen. Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden: Ausgangslage: LAN1: ppp0 mit DSL 2000 LAN2: Internes Netz (Internes Interface hat die IP 192.168.175.1) LAN3: ppp1 mit DSL 16000 Die IP des Internen Interface (hier: LAN2) muss in das Feld für die ausgehende Adresse eingetragen werden Speichern der Einstellungen Unter Netzwerk Netzwerk-Konfiguration Bereich Routing wird eine neue Route angelegt: Quelle: IP des Internen Interfaces Router: ppp1 Ziel: 0.0.0.0/0 Speichern der Route Nun ist der Proxy an die 2. Internetverbindung gebunden. Anbindung an einen Webserver im VPN-Netz: Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden. Speichern der Einstellungen. Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln
Anfragen an den systemweiten Parent-Proxy weiterleiten:	Nein	Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter Netzwerk Servereinstellungen Bereich Systemweiter Proxy -->
Logging (Syslog lokal):	Aus	Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: Log Bereich Log
Logging (Statistics): Nur auswählbar, wenn keine Anonymisierung für den HTTP-Proxy Einstellung unter Authentifizierung Datenschutz aktiviert wurde	Ein	Schreibt ein statistisches Log Aufruf: Log Bereich HTTP-Proxy Statistiken
Authentifizierungsmethode:	Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:
	None	Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
	Basic	Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Authentifizierung Benutzer Bereich Benutzer auf der Firewall abgefragt
	NTLM / Kerberos	Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter Authentifizierung AD / LDAP Authentifizierung eingerichtet werden.
	Radius	Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter Authentifizierung Radius-Authentifizierung eingerichtet werden.
Zugriff nur aus internen Quellen erlauben:	Ja default	Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind: lokale Netze geroutete Netze ( Netzwerk Netzwerkkonfiguration Bereich Routing) VPN-Netze
Zugriff auf interne Ziele erlauben:	Ja default	Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Paketfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen). Durch die Deaktivierung wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Packetfilter explizit erlaubt werden.
Verbindungsorientierte Microsoft-Authentifizierung weiterleiten:	Nein	Bei Aktivierung ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich. Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet notemptyIst SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
Authentifizierungsausnahmen
Aktiviert	Aus default	Wenn aktiviert: Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen. Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden. Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen	Abschnitt Authentifizierungsausnahmen
Ausnahmen (URL):	\.ttt-point\.de	Wenn man die Authentifizierungsausnahmen aktiviert, dann kann man hier eigene Ausnahmen festlegen

Virenscanner
Allgemein
Der Virenscanner im HTTP-Proxy kann Datenverkehr auf Viren prüfen. notemptyNeu ab v14.1.0 Dabei werden mit FastDiff die Viruspattern in Echtzeit aktualisiert. Die Funktion lässt sich per CLI deaktivieren oder aktivieren. Per Default ist die Funktion aktiviert. FastDiff Deaktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 0 } FastDiff Aktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 1 } FastDiff Status abfragen:extc value get { application ikarus variable ENABLE_FASTDIFF } application\|variable \|value -----------+---------------+----- ikarus \|ENABLE_FASTDIFF\|1 notemptyNeu ab v14.1.0 Zusätzlich werden mit der Funktion SigQA neue aber unbekannte Signaturen an unser AV-Labor übermittelt. Die Funktion lässt sich per CLI deaktivieren oder aktivieren. Per Default ist die Funktion aktiviert. SigQA Deaktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 0 } SigQA Aktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 1 } SigQA Status abfragen:extc value get { application ikarus variable ENABLE_SIGQA } application\|variable \|value -----------+------------+----- ikarus \|ENABLE_SIGQA\|1
Virenscanner:	Ein	Der Virenscanner ist aktiviert und der zugehörige Dienst läuft (Default Einstellung)	Bereich Virenscanner
	Ein	Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt. Der Dienst kann gestartet werden über Menü Anwendungen Anwendungsstatus Virenscanner
	Ein	Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten. Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen! Sobald diese Konfiguration in einer Umgebung mit ausreichend RAM läuft, wird der Dienst wieder ausgeführt.
	Aus	Der Virenscanner ist deaktiviert.
Größenbeschränkung von geprüften Dateien:	2^▴_▾ Megabytes	Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen
Trickle Time:	5^▴_▾ Sekunden	Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht
Allowlist ICY-Protokoll:	Aus	Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
Cache Updates notemptyNeu ab v12.7.2	Aus	Bei Aktivierung Ein werden die Aktualisierungen der Viren-Datenbanken nach dem initialen Download an die angeschlossenen Clients mit Securepoint Antivirus Pro verteilt. Auf diese Weise reduziert sich der Traffic und die Updates werden reibungslos ausgerollt.
Mime-Type Blocklist	application/x-shockwave-flash Beispiel	Hier aufgeführte Mime-Typen werden in jedem Falle geblockt. Mit der Schaltfläche öffnet sich ein Dialog, in dem aus einem Dropdown-Menü ein Mime-Type ausgewählt oder ein individueller Typ eingetragen werden kann. Diese Funktion ist nur aktiv, falls der Virenscanner aktiviert ist! Die MIME-Type Erkennung erfolgt bereits nach den ersten paar Bytes der Datei, im Normalfall ist diese auch korrekt und die Blockliste wird angewendet. Außerdem gibt es einen Rescan-Mechanismus, dieser ermittelt den MIME-Type für Microsoft-Compound Storage Formate erneut, wenn die vollständige Datei vorliegt oder der geladene Anteil der Datei das Größenlimit des Virenscanners erreicht hat. Somit ist die Erkennung nicht immer 100 prozentig perfekt, stellt aber einen optimalen Kompromiss aus Effizienz und Treffgenauigkeit dar.

Allowlist
Aktiviert	An	Die Allowlist für MIME-Types und Webseiten ist standardmäßig aktiviert
Mime-Type Allowlist	application/pkcs10 Beispiel	Hier aufgeführte Mime-Typen werden nicht gescannt Standard-Vorgabe: audio/* image/* video/*
Ausnahmen »^[^:]://download\.windowsupdate\.com/ »^[^:]://database\.clamav\.net/ »^[^:]://[^\.]\.geo\.kaspersky\.com/ »^[^:]://officecdn\.microsoft\.com/ »^[^:]://[^\.]\.ikarus\.at/ »^[^:]://[^\.]\.mailsecurity\.at/ »^[^:]://officecdn\.microsoft\.com\.edgesuite\.net/		Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen. Es können IP-Adressen, URLs und auch Hostnamen eingetragen werden. notemptyDiese Seiten werden nicht auf Viren geprüft! Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert. Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.
Bandbreite
Bandbreitenbegrenzung-Policy:	Keine	Default	Bereich Bandbreite
	Gesamte Bandbreite begrenzen	Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
	Bandbreite per Host begrenzen	Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
Globale Bandbreite:	2.000.000^▴_▾ kbit/s	Default-Wert, falls aktiviert
Bandbreite per Host:	64.000^▴_▾ kbit/s	Default-Wert, falls aktiviert

App Blocking
Das pauschale App-Blocking mit festen Ports wurde entfernt. Einzelne Apps, bzw. die von Ihnen genutzten Ports, können flexibel über den Paketfilter gesperrt werden.

