Montag, 21. September 2009

SMTP-Proxy zerschiesst manche Text-E-Mails

Unter Fireware XTM 11.0.1 muss ich feststellen, dass bestimmte Text-E-Mails (ganz einfache text/plain) zerschossen werden. Der eigentliche E-Mail Body ist verschwunden - stattdessen steht nun nur der Text der Deny Message im Body, die aber eigentlich als Textdatei angehängt sein sollte...:

Cause : The message content may not be safe.
Content type : (none)
File name    : (none)
Virus status : No information.
Action       : The Firebox (none) (none).

Your network administrator can not restore this attachment.

Mir fällt auf, dass der folgende Header fehlt, der in korrekt zugestellten E-Mails regelmäßig sichtbar ist:

X-WatchGuard-AntiVirus: part scanned. error action=allow

Das legt die Vermutung nahe, dass das Problem mit einer Interaktion zwischen dem SMTP-Proxy und der Gateway Antivirus Engine zu tun hat. Die Antivirus Engine und die Signaturen der Fireware XTM (Version 11) stammen übrigens jetzt von AVG und nicht mehr wie bisher von ClamAV...
Von Bernd Och um 10:53 1 Kommentare
Labels: , , , , , , ,

Probleme mit DSL-Modem Speedport 201

Es gibt offenbar Probleme im Zusammenspiel zwischen einer WatchGuard Firebox und dem derzeitigen Standard-DSL-Modem der Telekom, dem Speedport 201. Ich musste dies nun schon mehrfach feststellen - hauptsächlich mit einer X Edge unter Software 10.2.x. Die PPPoE-Einwahl kommt nicht zustande, im Logging ist aber nichts Ungewöhnliches zu sehen, auch nicht im PPPoE-Debugging-Modus. Die Vorgängerversion Speedport 200 hat immer einwandfrei funktioniert, ist aber wohl nicht mehr verfügbar. Eine Alternative wäre ein DSL-Modem eines anderen Herstellers.
Von Bernd Och um 10:03 6 Kommentare
Labels: , ,

Mittwoch, 16. September 2009

Policy Based Routing offenbar auch bei IPSec

Bislang galten die Einstellungen für Policy Based Routing (PBR) im Multi-WAN Betrieb unter Fireware Pro (zwei oder mehr externe Internet-Anschlüsse auf der gleichen Firebox) ausdrücklich nur für ausgehenden non-IPSec Traffic.
Bei der Fireware XTM gilt PBR nun offenbar auch, wenn die Ziel-IP hinter einem VPN-Tunnel liegt. Aufgefallen ist mir dies daran, dass plötzlich ping nicht mehr über einen VPN-Tunnel funktioniert hat - tcp- oder udp-Verkehr hingegen schon. Die "ping"-Regel beim Kunden sah so aus: From: Any, To: Any, und hierbei PBR 2,0 (also bevorzugt eth2 und nur bei Failover eth0). Die VPN-Tunnel terminierten jedoch an eth0. Im Traffic Monitor war kein Problem zu sehen. Die Pakete wurden von der Firewall als Allowed zugelassen, erreichten eben aber nie ihr Ziel...
Es muss nun also noch genauer geschaut werden, wenn mit dem Begriff "Any" gearbeitet wird, denn auch "Any-BOVPN" (also alle BOVPN-Tunnel) sind Bestandteil von "Any"...
Ob dieses neue Verhalten jetzt eher Vorteil oder Nachteil ist, habe ich aus Zeitmangel noch nicht genauer durchdacht... :-)
Von Bernd Och um 15:59 1 Kommentare
Labels: , , , ,

Achtung bei "Rcpt To" im SMTP-Proxy bei Verwendung des Webinterface

Ein offensichtlicher Bug tritt zutage, wenn das Webinterface (WebUI) verwendet wird, um in einer SMTP-Proxy Action Änderungen an der möglicherweise dort hinterlegten Rcpt To Liste mit den erlaubten E-Mail-Adressen vorzunehmen. Um in die existierende Liste z.B. eine weitere Adresse aufzunehmen, muss das Häkchen Limit email recipients aktiviert werden. Nach dem Hinzufügen mit "Add" wird die Änderung logischerweise über den Save-Button auf die Firebox hochgeladen. Leider führt das dazu, dass alle Adressen in der Liste plötzlich nicht mehr mit der Action Allow versehen sind, sondern mit Deny!!! Es kommen also plötzlich überhaupt keine E-Mails mehr herein. Erst wenn das Häkchen wieder herausgenommen wird - und auch diese Änderung wieder mit "Save" auf die Firebox hochgeladen wird - ist das Verhalten wieder so wie bezweckt...
Von Bernd Och um 15:40 1 Kommentare

