Category Archives: HOWTO-Artikel

SIP Telefonie (Telekom All-IP) mit Fritzbox hinter einer Watchguard Firebox

2 Comments

Leider gibt es mit den SIP-Proxies vor allem an VDSL-100 Standorten manchmal Probleme, daß bei Telefonie das Audio nur in eine Richtung funktioniert hat. Ich habe hierzu im Netz etwas gefunden für das Zusammenspiel einer Juniper SSG5 mit einer Fritzbox und das entsprechende Setup nachgebaut.

Wir benötigen folgende Regeln:

  • keine SIP-Proxies auf der Watchguard, alles sind reine Packet Filter
  • Ausgehend: From Fritzbox to any-External tcp-udp (alle Ports) (also auch incl. STUN-Port)
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5060 + tcp 5060 (SIP). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5070  + tcp 5070 (SIP Alternativ). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp Portrange 7078-7097  (RTSP-Ports, Fritzbox-Spezifisch). Achtung nur Paketfilter, kein Proxy!

Dieses Setup läuft nun auch bei VDSL-100 Anschlüssen seit einigen Wochen problemfrei.

LetsEncrypt Zertifikat als Proxy-Zertifikat auf Watchguard Firebox

2 Comments

Ziel

Setup eines kostenfreien SSL-Zertifikates zum Testen des TLS-Proxies auf einer Watchguard. Für den weiteren Artikel wird hier @mail.meinedomain.de@ als Hostname vorausgesetzt.

Voraussetzung

  • DNS konfiguration: mail.meinedomain.de muß im DNS als A-Record und PTR-Record auflösbar sein
  • WWW-Konfiguration: http://mail.meinedomain.de/ muß auf einen Webserver zeigen, auf den man Zugriff hat, um die Authorisierungs-Dateien zu hinterlegen

Weiterlesen »

IPSec VPN WatchGuard <=> Android (nativer Client)

Comment

Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow mit dem Native Client per IPSec an eine WatchGuard Firebox/XTM.

Nativer Client

Die in der WatchGuard Help (Stand: 04.08.2016) angegebenen Hinweise auf die IPSec Proposals beziehen sich auf Android 4.x. Dort steht “do not use SHA2 in the Phase 1 and Phase 2 settings. SHA2 is not supported on the VPN clients on Android devices”. Mittlerweile wird jedoch SHA1 als nicht mehr ausreichend sicher eingestuft und soll eigentlich nicht mehr verwendet werden. SHA2 wird inzwischen von Android in Phase 1 und Phase 2 unterstützt. Theoretisch zumindest.
Leider funktioniert genau dieses SHA2 in Phase 2 nicht richtig. Es wird zwar eine Verbindung hergestellt, aber danach kann kein SA ausgehandelt werden, womit das Android-Device ohne Routing gar nicht mehr kommunizieren kann. Hier folgt eine genauere Betrachtung der Proposals und eine Anleitung mit funktionierenden Parametern.

Weiterlesen »

Watchguard SSLVPN 2-Factor mit Google-Authenticator Token

16 Comments

WatchGuard SSLVPN 2-Factor mit Google-Authenticator Token

Zwei-Faktor-Authentisierung ist derzeit stark im Kommen und dies ist eine gute Entwicklung. Eine Zwei-Faktor-Authentisierung baut auf zwei Dinge:

  • Something you know
  • Something you have

Es werden zum Login also zwei komplett unterschiedliche Dinge benötigt, einmal etwas, das man kennen muss (typischerweise das Passwort), und dann etwas, das man besitzen muss (typischerweise einen Token-Generator). Der Token-Generator erzeugt nun automatisiert zeitabhängige Token, also mehrstellige Ziffern-Folgen, die sich mit der Zeit ändern. Hierfür gibt es bei WatchGuard die Unterstützung von Secure-ID – aber diese Tokens sind umständlich, man muss sie nämlich dabei haben. Also “noch ein Ding rumschleppen”.

Seit einigen Jahren gibt es bei Google die Möglichkeit, mit Google-Authenticator eine Zwei-Faktor-Authentisierungzu aktivieren. Hierbei wird ebenfalls ein “Ding” als Tokengenerator verwendet, nur ist dieses Ding etwas, das man sowieso schon dabei hat: das Smartphone.

Die Idee ist nun, die Token-Erzeugung in eine App auf dem Smartphone auszulagern, somit muß jemand zum Login auf das Google-Konto nicht nur das Passwort kennen, sondern auch das Smartphone besitzen _und_ es freischalten können, um an das Token zu kommen.

Was liegt nun näher, als die WatchGuard mit Google-Authenticator zu vermählen?

Weiterlesen »

Installation Dimension auf Intel-NUC mit VMWare ESXi

Comment

Für kleine Netzwerkumgebungen ohne vorhandene ESXi-Umgebung gibt es häufig ein Problem, einen Watchguard Dimension Server (Logserver) zu betreiben, da dieser nur als Template für VMWARE oder HyperV angeboten wird. Ein Einsatz einer Dimension ist jedoch für die Überwachung der Firewall anzuraten.

Eine einfache, platzsparende Lösung ist das Setup einer VMWARE ESXi auf einem kleinen Intel NUC. Die Vorteil des Einsatzes eines NUC bestehen im geringen Platz- und Strombedarf des NUC. Weiterlesen »

HOWTO: Software-Update über das Web-Interface

Comment

Die regelmäßige Aktualisierung Ihrer WatchGuard Firebox ist wichtig, um die Leistungsfähigkeit, Sicherheit und Zuverlässigkeit Ihres Netzwerks zu gewährleisten. In diesem Blog-Artikel zeigen wir Ihnen Schritt für Schritt, wie Sie ein Fireware Software-Update über die Web-UI erfolgreich durchführen – unabhängig davon, ob sich Ihre Firebox bereits im Einsatz befindet oder ob Sie diese gerade erstmalig einrichten.

Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade. Weiterlesen »

HOWTO: Firmware-Upgrade einer WatchGuard Firebox über den WSM

Comment

Ein regelmäßiges Firmware-Upgrade ist essenziell, um die Sicherheit und Leistungsfähigkeit Ihrer WatchGuard Firebox zu gewährleisten. In diesem HOWTO-Artikel zeigen wir Ihnen wie Sie ein Firmware-Upgrade über den WatchGuard System Manager (WSM) durchführen können.

Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade.

Weiterlesen »