SSL-Interception Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, eine CA unter Authentifizierung Zertifikate zu erstellen und dieses im Feld CA-Zertifikat auszuwählen.
Beschriftung	Wert	Beschreibung	Globales Konfigurationsprofil bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
Aktiviert:	Aus	Die SSL-Interception ist ausgeschaltet
	Nur Webfilter basiert	Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
	Immer	Aktiviert die SSL-Interception
SNI validieren:	Ja	Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen. Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen. Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
Nicht erkannte Protokolle erlauben:	Ja	Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
CA-Zertifikat:	CA-SSL-Interception	Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen. Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat
CA-Zertifikat:	Public-Key herunterladen	Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
Zertifikatsverifizierung: nicht bei Nur Webfilter basiert	Ein	Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
Ausnahmen für SSL-Interception Ausnahmen für SSL-Interception nicht bei Nur Webfilter basiert
Aktiviert:	Aus	Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Neue Ausnahmen fügt man direkt im Eingabefeld ein. Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de" Regex-Ausnahmen gelten nicht für den transparenten Modus!
Ausnahmen mit SNI abgleichen: Verfügbar, wenn SNI validieren aktiv ist.	Aus	Wendet die Server Name Indication Validierung nur auf aktivierte Ausnahmen für SSL-Interception an.
Ausnahmen:	.\.ttt-point\.de Vordefiniert im Globalen Konfigurationsprofil: .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..*	Ausnahmen bestimmen, hier für ttt-point.de
Ausnahmen für Zertifikatsverifizierung Ausnahmen für Zertifikatsverifizierung nur bei aktivierter Zertifikatsverifizierung
Aktiviert:	Aus	Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

Transparenter Modus
Transparenter Modus	Ein	Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde. Jedes Netzwerkobjekt bzw. jede Gruppe von Netzwerkobjekten, die den transparenten Proxy nutzen sollen, müssen hier hinterlegt werden.	Bereich Transparenter Modus
			Bereich Transparenter Modus
Transparente Regel hinzufügen
Protokoll:	HTTP oder HTTPS	Protokoll, das verwendet wird	Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-ProxyGlobales Konfigurationsprofil bearbeiten Hinzufügen einer Transparenten Regel
Typ:	INCLUDE	Der transparente Modus wird angewendet
Typ:	EXCLUDE	Der transparente Modus wird nicht angewendet
Quelle:	internal-network	Quell-Netzwerkobjekt, angelegt unter Firewall Paketfilter Bereich Netzwerkobjekte
Ziel:	internet	Ziel-Netzwerkobjekt

Konfigurationsprofil hinzufügen

Neue Konfigurationsprofile übernehmen die Einstellungen des globalen Profils als Standard-Wert.notemptyNeu ab v14.1.1

Allgemein

Beschriftung	Wert	Beschreibung	Konfigurationsprofil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Der Bereich Allgemein in einem weiteren Konfigurationsprofil
Name:	Konfigurationsprofil 2	Angabe des Namens für das Konfigurationsprofil
Schnittstelle	LAN1	Dieses Konfigurationsprofil einer Schnittstelle zuweisen wie z. B. LAN1
Ausgehende Adresse:		Die ausgehende Adresse wird für 2 Szenarien benutzt: Wenn der Proxy an ein Interface gebunden werden soll Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen. Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden: Ausgangslage: LAN1: ppp0 mit DSL 2000 LAN2: Internes Netz (Internes Interface hat die IP 192.168.175.1) LAN3: ppp1 mit DSL 16000 Die IP des Internen Interface (hier: LAN2) muss in das Feld für die ausgehende Adresse eingetragen werden Speichern der Einstellungen Unter Netzwerk Netzwerk-Konfiguration Bereich Routing wird eine neue Route angelegt: Quelle: IP des Internen Interfaces Router: ppp1 Ziel: 0.0.0.0/0 Speichern der Route Nun ist der Proxy an die 2. Internetverbindung gebunden. Anbindung an einen Webserver im VPN-Netz: Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden. Speichern der Einstellungen. Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln
Anfragen an den systemweiten Parent-Proxy weiterleiten : Wird im globalen Konfigurationsprofil festgelegt	Nein
Logging (Syslog lokal):	Aus	Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: Log Bereich Log
Logging (Statistics): Nur auswählbar, wenn keine Anonymisierung für den HTTP-Proxy Einstellung unter Authentifizierung Datenschutz aktiviert wurde	Ein	Schreibt ein statistisches Log Aufruf: Log Bereich HTTP-Proxy Statistiken
Authentifizierungsmethode:	Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:
	None	Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
	Basic	Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Authentifizierung Benutzer Bereich Benutzer auf der Firewall abgefragt
	NTLM / Kerberos	Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter Authentifizierung AD / LDAP Authentifizierung eingerichtet werden.
	Radius	Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter Authentifizierung Radius-Authentifizierung eingerichtet werden.
Zugriff nur aus internen Quellen erlauben:	Ja default	Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind: lokale Netze geroutete Netze ( Netzwerk Netzwerkkonfiguration Bereich Routing) VPN-Netze
Zugriff auf interne Ziele erlauben:	Ja default	Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Paketfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen). Durch die Deaktivierung wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Packetfilter explizit erlaubt werden.
Verbindungsorientierte Microsoft-Authentifizierung weiterleiten:	Nein	Bei Aktivierung ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich. Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet notemptyIst SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
Authentifizierungsausnahmen
Aktiviert:	Aus default	Wenn aktiviert: Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen. Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden. Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen	Abschnitt Authentifizierungsausnahmen
Ausnahmen (URL):	\.ttt-point\.de	Wenn man die Authentifizierungsausnahmen aktiviert, dann kann man hier eigene Ausnahmen festlegen

