Beschreibung | Download | Dokumentation | |
---|---|---|---|
ZIP | Beschreibung Update 7.2-2-1 (64Bit) Erschienen am: 02.05.25 Dateigröße: 6,7 MB | Download | Dokumentation |
ZIP | Beschreibung Update 7.2-1-0 (64Bit) Erschienen am: 15.11.2023 Dateigröße: 8,6 MB | Download | Dokumentation |
Geben Sie den gewünschten Suchbegriff in das untenstehende Feld ein und drücken Sie auf "Suche" um die Suche zu starten.
Beschreibung | Download | Dokumentation | |
---|---|---|---|
ZIP | Beschreibung Update 7.2-2-1 (64Bit) Erschienen am: 02.05.25 Dateigröße: 6,7 MB | Download | Dokumentation |
ZIP | Beschreibung Update 7.2-1-0 (64Bit) Erschienen am: 15.11.2023 Dateigröße: 8,6 MB | Download | Dokumentation |
Beschreibung | Download | Dokumentation | |
---|---|---|---|
ZIP | Beschreibung Kaspersky Antivirus | Download | Dokumentation |
ZIP | Beschreibung Avira Antivirus | Download | Dokumentation |
ZIP | Beschreibung WithSecure | Download | Dokumentation |
Beschreibung | Download | Dokumentation | |
---|---|---|---|
ZIP | Beschreibung SX-GATE | Download | Dokumentation |
Beschreibung | Download | Dokumentation | |
---|---|---|---|
ZIP | Beschreibung SX-GATE | Download | Dokumentation |
Unter Windows 10 (auch 8 und 8.1) kann es zu Problemen bei der Verwendung des SecureUSB-Sticks kommen. Aufgrund der Energiesparfunktionen des USB-Controllers wird die RDP-Verbindung immer wieder unterbrochen.
Um das Problem zu beheben, beenden Sie bitte die Anwendung und ersetzen Sie die Dateien lib01.dll und lib02.dll im Hauptverzeichnis des SecureUSB-Sticks mit einer neuen Version
Einzeldownload:
lib01.dll
lib02.dll
Download als Zip-Archiv:
sx-gate-secure-usb-stick-hotfix-win10.zip
Die Aktualisierung der DLL ist nur für ältere Versionen der SecureUSB-Software erforderlich. Ab der Version 2.30 ist die neue DLL bereits enthalten.
Alternativ können Sie auch ein die gesamte SecureUSB-Software aktualisieren. Dies ist aber nur in Ausnahmefällen erforderlich. Sie können die aktuelle SecureUSB-Software unter dem folgenden Link herunterladen: Downloads – SX-GATE
Betrifft SX-GATEs mit einer Softwareversion bis 6.0-3-4.
Der SX-GATE SPAM-Filter verwendet, bei entsprechender Einstellung, die Abusive Hosts Blocking List (http://ahbl.org/), zur Bewertung von SPAM-E-Mails. Dieser Service ist ab dem 01.01.2015 Offline.
Innerhalb der SX-GATE Konfiguration ist Verwendung dieses Service statisch hinterlegt und wird weiterhin zur SPAM-Bewertung herangezogen. In der Konsequenz werden alle geprüften E-Mails mit einem permanenten Punktaufschlag versehen. Dabei spielt es keine Rolle, ob es sich tatsächlich um eine SPAM-E-Mail handelt oder nicht. Die Folge ist eine höhere SPAM-Wahrscheinlichkeit die, je nach eingerichtetem Schwellwert, zum False-Positive führen kann.
Lösung:
Es wird im Rahmen der Softwareupdates eine Korrektur bereitgestellt die diesen Dienst bei der SPAM-Bewertung nicht mehr verwendet. Vorab können Sie die „Falschbewertung“ der E-Mails durch das Hinzufügen der folgenden benutzerdefinierten SPAM-Filterrregel korrigieren:
Dynamisches DNS bietet eine gute Möglichkeit, das eigene Firmennetzwerk auch bei einem Internetschluss mit ständig wechselnder IP-Adresse immer zu erreichen. Anbieter für einen Dynamischen-DNS-Service gibt es sehr viele. Einige davon sind kostenpflichtig und andere sind kostenlos. Da sich immer wieder Anbieter dazu entscheiden den eigenen Service nur noch kostenpflichtig anzubieten, sind die Nutzer meist gezwungen diesen Weg mitzugehen.
Wir haben 3 alternative Anbieter zusammengestellt, die einen kostenlosen Dynamischen-DNS-Service anbieten und die durch SX-GATE unterstützt werden.
Anbieter | No-IP |
---|---|
Webadresse | http://www.noip.com/ |
Name des Angebots | Free DNS |
Protokoll in der SX-GATE-Konfiguration | dyndns |
Updateserver des Anbieters | dynupdate.no-ip.com |
Anbieter | Selfhost |
---|---|
Webadresse | http://www.selfhost.de/ |
Name des Angebots | Selfhost free |
Protokoll in der SX-GATE-Konfiguration | dyndns |
Updateserver des Anbieters | carol.selfhost.de |
Anbieter | TwoDNS |
---|---|
Webadresse | http://www.twodns.de/ |
Name des Angebots | TwoDNS |
Protokoll in der SX-GATE-Konfiguration | dyndns |
Updateserver des Anbieters | update.twodns.de |
Dieses Verhalten betrifft ausschließlich Softwareversion 5.2 oder älter. Hier werden die Zugangsdaten in einem kleinen Pop-up-Fenster vom Webbrowser abgefragt.
Bitte prüfen Sie das vom Webbrowser angezeigte Anmeldefenster genau. Wird hier nach den Zugangsdaten für den Bereich (Realm) »Administration« oder für den Bereich »License-Key …« verlangt? In der Regel ist letzteres der Fall. Der Zugriff auf die Konfigurationsoberfläche ist erst mit einem gültigen Lizenzschlüssel möglich.
Geben Sie den Lizenzschlüssel als Benutzernamen im Anmeldefenster an. Das Kennwort bleibt leer. Wenn Sie einen ungültigen Schlüssel eingeben, erscheint erneut die Anmeldung für den Bereich »License-Key …«. Bei einem korrekt eingegebenen Lizenzschlüssel erscheint ein weiteres Anmeldefenster. Jetzt wird nach den Zugangsdaten für den Bereich »Administration« gefragt.
Sie können sich nun wieder wie gewohnt als Benutzer (z.B. »admin«) anmelden.
Wenn Sie den Lizenzschlüssel kopieren, achten Sie darauf, keine Leerzeichen am Anfang oder am Ende mitzukopieren.
Falls Sie über keinen gültigen Lizenzschlüssel verfügen, setzen Sie sich bitte mit Ihrem Fachhändler in Verbindung. Teilen Sie ihm die im Anmeldefenster angezeigte ID mit sowie – falls bekannt – die Support-IP-Adresse des SX-GATE mit. Die Support-IP-Adresse beginnt immer mit »172.18.___.___«.
Die ID kann sowohl die Ziffer »0« als auch den Buchstaben »O« enthalten. Bitte verwechseln Sie diese beiden Zeichen nicht, da Sie sonst einen ungültigen Lizenzschlüssel erhalten.
Falls Sie noch Softwareversion 5.x einsetzen, könnte der Punkt Das »admin«-Kennwort wird nicht mehr akzeptiert relevant sein.
Sollte der Zugriff unmittelbar nach einer Konfigurationsänderung verloren gegangen sein, haben Sie sich möglicherweise von der Administrationsoberfläche ausgesperrt. Insbesondere Änderungen in den Bereichen Firewall und Web-Proxy können dies verursachen. Wurde die Konfiguration nicht verändert, könnte ein Problem mit dem Web-Proxy vorliegen.
Prüfen Sie bitte zunächst die Proxy-Einstellungen Ihres Webbrowsers. Üblicherweise erfolgt der Internet-Zugriff über den SX-GATE Web-Proxy auf Port 8080. Zumindest auf dem Administratoren-PC sollte in den Proxy-Einstellungen des Webbrowsers eine Ausnahme für die IP-Adresse bzw. den DNS-Namen des SX-GATE konfiguriert sein, sodass der Zugriff auf die Administrationsoberfläche direkt erfolgt. Eventuelle Probleme mit dem Web-Proxy beeinträchtigen so die Erreichbarkeit der Administrationsoberfläche nicht. Passen Sie bitte die Proxy-Einstellungen des Webbrowsers entsprechend an bzw. schalten Sie vorübergehend auf direkte Kommunikation. Versuchen Sie nun erneut auf die Oberfläche zuzugreifen.
Da die Firewall-Konfiguration je Schnittstelle vorgenommen wird, besteht die Möglichkeit, dass der Zugriff über andere Schnittstellen noch möglich ist (z.B. VPN-Verbindung oder RAS-Einwahl). Möglicherweise ist auch ein Fernwartungszugang für Ihren Fachhändler oder für XnetSolutions eingerichtet.
