Die Suche ergab 348 Treffer

von Franz
Fr 29.12.2023, 18:34
Forum: Allgemeines
Thema: DNS Forwarding
Antworten: 3
Zugriffe: 585

Re: DNS Forwarding

Hallo jankojohn, möglich, dass man das auch über DNS-Forwarding hinbekommt, aber ich würde stattdessen in der UTM unter NAMESERVER, ZONEN entsprechende Relayzonen (mit Relaying auf die internen DNS-Server) für die internen Domains einrichten. Das ist u. A. auch erforderlich, wenn man auf der UTM AD-...
von Franz
Fr 02.06.2023, 14:41
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Kurze Rückmeldung: Seitdem ich in Phase 1 als "Local Gateway" statt der öffentlichen IP das zugehörige WAN-Interface eingetragen habe, ist es bei den betroffenen VPN bisher nicht mehr dazu gekommen, dass die SA für die falsche IP erzeugt oder über das falsche Interface aufgebaut wurde. Die...
von Franz
Di 09.05.2023, 21:07
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Das allgemeine Routing wollte ich nicht gerne umstellen, aber ich hab jetzt für die übrigen WAN-Zugänge ebenfalls IPSec-Zonen und Firewallregeln eingerichtet. Bisher funktioniert es. Schade ist nur, dass man sich den Weg für Fallback auf SSL-VPN verstellt, wenn man das Startverhalten bei IPSec in Ph...
von Franz
Mi 03.05.2023, 09:33
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Heute Morgen hatte ich bei einem Kunden wieder den Fall, dass der Tunnel in einer Richtung tot war. Hier hatte ich kurz Zeit, mir die SAs anzuschauen: Der Tunnel war in der Filiale mit der falschen ausgehenden IP aufgebaut worden. An dem Standort sind 3 Internetzugänge für unterschiedliche Zwecke ei...
von Franz
Di 02.05.2023, 19:04
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Leider handelt es sich um Produktivsysteme, weswegen ich bei einem Ausfall keine Zeit für ausführliche Tests habe. Oft melden sich die Kunden morgens um 7 oder 8 Uhr, wenn der Securepoint Support noch nicht erreichbar ist. Aber ich meine im Fehlerfall gesehen zu haben, dass beispielsweise der Ping v...
von Franz
Di 02.05.2023, 15:42
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Dann funktionieren diese Best Practice/ Standardeinstellungen leider nicht.
Die Geräte haben öffentliche IPv4 auf den WAN-Interfaces und die Einstellung (habe es gerade nochmal kontrolliert) wie oben angegeben.
Das hatte ich aber auch schon vor Wochen mit dem Support geprüft...
von Franz
Di 02.05.2023, 10:29
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Gibt es inzwischen was Neues in der Sache? Heute musste ich wieder bei zwei Filialen die IPSec-Dienste neu starten, weil der Traffic nur in einer Richtung durchging. Nach Neustart des IPSec-Dientes in der Filiale funktionierten die Tunnel wieder. Es kann doch nicht sein, dass man zwischen Securepoin...
von Franz
Fr 21.04.2023, 16:34
Forum: Allgemeines
Thema: GeoIP Probleme nach Update auf 12.3.6
Antworten: 3
Zugriffe: 854

Re: GeoIP Probleme nach Update auf 12.3.6

Der Support hat das Problem in wenigen Minuten gelöst.
Die GEOIP-Datenkank war nicht richtig heruntergeladen worden.
von Franz
Mi 19.04.2023, 19:47
Forum: Allgemeines
Thema: GeoIP Probleme nach Update auf 12.3.6
Antworten: 3
Zugriffe: 854

Re: GeoIP Probleme nach Update auf 12.3.6

Ich habe das gleiche Problem bei einem Kunden.
von Franz
Do 30.03.2023, 14:45
Forum: Allgemeines
Thema: PFX Zertifikat importieren
Antworten: 6
Zugriffe: 873

Re: PFX Zertifikat importieren

Bei uns im Resellerportal ist v12.3.6 nicht verfügbar.
Ist die Version zurückgezogen worden?
von Franz
Fr 10.03.2023, 17:50
Forum: Allgemeines
Thema: Updatestrategie oder/und Betatests
Antworten: 2
Zugriffe: 874

Re: Updatestrategie oder/und Betatests

Ach, und ich dachte schon, ich sei der Einzige, bei dem IPSec nicht wirklich rund läuft. ;)
von Franz
Fr 10.03.2023, 17:42
Forum: Allgemeines
Thema: Fritzbox Wireguard
Antworten: 14
Zugriffe: 4199

Re: Fritzbox Wireguard

Ja, die WG-Tunnel laufen wesentlich stabiler als die IPSec IKEv1. Bei IPSec hatte ich regelmäßig kurze Unterbrechungen (paar Sekunden) beim Rekeying. Zu beachten ist, dass die FB beim import der Konfig den angegebenen Port ignoriert und selbst einen vergibt. Den muss man in der FB auslesen und in de...
von Franz
So 12.02.2023, 23:53
Forum: Allgemeines
Thema: SSL-VPN für Chinesischen Mitarbeiter - Chinesische Firewall sperrt Ports
Antworten: 15
Zugriffe: 2176

