Category Archives: Technischer Blog

PPPoE und Log-Meldungen 0.0.0.0 => 255.255.255.255 Port 4944

Comment

Bei manchen Installationen zeigt die WatchGuard in Verbindungen mit PPPoE-Modems folgende  Log-Meldungen (Deny) auf dem Externen Interface an:

Source: 0.0.0.0
Destination: 255.255.255.255
Port 4944
Protocol: udp

Ursache: dies sind Management-Broadcasts des Modems an den dahinter gelegenen Router. Wenn das Modem “zu viel intelligenz” besitzt und dem Router (hier: WatchGuard) per Broadcast den Status der DSL-Leitung mitteilen will, wird dieses Paket auftreten.

Zuletzt gesehen in Verbindung mit einem Draytek Vigor 130 als PPPoE-Modem an einer VDSL-100/40 Leitung.

Abhilfe: Der Management-Broadcast kann oft im Router abgeschaltet werden. Beim Draytek unter:

System Maintenance => Management => Device Management => [ ] Broadcast DSL status to router in LAN

Monitoring einer WatchGuard mit SNMP (hier. mit PRTG)

5 Comments

Die WatchGuard Fireboxen unterstützen SNMP – ein weitverbreitetes Protokoll, um Stati von Geräten abzufragen. In einer Monitoring-Software könnene diese Stati dann visualisiert werden und anhand entsprechender Schwellwerten zur Generierung von entsprechenden Alarmen genutzt werden. Ein Problem bei Monitoring ist jedoch meistens, daß die Setup- und Konfigurations-Zeiten für das Monitoring unterschätzt werden. Ein Monitoring kann nur so gut sein, wie es konfiguriert ist – und diese Konfiguration ist meistens sehr aufwändig.

 

Weiterlesen »

HTTPS-Deep-Inspection – Ausnahmen

Comment

Ist auf einer WatchGuard Firebox ein HTTPS-Proxy mit aktivierter Deep Inspection eingerichtet, muß man üblicherweise eine Liste mit Ausnahmen zu dieser Deep Inspection pflegen. Diese Ausnahmen sind notwendig, weil entweder die dahinterliegende Applikation ein Certificate Pinning durchführt oder weil das verwendete Protokoll eventuell Erweiterungen enthält, die vom Proxy nicht verstanden werden.

Beispiele für möglicherweise notwendige Ausnahmen sind:

SSLVPN

  • alle Zieladressen, zu denen ein SSLVPN aufgebaut werden soll

Banking/Elster

  • s-*.s-fints-pt-by.de (Sparkassenverbund)
  • hbci.postbank.de
  • *.commerzbank.com
  • *.elster.de (Finanzämter / Elster)

Skype

  • login.live.com
  • *.microsoft.com
  • *.*.microsoft.com
  • *.skype.com

Dropbox

  • *.dropbox.com

Diese Liste ist natürlich nicht vollständig, wird aber gerne um Ihre Anmerkungen erweitert.

 

Einrichten eines WLAN Hotspot mit User/Passwort Tickets

3 Comments

Ein weiteres, nicht unbedingt bekanntes, aber dennoch sehr schickes Feature der WatchGuard Fireboxen ist der WLAN Hotspot. Er kann verwendet werden, um ein Gäste-WLAN zu betreiben ohne dauerhafte Credentials ausgeben zu müssen. Auf der Firebox können Tickets mit unterschiedlichen Laufzeiten generiert werden, die beispielsweise 4h, 1 Tag oder 1 Woche gültig sind. Für die Generation der Tickets wird ein spezieller Account auf der Firebox verwendet, der keine Admin-Rechte haben muss, d.h. das Erstellen der Tickets kann sogar von den Mitarbeitern am Info-Point/Empfang/Rezeption etc.  erledigt werden.

Weiterlesen »

IPSec VPN WatchGuard <=> Android NCP VPN Client

Comment

Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow per IPSec an eine Watchguard. Verwendet wurde der NCP VPN Client, der derzeit im Store für 2,99 € zu erwerben ist. Er zeichnet sich gegenüber dem nativen Android IPSec Client durch eine viel größere Konfigurierbarkeit aus.

Mit den gleichen Einstellungen wie oben konnte sofort eine Verbindung hergestellt werden. Der NCP Client wurde hierbei bei den Phase 1 / Phase 2 Proposals auf “manual” gestellt und die entsprechenden Proposals wurden exakt eingegeben.

Weiterlesen »

Erweiterte Log-Auswertung mit graylog

1 Comment

graylog-dashboardWatchGuard bietet einen sehr leistungsstarken Logging- und Reporting-Server: den WatchGuard Dimension Server. Allerdings möchte man manchmal die Auswertungen noch etwas spezifischer zusammenbauen. Nachdem WatchGuard die Möglichkeit bietet, die Logs zusätzlich auf einen Syslog-Server zu schreiben, lag es nahe, dort anzusetzen. Auf der Suche nach einem Syslog-Server mit hübschen Auswertungen bin ich über graylog gestolpert. Graylog basiert auf einem Linux-Elasticsearch-Stack mit einem hübschen und leistungsfähigen Web-Frontend. Die Installation ist denkbar einfach, da es das ganze Paket vorkonfiguriert für alle möglichen Umgebungen gibt, beispielsweise EC2, OpenStack, Docker, als Chef, Puppet, Ansible, Vagrant-Script, natürlich als RPMs/DEBs und tarball, oder eben auch als OVA-Template (für das ich mich entschieden habe). Ich habe also eine VM aus dem Template installiert. Die Hardware-Anforderungen für den Start sind übersichtlich: 4 GB RAM und 20 GB HDD. (letzteres ist natürlich den eigenen Bedürfnissen anpassbar).