Als letzte Alternative bleibt der Zugriff auf die Administrationsoberfläche über die Konsole.
Schließen Sie dazu bitte Monitor und Tastatur an. Loggen Sie sich dann bitte als Benutzer »admin« ein. Über den Befehl »setup« starten Sie einen textbasierenden Webbrowser Lynx mit dessen Hilfe Sie auf das gesamte Menü zugreifen können. Zunächst müssen Sie sich jedoch nochmals anmelden. Zur Navigation verwenden Sie bitte die Pfeiltasten sowie die Eingabetaste. Mit der Tastenkombination »Strg-C« können Sie das Programm jederzeit verlassen. Mit »exit« melden Sie sich schließlich von der Konsole ab.
Diese Fehlermeldung kann auftreten, wenn das System nicht ordnungsgemäß heruntergefahren wurde (z.B. wegen eines Stromausfalles) oder ein Hardware-Schaden vorliegt.
Werden bei der Überprüfung des Dateisystems Unstimmigkeiten gefunden, so werden diese weitgehend automatisch korrigiert. Nur bei kritischen Fehlern ist ein manueller Eingriff erforderlich. Diese werden durch folgende Fehlermeldung angezeigt:
*** An error occurred during the file system check.
*** Dropping you to a shell; the system will reboot
*** when you leave the shell.
Give root password for maintenance
Werden auf Ihrem SX-GATE unvermittelt Dienste beendet, so dass z.B. Surfen im Internet oder Mail-Versand nicht mehr möglich sind?
Ursache kann zu wenig Hauptspeicher sein. Bitte prüfen Sie im Menü »Statistiken > System-Last > Speicher« ob für den Auslagerungsspeicher (blauer Bereich) mehr als 50 % in Verwendung sind.
Ist dies der Fall, so führt vermutlich Speichermangel zu den Problemen. Zunächst einmal sollten Sie nun sicherstellen, dass das System auf dem aktuellsten Stand ist. Möglicherweise wurde das Problem durch einen mittlerweile beseitigten Fehler verursacht. Hilft dies nicht, muss ggf. Speicher nachgerüstet werden. Bei älteren Geräten bietet es sich an, gleich die komplette Hardware zu aktualisieren. Ihr SX-GATE Fachhändler hält interessante Update-Angebote für Sie bereit.
Da sich meist schlecht abschätzen lässt, welche Funktionen nun alle eingeschränkt sind, empfiehlt sich ein Neustart des Systems.
Sollten Sie ein Update installiert haben, bitte unbedingt nach dem Update noch mind. 5 Minuten warten bevor das System neu gestartet wird!
In diesem Artikel ist zusammengefasst, worauf Sie für eine effektive SPAM-Abwehr achten sollten. Ein entscheidender Unterschied ist dabei, ob SX-GATE E-Mails von einem POP-Server beim Provider abholen muss oder ob eingehende E-Mails per SMTP angeliefert werden.
Der Provider sollte E-Mails nur für bekannte Empfänger-Adressen annehmen. Werden E-Mails an unbekannte Adressen gleich beim Provider abgewiesen, reduziert dies das SPAM-Aufkommen merklich.
Sind diese unzureichend, stellen Sie um auf direkte Zustellung per SMTP. SX-GATE benötigt dazu eine feste Internet-IP-Adresse.
Eine längere Unterbrechung (z.B. über Nacht oder über das Wochenende) führt zu entsprechendem Rückstau und erhöhter Systembelastung.
Als letzte Instanz der SPAM-Abwehr fungiert der SPAM-Filter. Entscheidend ist hier eine sinnvolle Auswahl der Optionen. Aktivieren Sie alle Echtzeitverfahren, insbesondere die DNS-basierenden Listen, Razor2 und den Bayes-Filter. Wählen Sie einen sinnvollen Grenzwert, ab dem eine Mail als SPAM-verdächtig markiert wird (zwischen 3 und 5 Punkte).
Backup-Server werden häufig vom Provider betrieben und bieten oft nur unzureichende Anti-SPAM Maßnahmen. Bestimmte Anti-SPAM Maßnahmen, die SX-GATE anbietet, werden durch einen Backup-Server sogar gänzlich unwirksam. Viele SPAM-Versender wissen das und senden SPAM daher bevorzugt über die Backup-Server.
SX-GATE sollte E-Mails nur für bekannte Empfänger-Adressen annehmen. Werden E-Mails an unbekannte Adressen gleich abgewiesen, reduziert dies das SPAM-Aufkommen merklich.
Die Überprüfung, ob eine Empfänger-Adresse existiert, ist selbst dann möglich, wenn SX-GATE alle eingehenden E-Mails an einen internen E-Mail-Server weiterleitet. SX-GATE kann die Existenz des Empfängers prüfen, bevor die E-Mail angenommen wird.
Viele unerwünschten E-Mails fallen bereits durch bestimmte Eigenheiten auf, noch bevor der eigentliche Inhalt der E-Mail übermittelt wird. Dazu gehört neben DNS basierten Tests auch die Überprüfung, ob bei der SMTP-Kommunikation gewisse Mindeststandards eingehalten werden.
Greylisting ist nach wie vor ein äußerst wirkungsvolles Verfahren gegen SPAM. Da insbesondere in der Einführungsphase die E-Mail-Kommunikation verzögert wird, muss die Einführung vorbereitet werden. Empfänger-Adressen, bei denen ein zeitnaher Empfang entscheidend ist (z.B. Support), sollten vom Greylisting ausgenommen werden.
Als letzte Instanz der SPAM-Abwehr fungiert der SPAM-Filter. Entscheidend ist hier eine sinnvolle Auswahl der Optionen. Aktivieren Sie alle Echtzeitverfahren, insbesondere die DNS-basierenden Listen, Razor2 und den Bayes-Filter. Wählen Sie einen sinnvollen Grenzwert, ab dem eine E-Mail als SPAM-verdächtig markiert wird (zwischen 3 und 5 Punkte).
In der Grundeinstellung verhindert SX-GATE die direkte Kommunikation von Rechnern im LAN mit Rechnern im Internet vollständig! Die Verbindung muss über Proxys erfolgen.
Rechner im LAN sollten so weit als möglich die Proxy-Dienste des SX-GATE zur Kommunikation mit dem Internet verwenden:
Konfigurieren Sie den Browser so, dass dieser den Web-Proxy des SX-GATE auf Port 8080 verwendet. Internet-Zugriff über die Protokolle HTTP, HTTPS und FTP (nur download) sind auf diese Weise möglich.
E-Mail-Clients und Mail-Server im LAN sollten ausgehende E-Mails grundsätzlich den SMTP-Relay-Server des SX-GATE für ausgehende E-Mails nutzen
Schutzmechanismen und Funktionen des SX-GATE wie z.B. E-Mail-Virenscan und SPAM-Filter sind nur dann aktiv, wenn eingehende E-Mails den Mail-Server des SX-GATE passieren. Konfigurieren Sie daher den E-Mail-Empfang mithilfe des entsprechenden SX-GATE Konfigurations-Assistenten. Der direkte Zugriff auf POP3-Server im Internet sollte für Rechner im LAN nicht erlaubt werden.
Sofern es Mitarbeitern erlaubt sein soll, auf private Mail-Konten im Internet zuzugreifen, kann der POP3- und SMTP-Proxy als transparenter Proxy aktiviert werden. Ein- und ausgehende Mails können dabei einer Virenprüfung unterzogen werden.
Rechner im LAN sollten zur Namens-Auflösung direkt oder indirekt den DNS-Forwarder des SX-GATE nutzen. Bei der indirekten Konfiguration nutzen alle Client-Computer im LAN einen DNS-Server im LAN (z.B. Windows Domain-Controller), dieser wiederum nutzt den DNS-Forwarder des SX-GATE. Der direkte Zugriff auf DNS-Server im Internet sollte Rechnern im LAN nicht gestattet werden.
In der Regel erhalten Sie von Ihrem Provider einen Router zu Ihrem VDSL-Anschluss. Zwar können Sie SX-GATE auch über Router mit dem Internet verbinden, dies macht jedoch NAT erforderlich, was insbesondere mit IPSec zu Problemen führen kann. Wir empfehlen daher, ein VDSL-Modem einzusetzen bzw. den Router in den Modem-Betrieb (Bridged Mode) umzustellen.
Die VLAN ID ist bei manchen Modems auch im Bridged Mode konfigurierbar und darf somit entweder nur am Modem oder am SX-GATE gesetzt werden (z.B. Zyxel VMG 1312-B).