Virenscanner
Allgemein
Der Virenscanner im HTTP-Proxy kann Datenverkehr auf Viren prüfen. notemptyNeu ab v14.1.0 Dabei werden mit FastDiff die Viruspattern in Echtzeit aktualisiert. Die Funktion lässt sich per CLI deaktivieren oder aktivieren. Per Default ist die Funktion aktiviert. FastDiff Deaktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 0 } FastDiff Aktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 1 } FastDiff Status abfragen:extc value get { application ikarus variable ENABLE_FASTDIFF } application\|variable \|value -----------+---------------+----- ikarus \|ENABLE_FASTDIFF\|1 notemptyNeu ab v14.1.0 Zusätzlich werden mit der Funktion SigQA neue aber unbekannte Signaturen an unser AV-Labor übermittelt. Die Funktion lässt sich per CLI deaktivieren oder aktivieren. Per Default ist die Funktion aktiviert. SigQA Deaktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 0 } SigQA Aktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 1 } SigQA Status abfragen:extc value get { application ikarus variable ENABLE_SIGQA } application\|variable \|value -----------+------------+----- ikarus \|ENABLE_SIGQA\|1
Virenscanner:	Aus	Der Virenscanner ist deaktiviert, aber der zugehörige Dienst läuft (Default Einstellung)
	Ein	Der Virenscanner ist aktiviert und der zugehörige Dienst läuft
	Ein	Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt. Der Dienst kann gestartet werden über Menü Anwendungen Anwendungsstatus Virenscanner
	Ein	Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten. Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen! Sobald diese Konfiguration in einer Umgebung mit ausreichend RAM läuft, wird der Dienst wieder ausgeführt.
	Aus	Der Virenscanner ist deaktiviert.
Größenbeschränkung von geprüften Dateien: Wird im globalen Konfigurationsprofil festgelegt	2^▴_▾ Megabytes
Trickle Time: Wird im globalen Konfigurationsprofil festgelegt	5^▴_▾ Sekunden
Allowlist ICY-Protokoll:	Aus	Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann

Allowlist
Aktiviert:	An	Die Allowlist für MIME-Types und Webseiten ist standardmäßig aktiviert
Mime-Type Allowlist Wird im globalen Konfigurationsprofil festgelegt	application/pkcs10 Beispiel
Ausnahmen »^[^:]://download\.windowsupdate\.com/ »^[^:]://database\.clamav\.net/ »^[^:]://[^\.]\.geo\.kaspersky\.com/ »^[^:]://officecdn\.microsoft\.com/ »^[^:]://[^\.]\.ikarus\.at/ »^[^:]://[^\.]\.mailsecurity\.at/ »^[^:]://officecdn\.microsoft\.com\.edgesuite\.net/		Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen. Es können IP-Adressen, URLs und auch Hostnamen eingetragen werden. notemptyDiese Seiten werden nicht auf Viren geprüft! Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert. Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.
Cache Updates notemptyNeu ab v12.7.2 Wird im globalen Konfigurationsprofil festgelegt	Aus

Bandbreite
Bandbreitenbegrenzung-Policy:	Keine	Default	Bereich Bandbreite
	Gesamte Bandbreite begrenzen	Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
	Bandbreite per Host begrenzen	Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
Globale Bandbreite:	2.000.000^▴_▾ kbit/s	Default-Wert, falls aktiviert
Bandbreite per Host:	64.000^▴_▾ kbit/s	Default-Wert, falls aktiviert

App Blocking
Das pauschale App-Blocking mit festen Ports wurde entfernt. Einzelne Apps, bzw. die von Ihnen genutzten Ports, können flexibel über den Paketfilter gesperrt werden.

SSL-Interception Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, eine CA unter Authentifizierung Zertifikate zu erstellen und dieses im Feld CA-Zertifikat auszuwählen.
Beschriftung	Wert	Beschreibung	Konfigurationsprofil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
Aktiviert:	Aus	Die SSL-Interception ist ausgeschaltet
	Nur Webfilter basiert	Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
	Immer	Aktiviert die SSL-Interception
SNI validieren: Wird im globalen Konfigurationsprofil festgelegt	Ja	Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen. Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen. Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
Nicht erkannte Protokolle erlauben:	Ja	Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
CA-Zertifikat:	CA-SSL-Interception	Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen. Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat
CA-Zertifikat:	Public-Key herunterladen	Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
Zertifikatsverifizierung: nicht bei Nur Webfilter basiert Wird im globalen Konfigurationsprofil festgelegt	Ein	Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
Ausnahmen für SSL-Interception Ausnahmen für SSL-Interception nicht bei Nur Webfilter basiert
Aktiviert:	Aus	Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Neue Ausnahmen fügt man direkt im Eingabefeld ein. Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de" Regex-Ausnahmen gelten nicht für den transparenten Modus!
Ausnahmen mit SNI abgleichen: Verfügbar, wenn SNI validieren aktiv ist.	Aus	Wendet die Server Name Indication Validierung nur auf aktivierte Ausnahmen für SSL-Interception an.
Ausnahmen:	.\.ttt-point\.de Vordefiniert im Globalen Konfigurationsprofil: .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..*	Ausnahmen bestimmen, hier für ttt-point.de
Ausnahmen für Zertifikatsverifizierung Ausnahmen für Zertifikatsverifizierung nur bei aktivierter Zertifikatsverifizierung
Aktiviert:	Aus	Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

Captive Portal

Das Captive Portal wird ab v12.1 in einem eigenen Menü unter Anwendungen Captive Portal konfiguriert. Hierzu gibt es einen eigenen Wiki-Artikel.

Warnung: Der Anzeigetitel „HTTP-Proxy Transparenter Modus“ überschreibt den früheren Anzeigetitel „HTTP-Proxy“.

Tranparenter Modus für den HTTP-Proxy der UTM

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.2 11.7

Funktionsweise des transparenten Proxys

Der transparente Proxy sorgt dafür, dass Webseitenaufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, so dass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.

Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.
Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.
Um dieses zu erreichen wird das Feature SSL-Interception genutzt.

Die Regex-Ausnahmen gelten nicht für den transparenten Modus!

Konfiguration

Zertifikat

Für die SSL-verschlüsselte Übertragung zum Client wird eine CA benötigt.

CA erstellen unter Bereich CA Schaltfläche CA hinzufügen

Übersicht unter Bereich Zertifikate

SSL-Interception

Konfiguration unter Anwendungen HTTP-Proxy Bereich SSL-Interception

Beschriftung	Wert	Beschreibung	Konfigurationsprofil / Globales Konf… bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
Aktiviert:	Aus	Die SSL-Interception ist ausgeschaltet
	Nur Webfilter basiert	Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
	Immer	Aktiviert die SSL-Interception
SNI validieren: Nur im globalen Konfigurationsprofil Wird an zusätzliche Konfigurationsprofile vererbt	Ja	Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen. Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen. Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
Nicht erkannte Protokolle erlauben:	Ja	Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
CA-Zertifikat:	CA-SSL-Interception	Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen. Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat
CA-Zertifikat:	Public-Key herunterladen	Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
Zertifikatsverifizierung: nicht bei Nur Webfilter basiert Nur im globalen Konfigurationsprofil Wird an zusätzliche Konfigurationsprofile vererbt	Ein	Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
Ausnahmen für SSL-Interception Ausnahmen für SSL-Interception nicht bei Nur Webfilter basiert
Aktiviert:	Aus	Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Neue Ausnahmen fügt man direkt im Eingabefeld ein. Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de" Regex-Ausnahmen gelten nicht für den transparenten Modus!
Ausnahmen mit SNI abgleichen: Verfügbar, wenn SNI validieren aktiv ist.	Aus	Wendet die Server Name Indication Validierung nur auf aktivierte Ausnahmen für SSL-Interception an.
Ausnahmen:	.\.ttt-point\.de Vordefiniert im Globalen Konfigurationsprofil: .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..*	Ausnahmen bestimmen, hier für ttt-point.de
Ausnahmen für Zertifikatsverifizierung Ausnahmen für Zertifikatsverifizierung nur bei aktivierter Zertifikatsverifizierung
Aktiviert:	Aus	Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

Zertifikat dem Browser hinzufügen

Dazu wird der öffentliche Teil des CA über den Button heruntergeladen.
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.

