UTM/FAQ: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
(Netzwerk)
(Allgemein)
 
(17 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 9: Zeile 9:
 
<div style="clear: both;"></div>
 
<div style="clear: both;"></div>
  
 +
 +
'''Was ist vor der Ersteinrichtung zu empfehlen?'''
 +
 +
Wir empfehlen unsere aufgezeichneten Webinare [https://www.youtube.com/watch?v=yd3GsyGJbNY Gute Firewallkonfiguration] und [https://www.youtube.com/watch?v=tL2KMKaE3xE Gutes Netzwerkdesign]. Außerdem haben wir eine UTM Firewall Basisschulung (Silber Level), welche regelmäßig stattfindent. Eine Übersicht mit den nächsten Terminen ist [https://www.securepoint.de/produkte/schulung-zertifizierung/webinare.html hier] zu finden.
  
 
'''Gibt es eine Dokumentation der CLI-Befehle?'''
 
'''Gibt es eine Dokumentation der CLI-Befehle?'''
Zeile 32: Zeile 36:
 
Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden.
 
Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden.
 
Dies ist [[UTM/NET/Mobile#SIM_PIN_entfernen | hier]] beschrieben.
 
Dies ist [[UTM/NET/Mobile#SIM_PIN_entfernen | hier]] beschrieben.
 +
 +
'''Wie kann das UTM Image auf eine UTM installiert werden?'''
 +
 +
Das ist in diesem Artikel beschrieben. -> [[UTM/USB_Booten | Installation / Update vom USB-Stick]]
 +
 +
 +
'''Wie kann ein Zertifikat konvertiert werden?'''
 +
 +
Konvertierung DER (.crt .cer .der)  zu PEM
 +
 +
<code>openssl x509 -inform der -in certificate.cer -out certificate.pem</code>
 +
 +
Konvertierung PEM zu DER
 +
 +
<code>openssl x509 -outform der -in certificate.pem -out certificate.der</code>
 +
 +
Konvertierung PKCS#12 (.pfx .p12) mit Private Key und Zertifikaten zu PEM
 +
 +
<code>openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes</code>
 +
 +
Konvertierung PEM mit Private Key zu PKCS#12 (.pfx .p12)
 +
 +
<code>openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt</code>
 +
 +
 +
Mit '''-nocerts''' wird nur der Private key ausgegeben<br>
 +
Mit '''-nokeys''' wird nur das Zertifikat ausgegeben.
 +
 +
'''HTTP-Seiten werden auf speedport.ip umgeleitet'''
 +
 +
'''Ausgangssituation:'''
 +
Es wird versucht eine Website aufzurufen, entweder von einem Benutzer im Browser oder auch durch einen Dienst (Bspl: Securepoint AV baut eine http/https Verbindung zu den Lizenzservern auf) und es wird auf „speedport.ip“ umgeleitet. Diese Seite gibt aber nur einen DNS-Resolve Error zurück.
 +
 +
'''Erklärung:'''
 +
Speedport-Router übermitteln „Wichtige“ Nachrichten, wie z.B. „Volumen aufgebraucht“ oder auch „neues Update vorhanden“, über eine interne Website auf die aller http/https Traffic umgeleitet wird bis die Nachricht bestätigt wurde.
 +
 +
'''Problem:'''
 +
Wenn der Speedport als Router vor der Securepoint hängt wird im Normalfall ein Transfernetz zwischen dem Speedport und der Securepoint aufgebaut sein. Wenn nun der Speedport eine „Nachricht“ hat und somit allen http/https Traffic auf seine interne Seite umleitet, bekommen die Clients aus dem internen Netz der UTM nur einen DNS-Resolve Error bei der Umleitung, da das interne Netz der Securepoint die interne Seite des Speedport nicht auflösen kann.
 +
 +
'''Lösung:'''
 +
Für diese Problematik gibt es zwei Lösungswege:
 +
Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen.<br>
 +
 +
Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig:<br>
 +
 +
Unter „Anwendungen -> Nameserver“ muss eine Forward-Zone hinzugefügt werden. Hier wird als Zonenname „speedport.ip“ gewählt. Den Nameserver wollen wir selber stellen. Als Hostname für den Nameserver wählen wir daher „ns“ und die IP lassen wir frei.<br>
 +
Nun muss das Ganze noch erweitert werden. Dazu den eben angelegten Eintrag bearbeiten. Unter Einträge finden wir nun einen Typ „NS“ mit dem Wert „ns.„. Diesen bearbeiten wir so, dass der Punkt hinter dem „ns“ entfernt wird.<br>
 +
Nun müssen noch zwei A-Records angelegt werden. Der Erste bekommt als Namen „ns„, Typ „A“ und die IP des internal-interface. Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann (HINWEIS: Dies funktioniert nur wenn die Clients die Securepoint als DNS-Server eingetragen haben). Der 2. Eintrag bekommt als Namen „speedport.ip.„, Typ ebenfalls „A“ und als IP die IP des Speedports. Nun kann die Seite des Speedports auch aus dem internen Netz aufgelöst werden.
  
