Seite 1 Anwenderhandbuch für die Hard- und Software der FL MGUARD- Security-Appliances Anwenderhandbuch UM DE FL MGUARD2...
Seite 2 UM DE FL MGUARD2 Revision: Artikel-Nr.: — Dieses Handbuch ist gültig für: Bezeichnung Revision Artikel-Nr. FL MGUARD RS2000 TX/TX VPN 2700642 FL MGUARD RS4000 TX/TX 2700634 FL MGUARD RS4000 TX/TX VPN 2200515 FL MGUARD SMART2 2700640 FL MGUARD SMART2 VPN...
Seite 3 Informationsquellen. So erreichen Sie uns Internet Aktuelle Informationen zu Produkten von Phoenix Contact und zu unseren Allgemeinen Geschäftsbedingungen finden Sie im Internet unter: www.phoenixcontact.com. Stellen Sie sicher, dass Sie immer mit der aktuellen Dokumentation arbeiten. ...
Seite 4 Bitte beachten Sie folgende Hinweise Allgemeine Nutzungsbedingungen für Technische Dokumentation Phoenix Contact behält sich das Recht vor, die technische Dokumentation und die in den technischen Dokumentationen beschriebenen Produkte jederzeit ohne Vorankündigung zu ändern, zu korrigieren und/oder zu verbessern, soweit dies dem Anwender zumutbar ist.
Seite 5 FL MGUARD mit Werkseinstellung Router-Modus konfigurieren ..4-8 4.2.3 FL MGUARD PCI4000 bei Inbetriebnahme konfigurieren ....4-9 4.2.4 FL MGUARD PCI4000 bei Inbetriebnahme konfigurieren ....4-13 Lokale Konfigurationsverbindung herstellen.............4-15 Fernkonfiguration ..................... 4-17 Konfiguration ...........................5-1 Bedienung ......................5-1 Menü Verwaltung....................5-4 5.2.1 Verwaltung >> Systemeinstellungen ........... 5-4 8334_de_02 PHOENIX CONTACT...
Seite 6 Menü QoS ...................... 5-222 5.9.1 Ingress Filter ................... 5-222 5.9.2 Egress-Queues ................5-225 5.9.3 Egress-Queues (VPN) ..............5-226 5.9.4 Egress-Zuordnungen ..............5-229 5.10 Redundanz .....................5-233 5.10.1 Redundanz >> Firewall-Redundanz ..........5-233 5.10.2 Redundanz >> Firewall-Redundanz Status ........5-242 5.10.3 Ring-/Netzkopplung ................ 5-247 PHOENIX CONTACT 8334_de_02...
Seite 7 Flashen der Firmware / Rescue-Prozedur ............7-3 7.3.1 Voraussetzungen für das Flashen ............7-3 Flashen beim FL MGUARD RS4000/RS2000,  7.3.2 FL MGUARD SMART2, FL MGUARD DELTA TX/TX ......7-4 7.3.3 Flashen beim FL MGUARD PCI4000 ..........7-6 7.3.4 DHCP- und TFTP-Server installieren..........7-7 8334_de_02 PHOENIX CONTACT...
Seite 8 FL MGUARD2 Technische Daten ........................8-1 FL MGUARD RS4000/RS2000 ................8-1 FL MGUARD PCI4000..................8-2 FL MGUARD DELTA TX/TX................8-4 FL MGUARD SMART2 ..................8-5 Bestelldaten ....................... 8-6 8.5.1 Produkte ..................... 8-6 8.5.2 Zubehör ....................8-6 PHOENIX CONTACT 8334_de_02...
Seite 9 Konfigurierbare Firewall für den Schutz vor unberechtigtem Zugriff. Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs- und Zieladresse und blo- ckiert unerwünschten Datenverkehr. Die Konfiguration des Gerätes erfolgt einfach mit einem Web-Browser. Weiterführende Informationen finden Sie auf der Webseite von Phoenix Contact: www.phoenixcontact.net/products Netzwerk-Features –...
Seite 10 Administration unter Benutzung von SNMP v1-v3 und FL MGUARD Device Manager (FL MGUARD DM) – PKI-Unterstützung für HTTPS/SSH Remote Access – Kann über die LAN-Schnittstelle als NTP- und DNS-Server agieren Support Zusätzliche Informationen zum Gerät, sowie Release Notes und Software-Updates fin- den Sie unter folgender Internet-Adresse: www.phoenixcontact.net/products PHOENIX CONTACT 8334_de_02...
