Allgemein
Die Zugangsdaten zur UTM sind nicht mehr bekannt. Kann das Passwort zurückgesetzt werden? Nein, Passwörter von Benutzern auf der UTM können ohne administrativen Zugriff nicht zurückgesetzt werden. Das UTM-System muss durch eine Neu-Installation in Werkseinstellung gebracht werden. Nach Rücksicherung der Konfiguration der UTM kann das Passwort angepasst werden.
Gibt es eine Dokumentation der CLI-Befehle?
Ja, die CLI-Befehle sind mit Beispielen im Wiki dokumentiert.
Gibt es Angaben zu den Durchsatzraten der unterschiedlichen Appliances?
Eine Übersicht ist auf www.securepoint.de zu finden.
Was ist bei der Nutzung mehrerer Internet-Verbindungen und VOIP-Anschlüssen zu beachten?
Die TK-Anlage muss fest über eine Internet-Leitung geleitet werden. Die Registrierung über verschiedene IP-Adressen kann zu Problemen führen.
Servereinstellungen können aufgrund fehlenden SNMP Eintrag nicht gespeichert werden.
Nach einem Update auf die Version 11.7.3 kann es bei Änderungen in den Servereinstellungen dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird. Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden.
Wie kann die Abfrage der SIM PIN deaktiviert werden?
Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden. Dies ist hier beschrieben.
Wie kann das UTM Image neu auf eine UTM installiert werden?
Das ist in diesem Artikel beschrieben. -> Installation / Update vom USB-Stick
Netzwerk
Was ist bei der Umstellung der Internet-Verbindung von einer PPPoE-Verbindung auf eine Router-Verbindung zu beachten?
Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang
Können die PPPoE-Zugangsdaten ausgelesen werden?
Ja, das Auslesen ist über das CLI-Kommando 'interface get' möglich.
Wie kann der Netzwerktraffic ausgewertet werden?
Der Netzwerktraffic kann unter anderem über die Webinterface Widgets ausgewertet werden. Mit einem SSH-Programm und dem Benutzer "root" stehen noch folgende Möglichkeiten zur Verfügung.
iftop -i $Schnittstelle
oder
vnstat
Meine Site-to-Site Verbindung steht, aber ich habe keinen Traffic.
Wenn bei einer Site-to-Site Verbindung die Kommunikation nicht erfolgt, sollte zunächst geprüft werden ob der transparente HTTP-Proxy die Pakete abfängt oder ob Regeln für die jeweiligen Netzwerke vorhanden sind. Bei einer IPSec Verbindung kann in den Impliziten Regeln ein globales Accept und die Option "Kein NAT für IPSec Verbindungen" aktiviert werden. Hierfür werden dann keine weiteren Regeln benötigt.
Es kann aber auch sein, dass das Ziel nicht auf Pakete aus fremden Netzwerken antwortet, hierfür muss entweder die Firewall des Ziel angepasst werden oder aber eine Regel mit einem Hide Nat auf das internal-interface gesetzt werden. Dann werden die Pakete von der VPN Verbindung kommend mit der IP-Adresse des Internal Interface genattet und das Ziel nimmt diese ggf. an.
Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.
Beispiel für ein tcpdump auf der Schnittstelle eth1, wobei man die IP-Adressen und Ports sieht und Pakete mit dem Protokoll 1 (ICMP Echo Request) filtert.
tcpdump -i eth1 -nnp proto 1
Meine IPSec Verbindung baut sich nicht auf
1. Prüfen ob die Empfehlungen eingehalten wurden -> IPSec S2S Empfehlungen
2. Die Logmeldungen im Livelog überprüfen -> IPSec Troubleshooting
3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?
4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen
tcpdump -i eth0 -nnp host $IP-Adresse des Remote Gateway
HTTP-Webseiten werden vom Webfilter gefiltet, HTTPS nicht
Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen. Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)
Firewall
Wie können die SIP-Helper entladen werden?
Das entladen ist nur über das CLI möglich. Folgende Befehle sind dafür auszuführen:
debug kmod unload module nf_nat_sip
debug kmod unload module nf_conntrack_sip
Authentifizierung
Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung 'Failed to join domain: failed to set machine spn: Constraint violation' angezeigt.
Das Computer-Konto der UTM ist aus dem Active Directory zu löschen. Danach kann die UTM erneut in das Active Directory eingebunden werden.
Update
Warum erhält die UTM das Online-Update nicht direkt nach der Freigabe des Updates?
Die Verteilung der Firmware-Updates der UTM erfolgt über einen längeren Zeitraum. Der genauer Zeitraum ist in der Ankündigung im Support-Forum ersichtlich. In dieser Vorgang erfolgt automatisiert und kann nicht manuell beeinflusst werden.
Die UTM kann über eine Update-Image jederzeit manuell aktualisiert werden.