Zertifikatsverwaltung
1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung

Zertifizierungsstellen
2. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert

Zertifikat für Websites
3. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt

Zertifizierungsstellen mit CA
4. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert.
5. Abschließend auf OK klicken.

Transparenter Modus

HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log Transparenter Modus aktiviert

Aktivierung unter Anwendungen HTTP-Proxy Bereich Transparenter Modus mit Transparenter Modus Ein

HTTPS-Regel anlegen

In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert.
Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen Klick auf die Schaltfläche Transparente Regel hinzufügen eine weitere Regel hinzugefügt.

Beschriftung	Wert	Beschreibung	Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Transparente Regel für HTTPS hinzufügen
Protokoll:	HTTPS	Protokoll, das gescannt werden soll
Typ:	Include Exclude	Bestimmt ob der Transparente Modus für die folgenden Netzwerkgruppen angewendet werden soll, oder nicht. Soll ein bestimmtes Netzwerkobjekt oder eine Netzwerkgruppe als Quelle oder Ziel vom Transparenten Modus ausgenommen werden, kann eine Exclude-Regel vor der allgemeinen Include-Regel eine Ausnahme definieren.
Quelle:	internal-network	Quell-Netzwerkobjekt, angelegt unter Firewall Netzwerkobjekte Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. internal-network.
Ziel:	internet	Ziel-Netzwerkobjekt in dem die Webserver stehen die angesprochen werden sollen, in diesem Beispiel internet.
Ein Klick auf Speichern und schließen speichert die neue Regel und schließt den Dialog. Ein weiterer Klick auf Speichern im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.

Paketfilterregeln

Paketfilterregel für Zugriff auf DNS-Auflösung

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
		2	internal-network	internal-interface	proxy		Accept	Ein

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung der SSL-Interception, Authentifizierungsausnahmen, Virenscanner und Webfilter bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

Troubleshooting

{{var | Lösung--SNI

| Einfach, aber unsicher:
Unter Bereich SSL-Interception die Option SNI validieren: Nein deaktivieren.

Ohne SNI Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.

Situation

UTM mit aktivem transparenten HTTP-Proxy für HTTP und HTTPS.
Die SSL-Interception läuft im Modus "Webfilterbasierend".

Fehlermeldung im Browser

ERROR_SSL_PROTOCOL_ERROR oder
ssl_error_rx_record_too_long

Logmeldung in der UTM

Logmdeldung des Squid (Menü Log ) in der UTM:

2021-09-15T16:50:20.003+02:00|squid|8933|1631717419.981 1 192.0.2.192 NONE/200 0 CONNECT 104.96.47.5:443 - HIER_NONE/- -
2021-09-15T16:50:20.007+02:00|squid|8933|1631717420.007 27 192.0.2.192 NONE_ABORTED/409 12387 CONNECT loadbalancing.ttt-point.de:443 - HIER_NONE/- text/html
2021-09-15T16:50:20.007+02:00|squid|8933|1631717420.007 27 192.0.2.192 NONE_ABORTED/409 12387 CONNECT loadbalancing.ttt-point.de:443 - HIER_NONE/- text/html
2021-09-15T16:50:22.652+02:00|squid|8933|SECURITY ALERT: Host header forgery detected on local=192.0.2.22:443 remote=192.168.175.10:28144 FD 9 flags=33 (local IP does not match any domain IP)
2021-09-15T16:50:22.654+02:00|squid|8933|SECURITY ALERT: on URL: loadbalancing.ttt-point.de:443

Bedeutung

Der Client startet eine TCP-Verbindung zu einem HTTPS-Server
Die Verbindung wird durch die UTM → Transparenter Proxy abgefangen
Der HTTP-Proxy (Squid) prüft die Verbindung und analysiert den TLS-Handshake.
Die gewonnen Informationen wie der SNI werden dabei aufgelöst und mit der ursprünglichen IP-Adresse verglichen
In diesem Fall stimmen ursprüngliche IP und die aufgelöste IP für den SNI (Hostnamen) nicht überein und werden daher durch den HTTP-Proxy blockiert und es kommt zu oben stehender Fehlermeldung

Ursache

Dieses Verhalten ist bei Hostnamen mit einer intensiven Lastenverteilung zu beobachten.
Wenn der Anbieter in kurzer Zeit unterschiedliche Antworten auf DNS-Anfragen gibt, können sich die Ergebnisse in der DNS-Auflösung zwischen Client und UTM unterscheiden.

Dieses Verhalten kann hervorgerufen werden durch:

Unterschiedliche DNS-Server auf Client und UTM
Hostnamen, die mit einer sehr kleinen TTL durch intensive Lastenverteilung, von UTM und Client unterschiedlich aufgelöst werden.
Nutzung von DNS-Servern an unterschiedlichen geografischen Standorten.
Dabei kann über den entfernten Standort für die aufgerufenen Hostnamen eine andere IP-Adresse zurückgegeben werden als am lokalen Standort der UTM. (Geographic DNS Routing)

Lösung

Best Practice:
Auf dem Client wird die UTM als globaler Proxy-Server und ggf. für jede Anwendung als Proxy-Server eingetragen.
Workaround:
Auf Client und UTM werden die gleichen DNS-Server eingetragen.

Dieses Vorgehen minimiert die Fehlerrate, kann das Problem aber vor allem bei Servern, die Loadbalancing mit sehr kurzen TTLs-betreiben nicht sicher verhindern.
Zusätzlich muss darauf geachtet werden, daß auch keine DNS-Server verwendet werden, die selber bereits über Geographic DNS Routing angesprochen werden.
Die Google-Server z.B. unterscheiden sich trotz identischer IP-Adresse je nach Region, von der aus sie aufgerufen werden!

Captive Portal

Warnung: Der Anzeigetitel „Captive Portal“ überschreibt den früheren Anzeigetitel „HTTP-Proxy Transparenter Modus“.

Konfiguration des Captive-Portal

Letzte Anpassung zur Version: 12.2.0

Wurde mit v12.2 aktualisiert, Dokumentation erfolgt mit einer v12.6.0

Neu:

Es sind keine Änderungen an den Servereinstellungen mehr erforderlich
Es können ACME-Wildcard-Zertifikate für die Landingpage verwendet werden

Zuletzt aktualisiert:

Redesign des Webinterfaces

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.1.9 (externe & lokale Zertifikate) 11.8.7 (externe Zertifikate) 11.8.7 (lokale Zertifikate) 11.7.3 (externe Zertifikate) 11.7.3 (lokale Zertifikate) 11.7

Vorbemerkung

Das Captive Portal leitet einen HTTP-Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden.