Folgende Produkte sind bei unseren Kunden im Einsatz:
Folgende Geräte mit grundlegendem VDSL Support sind uns bekannt, allerdings liegen uns keine oder nur unzureichende Erfahrungswerte vor. Für Rückmeldungen sind wir dankbar.
Mit folgendem Produkt kann im Modem-Betrieb keine VDSL-Verbindung hergestellt werden:
Skype ist ein proprietäres, auf Peer-To-Peer (P2P) Techniken basierendes, Voice-Over-IP (VoIP) Protokoll. Zur Kommunikation wird eine Unmenge von offenen Ports benötigt – unter Sicherheitsaspekten ein Albtraum. Für den professionellen Einsatz von VoIP würden wir daher eher zu IP-Telefonie mit SIP raten. SIP ist ein standardisiertes, offenes VoIP-Protokoll, das mithilfe des SX-GATE SIP-Proxys problemlos an das Internet angebunden werden kann.
Aufgrund der Protokollstruktur von Skype werden bei der Anmeldung am Skype-Netz und während der Kommunikation im Skype-Netz eine Vielzahl von Ports innerhalb sehr kurzer Zeitabstände geöffnet. Dies führt zu einem Ansprechen der Portscan-Detection des SX-GATE und damit zum vorübergehenden Verwerfen neuer Verbindungen. Da der Skype-Client ständig aufs Neue versucht eine Verbindung zu etablieren, können vom zugehörigen Rechner aus dauerhaft keine Verbindungen ins Internet mehr hergestellt werden. Dasselbe Verhalten zeigt sich übrigens selbst dann, wenn ein HTTP(S)-Proxy in Skype konfiguriert ist. Nur über den SX-GATE SOCKS-Proxy können Skype-Verbindungen problemlos hergestellt werden.
Zunächst gilt es abzuwägen, ob eine benutzerabhängig Konfiguration der Regeln im SOCKS-Proxy erfolgen soll oder ob ausschließlich bezogen auf die IP-Adresse dem gesamten Netzwerk bzw. einzelnen Rechnern daraus der Skype-Zugriff erlaubt wird.
Globale SOCKS-Regeln gelten für alle Benutzer gleichermaßen ohne, dass sich diese anmelden müssten. Die Konfiguration erfolgt unter »Module > Weitere Proxys > SOCKS-Proxy«.
Benutzerabhängige Regeln können vom jeweiligen Benutzer erst nach erfolgreicher Authentifizierung genutzt werden. Jedem SX-GATE Benutzer, der Mitglied der Gruppe »system-proxy« ist, werden eigene SOCKS-Regeln zugeordnet. Die Regeln für den Skype-Zugriff müssen daher bei jedem der gewünschten Benutzer eingetragen werden. Konfiguriert wird dies unter »System > Benutzerverwaltung > Benutzer«: Wählen Sie hier den jeweiligen Benutzer aus und wechseln Sie auf den Reiter (Tab) »SOCKS-Proxy« um die Regeln zu konfigurieren.
Aufgrund der Beschaffenheit des Skype-Netzwerks und -Protokolls müssen die Regeln für die Anbindung des Skype-Clients über den SOCKS-Proxy sehr allgemein abgefasst werden. Es ist notwendig sowohl für UDP als auch für TCP analoge Regeln einzurichten. Als einzige Einschränkung der Regeln kann die Quell-IP-Adresse des Rechners mit dem Skype-Client eingetragen werden. Da Skype keine bestimmten Port-Bereiche oder Server nutzt, sind keine weiteren Beschränkungen möglich. Die Regeln können entweder als benutzerspezifische oder globale Regeln eingetragen werden.
Im Skype-Client selbst muss lediglich unter »Aktionen > Optionen > Verbindung« der SOCKS-Proxy durch Auswahl des Proxy-Protokolls SOCKS5 aktiviert werden. Als »Host« wird die IP-Adresse des SX-GATE konfiguriert. Der SOCKS-Proxy des SX-GATE ist auf den Port 1080 gebunden. Dieser Port wird in der Konfiguration des Skype-Clients ebenso eingetragen. Wurden im SX-GATE benutzerabhängige SOCKS-Regeln konfiguriert, so muss zudem die Benutzeranmeldung im Skype-Client aktiviert werden.
Nachdem alle Einstellungen übernommen wurden, kann die Anmeldung am Skype-Netzwerk erfolgen. Jegliche Kommunikation erfolgt nun über den SOCKS-Proxy.
Ab SX-GATE Softwareversion 7.0-3.0 können auf Geräten, für die ein Pflegevertrag abgeschlossen wurde Zertifikate von Let’s Encrypt verwendet werden. Diese Zertifikate werden von allen gängigen Browsern unterstützt und sind kostenlos. Selbst Multi-Domain-Zertifikate, also Zertifikate, die für mehrere Servernamen gültig sind (z.B. „www.example.com“ und „www.example.de“), sind kostenlos.
Das Besondere bei der Beantragung von Let’s Encrypt-Zertifikaten ist, dass die Zertifikate vollautomatisch ausgestellt und erneuert werden. Das dabei eingesetzte Verfahren nennt sich „Automatic Certificate Management Environment“ (ACME). Ein zentraler Punkt dieses Verfahrens ist die Verifizierung des Antragstellers. Um Missbrauch zu verhindern, muss der Antragsteller nachweisen, dass er die Kontrolle über die Server besitzt, für die das Zertifikat beantragt wird.
SX-GATE unterstützt ausschließlich die Verifizierung über HTTP.
Dabei muss unter den beantragten Servernamen ein Web-Server erreichbar sein, der eine Datei mit definiertem Inhalt bereitstellt. Daraus ergibt sich, dass Let’s Encrypt-Zertifikate nicht für ausschließlich interne Server genutzt werden können.
Es gibt noch weitere wichtige Besonderheiten und Einschränkungen:
Die HTTP-Verifizierung wird mithilfe des Reverse-Proxys durchgeführt. Dieser muss aus dem Internet über Port 80 angesprochen werden können. Konfigurieren Sie den Reverse-Proxy wie folgt:
Jetzt können Sie das Let’s Encrypt-Zertifikat ausstellen.
Jeden Montag morgen wird geprüft, ob die Restlaufzeit des Zertifikats weniger als 30 Tage beträgt. Falls ja, wird das Zertifikat automatisch erneuert.
Auf Cluster-Systemen wird das Zertifikat wie üblich über den Backup-Cluster-Knoten abgerufen. Verifizierungsanfragen die am Reverse-Proxy des Master-Cluster-Knotens ankommen werden automatisch an den Backup-Cluster-Knoten weitergeleitet. Damit neue Zertifikate automatisch vom Backup-Cluster-Knoten auf den Master-Cluster-Knoten übertragen werden, muss die automatische Synchronisierung der Konfiguration aktiviert sein.
Innerhalb von IMAP-Postfächern können im Gegensatz zu POP3-Konten auch Ordnerstrukturen angelegt werden.
Für das Anlegen dieser Ordnerstrukturen gelten bestimmte Regeln. Es sind grundsätzlich zwei Ordnertypen zu unterscheiden.
Ordner dieses Typs können ausschließlich Unterordner enthalten. Das zusätzliche Ablegen von E-Mails innerhalb dieses Ordners ist nicht möglich.
Ordner dieses Typs können ausschließlich E-Mails enthalten. Das zusätzliche Anlegen von weiteren Unterordnern ist nicht möglich.
Für die Verwaltung der Ordnerstruktur verwenden Sie das E-Mail-Programm „Thunderbird“ oder ein alternatives E-Mail-Programm, welches mit IMAP-Ordnern und Postfächern umgehen kann.
Bei der Verwendung von Outlook ist mit Einschränkungen bei der Erzeugung der entsprechenden Ordnertypen zu rechnen. Tests haben ergeben, dass aktuelle Outlook-Versionen keine IMAP-Ordner erstellen können die Unterordner enthalten sollen und innerhalb des IMAP-Postfachs auf dem IMAP-Server gespeichert werden. Hier werden diese Ordner stattdessen auf dem lokalen Rechner abgelegt.
Starten Sie „Thunderbird“ und verzweigen Sie innerhalb der Menüstruktur in die Konto-Einstellungen. Wählen Sie das Menü „Extras“.
Wählen Sie „Konten-Einstellungen“.
In der linken Spalte finden Sie die angelegten IMAP-Konten und ihre Einstellungen. Wählen Sie das jeweilige Konto aus und verzweigen Sie in die Sektion „Server-Einstellungen“.
Wählen Sie dann im Detailbereich (rechts) ebenfalls in der Sektion „Server-Einstellungen“ die Schaltfläche „Erweitert“.
Deaktivieren Sie die Option „Server unterstützt Ordner, die Unterordner und Nachrichten enthalten“.
Speichern Sie die Änderung ab und verlassen Sie das Menü „Konten-Einstellungen“ wieder.
