UF-xx Best Practice

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

tstimper
Beiträge: 1059
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

UKernchen hat geschrieben: 06 Jun 2023, 21:08 Hallo Thomas,

schau dir das Szenario mal genau an.
...Firewall auf Layer-2 zwischen geschaltet ... das bisherige Gateway bleibt Gateway.

Die Clients dürfen also sehr wohl ins Internet, mit ihrem normalen Gateway.
Die Firewall ist praktisch als Switch im Datenfluss.

Die MTU ist hier wirklich nicht zielführend, denke ich.

Gruß Uwe
Hallo Uwe,

Ja ich kenne solche Szenarien. Default Gateway bleibt der Router.
Dort werden dann im Router aber alle Dienste /Ports gesperrt, die künftig durch die UF gecheckt werden sollen.
Und dann kann ein lokaler Client die UF für Email und Web nicht umgehen.

Das MTU Verhalten wüde ich dennoch mit ping -f (Don't fragment) -l (Paketlänge) mal testen um rauszufinden,
welche MTU denn maximal wirklich geht.

Code: Alles auswählen

ping -f -l 1500
-l kleiner machen bis es passt.

Nur die MTU zu erlauben, die wirklich geht spart zumindest Zeit.

Und noch was fällt mir da grad ein. Wenn in dem Szenario der LANCOM WAN Uplink Router auch Voip Router ist,
dann würde ich noch im VCM > Extended > Quality of Service kontrollieren ob da bei Prioritize Packets PMTU Reduction an ist.
"Früher", zumindest noch 2020 mit 10.42 war die PMTU Reduction ausgehend bei Calls an.

Das äussert sich dann so, das WLC Tunnel und oder VPNs zäh werden oder abbrechen sobald ein Anruf getätigt wird.

Das gehört allerdings schon eher wieder ins LCOS Best Practices Guide :-)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Zerwas
Beiträge: 13
Registriert: 15 Nov 2017, 08:41

Re: UF-xx Best Practice

Beitrag von Zerwas »

Guten Morgen,

die Erklärung und Lösung für meine DNS-Probleme scheint im neuen Hotfix zu sein:

Name: LCOS FX 10.11 RU2
ID: HU-01353
Type: Recommended Hotfix (HU)
Recommended for: All
Need reboot: yes
User-interaction: no

Description of bug and fix:
* Longer timeouts could occur between the content filtering service of the Unified Firewall and the Bitdefender cloud. As a result, web page calls were slow.
* When the content filter was used on a DNS basis, it could happen that websites that were supposed to be blocked were displayed anyway.
* Intrusion detection blocked redirected DNS requests on port 10053. As a result, incoming data from 'google.com' was not transmitted.
* After an update to LCOS FX 10.11 REL it could happen that DNS queries no longer worked when the DNS filter was activated.
* The Unified Firewall's ICAP server generated a high CPU load, which could lead to irregular Internet connection failures.
* The DNS load balancer (dnsdist) occupied memory every time the DNS server list was reloaded and did not release it. This could lead to a lot of memory being reserved in a scenario with very poor accessibility of the DNS servers.
* A restart of the VPN service (xipsecd). e.g. when the firewall was restarted, created a new virtual xfrm interface in the IP table rule set and caused the rule set to grow unnecessarily.

Zerwas hat geschrieben: 05 Jun 2023, 08:27 Guten Morgen,

die Fragen in diesem Beitrag stelle ich mir gerade auch. Seit https ist der transparente Proxy m.E. leider nicht mehr nutzbar, da bei https zu viele Seiten, Anwendungen (Outlook) und möglicherweise ich selbst, ein Problem mit dem Aufbrechen der Verschlüsselung haben. Vielleicht ist der intransparente Proxy (nur für den Browser auf einem Port <> 443 eine Lösung?).
Ich hatte auf den DNS-Filter gehofft, welcher mir auch das Blockieren der Seiten meldet, aber am Client dann trotzdem öffnet. Die Clients nutzen den internen DNS-Server des Windows DCs, welcher die Firewall anfragt.

Der Application-Filter auf der Verbindung von den Clients in das Internet hingegen scheint zuverlässig zu funktionieren. Der Content-Filter (DNS) auf der Verbindung zwischen DC und Internet hingegen nicht.
Jazz
Beiträge: 36
Registriert: 19 Okt 2009, 12:28

Re: UF-xx Best Practice

Beitrag von Jazz »

Hat denn irgendeiner es geschafft eine UF stabil zum laufen zu bekommen hat den Proxy problemlos im Transparent Modus? Bei uns gibt da nur Probleme. DNS von den Clients auf die UF und die dann auf 9.9.9.9 oder 1.1.1.1
Besonders M365, Amazon etc machen große Probleme.
Auch wenn zB ein schnellerer Internetanschluss dran ist als die UF max kann gibts nur Probleme.

