USC/Websession: Unterschied zwischen den Versionen

Version vom 25. Januar 2024, 11:32 Uhr

Websessions über die USC starten

Letzte Anpassung: 10.2023 (Portal v1.19 / UTM v12.5.2)

Neu:

Websessions sind jetzt auch möglich mit UTMs, die über keine öffentliche IP verfügen ab UTM v12.5.1
Websessions werden jetzt zusätzlich mit einer PIN abgesichert (Portal v1.17)
Anleitung um eine UTM über IPv6 erreichbar zu machen für den Fall, daß keine öffentliche IPv4-Adresse zur Verfügung steht (Portal v1.17)

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Voraussetzungen

Aktivieren der Steuerung über die Unified Security Console

Die Unified Security Console muss in der UTM aktiviert sein

Der Zugriff über die Unified Security Console muss zunächst in der UTM im Menü USC selbst freigeschaltet werden.
Die UTM meldet sich nach dem Update beim Lizenzserver. Erst hier wird die Verfügbarkeit des Dienstes signalisiert und anschließend das Menü freigeschaltet.

notempty

Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird.

Der Vorgang kann verkürzt werden, indem nach einigen Minuten Laufzeit (die UTM muss die Gelegenheit gehabt haben, sich beim Lizenzserver zu melden!) auf dem CLI der Befehl system restrictions update ausgeführt wird.

Beschriftung	Wert	Beschreibung
Datenschutzerklärung:	Ja	Der Datenschutzerklärung muss zugestimmt werden
Aktiviert:	Ja	Hiermit wird die Unified Security Console - und damit die Anzeige, Konfiguration und der Zugriff über das Securepoint Unified Security Portal aktiviert.
Authentifizierungsmethode:	PIN (empfohlen) Loginmaske	Authentifizierungsmethode für eine Websession
PIN:	••••••••	Als Authentifizierung für eine Websession kann eine 6-stellige PIN statt der Loginmaske mit Zugangsdaten gewählt werden. Nach 5 Fehlerhaften Eingaben in Folge wird der Zugang gesperrt. Erst nach korrektem Anmelden direkt am Admin-Interface wird die Sperre wieder aufgehoben.
		Zeigt die Websession PIN an
		Erstellt eine neue PIN

IP-Adresse

UTM bis v.12.2.2.8: Update erforderlich
Die UTM verwendet ein älteres Verfahren für die Websession, das nur noch bis zum 30.11.2023 zur Verfügung steht
- Die UTM ist über ein lokales Netz direkt erreichbar
- Zugangsdaten (Benutzername und Kennwort) werden benötigt
  oder
- Die UTM verfügt über eine öffentliche IP
  Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
UTM bis v12.4.4.1 Ein Update auf die aktuellste Version wird empfohlen
- Die UTM ist über ein lokales Netz direkt erreichbar
- Zugangsdaten (Benutzername und Kennwort) werden benötigt
  oder
- Die UTM verfügt über eine öffentliche IP
  Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
UTM v12.5.0
- Die UTM ist über ein lokales Netz direkt erreichbar
- Zugangsdaten (Benutzername und Kennwort) werden benötigt
  oder
- Die UTM verfügt über eine öffentliche IP
  Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
- Es ist zusätzlich eine PIN erforderlich
  Festgelegt auf der UTM im Menü USC / Kasten Unified Security Console

Beispielkonfiguration einer öffentlichen IPv6 anhand einer Fritzbox

Hinweis
Dieser Abschnitt beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Anmeldung auf der Konfigurationsoberfläche (in den Standardeinstellungen unter https://192.168.178.1)
In den Netzwerkeinstellungen für IPv6 muss die Option DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren ausgewählt werden
Unteroption DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen wählen
Portfreigabe in der Fritzbox für den Admin Webinterface Port der UTM (Menü Internet / Freigaben /Reiter Portfreigaben Schaltfläche Gerät für Freigaben hinzufügen

Abb.1

USC erreicht über die Fritzbox an LAN1 die UTM mit IPv6

Abb.2

Menü Heimnetz ➊ / Netzwerk ➋ / Reiter Netzwerkeinstellungen ➌
am Ende der Seite Dropdownmenü: weitere Einstellungen ➍
Abschnitt IP Adressen / Schaltfläche IPv6 Einstellungen ➎ (nicht im Bild)
oder auch IPv6 Konfiguration