Jetzt können Sie innerhalb des IMAP-Postfachs Ordnerstrukturen mit beiden Ordnertypen anlegen.
Wählen Sie das IMAP-Postfach aus und klicken Sie mit der rechten Maustaste auf dem Namen des IMAP-Postfachs. Wählen Sie im folgenden Dialog „Neuer Ordner“.
Geben Sie im Dialog den Namen des neuen Ordners an. Sie können alternativ auswählen, welches der übergeordnete Ordner sein soll.
Wichtig beim Anlegen eines neuen Ordners ist der Ordnertyp. Wenn Sie einen Ordner anlegen möchten, der seinerseits nur Unterordner enthält, dann wählen Sie den Typ „Nur Ordner“. Sie können innerhalb dieses Ordners dann ausschließlich Unterordner erzeugen. E-Mails können Sie hier nicht ablegen.
Diese Auswahlmöglichkeit der Ordnertypen erhalten Sie erst durch das Deaktivieren der Option „Server unterstützt Ordner, die Unterordner und Nachrichten enthalten“, beschrieben weiter vorn in dieser Anleitung. Anderenfalls können Sie nur Ordner anlegen die E-Mails enthalten. Eine Ordnerstruktur können Sie dann nicht anlegen.
Sie haben jetzt einen Ordner angelegt, der seinerseits Unterordner enthalten kann.
Wir Erzeugen uns als Beispiel eine kleine Ordnerstruktur. Legen Sie einen weiteren Unterordner innerhalb des zuvor angelegten Ordners an.
Vergeben Sie als Namen „2015“ für Angebot aus dem Jahr 2015. Wählen Sie auch hier als Ordnertyp „Nur Ordner“. Wir werden gleich einen weiteren Unterordner erzeugen der dann die eigentlichen E-Mails enthält.
Nachdem wir eine kleine Ordnerstruktur und Unterordnern erzeugt haben werden wir zu Schluss einen Ordner erzeugen der unsere eigentlichen E-Mails enthält.
Erzeugen Sie nun einen Unterordner von Typ „Neue Nachrichten“.
Sie sehen jetzt die angelegte Ordnerstruktur. Innerhalb von „Thunderbird“ können Sie sehr schön an der Farbe und dem Schriftgrad der Ordner erkennen, um welchen Ordnertyp es sich im Einzelnen handelt. Ordner die E-Mails enthalten können haben schwarze Schrift und sind nicht kursiv geschrieben.
Sie haben auch die Möglichkeit via „Drag & Drop“ E-Mails und/oder ganze Ordner mit der Maus zwischen den entsprechenden Ordnern zu verschieben.
Hier sehen Sie das Ergebnis dieser Operation.
Das Verschieben ist natürlich auch nur für einzelne E-Mails möglich.
Hier sehen Sie die Darstellung in Outlook.
Wundern Sie sich bitte nicht, wenn Outlook etwas länger benötigt, um die angelegten Ordner und Unterordner anzuzeigen. Es gibt bei der Verwendung von Outlook ebenfalls einige Einschränkungen beim Erzeugen von Ordnern. Dem Autor dieser Anleitung war es nicht möglich mit Outlook Ordner zu erzeugen, die ihrerseits Unterordner enthalten konnten. Möglicherweise handelt es sich um eine Einschränkung dieses Produkts. Eine bestehende Ordnerstruktur können Sie aber anzeigen und auch E-Mails ablegen und verschieben. Wenn Sie alle Möglichkeiten nutzen möchten, dann sein Ihnen „Thunderbird“ als E-Mail-Programm empfohlen. Es gibt natürlich noch weitere E-Mail-Programme die ebenfalls gut mit IMAP-Postfächern umgehen können.
Die im SX-GATE integrierte CA wird in erster Linie dazu genutzt, Zertifikate zur Authentifizierung von IPSec-VPN, OpenVPN oder Reverse-Proxy Verbindungen auszustellen. Läuft die CA ab, werden auch alle von ihr ausgestellten Zertifikate ungültig.
Wie jedes Zertifikat hat auch ein CA-Zertifikat eine Gültigkeitsdauer. Im SX-GATE betrug die Gültigkeitsdauer von CA-Zertifikaten die vor Version 6.0-1.6 erstellt wurden 10 Jahre. Die Begrenzung auf 10 Jahre war sinnvoll, da es sich um 2048 Bit Schlüssel handelte und Prognosen zu deren Sicherheit in unseren Augen keine längere Nutzungsdauer zuließen. Mittlerweile werden auch größere Schlüssel weitgehend unterstützt, sodass wir dazu übergegangen sind, CA Zertifikate per Default mit 4096 Bit Schlüsseln und einer Gültigkeitsdauer von 20 Jahren zu erstellen.
Dieser Artikel soll aufzeigen, was zu tun ist, wenn das CA-Zertifikat abläuft. Abhängig von der Anzahl der betroffenen Systeme kann der Wechsel aller Zertifikate natürlich mit deutlichem Aufwand verbunden sein. Ab Version 6.0-3.0 haben wir deshalb Funktionen eingebaut, die eine weitestgehend unterbrechungsfreie Migration über einen längeren Zeitraum hinweg ermöglichen.
Sind nur sehr wenige Zertifikate in Verwendung und ist eine Unterbrechung des Nutzbetriebes vertretbar, können Sie wie folgt vorgehen:
Insbesondere größere Installationen können in der Regel nicht in kürzester Zeit umgestellt werden. Mit der nachfolgend beschriebenen Methode können Sie die Umstellung schon Monate vor Ablauf des CA-Zertifikats beginnen. Unterbrechungen beschränken sich dabei auf den Neuaufbau von Verbindungen.
Sollte von der lokalen CA noch keine CRL erstellt worden sein (siehe vorheriger Punkt), kann es sinnvoll sein, dies jetzt nachzuholen. Sollte es in der Phase der CA-Umstellung notwendig werden, ein von der neuen CA ausgestelltes Zertifikat zu sperren (beispielsweise weil ein Mitarbeiter die Firma verlässt oder ein Gerät gestohlen wird), muss im Reverse-Proxy auch eine CRL der alten CA hinterlegt werden. Sie benötigen dazu jedoch mindestens SX-GATE-Version 6.0-4.0. Legen Sie bei Bedarf die CRL im Menü „System > Zertifikate > Root-CA“ auf dem Reiter (Tab) „CA Sperrliste“ an und exportieren Sie diese (*.crl-Datei).
Unabhängig davon, ob Sie eine CRL erstellt haben oder nicht:
Damit ist sichergestellt, dass sich nach der Erstellung des neuen CA-Zertifikats auch Clients mit Zertifikaten der alten CA verbinden können.
War keine Zertifikats-Sperrliste (CRL) der alten CA angelegt, können Sie diesen Abschnitt überspringen. Sie benötigen mindestens SX-GATE-Version 6.0-4.0. Aktualisieren Sie ggf. das System.
Zu diesem Zeitpunkt ist sichergestellt, dass sich VPN- und Reverse-Proxy-Verbindungen sowohl mit Zertifikaten der alten, als auch der neuen CA herstellen lassen. Sie können nun nach und nach alle Systeme umstellen, indem Sie unter „System > Zertifikate > Zertifikate“ neue Zertifikate und Installationspakete erstellen, ohne jedoch das eigene VPN-Server-Zertifikat mit Namen „VPN“ neu zu erstellen. Insbesondere bei Server-Zertifikaten sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind.
Die Installationspakete enthalten sowohl das neue als auch das alte CA-Zertifikat. Das alte Zertifikat wird jedoch erst ab SATELLITE Version 2.3.1 erkannt und installiert. Aktualisieren Sie Ihren SATELLITE falls erforderlich.
Beim Import eines von der neuen CA ausgestellten Zertfifikats wird angeboten, die vertrauenswürdige CA zu aktualisieren. Führen Sie diesen Schritt unbedingt durch. Dabei erfolgt wiederum die Rückfrage, ob alte und neue Version des CA-Zertifikats beizubehalten sind, sofern die Zertifikatsdaten (Distinguished Name) identisch sind. Auch dem müssen Sie zustimmen.
Sind mehrere SX-GATEs auch vermascht untereinander vernetzt, sollten Sie das neue CA-Zertifikat bereits im Vorfeld als vertrauenswürdig hinterlegen.
SX-GATE Außenstellen die mit OpenVPN angebunden sind und deren ovpnc-Schnittstelle auf dem Reiter „Authentifizierung“ ein verbindungsspezifisches Zertifikat aufweist, können nicht unterbrechungsfrei umgestellt werden.
Der CA-Wechsel wurde hier bislang noch nicht getestet. Setzen Sie sich bei Bedarf mit dem technischen Support in Verbindung.
Sollte Ihr SX-GATE einzelne IPSec-Gegenstellen nicht anhand der CA, sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat in der SX-GATE-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter „Authentifizierung“ in den IPSec-Verbindungen.
