Moin!

Das MSS Clamping kann nicht konfiguriert werden. Es ist bereits für IPv4/ IPv6 aktiv.

Dann ist alles fein

Die CA vom Anbieter wird keinen Privaten Schlüssel bekommen. Das ist In Ordnung so. Nur das Zertifikat benötigt den Key, vorrausgesetzt die UTM soll über dieses Zertifikat Dienste verschlüsseln.

Falls Sie "No Issuer" sehen als Fehlermeldung: Intermediate-Zertifkate usw. prüfen. Wenn dort "No CRL ...

Zuerst bitte prüfen, ob der NTP-Server in den Anwendungseinstellungen gestartet ist. Dieser ist für die Zeitsynchronisation der UTM selbst notwendig.

Ich weiß nicht ob das noch eine Rolle spielen könnte: Falls der Inetrne Server ein höheres Stratum als drei aufweist, könnte auch eine Verweigerung ...

Moin!

Ich bin nicht ganz sicher, das wird schon mit eienr der Beta-Versionen passiert sein, wenn.

Das Problem ist das theoretische Feststellen von möglichen Sicherheitsproblemen der Software anhand der preisgegebenen Version.

Im Cluster bitte auf keinem Fall benutzen! Und nein, das ist ein direkter Eingriff an der Konfiguration vorbei. Das wird nicht synchronisiert.

Moin!

Nein, das geht wenn nur per "root":

ip link set dev eth0 up
ip link set dev eth0 down

sollte es sein. Das ist aber nur temporär. Wir haben aktuell keine Funktion implementiert, ein Interface abzuschalten. Falls der Wunsch zur Implementation besteht > Securepoint Wunschbox.

Es müsste ein neues erzeugt werden und das Alte entfernt werden, schätze ich.

Moin!

Theoretisch könnte man sich aus dem Webinterface ausperren, ich bin mir aber sicher, das auf Verwendung geprüft wird. Solange man per SSH auf die UTM kommt wäre das aber lösbar.

system generate webservercert

Und dann muss in der extc variable geschaut werden, ob dort noch ein Eintrag ist ...

Wenn das Gerät sich eine VLAN ID setzt, dann hängt es vom Switch ab, ob es überhaupt noch funktioniert.

Im Prinzip ein "Henne Ei Problem"

Damit der Client eine IP vom DHCP-Server der UTM bekommt muss dieser bereits mit der korrekten VLAN ID bei der UTM ankommen. Somit gibt es keinen Grund, dem ...

Und hat des Entfernen geholfen?

Doofe Frage: Haben Sie im betreffenden DHCP-Pool der UTM eine VLAN ID gesetzt? Wenn ja, bitte entfernen. Aber gerne Ticket eröffnen.

Nein. Es gibt nur zwei Optionen: KeepMails oder direkt löschen.

Korrekt.

Das lässt sich Grundlegend mit einem Script gut erledigen, denke ich.

Ich denke das hierfür die Zero-Touch Funktion des USP geeignet wäre.

Eine Master-Konfiguration ist zudem eine recht schwierige Sache da bei Nichtbeachtung gewisser Dinge Sicherheitsrisiken bestehen (DH-Keys/ Zertifikate usw.)

Wenn man dies nicht über die Cloud machen möchte wäre ein Script ...

Die Fritzbox ist eine Blackbox. Sie verdreht Quellports und es laufen ungefragt viele Helper im Hintergrund, die die ausgehenden Pakete unnötig manipulieren. Deswegen sollte die Fritzbox aus meiner Sicht, wenn möglich, durch ein Modem ersetzt werden.

Wenn man die Fritzbox nicht abreißen kann, dann ...

Wenn vor der UTM ein Router steht, speziell eine Fritzbox, ist durch das doppelte NAT das Funktionieren der Telefonie nicht garantiert!

Generell erst einmal an diesem Artikel orientieren:

https://wiki.securepoint.de/UTM/VoIP_BestPractice

Dabei darauf achten:

- Telefonanlage idealerweise mit ANY ...

Der Ping muss nicht funktionieren. Meines Wissens nach antwortet der Server nicht auf Echo Requests. Die Namensauflösung hat zudem funktioniert.

Auf der UTM sollte im Nameserver > DNS-Forwarding ein schneller externer DNS-Server eingetragen sein. Spätestens dann sollte die UTM nach zwei Versuchen ...

Der Versionssprung ist nicht zu groß. Das könnte eine Konfiguration mit "*" im Namen sein oder eine bereits korrupte Konfiguration, die sich nicht mehr sauber aktualisieren lässt.

Idealerweise ein Supportticket eröffnen (lassen).

Moin!

Solche Anfragen idealerweise per Support-Ticket über das Reseller-Portal.

Die Authentifizierungsmethode muss meiner Ansicht nach Local oder Local + OTP sein, damit das Vorhaben funktioniert. Gerne aber auch weiterhin immer pro User ein eigenes Zertifikat.

Wichtig dabei ist, das man den Dienst "sip" in dem Fall nicht verwendet, sondern einen neuen Dienst erstellt, der nicht als Protokolltyp "sip" ausgewählt hat. Wenn die SIP-Helper entladen sind und diese nun wieder aktiviert werden, wird der SIP-Helper, wenn die Regel greift, die Pakete ...

Moin!

Idealerweise ein Support-Ticket eröffnen. Dann schauen wir uns die Konfiguration einmal an.

Alles auf eigene Gefahr. Meine private Firewall besteht auch aus einem Eigenbau. Das Einzige was man dazu sagen muss: Gibt es durch den Eigenbau Probleme (z.B. nach einem Update wird Netzwerkkarte xy wegen entfernten Treiber nicht mehr erkannt) gibt es keinen Support für das entstandene Problem ...