Was ist eure Lösung so? Wir denken darüber nach die Firewalls alle zu entsorgen.
tstimper
Beiträge: 1059
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

Jazz hat geschrieben: 02 Jan 2024, 16:20 Hat denn irgendeiner es geschafft eine UF stabil zum laufen zu bekommen hat den Proxy problemlos im Transparent Modus? Bei uns gibt da nur Probleme. DNS von den Clients auf die UF und die dann auf 9.9.9.9 oder 1.1.1.1
Besonders M365, Amazon etc machen große Probleme.
Auch wenn zB ein schnellerer Internetanschluss dran ist als die UF max kann gibts nur Probleme.

Was ist eure Lösung so? Wir denken darüber nach die Firewalls alle zu entsorgen.
Hast Du nur Probleme, wenn die UF im Transparent Proxy Mode ist?

Bei dem was Du schreibst müsste man mal schauen was da los ist.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
japper_nrw
Beiträge: 13
Registriert: 28 Okt 2015, 09:33
Wohnort: Sauerland

Re: UF-xx Best Practice

Beitrag von japper_nrw »

Moin zusammen,

wir haben eine UF-360 mit aktuellem FW-Release und haben die gleichen Probleme.
Beim aktiven transparenten Proxy haben wir die gleichen Probleme wie beschrieben.
Bin mal nach KB-Eintrag vorgegangen (da wird ja beschrieben wie man die DNS-Einstellungen vornehmen soll), allerdings kommt es trotzdem zu sproradischen Fehlern. (Beim Browsen kommt dann „SSL_ERROR_RX_RECORD_TOO_LONG“ )


Dieses Problem haben wir aber schon seit September letzten jahres, und da hiess es vom Lancom-Support
„Der Fehler hat aktuelle eine hohe Priorität in der Bearbeitung. Wann genau es dafür allerdings einen Fix gibt, kann ich zum jetzigen Zeitpunkt noch nicht sagen."
und im Oktober dann folgendes:
Ich möchte mich kurz mit einem Zwischenstand zurückmelden.
Bei den auftretenden Fehlermeldungen handelt es sich um ein Sicherheitsfeatures des HTTP(S)-Proxys indem die aufgerufenen IP-Adressen mit den angefragten Domains verglichen werden. Gibt es hier eine Abweichung, was bei heutigen DNS-Clustern häufig passiert, wird die Verbindung terminiert. Aktuell arbeiten wir an einer zufriedenstellenden Lösung dieses Verhaltens. Da die Verbreitung von DNS-Clustern immer mehr zunimmt, insbesondere bei Diensten der großen IT-Konzerne wie Amazon, Microsoft und Co. kommt es derzeit vermehrt zu solchen Meldungen.
Aktuell kann ich daher nicht mit Sicherheit sagen, dass das Verhalten in einer älteren Version besser sein wird. Eine Möglichkeit wäre den Modus des Proxys zu verändern und diesen im Modus "Intransparent" zu verwenden. Hierbei wird den Clients mitgeteilt, dass ein Proxy ihre Anfragen prüft. Diese Umstellung sollte zu einer merklichen Besserung führen, setzt jedoch voraus, dass sämtliche Teilnehmer des Netzwerks angepasst werden müssen, etwa per Gruppenrichtlinien, in dem der Proxy systemweit bekannt gegeben wird.
Alternativ dazu bleibt derzeit nur das Modul zu deaktivieren, bis eine entsprechende Anpassung in Form einer neuen LCOS FX-Version zur Verfügung steht.
Grüße,
Japper
Jazz
Beiträge: 36
Registriert: 19 Okt 2009, 12:28

Re: UF-xx Best Practice

Beitrag von Jazz »

tstimper hat geschrieben: 02 Jan 2024, 16:32
Jazz hat geschrieben: 02 Jan 2024, 16:20 Hat denn irgendeiner es geschafft eine UF stabil zum laufen zu bekommen hat den Proxy problemlos im Transparent Modus? Bei uns gibt da nur Probleme. DNS von den Clients auf die UF und die dann auf 9.9.9.9 oder 1.1.1.1
Besonders M365, Amazon etc machen große Probleme.
Auch wenn zB ein schnellerer Internetanschluss dran ist als die UF max kann gibts nur Probleme.

Was ist eure Lösung so? Wir denken darüber nach die Firewalls alle zu entsorgen.
Hast Du nur Probleme, wenn die UF im Transparent Proxy Mode ist?

Bei dem was Du schreibst müsste man mal schauen was da los ist.