Das Ablauf-Datum des CA-Zertifikats spielt in diesem Fall zumindest auf SX-GATE-Systemen keine Rolle. Lediglich das Ablaufdatum des Zertifikats der Gegenstelle ist relevant. Authentifiziert auch die Gegenstelle Ihr SX-GATE über ein bestimmtes Zertifikat, müsste dieses folglich nicht zwingend aktualisiert werden
Sofern diese den SX-GATE anhand des CA-Zertifikats authentifizieren, empfiehlt es sich, auf diesen Geräten sowohl das alte als auch das neue CA-Zertifikat zu hinterlegen.
Mit Abschluss dieser Phase sind nun alle Systeme auf Zertifikate der neuen CA umgestellt, mit Ausnahme des SX-GATE-eigenen VPN-Servers, der als letztes umgestellt wird:
Zur Erhöhung der Ausfallsicherheit können zwei SX-GATE-Systeme zu einem Failover-Cluster zusammengeschlossen werden. Es werden zwei vollwertige Systeme mit jeweils ausreichend Benutzern und allen Zusatzlizenzen (z.B. Virenscanner) benötigt. Die Systeme laufen im Aktiv-/Passiv-Betrieb, d.h. falls der Master-Knoten ausfällt, übernimmt automatisch der Backup-Knoten. Eine zukünftige Erweiterung auf Aktiv-/Aktiv-Betrieb ist geplant, ein Zeitpunkt für die Realisierung steht jedoch noch nicht fest.
Der passive Knoten muss dennoch nicht ungenutzt auf den Ernstfall warten: Über DNS-Aliase kann mit dem Web-Proxy einer der Kerndienste parallel auf beiden Knoten genutzt werden. Konfigurieren Sie dazu in den Proxy-Einstellungen der Browser anstelle der IP-Adresse einfach einen Hostnamen als Proxy. Zu diesem Hostnamen hinterlegen Sie im lokalen DNS die individuellen IP-Adressen der beiden Cluster-Systeme. DNS ändert bei jeder Anfrage die Reihenfolge der Adressen in der Antwort. Die Browser wenden sich stets zunächst an die erste der erhaltenen Adressen, sodass die Browser abwechselnd an die beiden Cluster-Knoten verteilt werden. Ist der Knoten nicht erreichbar, greift der Browser auf die andere Adresse zurück.
Fast alle Einstellungen werden auf dem Backup-Knoten vorgenommen. Konfigurationsänderungen werden auf Knopfdruck oder automatisch auf den Master-Knoten repliziert. Sollten Sie einen bereits im Betrieb befindlichen SX-GATE nachträglich zu einem Cluster erweitern, bietet es sich daher an, das alte, bereits komplett konfigurierte System, zukünftig als Backup zu betreiben. Bereiten Sie also bitte zunächst die Konfiguration des Backup-Knotens vor.
Nun geht es an die Konfiguration der Ethernet-Schnittstellen. Sowohl Master als auch Backup erhalten hier eine individuelle IP-Adresse. Der Cluster wird jedoch zukünftig über mindestens eine gemeinsame Cluster-IP angesprochen. Diese wechselt später bei einem Ausfall des Master-Knotens automatisch auf das Backup-System, ist also stets auf dem aktiven Knoten gebunden. Bei der Konfiguration der Rechner im LAN (z.B. Standard-Gateway) oder im Internet-DNS (Zugriff auf den Cluster von außen) muss entsprechend eine der Cluster-IPs verwendet werden. Fügen Sie die Cluster-IPs in der Schnittstellen-Konfiguration des zukünftigen Backup-Systems als Alias-IPs hinzu. Wird ein Einzelsystem zum Cluster erweitert, bietet es sich an, eine neue individuelle IP auszuwählen und die bisherige IP als Alias-/Cluster-IP einzutragen. Bereits auf diese IP konfigurierte Systeme müssen so nicht angepasst werden.
Wechseln Sie nun auf dem Backup-Knoten in das Menü »System > Grundeinstellungen« zum Reiter »Clustering«. Stellen Sie den Cluster in den Modus »Backup« und konfigurieren Sie die individuellen IP-Adressen von Master und Backup, über die zukünftig die Replikation erfolgen soll. Mit der Wahl der IP-Adressen wird automatisch die benutzte Netzwerkkarte festgelegt. Laden Sie dann den SSH-Schlüssel herunter, der für die Replikation der Konfiguration benötigt wird.
Auf dem Master-Knoten werden nur sehr wenige Einstellungen konfiguriert. Dazu gehören insbesondere
Legen Sie auf dem Master zunächst die individuellen IP-Adressen fest. Gehen Sie dann in das Menü »System > Grundeinstellungen« und stellen Sie auf dem Reiter »Clustering« den Modus »Master« ein. Nun können Sie auch den zuvor vom Backup-Knoten heruntergeladenen SSH-Schlüssel importieren.
Wechseln Sie dann zurück auf den Backup-Knoten. Die Konfiguration sollte sich nun auf den Master-Knoten replizieren lassen. In den Ethernet-Schnittstellen des Master-Knotens erscheinen nach erfolgreichem Abgleich die Cluster-IPs.
Damit die Replikation der Einstellungen funktionieren kann, darf die Software-Version auf dem Master nie älter sein als auf dem Backup-Knoten. Aktualisieren Sie also bitte stets zuerst den Master. Das gibt Ihnen zudem die Möglichkeit, bei Problemen nach einem Update auf das Backup-System zurückzugreifen.
Wieder auf dem Master-Knoten können Sie dessen Konfiguration fertigstellen. Beachten Sie bitte, dass für beide Cluster-Systeme der Internet-Zugang individuell konfiguriert werden muss. So kann z.B. der Master über Ethernet/Standleitung, das Backup-System über ADSL-Wählleitung an das Internet angebunden werden. Wird eine gemeinsame Ethernet-Standleitung genutzt, ist – wie gehabt – jedem System eine individuelle IP zuzuteilen. Falls erforderlich, erhält der Cluster als solches mindestens eine gemeinsame Cluster-IP. Steht nur eine Internet-IP zur Verfügung, bitte im Internet ungültige Adressen als individuelle IP vergeben und auf dem Backup-Knoten unter »Module > Netzwerk > Einstellungen« auf dem Reiter »Gateway« die Option »Cluster mit geteiltem Internet-Zugang« aktivieren. Selbiges gilt, wenn sich beide Knoten einen DSL-Zugang teilen. Beachten Sie bitte die Online-Hilfe zu der genannten Option.
Zu den Zertifikaten: Ab Version 5.2-3.2 und 6.0-1.4 werden die meisten Schlüssel und Zertifikate automatisch auf den Master-Knoten übertragen. Ausgenommen sind:
Bei älteren SX-GATE-Versionen müssen die Export- und Import-Funktionen genutzt werden, um Schlüssel und Zertifikate zu übertragen.
Nun ist der Cluster betriebsbereit. Starten Sie den Dienst »Cluster-Knoten« auf beiden Systemen. Die Cluster-IP-Adressen sollten danach ausschließlich auf dem Master-System angezeigt werden. Nun können Sie testen, ob auch ein Failover stattfindet.
Folgende Gründe führen dazu, dass der Backup-Knoten aktiv wird:
Der Ausfall der Internet-Verbindung oder der Ausfall eines SX-GATE-Dienstes führen bislang nicht zu einem Failover. Dies ist für Version 6.0-2.0 geplant.
Der admin wird von beiden Knoten per Mail über den Zustandswechsel des Clusters informiert. Der Master-Knoten deaktiviert, der Backup-Knoten aktiviert die Cluster-IPs auf den zugehörigen Netzwerk-Schnittstellen. Der Backup-Knoten sendet gratuitous ARP-Pakete, um die ARP-Tabellen der angeschlossenen Systeme zu aktualisieren. Dienste, die nur auf einem der beiden Knoten laufen dürfen (z.B. VPN oder IPSec), werden auf dem Backup gestartet. IPSec-Verbindungen zu Gegenstellen mit fester IP werden automatisch vom Backup neu aufgebaut. Verbindungen zu Gegenstellen mit dynamischer IP muss die Gegenstelle neu aufbauen. Verbindungen zu Diensten auf SX-GATE (z.B. Downloads via Web-Proxy) brechen ab, während Verbindungen, die durch SX-GATE hindurch geroutet werden, dank Synchronisation der Stateful-Inspection-Firewall nach einer minimalen Unterbrechung weiterlaufen. Sofern E-Mails in Postfächer auf dem SX-GATE zugestellt werden, werden eingehende Mails in der Warteschlange des Backups gehalten, bis der Master-Knoten wieder erreichbar ist. Mails an einen internen Mail-Server werden wie üblich sofort weitergeleitet.
