Technischer Blog Archive - BOC IT-Security GmbH

Category Archives: Technischer Blog

HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active / Passive

10. September 2025 Pascal Griepernau Comment

In einer zunehmend digitalisierten Welt ist Hochverfügbarkeit kein Luxus mehr, sondern eine geschäftskritische Notwendigkeit. Schon wenige Stunden Ausfall können erhebliche Kosten verursachen – ganz zu schweigen von den Folgen, wenn Unternehmen ein bis zwei Tage komplett vom Internet oder den internen Netzwerken abgeschnitten sind.

Um sich vor solchen Szenarien zu schützen, stehen verschiedene Optionen zur Verfügung: Zum einen können Sie durch die Einrichtung eines zweiten Geräts einen hochverfügbaren „Cluster“ aufbauen. Zum anderen besteht die Möglichkeit, über den “4-Stunden-Premium-Austauschservice” die Auslieferung eines kostenfreien Ersatzgeräts deutlich zu beschleunigen.

Im Zuge neuer gesetzlicher Richtlinien wie bspw. NIS2 oder Cyber Resilience Act (CRA) rückt auch die betriebliche Resilienz gegenüber kleineren Ausfällen in den Vordergrund. IT-Verantwortliche müssen sicherzustellen, dass selbst kleinere Defekte – etwa ein defektes Netzteil – nicht zum Stillstand des gesamten Betriebs führen. Zu all diesen Themen beraten wir Sie selbstverständlich gerne.

Dieser Artikel führt Sie durch die Best Practices Einrichtung eines WatchGuard Firebox Active / Passive Clusters. Der für die Umsetzung benötigte Zeitaufwand liegt i.d.R. zwischen 30 und 60 Minuten.

Einführung
Cluster-Konfiguration
Fazit
Häufige Fehler und Lösungen

HOWTO: “Friendly Network Detection” für den WatchGuard IPSec Mobile VPN Client (NCP FND-Server)

26. August 2025 Johannes Wolfsteiner Comment

In den folgenden verlinkten Blog-Artikeln wurden bereits einige Vorteile, Funktionen und Empfehlungen zum „WatchGuard IPSec Mobile VPN Client“ (by NCP) veröffentlicht:

Vorteile, Funktionen, Installation: https://www.boc.de/watchguard-info-portal/2025/05/howto-watchguard-ipsec-mobile-vpn-client-by-ncp-jetzt-auch-mit-ikev2-support
Silent Rollout / Deployment: https://www.boc.de/watchguard-info-portal/2025/08/howto-ncp-silent-installation-rollout-via-gpo-mvls

Ein großer Vorteil des Premium-Clients ist die integrierte Endpoint-Firewall, welche z.B. nur in Trusted Networks eine Netzwerk Kommunikation erlaubt und ansonsten eine VPN-Verbindung erzwingt. Die manuelle Erfassung vertrauenswürdiger Netze ist in komplexen Umgebungen sehr zeitaufwändig, fehleranfällig und leider auch nicht allzu sicher. Abhilfe schafft der „NCP Friendly Net Detection Server“ (https://www.ncp-e.com/fileadmin/_NCP/pdf/library/whitepaper/NCP_Whitepaper_FND_de.pdf).

Im weiteren Verlauf möchte ich die Inbetriebnahme des FND-Servers veranschaulichen.

HOWTO: NCP Silent-Installation / Rollout via GPO / MVLS

19. August 2025 Johannes Wolfsteiner Comment

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde im folgenden Artikel näher beschrieben (bitte vorab lesen): >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support.

Es gab mehrere Rückfragen zur Silent-Installation und zum automatischen Deployment des VPN-Clients. WatchGuard selbst hat die Silent-Installation im Help Center dokumentiert: >> Configure the IPSec Mobile VPN Client for Mobile VPN with IKEv2.

Im Folgenden beschreibe ich die Silent-Installation detaillierter und gebe praxisnahe Anregungen für ein automatisiertes Deployment. Weiterlesen »

HOWTO: Layout vom Access Portal anpassen und Eingabefelder verstecken

31. Juli 2025 Peter Saß Comment

Bei der Konfiguration des Access Potral der Firebox können bestimmte Parameter konfiguriert werden. Beispielsweise lassen sich ein eigenes Logo und ein individueller Hintergrund einfügen oder man kann die Farben, Schriftart und weitere Gestaltungselemente bequem über ein eigenes Stylesheet ändern.

In diesem Artikel wird gezeigt, wie man die Eingabefelder ausblenden kann wenn nur eine Anmeldung per SAML erlaubt sein soll. Das macht es den Benutzern einfacher und es wird der falschen Eingabe von SAML-Zugangsdaten in die vordefinierten Felder vorgebeugt – was dann wieder zu Fail2Ban führen kann.

Vorgehensweise

HOWTO: WatchGuard Authentication-Portal mit SAML, EntraID und 2FA

17. Juli 2025 Peter Saß Comment

Seit Firmware 12.11.3 ist es möglich, als Authentication Server eine SAML Verbindung zu EntraID zu konfigurieren und damit auch den zweiten Faktor mit der Microsoft Authenticator-App zu nutzen.

