Die Suche ergab 250 Treffer

von Franz
So 07.06.2020, 09:11
Forum: Allgemeines
Thema: Reverse Exchange OWA
Antworten: 1
Zugriffe: 290

Re: Reverse Exchange OWA

Schau mal hier: ReverseProxy und ECP
von Franz
Fr 05.06.2020, 06:40
Forum: Allgemeines
Thema: ReverseProxy und ECP
Antworten: 17
Zugriffe: 1983

Re: ReverseProxy und ECP

Ist bei dem Server "MAPI over HTTP" aktiviert worden (ist beim 2013er erst ab SP1 verfügbar und muss explizit aktiviert werden)?
Falls nicht, müsste die ACL z.B. wie folgt erweitert werden:

Code: Alles auswählen

-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|/rpc|/RpcWithCert|/mapi)
Gruß
Franz
von Franz
Do 04.06.2020, 17:46
Forum: Allgemeines
Thema: ReverseProxy und ECP
Antworten: 17
Zugriffe: 1983

Re: ReverseProxy und ECP

Welche Version ist der Exchange-Server?
von Franz
Di 02.06.2020, 22:31
Forum: Allgemeines
Thema: VPN mit RC100 und bintec elmeg
Antworten: 1
Zugriffe: 312

Re: VPN mit RC100 und bintec elmeg

Vermutlich entsteht das Problem, weil zwar Phase 1 aufgebaut ist, aber von der UTM keine Phase 2 SA ausgehandelt werden kann. Oft hilft es, einen Dauerping vom be.IP auf das LAN hinter dem Tunnel zu starten (Lokale Dienste / Überwachung Ping-Generator), dann wird Phase 2 vom be.IP gestartet. Besser ...
von Franz
Sa 23.05.2020, 14:36
Forum: Allgemeines
Thema: ReverseProxy und ECP
Antworten: 17
Zugriffe: 1983

Re: ReverseProxy und ECP

Versuch mal den urlpath_regex wie folgt zu beginnen: -i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|... Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und" ,  sondern per "oder" verknüpft behandelt werden. Die destdom_regex hat...
von Franz
Mi 06.05.2020, 08:44
Forum: Allgemeines
Thema: IDS/IPS Input Warnung
Antworten: 15
Zugriffe: 1663

Re: IDS/IPS Input Warnung

1. Netzwerkgruppe für Störer erstellt 2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet 3. Portfilter erstellt                 Quelle: Netzwerkgruppe-Störer                 Ziel:       external-interface               ...
von Franz
Fr 01.05.2020, 12:27
Forum: Allgemeines
Thema: Regel Alle Anfragen ins Internet auf Port UDP 123 zur UTM umleiten
Antworten: 6
Zugriffe: 705

Re: Regel Alle Anfragen ins Internet auf Port UDP 123 zur UTM umleiten

ich habe erstmal nun die IoT Geräte gruppiert und dieser Gruppe mit einem Portfilter die Erlaubnis erteilt NTP im Internet abzufragen. Ich konnte in ähnlichen Fällen die Sache per DNS lösen, weil die Ziele nicht direkt per IP, sondern per Namen angesprochen wurden. Auf die Weise könnte man z.B. die...
von Franz
Di 28.04.2020, 19:34
Forum: Allgemeines
Thema: Regel Alle Anfragen ins Internet auf Port UDP 123 zur UTM umleiten
Antworten: 6
Zugriffe: 705

Re: Regel Alle Anfragen ins Internet auf Port UDP 123 zur UTM umleiten

Timetrax hat geschrieben:...Da viele IoT Geräte hart verdrahtete NTP Server haben und ständig default drop verursachen...
von Franz
Fr 10.04.2020, 17:17
Forum: Allgemeines
Thema: VPN Client samt Zertfikat für alle Benutzer eines Rechners
Antworten: 5
Zugriffe: 570

Re: VPN Client samt Zertfikat für alle Benutzer eines Rechners

Ich habe das mal schnell mit einer symbolischen Verknüpfung erfolgreich getestet. Einfach die folgende Zeile ins Login-Skript für alle Benutzer des Notebooks einfügen (oder per Gruppenrichtlinie), anschließend greifen alle Benutzer auf den Ordner "C:\ProgramData\Securepoint SSL VPN" zu. Wenn eine ne...
von Franz
Do 20.02.2020, 20:16
Forum: Allgemeines
Thema: VPN Verbindung wird jede Minute neu aufgebaut
Antworten: 7
Zugriffe: 801

Re: VPN Verbindung wird jede Minute neu aufgebaut

Ich glaube nicht, dass das die Ursache ist.
von Franz
Mo 17.02.2020, 22:58
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Aktuelle Erkenntnisse: Auf der Seite des Responders in Phase 2 „Neustart nach Abbruch“ auf „Nein“ stellen. Wenn beide Seiten die Verbindung initiieren können, muss hier auf beiden Seiten „Nein“ eingestellt werden. Dann kommt es nicht mehr zu den ständigen Neustarts der Verbindung. Wenn der Responder...
von Franz
Mo 17.02.2020, 18:10
Forum: Allgemeines
Thema: VPN Verbindung wird jede Minute neu aufgebaut
Antworten: 7
Zugriffe: 801

Re: VPN Verbindung wird jede Minute neu aufgebaut

Kannst ja mal testen, was ich im letzten Beitrag geschrieben habe.

Gruß

Franz
von Franz
Mo 17.02.2020, 12:19
Forum: Allgemeines
Thema: VPN Verbindung wird jede Minute neu aufgebaut
Antworten: 7
Zugriffe: 801

Re: VPN Verbindung wird jede Minute neu aufgebaut

Hallo Thomas,

dazu hatte ich schon einen Beitrag eröffnet und Tickets beim Support erstellt!

