Securepoint Support Forum

Tobias U.

Wie kann ich an einer UTM MSS Clamping konfigurieren?

Normalerweise geht das über iptables mit:

iptables -t mangle -A FORWARD \
  -p tcp --tcp-flags SYN,RST SYN \
  -j TCPMSS --set-mss 1360

Tobias U.

Nachtrag: Die nicht mehr funktionierende Rollback-Funktion betrifft jetzt jede Version. Also auch z. B. von 14.0.5 auf 14.0.4 geht nicht mehr.

Das Thema wurde als Ticket gemeldet und dieser Thread wurde verlinkt.

Tobias U.

Hallo,

ist jetzt nicht so ganz Euer Problem, aber ich schreibe es trotzdem mal:

Ich habe gerade einen Securepoint-Cluster in Betrieb genommen mit der 14.0.2 Version.

Damit funktioniert die SNMP-Erkennung mit der Monitoringsoftware CheckMK (unterstützte Version 2.2.0p40) nicht mehr. Die initiale ...

Tobias U.

Problem gelöst: Ich musste eine Relay-Zone für die Domain "kunde.de" anlegen.

Dass da im Hintergrund der richtige DNS gefragt wurde, es aber trotzdem nicht geht, wundert mich aber doch sehr stark.

Tobias U.

Hallo,

ich habe hier ein Site-2-Site Setup mit zwei Securepoints.

Zentrale-LAN
|
| (x.x.0.1)
Zentrale Z (Securepoint)
| (x.x.198.1/24)
|
| (x.x.198.2/24)
Aussenstandort AS (Securepoint)
| (x.x.13.1/24)
|
Aussenstandort-LAN

- AS hat einen DNS-Server konfiguriert, der weiterleitet auf ...

Tobias U.

Ok. Ich verstehe ungefähr, was Sie schreiben, teilweise war mir das auch bereits bekannt. Insofern danke erst einmal für die Erklärung dazu.

Der Lösung meines Problems bringt micht das allerdings noch nicht näher. Mein Problem ist, dass ich ein zweites Default-Gateway habe, zu dem ich nach und nach ...

Tobias U.

Ich habe das jetzt nochmal via Ticket angefragt:

Das bestätigt das, wie Sie schon schrieben, dass die Exclude-Regeln zuerst greifen.

Die Reihenfolge ist also:

Keine Regel definiert -> transparenter Proxy greift nicht
Ausschluss (Exclude) Regel definiert -> transparenter Proxy greift nicht ...

Tobias U.

Hallo,

ich ändere gerade Einstellungen bzgl. des Routings. D. h. ich möchte schritt für Schritt ein neues Gateway für das Netzwerk konfigurieren.

Dabei setze ich z. B. für einen ersten Schritt für eine bestimmte IP-Adresse ein neues Default-GW:

Normale Route
Quell-IP : <na>
Gateway-IP : 192.168 ...

Tobias U.

Ok. Nachdem ich hier keine Antwort bekomme, nehme ich mal an, dass das nicht so einfach ist mit der UTM. Wenn ich mir die Routingmöglichkeiten so anschaue, dann sehe ich da bei der UTM auch keine Möglichkeit zusätzliche Routing-Tabellen anzulegen, was ich verschiedentlich als Methode sah, wie ...

Tobias U.

Ja. Ich würde da Subnetze mit der entsprechenden Zone definieren und eine Gruppe bilden mit diesen Netzen.

Tobias U.

Danke!

Tobias U.

Ein Script um mehrere Securepoint-UTMs in einem Rutsch zu aktualisieren:

Siehe: https://codeberg.org/megabert/securepoint-utm-scripts

Tobias U.

Wahrscheinlich noch mehr ...

Code: Alles auswählen

system update IRGENDWAS

Code: Alles auswählen

spcli

securepoint > system update [TAB]

system - update system settings
interface - update system interfaces
rule - update rules
route - update routes
qos - update qos
tif - update threat intelligence filter (tif)

Tobias U.

Hallo,

wenn ich ein Multipath-Setup mit mehreren Internetzugängen habe, wie verhält sich dass dann mit den Firewall-Regeln und den Zonen?

Einfaches Beispiel

Ich habe einen internen Host mailserver.intdomain.zz (Objekt-Zone internal ) der nach außen zum Server mail.gmx.de (Objekt-Zone external ...

Tobias U.

Hier noch der Filter-Regex für das Update von Adobe Acrobat Reader DC:

Code: Alles auswählen

https?://((p[0-9]+n|geo[0-9]|acroipm[0-9]|armmf|ardownload[0-9])\.adobe\.com)
https?://(cc-api-data\.adobe\.io|static-ecst\.licdn\.com)

Tobias U.

Hallo,

ich würde gerne ein Hash-based Multipath-Routing auf der Securepoint UTM einrichten. Geht das?

Erklärung / Begründung

Bei mehreren ausgehenden Internetverbindungen werden die Pakete zufällig gemäß Gewichtung auf die Leitungen verteilt. Ich hätte das aber gerne, dass die Source-IP ...