In diesem Blogartikel wird beschrieben, wie man für bestimmte Dienste eine Anmeldung mit EntraID-Benutzer, Passwort und 2FA am Authentication-Portal der WatchGuard Firewall konfigurieren kann.

Voraussetzungen

HOWTO: Dynamische VLAN-Zuordnung mit Hilfe eines NPS in der WatchGuard Cloud

23. Mai 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir, wie Sie mithilfe eines Microsoft NPS-Servers (Network Policy Server) und der WatchGuard Cloud eine dynamische VLAN-Zuordnung basierend auf Active-Directory-Benutzergruppen realisieren können. So lassen sich verschiedene Netzsegmente über eine einzelne SSID verwalten – ideal für Mikrosegmentierung und Netztrennung.

HOWTO: WLAN mit PPSK in der WatchGuard Cloud

22. Mai 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir, wie sich mit Private Pre-Shared Keys (PPSK) der WLAN-Zugang individuell und sicher gestalten lässt. PPSKs können für einen temporären Zugang genutzt werden, indem ein Ablaufdatum hinterlegt wird. Sie können aber auch permanent genutzt werden, beispielsweise für ausgewählte Personen oder Geräte.

Ein weiterer großer Vorteil ist, dass jedem PPSK eine VLAN-ID zugeordnet werden kann, sodass die Anmeldung zwar an einer gemeinsamen SSID stattfindet, im Hintergrund aber verschiedene Netze (Stichwort Mikrosegmentierung) zum Einsatz kommen können.

HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support

9. Mai 2025 Johannes Wolfsteiner Comment

WatchGuard Firewalls ermöglichen verschiedene Optionen für den mobilen VPN-Zugriff. Der SSLVPN auf OpenVPN-Basis ist besonders benutzerfreundlich und erfordert keine zusätzlichen Lizenzen – er ist daher wahrscheinlich die am häufigsten genutzte Lösung. IKEv2 ist bereits in Windows integriert und bietet eine spürbar bessere Performance als SSLVPN – entsprechend gewinnt es zunehmend an Bedeutung.

WatchGuard bietet für das Protokoll IKEv1/IPSEC Mobile-VPN (Legacy) schon seit langem einen Premium-Client (by NCP) zum Kauf an (WatchGuard IPSec Client bei uns im Shop). Seit dem 7. November 2024 kann der kostenpflichtige Client nun auch über das moderne IKEv2-Protokoll kommunizieren. Der NCP-Client bietet im Vergleich zur integrierten Windows-VPN-Lösung eine Vielzahl an Vorteilen. Ob sich der Aufpreis lohnt, hängt vom individuellen Anwendungsfall ab. Eine kostenlose 30-Tage Trial-Version kann unverbindlich getestet werden. Sprechen Sie uns dazu gerne an.

In diesem Blog-Artikel geht es darum, wie Sie mit dem WatchGuard IPSec Mobile VPN Client (NCP) eine sichere, leistungsstarke und flexible IKEv2-VPN-Verbindung für mobile Arbeitsplätze einrichten können – inklusive Start-Before-Logon und Netzwerk-Isolation.

HOWTO: Erstellen eines Zertifikats als Proxy Authority für die WatchGuard Firebox

22. April 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir Schritt für Schritt, wie ein Zertifikat als Proxy Authority für die WatchGuard Firebox mithilfe einer bestehenden Microsoft-Zertifizierungsstelle (CA) erstellt werden kann. Die Proxy Authority wird auf der Firewall dazu verwendet, den entschlüsselten Datentransfer nach dem durchlaufen der Deep-Inspection wieder zu verschlüsseln.

Hinweis: Voraussetzung ist eine funktionierende Zertifikatsinfrastruktur auf Basis von Microsoft Active Directory Certificate Services. Die grundlegende Einrichtung dieser Infrastruktur ist nicht Bestandteil dieses Artikels – hierzu gibt es zahlreiche Anleitungen online.

Schritte im Überblick:

Zertifikatsanforderung erstellen
Zertifikatanforderung bei der CA einreichen
Zertifikat importieren und PFX exportieren

HOWTO: Erstellen eines Zertifikats für den Webserver der WatchGuard Firebox

11. April 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir Schritt für Schritt, wie ein Zertifikat für den Webserver einer Watchguard Firebox mithilfe einer bestehenden Microsoft-Zertifizierungsstelle (CA) erstellt werden kann. Das Ziel ist, die bekannten Zertifikatswarnungen beim Zugriff auf das Webinterface, das Access Portal oder die Anmeldeseite zu vermeiden. Auch für den SSL-VPN-Zugriff kann dieses Zertifikat verwendet werden.

Schritte im Überblick:

Zertifikatsanforderung erstellen
Zertifikatanforderung bei der CA einreichen
Zertifikat importieren und PFX exportieren

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

Weitere Events:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Vorgehensweise

Voraussetzungen

Schritte im Überblick:

Schritte im Überblick:

BOC IT-Security GmbH