Category Archives: Technischer Blog

Fireware 12.5.2 SSLVPN – Probleme mit mehreren gleichzeitigen SSLVPN-Sessions

Ein Kunde hat uns gerade folgende Info zukommen lassen:

  • Fireware ab 12.5.2
  • SSLVPN
  • Ein gemeinsamer SSLVPN-Benutzer-Account
  • mehrere gleichzeitige SSLVPN-Sessions mit diesem Account
  • von der gleichen Source-IP (Public IP) aus

In diesem Falle gibt es wohl Probleme, dass es nicht mehr möglich ist, sich mit diesen beiden SSLVPN-Sessions gleichzeitig anzumelden.
Vermutlich greift hier ein interner Session-Takeover oder/und die beiden Verbindungen spielen Ping-Pong.

Abhilfe/Workaround:

  • mehrere SSLVPN-User => damit werden es getrennte Sessions.

Cloud FQDNs für AuthPoint und WatchGuard Cloud

WatchGuard AuthPoint Gateway und andere WatchGuard Cloud Dienste benötigen einen direkten HTTPS-Zugriff der lokalen Komponenten auf die Cloud. Das führt immer dann zu einem Problem, wenn ein HTTPS-proxy mit Deep Inspection (Content Inspection) verwendet wird. Hier müssen entsprechende Ausnahmen definiert werden.

Eine Sammlung der uns bekannten Cloud-URLs finden Sie in diesem Artikel.

Weiterlesen »

HOWTO: DNS-Proxy für SIP

Aktuell hatten wir den Fall, dass eine WatchGuard-Neuinstallation beim Kunden teils 40 Sekunden Verzögerung bei der SIP-Telefonie mit sich gebracht hatte. Eine Auswertung der Logs zeigte, dass die dortige TK-Anlage eine Namensauflösung via NAPTR (DNS Query-Typ 35: https://en.wikipedia.org/wiki/List_of_DNS_record_types) für die Einwahl in den DeutschlandLAN SIP-Trunk ausführte.  Weiterlesen »

HOWTO: Proxy-CA ausrollen via GPO

Damit mittels WatchGuard Firebox auch SSL/TLS verschlüsselter Traffic untersucht werden kann, ist eine Deep-Inspection nötig. Da bei der Deep-Inspection die WatchGuard Firebox den Traffic erneut verschlüsseln muss, sollte das Zertifikat der WatchGuard im Betriebssystem als vertrauenswürdig eingestuft werden (ansonsten erscheint eine Fehlermeldung bei jeder Website). Der nachfolgende Artikel beschreibt das Ausrollen des WatchGuard Zertifikats via Gruppenrichtlinie, was besonders für diejenigen interessant sein sollte, die keine Enterprise Root CA betreiben möchten/können. Weiterlesen »

HOWTO: L2TP VPN via RADIUS und Start-Before-Logon

Mit L2TP können Sie Windows Endgeräte mit Boardmittel für eine VPN Einwahl konfigurieren. Durch die RADIUS Anbindung können Sie nicht nur die Zugänge via AD steuern, sondern auch Start-Before-Logon vernünftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen können und so Netzlaufwerke, Richtlinien, … via VPN bereitgestellt werden.
Weiterlesen »