Hallo, wenn die Clients wirklich das Subnetz 192.100.100.0/24 haben findet die Kommunikation auf direktem Wege statt. Die Ermittlung der Gesprächspartner findet über Broadcast statt. Dies wird von der Firewall nicht geroutet. Was evtl. sein könnte ist das die Verkabelung nicht mehr stimmt und die Fi...

Hallo,

könnten Sie einmal versuchen statt die UTM einmal die Clients für mehr als 30 Sekunden vom Strom zu nehmen? Es könnte evtl. auch am conntrack in der UTM liegen.

Gruß Björn

Hallo,

installieren Sie die 11.6.9 und aktivieren Sie dies im Mailrelay bei dem Punkt Greylist.


Gruß Björn

Hallo,

Sie müssen ein HideNAT Exclud setzten. Entweder machen Sie dies in der Regel oder über die implizite Regel unter Firewall => implizite Regeln => IPsec.

Gruß Björn

Hallo, vor weg einmal die V10 wird seit dem 01.04.2016 nicht mehr supportet. Bekommen Sie die Meldung das der Virenscanner nicht scannen kann? Wenn ja kann es daran liegen das zu viele defekte Pattern vorliegen. Hier wäre die Lösung die Pattern löschen und neu laden. Hierzu per SSH und dem Benutzer ...

Hallo,

sie können es nur verhindern wenn Sie keine falsche Domain schicken. Die Securepoint versucht anhand der vorhandenen DNS Server die Adresse aufzulösen. Sollte dies Fehlschlagen versucht die Firewall es mit seinem eigenen Namen noch mal.

Gruß Björn

Hallo, also wenn die Verbindung immer wieder aufgebaut und getrennt wird hört es sich nach DPD (dead peer detection) an. Die Meldung: " NO_PROPOSAL_CHOSEN" bezieht sich darauf das die Daten in der Phase1 nicht übereinstimmen. Im Lancom haben Sie die Möglichkeit auf default Werte zurück zug...

Hallo, Ihre Lösung wäre folgendes: Netzwerkobjekt A für HideNat: <ip von eth1> – Zone external Netzwerkobjekt B für Zusätzliche Regel: <IP-Adressbereich des IPSec Zielnetzes> – Zone external Portfilterregel 1: Quelle: SSL-VPN Ziel: IPSec-VPN Netzwerk Gegenseite mit Zone ipsecvpn Dienst: any (oder de...

Hallo, wenn im Livelog kein DROP kommt greift die Regel. Ich vermute immer noch das dieser Port nicht für anfragen aus anderen Netzen erlaubt ist. Um dies einmal zu überprüfen können Sie eine weitere Regel anlegen die wie folgt lautet: internet -> Rechner_200 -> Dienst_13000  Nat    Typ HideNAT Netz...

Hallo,

ab dem SSL-VPN Client 2.0.15 wird c++ runtime redistributable 2013 benötigt. Die Clients davor brauchen c++ runtime redistributable 2012. Damit sollten Sie das Problem beheben können. Sollten die Vorhanden sein ggf. deinstallieren und dann neu installieren.

Gruß Björn

Hallo, in der letzten Zeit häufen sich die Probleme mit dem IPSec aufbau zu einer Fritzbox. Wenn man sich die Verbindung einmal genauer sieht (tcpdump -i wan -nnp host ip-der-fritzbox) würde man wahrscheinlich sehen das die Fritzbox diese Anfragen filtert. Wir haben unser Wiki dazu angepasst. Gruß B...

Hallo, nein ohne die SSL-Interception ist dies transparent nicht möglich. Was ohne SSL-Interception im transparenten Modus möglich ist ist HTTP. Sie können jedoch die Firewall fest als Proxy benutzen. Hier brauchen Sie keine SSL-Interception um auch HTTPS Seiten zu blocken. Ohne SSL-Interception kom...