Re: SSL-VPN für Chinesischen Mitarbeiter - Chinesische Firewall sperrt Ports

IKEv2 funktioniert sogar mit dem in Windows integrierten VPN-Client. Das habe ich bei einigen Kunden im Einsatz - insbesondere bei Geräten mit ARM-CPU, auf denen der SSL-Client von Securepoint nicht funktioniert.
von Franz
So 12.02.2023, 23:49
Forum: Allgemeines
Thema: VPN über 2 WAN-Interfaces
Antworten: 3
Zugriffe: 836

Re: VPN über 2 WAN-Interfaces

Gibt es denn für die 2. WAN-Leitung auch eine Regel, die den Zugriff auf das 2. WAN-Interface zulassen (VPN, User-Interface etc.) oder sind nur die Impliziten Regeln aktiv? Letztere werden m. E. nur für das 1. WAN-Interface gesetzt. Ich verwende ohnehin möglichst explizite Regeln für diese Dienste.
von Franz
Mi 08.02.2023, 10:17
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Zusaetzlich zu den oben genannten Einstellungen kann es helfen, beide Seiten auf "Route" zu stellen. Neustart nach Abbruch aus. Dies klappt aber nur, wenn sich beide Seiten auch direkt erreichen koennen. Danke für den Hinweis, das hönnte in den Fällen helfen, wo die Tunnel nach einem Neus...
von Franz
Di 07.02.2023, 23:11
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Das Problem mit der hohen CPU-Auslastung tritt nach meinem Eindruck nur oder vorzugsweise bei IKEv2 auf. Bei IKEv1 habe ich das noch nicht beobachtet. Beobachtet habe ich das Problem beim Initiator (Outgoing), aber villeicht war der Responder (Incoming) so leistungsstark, dass ikm der amoklaufende I...
von Franz
Mo 06.02.2023, 09:45
Forum: Allgemeines
Thema: Wireguard Verbindungen
Antworten: 2
Zugriffe: 819

Re: Wireguard Verbindungen

Das wäre schön!
Aber eine einfache Übersicht, wie bei SSL-VPN wäre schon sehr nützlich.
Ja, ich weiß, dass man sich die Verbindungen mit "wg" oder "wg show" in der Root-Shell anschauen kann. Bequem ist das jedoch sicher nicht. :)
von Franz
So 05.02.2023, 23:57
Forum: Allgemeines
Thema: VPN - IPsec instabil
Antworten: 18
Zugriffe: 3198

Re: VPN - IPsec instabil

Ich habe exakt die gleichen Problem. Die Workarounds, die vom Support angeboten werden, sind nicht das, was man sich wünschen würde. Das seltsame ist, dass diese Störungen auch zwischen Securepoint UTM auftreten, also keine Drittherstellerprodukte. Besonders ärgerlich ist das in größeren Umgebungen ...
von Franz
Do 19.01.2023, 12:04
Forum: Allgemeines
Thema: IPsec site-to-site cloud backup
Antworten: 5
Zugriffe: 843

Re: IPsec site-to-site cloud backup

Schön, dass es funktioniert hat! Das wäre dann vielleicht mal eine Sache für den Support und die Entwicklung.
von Franz
Mi 18.01.2023, 21:05
Forum: Allgemeines
Thema: IPsec site-to-site cloud backup
Antworten: 5
Zugriffe: 843

Re: IPsec site-to-site cloud backup

Von der G3 zur G5 hat sich die Bennenung der Interfaces geändert. Wenn in Phase 1 als "Local Gateway" und/oder "Local Gateway ID" die Schnittstelle angegeben wurde, müsste diese auf die neue Bezeichnung umgestellt werden (z. B. von LAN1 auf A0 oder von eth0 auf A0). Vielleicht is...
von Franz
Do 05.01.2023, 13:29
Forum: Allgemeines
Thema: Alternative zum SOC
Antworten: 16
Zugriffe: 11801

Re: Alternative zum SOC

Wie es aussieht, sind wir die Einzigen, die das SOC für die Verwaltung der Kundengeräte verwenden. :-) Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert. Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die d...
von Franz
Do 08.09.2022, 11:47
Forum: Allgemeines
Thema: Windows 10 VPN nativ mit IPSec und IKEv2 (Zertifikat)
Antworten: 14
Zugriffe: 8322

Re: Windows 10 VPN nativ mit IPSec und IKEv2 (Zertifikat)

Ja, das geht, müsste ich allerding erst nachschauen.
von Franz
Do 08.09.2022, 09:51
Forum: Allgemeines
Thema: Windows 10 VPN nativ mit IPSec und IKEv2 (Zertifikat)
Antworten: 14
Zugriffe: 8322

Re: Windows 10 VPN nativ mit IPSec und IKEv2 (Zertifikat)

Wenn das Script aus diesem Beitrag  verwendest und auf deine Bedürfnisse anpasst, musst du folgende Einstellungen verwenden: Phase1: aes256 sha2_256 modp2048 24h lifetime Phase2: aes256 sha2_256 modp2048 1h lifetime Die Zertifikate kannst du auf der UTM erstellen und als PFX / P12 exportieren, dann ...