 
==  Netzwerk ==
 
==  Netzwerk ==
Zeile 51: Zeile 103:
 
<pre>vnstat</pre>
 
<pre>vnstat</pre>
  
'''Meine Site-to-Site Verbindung steht, aber ich habe keinen Traffic.'''
+
'''Die IPSec Verbindung baut sich nicht auf'''
 +
 
 +
1. Prüfen ob die Empfehlungen eingehalten wurden -> [[UTM/VPN/%C3%9Cbersicht#Site_to_Site_VPN_Verbindungen | IPSec S2S Empfehlungen]]<br>
 +
2. Die Logmeldungen im Livelog überprüfen -> [[UTM/VPN/IPSec-Troubleshooting | IPSec Troubleshooting]]<br>
 +
3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?<br>
 +
4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen<br>
 +
<pre>tcpdump -i eth0 -nnp host $IP-Adresse des Remote Gateway</pre>
  
Wenn bei einer Site-to-Site Verbindung die Kommunikation nicht erfolgt, sollte zunächst geprüft werden ob der transparente HTTP-Proxy die Pakete abfängt oder ob Regeln für die jeweiligen Netzwerke vorhanden sind.
+
'''Die Site-to-Site Verbindung steht, aber die Kommunikation geht nicht'''
Bei einer IPSec Verbindung kann in den Impliziten Regeln ein globales Accept und die Option "Kein NAT für IPSec Verbindungen" aktiviert werden. Hierfür werden dann keine weiteren Regeln benötigt.
 
  
Es kann aber auch sein, dass das Ziel nicht auf Pakete aus fremden Netzwerken antwortet, hierfür muss entweder die Firewall des Ziel angepasst werden oder aber eine Regel mit einem Hide Nat auf das internal-interface gesetzt werden. Dann werden die Pakete von der VPN Verbindung kommend mit der IP-Adresse des Internal Interface genattet und das Ziel nimmt diese ggf. an.
+
1. Zunächst sollte geprüft werden, ob Portfilterregeln für die Netzwerke erstellt sind. Bei IPSec Verbindungen sollte in den Impliziten Regeln beide Optionen aktiviert sein.<br>
 +
2. Wenn Pakete mit dem Port 80 (HTTP) nicht ankommen kann der Transparente HTTP-Proxy die Pakete abfangen. Dafür muss dann ein Exclude erstellt werden.<br>
 +
3. Das Zielgerät kann die Pakete ggf. nicht annehmen, da diese aus einem anderen Subnet kommen. Entweder die Firewall des Ziels anpassen oder aber ein Portfilterregel mit einem HideNat auf das Interne Interface erstellen.
  
 
Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.
 
Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.
Zeile 64: Zeile 123:
 
<pre>tcpdump -i eth1 -nnp proto 1</pre>
 
<pre>tcpdump -i eth1 -nnp proto 1</pre>
  
'''Meine IPSec Verbindung baut sich nicht auf'''
+
'''HTTP-Webseiten werden vom Webfilter gefiltet, HTTPS nicht'''
  
1. Prüfen ob die Empfehlungen eingehalten wurden -> [[UTM/VPN/%C3%9Cbersicht#Site_to_Site_VPN_Verbindungen | IPSec S2S Empfehlungen]]<br>
+
Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen. Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)
2. Die Logmeldungen im Livelog überprüfen -> [[UTM/VPN/IPSec-Troubleshooting | IPSec Troubleshooting]]<br>
 
3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?<br>
 
4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen<br>
 
<pre>tcpdump -i eth0 -nnp host $IP-Adresse des Remote Gateway</pre>
 
  
'''HTTP-Webseiten werden vom Webfilter gefiltet, HTTPS nicht'''
+
'''Abbrüche bei VPN Verbindungen mit vorgeschalteten Lancom Router'''
  
Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen. Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)
+
Bei VPN Verbindungen (IPSec und SSL-VPN, Site-to-Site oder Roadwarrior)  kann es zu Abbrüchen kommen, wenn davor ein Lancom Router VoIP macht. In diesem Fall kann es helfen, wenn auf dem Lancom in der Konfiguration -> Voice Call Manager -> Erweitert bei "Abgehende Pakete bevorzugen" der Wert "keine Veränderung" eingetragen wird.
  
 
== Firewall ==  
 
== Firewall ==  
Zeile 83: Zeile 138:
  
 
''debug kmod unload module nf_nat_sip'' <br>
 
''debug kmod unload module nf_nat_sip'' <br>
''debug kmod unload module nf_conntrack_sip''
+
''debug kmod unload module nf_nat_h323'' <br>
 +
''debug kmod unload module nf_conntrack_sip'' <br>
 +
''debug kmod unload module nf_conntrack_h323''
  
 
==  Authentifizierung ==
 
==  Authentifizierung ==
Zeile 89: Zeile 146:
 
'''Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung 'Failed to join domain: failed to set machine spn: Constraint violation' angezeigt.'''
 
'''Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung 'Failed to join domain: failed to set machine spn: Constraint violation' angezeigt.'''
  
Das Computer-Konto der UTM ist aus dem Active Directory zu löschen. Danach kann die UTM erneut in das Active Directory eingebunden werden.  
+
Das Computer-Konto der UTM ist aus dem Active Directory zu löschen. Danach kann die UTM erneut in das Active Directory eingebunden werden.
 +
 
 +
'''Das Abfragen von E-Mail Adressen per LDAP funktioniert nicht.'''
 +
 
 +
Bitte hierfür unseren Support kontaktieren.
  
 
==  Update ==
 
==  Update ==

Aktuelle Version vom 7. September 2018, 09:32 Uhr

Allgemein

Die Zugangsdaten zur UTM sind nicht mehr bekannt. Kann das Passwort zurückgesetzt werden? Nein, Passwörter von Benutzern auf der UTM können ohne administrativen Zugriff nicht zurückgesetzt werden. Das UTM-System muss durch eine Neu-Installation in Werkseinstellung gebracht werden. Nach Rücksicherung der Konfiguration der UTM kann das Passwort angepasst werden.

Alert-red.png
Für diesen Vorgang wird ein Backup der aktuellen Konfiguration benötigt.


Was ist vor der Ersteinrichtung zu empfehlen?

Wir empfehlen unsere aufgezeichneten Webinare Gute Firewallkonfiguration und Gutes Netzwerkdesign. Außerdem haben wir eine UTM Firewall Basisschulung (Silber Level), welche regelmäßig stattfindent. Eine Übersicht mit den nächsten Terminen ist hier zu finden.

Gibt es eine Dokumentation der CLI-Befehle?

Ja, die CLI-Befehle sind mit Beispielen im Wiki dokumentiert.

Gibt es Angaben zu den Durchsatzraten der unterschiedlichen Appliances?

Eine Übersicht ist auf www.securepoint.de zu finden.

Was ist bei der Nutzung mehrerer Internet-Verbindungen und VOIP-Anschlüssen zu beachten?

Die TK-Anlage muss fest über eine Internet-Leitung geleitet werden. Die Registrierung über verschiedene IP-Adressen kann zu Problemen führen.

Servereinstellungen können aufgrund fehlenden SNMP Eintrag nicht gespeichert werden.

Nach einem Update auf die Version 11.7.3 kann es bei Änderungen in den Servereinstellungen dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird. Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden.