Viele Grüße

ts
Hi sorry, dass es so lange gedauert hat.
Ja nur im transparenten Modus. Intransparent macht für mich kein wirklichen Sinn, da hier dann der Aufwand echt zu groß ist mit Browsern und Proxy etc eintragen...
tstimper
Beiträge: 1059
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

Jazz hat geschrieben: 18 Jan 2024, 23:10 Hi sorry, dass es so lange gedauert hat.
Ja nur im transparenten Modus. Intransparent macht für mich kein wirklichen Sinn, da hier dann der Aufwand echt zu groß ist mit Browsern und Proxy etc eintragen...
Zum Proxy Eintrag im OS / Browser:
das lässt sich je nach Umgebung gut automatisieren, z. B. mit Windows Group Policy’s oder mit der vorhandenen Software Verteilungs Lösung oder mittels Script.

Zum Thema DNS Server:
Ja ich nehme auch gerne die Quad9 DNS Server 9.9.9.9 und 1.1.1,1

Diese unzensierten DNS Server haben nicht nur Freunde.
Probiere mal andere DNS Server zu nehmen. Z.B die des Providers.

Wenn das Verhalten da anders ist stört Dein Internet Provider.

Ich könnte mir aber auch vorstellen das es einfach ein DNS Timeout Problem oder / und ein zu kurzer oder zu langer
DNS Cache auf der UF ist


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
andreas
Beiträge: 111
Registriert: 04 Jan 2005, 00:35

Re: UF-xx Best Practice

Beitrag von andreas »

Jazz hat geschrieben: 02 Jan 2024, 16:20 Hat denn irgendeiner es geschafft eine UF stabil zum laufen zu bekommen hat den Proxy problemlos im Transparent Modus? Bei uns gibt da nur Probleme. ..Was ist eure Lösung so? Wir denken darüber nach die Firewalls alle zu entsorgen.
Nein, wir haben da Wochen, im Prinzip 5 Jahre investiert. Wir nutzen historisch im Layer-7 Bereich Sonicwall und Sophos. Wir wollten uns bei neuen Systemen gerne die Tür für einen sinnvollen Einsatz der Cloud offen halten und haben deshalb die UFs eingesetzt, auch weil Rohde & Schwarz in Deutschland ja nun nicht unbedingt ein Niemand in der Sicherheitsindustrie ist.

Die UFs sind m.E. aber dermaßen unausgegoren, das wir sie jetzt nacheinander entsorgen und durch Sonicwalls ersetzen, da bei fast allen Kunden der Proxy jetzt auf "AUS" steht. Dann kann ich aber auch preiswertere Produkte nehmen.

Ich ertappe mich regelmäßig dabei, dass ich Updates von UFs an entfernten Standorten raus zögere und zusehe, dass ich ggf sofort ins Auto steigen kann um hin zu fahren. Die Cluster mit UFs habe ich regelmäßig gesprengt. Ich hab da keine Lust mehr zu. Meine subjektive Meinung lässt sich über unser Ticketsystem objektivieren.

Der Support und die Lizenzpolitik für die UFs rundet das negative Bild ab. Vermissen werde ich die GUI. Die fand ich am Anfang furchtbar, jetzt finde ich sie Top, da ich viel weniger redundante oder gegenläufige Regeln damit erstelle.

Den Lancom Routern werden wir aber definitiv treu bleiben, die funktionieren für uns reibungslos. WLAN haben wir uns auch von Lancom verabschiedet.

Die UFs werden wir uns dann in ca. 3-5 Jahren wieder ansehen, Potential haben die ja.

Andreas
UKernchen
Beiträge: 110
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von UKernchen »

Danke für das Feedback.

Ich sehe das ähnlich.

Uwe
tstimper
Beiträge: 1059
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

ich habe mich bei der UF nun durch die Reverse Proxy Funktionalität "durchgebissen"
und bin derzeit zufrieden.

Mein Eindruck ist auch, das die UF sehr empfindlich auf die DNS Performance der genutzen DNS Server reagiert.

Die "rumhüpfenden" GUI Objekte stören mich wiederum.

Die Dokumentation ist unzureichend.

Im Config Backup fehlen die Zertifikate und die Lizenz.
Dazu haben wir uns eine Lösung gebaut.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Jazz
Beiträge: 36
Registriert: 19 Okt 2009, 12:28

Re: UF-xx Best Practice

Beitrag von Jazz »

Nachdem wir nun via LMC eigene Addins geschrieben haben und darauf geachtet haben dass keine Überlagerte Regeln vorhanden sind und zB Microsoft 354 via Objekt vom Proxy ausgenommen ist, scheint es bisher keine Probleme mehr im M365 Bereich zu geben. Außerdem hatte die LMC Vorgabe Gotomeeting massive Probleme hervorgerufen, da hier irgend ein Fehler mit CloudFlare ware.

Bisher gehts aber trotzdem ist der Support unter aller Sau zum Thema Firewalls. :(
Wir gehen aktuell eher weg von generell Firewalls und wieder auf LANCOM Router mit Layer 7 Sperre via LMC und dann eine Zero Trust Lösung von ZScaler dran. Läuft....
Antworten