Technischer Blog Archive - Seite 28 von 42

Category Archives: Technischer Blog

BOVPN Tunnel nur auf Primary IP terminieren!

15. Juni 2012 Bernd Och 5 Comments

Ein Kunde berichtete über BOVPN Tunnel, die instabil laufen und häufig abbrechen. Hier folgender wichtige Hinweis: Als Gateway-Adresse darf in der BOVPN-Konfiguration nur die Primary IP eines External Interface verwendet werden – auf keinen Fall eine Secondary IP!Dieser Hinweis ist natürlich nur in einer Umgebung relevant, bei der auf dem/den External Interface(s) als Konfigurationsmethode “Static IP” gewählt ist, also die Kombination aus einer vom Internet Service Provider zugewiesenen IP-Adresse, Subnetzmaske und Default Gateway (typischerweise eine “Standleitung” mit vorgelagertem ISP-Router, z.B. Telekom Company Connect). In einem solchen Fall weist der Provider üblicherweise ein 8-er IP-Netz (/29) oder 16-er IP-Netz (/28) zu. Aus einem solchen IP-Subnetz können theoretisch alle verwendbaren IP-Adressen (5 respektive 13) dem Interface der WatchGuard zugewiesen werden. Hiervon ist nur eine unter Network > Configuration > Interfaces direkt eingetragen (das ist die Primary IP!), die anderen werden über die Registerkarte “Secondary” eingetragen. Jedoch darf eben nur genau die “Primary IP” als Gateway-IP in der/den BOVPN-Konfiguration(en) verwendet werden!!

WatchGuard XTM und Telekom VDSL

14. Juni 2012 Bernd Och 5 Comments

Mich erreichen zahlreiche Anfragen bezüglich des Betriebs einer WatchGuard XTM an einem VDSL Anschluss der Telekom. In einem früheren Post hatte ich bereits darauf hingewiesen, dass das Speedport 221 Modem ohne umständliche VLAN-Konfiguration direkt funktioniert, wenn auf der WatchGuard die üblichen PPPoE (V)DSL-Zugangsdaten eingetragen werden. Leider ist dieses Modem auf dem Markt nur noch gebraucht zu bekommen. Ein weiterer VDSL-Kunde hat mir nun berichtet, dass er eine WatchGuard XTM über einen Telekom Speedport W923v Router an VDSL 50 anschließen konnte. Dies ist die beschriebene Vorgehensweise: zunächst den W923v als Router einrichten und mit den PPPoE VDSL-Zugangsdaten versehen. Anschließend den W923v vom “Router” auf “Modem” umstellen, die VDSL-Zugangsdaten aber drin lassen! Auf der WatchGuard dann ebenfalls im Interface die PPPoE VDSL-Zugangsdaten eintragen! Vielleicht kann hier jemand diese Vorgehensweise bestätigen oder gerne auch andere Wege aufzeigen, wie eine WatchGuard XTM erfolgreich an einem VDSL-Anschluss betrieben werden kann.

Reboot / Einschaltproblem bei XTM 5

31. Januar 2012 Bernd Och 1 Comment

Ein Kunde hat berichtet, dass seine XTM 505 nach einem über den Firebox System Manager ausgelösten Reboot nicht wieder sauber hochgefahren ist. Auch ein Neustart über den Ein-/Aus-Taster am Gerät (wie bei einem PC, den man hart neu starten will: 6 Sekunden gedrückt halten) brachte keinen Erfolg: im LCD-Display waren nur ein paar unleserliche Zeichen zu sehen.
Nachdem jedoch das Stromkabel gezogen und nach ca. 1 Minute wieder eingesteckt wurde, ist die XTM 505 nach dem Einschalten wieder ganz normal hochgefahren – und hatte auch noch die zuletzt aktive Konfiguration!
WatchGuard hat hierzu auch einen offenen BUG. Offenbar zicken die Netzteile, die in einem gewissen Seriennummern-Bereich verbaut worden sind, bisweilen etwas herum… Also: bei seltsamen Verhalten der Hardware einfach mal komplett den Stromstecker ziehen… 😉