Wie kann die Abfrage der SIM PIN deaktiviert werden?

Der PIN einer SIM kann nur via SSH und mit einem root Benutzer entfernt werden. Dies ist hier beschrieben.

Wie kann das UTM Image auf eine UTM installiert werden?

Das ist in diesem Artikel beschrieben. -> Installation / Update vom USB-Stick


Wie kann ein Zertifikat konvertiert werden?

Konvertierung DER (.crt .cer .der) zu PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

Konvertierung PEM zu DER

openssl x509 -outform der -in certificate.pem -out certificate.der

Konvertierung PKCS#12 (.pfx .p12) mit Private Key und Zertifikaten zu PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Konvertierung PEM mit Private Key zu PKCS#12 (.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt


Mit -nocerts wird nur der Private key ausgegeben
Mit -nokeys wird nur das Zertifikat ausgegeben.

HTTP-Seiten werden auf speedport.ip umgeleitet

Ausgangssituation: Es wird versucht eine Website aufzurufen, entweder von einem Benutzer im Browser oder auch durch einen Dienst (Bspl: Securepoint AV baut eine http/https Verbindung zu den Lizenzservern auf) und es wird auf „speedport.ip“ umgeleitet. Diese Seite gibt aber nur einen DNS-Resolve Error zurück.

Erklärung: Speedport-Router übermitteln „Wichtige“ Nachrichten, wie z.B. „Volumen aufgebraucht“ oder auch „neues Update vorhanden“, über eine interne Website auf die aller http/https Traffic umgeleitet wird bis die Nachricht bestätigt wurde.

Problem: Wenn der Speedport als Router vor der Securepoint hängt wird im Normalfall ein Transfernetz zwischen dem Speedport und der Securepoint aufgebaut sein. Wenn nun der Speedport eine „Nachricht“ hat und somit allen http/https Traffic auf seine interne Seite umleitet, bekommen die Clients aus dem internen Netz der UTM nur einen DNS-Resolve Error bei der Umleitung, da das interne Netz der Securepoint die interne Seite des Speedport nicht auflösen kann.

Lösung: Für diese Problematik gibt es zwei Lösungswege: Am einfachsten wäre es, einen Client direkt an den Speedport zu hängen um darüber die Nachricht zu bestätigen.

Da das Problem daher kommt, dass das interne Netz die IP des Speedport nicht auflösen kann, wird einfach eine Forward-Zone angelegt. Dazu sind folgende Schritte nötig:

Unter „Anwendungen -> Nameserver“ muss eine Forward-Zone hinzugefügt werden. Hier wird als Zonenname „speedport.ip“ gewählt. Den Nameserver wollen wir selber stellen. Als Hostname für den Nameserver wählen wir daher „ns“ und die IP lassen wir frei.
Nun muss das Ganze noch erweitert werden. Dazu den eben angelegten Eintrag bearbeiten. Unter Einträge finden wir nun einen Typ „NS“ mit dem Wert „ns.„. Diesen bearbeiten wir so, dass der Punkt hinter dem „ns“ entfernt wird.
Nun müssen noch zwei A-Records angelegt werden. Der Erste bekommt als Namen „ns„, Typ „A“ und die IP des internal-interface. Dies wird benötigt damit das Interne Netz die Seite speedport.ip auflösen kann (HINWEIS: Dies funktioniert nur wenn die Clients die Securepoint als DNS-Server eingetragen haben). Der 2. Eintrag bekommt als Namen „speedport.ip.„, Typ ebenfalls „A“ und als IP die IP des Speedports. Nun kann die Seite des Speedports auch aus dem internen Netz aufgelöst werden.

Netzwerk

Was ist bei der Umstellung der Internet-Verbindung von einer PPPoE-Verbindung auf eine Router-Verbindung zu beachten?

Umstellung der Internet-Verbindung von PPPoE auf einen Router-Zugang

Können die PPPoE-Zugangsdaten ausgelesen werden?

Ja, das Auslesen ist über das CLI-Kommando 'interface get' möglich.

Wie kann der Netzwerktraffic ausgewertet werden?