Gruß

Franz
von Franz
Do 30.01.2020, 16:19
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

IKE v2 ist Stand der Technik. Inzwischen kommen vermehrt Anwendungsfälle auf uns zu, in denen IKE v2 gewünscht wird.   Am 23.03.2018 hatte ich schon einmal ein Ticket zu diesem Thema eröffnet. Das Ticket wurde am 18.12.2018 geschlossen, ohne dass eine Lösung mitgeteilt wurde.   Am 11.01.2020 habe ic...
von Franz
Do 30.01.2020, 15:11
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Hallo Mario,

das ist momentan noch ein Versuchsaufbau mit 3 UTM ohne NAT!
Die WAN-Anschlüsse der 3 UTM sind an einem Switch angeschlossen.

Beim Kunden möchte ich das erst in Betrieb nehmen, wenn ich sicher bin, dass es ordnungsgemäß funktioniert.

Mit freundlichem Gruß

Franz Grimm
von Franz
Mi 29.01.2020, 19:22
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Hallo Mario,   die Authentifizierung erfolgt über Zertifikate!   Nein, im vorliegenden Fall gibt es nur einen Tunnel, der alles annehmen könnte. Die Gegenstellen landen im richtigen Tunnel.   Außerdem habe ich bemerkt, dass Verbindungsabbrüche anscheinend nicht oder nicht zuverlässig erkannt werden....
von Franz
Mi 29.01.2020, 09:27
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Ergänzung 2:
Wenn die UTM Responder (Incoming) für mehrere dieser IPSec-Verbindungen mit IKE v2 ist, kommt es auch wieder zum ständigen Neuaufbau der Verbindungen.
von Franz
Di 28.01.2020, 09:17
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Ergänzung: Nach einem Neustart der Responder-UTM (z.B. wegen Firmwareupdate etc.) baut der Initiator die Verbindung nicht neu auf (vermutlich, weil ihm ja mitgeteilt wurde, dass die Verbindung zu beenden ist). Auch hier hilft nur manuelles Initiieren oder IPSec-Dienst-Neustart beim Initiator.   Bei ...
von Franz
Mo 27.01.2020, 12:52
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Hallo Kenneth,   ja, wenn nur eine Seite initiiert, dann tritt der Effekt nicht auf!   Aber wenn ich dann den IPSec-Dienst beim Responder mal neu starten muss, bekommt der Initiator das mitgeteilt, er sieht dann die Verbindung als beendet an und baut sie anschließend nicht selbständig neu auf. Man m...
von Franz
Sa 25.01.2020, 21:33
Forum: Allgemeines
Thema: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut
Antworten: 11
Zugriffe: 907

IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Bei VPN-S2S-Verbindungen, die mit IKE v2 in Phase 1 betrieben werden, kommt es ab dem ersten Erneuern der SA zu ständigem Neuaufbau der Verbindung im Abstand von 10 Sekunden. Das führt natürlich zu unnötiger Systembelastung. Dieser Effekt tritt bei S2S-Verbindungen von SP UTM zu MS Azure als Gegenst...
von Franz
Sa 11.01.2020, 12:14
Forum: Allgemeines
Thema: IPSec - Authentifizierung per Zertifikat
Antworten: 1
Zugriffe: 740

Re: IPSec - Authentifizierung per Zertifikat

Eine IPSec-S2S-Verbindung mit Zertifikaten lässt sich mit der aktuellen UTM 11.8.7.2 fast genauso einfach einrichten wie eine mit RSA-Keys, wenn man beachtet, dass die CRL der CA manuell auf der Seite der Filiale zu importiert ist, denn die CRL ist im PKCS #12-Zertifikat für die Filiale nicht enthal...
von Franz
So 05.01.2020, 14:07
Forum: Allgemeines
Thema: IPSec IKE v2 keine Authentifizierung per RSA möglich
Antworten: 4
Zugriffe: 881

Re: IPSec IKE v2 keine Authentifizierung per RSA möglich

Hallo Kenneth, vielen Dank für die Rückmeldung, du bestätigst meine Befürchtung! :) Ich hatte im Internet auch nichts dazu finden können, wie sowas zu konfigurieren sein könnte, dewegen wird es wohl ein "Fehler" im Wiki sein. Hast du alternativ eine IPSec-Verbindung mit Authentifizierung über Zertif...
von Franz
Sa 04.01.2020, 00:17
Forum: Allgemeines
Thema: IPSec - Authentifizierung per Zertifikat
Antworten: 1
Zugriffe: 740

IPSec - Authentifizierung per Zertifikat

Hat jemand mit der UTM v11.8.7.x eine IPSec-Verbindung unter Verwendung von Zertifikaten zur Authentifizierung zum Laufen bekommen?

Gruß

Franz
von Franz
Sa 04.01.2020, 00:15
Forum: Allgemeines
Thema: IPSec IKE v2 keine Authentifizierung per RSA möglich
Antworten: 4
Zugriffe: 881

IPSec IKE v2 keine Authentifizierung per RSA möglich

Obwohl es in der Wiki als ein mögliches Authentifizierungsverfahren aufgelistet wird, lässt sich bei IKE v2 nur Zertifikat oder Pre-Shared Key auswählen.
https://wiki.securepoint.de/UTM/VPN/Übersicht#Site_to_Site_VPN_Verbindungen

Ist das ein Bug?

Gruß

Franz
von Franz
Fr 27.12.2019, 22:20
Forum: Allgemeines
Thema: IDS/IPS Input Warnung
Antworten: 15
Zugriffe: 1663

Re: IDS/IPS Input Warnung

Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jet...