Ab Version 12 kann die UTM ACME Zertifikate verwalten. (Let's Encrypt)
Es wird empfohlen entweder ein ACME-Zertifikat oder ein käuflich erworbenes Zertifikat von einer offiziellen CA (oder ein bereits vorhandenes Wildcardzertifikat) für das Captive Portal zu verwenden, um späteren Irritationen wegen Warnmeldungen des Browsers vorzubeugen.

Planung

Folgende Aspekte sollten vor der Konfiguration bedacht werden:

Für welche Netze soll das Captive Portal konfiguriert werden?
Werden ausschließlich alle potentiellen Nutzer erreicht?
Wie und von wem werden die Nutzungsbedingungen geschrieben?
Soll eine Authentifizierung stattfinden?
Welche internen Webserver dürfen aus dem Netz hinter dem Captive Portal nicht erreicht werden?

Für eine Nutzung des Captive Portals müssen nur wenige Vorbereitungen getroffen werden:

Es muss ein Zertifikat für die Landingpage zur Verfügung stehen
Implizite und Portfilteregeln müssen den Zugriff erlauben

Ein Ändern des Firewallnamens ist seit v12 nicht mehr erforderlich.
Der Hostname der Portalseite wird unter Bereich Allgemein konfiguriert.

Zertifikat bereit stellen

ACME-Zertifikat erstellen

Um ACME Zertifikate (Let's Encrypt) nutzen zu können sind folgende Schritte erforderlich:

ACME Dienst aktivieren
ACME Challenge Token auf spDyn generieren
Zertifikat anlegen
SAN mit dem spDyn Hostnamen und dem Token hinzufügen
Zertifikat erstellen

Für die Verwendung mit dem Captive Portal sind Wildcard-Zertifikate erforderlich!

Authentifizierung Zertifikate Bereich ACME

Beschriftung	Wert	Beschreibung	Zertifikate UTMbenutzer@firewall.name.fqdnAuthentifizierung
Aktiviert:	Ja	Aktiviert die Nutzung von ACME-Zertifikaten. Weitere Informationen siehe unten ACME Dienst aktivieren.
Systemweite Nameserver für ACME-Challenges verwenden:	Ja	Sollten die Adressen für die Server zur Verlängerung der ACME-Challenges nicht über den systemweiten Nameserver aufgelöst werden können (z.B. wg. konfigurierter Relay- oder Foreward-Zonen) können bei Deaktivierung Nein alternative Nameserver eingetragen werden.
Nameserver für ACME-Challenges: Bei deaktivierten systemweiten Nameserver für ACME-Challenges nutzbar	»85.209.185.50»85.209.185.51»2a09:9c40:1:53::1»2a09:9c40:1:53::2	Hier lassen sich die Nameserver für die ACME-Challenges eintragen.

ACME Dienst aktivieren

Um ACME Zertifikate nutzen zu können, muss dies unter Authentifizierung Zertifikate Bereich ACME Aktiviert: Ja aktiviert werden.

Sobald der Dienst aktiviert wurde und dies mit gespeichert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen aufrufen.
Mit der Schaltfläche Aktivieren Ja und dem Hinterlegen einer E-Mail Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben unter speichern.
Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert Ja werden müssen.

ACME-Dienst Ein Dienst aktivieren

Sobald der Dienst aktiviert wurde und dies mit gespeichert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen aufrufen.

Mit der Schaltfläche Aktivieren Ja und dem Hinterlegen einer E-Mail Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben unter speichern.

Daraufhin wird eine Registrierung bei dem ACME Dienstanbieter durchgeführt

Die erfolgreiche Registrierung wird mit dem Status OK angezeigt.

Token generieren

spDYN Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im spDYN Portal zu generieren.
Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen.

spDyn Host aufrufen
Im Dropdown Menü für Token den ACME Challenge Token wählen
Token generieren
notempty Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden.
Der Token sollte notiert und sicher aufbewahrt werden.

spDyn Host aufrufen

Im Dropdown Menü für Token den ACME Challenge Token wählen

Token generieren
Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden.
Der Token sollte notiert und sicher aufbewahrt werden.

Verlängerung der ACME Zertifikate

Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter Authentizifierung Zertifikate Bereich ACME (siehe oben) konfiguriert werden, statt.

ACME-Zertifikate

Nach Abschluss der vorherigen Schritte kann nun das eigentliche Zertifikat erzeugt werden. Ein Klick im Bereich Zertifikate auf ACME-Zertifikat hinzufügen öffnet den entsprechenden Dialog.

Status	Beschreibung	Hinweis / Fehlerbehandlung
Beschriftung	Wert	Beschreibung	ACME-Zertifikat hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate ACME-Zertifikat hinzufügen
ACME-Zertifikat hinzufügen UTM Dialog Authentifizierung Zertifikate Bereich Zertifikate Schaltfläche ACME-Zertifikat hinzufügen
Name:	acme_ttt-Point	Name zur Identifizierung des Zertifikates
Schlüssel:	EC-prime256v1	Schlüssel des Zertifikates. Mögliche Werte: RSA-1024-bit RSA-2048-bit RSA-3072-bit (default) RSA-4096-bit EC-prime256v1 notemptyNeu ab v14.1.0 EC-secp384r1 notemptyNeu ab v14.1.0
ACME Account:	Let's Encrypt	ACME Account der verwendet werden soll