Abb.3

Abschnitt Weitere IPv6-Router im Heimnetz
Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben ➏
Abschnitt DHCPv6-Server im Heimnetz
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: ➐
- DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen ➑ aktivieren
Angaben mit Schaltfläche OK ➒ speichern

Abb.4

Erforderlich, wenn die UTM und ggf. weitere Geräte im lokalen Netz von außen per IPv6 erreichbar sein sollen

Menü Internet → Freigaben→ Reiter Portfreigaben/ Schaltfläche Gerät für Freigaben hinzufügen

Gerät aus Dropdownmenü auswählen ➓
IP-Adresse manuell eingeben wählen, falls diese nicht per DHCP zugeteilt wird
Falls gewünscht: Ping für IPv6 aktivieren ⓫
Option Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen aktivieren ⓬
Schaltfläche Neue Freigabe anklicken ⓭
Es öffnet sich ein weitere Dialog

Abb.5

Option Portfreigabe wählen
Anwendung Andere Anwendung
Bezeichnung Aussagekräftiger Name
Protokoll TCP
Port an Gerät 11115 bis Port 11115
Port ggf. anpassen, wenn unter NetzwerkServereinstellungenServereinstellungen Abschnitt Webserver Administration Webinterface Port: ein anderer Port konfiguriert wurde
Im Abschnitt Freigabe aktivieren die Option
Internetzugriff über IPv6 wählen
Eingabe abschließen mit OK
In der Übersicht Eingaben bestätigen mit OK (siehe Abb.4 Nr. ⓮)

Abb.6

Alle Angaben prüfen und mit Übernehmen bestätigen

Konfiguration auf der UTM:

Schnittstellen bearbeiten

Externe Schnittstelle

In der Regel A0, LAN1 oder eth0 - je nach verwendeter Hardware

verbunden zum Internet über NAT-Router

Menü → Netzwerk →NetzwerkkonfigurationReiter Netzwerkschnittstellen / externes Interface bearbeiten / Reiter Allgemein

DHCP Client IPv4 & IPv6
Router Advertisement: Aus
IPv6 Prefix Delegation Ein

Interne Schnittstelle

Z.B. A1, LAN2 oder eth1 - je nach verwendeter Hardware

(muss für alle internen Schnittstellen konfiguriert werden, die eine öffentliche IPv6-Adresse an Clients verteilen sollen (und damit auch selber eine erhalten).

Menü → Netzwerk →NetzwerkkonfigurationReiter Netzwerkschnittstellen / internes Interface bearbeiten / Reiter Allgemein

DHCP Client Aus
Router Advertisement: Ein
IPv6 Prefix Delegation Aus

Default-Route hinzufügen

Gateway-Schnittstelle: LAN1
IPv6: Ein

Damit die IPv6-Adressen geroutet werden können, muss unter → Netzwerk →NetzwerkkonfigurationReiter Routing mit der Schaltfläche Default-Route hinzufügen eine Default-Route hinzugefügt werden.
Speichern

Netzwerkkonfiguration mit IPv6 Prefix Delegation

Die externe Schnittstelle sollte nach einem kurzen Moment eine dynamische … /64-IPv6-Adresse erhalten
Sollte hier eine 128er Adresse stehen müssen die Einstellungen in der Fritzbox kontrolliert werden

Netzwerkobjekte und Portfilterregeln erstellen

Netzwerkobjekt internal_v6

Reiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

Name: internal_network_v6

Typ: Netzwerk (Schnittstelle)
Adresse: LAN2
Zone: internal

Bei Systemen die vor v12.4 aufgesetzt wurden:

Netzwerkobjekt Internet_v6

Name: Internet_v6
Typ: Netzwerk (Adresse)
Adresse: ⸬/0
Zone: external
Bei Systemen die vor v12.4 aufgesetzt wurden: external_v6

Mögliche Portfilterregel

Quelle: internal_network_v6

Ziel: internet_v6
Dienst: default-internet
Aktion: Accept
NAT

Typ:

Kein NAT!

Die UTM ist jetzt über eine öffentliche IPv6 erreichbar.
Nach einigen Minuten wird diese Adresse in der Auswahlbox für IP-Adressen in der USC angezeigt.