Seite 11 SD-Karte. (Die SD-Karten sind nicht im Lieferumfang enthalten). Das lüfterlose Metallge- häuse wird auf eine Tragschiene montiert. Folgende Konnektivitätsoptionen stehen zur Verfügung FL MGUARD RS4000: (LAN/WAN) FL MGUARD RS2000: (LAN/WAN) TX/TX Ethernet/Ethernet TX/TX-VPN Ethernet/Ethernet + VPN TX/TX-VPN Ethernet/Ethernet + VPN Bild 1-1 FL MGUARD RS4000/FL MGUARD RS2000 8334_de_02 PHOENIX CONTACT...
Seite 12 Einzelteilnehmer oder Netzwerksegmente können sicher vernetzt und umfassend ge- schützt werden. Der FL MGUARD DELTA TX/TX eignet sich als Firewall zwischen Büro- und Produktionsnetzen sowie als Security- Router für kleine und mittlere Arbeitsgruppen. Bild 1-4 FL MGUARD DELTA TX/TX PHOENIX CONTACT 8334_de_02...
Seite 13 Ethernetstatus. Zeigt den Status des LAN- bzw. WAN-Ports. Sobald das Gerät am entsprechenden Netzwerk angeschlossen ist, zeigt kontinuierliches Leuchten an, dass eine Verbindung zum Netzwerk-Partner im LAN bzw. WAN besteht. Beim Über- tragen von Datenpaketen erlischt kurzzeitig die LED. 8334_de_02 PHOENIX CONTACT...
Seite 14 Prozedur ausführen“ auf Seite 7-2) oder wenden Sie sich an Ihren Händler. grün WAN: Verbindung zum Netzwerk-Partner besteht Blinkt WAN: Datenübertragung aktiv 1, 2, 3 diverse LED- Recovery-Modus. Nach Drücken der Rescue-Taste. Leuchtcodes Siehe „Neustart, Recovery-Prozedur und Flashen der Firmware“ auf Seite 7-1. PHOENIX CONTACT 8334_de_02...
Seite 15 Dazu die Reset-Taste kurz (1,5 Sek.) drücken. • Alternativ: das Gerät kurz von der Stromversorgung trennen und wieder anschließen. Falls der Fehler weiterhin auftritt, starten Sie die Recovery-Prozedur (siehe „Recovery-Pro- zedur ausführen“ auf Seite 7-2) oder wenden Sie sich an Ihren Händler. 8334_de_02 PHOENIX CONTACT...
Seite 16 10 MBit/s, Datenübertragung aktiv LAN 2 grün 100 MBit/s Blinkt 100 MBit/s, Datenübertragung aktiv grün Versorgungsspannung o.k. STAT grün Blinkt Der FL MGUARD ist betriebsbereit. Systemfehler FAULT FL MGUARD im Zustand Booten oder Flashen INFO Nicht belegt PHOENIX CONTACT 8334_de_02...
Seite 17 5 % ... 95 %, (FL MGUARD RS4000/FL MGUARD RS2000, FL MGUARD PCI4000, FL MGUARD DELTA TX/TX) Nicht direktem Sonnenlicht oder dem direkten Einfluss einer Wärmequelle aussetzen, um Überhitzung zu vermeiden. ACHTUNG: Reinigen Zum Reinigen des Gerätegehäuses ein weiches Tuch verwenden. Kein aggressives Lö- sungsmittel auftragen. 8334_de_02 PHOENIX CONTACT...
Seite 18 Gehen Sie dazu die einzelnen Menüoptionen durch, die Ihnen der FL MGUARD mit seiner Konfigurationsoberfläche bietet. Lesen Sie deren Erläuterungen in diesem Handbuch, um zu ent- scheiden, welche Einstellungen für Ihre Betriebsumgebung er- forderlich oder gewünscht sind. PHOENIX CONTACT 8334_de_02...
Seite 19 MGUARD PCI4000, FL MGUARD DELTA TX/TX – Packungsbeilage Zum FL MGUARD RS4000 und FL MGUARD RS2000 gehören zusätzlich: – COMBICON-Steckerbinder für den Stromanschluss und Ein-/Ausgänge (aufgesteckt) Zum FL MGUARD DELTA TX/TX gehören zusätzlich: – eine 12 V DC-Stromversorgung inkl. diverser Länder-Adapter 8334_de_02 PHOENIX CONTACT...