Sobald der Master-Knoten wieder alle notwendigen Bedingungen erfüllt, wird automatisch zurückgewechselt.
Soll ein Filiale-SX-GATE oder SATELLITE an die Zentrale angebunden werden, konfigurieren Sie bitte in der Zentrale gemäß dieser Anleitung eine über Zertifikate authentifizierte Verbindung. Beim Ausstellen des Zertifikats für die Filiale wird Ihnen dann ein Installationspaket zum Download angeboten. Dieses Installationspaket importieren Sie dann in der Filiale. Bei einem SX-GATE ist dies im Menü »Module > Netzwerk > Einstellungen« auf dem Reiter (Tab) »VPN Zertifikat« über die Import-Funktion möglich. Im SATELLITE erfolgt der Import über das Menü »Assistenten«.
Prüfen Sie bitte zunächst, ob unter »Module > Netzwerk > Schnittstellen« bereits eine ipsec0-Schnittstelle existiert. Falls ja, klicken Sie bitte die Schnittstelle zum Bearbeiten an. Legen Sie die Schnittstelle andernfalls bitte neu an.
Jede ipsec-Schnittstelle muss im SX-GATE mit einer »normalen« Netzwerk-Schnittstelle assoziiert. Typischerweise ist dies die Internet-Schnittstelle. Eingestellt wird dies über den Parameter »Basisschnittstelle«. Falls SX-GATE eine dynamische Internet-IP besitzt, müssen Sie dort die Einstellung »Internet / dynamische IP« wählen. Bei fester IP selektieren Sie bitte die entsprechende Schnittstelle.
Falls der Internet-Zugang über ADSL mit fester IP erfolgt und die ADSL-Schnittstelle nicht in der Auswahl-Liste angezeigt wird, muss in der ADSL-Schnittstelle zunächst die feste IP hinterlegt werden.
Wechseln Sie ins Menü »Module > Netzwerk > Schnittstellen« und klicken Sie bei der ipsec-Schnittstelle auf »Verbindungen«. Legen Sie dort unter beliebigem Namen eine neue Verbindung zu einem »Server« an.
Legen Sie dann zunächst mithilfe des Schalters »Gegenstelle mit« fest, ob der Gegenüber eine feste oder eine dynamische IP hat. Im Falle einer Gegenstelle mit dynamischer IP, die über DNS-Name erreichbar ist, wählen Sie bitte »fester IP«. Abhängig von der gewählten Einstellung ist die IP bzw. der DNS-Name dann auf dem Reiter (Tab) »VPN-Tunnel« einzutragen.
Auf demselben Reiter sind nun unter »Entfernte Netzwerke« und »Lokale Netzwerke« die Netzwerke einzutragen, die miteinander verbunden werden sollen.
Wechseln Sie auf den Reiter »Authentifizierung« um die Authentifizierungsmethode festzulegen.
Wählen Sie »Passphrase (PSK)« für eine einfache Authentifizierung über Passwort. Konfigurationsabhängig wird Ihnen dann ggf. auch gleich das Feld »Passphrase (Preshared Key)« zur Eingabe des Passworts angezeigt. Erscheint das Feld nicht, muss das Passwort in der Konfiguration der ipsec-Schnittstelle konfiguriert werden. Wechseln Sie dazu aus den Verbindungseinstellungen zurück in die Einstellungen der ipsec-Schnittstelle. Das Eingabefeld für das Passwort ist konfigurationsabhängig entweder auf dem Reiter (Tab) »Gemeinsame Einstellungen« oder »Dynamische Gegenstellen«.
Soll die Authentifizierung über Zertifikate erfolgen, muss, falls noch nicht geschehen, zunächst ein CA-Zertifikat unter »System > Zertifikate > Root-CA« erstellt werden. Wählen Sie dann den Eintrag »VPN« unter »System > Zertifikate > Root-CA«. Hier erstellen Sie, falls noch nicht geschehen, das Zertifikat für den SX-GATE VPN-Server. Bei entsprechender Rückfrage müssen Sie den Schlüssel der CA im VPN-Server hinterlegen.
Falls SX-GATE ein Zertifikat für die Gegenstelle ausstellen soll, wird dies ebenfalls im »Root-CA«-Menü erledigt. Die ID dieses Zertifikats (»Ausgestellt für«) sollten Sie sich kopieren. Wechseln Sie dann zurück auf den »Authentifizierung«-Reiter der VPN-Verbindung. Stellen Sie die »Authentifizierungsmethode« auf »Zertifikat anhand CA«. Konfigurationsabhängig müssen Sie ggf. noch die zuvor kopierte Zertifikats-ID hinterlegen.
Sofern die Gegenstelle bereits über ein anderweitig ausgestelltes Zertifikat verfügt, stellen Sie die »Authentifizierungsmethode« auf »bestimmtes Zertifikat« und importieren Sie den öffentlichen Schlüssel der Gegenstelle.
Stellen Sie abschließend sicher, dass unter »System > Dienste« der Dienst »IPSec VPN« gestartet ist.
Die VPN-Konfiguration auf der FritzBox erfolgt mithilfe einer Konfigurationsdatei. Diese hat folgendes Format (hervorgehobene Texte müssen Sie durch zu Ihrem Netzwerk passende Werte ersetzen):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „SX-GATE“;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <externe IP-Adresse des SX-GATE>; // bei dyn. IP des SX-GATE: remotehostname = „<DNS Name des SX-GATE>“;
remote_virtualip = 0.0.0.0;
localid {
fqdn = „<DNS Name der FritzBox>“; // bei fester IP der FritzBox: ipaddr = <externe IP der FritzBox>;
}
remoteid {
ipaddr = <externe IP-Adresse des SX-GATE>; // bei dyn. IP des SX-GATE: fqdn = „<DNS Name des SX-GATE>“;
}
mode = phase1_mode_idp;
phase1ss = „all/all/all“;
keytype = connkeytype_pre_shared;
key = „<gemeinsame Passphrase>“;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <(LAN-)Netzwerk hinter FritzBox (z.B. 192.168.1.0)>;
mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
}
}
phase2remoteid {
ipnet {
ipaddr = <(LAN-)Netzwerk hinter SX-GATE (z.B. 192.168.0.0)>;
mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
}
}
phase2ss = „esp-all-all/ah-none/comp-all/pfs“;
= „permit ip <Netz hinter FritzBox> <zugeh. Netzmaske> <Netz hinter SX-Gate> <zugeh. Netzmaske>“;
// z.B. „permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0“;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500″,“udp 0.0.0.0:4500 0.0.0.0:4500“;
}
// EOF
Passen Sie diese Beispieldatei an und speichern Sie diese mit der Endung *.cfg.
Bitte beachten Sie, dass in der SX-GATE IPSec-Peer-Konfiguration die Option „IPComp Komprimierung“ aktiviert werden muss.
Diese Konfigurationsdatei laden Sie auf die FritzBox, indem Sie im Bereich »Internet« in den »Freigaben« auf den Reiter (Tab) »VPN« klicken. Dort können sie mit einem Klick auf »Durchsuchen…« die erstellte CFG-Datei auswählen…
… und diese dann mit »VPN-Einstellungen importieren« einlesen lassen. Dies dauert einen Augenblick!
Sobald der Import abgeschlossen ist, sollte im unteren Bereich des Fensters die VPN-Verbindung angezeigt werden und der Status wie im gezeigten Bild auf »grün« schalten.
Unter »System > Ereignisse« wird der Verbindungsaufbau protokolliert. Hier erhalten Sie auch eine Meldung, wenn der VPN-Aufbau nicht klappt.
Diese Anleitung beschreibt, wie Sie eine L2TP-Verbindung zwischen einem SX-GATE und einem Mac konfigurieren, die zur Authentifizierung Zertifikate verwendet. Das Beispiel orientiert sich dabei an OS X 10.9 (Mavericks) und setzt voraus, dass auf dem SX-GATE bereits eine CA eingerichtet ist und diese auch beim VPN-Server als vertrauenswürdig hinterlegt wurde. Ebenso muss unter „Module > Netzwerk > Schnittstellen“ bereits eine ipsec0-Schnittstelle existieren. Sind diese Voraussetzungen nicht gegeben, nutzen Sie bitte den Konfigurationsassistenten aus dem Menü „Assistenten > L2TP-IPSec-VPN“. Dieser führt die grundlegende IPSec-L2TP-Konfiguration durch und beinhaltet bereits die meisten der nachfolgend beschriebenen Schritte.
Wechseln Sie ins Menü „Module > Netzwerk > Schnittstellen“ und klicken Sie neben der ipsec-Schnittstelle auf „Verbindungen“. Prüfen Sie, ob bereits eine Verbindung zu einem „L2TP Client“ besteht, die auf dem Reiter „Authentifizierung“ als Authentifizierungsmethode „alle Zertifikate von vertrauter CA“ eingestellt hat. Legen Sie andernfalls unter beliebigem Namen eine neue Verbindung zu einem „L2TP Client“ an und stellen Sie die Authentifizierungsmethode entsprechend um.
