Guten Tag, wir haben eine Regel, die VPN Dienste nur von GeoIP:DE und ein paar weiteren Ländern als Quelle zulässt. Bis 12.3.5 hat dies auch immer funktioniert und korrekt gearbeitet.  In 12.3.6 funktioniert diese Regel leider nicht mehr und es erfolgt ein default drop.  Auch ein manuelles update de...

Guten Tag, die UTM kann automatisch bei Bedarf die Wireguard Verbindungen in ein entsprechendes Zielnetz aufbauen. Das Funktioniert auch super. Allerdings hat das Ziel eine wechselnde öffentliche IP Adresse und wird durch dynamisches DNS erreicht.  Wie handhabt die UTM die von ihr automatisch aufgeb...

Ja macht sie automatisch.

Wie kann die UTM eine WireGuard S2S Verbindung von sich aus aufbauen? Bzw. ist es möglich diese auch automatisch aufzubauen analog der "Route" Option bei IPsec VPN?
Ich habe dazu leider keine Optionen gefunden.

Auch im Log kann man nichts dazu finden wer sich von welcher IP per WireGuard verbunden hat.

Wir haben die root-Konsole absichtlich deaktiviert. Es wäre sehr sehr hilfreich die aktiven Verbindungen auch auf dem Dashboard sehen zu können.

Guten Tag, vielen Dank für die WireGuard Implementierung, es läuft sehr gut. Aber zwei schnelle Fragen dazu: Ist es möglich auf der UTM die aktiven WireGuard Verbindungen zu sehen? Also wer gerade eine VPN Verbindung hat? Bei OpenVPN und IPsec gibt es da ja eine Liste die man in das Dashboard machen...

Im Log von unserem Black Dwarf (UTM v12.2 - 12.2.1.2) haben wir Stündliche Fehler von  spupdater : 15.02.2022 10:21:03 spupdater downloading do-update.sh: failed 15.02.2022 11:21:04 spupdater downloading do-update.sh: failed 15.02.2022 12:21:03 spupdater downloading do-update.sh: failed 15.02.2022 1...

Und es wäre sehr praktisch mit fail2ban eine IP bei einem entsprechendem Schwellenwert an fehlgeschlagenen TLS Schlüssel Aushandlungen und einem Schwellenwert für fehlgeschlagene TLS Authentifizierungen automatisch zu blockieren.  Ein fail2ban Schwellenwert für : TLS Error: TLS key negotiation faile...

Ist es möglich externe IPs von fehlgeschlagenen SSLVPN-Anmeldeversuchen nach mehreren Versuchen via Fail2ban oder ähnlichem zu blocken?

Im IDS kann man SSLVPN l[color=#111111][size=100][font=Verdana, Arial, Helvetica, sans-serif]eider [/font][/size][/color]nicht als Dienst auswählen.

Vielen Dank. Das klingt gut, der öffentliche Zugriff auf die Clients ist hier in unserem Fall sowieso nicht gewollt nur eben eine Verbindung über IPv6. Dann werden wir auf die v12 warten:) Gibt es da einen groben Zeitplan?

[...] Kleine Warnung vorweg: An die Clients verteilte Leases fuer oeffentliche IPv6-Adressen koennten eine zu lange Laufzeit aufweisen. Falls die Fritzbox neu startet wird der Client ueber die Firewall eine neue oeffentliche IPv6-Adresse erhalten. Diese wird aber unter Umstaenden nur sekundaer hint...

Danke für die schnelle Antwort. Welche UTMs von Ihnen könnten denn 100 MBit/s per SSL VPN? Auf secureopint.de finde ich nur den "VPN Durchsatz" angegeben und der ist bei allen, auch dem BlackDwarf, jenseits der 100MBit/s aber es steht nichts zur Technik und Verschlüsselung dabei. Per TCP h...

Hallo, ich habe das gleiche bei uns beobachtet. Per SSL-VPN BlackDwarf <-> Client bekomme ich auf einer symmetrischen 100 MBit/s Verbindung nur so um die 35 MBits/s. Per IPsec auf der gleichen Strecke an die 77 MBit/s. An der SSL VPN Verschlüsselung habe ich schon rumgespielt, das hat jedoch nicht g...

Danke. Man musste den Safari Cache leeren dann funktionierte das Webinterface wieder.

Kenneth hat geschrieben: Hallo,

aktuell müssten Sie jeden Rechner manuell in der DNS Zone der UTM hinzufügen.

Ein Features welches ein Client der DHCP bezogen hat, automatisch in die DNS Zone anlegt ist bereits geplannt.

Gruß

Kenneth

Gibt es hierzu Neuigkeiten? Ist das Feature noch geplant?

Guten Tag,

kann die UTM zwischen ihrer öffentlichen IPv6 und ihrem lokalem IPv4 Netz übersetzen? Also ein NAT64?

Liebe Grüße

Guten Tag,

auf Safari unter macOS scheint das Admin Webinterface nicht richtig zu laden. Man kann sich nicht einloggen. Unter das User Webinterface funktioniert. In anderen Browsern unter macOS und Safari unter ipadOS funktioniert es.
Ist da Trick bekannt an was es liegen könnte?

Liebe Grüße

Ja sie ist über die IPv6 von eth1 jetzt erreichbar. Besteht die Möglichkeit auch eht0 zu erreichen? Diese hat nur leider keine IPv6 am Interface obwohl sie DHCPv6 Client ist. cli> interface address get id|flags  |device|address --+-------+------+------- 0 |DYNAMIC|eth0  |192.168.22.20/24 4 |ONLINE |...

Danke. Über local wird die Authentifizierung bei „Local“ dann zusätzlich über das Passwort gemacht oder nur noch über das Passwort?

Ja das ist sie auch. Allerdings sind hier dann die IPs die per DynDNS übermittelt werden falsch. Das sind dann nur die fdXX und 192... und auf die kann nicht zugegriffen werden. Aus Konsistenz zu IPv4 würde ich gerne auf eth0 zugreifen können per IPv6. Bin mir aber nicht sicher ob das möglich ist, d...

Guten Tag, ich habe bei meiner UTM jetzt IPv6 aktiviert und es scheint soweit alles zu funktionieren bis auf den Zugriff aus dem Internet via IPv6. Die UTM ist über eth0 hinter einer FritzBox und an eth1 hängen die Clients. Diese bekommen IPv6 wir per Prefix Delegation und Router Advertisement. Das ...

Danke, dann werden wohl mehrere Benutzer angelegt.
Kann man die Zertifikatauthetifizierung in der UTM erzwingen? Bei den SSL VPN Einstellungen ist „Local“ Authentication nur Passwort Authentifizierung.

Ich habe hier nur noch das Problem, dass auf der UTM eth0 (mein Interface zur FritzBox und konfiguriert als DHCP Client IPv4&IPv6) keine öffentliche IPv6 zu haben scheint. Dadurch kommen Packete aus dem Internet über IPv6 nicht an der UTM an. In der Netzwerkschnittstellen Übersicht sehe ich auf ...

Man könnte ja für jeden User verschiedene Sites/Zertifikate hinzufügen lassen zum Beispiel. Dann kann man als Admin noch immer alles einzeln administrieren aber der User braucht nur einen Benutzer und Passwort. Bin mir allerdings nicht sicher ob die UTM das kann. Bisher habe ich leider nicht gefunde...