Seite 20 Einige Fernmeldeanschlüsse verwenden ebenfalls RJ45-Buchsen, diese dürfen nicht mit den RJ45-Buchsen des FL MGUARDs verbunden werden. • Verbinden Sie den FL MGUARD mit dem Netzwerk. Dazu benötigen Sie ein geeignetes UTP-Kabel (CAT5), das nicht zum Lieferumfang gehört. PHOENIX CONTACT 8334_de_02...
Seite 21 Zwischen die Service-Kontakte CMD V+ und CMD kann ein Taster oder ein Ein-/Aus- Schalter (z. B. Schlüsselschalter) angeschlossen werden. Zwischen den Kontakten GND (-) und ACK (+) kann eine handelsübliche Lampe (24 V) angeschlossen werden. Der Kontakt ist dauerkurzschlussfest und liefert maximal 250 mA. 8334_de_02 PHOENIX CONTACT...
Seite 22 Ein Fehler beim Selbsttest. Während eines Neustarts ist der Meldekontakt abgeschaltet, bis der FL MGUARD RS4000/RS2000 vollständig den Betrieb aufgenommen hat. Das gilt auch, wenn der Meldekontakt in der Software-Konfiguration unter „Manuelle Konfiguration“ auf „Ge- schlossen“ gestellt ist. PHOENIX CONTACT 8334_de_02...
Seite 23 Redundante Spannungsversorgung (FL MGUARD RS4000) Die Versorgungsspannung ist redundant anschließbar. Beide Eingänge sind entkoppelt. Es besteht keine Lastverteilung. Bei redundanter Einspeisung versorgt das Netzgerät mit der höheren Ausgangsspannung den FL MGUARD RS4000 alleine. Die Versorgungsspan- nung ist galvanisch vom Gehäuse getrennt. 8334_de_02 PHOENIX CONTACT...
Seite 24 Bei nicht redundanter Zuführung der Versorgungsspannung meldet der FL MGUARD RS4000 über den Meldekontakt den Ausfall einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge P1/P2 zu- führen oder eine geeignete Drahtbrücke zwischen den Anschlüssen P1 und P2 anbringen. PHOENIX CONTACT 8334_de_02...
Seite 25 Wir empfehlen, aus Sicherheitsgründen bei der ersten Konfiguration das Root- und das Administrator-Passwort zu ändern. WARNUNG: Dies ist eine Einrichtung der Klasse A. Diese Einrichtung kann im Wohnbe- reich Funkstörungen verursachen; in diesem Fall kann vom Betreiber verlangt werden, angemessene Maßnahmen zu treffen. 8334_de_02 PHOENIX CONTACT...
Seite 26 Benutzen Sie ein UTP-Kabel (CAT5). Das Kabel ist nicht im Lieferumfang enthalten. Bild 3-4 Aufbau FL MGUARD PCI4000 Bauen Sie den FL MGUARD PCI4000 in einen freien PCI- Steckplatz ein. Beachten Sie dabei die Hinweise in der Dokumentation zu Ihrem System. 3-10 PHOENIX CONTACT 8334_de_02...
Seite 27 Somit tritt der FL MGUARD für den Datenverkehr vom und zum Rechner als eigenes Gerät mit eigener Adresse gar nicht in Erscheinung. Im Stealth-Modus ist es nicht möglich PPPoE oder PPTP zu verwenden. Router-Modus im Power-over-PCI-Modus Netzwerkkarte 192.168.1.2 192.168.1.1 FL MGUARD PCI4000 externe IP Bild 3-6 Power-over-PCI-Modus: Router-Modus 3-11 8334_de_02 PHOENIX CONTACT...
Seite 28 IP-Adresse zugewiesen werden, die sich von der internen IP-Adresse des FL MGUARDs (werkseitige Voreinstellung 192.168.1.1) unterscheidet. Eine dritte IP-Adresse wird für die Schnittstelle des FL MGUARDs zum WAN verwendet. Über diese geht die Verbindung zu einem externen Netz (z. B. Internet). 3-12 PHOENIX CONTACT 8334_de_02...
