19.04.2023

SecurePoint

LANCOM
MicroTik
Securepoint
Watchguard
ubiquiti
Funkwerk
Cisco
AVM
NetGear
LevelOne
Siemens
Telekom Speedport/Digibox
ZyXEL
PC Engines
sonstiges

Navigation:

Links
SecurePoint

Seitenanfang

Grundkonfiguration

!! Beim ausführen des Installationsassistenten wird die Konfiguration komplett zurückgesetzt, alle Einstellungen müssen neu gesetzt werden. !!

Defaultkonfiguration

WAN Port: LAN1
LAN Port: LAN2
DMZ Port: LAN3
LAN4 und folgende (falls vorhanden sind deaktiviert)

Web-Interface
Login unter https://192.168.175.1:11115
Benutzer: admin
Passwort: insecure

Im WebInterface Taste STRG + Alt + A drücken, dadurch wird Extras | Templates hinzugefügt, wo erweiterte Einstellungen verfügbar sind.

 

 

 

Seitenanfang

VPN

Wiki SSL-VPN Site-to-Site
Wiki SSL-VPN Roadwarrior
SSL Client Download von Sourceforge

 

Seitenanfang

SSL VPN Roadwarrior

Firewall | Implizite Regeln | VPN
User Interface Portal - aktiviert am WAN Port 443 das UserInterface zum Herunterladen der ClientInstallation, am LAN ist Port 443 für den Download des Clients immer verfügbar.

Der SSL-VPN Benutzer muss in einer Gruppe sein, die die Berechtigung hat, auf das User-Interface zuzugreifen.
Authentifizierung | Benutzer | Gruppen
Gruppe hinzufügen | Berechtigung
Userinterface: aktivieren

 

Seitenanfang

SSL Site to Site VPN

Der erste Site-to-Site SSL-VPN TunnelServer läuft auf UDP Port 1194 (default), der zweite dann auf UDP Port 1195 (default)

Einstellung Server

Netzwerkobjekt anlegen
Firewall | Portfilter | Netzwerkobjekte
Objekt hinzufügen
Name: sslvpn-S2S-Zweigstelle
Typ: VPN-Netzwerk
Adresse: 192.168.2.0/24
Zone: vpn-ssl-<Name der VPN Verbindung>
Gruppe: leer lassen

Firewall | Portfilter
Regel hinzufügen
Quelle: sslvpn-S2S-Zweigstelle
Ziel: internal-network
Dienst: any (oder die Dienste wähle, die benötigt werden)

Regel hinzufügen
Quelle: internal-network
Ziel: sslvpn-S2S-Zweigstelle
Dienst: any (oder die Dienste wähle, die benötigt werden)

Netzwerk | Netzkonfiguration | Routing
Route hinzufügen
Quellnetzwerk: leer lassen
Gateway-Schnittstelle: tun0
Zielnetzwerk: 192.168.2.0/24

Einstellung Client

Netzwerkobjekt anlegen
Firewall | Portfilter | Netzwerkobjekte
Objekt hinzufügen
Name: sslvpn-S2S-Zentrale
Typ: VPN-Netzwerk
Adresse: 192.168.1.0/24
Zone: vpn-ssl-<Name der VPN Verbindung>
Gruppe: leer lassen

Firewall | Portfilter
Regel hinzufügen
Quelle: sslvpn-S2S-Zentrale
Ziel: internal-network
Dienst: any (oder die Dienste wähle, die benötigt werden)

Regel hinzufügen
Quelle: internal-network
Ziel: sslvpn-S2S-Zentrale
Dienst: any (oder die Dienste wähle, die benötigt werden)

Netzwerk | Netzkonfiguration | Routing
Route hinzufügen
Quellnetzwerk: leer lassen
Gateway-Schnittstelle: tun0
Zielnetzwerk: 192.168.1.0/24

VPN | SSL-VPN
Ordner Symbol anklicken
Host: Entferntes Server-Gateway setzen

 

Seitenanfang

sonstiges

 

 

Seitenanfang

VLAN

im WBM unter Netzwerk | Netzwerkkonfiguration kann ein VLAN Interface erstellt werden, "Master" Schnittstelle wählen, an der das VLAN Interface gebunden werden soll und VLAN ID definieren.

!! Das VLAN Interface ist nach dem Neustart der Firewall aktiv und einsatzbereit !!

 

Seitenanfang

Command Line Interface

UTM CLI-Befehl system

Das CLI erreicht man, mit dem direkten Anschluss von Monitor und Tastatur an der UTM, oder per SSH, oder im WBM durch starten der CLI

- System auf Werkseinstellung zurücksetzen

system config factorysettings
system reboot

- Netzwerk Diagnose

system tools ping host "8.8.8.8"
system tools traceroute host "8.8.8.8"
system tools host type "A" server "8.8.8.8" host "www.securepoint.de"

 

interface get
interface address get
interface address new device eth1 address 1.1.1.1/24
interface zone set name internal interface eth1
interface zone set name firewall-internal interface eth1
interface delete name bri0

 


 

 

Seitenanfang

eMail Benachrichtigungen

Mailrelay

eMail Versand von Statusmeldungen

Anwendungen | Mailrelay
Smarthost (bei einem externen Mailserver)
oder
Relaying (beim internen Mailserver)

Netzwerk | Servereinstellungen | Firewall
Globale E-Mail Adresse:

im WebInterface STRG + ALT + A, dann unter Extras | Templates Suche nach spalertd.conf
/etc/spalertd/spalertd.conf bearbeiten

GLOBAL:HOSTNAME={{ print @GLOB_HOSTNAME}}

ändern in

GLOBAL:HOSTNAME=meine-eMailDomain.de

Dienst unter Anwendungen | Anwendungsstatus | Alerting Center (spalertd) Neustarten

unter LOG "Nur Meldungen des Alerting Centers anzeigen" wählen, bei Seit: Alle setzen. Jetzt kann man unten "Bericht versenden" wählen, um die Mail-Einstellungen zu testen.

Sollten keine Nachrichten verfügbar sein, ist "Bericht versenden" grau hinterlegt und nicht wählbar. Jetzt kann man versuchen, sich von Extern mit der Firewall zu verbinden über https und fehlerhafte Login Versuche vornehmen, so das die IPS Sperrmeldungen generiert werden. (Diese können unter Anwendungen | IDS / IPS | Aktuelle Sperrungen entfernt werden)

Ob die eMail gesendet wurde, kann man unter LOG "Nur Applikations- und Kernelmeldungen anzeigen" die Suche mit "Postfix" filtern.

 

 

Seitenanfang

sonstiges