Category Archives: Technischer Blog

SIP-Registrierung mit Auerswald TK bei Telekom-All-IP

Comment

Letzte Woche hatte ich mit der SIP-Registrierung einer Auerswald TK Anlage an einem Telekom ALL-IP Anschluss zu tun.

  • Einrichtung einer Auerswald TK-Anlage (hier: COMpact 5000) hinter einer Watchguard
  • Telefonie mit einer Nummer eingerichtet, getestet, SIP / VOIP funktioniert.
  • von einem Tag auf den anderen funktioniert Telefonie nicht mehr.

Was war passiert:

  • bei der TK-Anlage wurde eine weitere Telefonnummer hinzugefügt, die sich ebenfalls per SIP registrieren sollte
  • (vermutlich ab diesem Zeitpunkt) ist keine Telefonie mehr möglich
  • Die SIP Fehlermeldung ist wie leider nicht sehr aussagekräftig: 400 BAD REQUEST

Nach einigem Suchen konnte das durch das entfernen des Häkchens SIP-Registrierung gemäß RFC 6140  gelöst werden.

auerswald-klein-markiert

Danach war eine registrierung sofort möglich.

Hintergrund: RFC-6140 beschreibt die (gleichzeitige) Registrierung mehrerer Telefonnummern bei einem SIP-Server. So wie es aussieht, unterstützt die Telekom dies nicht.

Benutzer und Gruppen auf der WatchGuard Firebox

Comment

Es gibt an der Watchguard 3 Stellen, an denen Sie Benutzer (und teilweise Gruppen) anlegen können.

in der WEB-UI:

1) SYSTEM => Users and Roles
hier werden die Administrativen Benutzer angelegt, die sich auf der Firewall einloggen können und Berechtigungen haben, z.B. Policies zu editieren, etc. Hier findet man unter anderem die Benutzer status und admin.

2) AUTHENTICATION => Servers
dort sind die verschiedenen möglichen Authentication Server gelistet, ein Authentication Server ist die “Firebox” selbst. “Server” steht in diesem Fall für “Dienst zur Verfügung stellen”. Wenn man in dieser Liste auf “Firebox” klickt, erscheinen die Benutzer in der Firebox-DB. Dort kann man sie auch editieren oder löschen.

3) AUTHENTICATION => Users and Groups
hier werden die Benutzer und Gruppen definiert, die (von den Authentication Servern zur Verfügung gestellt werden und) in Policies verwendet werden  sollen.  Hier werden auch die Benutzer aus 2) angezeigt, sind hier aber nicht editierbar.

Im Policy-Manager finden sich die Punkte wie folgt:

1) File => Manage Users and Roles

2) Setup => Authentication => Authentication Servers => Tab Firebox

3) Setup => Authentication => Authorized Users and Groups
auch hier kann man die Benutzer, die über 2) angelegt werden, nicht unter 3) bearbeiten oder löschen.

 

Die jeweiligen Punkte sind austauschbar, d.h. was unter Web-UI 2) angelegt wurde, kann man im Policy-Manager unter 2) auch bearbeiten und umgekehrt.

SIP Telefonie (Telekom All-IP) mit Fritzbox hinter einer Watchguard Firebox

2 Comments

Leider gibt es mit den SIP-Proxies vor allem an VDSL-100 Standorten manchmal Probleme, daß bei Telefonie das Audio nur in eine Richtung funktioniert hat. Ich habe hierzu im Netz etwas gefunden für das Zusammenspiel einer Juniper SSG5 mit einer Fritzbox und das entsprechende Setup nachgebaut.

Wir benötigen folgende Regeln:

  • keine SIP-Proxies auf der Watchguard, alles sind reine Packet Filter
  • Ausgehend: From Fritzbox to any-External tcp-udp (alle Ports) (also auch incl. STUN-Port)
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5060 + tcp 5060 (SIP). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5070  + tcp 5070 (SIP Alternativ). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp Portrange 7078-7097  (RTSP-Ports, Fritzbox-Spezifisch). Achtung nur Paketfilter, kein Proxy!

Dieses Setup läuft nun auch bei VDSL-100 Anschlüssen seit einigen Wochen problemfrei.

Crash Report kann Antivirus-Pattern-Update verhindern

1 Comment

Kürzlich bei einer Box aufgetreten: Antivirus-Pattern-Update konnte das Signature-File nicht mehr herunterladen.  Im Firebox System Manager unter Subscription Services wurde beim manuellen Update folgende Fehlermeldung erzeugt:

The signature update failed: An error occured when downloading the signature file (9)

Im Traffic Monitor war folgende Fehlermeldung zu sehen:

sigd Manual GAV update started
sigd Manual GAV update for version (13101) failed (Failed to download signature file from server)

Die Lösung war, alle Crash Reports zu löschen. (Firebox System Manager => Status Report Tab => Support => Delete all crash reports).