Seite 29 Der FL MGUARD bootet die Firmware. Die Status-Anzeige STAT blinkt grün. Der FL MGUARD ist betriebsbereit, sobald die LAN/WAN-LEDs der Ethernet-Buchsen leuchten. Zusätzlich leuchten die Status-Anzeigen PWR grün und die Status-Anzeige STAT blinkt grün im Heartbeat. 3-13 8334_de_02 PHOENIX CONTACT...
Seite 30 FL MGUARD 3-14 PHOENIX CONTACT 8334_de_02...
Seite 31 LAN-Buchse des FL MGUARDs angeschlossen sein. – Bei Fernkonfiguration: Der FL MGUARD muss so konfiguriert sein, dass er eine Fernkon-figuration zulässt. – Der FL MGUARD muss angeschlossen sein, d. h. die erforderlichen Verbindungen müssen funktionieren. 8334_de_02 PHOENIX CONTACT...
Seite 32 Die Konfiguration bei der Inbetriebnahme wird in zwei Kapiteln beschrieben: – für Geräte, die im Netzwerk-Modus „Stealth“ ausgeliefert werden, in Kapitel 4.2.1, ab Seite 4-3 – für Geräte, die im Netzwerk-Modus „Router“ ausgeliefert werden, in Kapitel 4.2.2, auf Seite 4-8 PHOENIX CONTACT 8334_de_02...
Seite 33 Das Symbol des LAN-Adapters mit der rechten Maustaste klicken, so dass sich das Kontextmenü öffnet. • Im Kontextmenü „Eigenschaften“ klicken. • Im Dialogfeld „Eigenschaften von LAN-Verbindung lokales Netz“ die Registerkarte „All- gemein“ wählen. • Unter „Diese Verbindung verwendet folgende Elemente“ den Eintrag „Internetprotokoll (TCP/IP)“ markieren. 8334_de_02 PHOENIX CONTACT...
Seite 34 Konfigurations-Oberfläche des FL MGUARDs herstellen (siehe „Lokale Konfigu- rationsverbindung herstellen“ auf Seite 4-15). Fahren Sie in diesem Falle dort fort. Nach einem Zugriff über die IP-Adresse 1.1.1.1 steht die IP-Adresse 192.168.1.1 nicht länger als Zugriffsmöglichkeit zur Verfügung. PHOENIX CONTACT 8334_de_02...
Seite 35 Schritten bei der Adressierung des FL MGUARDs. • Wählen Sie auf die Schaltfläche „Weiter“. Schritt 3: „IP Address Request Listener“ Im sich öffnenden Fenster werden alle Geräte, die einen BootP-Request senden, gelistet und warten auf eine neue IP-Adresse. 8334_de_02 PHOENIX CONTACT...
Seite 36 – Eventuelle fehlerhafte Einstellungen Bild 4-3 Fenster „Set IP Address“ mit fehlerhaften Einstellungen • Passen Sie die IP-Parameter an Ihre Gegebenheiten an. Wenn keine Unstimmigkeiten mehr erkannt werden, erscheint die Information, dass eine gültige IP-Adresse eingestellt wurde. PHOENIX CONTACT 8334_de_02...
Seite 37 Wählen Sie die Schaltfäche „Zurück“. Wenn Sie die IP-Adressvergabe beenden wollen: • Wählen Sie die Schaltfäche „Fertig stellen. Die hier eingestellten IP-Parameter können Sie bei Bedarf in der FL MGUARD Web- Oberfläche unter Netzwerk >> Interfaces ändern (siehe Seite 5-60). 8334_de_02 PHOENIX CONTACT...
Seite 38 Aktivieren Sie zunächst „Folgende IP-Adressen verwenden“ und geben dann zum Bei- spiel folgende Adressen ein: IP-Adresse: 192.168.1.2 Subnetzmaske: 255.255.255.0 Standard-Gateway: 192.168.1.1 Je nach dem, wie Sie den FL MGUARD konfigurieren, müssen Sie gegebenenfalls an- schließend die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw. Netzes entsprechend anpassen. PHOENIX CONTACT 8334_de_02...
Seite 39 Rechner (z. B. dem Schützling) ausgeführt wird (z. B. MS Internet-Explorer ab Version 8, - Mozilla Firefox ab Version 3.6, Google Chrome oder Apple Safari). ACHTUNG: Der verwendete Web-Browser muss SSL-Verschlüsselung (d. h. HTTPS) unterstützen. Der FL MGUARD ist voreingestellt unter der folgenden Adresse erreichbar: https://1.1.1.1/ 8334_de_02 PHOENIX CONTACT...