Folgende Parameter müssen in der Verbindung gesetzt werden:
Prüfen Sie nun das Zertifikat des SX-GATE VPN-Servers im Menü „Module > Netzwerk > Einstellungen“ auf dem Reiter „VPN Zertifikat“. Hier muss ein „Alternativer Bezeichner“ angezeigt werden, der die IP oder den DNS-Namen enthält, der im Mac OS Client später als Servername konfiguriert wird. Ist dies nicht der Fall, muss ein neues Zertifikat für den SX-GATE VPN-Server ausgestellt werden. Wechseln Sie dazu in das Menü „System > Zertifikate > Zertifikate“, wählen Sie dort das Zertifikat „VPN“ aus und erstellen Sie dieses neu mit passendem alternativen Bezeichner.
Sind auch VPN-Verbindungen mit anderen VPN-Server konfiguriert, ist nicht völlig auszuschließen, dass nach dem Ausstellen eines neuen VPN-Server-Zertifikats die Konfiguration auf einzelnen VPN-Servern angepasst werden muss.
Als Nächstes müssen Sie ein Zertifikat für den Mac OS Client ausstellen. Dies erfolgt ebenfalls im Menü „System > Zertifikate > Zertifikate“. Fügen Sie dort einen neuen Eintrag mit beliebigem Zertifikatsnamen hinzu. Stellen Sie dann das Zertifikat aus.
Beim Ausfüllen der Zertifikatsdaten muss für den Client kein alternativer Bezeichner angegeben werden.
Sie müssen ein Kennwort vergeben, mit dem das Zertifikat vor unberechtigtem Zugriff geschützt wird. Es wird benötigt, wenn Sie das Zertifikat später auf einem Client importieren wollen. Zudem können Sie noch festlegen wie lange das Zertifikat seine Gültigkeit behalten soll. Nach Eingabe des CA-Kennwortes und anschließendem Drücken von „Fertigstellen“ wird das neue Zertifikat signiert.
Im nächsten Schritt können Sie dann „Schlüssel und Zertifikat im PKCS#12-Format“ herunterladen und den Assistenten durch Drücken von „OK“ beenden.
Bevor Sie nun mit der Konfiguration des Clients beginnen, sollten Sie zunächst noch folgende Dinge sicherstellen:
Übertragen Sie nun die p12-Datei auf Ihren Mac und starten Sie den Importvorgang durch Doppelklick auf die Datei. Wählen Sie in der so gestarteten Anwendung „Schlüsselbundverwaltung“ als Schlüsselbund „System“ und als Kategorie „Zertifikate“ aus. Lassen Sie sich den privaten Schlüssel anzeigen, indem Sie vor dem Zertifikat (im Beispiel „l2tpdemo“) auf den Pfeil drücken.
Doppelklicken Sie den privaten Schlüssel um dessen Einstellungen zu bearbeiten. Wechseln Sie auf den Reiter „Zugriff“ und aktivieren dort die Option „Allen Programmen den Zugriff ermöglichen“.
Zurück im Hauptfenster der Schlüsselbundverwaltung müssen Sie nun auf das CA-Zertifikat klicken. Sie sehen im oberen Teil des Fensters den rot geschriebenen Hinweistext „Dieses Root-Zertifikat ist nicht vertrauenswürdig“. Um dem CA-Zertifikat zu vertrauen, müssen Sie in dessen Einstellungen die Option „Bei Verwendung dieses Zertifikats“ „immer Vertrauen“ einstellen.
Die Änderungen werden beim Schließen des Fensters übernommen. Die Schlüsselbundverwaltung sollte danach in etwa wie folgt aussehen:
Es sind nun alle Voraussetzungen erfüllt, um die eigentliche Verbindung zu konfigurieren. Öffnen Sie dazu die Netzwerkeinstellungen des Systems und fügen durch Drücken des „+“-Symbols einen neuen Dienst hinzu. Stellen Sie den Anschluss auf „VPN“ und geben Sie einen Dienstnamen ein (z.B. den Namen der Firma, zu der Sie sich verbinden wollen). Der VPN-Typ muss auf „L2TP über IPSec“ stehen.
Nun können Sie bei „Serveradresse“ die IP-Adresse oder den DNS-Namen eingeben, welchen Sie zuvor im alternativen Bezeichner beim Erstellen des Zertifikats angegeben haben. Der angegebene Benutzername wird verwendet, um sich mit diesem am SX-GATE anzumelden. Der Benutzer muss dort vorhanden und Mitglied der Gruppe „system-ras“ sein.
Um die verschlüsselte Verbindung erfolgreich aufbauen zu können, müssen Sie noch angeben wie sich Benutzer und Rechner an der Gegenstelle anmelden sollen. Wechseln Sie dazu in die Authentifizierungseinstellungen und stellen die Benutzer-Authentifizierung auf „Kennwort“ und die Rechner-Authentifizierung auf „Zertifikat“. Hinterlegen Sie passend dazu das zugehörige Nutzerpasswort bzw. das vorhin importierte Zertifikat.
Nun können Sie die Verbindung zum SX-GATE aufbauen, indem Sie auf die Schaltfläche „Verbinden“ drücken. Wenn Sie den Schalter „VPN-Status in der Menüleiste anzeigen“ aktiviert haben, können Sie die Verbindung über ein Symbol in der Menüleiste auf- und wieder abbauen, ohne erst die Systemeinstellungen öffnen zu müssen.
Die nachfolgende Installations-Anleitung gilt gleichermaßen für alle vom SX-GATE unterstützten Virenscanner (Kaspersky, F-Secure, Avira).
Bei den Scanner-Engines und Lizenz-Dateien handelt es sich jeweils um spezielle, für SX-GATE angepasste Versionen. Passende Lizenzen können ausschließlich über den autorisierten SX-GATE-Fachhandel erworben werden.
Sofern Sie einen neuen SX-GATE Lizenz-Schlüssel erhalten haben, geben Sie diesen bitte im Menü »System > Lizenzen« ein. Prüfen Sie bitte, ob die Lizenz-Nr. (Support-IP) und die Hardware-ID der neuen Lizenz mit den in der Administrations-Oberfläche angezeigten Werten übereinstimmen. Ändern Sie den Lizenz-Schlüssel bitte nicht, falls es Abweichungen gibt.
Verwechseln Sie bitte nicht den SX-GATE Lizenz-Schlüssel mit der Lizenz-Datei für den Virenscanner.
Prüfen Sie im Menü »System > Update«, ob Aktualisierungen verfügbar sind und installieren Sie diese.
Dieser Schritt ist nur für die Erstinstallation des Scanners erforderlich. Neugeräte werden in der Regel bereits mit vorinstalliertem Scanner ausgeliefert. Die Aktualisierung der Scanner erfolgt über die regulären SX-GATE-Updates.
Steht eine Verlängerung der Virenscanner-Lizenz an, muss lediglich eine neue Lizenz-Datei hochgeladen werden. Sie können diesen Abschnitt daher überspringen.
Die Laufzeit der Virenscanner-Lizenzen wird über eine eigene Lizenz-Datei gesteuert. Gehen Sie zur Installation bitte wie folgt vor:
Das SX-GATE verfügt über eine integrierte Backup & Restore-Funktion die es ermöglicht, das System im Fehlerfall oder bei einer ungewollten Konfigurationsänderung wieder in den vorherigen Zustand zurückzuversetzen.
Es stehen die folgenden Backup & Restore-Möglichkeiten zur Verfügung:
Sie erreichen die Datensicherung über das Menü »System > Backup«. Hier stehen Ihnen die oben genannten Funktionen zur Verfügung.
Sie erhalten jeweils eine separate Sicherungsdatei innerhalb der einzelnen Reiter.
Die Rücksicherung alles Backups erfolgt zentral im Reiter »Backup einspielen«. Sie können damit die gesamte Konfiguration eines SX-GATE mithilfe einer Datensicherung komplett wiederherstellen.
Der Inhalt des lokalen SX-GATE Webservers ist nicht in einem oben genannten Backup enthalten. Diese Daten müssen separate durch manuelles herunterladen via FTP oder via Windows-Laufwerksfreigabe erfolgen.
Die Schlüsselpaare für die Root-CA, den lokalen VPN-Server, den lokalen Proxy-Server und für den lokalen VPN-Server müssen immer separat zusätzlich zum System-, Benutzer-, E-Mail-, und Administrations-Server-Backup manuell gesichert werden.
Alle weiteren Informationen zum Einrichten der Datensicherung entnehmen Sie bitte der aktuellen SX-GATE Dokumentation.