Der Netzwerktraffic kann unter anderem über die Webinterface Widgets ausgewertet werden. Mit einem SSH-Programm und dem Benutzer "root" stehen noch folgende Möglichkeiten zur Verfügung.

iftop -i $Schnittstelle

oder

vnstat

Die IPSec Verbindung baut sich nicht auf

1. Prüfen ob die Empfehlungen eingehalten wurden -> IPSec S2S Empfehlungen
2. Die Logmeldungen im Livelog überprüfen -> IPSec Troubleshooting
3. Sind Portweiterleitungen vorhanden, welche die Pakete an ein Gerät hinter der UTM weiterleiten?
4. Mit einem SSH-Programm und dem Benutzer "root" kann man mit dem tcpdump prüfen, ob auf dem WAN-Interface die IPSec Pakete ankommen

tcpdump -i eth0 -nnp host $IP-Adresse des Remote Gateway

Die Site-to-Site Verbindung steht, aber die Kommunikation geht nicht

1. Zunächst sollte geprüft werden, ob Portfilterregeln für die Netzwerke erstellt sind. Bei IPSec Verbindungen sollte in den Impliziten Regeln beide Optionen aktiviert sein.
2. Wenn Pakete mit dem Port 80 (HTTP) nicht ankommen kann der Transparente HTTP-Proxy die Pakete abfangen. Dafür muss dann ein Exclude erstellt werden.
3. Das Zielgerät kann die Pakete ggf. nicht annehmen, da diese aus einem anderen Subnet kommen. Entweder die Firewall des Ziels anpassen oder aber ein Portfilterregel mit einem HideNat auf das Interne Interface erstellen.

Um die Wege der Pakete zu überprüfen kann hierfür WireShark oder auch alternativ mit einem SSH-Programm und dem Benutzer "root" der tcpdump genutzt werden.

Beispiel für ein tcpdump auf der Schnittstelle eth1, wobei man die IP-Adressen und Ports sieht und Pakete mit dem Protokoll 1 (ICMP Echo Request) filtert.

tcpdump -i eth1 -nnp proto 1

HTTP-Webseiten werden vom Webfilter gefiltet, HTTPS nicht

Der Transparente HTTP-Proxy kann nur HTTP Pakete annehmen. Wenn auch HTTPS-Webseiten vom Webfilter gefiltert werden sollen, muss der HTTP-Proxy in den Browsereinstellungen / Internetoptionen des Clients hinterlegt werden. Zusätzlich sollte eine direkte Kommunikation in das Internet nicht erlaubt werden, damit der Proxy nicht deaktiviert werden kann. (Standard Regel internal-network -> Internet | ANY, HN)

Abbrüche bei VPN Verbindungen mit vorgeschalteten Lancom Router

Bei VPN Verbindungen (IPSec und SSL-VPN, Site-to-Site oder Roadwarrior) kann es zu Abbrüchen kommen, wenn davor ein Lancom Router VoIP macht. In diesem Fall kann es helfen, wenn auf dem Lancom in der Konfiguration -> Voice Call Manager -> Erweitert bei "Abgehende Pakete bevorzugen" der Wert "keine Veränderung" eingetragen wird.

Firewall

Wie können die SIP-Helper entladen werden?

Das entladen ist nur über das CLI möglich. Folgende Befehle sind dafür auszuführen:

debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323

Authentifizierung

Bei einem Einbinden der UTM in ein Microsoft Active Directory wird die Fehlermeldung 'Failed to join domain: failed to set machine spn: Constraint violation' angezeigt.

Das Computer-Konto der UTM ist aus dem Active Directory zu löschen. Danach kann die UTM erneut in das Active Directory eingebunden werden.

Das Abfragen von E-Mail Adressen per LDAP funktioniert nicht.

Bitte hierfür unseren Support kontaktieren.

Update

Warum erhält die UTM das Online-Update nicht direkt nach der Freigabe des Updates?

Die Verteilung der Firmware-Updates der UTM erfolgt über einen längeren Zeitraum. Der genauer Zeitraum ist in der Ankündigung im Support-Forum ersichtlich. In dieser Vorgang erfolgt automatisiert und kann nicht manuell beeinflusst werden.

Die UTM kann über eine Update-Image jederzeit manuell aktualisiert werden.