Seite 40 Ein Sicherheitshinweis wegen eines angeblich ungültigen/nicht vertrauenswürdigen Zertifi- kats wird angezeigt. Diese Meldung resultiert aus der Verwendung eines FL MGUARD-ei- genen Zertifikats von Phoenix Contact, das dem Browser noch unbekannt ist, aber zur Ver- schlüsselung der Kommunikation benötigt wird. •...
Seite 41 Netzwerkschnittstelle des Konfigurationsrechners Folgendes ein: IP-Adresse: 192.168.1.10 Subnetzmaske: 255.255.255.0 Standard-Gateway: 192.168.1.2 • Geben Sie im Browser die zugewiesene Adresse ein: https://192.168.1.1/ • Konfigurieren Sie den FL MGUARD wie unter „FL MGUARD PCI4000 konfigurieren“ auf Seite 4-10 beschrieben. 4-11 8334_de_02 PHOENIX CONTACT...
Seite 42 Der FL MGUARD PCI4000 startet bei der Erstinbetriebnahme immer zusätzlich einen BootP-Clienten an der internen Netzwerkschnittstelle (LAN 1). Der BootP-Client ist kompa- tibel zu den BootP-Servern „IPAssign“ von Phoenix Contact sowie „DHCPD“ unter Linux. Diese Software steht entweder unter der Adresse www.phoenixcontact.net/catalog zum kostenlosen Download bereit oder unter der Adresse www.innominate.com im Bereich...
Seite 43 Dann die Schaltfläche „Eigenschaften“ klicken, so dass folgendes Dialogfenster ange- zeigt wird: Bild 4-7 Eigenschaften von Internetprotokoll (TCP/IP) Standard-Gateway Nachdem Sie die Netzwerkschnittstelle konfiguriert haben, sollten Sie die Konfigurations- oberfläche des FL MGUARDs mit einem Web-Browser unter der URL „https://1.1.1.1/“ er- reichen können. 4-13 8334_de_02 PHOENIX CONTACT...
Seite 44 Konfigurations-Rechner neu starten oder auf DOS-Ebene folgendes Komman- do eingeben: arp -d Je nach dem, wie Sie den FL MGUARD konfigurieren, müssen Sie gegebenenfalls an- schließend die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw. Netzes entsprechend anpassen. 4-14 PHOENIX CONTACT 8334_de_02...
Seite 45 • Prüfen Sie, ob der Standard-Gateway des angeschlossenen Konfigurations-Rechners initialisiert ist (siehe „Lokale Konfiguration bei Inbetriebnahme (EIS)“ auf Seite 4-2). • Bestehende Firewalls gegebenenfalls deaktivieren. • Achten Sie darauf, dass der Browser keinen Proxy Server verwendet. 4-15 8334_de_02 PHOENIX CONTACT...
Seite 46 Die Zugangsart „Benutzerfirewall“ steht beim FL MGUARD RS2000 nicht zur Verfügung. • Wählen Sie die Zugangsart — Administration oder Benutzerfirewall — und geben Sie Ihren Benutzernamen und Ihr Passwort ein, die für diese Zugangsart festgelegt sind. (Benutzerfirewall siehe „Netzwerksicherheit >> Benutzerfirewall“ auf Seite 5-157) 4-16 PHOENIX CONTACT 8334_de_02...
Seite 47 Bei einer anderen Port-Nummer ist diese hinter der IP-Adresse anzugeben, z. B.: https://123.45.67.89:442/ Konfiguration • Zur Konfiguration machen Sie auf den einzelnen Seiten der FL MGUARD-Oberfläche die gewünschten bzw. erforderlichen Angaben (siehe „Konfiguration“ auf Seite 5-1). 4-17 8334_de_02 PHOENIX CONTACT...
Seite 48 FL MGUARD 4-18 PHOENIX CONTACT 8334_de_02...
Seite 49 Bei Tabellen können Sie – Zeilen einfügen, um einen neuen Datensatz mit Einstellungen anzulegen (z. B. die Firewall-Einstellungen für eine bestimmte Verbindung) – Zeilen verschieben (d. h. umsortieren) und – Zeilen löschen, um den gesamten Datensatz zu löschen. 8334_de_02 PHOENIX CONTACT...