Neue XTM 33 wird nicht mehr warm

31. Januar 2012 Bernd Och Comment

Neu in der WatchGuard-Preisliste Januar 2012 sind die Modelle XTM 33 und XTM 33-W. Optisch gleichen die Geräte der XTM 2. Im Inneren arbeitet jedoch eine DEUTLICH leistungsfähigere Hardware mit einer schnelleren CPU und doppelt so viel Hauptspeicher (512 MB) wie bei einer XTM 2. Angeboten wird eine normale “wired version” XTM 33 – und eine Wireless Version XTM 33-W mit integriertem WLAN Accesspoint.
Auf der WatchGuard Conference 2012 in Neuss wurde eine XTM 33 für den WLAN-Zugang der Teilnehmer verwendet. Auch bei gleichzeitiger Nutzung durch ca. 30-40 User war kein Leistungseinbruch bei der Performance – und auch keine nennenswerte Erwärmung feststellbar! (Die XTM 2 Modelle werden im laufenden Betrieb teilweise recht warm. WatchGuard begründete dies bislang mit Hardware-Design-Gründen: die Metallunterseite der XTM 2 wird als passiver Kühlkörper mit verwendet).
Auch bei einer XTM 33 ist das XTM Pro Upgrade bereits im Lieferumfang enthalten. Jedoch wird es – anders als bei der XTM 330 – künftig keine Freischaltung der HA (Cluster) Funktionalität für die XTM 33 geben!
Die XTM 33 liegt preislich 10% unter der XTM 330.

XTM 330 soll HA (Cluster) fähig werden

31. Januar 2012 Bernd Och Comment

Die Watchguard XTM 330 wird ab Werk bereits mit dem XTM Pro Upgrade und den damit verbundenen Funktionserweiterungen wie Multi-WAN, Policy Based Routing, Dynamic Routing, QoS und der Maximalzahl der vorgesehenen 55 SSLVPN-User ausgeliefert. Bei den größeren Modellen ab XTM 5 aufwärts ist bei XTM Pro auch die Cluster-Fähigkeit (HA) in den Versionen Active/Active und Active/Passive enthalten.
Derzeit wird jedoch bei der XTM 330 kein HA (Cluster) unterstützt!
In einer der künftigen Softwareversionen soll jedoch die Clusterfähigkeit auch für die XTM 330 freigeschaltet werden!

Lauter Lüfter bei XTM 330 soll leiser werden

31. Januar 2012 Bernd Och 1 Comment

Das im Dezember 2011 erstmals ausgelieferte neue 19″ 1HE Modell WatchGuard XTM 330 überzeugt durch eine ausgewogene Kombination aus Dual-Core CPU und 1 GB Hauptspeicher.
Damit ist das Gerät künftig sicher die erste Wahl für kleine Unternehmen bis etwa 100 Mitarbeiter, die eine professionelle 19″ Hardware Firewall/VPN Appliance suchen, die auch in der Lage ist, alle verfügbaren WatchGuard Security Services (WebBlocker, spamBlocker, Gateway Antivirus, Intrusion Prevention Service, Reputation Enabled Defense und Application Control) performant abbilden zu können. Preislich liegt die XTM 330 genau 20% unter der XTM 505, wenn man berücksichtigt, dass das XTM Pro Upgrade bei der 330 bereits enthalten ist, aber bei der 505 separat dazu bestellt werden muss.
Während die XTM5 bereits temperaturgesteuerte Lüfter hat, die ein solches Gerät angenehm leise machen, laufen die Lüfter bei der XTM 330 derzeit ständig auf 100% und erzeugen einen hohen Geräuschpegel, der eigentlich nur in einem Serverraum erträglich ist… 🙂
Es soll jedoch demnächst ein Software-Update/Patch geben (BIOS-Update für die XTM 330), so dass auch bei diesem Modell die Temperatursteuerung funktioniert und die XTM 330 im Normalbetrieb deutlich leiser werden soll.