Weiterlesen »

SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren

2 Comments

could-not-find-csr-file

Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, dass der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.

Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der Key sollte das Gerät nicht verlassen).

Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?

Weiterlesen »

SIP-Registrierung mit Auerswald TK bei Telekom-All-IP

Comment

Letzte Woche hatte ich mit der SIP-Registrierung einer Auerswald TK Anlage an einem Telekom ALL-IP Anschluss zu tun.

  • Einrichtung einer Auerswald TK-Anlage (hier: COMpact 5000) hinter einer Watchguard
  • Telefonie mit einer Nummer eingerichtet, getestet, SIP / VOIP funktioniert.
  • von einem Tag auf den anderen funktioniert Telefonie nicht mehr.

Was war passiert:

  • bei der TK-Anlage wurde eine weitere Telefonnummer hinzugefügt, die sich ebenfalls per SIP registrieren sollte
  • (vermutlich ab diesem Zeitpunkt) ist keine Telefonie mehr möglich
  • Die SIP Fehlermeldung ist wie leider nicht sehr aussagekräftig: 400 BAD REQUEST

Nach einigem Suchen konnte das durch das entfernen des Häkchens SIP-Registrierung gemäß RFC 6140  gelöst werden.

auerswald-klein-markiert

Danach war eine registrierung sofort möglich.

Hintergrund: RFC-6140 beschreibt die (gleichzeitige) Registrierung mehrerer Telefonnummern bei einem SIP-Server. So wie es aussieht, unterstützt die Telekom dies nicht.

Benutzer und Gruppen auf der WatchGuard Firebox

Comment

Es gibt an der Watchguard 3 Stellen, an denen Sie Benutzer (und teilweise Gruppen) anlegen können.

in der WEB-UI:

1) SYSTEM => Users and Roles
hier werden die Administrativen Benutzer angelegt, die sich auf der Firewall einloggen können und Berechtigungen haben, z.B. Policies zu editieren, etc. Hier findet man unter anderem die Benutzer status und admin.

2) AUTHENTICATION => Servers
dort sind die verschiedenen möglichen Authentication Server gelistet, ein Authentication Server ist die “Firebox” selbst. “Server” steht in diesem Fall für “Dienst zur Verfügung stellen”. Wenn man in dieser Liste auf “Firebox” klickt, erscheinen die Benutzer in der Firebox-DB. Dort kann man sie auch editieren oder löschen.

3) AUTHENTICATION => Users and Groups
hier werden die Benutzer und Gruppen definiert, die (von den Authentication Servern zur Verfügung gestellt werden und) in Policies verwendet werden  sollen.  Hier werden auch die Benutzer aus 2) angezeigt, sind hier aber nicht editierbar.

Im Policy-Manager finden sich die Punkte wie folgt:

1) File => Manage Users and Roles

2) Setup => Authentication => Authentication Servers => Tab Firebox

3) Setup => Authentication => Authorized Users and Groups
auch hier kann man die Benutzer, die über 2) angelegt werden, nicht unter 3) bearbeiten oder löschen.

 

Die jeweiligen Punkte sind austauschbar, d.h. was unter Web-UI 2) angelegt wurde, kann man im Policy-Manager unter 2) auch bearbeiten und umgekehrt.

SIP Telefonie (Telekom All-IP) mit Fritzbox hinter einer Watchguard Firebox

2 Comments

Leider gibt es mit den SIP-Proxies vor allem an VDSL-100 Standorten manchmal Probleme, daß bei Telefonie das Audio nur in eine Richtung funktioniert hat. Ich habe hierzu im Netz etwas gefunden für das Zusammenspiel einer Juniper SSG5 mit einer Fritzbox und das entsprechende Setup nachgebaut.

Wir benötigen folgende Regeln:

  • keine SIP-Proxies auf der Watchguard, alles sind reine Packet Filter
  • Ausgehend: From Fritzbox to any-External tcp-udp (alle Ports) (also auch incl. STUN-Port)
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5060 + tcp 5060 (SIP). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp 5070  + tcp 5070 (SIP Alternativ). Achtung nur Paketfilter, kein Proxy!
  • Eingehend: From Any-External to SNAT-to-Fritzbox udp Portrange 7078-7097  (RTSP-Ports, Fritzbox-Spezifisch). Achtung nur Paketfilter, kein Proxy!

Dieses Setup läuft nun auch bei VDSL-100 Anschlüssen seit einigen Wochen problemfrei.