Webinterface nun auch bei X Core und X Peak

Eine der wesentlichen Neuerungen bei der Fireware XTM (Version 11) ist, dass sich nun auch die größeren Modelle der X Core und X Peak Geräteserien über ein Webinterface (auch "WebUI" genannt)administrieren lassen. Von "innen" ist das Webinterface erreichbar über https://IP-der-Firebox:8080. Die Anmeldeseite kennt zwei vordefinierte Usernamen: status und admin. Zu dem User "status" gehört die Status Passphrase (das lesende Kennwort), zu dem User "admin" die Configuration Passphrase (das schreibende Kennwort). Wenn Sie vorhaben, Änderungen am Regelwerk vorzunehmen, müssen Sie sich als User "admin" anmelden! Die Fireware XTM lässt aber zu einem Zeitpunkt nur genau EINE admin-Sitzung zu! Wenn Sie die Firebox über das Internet, sprich von "außen" administrieren wollen, müssen Sie die entsprechende automatisch hinzugekommene Regel für Port 8080 auch für externe IP-Adressen öffnen - hierbei sollte allerdings eher nicht einfach "Any-External" mit in das From-Feld aufgenommen werden, sondern besser nur einzelne, feste IP-Adressen, von denen aus die Administration gestattet werden soll.
Das Webinterface (WebUI) der Fireware XTM unterstützt jedoch nicht alle Funktionen, die über den Policy Manager des WSM nutzbar sind. WatchGuard hat hierzu eine Liste der nicht unterstützten Funktionen in den Release Notes der Fireware XTM (Version 11) bereitgestellt:

The Fireware XTM Web UI does not support the configuration of some features. These features include:
  • FireCluster
  • Full proxy configuration options
  • The editing of static NAT rules
  • Manual policy precedence
  • Certificate export
  • You cannot enable diagnostic logging or change diagnostic log levels
  • You cannot turn on or off notification of BOVPN events
  • You cannot add or remove static ARP entries to the device ARP table
  • You cannot save a device configuration file to your local computer
  • You cannot get the encrypted Mobile VPN with IPSec end-user configuration profile, known as the .wgx file. The Web UI generates only a plain-text version of the end-user configuration profile, with file extension .ini.
  • You cannot edit the name of a policy, use a custom address in a policy, or use Host Name (DNS lookup) to add an IP address to a policy.
  • You cannot use the Web UI to configure a DNS server for the DHCP settings of a wireless guest account. You must use Policy Manager or the CLI to add the DNS server. [39980]
  • If you configure a policy in the Web UI with a status of Disabled, then open Policy Manager and make a change to the same policy, the action assigned to the policy when it denies packets is changed to Send TCP RST. [34118]
  • If you use the Web UI to edit an existing proxy policy that has alarm settings enabled, the alarm settings may be disabled when you save your configuration. [38585]
  • You cannot create read-only Mobile VPN with IPSec configuration files with the Web UI. [39176]
Von Bernd Och um 15:29 0 Kommentare
Labels: , , , ,

Fireware XTM 11.0.1 und WSM 11.0.1

Seit dem 03.09.2009 stehen die ersten gepatchten Versionen der Fireware XTM und WSM 11 im Downloadportal zur Verfügung. Ich habe bislang etwa 20 Migrationen auf Version 11 durchgeführt und bin mit der generellen Funktionalität und Stabilität unter dem Strich ganz zufrieden. Die lange Wartezeit hat sich offenbar gelohnt, denn durch die extrem lange Beta-Phase konnten offenbar doch die meisten Bugs bereits im Vorfeld gefunden und entschärft werden. Nachdem nun hier etwas Ruhe einkehrt, werde ich in den nächsten Tagen und Wochen hier wieder häufiger über Besonderheiten und Tipps berichten.
Von Bernd Och um 15:24 1 Kommentare
Labels: ,
Abonnieren Posts (Atom)