(Wert-)schöpferische Phase beendet…

31. Januar 2012 Bernd Och 2 Comments

Das schlechte Gewissen reist ständig mit. Seit Oktober 2011 habe ich jetzt hier auf dem Blog nichts mehr geschrieben. Begründen und entschuldigen kann ich das nur mit dem Hinweis auf die Vielzahl von WatchGuard-Projekten, die wir (BOC Computersysteme GmbH) im 4.Quartal 2011 umgesetzt haben. Knapp 200 neue WatchGuard-Boxen wurden alleine in diesen drei Monaten verkauft und großteils auch von uns installiert. Auf der WatchGuard Conference am 19.01.2012 in Neuss durfte ich dafür auch die Auszeichnung Best Performing Partner 2011 Central EMEA (Europe, Middle East and Africa) entgegen nehmen. Dazu kommen noch die Lizenzverkäufe (LiveSecurity Renewals und UTM Software Suite bzw. Security Services Verlängerungen) und die “ganz normalen” Wartungs-Dienstleistungen und Software-Migrationen, teilweise auch schon auf die neue Fireware XTM 11.5.1. Über die Erfahrungen hierbei werde ich nun in kürzerer Folge hier berichten… 🙂

X Core und X Peak e-series nicht direkt von v10.x auf v11.3.3 oder v11.3.4 updaten!

10. Oktober 2011 Bernd Och 1 Comment

Mit diesem Blog-Beitrag hatte ich bereits auf das Problem eines möglichen Verlusts der Konfiguration beim direkten Umstieg von Fireware v10.x auf Fireware XTM v11.3.3 und v11.3.4 hingewiesen. Der Hinweistext “Note: If you are upgrading from Fireware XTM OS v10.x, you must upgrade to Fireware XTM OS v11.3.2 before you upgrade to v11.3.4” im Software-Portal bestätigt nun also dieses Problem. Wenn Sie also auf einer X Core e-series (X550e, X750e, X1250e) oder einer X Peak e-series (X5500e, X6500e, X8500e, X8500e-F) die Migration von v10 auf v11 vorhaben, sollten Sie tunlichst den Zwischenschritt auf v11.3.2 mit in Ihren Upgrade-Pfad einbauen!

WSMMGR Lizenznummer derzeit nur per Support Incident

15. September 2011 Bernd Och Comment

Auch mehr als zwei Monate nach dem Umbau der WatchGuard-Webseite gibt es noch keine Möglichkeit, die Lizenznummer für den “WatchGuard System Manager” (bzw. besser gesagt: die “Management Server” Komponente, vgl. auch https://www.boc.de/watchguard-info-portal/watchguard-system-manager-vs-watchguard-management-server-2/) selbständig aus seinem LiveSecurity Account auzulesen wie das bis Anfang Juli möglich war.
Wer aktuell seine VPNMGR, WSMMGR und/oder WSMUPGRADE Lizenznummer(n) braucht und nicht bereits irgendwo dokumentiert hat, muss leider bei WatchGuard einen Support Incident aufmachen (per Web oder telefonisch) – und sich die entsprechenden Lizenznummer(n) von den WatchGuard-Kollegen händisch auslesen und übermitteln lassen…

Secondary IP nicht auf VLANs

15. September 2011 Bernd Och Comment

Ich musste aktuell in einem Projekt feststellen, dass Secondary IPs nur auf physikalischen Interfaces konfiguriert werden können, nicht aber auf VLANs. Ich konfiguriere Secondary IPs z.B. sehr gerne auf External Interfaces, um damit mehrere (oder alle) vom Provider zugewiesenen externen IP-Adressen auf einem externem Interface verfügbar zu machen, so dass diese für eingehenden Datenverkehr als Basis für einen SNAT-Eintrag (Statisches NAT oder Server Load Balancing) verwendet werden können.
In dem angesprochenen Projekt musste das neu hinzu kommende externe Interface aber auf einem VLAN-Interface konfiguriert werden. Hier konnte ich die weiteren IPs nur auf dem Weg über 1-to-1-NAT Einträge nachträglich verfügbar machen, was aber natürlich deutlich weniger flexibel ist wie die typischen SNAT-Einträge, die z.B. nur einen bestimmten Port einer IP-Adresse zu einem bestimmten internen Server weiterleiten…

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

BOC IT-Security GmbH