Category Archives: Technischer Blog

Kompatibilität HTTPS-Reverse-Proxy und Exchange/Outlook

Um Pfade wie /ECP/ (Exchange Admin Center) vor Zugriffen aus dem Internet zu schützen, können Sie wie >> hier beschrieben eine HTTP-Content-Action inkl. Deep Inspection verwenden. Damit der Zugriff auf Mails, OWA, etc. wie gewohnt funktioniert, ist Folgendes zu beachten:

  1. Zertifikat, welches den Exchange-Server inkl. AutoDiscover abdeckt (Bsp.: autodiscover.maildomain.xy, mx.maildomain.xy)
  2. Exchange-Server und Client müssen >> MAPI over HTTP unterstützen:

    Quelle: Microsoft

Weitere Informationen und eine Hilfestellung finden Sie in unserem Blogartikel HTTP-Content-Action am Beispiel von OWA – Blocken von /ecp/.

Known Issue: AP120 und AP320 können nach Update den GWC nicht mehr erreichen

Beschreibung:
Die Access Points AP120 und AP320 können nach dem Update der AP-Firmware auf Version 8.8.1-101 möglicherweise nicht mehr den Gateway Wireless Controller (GWC) erreichen. Das Problem entsteht dadurch, dass bei einem Upgrade die Konfiguration der Access Points verloren geht und der Access Point den GWC nicht mehr discovern kann (falls der AP nicht direkt mit der WatchGuard verbunden ist).  Der Access Point verfügt dann nicht mehr über eine funktionierende Netzwerkkonfiguration. Auch bei gerouteten Netzen ist dieses Problem aufgefallen.

Weiterlesen »

Fireware 12.5.2 SSLVPN – Probleme mit mehreren gleichzeitigen SSLVPN-Sessions

Ein Kunde hat uns gerade folgende Info zukommen lassen:

  • Fireware ab 12.5.2
  • SSLVPN
  • Ein gemeinsamer SSLVPN-Benutzer-Account
  • mehrere gleichzeitige SSLVPN-Sessions mit diesem Account
  • von der gleichen Source-IP (Public IP) aus

In diesem Falle gibt es wohl Probleme, dass es nicht mehr möglich ist, sich mit diesen beiden SSLVPN-Sessions gleichzeitig anzumelden.
Vermutlich greift hier ein interner Session-Takeover oder/und die beiden Verbindungen spielen Ping-Pong.

Abhilfe/Workaround:

  • mehrere SSLVPN-User => damit werden es getrennte Sessions.

Cloud FQDNs für AuthPoint und WatchGuard Cloud

WatchGuard AuthPoint Gateway und andere WatchGuard Cloud Dienste benötigen einen direkten HTTPS-Zugriff der lokalen Komponenten auf die Cloud. Das führt immer dann zu einem Problem, wenn ein HTTPS-proxy mit Deep Inspection (Content Inspection) verwendet wird. Hier müssen entsprechende Ausnahmen definiert werden.

Eine Sammlung der uns bekannten Cloud-URLs finden Sie in diesem Artikel.

Weiterlesen »

HOWTO: DNS-Proxy für SIP

Aktuell hatten wir den Fall, dass eine WatchGuard-Neuinstallation beim Kunden teils 40 Sekunden Verzögerung bei der SIP-Telefonie mit sich gebracht hatte. Eine Auswertung der Logs zeigte, dass die dortige TK-Anlage eine Namensauflösung via NAPTR (DNS Query-Typ 35: https://en.wikipedia.org/wiki/List_of_DNS_record_types) für die Einwahl in den DeutschlandLAN SIP-Trunk ausführte.  Weiterlesen »