Tobias U.

Hallo zusammen,

ich habe gerade den Webfilter so konfiguriert, das nur Google Chrome und MS Edge auf Ihre Update-Server zugreifen können und sich dementsprechend automatisch aktualisieren.

Ich habe dazu für einen Testrechner alles erlaubt, habe das Update manuell von jemandem durchgeführen lassen ...

Tobias U.

Hallo,

ich würde gerne den Transparenten Proxy in dieser Art einsetzen:

HOST_GRUPPE1: 192.168.1.10, 192.168.1.12
NETZWERK1: 192.168.1.0/24

Regeln für den transparenten Proxy:

HTTP INCLUDE HOST_GRUPPE1
HTTPS INCLUDE HOST_GRUPPE1

HTTP EXCLUDE NETZWERK1
HTTPS EXCLUDE NETZWERK1

D. h. ich ...

Tobias U.

Die Frage ist nun auch: "Was sind kritische Änderungen?"

Das ist halt genau der Punkt: Der Teufel ist halt ein Eichhörnchen. Man weiss nicht, was im Zweifelsfall alles dummes passieren kann. Typische katastrophale Fehler, die ich mir vorstellen kann, wären:

a) Bedienerfehler bei der ...

Tobias U.

Mir geht es grundsätzlich darum, für den Fall, dass man sich aus der UTM aussperrt (speziell durch Bedienerfehler beim Einrichten von Firewall-Regeln), sehr einfach und zu 100% sicher wieder zur zuletzt funktionierenden Konfiguration zurückkommt und dass per Default - idealerweise ohne weitere ...

Tobias U.

Hallo,

ich habe gestern etwas mit der Securepoint gespielt und dabei ist mir eine Änderung aufgefallen, die ich möglicherweise nicht mitbekommen habe. Es geht darum, wie man kritische Konfigurationsänderungen durchführt, so dass man auch bei Fehlschlag nicht die Zugreifbarkeit der UTM verliert ...

Tobias U.

Die Variablen sind aktuell Anfällig für Word Splitting

Leerzeichen in Dateinamen sind generell nicht zu empfehlen. Habe es geändert.

Ansonsten:

Nutzung auf eigene Gefahr. Es funktioniert grundsätzlich so, wie es soll.

Tobias U.

Hier ein Script, mit dem man von Linux (oder auch von Windows mit einer bash) aus, einen zusätzlichen SSH-Key auf die UTM installieren und aktivieren kann. Zugriff entweder mit dem root-pw, sofern dass mit der Sicherheitsstufe freigeschaltet ist oder mit vorhandenem Key der vorher installiert wurde ...

Tobias U.

1.: Da wäre unsere Wunschbox die richtige Anlaufstelle.
Im ungünstigsten Falle schob man eine Leere Konfiguration von der Backup zu der vielleicht schon fertigen Master, weil man bei der Einrichtung für einen Moment nicht aufpasste.

Das ist in der Tat ein Problem. Da haben wir aber wieder den ...

Tobias U.

Die neue Anordnung des Synchronsiationsbuttons find ich zwar grundsätzlich logisch konsequent strukturiert abgelegt, aber trotzdem einen Rückschritt zu vorher, aus diesen Gründen:

Die Cluster-Synchronisation ist eine Aktion, die bei der Alltagsadministration ständig verwendet wird. Dass da jetzt ...

Die Suche ergab 67 Treffer

MSS Clamping konfigurieren?

Re: Downgrade 14.x -> 12.x nicht möglich?

UTM-Monitoring (SNMP) via Check-MK nicht mehr möglich

Re: DNS-Weiterleitung funktioniert nicht

DNS-Weiterleitung funktioniert nicht

Re: Sourcerouting übernimmt nicht die Routen der Main Table

Re: Transparenter Proxy: Überlappende Netzbereiche

Sourcerouting übernimmt nicht die Routen der Main Table

Re: Hashbasiertes Multipath Routing mit Securepoint UTM möglich?

Re: Mehrere Interface in einer Netzwerkzone?

Re: Paketfilter: Multipath und Zonen

Tip: UTM Upgrade Script

Re: Installation/ Konfiguration per Script

Paketfilter: Multipath und Zonen

Re: Tip: Webfilter URLs für Updates von "Google Chrome" und "MS Edge"

Hashbasiertes Multipath Routing mit Securepoint UTM möglich?

Tip: Webfilter URLs für Updates von "Google Chrome" und "MS Edge"

Transparenter Proxy: Überlappende Netzbereiche

Re: Durchführen kritischer Konfigurationsänderungen?

Re: Durchführen kritischer Konfigurationsänderungen?

Durchführen kritischer Konfigurationsänderungen?

Re: Script: Automatisch zusätzlichen Root-SSH-Key auf die UTM installieren

Script: Automatisch zusätzlichen Root-SSH-Key auf die UTM installieren

Re: GUI-Änderung: Clustersynchronisation

GUI-Änderung: Clustersynchronisation