Ja es sind ganze Domains möglich. Okay dann orientiere ich mich am Bild: und Header-Feld", da wo xx@xx.com drin steht kommt From rein, bei ist enhält oder ist, das Feld rechts daneben kommt @xx.com oder die Adresse wie es Ihn lieb ist. Es müsste dann vom Lesen so aussehen: und Header-Feld => Fr...

Hallo, ja es würde DPD reichen. Doppelte Regeln kann sein muss aber nicht. Wenn beide Seiten im IPSec voll Zugriff haben reichen die "impliziten Regeln" zu aktivieren wenn diese nicht schon sind. Ich meinte "Site-to-Site Client"; ich hab' mich hier wohl von der  Onlinehilfe verwi...

Hallo,

nein das Beispiel oben ist nicht falsch. Es gibt nur einen Unterschied zwischen Sender und Header-Feld From. Das Header-Feld ist das was Sie in einer Mail sehen. Dieses Feld ist ganz einfach manipulierbar. Wie bei Ihrem Beispiel oben. Ja sie können es mit ODER machen.

Gruß Björn

Hallo,

im Mailfilter eine Regel anlegen. Header => From => xx@xx.endung => verwerfen.

Gruß Björn

Hallo,

mit folgender Mailfilterregel sollten Sie das unterbinden können:

und Header-Feld 
From
enthält
domain
und Header-Feld
To
enthält
domain

verwerfen/blocken etc.


Gruß Björn

Hallo, Sie können es einmal mit IPSec (Transfernetz) und SSL-VPN über die default Route aufbauen. Beim IPSec müssen Sie mit Route Over arbeiten. Hier wird dann die Ziel IP angegeben. IPSec greift vor SSL-VPN. Bzgl. Openvpn meinen Sie hier die Site-to-Site Funktion oder den Roadwarrior. Bei Site-to-S...

Hallo, die Bilder sind leider nicht zu erkennen (viel zu klein). Ich kann erkennen das es sich um eine V10 handelt und nicht um eine V11. Sie dürfen nicht die 127.0.0.1 als DNS pushen. Weil das immer lokal ist. Des weiteren wird der DNS Server der UTM nicht Ihre interne Domain auflösen können. Entwe...

Hallo, ja es ist recht einfach. Sie sehen nur das was auch über das Userinterface angesprochen werden kann. L2TP, IPSec, HTTP Proxy etc. ist für das Userinetrface nicht notwendig. Wobei geblockte SPAM Mails oder Clientless VPN hier schon etwas anderes ist. Außerdem gibt es auch noch WoL und SSL-VPN....

Hallo,

sobald Sie das einrichten macht die Securepoint einen Abgleich. Wie ist es eingerichtet? Hat die Securepoint eine PPPoE Schnittstelle oder bekommt die Securepoint die öffentliche IP direkt auf die Schnittstelle gepusht?

Gruß Björn

Hallo,

wird der transparente Modus benutzt oder ist der Proxy fest eingetragen? Das Zertifikat ist am Client installiert? Der Firefox greift auf eine eigene Zertfikatsverwaltung zurück.


Gruß Björn

Hallo, hängt die Securepoint zufällig hinter einem NAT Router? Wenn ja haben Sie 3 Möglichkeiten. 1. Am NAT Router den Abgleich einrichten da dieser die öffentliche IP verfwaltet 2. Eine UTM 11.6.x benutzen. Hier haben Sie bei Dyndns die Möglichkeit Webresolver zu nutzen 3. Ein Updatetool für dyndns...

Hallo,

wenn die MAC stimmt sollte es gehen. Was sagt das Livelog dazu? Sie können es auch per root und mit SSH sich ansehen was da genau kommt. 

 tcpdump -i "WAN Schnittstelle" -nnp port 67 or port 68


Gruß Björn

Hallo, der Wiki Beitrag ist noch für älter 11 Versionen. Sie brauchen keine Regel diesbezüglich. Leider ist das Login auf dem Userinterface "case sensitive" damit Sie die Mails auch sehen. Sollte also der Benutzer z.B. MaxMusertermann im AD angelegt sein muss er sich genau so anmelden. Der...