HOWTO-Artikel Archive - BOC IT-Security GmbH

Category Archives: HOWTO-Artikel

HOWTO: Vorgehen bei abgelaufener Box – Temporary Feature Key beantragen und einspielen

4. Dezember 2025 Martin Dörr Comment

Der nachfolgende Artikel beschreibt die notwendigen Schritte im Falle einer abgelaufenen Firebox-Lizenz um den Betrieb vorübergehend aufrecht zu erhalten. Dies gilt allerdings nur für Geräte, die noch nicht ihr End-of-Life (EOL) Datum erreicht haben. In einem solchen Fall sprechen Sie uns bitte direkt an!

Update 03-12-2025 – Hinweis bei Automatic temporary Feature Key activation
Update 20-10-2025 – Neuerung – Automatic temporary Feature Key activation
Update 03-03-2023 – FK-Tausch beim Cluster ergänzt.

HOWTO: Home Zone Firewall-Ausnahmen im WatchGuard IPSEC VPN Client (NCP) am Beispiel eines Netzwerkdruckers

13. November 2025 Michael Hörmann Comment

Im modernen Home-Office ist der sichere und zugleich komfortable Zugriff auf Unternehmensressourcen ein entscheidender Faktor für effizientes Arbeiten. Doch genau hier entsteht oft ein Zielkonflikt: Während der VPN-Tunnel eine geschützte Verbindung zum Firmennetzwerk herstellt, wird dadurch häufig der Zugriff auf lokale Geräte – wie Drucker oder NAS-Systeme – blockiert.

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde bereits im Artikel >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support ausführlich vorgestellt (Bitte vorab lesen!). In diesem Beitrag knüpfen wir daran an und zeigen am praktischen Beispiel, wie sich mithilfe der Home Zone Funktion gezielt Firewall-Ausnahmen konfigurieren lassen. Die Home Zone Funktion wurde speziell für das Arbeiten im Home-Office entwickelt und bietet eine intelligente Lösung, um die Sicherheit der Unternehmenskommunikation über den VPN-Tunnel zu gewährleisten, während gleichzeitig der komfortable Zugriff auf lokale Heimnetzwerkgeräte wie Drucker oder Scanner möglich ist.

Am Beispiel eines Netzwerkdruckers zeigen wir Schritt für Schritt, wie Sie diese Funktion optimal einrichten, um auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) sicher und effizient im Home-Office zu arbeiten.

HOWTO: Firebox mit “integriertem” SFP Glasfaser Modem (GPON) betreiben

14. Oktober 2025 Johannes Wolfsteiner Comment

Mit dem Launch der neuen T-Box Generation bietet bereits die Firebox T145 (Nachfolger der T45) einen integrierten SFP+ Slot. Der SFP+ Slot bietet neben 10 Gigabit/s den Vorteil, ein SFP Glasfaser Modem direkt in der Firebox zu betreiben, wodurch ein externes Modem eingespart wird.

In diesem Blog-Artikel zeige ich die Migration von einem ext. Glasfasermodem zum SFP GPON Modul der Deutschen Telekom.

HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active / Passive

10. September 2025 Pascal Griepernau Comment

In einer zunehmend digitalisierten Welt ist Hochverfügbarkeit kein Luxus mehr, sondern eine geschäftskritische Notwendigkeit. Schon wenige Stunden Ausfall können erhebliche Kosten verursachen – ganz zu schweigen von den Folgen, wenn Unternehmen ein bis zwei Tage komplett vom Internet oder den internen Netzwerken abgeschnitten sind.

Um sich vor solchen Szenarien zu schützen, stehen verschiedene Optionen zur Verfügung: Zum einen können Sie durch die Einrichtung eines zweiten Geräts einen hochverfügbaren „Cluster“ aufbauen. Zum anderen besteht die Möglichkeit, über den “4-Stunden-Premium-Austauschservice” die Auslieferung eines kostenfreien Ersatzgeräts deutlich zu beschleunigen.

Im Zuge neuer gesetzlicher Richtlinien wie bspw. NIS2 oder Cyber Resilience Act (CRA) rückt auch die betriebliche Resilienz gegenüber kleineren Ausfällen in den Vordergrund. IT-Verantwortliche müssen sicherzustellen, dass selbst kleinere Defekte – etwa ein defektes Netzteil – nicht zum Stillstand des gesamten Betriebs führen. Zu all diesen Themen beraten wir Sie selbstverständlich gerne. Warum Ausfallsicherheit mit einem WatchGuard FireCluster so wichtig ist erfahren Sie bei uns unter >> WatchGuard FireCluster.

Dieser Artikel führt Sie durch die Best Practices Einrichtung eines WatchGuard Firebox Active / Passive Clusters. Der für die Umsetzung benötigte Zeitaufwand liegt i.d.R. zwischen 30 und 60 Minuten.