Auszug aus dem WatchGuard Support Case:

unfortunately when crash report is listed, this create a condition to not download signature update.
Seems there is a problem to decompress some internal file in the kernel and this need the deletion of crash.
Once you delete them, Firewall is able to download and update itself.

Bei der betroffenen Box wurden die Crash Reports gelöscht und danach funktionierte das manuelle Update auf anhieb, ein Reboot der Box war nicht notwendig.

 

Update 2017-06-27: Siehe hierzu auch unseren Artikel GAV Update Probleme bei Update des Patterns auf XTM2-Series. 

 

LetsEncrypt Zertifikat als Proxy-Zertifikat auf Watchguard Firebox

2 Comments

Ziel

Setup eines kostenfreien SSL-Zertifikates zum Testen des TLS-Proxies auf einer Watchguard. Für den weiteren Artikel wird hier @mail.meinedomain.de@ als Hostname vorausgesetzt.

Voraussetzung

  • DNS konfiguration: mail.meinedomain.de muß im DNS als A-Record und PTR-Record auflösbar sein
  • WWW-Konfiguration: http://mail.meinedomain.de/ muß auf einen Webserver zeigen, auf den man Zugriff hat, um die Authorisierungs-Dateien zu hinterlegen

Weiterlesen »

IPSec VPN WatchGuard <=> Android (nativer Client)

Comment

Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow mit dem Native Client per IPSec an eine WatchGuard Firebox/XTM.

Nativer Client

Die in der WatchGuard Help (Stand: 04.08.2016) angegebenen Hinweise auf die IPSec Proposals beziehen sich auf Android 4.x. Dort steht “do not use SHA2 in the Phase 1 and Phase 2 settings. SHA2 is not supported on the VPN clients on Android devices”. Mittlerweile wird jedoch SHA1 als nicht mehr ausreichend sicher eingestuft und soll eigentlich nicht mehr verwendet werden. SHA2 wird inzwischen von Android in Phase 1 und Phase 2 unterstützt. Theoretisch zumindest.
Leider funktioniert genau dieses SHA2 in Phase 2 nicht richtig. Es wird zwar eine Verbindung hergestellt, aber danach kann kein SA ausgehandelt werden, womit das Android-Device ohne Routing gar nicht mehr kommunizieren kann. Hier folgt eine genauere Betrachtung der Proposals und eine Anleitung mit funktionierenden Parametern.

Weiterlesen »

Watchguard SSLVPN 2-Factor mit Google-Authenticator Token

16 Comments

WatchGuard SSLVPN 2-Factor mit Google-Authenticator Token

Zwei-Faktor-Authentisierung ist derzeit stark im Kommen und dies ist eine gute Entwicklung. Eine Zwei-Faktor-Authentisierung baut auf zwei Dinge:

  • Something you know
  • Something you have

Es werden zum Login also zwei komplett unterschiedliche Dinge benötigt, einmal etwas, das man kennen muss (typischerweise das Passwort), und dann etwas, das man besitzen muss (typischerweise einen Token-Generator). Der Token-Generator erzeugt nun automatisiert zeitabhängige Token, also mehrstellige Ziffern-Folgen, die sich mit der Zeit ändern. Hierfür gibt es bei WatchGuard die Unterstützung von Secure-ID – aber diese Tokens sind umständlich, man muss sie nämlich dabei haben. Also “noch ein Ding rumschleppen”.

Seit einigen Jahren gibt es bei Google die Möglichkeit, mit Google-Authenticator eine Zwei-Faktor-Authentisierungzu aktivieren. Hierbei wird ebenfalls ein “Ding” als Tokengenerator verwendet, nur ist dieses Ding etwas, das man sowieso schon dabei hat: das Smartphone.

Die Idee ist nun, die Token-Erzeugung in eine App auf dem Smartphone auszulagern, somit muß jemand zum Login auf das Google-Konto nicht nur das Passwort kennen, sondern auch das Smartphone besitzen _und_ es freischalten können, um an das Token zu kommen.

Was liegt nun näher, als die WatchGuard mit Google-Authenticator zu vermählen?

Weiterlesen »

Installation Dimension auf Intel-NUC mit VMWare ESXi

Comment

Für kleine Netzwerkumgebungen ohne vorhandene ESXi-Umgebung gibt es häufig ein Problem, einen Watchguard Dimension Server (Logserver) zu betreiben, da dieser nur als Template für VMWARE oder HyperV angeboten wird. Ein Einsatz einer Dimension ist jedoch für die Überwachung der Firewall anzuraten.

Eine einfache, platzsparende Lösung ist das Setup einer VMWARE ESXi auf einem kleinen Intel NUC. Die Vorteil des Einsatzes eines NUC bestehen im geringen Platz- und Strombedarf des NUC. Weiterlesen »