Subject Alternative Name konfigurieren mit SAN hinzufügen Subject Alternative Name hinzufügen
Subject Alternative Name:	»ttt-point.spdns.org	Der Subject Alternative Name (SAN) wird im Zertifikat hinterlegt und entspricht der aufgerufenen URL	SAN hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate Subject Alternative Name hinzufügen
Subject Alternative Name:	»*.ttt-point.spdns.org	Es können auch Wildcard-SANs verwendet werden. Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt Wird für das Captive Portal im Nameserver eine Forward-Zone benötigt und für diese dann ein A-Record eingetragen, wird dieser nicht mehr im öffentlichen DNS aufgelöst. Die Überprüfung und Verlängerung eines ACME-Zertifikates auf diesen Namen schlägt dann fehl.
Alias:	ttt-point.spdns.org	Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen. (Auch bei Wildcard-Domännen ohne * )
Token:	•••••••••••••	Der Token aus dem spDYN-Portal (s.o.) belegt dem ACME-Dienst, daß man über den Hostnamen verfügen darf. zeigt den Token an. Beim Einfügen des Tokens aus der Zwischenablage kann es vorkommen, daß vor oder nach dem eigentlichen Token Leerzeichen enthalten sind. Diese müssen entfernt werden.
[-] Extras
Alternative chain: notemptyNeu ab v14.1.0		Kann in seltenen Fällen die Stabilität erhöhen Diese Option kann verwendet werden, wenn es Probleme mit der Standard-Zertifikatskette des Anbieters gibt. In der Vergangenheit führte beispielsweise die Anwesenheit eines abgelaufenen Root-Zertifikats in der Kette, das zum Cross-Signen verwendet wurde, zu Problemen mit einigen Clients Üblicherweise muss diese Einstellung nicht geändert werden Eine positive natürlich Zahl wählt den Eintrag an der entsprechende Stelle aus der Server Liste aus Mindestens zwei durch Doppelpunkte getrennte Blöcke von jeweils zwei hexadezimalen Ziffern wählt die erste alternative chain aus, die ein Zertifikat mit einem SHA256 Fingerprint enthält, der damit beginnt. Wenn keine alternative chain mit diesen Kriterien gefunden wurde, wird der Default genutzt. Wenn kein Wert eingetragen wird, ist diese Funktion deaktiviert Beipiele für gültige Einträge: 1 2 999 AF:FE C0:FF:EE Verwendung nur für erfahrene Anwender empfohlen
		Speichern und schließen
Konfiguration prüfen Konfiguration prüfen
Status:	Noch nicht geprüft	Vor der eigentlichen Generierung des Zertifikates muss zunächst die Konfiguration geprüft werden. Dies erfolgt durch einen Klick auf die Schaltfläche Konfiguration prüfen.	ACME-Zertifikat hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate
	initialisieren Initialisiert	Die Überprüfung kann mehrere Minuten in Anspruch nehmen. Dabei wird der Dialog regelmäßig aktualisiert.
	Gültig	Ist die Überprüfung erfolgreich wird der Status Gültig angezeigt.
	DNS Fehler	Mögliche Ursachen: falscher Token DNS Auflösung gestört Zonen Weiterleitung im DNS konfiguriert lokale DNS-Zone im DNS konfiguriert Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen. • Unter Menu/Anwendungen/Nameserver/Zonen nach der Zone suchen • auf Bearbeiten klicken • Im Fenster auf +Eintrag hinzufügen klicken • unter Name: einen passenden Namen eintragen • bei Typ: CNAME auswählen • bei Wert: die Domaine eintragen

Subject Alternative Name für eine externe DNS-Zone konfigurieren mit SAN hinzufügen SAN für externe DNS-Zone hinzufügen
Subject Alternative Name:	ttt-point.anyideas.org	Der Subject Alternative Name (SAN) aus der externen DNS-Zone	SAN hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate
Alias:	ttt-point.spdns.org	Der Alias muss auch für die externe DNS auf den spDYN Namen lauten.
DNS Provider	Beim DNS-Provider, der die externe Zone hostet (hier: ttt-point.anyideas.org) muss ein zusätzlicher CNAME-Record mit dem Prefix _acme-challenge und dem anschließenden Hostnamen angelegt werden und entsprechend auf den zugehörigen spDYN-Record mit vorangestellten _acme-challenge verwiesen. _acme-challenge.ttt-point.spdns.org. (Mit "." am Ende!) Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus: _acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org. _acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org. Der Hostname muss im öffentlichen DNS auflösbar sein. Die Erstellung von Zertifkaten für .local, .lan, etc. Zonen ist nicht möglich. Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. notempty Ist die interne und die externe/öffentliche Domain identisch, sollte ein Wildcard-ACME-Zertifikat verwendet werden. Beispiel: Hostname für das Captive Portal: portal.ttt-point.de → ACME Zertifikat: *.ttt-point.de

Konfiguration prüfen	Weitere SANs können hinzugefügt und geprüft werden, solang die Schaltfläche noch nicht betätigt wurde.		ACME-Zertifikat hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate

Status:	Gültig	Sind alle benötigten SAN erfolgreich geprüft, kann das Zertifikat gespeichert werden.	ACME-Zertifikat hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate
	notemptyNach dem Speichern des Zertifikates lassen sich keine Änderungen mehr vornehmen. Es kann lediglich bei bestehenden SANs der Alias und der Token geändert werden. Werden zusätzliche oder andere SANs benötigt muss ein neues Zertifikat angelegt und das Bestehende widerrufen werden.

Erstellung des ACME Zertifikates Erstellung des ACME Zertifikates
	Wurden die vorherigen Schritte erfolgreich abgeschlossen wird durch einen Klick auf Speichern der eigentliche Prozess zur Validierung und Generierung des Zertifikates angestoßen. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden.		Zertifikate UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate

Statuswerte Statuswerte
Folgende Statuswerte können auftreten
Gültig	Das ACME Zertifikat ist gültig
Noch nicht überprüft	Das ACME Zertifikat muss noch überprüft werden
Interner Fehler	Ein interner Fehler ist aufgetreten	Mögliche Ursachen: Kaputte Hardware Softwarefehler Konfigurationsfehler
Verbindungsfehler	Keine Verbindung möglich/vorhanden	Die Verbindungseinstellungen überprüfen
Ungültig	Das ACME Zertifikat ist ungültig und kann nicht verwendet werden
DNS-Fehler	Ein DNS-Fehler ist aufgetreten	Mögliche Ursachen: falscher Token DNS Auflösung gestört Zonen Weiterleitung im DNS konfiguriert lokale DNS-Zone im DNS konfiguriert Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen. • Unter Menu/Anwendungen/Nameserver/Zonen nach der Zone suchen • auf Bearbeiten klicken • Im Fenster auf +Eintrag hinzufügen klicken • unter Name: einen passenden Namen eintragen • bei Typ: CNAME auswählen • bei Wert: die Domaine eintragen
Widerrufen	Das ACME Zertifikat ist widerrufen worden	Entweder wurde es manuell widerrufen, oder es hat seine Gültigkeit verloren. Zum Beispiel ist das ACME-Zertifikat ausgelaufen und wurde nicht verlängert.
Initialisieren	Die Überprüfung des ACME Zertifikats wird eingeleitet	Dies kann mehrere Minuten in Anspruch nehmen. Der Status wird regelmäßig aktualisiert.
Aufgeschoben	Die Überprüfung des ACME Zertifikats wird verschoben	Die Aktualisierung des Status wird einige Zeit in Anspruch nehmen, da das Limit der Anfragen bereits erreicht wurde
Initialisiert	Das ACME Zertifikat wird überprüft	Die Überprüfung des ACME Zertifikats wird eingeleitet

Gekauftes Zertifikat

Alternativ kann auch ein gekauftes Zertifikat importiert werden

Grundsätzlich bestehen hier zwei Optionen:

Ein Zertifikat für einen FQDN
- in diesem Fall wäre der Common Name des Zertifikats portal.anyideas.de
Ein Wildcardzertifikat
- in diesem Fall wäre der Common Name des Zertifikats *.anyideas.de

Im ersten Schritt muss die, zusammen mit dem Zertifikat zur Verfügung gestellte CA, in die UTM importiert werden.
Menü Authentifizierung Zertifikate Bereich CA Schaltfläche CA importieren
Anschließend wird der gleiche Schritt für das eigentliche Zertifikat wiederholt.
Menü Authentifizierung Zertifikate Bereich Zertifikate Schaltfläche Zertifikate importieren

Importformat

Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.

Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:

Zertifikat	Befehl
X509 zu PEM	openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
DER zu PEM	openssl x509 -inform der -in certificate.cer -out certificate.pem
P7B zu PEM	openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem

Fehlermeldung beim Import

Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen.
Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.
Ein Import ist meist möglich, wenn im Bereich Allgemein die Option Veraltete kryptografische Algorithmen unterstützen Ein aktiviert wird. notempty Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

Möglichkeiten für den Import von Zertifikaten:

Zertifikat in *.pem umwandeln

Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes
Alternativ mithilfe eines Online-Dienstes

CLI Befehle, um Zertifikate-Import mit veralteten Ciphern in der UTM zu erlauben:
extc global set variable GLOB_ENABLE_SSL_LEGACY value 1

appmgmt config application "securepoint_firewall"
appmgmt config application "fwserver"
system reboot
notemptyErfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY 
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|0  

cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
OK

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|1

cli> appmgmt config application "securepoint_firewall"
cli> appmgmt config application "fwserver"

Lokales Zertifikat

Die UTM kann auch ein eigenes Zertifikat bereitstellen

Unter Authentifizierung Zertifikate Bereich CA muss eine CA angelegt sein
Unter Authentifizierung Zertifikate Bereich Zertifikate muss ein Server-Zertifikat angelegt werden.
Es sollte für das Captive-Portal eine eigenes Zertifikat erstellt werden, damit dieses auch ohne Auswirkungen auf andere Verbindungen oder Anwendungen im Bedarfsfall widerrufen werden kann.

Wie ein Zertifikat auf der UTM erstellt werden kann, ist hier zu lesen.

Da diese Zertifikat von einer eigenen CA erstellt wird, kann es von einem Browser nicht auf Echtheit überprüft werden.
Der Nutzer erhält eine Warnmeldung, in der einmalig die Vertrauenswürdigkeit bestätigt werden muss.

Captive Portal Benutzer

Captive Portal Benutzer müssen sich, wenn sie sich mit einem entsprechend konfigurierten Netzwerk verbinden, authentifizieren und den Nutzungsbedingungen zustimmen. Erst danach wird der Netzzugang - gemäß den Portfilterregeln freigegeben.	Benutzer UTMbenutzer@firewall.name.fqdnAuthentifikation
notemptyFirewall-Benutzer, die Mitglied einer Gruppe mit der Berechtigung Userinterface Adminstrator Ein sind ( Authentifizierung Benutzer Bereich Guppen Schaltfläche ) können die Captive Portal Benutzerverwaltung über die Benutzerverwaltung (im Standard Port 443) erreichen

Benutzer hinzufügen

Captive Portal Benutzer können verwaltet werden von:

Administratoren
Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.

Beschriftung	Wert	Beschreibung	Captive Portal Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifikationBenutzer Drucken und speichern
Anmeldename:	user-VNK-JT4	Zufällig generierter Anmeldename. Einmal generierte Anmeldenamen lassen sich nach dem Speichern nicht mehr ändern.
Passwort:	BRU-NZE-TCY-LI3-QHE	Zufällig generiertes Passwort Anmeldename und Passwort können mit der Schaltfläche neu generiert werden. Einaml gespeicherte Passöwrter lassen sich nicht erneut anzeigen.
Ablaufdatum:	yyyy-mm-dd hh:mm:ss	Begrenzt die Gültigkeit der Zugangsdaten
Ablaufdatum:	/	Mit diesen Schaltflächen lässt sich das Ablaufdatum um 24 Stunden ab dem aktuellen Zeitpunkt verkürzen (-) oder verlängern (+)
Drucken und speichern		Speichert und schließt den Dialog, erzeugt eine html-Seite mit dem Usernamen und dem Passwort und öffnet den Druck-Dialog
		Speichert die Angaben und schließt den Dialog. Das Passwort läßt sich anschließend nicht mehr anzeigen. Es kann jedoch jederzeit ein neues Passwort erzeugt werden .
		Schließt den Dialog, ohne Änderungen zu speichern.

Implizite Regeln

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Firewall - Implizite Regeln Menü Firewall Implizite Regeln Gruppe Ein Captive Portal

Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind.
Der Schalter CaptivePortalPage öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können.

Der Schalter CaptivePortalRedirection ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.

Paketfilter

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Firewall - Portfilter IP Im Portfilter ist eine Regel erforderlich, die den Zugriff der Captive Portal Benutzer auf das Internet ermöglicht.
Alternativ kann auch in den Captive Portal Einstellungen mit der Schaltfläche im Bereich Allgemein eine autogenerierte any-Regel erzeugt werden.

1. Regel

Quelle:	captive_portal
Ziel:	internet
Dienst:	default-internet
[–] NAT
Typ:	HideNAT
Netzwerkobjekt:	external-interface

Speichern Speichern und schließen

Anschließend mit der Schaltfläche die Regeln aktualisieren

Einstellungen im Captive Portal

Menü Anwendungen Captive Portal

Allgemein

Beschriftung	Wert	Beschreibung	Captive Portal UTMbenutzer@firewall.name.fqdnAnwendungen Bereich Allgemein
Captive Portal:	Ein	Dieser Schalter aktiviert oder deaktiviert das Captive Portal
Implizite Regeln:		Zeigt grün, wenn die impliziten Regeln des Captive Portals aktiviert sind. Bei gelb werden diese Regeln nicht verwendet.
Portfilter Regel:		Zeigt grün, wenn Portfilterregeln für das Captive Portal existieren.
Portfilter Regel:		Mit der + Schaltfläche kann eine autogenerierte any-Regel erzeugt werden. Schöner, aber aufwendiger sind Regeln, die nur ein ausgewähltes Netz freigeben.
Hostname der Portalseite:	portal.anyideas.de	Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. Bei einem Wildcardzertifikat muss der Hostname der Antwort auf eine DNS-Anfrage des Clients entsprechen.
Zertifikat:	ttt-Point (ACME)	Bitte das oben erwähnte Zertifikat auswählen.
Netzwerkobjekte:	wlan-0-network (wlan0)	In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, die auf die Landingpage umgeleitet werden sollen.
Erweitert Erweitert
Authentifizierung:	Ein	Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden.	Bereich Erweitert
Port der Portalseite:	8085^▴_▾	Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
Maximale Verbindungszeit:	1800^▴_▾	Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist. Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von notwendig.
Zugriff auf interne Ziele erlauben:	Nein	Der Zugriff auf interne Netze über den HTTP-Proxy des Captive Portals wird verhindert.
Designs Designs
Das Captive Portal kann und muss individuell angepasst werden. In jedem Fall müssen die Nutzungsbedingungen angegeben werden. Es kann für jede Sprache ein Design angelegt werden. Es ist ausreichend, diejenigen Angaben einzutragen, die zum Fallback Design geändert sind. Das Falbackdesign benötigt zwingend alle Angaben Aufruf mit der Schaltfläche zum Bearbeiten oder Design hinzufügen			Bereich Designs
Branding
Aufruf mit der Schaltfläche zum Bearbeiten oder Design hinzufügen			Design bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenCaptive Portal Werkseinstellungen Bereich Branding

Nutzungsbedingungen
Nutzungsbedingungen:	Nutzungsbedingungen/Terms of Use	Hier müssen eigene Nutzungsbedingungen aufgeführt werden. Aus Haftungsgründen können wir diese leider nicht bereitstellen. Wir empfehlen aus den gleichen Gründen, einen Anwalt hinzu zu ziehen.	Bereich Nutzungsbedingungen
			Bereich Nutzungsbedingungen
Übersetzungen
Übersetzungen für die Beschriftungen. Fehlt eine Übersetzung, wird der Wert der Default-Sprache verwendet.			Bereich Übersetzungen
			Bereich Übersetzungen

Nameserver

Menü Anwendungen Nameserver Bereich Zonen
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.