Seite 50 Zeilen am Tabellenende anfügen, um einen neuen Datensatz mit Einstellungen anzu- legen (z. B. Benutzerfirewall-Templates) Entsprechend unterscheiden sich die Symbole zum Einfügen einer neuer Tabellenzeile: – für Anfügen bei nicht sortierbarer Tabelle – für Einfügen bei einer sortierbaren Tabelle PHOENIX CONTACT 8334_de_02...
Seite 51 Überneh- Optionale Schaltfläche. Wirkt wie die Schaltfläche Übernehmen, gilt aber seitenübergreifend. Diese Schaltfläche ist nur dann im Kopfbereich der Seite eingeblendet, wenn der Gültigkeitsbereich der Übernehmen-Schaltfläche auf „seitenübergreifend“ gestellt ist (siehe „Verwaltung >> Web-Einstellungen“ auf Seite 5-24). 8334_de_02 PHOENIX CONTACT...
Seite 52 (nur FL MGUARD RS4000/RS2000) Stromversorgung 1/2 Zustand der beiden Netzteile (nicht beim FL MGUARD RS2000) (nur FL MGUARD RS4000/RS2000, FL MGUARD SMART2) Systemtemperatur Wenn der hier angegebene Temperaturbereich unter- bzw. (°C) überschritten wird, dann wird ein SNMP-Trap ausgelöst. PHOENIX CONTACT 8334_de_02...
Seite 53 MGUARD, z. B. „Hermes“, „Pluto“. (Unter SNMP: sysName) Standort Frei vergebbare Bezeichnung des Installationsortes, z. B. „Halle IV, Flur 3“, „Schaltschrank“. (Unter SNMP: sysLocation) Kontakt Angabe einer für den FL MGUARD zuständigen Kontaktper- son, am besten mit Telefonnummer. (Unter SNMP: sysCon- tact) 8334_de_02 PHOENIX CONTACT...
Seite 54 Der zulässige Bereich wird unter „Systemtemperatur (°C)“ im Menü Verwaltung >> Systemeinstellung >> Host eingestellt. Bei Ignorieren hat die Temperatur keinen Einfluss auf den Meldekontakt. Bei Überwachen wird der Meldekontakt geöffnet, wenn die Temperatur den zulässigen Bereich verlässt. PHOENIX CONTACT 8334_de_02...
Seite 55 Laufzeit des FL MGUARDs einmal mit einer tatsächlich aktuell gültigen Zeit synchronisiert wurde. Solange hier angezeigt wird, dass die Systemzeit des FL MGUARDs nicht synchroni- siert ist, führt der FL MGUARD keine zeitgesteuerten Aktivitä- ten aus. Das sind Folgende: 8334_de_02 PHOENIX CONTACT...
Seite 56 ARD hat erfolgreich Verbindung zu mindestens einem der festgelegten NTP-Server aufgenommen. Bei funktionierendem Netzwerk geschieht dies in wenigen Sekunden nach dem Neustart. Die Anzeige im Feld NTP-Status wechselt eventuell erheblich später erst auf „synchronisiert“ (siehe dazu die Erklärung weiter unten zu NTP-Sta- tus). PHOENIX CONTACT 8334_de_02...
Seite 57 Buchstaben nicht. Sie können „MEZ“ oder beliebig anders lauten, z. B. auch „UTC“. Wünschen Sie die Anzeige der MEZ-Uhrzeit (= gültig für Deutschland) mit automatischer Umschaltung auf Sommer- bzw. Winterzeit geben Sie ein: MEZ-1MESZ,M3.5.0,M10.5.0/3 8334_de_02 PHOENIX CONTACT...
Seite 58 über eine eingebaute Uhr (FL MGUARD RS4000/RS2000, FL MGUARD DELTA TX/TX und FL MGU- ARD SMART2). Nach der initialen Zeitsynchronisation ver- gleicht der FL MGUARD regelmäßig die Systemzeit mit den Zeit-Servern. In der Regel erfolgen Nachjustierungen nur noch im Sekundenbereich. 5-10 PHOENIX CONTACT 8334_de_02...
