Informationen
Letze Anpassung zur Version: 11.7.12
Bemerkung: Neuer Artikel
Vorherige Versionen: -
Einleitung
Im Fehlerfall sind folgende Schritte notwendig, damit eine korrekte Fehleranalyse von unserem Support durchgeführt werden kann.
Hinweise
Um einen ordnungsgemäßen Betrieb sicherzustellen, darf das UTM-System nicht ohne ordentliches Herunterfahren stromlos gemacht werden. Ansonsten kann es zu Beschädigungen oder Beeinträchtigungen kommen. Die UTM kann wie folgt ordnungsgemäß heruntergefahren werden.
- Über das Webinterface (Konfiguration -> Herunterfahren)
- Über die Powertaste am Gerät
- Via SPCLI (system poweroff)
- Via SSH (spcli system poweroff)
Vorbereitung
Ein Benutzer mit dem Namen "root", freiwählbaren Passwort und der Gruppe "Administrator" muss auf der Firewall erstellt werden. Login via SSH (z.B. PuTTy) auf der Firewall mit dem Benutzer "root".
Wie ein Benutzer über das Webinterface erstellt wird, ist hier zu finden.
Erhöhen der Syslog-Einträge
spcli;
syslog backlog set type messages limit 100000;
system config save;
Freigabe der Securepoint IP für eine Fehleranalyse von extern.
manager new hostlist 87.139.55.127/32;
Anschließend die SSH-Verbindung trennen.
Fehleranalyse
Im Fehlerfall bitte folgendes testen und dokumentieren.
- Pingtest auf die IP der UTM (eth1)
- Traceroute auf die IP der UTM (eth1)
- Login UTM via SSH
- Login UTM via Webbrowser (Bitte mit mindestens zwei Browsern testen)
- Login UTM via Monitor und Tastatur an der UTM
Wenn der Login via SSH oder Monitor und Tastatur klappen sollte, bitte Folgendes durchführen.
Prüfen der Schnittstellen
ip a;
Hier sollten folgende Informationen angezeigt werden, wobei die IPs, Interface und MAC-Adressen abweichen können. Hier bitte überprüfen, ob die Ports „NO-CARRIER“, „DOWN“ oder „UP“ anzeigen.
root@firewall:~# ip a 5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff inet 10.10.10.2/24 scope global eth0 valid_lft forever preferred_lft forever 7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 21:22:23:24:24:26 brd ff:ff:ff:ff:ff:ff inet 192.168.175.1/24 scope global eth1 valid_lft forever preferred_lft forever 8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000 link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff
Prüfen der Interface Adressen
spcli;
interface address get;
Hier sollten folgende Informationen angezeigt werden, wobei die IDs und IPs abweichen können. Hier bitte prüfen, ob die Interfaces ONLINE sind.
firewall.foo.local> interface address get id|flags |device|address –+——-+——+——- 16|ONLINE |eth0 |10.10.10.2/24 5 |ONLINE |eth1 |192.168.175.1/24
PING-Test ins Internet
exit;
tcpdump -i eth1 -nnp proto 1;
Anschließend wird ein Ping auf die IP "9.9.9.9" von einem Gerät, welches sich hinter eth1 befindet und die UTM als Gateway eingetragen hat, durchgeführt.
Hier sollten folgende Informationen angezeigt werden, wobei die IPs abweichen können. Hier bitte prüfen, ob der ICMP echo request und der ICMP echo reply an der Schnittstelle ankommt.
root@firewall:~# tcpdump -i eth1 -nnp proto 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 08:32:43.051837 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 9, length 64 08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64 08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64 08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64
Dokumentation
Die Ergebnisse müssen dokumentiert werden, auch wenn diese fehlschlagen sollten. Ebenfalls ist es wichtig, dass Meldungen die möglicherweise beim Login auf der UTM angezeigt, auch dokumentiert werden. Anschließend bitte ein Supportticket über das Resellerportal erstellen und das Protokoll bereithalten.