Einführung
Cluster-Konfiguration
Fazit
Häufige Fehler und Lösungen

HOWTO: “Friendly Network Detection” für den WatchGuard IPSec Mobile VPN Client (NCP FND-Server)

26. August 2025 Johannes Wolfsteiner Comment

In den folgenden verlinkten Blog-Artikeln wurden bereits einige Vorteile, Funktionen und Empfehlungen zum „WatchGuard IPSec Mobile VPN Client“ (by NCP) veröffentlicht:

Vorteile, Funktionen, Installation: https://www.boc.de/watchguard-info-portal/2025/05/howto-watchguard-ipsec-mobile-vpn-client-by-ncp-jetzt-auch-mit-ikev2-support
Silent Rollout / Deployment: https://www.boc.de/watchguard-info-portal/2025/08/howto-ncp-silent-installation-rollout-via-gpo-mvls

Ein großer Vorteil des Premium-Clients ist die integrierte Endpoint-Firewall, welche z.B. nur in Trusted Networks eine Netzwerk Kommunikation erlaubt und ansonsten eine VPN-Verbindung erzwingt. Die manuelle Erfassung vertrauenswürdiger Netze ist in komplexen Umgebungen sehr zeitaufwändig, fehleranfällig und leider auch nicht allzu sicher. Abhilfe schafft der „NCP Friendly Net Detection Server“ (https://www.ncp-e.com/fileadmin/_NCP/pdf/library/whitepaper/NCP_Whitepaper_FND_de.pdf).

Im weiteren Verlauf möchte ich die Inbetriebnahme des FND-Servers veranschaulichen.

HOWTO: NCP Silent-Installation / Rollout via GPO / MVLS

19. August 2025 Johannes Wolfsteiner Comment

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde im folgenden Artikel näher beschrieben (bitte vorab lesen): >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support.

Es gab mehrere Rückfragen zur Silent-Installation und zum automatischen Deployment des VPN-Clients. WatchGuard selbst hat die Silent-Installation im Help Center dokumentiert: >> Configure the IPSec Mobile VPN Client for Mobile VPN with IKEv2.

Im Folgenden beschreibe ich die Silent-Installation detaillierter und gebe praxisnahe Anregungen für ein automatisiertes Deployment. Weiterlesen »

HOWTO: Layout vom Access Portal anpassen und Eingabefelder verstecken

31. Juli 2025 Peter Saß Comment

Bei der Konfiguration des Access Potral der Firebox können bestimmte Parameter konfiguriert werden. Beispielsweise lassen sich ein eigenes Logo und ein individueller Hintergrund einfügen oder man kann die Farben, Schriftart und weitere Gestaltungselemente bequem über ein eigenes Stylesheet ändern.

In diesem Artikel wird gezeigt, wie man die Eingabefelder ausblenden kann wenn nur eine Anmeldung per SAML erlaubt sein soll. Das macht es den Benutzern einfacher und es wird der falschen Eingabe von SAML-Zugangsdaten in die vordefinierten Felder vorgebeugt – was dann wieder zu Fail2Ban führen kann.

Vorgehensweise

HOWTO: WatchGuard Authentication-Portal mit SAML, EntraID und 2FA

17. Juli 2025 Peter Saß Comment

Seit Firmware 12.11.3 ist es möglich, als Authentication Server eine SAML Verbindung zu EntraID zu konfigurieren und damit auch den zweiten Faktor mit der Microsoft Authenticator-App zu nutzen.

In diesem Blogartikel wird beschrieben, wie man für bestimmte Dienste eine Anmeldung mit EntraID-Benutzer, Passwort und 2FA am Authentication-Portal der WatchGuard Firewall konfigurieren kann.

Voraussetzungen

HOWTO: Dynamische VLAN-Zuordnung mit Hilfe eines NPS in der WatchGuard Cloud

23. Mai 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir, wie Sie mithilfe eines Microsoft NPS-Servers (Network Policy Server) und der WatchGuard Cloud eine dynamische VLAN-Zuordnung basierend auf Active-Directory-Benutzergruppen realisieren können. So lassen sich verschiedene Netzsegmente über eine einzelne SSID verwalten – ideal für Mikrosegmentierung und Netztrennung.

HOWTO: WLAN mit PPSK in der WatchGuard Cloud

22. Mai 2025 Peter Saß Comment

In diesem Blog-Artikel zeigen wir, wie sich mit Private Pre-Shared Keys (PPSK) der WLAN-Zugang individuell und sicher gestalten lässt. PPSKs können für einen temporären Zugang genutzt werden, indem ein Ablaufdatum hinterlegt wird. Sie können aber auch permanent genutzt werden, beispielsweise für ausgewählte Personen oder Geräte.

Ein weiterer großer Vorteil ist, dass jedem PPSK eine VLAN-ID zugeordnet werden kann, sodass die Anmeldung zwar an einer gemeinsamen SSID stattfindet, im Hintergrund aber verschiedene Netze (Stichwort Mikrosegmentierung) zum Einsatz kommen können.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Vorgehensweise

Voraussetzungen

BOC IT-Security GmbH