Auf den be.IP muss nur das jeweilige Standort-Zertifikat importiert werden. Das UTM-Zertifikat muss dort nicht importiert werden.

Guten Morgen Michael,   die Zertifikate können auf der UTM erstellt und am besten als PCKS12 mit Passwort exportiert werden! PCKS12 ist vorteilhaft, weil es Key, CA- und Peer-Zertifikat enthält. Beim Import (Systemverwaltung/Zertifikate) muss ein Name vergeben werden, welcher für CA- und Peer-Zertif...

Hallo Michael, ich habe bei verschiedenen Kunden Konstellationen in ähnlicher Art und Umfang in Betrieb. Statt PSK verwende ich Zertifikate. Die UTM in der Zentrale hat eine feste öffentliche IP und ist als Responder (Incoming) eingerichtet. Neustart nach Abbruch (in Phase 2) habe ich nicht aktiv. A...

Eine Besonderheit ist mir jedoch in dem Zusammenhang aufgefallen: wenn der Initiator ausfällt (z.B. weil die Internetverbindung getrennt wurde), wird die Verbindung auf dem Responder (Incoming) weithin als aufgebaut (grün) angezeigt. Das bleibt vermutlich auch so bis zum Ablauf der SA. Aufgrund des...

Gut, wo immer möglich, verwende ich ohnehin IKEv2 und Zertifikate, statt PSK. Hierbei ist nur zu beachten, dass auf dem Initiator (Outgoing) in Phase 2 „Neustart nach Abbruch“ aktiviert wird.   Eine Besonderheit ist mir jedoch in dem Zusammenhang aufgefallen: wenn der Initiator ausfällt (z.B. weil d...

Ja, kann sein. Bei uns sind es Kombinationen aus Kabelanschlüssen von Vodafone bzw. Kevag Telekom, die nicht ganz so stabil sind, und als Gegenstelle Telekom Business VDSL-Anschlüsse.

Das Phänomen beobachte ich ebenfalls gelegentlich. Ich kann es nicht genau sagen, aber ich habe den Verdacht, dass das geschilderte Problem nach kurzzeitigen Störungen der Internetverbindung auftritt. Vielleicht ein Problem mit der DPD?

Dankeschön, hat funktioniert!

Die On-Premise-Version des Security Operations Center (SOC) haben im Laufe der Zeit immer weniger Partner tatsächlich im Alltag genutzt. Ja, bei den Endkunden vor Ort ( On-Premises ) habe ich tatsächlich immer weniger SOC im Einsatz. Viele Kunden haben eigene Überwachungssysteme, so dass beispielsw...

Das würde mich auch interessieren?

Na, vielleicht kann Mario oder ein anderer aus dem SP Team uns aufklären.

Guten Morgen,

seit wann geht das und wird's gemacht? Im Wiki finde ich dazu nichts.

Gruß

Franz

Warum muss es denn ein gekauftes Zertifikat sein?
Seit der v12 unterstützt die UTM Let's Encrypt.

Unter Windows eine Doppelklick auf das Zertifikat und dann unter Details den Signaturhashalgorithmus anzeigen.Eventuell auch die Zertifikate im Zertifizierungspfad anschauen.

Hallo Michael,

kann es sein, dass noch SHA1-Zertifikate verwendet werden (Client- oder CA-Zertifikat)?

Ab v2.0.29 können keine Zertifikate mit SHA1 mehr verwendet werden.

Gruß

Franz

Einfach unter "%USERPROFILE%\AppData\Roaming\" den Ordner "Securepoint SSL VPN" sichern und nach der Installation wiederherstellen.

Ist denn im IDS/IPS unter CYBER DEFENSE CLOUD auch "Verbindung protokollieren und blockieren" eingestellt? Im Auslieferungszustand ist nur "Verbindung protokollieren" eingeschaltet.

Mit welcher VPN-Client-Version funktionierte es noch?
Ab einer bestimmten Version wird kein SHA1 mehr in der Zertifikatkette akzeptiert.

Wenn die UTM in Ordnung ist, kann man sich per Konsole mit einem Admin-Konto anmelden (wenn die aktive Konfiguration leer ist, dann ist das Login admin/insecure).
In Ihrem Fall ist die UTM anscheinend so abgeschossen, das gar keine Anmeldung mehr möglich ist.

Meines Wissens hat der Kippschalter des BD die gleiche Funktion wie der Power-Schalter des PC. Kurzes Antippen fährt das Gerät runter. Längeres Festhalten schaltet das Gerät hart aus. Wenn das tatsächlich noch ein Gerät mit Kippschalter ist, dann ist das Ding schon einige Jahre alt. In Kombination m...

Folgendes hab ich auch noch festgestellt:

UTM v12.2.1.1 - IPSec mit Zertifikaten funktioniert nicht

Da wir wo immer möglich Zertifikate einsetzen, habe ich unseren Kunden auch noch auf Updates verzichtet.

Ich würde für die Authentifizierung Zertifikate und möglichst IKEv2 verwenden ( Sophos SG kann soweit ich weiß noch kein IKEv2). Momentan gibt es ein Problem mit der v12.2.1.1. Wenn nicht alle Felder in den Zertifikaten ausgefüllt sind, werden die aus den Zertifikaten generierten IDs nicht korrekt a...

Momentan werden wohl noch keine Wildcards unterstützt. Wenn es nur 2 Hosts sind, kannst diese bei SPDNS anlegen. Einen ordnest du der externen Schnittstelle (eth0, LAN1, WAN0) zu, den anderen dem internen Inteface (eth1, LAN2). Wichtig ist, den Webresolver einzuschalten. Eleganter wäre es jedoch, en...

Versuch es mal mit folgendem Regex: urlpath_regex: -i ^(/$|/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|/rpc|/mapi) Durch das "-i" wird Groß- und Kleinschreibung ignoriert. Das "/$" steht für einen leeren URL-Path (bzw. nur den "/", der vom Browser automati...

Hier aktuelle Erfahrungen zu IPSec mit IKEv2 zwischen Securepoint UTM und bintec elmeg Geräten (z. B. be.IP) Das weiter oben beschriebene Vorgehen mit dem Unterbringen sämtliche Subnetz-Paare in einer Phase-2-SA funktioniert nach meinen Erkenntnissen nur bis zur Firmware Version V.10.2.9.102 der bin...