HOWTO: WatchGuard WLAN Tickets erstellen
In diesem Blogartikel geht es um die Erstellung von WatchGuard WLAN Tickets welche Sie bspw. auf Visitenkarten o.Ä. drucken können.
Category Archives: HOWTO-Artikel
LTE-Failover für jede WatchGuard inkl. Cluster und LTE-Passthrough
Mobilfunk eignet sich spätestens seit LTE nicht nur als „Notlösung“ in schwach ausgebauten Regionen, sondern auch als performanter Failover ohne auf Kabelinfrastruktur angewiesen zu sein (Kupfer/Glas/Koax nutzt häufig die gleiche Gebäudeeinführung und dient daher nur bedingt als Ausfallsicherheit).
LTE bietet zudem die Möglichkeit einen Standort temporär anzubinden, welcher sich noch im Aufbau befindet (Schalttermin des Providers steht aus, Baumaßnahmen notwendig, etc.)
Labor-Umgebung:
WatchGuard T35-W (v12.5.7)
MikroTik LtAP mini (6.47.10)
Telekom SIM-Karte mit Datentarif
Ziel:
Anbindung der WatchGuard an das LTE-Netz und Terminierung der ext. IP direkt auf der WatchGuard.
Konfiguration MikroTik:
Den MikroTik via LAN an ein Notebook anschließen und mittels WinBox die Konfigurationsoberfläche öffnen:
CLI Kommandozeilen Befehle zur Hardware Status Abfrage der Firebox T80
Die Firebox T80 kann aufgrund der Lüfterkonzeption relativ warm werden ohne dass der Lüfter automatisch anspringt, was erfahrungsgemäß zur Verunsicherung einiger Kunden führen kann.
In diesem Artikel zeigen wir Ihnen die entsprechenden CLI-Befehle zur Abfrage der CPU-Temperatur und des Lüfterstatus und klären die Frage, wann bzw. ob der Lüfter der Firebox T80 permanent oder temperaturabhängig läuft.
Modem – cannot enable – Log-Meldung
Folgendes Szenario ist mir in meiner Testumgebung aufgefallen:
An einem USB-Anschluss der Firebox habe ich ein LTE-Gerät angeschlossen, um dann in der Fireware unter Netzwerk – Modem die Modem Konfiguration zu testen. Die Konfiguration konnte ich durchführen und das Regelwerk speichern. Im Log stellte ich aber folgende Meldung fest.
| FWStatus, [22540.239315] usb usb4-port1: Cannot enable. Maybe the USB cable is bad?, pri=3, proc_id=kernel, msg_id= |
HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern
Gerade in Zeiten von >> Hafnium stellt sich wieder die Frage, wie der externe Zugriff auf interne Systeme möglichst sicher umgesetzt werden kann. WatchGuard bietet bereits seit langer Zeit Proxies für die gängigen Mail-Protokolle POP3, IMAP und SMTP. Um mobile Geräte möglichst komfortabel in die Exchange Infrastruktur einzubetten, führt allerdings kaum ein Weg an ActiveSync oder MAPI vorbei. Der Zugriff via ActiveSync/MAPI erfolgt via 443 und kann ebenfalls mittels Proxy abgesichert werden, welcher durch Whitelisting von Pfaden, GEO-Blocking, Domain-Prüfung und IPS viele Sicherheitsfeatures erfolgreich umsetzen kann, siehe >> Blog-Artikel
Seit der Firmware v12.5 bietet WatchGuard durch seine Portal-Lösung „Access Portal“ eine weitere Möglichkeit, einen Exchange hinter den in der Firebox integrierten Reverse-Proxy zu verstecken. Durch das Access Portal kann die WatchGuard nicht nur Pfade filtern, sondern auch eine Pre-Authentication für den Exchange erzwingen. Da die Authentifizierung erst gegen die WatchGuard stattfindet und im Anschluss der Traffic in Richtung Exchange weitergeleitet wird, ist der IIS des Mailservers nicht direkt aus dem Internet erreichbar!
Durch eine Kombination mit AuthPoint kann übrigens der Zugriff auf OWA oder ECP zusätzlich über einen zweiten Faktor effektiv abgesichert werden.
*Folgende Installationsanleitung zeigt eine Testumgebung. Vom Standard abweichende Konfigurationen Ihres Exchange, AD, … können hier leider nicht berücksichtigt werden*
HOWTO – Verwendung von REGEX Suchmustern bei der Suche im Firebox System Manager
Die Suche im Traffic Monitor wird oft als schwach bezeichnet, weil hier keine “wildcards” unterstützt werden.
Diese Aussage ist jedoch schlicht falsch, da der FSM sehr wohl wildcards unterstützt, allerdings nicht die “üblichen Verdächtigen” und zudem erst nach zusätzlicher Aktivierung der Suchmuster (REGEX). Wenn man sich ein wenig eingearbeitet hat, enthält der FSM durch Vewendung der REGEX einen der leistungsfähigsten Suchfilter, die so üblicherweise zur Verfügung gestellt werden. Leider sind REGEX nicht wirklich intuitiv 🙂
KVM Image für FireboxV
In diesem Artikel erfahren Sie, wie Sie eine virtuelle WatchGuard FireboxV-Maschine in einem Linux-KVM-Hypervisor (Kernel Virtual Machine) bereitstellen und konfigurieren können. Die Bereitstellung der FireboxV unter KVM wird in der Fireware Version 12.6.2 und höher unterstützt [FireCluster werden nicht unterstützt].
HOWTO: AuthPoint Hardware Token Aktivierung
Seit August 2020 sind die >> WatchGuard Hardware Token für >> AuthPoint verfügbar.
Dieser Artikel beschreibt die Inbetriebnahme der Token.
Tricks zur Anpassung der Hotspot-Login-Seite des Gateway Wireless Controller
In diesem Blog-Beitrag wollen wir die Hotspot-Login-Seite des Gateway Wireless Controllers verändern, damit sie unter Mobile Devices etwas hübscher aussieht und besser bedienbar wird.
HOWTO: Firebox Migration auf Fireware 12.6 (T20/T40/T80)
Uns erreichen aktuell einige Anfragen, wie eine Konfiguration einer (alten) WatchGuard T10/30/50/15/35/55 auf die neuen T-Modelle T20, T40 und T80 durchzuführen ist.