Das Installieren von Softwareupdates ist innerhalb der SX-GATE Konfigurationsoberfläche auf unterschiedliche Art und Weise möglich. In der Konfigurationsoberfläche können Sie die Softwareaktualisierung über das Menü »System > Updates« ausführen.
Die folgenden Funktionen stehen zur Verfügung:
Bitte beachten Sie, dass für einige Updates ein Reboot des SX-GATE erforderlich ist. Planen Sie den zusätzlichen Zeitbedarf und die Downtime bitte beim Updatevorgang mit ein. Ein Reboot ist meist nur dann erforderlich, wenn wichtige Systemkomponenten aktualisiert werden müssen, z.B. das Linux Kernel.
Alle anderen Updates werden ohne Reboot installiert. Es werden ggf. einige Dienste gestoppt und neu gestartet. Die Konfigurationsdaten werden bei Update von Version zu Version immer übernommen und bei Bedarf entsprechend konvertiert.
Führen Sie vor jedem Update eine zusätzliche Datensicherung durch.
Sollten automatische Änderungen an der bestehenden Konfiguration im Rahmen eines Updates erforderlich werden, so werden diese durchgeführt und im Updatedialog angezeigt.
Führen Sie das interaktive Update so lange durch, bis Ihnen keine weiteren Softwareversionen zum Updaten angeboten werden. Das SX-GATE ist dann auf dem aktuellen Softwarestand.
Kostenpflichtige Updates werden entsprechend angezeigt. Wenn Sie ein kostenpflichtiges Update im interaktiven Modus installieren wollen, dann wird vor jedem Download eine Prüfung der Updateberechtigung des SX-GATE durchgeführt. Das Update kann bei fehlender Berechtigung ggf. nicht heruntergeladen und installiert werden.
Beachten Sie bitte Folgendes:
Eine Updateberechtigung besteht nur dann, wenn Sie das/die Update/s käuflich erworben haben. Die technische Möglichkeit ein Update zu installieren berechtigt nicht zur Verwendung bzw. dem Betrieb der Software.
Für Fragen diesbezüglich wenden Sie sich bitte an den technischen Support oder den Vertrieb bei XnetSolutions.
Beim interaktiven Update erfolgt die Prüfung auf neue Updates direkt durch das SX-GATE selbst. Ist ein neues Update verfügbar, so wird dies in der Konfigurationsoberfläche angezeigt. Bestätigt der Administrator die Installation eines neuen Updates, so wird SX-GATE die Updatedatei selbstständig herunterladen und installieren. Dieser Vorgang wird sofort ausgeführt.
Zusätzlich im interaktiven Update besteht die Möglichkeit, ein Update zu einem bestimmten Zeitpunkt zu installieren. Verwenden Sie diese Option, wenn Sie für die Installation eines Updates nur ein definiertes Wartungsfenster zur Verfügung haben. Sie müssen diesen Vorgang ggf. mehrfach ausführen, wenn Sie mehrere Updates nacheinander installieren müssen.
Sie haben zusätzlich zu den interaktiven Updates die Möglichkeit Updatedateien manuell über die Konfigurationsoberfläche zu installieren. Dazu ist es erforderlich, dass Sie zuvor alle benötigten Updatedateien heruntergeladen und lokal gespeichert haben. Dieses Vorgehen empfiehlt sich, wenn Sie mehrere SX-GATE aktualisieren wollen, eine Internetanbindung mit geringer Bandbreite haben oder sehr viele Updates nacheinander installieren müssen.
Der Zugang für den technischen Support von XnetSolutions zum SX-GATE kann über unterschiedliche Wege erfolgen.
Die Konfiguration des Supportzugangs können Sie wahlweise innerhalb der SX-GATE Firewall, des SX-GATE Reverse-Proxy und über den integrierten Fernwartungsassistenten einrichten.
Wählen Sie im Menü »Module > Netzwerk > Regeln > [Internetschnittstelle]« die Internetschnittstelle aus, diese kann z.B. eth1 sein. Passen Sie diese entsprechend Ihrer Konfiguration an.
Innerhalb des Dialogs für die Firewalleinstellungen der Internetschnittstelle, z.B. eth1, wählen Sie den Reiter »eth1 > SX-GATE«. Innerhalb dieses Reiters definieren Sie, wer aus dem Internet eingehende Verbindungen zum SX-GATE aufbauen darf.
Hinweis:
Geben Sie nur die Protokolle frei, die für den Supportzugang erforderlich sind. Grenzen Sie den Zugang unbedingt für bestimmte Quell-IP-Adressen ein.
Protokolle für den Supportzugang:
Verwenden Sie als Quell-IP-Adresse für den Supportzugang von XnetSolutions die folgenden IP-Adressen:
Wählen Sie im Menü »Module > Proxys« den Reverse-Proxy aus.
Wählen Sie das Menü »Assistenten > Fernwartung« und starten Sie den Assistenten über die Schaltfläche »Weiter«.
Für eine ins Internet ausgehende Supportverbindung wählen Sie »Über das Internet (ausgehend)«. Das SX-GATE baut dann selbstständig eine ausgehende Verbindung zum Supportsystem von XnetSolutions auf. Der Support kann über diese Verbindung auf das SX-GATE zugreifen. Wählen Sie die Schaltfläche »Weiter« zu Fortfahren.
Das Ziel für die ausgehende Supportverbindung ist bereits vorausgewählt. Belassen Sie diese Einstellung und wählen Sie die Schaltfläche »Fertigstellen«. Die Supportverbindung wird dann aktiviert. Ob die Verbindung erfolgreich aufgebaut werden konnte sehen Sie im nachfolgenden Dialog.
Hinweis:
Aktivieren Sie die Supportverbindung nur dann, wenn Sie der technische Support von XnetSolutions dazu auffordert.
Die Konfiguration und Einrichtung eines SecureUSB-Stick für SX-GATE wird in der folgenden Dokumentation beschrieben:
Damit wir Ihre Fragen so schnell effektiv beantworten können wäre es hilfreich, wenn Sie Ihre Supportanfrage so detailliert wie möglich beschreiben.
Halten Sie bitte in jedem Fall die folgenden Informationen bereit, wenn Sie sich an den technischen Support wenden:
Weitere wichtige Informationen die Sie in jedem Fall bereithalten bzw. und in der E-Mail mit der Beschreibung der Supportanfrage hinzufügen sollten:
Die Benutzerkennung für T-Online Wählverbindungen setzt sich aus mehreren Bestandteilen zusammen. Sie können diese Daten aus der T-Online Mitteilung entnehmen, in der Sie auch Ihr persönliches T-Online Kennwort erhalten haben:
Setzen Sie diese Komponenten hintereinander, um den erforderlichen Loginnamen zu erhalten. Sollte die Teilnehmernummer aus weniger als 12 Ziffern bestehen, so fügen Sie an die Teilnehmernummer bitte noch ein # an.
So ergibt sich als Benutzerkennung z.B.
ISDN
12345678901212345678901#0001 (11-stellige Teilnehmernummer)
1234567890121234567890120001 (12-stellige Teilnehmernummer)
T-DSL
12345678901212345678901#0001@t-online.de
Im SX-GATE konfigurieren Sie die Internetverbindung am besten über das Menü »Assistenten > Internet-Zugang«.
Probleme mit ADSL können sowohl durch die physikalische Verbindung als auch durch das PPP-Protokoll verursacht werden. Die Log-Meldung Timeout waiting for PADO packets weist eindeutig auf ein Problem mit der physikalischen Verbindung hin. Im Menü »Monitoring > Netzwerk > Wählverbindungen« steht eine Diagnose-Funktion für ADSL zur Verfügung, mit der sich überprüfen lässt, ob die physikalische ADSL-Verbindung in Ordnung ist. Falls die physikalische Verbindung in Ordnung zu sein scheint, sollten Sie mit der Diagnose von Problemen im PPP-Bereich fortfahren. Details dazu finden Sie im Artikel PPP-Log.
Ist die physikalische Verbindung gestört, so kann dies sowohl am SX-GATE selbst, am Modem oder am Provider liegen. Prüfen Sie bitte zunächst folgende Punkte:
Mit den zuvor aufgeführten Punkten sind die Diagnose-Möglichkeiten weitestgehend erschöpft. Bevor Sie sich an den Provider wenden, führen Sie bitte folgende Schritte durch:
Hier können Sie uns Ihr Problem mitteilen. Wir setzen uns dann schnellstmöglich mit Ihnen in Verbindung.
Bitte formulieren Sie Ihre Supportanfrage so exakt wie möglich. Zusätzliche Informationen wie z.B. die aktuelle Softwareversion, Lizenzdaten, Hardware oder virtualisiert etc. helfen uns dabei, Ihre Anfrage so effektiv wie möglich zu bearbeiten.