UTM ab v.12.5.1:
- Die UTM ist über ein lokales Netz direkt erreichbar
- Zugangsdaten (Benutzername und Kennwort) werden benötigt
  oder
- Eine Websession aus entfernten Netzen ist auch möglich, wenn die UTM über keine öffentliche IP verfügt
- Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
- Login mit PIN oder Zugangsdaten möglich
  Festgelegt auf der UTM im Menü USC / Kasten Unified Security Console

Websession

Aktion:	Beschreibung
Neue Websession starten	Öffnet den Dialog , um die administrative Weboberfläche der UTM zu starten

Websession mit UTM bis v12.5.0 notempty Websession mit UTM bis v12.5.0
IP-Adresse	Es werden alle Schnittstellen mit IP-Adressen auf der UTM im Dropdownmenü angeboten. Es wird zusätzlich angegeben, ob es sich um öffentliche oder private, lokale IP-Adressen handelt Schnittstelle mit öffentlicher IP-Adresse 203.0.113.203 (A0) [Public] Es ist eine Websession PIN erforderlich (s.u.) Erfolgt die erste Anmeldung nach dem erstmaligen Update der UTM auf eine Version 12.5.x über eine Websession, gilt die initiale PIN 000000. Bei der ersten Anmeldung muss die PIN geändert werden. Schnittstelle mit privater IP-Adresse 192.168.12.50 (A1) [Local] Es wird ein Link zum lokalen Administrations-Webinterface bereitgestellt Es werden Benutzerdaten mit Administratorrechten für die UTM benötigt Die eigene IP muss als Manager-IP auf der UTM registriert sein Es wird eine Verbindung im lokalen Netzwerk zur UTM benötigt	Websession mit PIN (UTM bis v12.5.0)
Port	11115 Port, über den das Admin-Interface der UTM erreichbar ist (wird aus den Einstellungen der UTM unter Netzwerk Servereinstellungen ausgelesen)
PIN:	•••••••• Websession PIN (Konfiguriert auf der UTM im Menü USC im Abschnitt Unified Security Console
PIN:	Die eingegebene PIN ist falsch Nach 5 Fehlerhaften Eingaben in Folge wird der Zugang gesperrt. Erst nach korrektem Anmelden direkt am Admin-Interface wird die Sperre wieder aufgehoben.
Version	Version Aktuell verwendete Firmware Version
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers Ggf. müssen für portal.securepoint.cloud im verwendeten Browser Pop-ups erlaubt sein!

Websession mit PIN notempty Websession mit PIN (UTM ab v12.5.1) Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
Benutzer	admin Gibt es keinen Benutzer mit dem Namen admin, kann hier ein Benutzer mit Adminrechten ausgewählt werden, mit dem die Websession Verbindung gestartet werden soll.	Websession mit PIN (UTM ab v12.5.1)
PIN:	•••••••• Websession PIN (Konfiguriert auf der UTM im Menü USC im Abschnitt Unified Security Console
PIN:	Die eingegebene PIN ist falsch Nach 5 Fehlerhaften Eingaben in Folge wird der Zugang gesperrt. Erst nach korrektem Anmelden direkt am Admin-Interface wird die Sperre wieder aufgehoben.
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers Ggf. müssen für portal.securepoint.cloud im verwendeten Browser Pop-ups erlaubt sein!

Websession mit Loginmaske notempty Websession mit Loginmaske (UTM ab v12.5.1) Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.		Websession mit Loginmaske (ab UTM v12.5.1)
Da die Websession-PIN deaktiviert ist, kann keine automatische Anmeldung erfolgen. Es sind Zugangsdaten (Benutzername und Passwort) erforderlich.
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers Ggf. müssen für portal.securepoint.cloud im verwendeten Browser Pop-ups erlaubt sein!

