Category Archives: HOWTO-Artikel

L2TP-VPN Watchguard <=> Windows, Tipps und Tricks

L2TP Routing

Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:

  • L2TP verwendet Port 1701/UDP. Wenn man in einem Hotel sitzt, ist dieser Port möglicherweise nicht freigeschaltet. Dann hilft leider nur SSLVPN oder normales IPSec VPN oder eine UMTS/LTE Karte im Laptop bzw. der Hotspot im Handy.
  • L2TP verwendet normalerweise eine default route (0.0.0.0) durch den Tunnel. Damit geht der komplette Traffic einmal durch den Tunnel, was gewünscht sein kann, aber nicht muß

Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.

Weiterlesen »

Einrichten von Threat Detection and Response – Teil 1

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. (Dieser Artikel:) Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 1 (Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 2

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. (Dieser Artikel:) Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 2 (Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 3

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. (Dieser Artikel:) Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 3 (Konfiguration von Threat Detection and Response im TDR Kundenportal) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 4

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal 
4. (Dieser Artikel:) Weitere Hinweise zu TDR, Tipps und Tricks

Teil 4 (Weitere Hinweise zu TDR, Tipps und Tricks) Weiterlesen »

Einrichten eines WLAN Hotspot mit User/Passwort Tickets

Ein weiteres, nicht unbedingt bekanntes, aber dennoch sehr schickes Feature der WatchGuard Fireboxen ist der WLAN Hotspot. Er kann verwendet werden, um ein Gäste-WLAN zu betreiben ohne dauerhafte Credentials ausgeben zu müssen. Auf der Firebox können Tickets mit unterschiedlichen Laufzeiten generiert werden, die beispielsweise 4h, 1 Tag oder 1 Woche gültig sind. Für die Generation der Tickets wird ein spezieller Account auf der Firebox verwendet, der keine Admin-Rechte haben muß, d.h. das Erstellen der Tickets kann sogar von den Mitarbeitern am Info-Point/Empfang/Rezeption etc.  erledigt werden.

Weiterlesen »

IPSec VPN WatchGuard <=> Android NCP VPN Client

Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow per IPSec an eine Watchguard. Verwendet wurde der NCP VPN Client, der derzeit im Store für 2,99 € zu erwerben ist. Er zeichnet sich gegenüber dem nativen Android IPSec Client durch eine viel größere Konfigurierbarkeit aus.

Mit den gleichen Einstellungen wie oben konnte sofort eine Verbindung hergestellt werden. Der NCP Client wurde hierbei bei den Phase 1 / Phase 2 Proposals auf “manual” gestellt und die entsprechenden Proposals wurden exakt eingegeben.

Weiterlesen »

Erweiterte Log-Auswertung mit graylog

graylog-dashboardWatchGuard bietet einen sehr leistungsstarken Logging- und Reporting-Server: den WatchGuard Dimension Server. Allerdings möchte man manchmal die Auswertungen noch etwas spezifischer zusammenbauen. Nachdem WatchGuard die Möglichkeit bietet, die Logs zusätzlich auf einen Syslog-Server zu schreiben, lag es nahe, dort anzusetzen. Auf der Suche nach einem Syslog-Server mit hübschen Auswertungen bin ich über graylog gestolpert. Graylog basiert auf einem Linux-Elasticsearch-Stack mit einem hübschen und leistungsfähigen Web-Frontend. Die Installation ist denkbar einfach, da es das ganze Paket vorkonfiguriert für alle möglichen Umgebungen gibt, beispielsweise EC2, OpenStack, Docker, als Chef, Puppet, Ansible, Vagrant-Script, natürlich als RPMs/DEBs und tarball, oder eben auch als OVA-Template (für das ich mich entschieden habe). Ich habe also eine VM aus dem Template installiert. Die Hardware-Anforderungen für den Start sind übersichtlich: 4 GB RAM und 20 GB HDD. (letzteres ist natürlich den eigenen Bedürfnissen anpassbar).

Weiterlesen »

SIP Telefonie (Telekom All-IP) mit Fritzbox hinter einer Watchguard Firebox

Leider gibt es mit den SIP-Proxies vor allem an VDSL-100 Standorten manchmal Probleme, daß bei Telefonie das Audio nur in eine Richtung funktioniert hat. Ich habe hierzu im Netz etwas gefunden für das Zusammenspiel einer Juniper SSG5 mit einer Fritzbox und das entsprechende Setup nachgebaut.

Wir benötigen folgende Regeln:

  • keine SIP-Proxies auf der Watchguard, alles sind reine Packet Filter
  • Ausgehend: From Fritzbox to any-External tcp-udp (alle Ports) (also auch incl. STUN-Port)
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5060 + tcp 5060 (SIP). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5070  + tcp 5070 (SIP Alternativ). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp Portrange 7078-7097  (RTSP-Ports, Fritzbox-Spezifisch). Achtung nur Paketfilter, kein Proxy!

Dieses Setup läuft nun auch bei VDSL-100 Anschlüssen seit einigen Wochen problemfrei.