Der Cyren-Spamfilter verwendet intern unter anderem RBLs. Sie können deren Adressen allerdings nicht konfigurieren.

Gar nicht. Der Anbieter muss die Intermediate-CAs mit ausliefern. Aktuell wird da nur das Server-Zertifikat zurückgegeben. Siehe auch hier

Die IDs sind nicht gleich. Die eine Seite (die mit dem Log) verlangt eine bestimmte IP als ID, die Gegenstelle übermittelt die IP aber als FQDN.

Das korrekte Feld dafür ist "Local Gateway". Haben Sie den IPSec-Dienst nach der Änderung neu gestartet?

Das hört sich so an, als wäre die Verbindung nicht korrekt angelegt worden. Mit Hilfe des Outputs der folgenden CLI-Befehle (Extras -> CLI) kann man vielleicht mehr sagen:
Ansonsten: Ticket erstellen.

Das NAT ist nicht das Problem, denn die Verbindung kann ja aufgebaut werden.

Ist auf Ihrem Client die Route in das Netz 192.168.50.0/24 gesetzt worden?
Werden die Pakete von der UTM verworfen oder vom Zielserver? (Logging im Portfitler aktivieren!)

Die Zuordnung von Benutzer zu Zertifikat erfolgt durch die Auswahl des korrekten Zertifikats in den Benutzer-Einstellungen. Wie das Zertifikat heißt, ist vollkommen irrelevant. Es empfiehlt sich daher, erst den Benutzer mit dem "korrekten" Namen anzulegen und danach das Zertifikat mit eine...

Vermutlich hat die VPN-Verbindung zu der Fritzbox erst funktioniert, nachdem diese durch eine BlackDwarf ersetzt wurde...

Diese ICMP-Fehlermeldung jedenfalls deutet darauf hin, dass die Verbindung von der Fritzbox aktiv zurückgewiesen wurde.

Die UTM hat zwei Virenscanner. Sie können unter Anwendungen -> HTTP-Proxy -> Virenscanner auf den Cyren AV wechseln.

Korrekt.

Nein können Sie nicht. Das ist aber auch nicht notwendig, denn das bezieht sich auf die Version der binary und nicht auf die Patterns. Eine neue Binärdatei gibt es im Zuge unserer Firmware-Updates.

Für FTP, müssen Sie nur Port 21/tcp weiterleiten. Sind Sie sicher, dass Sie "SFTP" meinen und nicht "FTPS"?

FTPS läuft ebenfalls über Port 21/tcp, SFTP allerdings über Port 22/tcp.

Was Sie machen wollen ist eine normale Portweiterleitung aka "wir ändern die Ziel-Adresse des IP-Pakets" aka "Destination NAT". Und ja: Sie können nur einzelne Dienste NATten. Das hat einfach den Grund, dass im gleichen Dialog auch PAT konfiguriert werden kann und die Zuordnung v...

Das sieht soweit in Ordnung aus. Der Server, der die Patterns ausliefert, scheint aber gerade etwas angestrengt. Ich meine mich zu erinnern, dass auf der ClamAV Mailingliste am Wochenende die Rede davon war, dass eine komplette neue main/daily.cvd verfügbar gemacht werden soll. Vielleicht gibt es da...

Gibts da nicht was im Wiki?

Welche Firmware ist auf dem Gerät installiert? Was ist der exakte Output von "freshclam.sh"?

Es haben alle UTMs das Update erhalten. Wenn das bei Ihnen nicht auftaucht, kann es sein, dass die Festplatte voll ist und dass deshalb keine verfügbare Version angezeigt wird. wenn das der Fall ist, wird im Log eine entsprechende Meldung angezeigt, wenn Sie auf der CLI ausführen system upgrade forc...

Steht in der Virenscanner-Whitelist (Anwendungen -> HTTP-Proxy -> Virusscan) bereits folgender Eintrag? Wenn nicht, fügen Sie den bitte hinzu:

Steht der Server auch in diesem "internen LAN"? Wenn eine Bridge im Spiel ist, klappt die Weiterleitung aus einem Netz X wieder in das Netz X zurück nicht.

Auf Port 443/tcp läuft standardmäßig das User-Webinterface. Wenn Sie den Port für SSLVPN benutzen wollen, müssen Sie Das Webinterface vorher woanders hinlegen: Netzwerk -> Servereinstellungen Ob ein Port bereits belegt ist, findet man übrigens heraus, wenn man auf der root-Shell einmal ausführt: ss ...

Windoze hat da einen Credential Manager (Control Panel -> User Accounts -> Credential Manager). Wenn man da einmal Benutzername/Kennwort hinterlegt hat, wurde das zumindest in meinem Test gerade auch bei "net use" verwendet.

Die Anfrage hatten wir schon ein paar Mal, aber es gibt da aktuell noch ein paar sicherheitstechnische Hindernisse. Siehe mein Kommentar in dem Pull Request.

Ne, das wäre dann doch etwas zu lang. Die bleiben nur solange in der Liste, bis die Hölle zugefroren ist.

Die Sperrseite verwendet den "Accept-Language"-Header des HTTP-Requests, um die Anzeigesprache festzulegen. Der Browser wiederum setzt den Header anhand der bevorzugten Sprache des Betriebssystems.

Seit der 11.6.2 wird beim Reboot ein Default-Regelwerk geschrieben, welches dieses Problem zu umschiffen versucht.
Beim Reconnect hilft auch mit einer aktuellen Firmware nur "conntrack -F"