Welche Version ist der Exchange-Server?

Vermutlich entsteht das Problem, weil zwar Phase 1 aufgebaut ist, aber von der UTM keine Phase 2 SA ausgehandelt werden kann. Oft hilft es, einen Dauerping vom be.IP auf das LAN hinter dem Tunnel zu starten (Lokale Dienste / Überwachung Ping-Generator), dann wird Phase 2 vom be.IP gestartet. Besser ...

Versuch mal den urlpath_regex wie folgt zu beginnen: -i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|... Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und" ,  sondern per "oder" verknüpft behandelt werden. D...

1. Netzwerkgruppe für Störer erstellt 2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet 3. Portfilter erstellt                 Quelle: Netzwerkgruppe-Störer                 Ziel:       external-interface               ...

ich habe erstmal nun die IoT Geräte gruppiert und dieser Gruppe mit einem Portfilter die Erlaubnis erteilt NTP im Internet abzufragen. Ich konnte in ähnlichen Fällen die Sache per DNS lösen, weil die Ziele nicht direkt per IP, sondern per Namen angesprochen wurden. Auf die Weise könnte man z.B. die...

Ich habe das mal schnell mit einer symbolischen Verknüpfung erfolgreich getestet. Einfach die folgende Zeile ins Login-Skript für alle Benutzer des Notebooks einfügen (oder per Gruppenrichtlinie), anschließend greifen alle Benutzer auf den Ordner "C:\ProgramData\Securepoint SSL VPN" zu. We...

Ich glaube nicht, dass das die Ursache ist.

Aktuelle Erkenntnisse: Auf der Seite des Responders in Phase 2 „Neustart nach Abbruch“ auf „Nein“ stellen. Wenn beide Seiten die Verbindung initiieren können, muss hier auf beiden Seiten „Nein“ eingestellt werden. Dann kommt es nicht mehr zu den ständigen Neustarts der Verbindung. Wenn der Responder...

Kannst ja mal testen, was ich im letzten Beitrag geschrieben habe.

Gruß

Franz

Hallo Thomas,

dazu hatte ich schon einen Beitrag eröffnet und Tickets beim Support erstellt!

Gruß

Franz

IKE v2 ist Stand der Technik. Inzwischen kommen vermehrt Anwendungsfälle auf uns zu, in denen IKE v2 gewünscht wird.   Am 23.03.2018 hatte ich schon einmal ein Ticket zu diesem Thema eröffnet. Das Ticket wurde am 18.12.2018 geschlossen, ohne dass eine Lösung mitgeteilt wurde.   Am 11.01.2020 habe ic...

Hallo Mario,

das ist momentan noch ein Versuchsaufbau mit 3 UTM ohne NAT!
Die WAN-Anschlüsse der 3 UTM sind an einem Switch angeschlossen.

Beim Kunden möchte ich das erst in Betrieb nehmen, wenn ich sicher bin, dass es ordnungsgemäß funktioniert.

Mit freundlichem Gruß

Franz Grimm

Hallo Mario,   die Authentifizierung erfolgt über Zertifikate!   Nein, im vorliegenden Fall gibt es nur einen Tunnel, der alles annehmen könnte. Die Gegenstellen landen im richtigen Tunnel.   Außerdem habe ich bemerkt, dass Verbindungsabbrüche anscheinend nicht oder nicht zuverlässig erkannt werden....

Ergänzung 2:
Wenn die UTM Responder (Incoming) für mehrere dieser IPSec-Verbindungen mit IKE v2 ist, kommt es auch wieder zum ständigen Neuaufbau der Verbindungen.

Ergänzung: Nach einem Neustart der Responder-UTM (z.B. wegen Firmwareupdate etc.) baut der Initiator die Verbindung nicht neu auf (vermutlich, weil ihm ja mitgeteilt wurde, dass die Verbindung zu beenden ist). Auch hier hilft nur manuelles Initiieren oder IPSec-Dienst-Neustart beim Initiator.   Bei ...

Hallo Kenneth,   ja, wenn nur eine Seite initiiert, dann tritt der Effekt nicht auf!   Aber wenn ich dann den IPSec-Dienst beim Responder mal neu starten muss, bekommt der Initiator das mitgeteilt, er sieht dann die Verbindung als beendet an und baut sie anschließend nicht selbständig neu auf. Man m...

Bei VPN-S2S-Verbindungen, die mit IKE v2 in Phase 1 betrieben werden, kommt es ab dem ersten Erneuern der SA zu ständigem Neuaufbau der Verbindung im Abstand von 10 Sekunden. Das führt natürlich zu unnötiger Systembelastung. Dieser Effekt tritt bei S2S-Verbindungen von SP UTM zu MS Azure als Gegenst...

Eine IPSec-S2S-Verbindung mit Zertifikaten lässt sich mit der aktuellen UTM 11.8.7.2 fast genauso einfach einrichten wie eine mit RSA-Keys, wenn man beachtet, dass die CRL der CA manuell auf der Seite der Filiale zu importiert ist, denn die CRL ist im PKCS #12-Zertifikat für die Filiale nicht enthal...

Hallo Kenneth, vielen Dank für die Rückmeldung, du bestätigst meine Befürchtung! :) Ich hatte im Internet auch nichts dazu finden können, wie sowas zu konfigurieren sein könnte, dewegen wird es wohl ein "Fehler" im Wiki sein. Hast du alternativ eine IPSec-Verbindung mit Authentifizierung ü...

Hat jemand mit der UTM v11.8.7.x eine IPSec-Verbindung unter Verwendung von Zertifikaten zur Authentifizierung zum Laufen bekommen?

Gruß

Franz

Obwohl es in der Wiki als ein mögliches Authentifizierungsverfahren aufgelistet wird, lässt sich bei IKE v2 nur Zertifikat oder Pre-Shared Key auswählen.
https://wiki.securepoint.de/UTM/VPN/Übersicht#Site_to_Site_VPN_Verbindungen

Ist das ein Bug?

Gruß

Franz

Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel ang...

Guten Morgen,   seit dem Upgrade unserer NFR UTM auf v11.8.7 werde ich gehäuft darüber informiert, dass "Potenziell gefährliche Verbindung" protokolliert wurden.   Daraus ergeben sich für mich mindestens zwei Fragen: 1. Anhand welcher Kriterien werden potentiell gefährliche Verbindungen de...

Mit webfilter-basiertem SSL-Interception-Proxy kann nicht mehr auf "autodiscover.outlook.com" von O365 zugegriffen werden. Es kommt folgende Fehlermeldung (die IP ist eine der vielen von "autodiscover.outlook.com"): The following error was encountered while trying to retrieve the...