Category Archives: Technischer Blog

WatchGuard Cluster in Verbindung mit Dynamic Arp Inspection (DAI)

WatchGuard verwendet im Cluster-Betrieb virtuelle Mac-Adressen. Bei einem Cluster-Failover wird dann ein Gratious Arp Paket gesendet, damit alle beteiligten Switches ihre ARP-Table bzw. ihre Mac-Adress-Port-Table anpassen können. Dies kann bei leistungsfähigen Switches mit aktueller Firmware möglicherweise zu Problemen führen, wenn man die Konfiguration nicht entsprechend anpasst.

Weiterlesen »

SSLVPN-Problem mit Fireware 12.3

Bei Fireware 12.3 gibt es ein Problem mit SSLVPN.

Symptom:

  • nach dem Start der Box funktioniert das SSLVPN
  • nach ca. 1-2 Stunden ist kein SSLVPN-Connect mehr möglich.
  • gleichzeitig wird die Web-UI langsamer

Ursache:

  • Es gibt unter bestimmten Umständen ein Problem mit dem openssl Prozess, der auf Authentifizierung wartet und sich verklemmt.
  • Es scheint insbesondere ein Problem zu sein, sobald mobile Clients (Android, IOS) mit dem OpenVPN-Client Verbindungen aufbauen

Es gibt derzeit einen Patch, der betroffene Kunden auf Anforderung (CASE bei WatchGuard.com öffnen) zur Verfügung gestellt wird.

Ein Fix ist für 12.3 Update 1 versprochen; das Release soll Mitte nächster Woche generell verfügbar sein.

 

WebBlocker On-Premises Server Fehlermeldung durch Passwortvergabe

Vor Kurzem bekamen wir eine Rückmeldung eines Kunden zum Thema WebBlocker On-Premises Server, die sicherlich für einige interessant sein könnte:

“Heute haben wir den WebBlocker On-Premises Server mit Schmerzen in Betrieb genommen. Zunächst bekamen wir keine Verbindung zum WebBlocker-Server hin mit der Log-Meldung “WebBlocker Server is not available”. Nach langer Suche lag es nur am Passwort: es enthielt einen Doppelpunkt (“:”). Nachdem wir ein Passwort aus einem Mix aus Ziffern und Buchstaben gewählt haben funktionierte alles sofort und einwandfrei. Vielleicht ein guter Tipp für Sie. Auch der Aufruf von Webseiten ist gefühlt schon schneller als über die Cloud-Anbindung.”

Das Sonderzeichen “:” (Doppelpunkt) im Passwort scheint beim WebBlocker On-Premises Server also eine Fehlermeldung zu verursachen, die es zu vermeiden gilt.

Weitere Artikel zum WebBlocker On-Premises Server finden Sie in folgenden Artikeln:

Fireware 12.3 jetzt verfügbar

Seit gestern (28.11.18) verfügbar: Fireware 12.3 und WatchGuard System Manager 12.3

Fireware 12.3 ist eine wichtige Aktualisierung des Fireware-Betriebssystems, das viele neue Erweiterungen bietet.  Im Folgenden finden Sie eine kurze Aufstellung der neuen und geänderten Features. Eine vollständige Auflistung aller Neuerung finden Sie im PDF Whats New in Fireware v12.3. Fireware 12.3 ist nicht für XTM-Devices erhältlich.

Nun aber zu den wichtigsten neuen Features:

Weiterlesen »

Änderungen DNS-Einstellungen für IPsec ab Fireware 12.2.1

Seit der Fireware Version 12.2.1 ist es möglich eigene DNS-Einstellungen für Mobile VPNs: IKEv2 + IPsec + L2TP festzulegen. Bisher wurden standardmäßig die zentralen DNS-Einstellungen der Firebox (im Policy Manager unter Network => Configuration => Tab [WINS/DNS]) verwendet.

Bei allen Mobile User VPNs gibt es nun die Möglichkeit, verschiedene DNS-Einstellungen für die unterschiedlichen VPN-Arten einzustellen.

Weiterlesen »

Fireware 12.3 Beta verfügbar

Gestern Abend erhielt ich die Einladung zur Teilnahme am Beta-Test der Fireware 12.3. (Für Interessierte: es ist wie immer eine offene Beta, für die man sich hier anmelden kann.)

Fireware 12.3 ist kein Maintenance-Update sondern ein Feature Upgrade. Die Feinheiten stecken hier sehr tief in den Details. Daher folgen vermutlich einige Beiträge zu den einzelnen Punkten. Hier also nur eine kurze Aufstellung der neuen und geänderten Features; die Whats-New-in-Fireware-12.3 Powerpoint hat denn auch umfangreiche 115 Folien(!).

Fireware 12.3 ist nicht für XTM-Devices erhältlich.

Nun aber zu den neuen Features:

Weiterlesen »