@@ Zeile 49: / Zeile 49: @@
 | {{b|{{#var:Aktiviert}} }} || {{ButtonAn|{{#var:ja}}|Anw=UTM}} || {{#var:Aktiviert--desc}}
 |-
-| {{b|{{#var:Authentifizierungsmethode}} }} {{Hinweis-box|{{#var:neu ab}} UTM v12.5 |gr|12.5|status=neu}} || class=mw12 | <p>{{Button|{{#var:PIN empfohlen}}|blau|class=UTM first}} {{Button|{{#var:Loginmaske}}|class=UTM last}}</p> || <li class="list--element__alert list--element__warning">{{#var:Authentifizierungsmethode--desc}}</li>
+| {{b|{{#var:Authentifizierungsmethode}} }}  || class=mw12 | <p>{{Button|{{#var:PIN empfohlen}}|blau|class=UTM first}} {{Button|{{#var:Loginmaske}}|class=UTM last}}</p> || <li class="list--element__alert list--element__warning">{{#var:Authentifizierungsmethode--desc}}</li>
 |-
-| rowspan="3" | {{b|PIN:}} {{Hinweis-box|{{#var:neu ab}} UTM v12.5 |gr|12.5|status=neu}} || {{ic|••••••••|class=mw8}} || {{#var:Websession-PIN--desc}} {{info|{{#var:PIN-Sperre}} }}
+| rowspan="3" | {{b|PIN:}} || {{ic|••••••••|class=mw8}} || {{#var:Websession-PIN--desc}} {{info|{{#var:PIN-Sperre}} }}
 |-
 | <i class="fas fa-eye icon2 button></i> || {{#var:PIN anzeigen--desc}}
@@ Zeile 85: / Zeile 85: @@
 ** {{#var:Lokaler Zugang--desc}}
 ** {{#var:Zugangsdaten--desc}}
-** {{#var:Websession mit NAT--desc}} {{Hinweis-box|{{#var:neu ab}} v12.5.1|gr|12.5.1|status=update}}
+** {{#var:Websession mit NAT--desc}}
 ** {{#var:IP Websession NAT}}
 ** {{#var:Login PIN oder Zugangsdaten}} {{info|{{#var:Zusätzliche PIN--info}} }}
@@ Zeile 118: / Zeile 118: @@
 <div class="Einrücken">
 {{ic|203.0.113.203 (A0) [Public]|dr|class=mw12}}
-<li class="list--element__alert list--element__hint">{{#var:Credentials PIN}} {{Hinweis-box|{{#var:neu ab}} UTM v12.5.0|gr|12.5}}</li>
+<li class="list--element__alert list--element__hint">{{#var:Credentials PIN}} </li>
-<li class="list--element__alert list--element__warning">{{#var:Credentials PIN Erste Anmeldung}} {{Hinweis-box|{{#var:neu ab}} UTM v12.5.0|gr|12.5}}</li>
+<li class="list--element__alert list--element__warning">{{#var:Credentials PIN Erste Anmeldung}} </li>
 </div>
 '''{{#var:IP privat}}'''<br>
@@ Zeile 133: / Zeile 133: @@
 | {{b|Port}} || {{ic|11115|class=mw12}} <div class="Einrücken">{{#var:Port--desc}}</div>
 |-
-| rowspan="2" | {{b|PIN: }} {{Hinweis-box|{{#var:neu ab}} v12.5.0|gr|12.5}} || {{ic|••••••••|class=mw12}} <div class="Einrücken">{{#var:PIN--desc}}</div>
+| rowspan="2" | {{b|PIN: }} || {{ic|••••••••|class=mw12}} <div class="Einrücken">{{#var:PIN--desc}}</div>
 |-
 | {{spc|{{#var:PIN Fehlermeldung}}|sp-class=small }} <div class="Einrücken">{{#var:PIN-Sperre}}</div>
@@ Zeile 139: / Zeile 139: @@
 | {{b|Version}} || {{ic|Version|class=mw12 }} <div class="Einrücken">{{#var:Version--desc}}</div>
 |-
-| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}
+| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}<li class="list--element__alert list--element__warning">{{#var:Session starten--Hinweis}}</li>
 |- class="Leerzeile"
 |
@@ Zeile 152: / Zeile 152: @@
 | {{spc|{{#var:PIN Fehlermeldung}}|sp-class=small }} <div class="Einrücken">{{#var:PIN-Sperre}}</div>
 |-
-| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}
+| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}<li class="list--element__alert list--element__warning">{{#var:Session starten--Hinweis}}</li>
 |- class="Leerzeile"
 |
@@ Zeile 161: / Zeile 161: @@
 | colspan="2" | {{#var:Websession mit Loginmaske--desc}}
 |- class="noborder"
-| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}
+| {{spc|fa|b|{{#var:Session starten}} |class=fal fa-play }} || {{#var:Session starten--desc}}<li class="list--element__alert list--element__warning">{{#var:Session starten--Hinweis}}</li>
 |- class="Leerzeile"
 |