Forward-Zone hinzufügen

Schaltfläche Forward-Zone hinzufügen

Der zu vergebende Zonenname entspricht der Landingpage des Captive Portals.
Im Beispiel portal.anyideas.de.
Als Hostname des Nameservers wird localhost verwendet.
Das Feld der IP-Adresse kann leer gelassen werden.

Schritt 1
Zonenname portal.anyideas.de

Schritt 2
Nameserver Hostname loacalhost

Schritt 3
IP-Adresse kann leer gelassen werden

Forward-Zone bearbeiten

Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Nameserver - A-Record mit IP-Adresse Der soeben erstellten Zone wird folgender Eintrag hinzu gefügt → Schaltfläche Eintrag hinzufügen :

Beschriftung	Wert	Beschreibung
Name:	portal.anyideas.de.	FQDN der Zone für das Captive Portal Mit . Punkt am Ende
Typ:	A	A-Record
Wert:	192.168.100.1	IP der Schnittstelle, über die das Captive Portal erreicht werden soll (hier wlan0 )

Transparenter Modus

HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log HTTP-Proxy - Transparenter Proxy Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus
Für den Zugriff auf das Internet über den benötigten HTTP-Proxy ist mindestens eine Regel notwendig (HTTP), besser zwei (zusätzlich HTTPS)

Schaltfläche Transparente Regel hinzufügen

Beschriftung	Wert
Protokoll	HTTP
Typ	include
Quelle	wlan-0-network
Ziel	internet

Für den Zugriff auf https-Seiten muss zusätzlich im Bereich SSL-Interception
die SSL-Interception Ein aktiviert sein. (Benötigt ein CA-Zertifikat der UTM)

Beschriftung	Wert
Protokoll	HTTPS
Typ	include
Quelle	wlan-0-network
Ziel	internet

Webfilter

Abschließend sollte noch der Webfilter konfiguriert werden. Da über den Proxy gesurft wird ist ohne Regel im Portfilter ein Zugriff auf z.B. interne Webserver möglich.Folgende Schritte sind durchzuführen:

mit Authentifizierung

Firewall Paketfilter Bereich Netzwerkobjekte Schaltfläche Gruppe hinzufügen
Erstellen einer Gruppe (z.B. grp_CP_webfilter), die das wlan-0-network-Netzwerkobjekt beinhaltet
Anwendungen Webfilter Schaltfläche Profil hinzufügen
Netzwerk- oder Benutzergruppe: grp_CP_webfilter Die neu erstellte Gruppe wählen Speichern
neu generierten Regelsatz bearbeiten
1. webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll URL hinzufügen
2. Aktion auf blockieren belassen

ohne Authentifizierung

Anwendungen Webfilter Schaltfläche Profil hinzufügen
Die Gruppe der Benutzer wählen
neu generierten Regelsatz bearbeiten
1. webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll URL hinzufügen
2. Aktion auf blockieren belassen

Version vom 20. März 2025, 10:11 Uhr Quelltext anzeigen G6-2026-02>MalteA Keine Bearbeitungszusammenfassung	Aktuelle Version vom 11. März 2026, 12:02 Uhr Quelltext anzeigen Lauritzl (Diskussion \| Beiträge) Bürokraten, Oberflächenadministratoren, support, Administratoren 29.930 Bearbeitungen K 1 Version importiert
(kein Unterschied)


A0	RJ45	external
A1	RJ45	internal


	HDMI
	USB

Aktuelle Version vom 11. März 2026, 12:02 Uhr

Inbetriebnahme

Vorbereitung

Zugangsdaten bereitlegen

Firmware Update vorbereiten

Installation der Firmware

Einbindung in das lokale Netzwerk

IP-Adressen der UTM per CLI anpassen

IP-Adresse des eigenen Rechners anpassen

IP-Adresse unter Windows ändern

IP-Adresse unter Linux ändern

IP-Adresse auf einem MAC ändern

Erster Aufruf

Erste Anmeldung

Lizenzvereinbarung und Datenschutzerklärung zustimmen

Grundlegende Einstellungen

Willkommen

Schnittstellen konfigurieren

Einrichtung mit Installationsassistenten

Vorbemerkungen

Installationsassistent

Schritt 1 - Allgemein

Schritt 2 - Datenschutz

Schritt 3 - Intern

Ohne WLAN-Modul

Mit WLAN-Modul

Schritt 4 - Internet

Verbindungstyp PPPoE / VDSL

Verbindungstyp Ethernet mit statischer IP

Verbindungstyp Kabelmodem mit DHCP

Verbindungstyp LTE / andere

Schritt 5 - DNS Forwarding

Schritt 6 - DMZ

Schritt 7 - WLAN

Schritt 8 - Zertifikat

Schritt 9 - Administrator

Neustart

Schnittstellen konfigurieren

Servereinstellungen

Firewall

DNS-Server

Zeiteinstellungen

Webserver

Erweiterte Einstellungen

Ethernet Konfiguration

Netzwerkschnittstellen Allgemein

Anlegen einer Ethernet-Schnittstelle

Bearbeiten einer Ethernet Schnittstelle

Allgemein

Einstellungen

IP-Adressen

Zonen

DynDNS

Fallback

Default-Route anlegen

Gateway Typ Schnittstelle

Gateway Typ IP

Mobilfunkeinstellungen

Vorbemerkung

Verfügbare Module

Mobile-Schnittstelle hinzufügen

Einrichtungsschritt 1

Einrichtungsschritt 2

Einrichtungsschritt 3

SIM verwalten

SIM entsperren

SIM PIN entfernen

Provider Auswahl

Route hinzufügen

Signalqualität

WLAN Konfiguration

WLAN-Funktionalität

WLAN QR-Codes drucken

WLAN Assistent

Schritt 1 - IP-Adresse

Schritt 2 - SSID

Schritt 3 - Authentifizierung

Schritt 4 - Zonen

WLAN Einstellungen bearbeiten

DHCP-Server IPv4