Seite 59 Geben Sie hier einen oder mehrere Zeit-Server an, von denen der FL MGUARD die aktuelle Zeitangabe beziehen soll. Falls Sie mehrere Zeit-Server angeben, verbindet sich der FL MGUARD automatisch mit allen, um die aktuelle Zeit zu ermit- teln. 5-11 8334_de_02 PHOENIX CONTACT...
Seite 60 X.509-Zertifikate für den SSH-Zugang auf Ja gesetzt ist Die Konfiguration des FL MGUARDs darf nicht gleichzeitig über den Web-Zugriff, den Shell-Zugang oder SNMP erfolgen. Eine zeitgleiche Konfiguration über die verschiede- nen Zugangsmethoden führt möglicherweise zu unerwarteten Ergebnissen. 5-12 PHOENIX CONTACT 8334_de_02...
Seite 61 LAN oder vom direkt angeschlossenen Rechner aus) ist unabhängig von der Schalterstellung mög- lich. Um Zugriffsmöglichkeiten auf den FL MGUARD differenziert festzulegen, müssen Sie auf dieser Seite unter Erlaubte Netzwerke die Firewall-Regeln für die verfügbaren Interfaces entsprechend definieren. 5-13 8334_de_02 PHOENIX CONTACT...
Seite 62 Sie den Wert anpassen. Bei der Einstellung „0“ in Kombination mit der „Begrenzung gleichzeitiger Sitzungen “ kann es geschehen, dass ein weiterer Zugriff blockiert wird, wenn zu viele Sitzungen durch Netzwerkfehler unterbrochen aber nicht geschlossen wurden. 5-14 PHOENIX CONTACT 8334_de_02...
Seite 63 „netadmin“ nicht verwendet wird. Maximale Zahl gleich- 0 bis 2147483647 zeitiger Sitzungen für Bei „0“ ist keine Sitzung erlaubt. Es kann sein, dass der Benut- die Rolle „audit“ zer „audit“ nicht verwendet wird. Erlaubte Netzwerke 5-15 8334_de_02 PHOENIX CONTACT...
Seite 64 Sie eventuell gleichzeitig den Zugriff über ein anderes Interface explizit mit Annehmen erlau- ben, bevor Sie durch Klicken auf die Überneh- men-Schaltfläche die neue Einstellung in Kraft setzen. Sonst muss bei Aussperrung die Recovery-Prozedur durchgeführt werden. 5-16 PHOENIX CONTACT 8334_de_02...
Seite 65 Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Log auf Ja setzen – oder das Ereignis nicht protokolliert werden soll – Log auf Nein setzen (werkseitige Voreinstellung). 5-17 8334_de_02 PHOENIX CONTACT...
Seite 66 SSH oder serieller Konsole beim FL MGUARD anmelden. Einzige Ausnahme: Eine Authentifizierung über eine extern erreichbare serielle Konsole bleibt möglich, wenn das lokale Passwort für den Benutzernamen root korrekt eingegeben wird. 5-18 PHOENIX CONTACT 8334_de_02...
Seite 67 Bei Ja ist festzulegen, – wie sich der FL MGUARD gemäß X.509 beim SSH- Client authentisiert, siehe SSH Server-Zertifikat (1) – wie der FL MGUARD den entfernten SSH-Client ge- mäß X.509 authentifiziert, siehe SSH Server-Zertifi- kat (2) 5-19 8334_de_02 PHOENIX CONTACT...
Seite 68 SSH-Client bei Verbindungsaufnahme eines der folgenden Zertifikatstypen vorzeigt: – ein von einer CA signiertes Zertifikat – ein selbst signiertes Zertifikat Zum Verständnis der nachfolgenden Tabelle siehe Kapi- tel Kapitel 5.4.4, „Authentifizierung >> Zertifikate“. Authentifizierung bei SSH 5-20 PHOENIX CONTACT 8334_de_02...
Seite 69 Beschränkung auf bestimmte Subjects (d. h. Personen) und/oder auf Subjects, die bestimmte Merkmale (Attribu- te) haben, oder – Freigabe für alle Subjects (siehe Glossar unter „Subject, Zertifikat“ auf Seite 9-5). Das Feld X.509-Subject darf nicht leer bleiben. 5-21 8334_de_02 PHOENIX CONTACT...
Seite 70 Zugriff. Mit der Einstellung Alle Benutzer ist der Zugriff für jeden der vorgenannten Systembenutzer möglich. Die Einstellmöglichkeiten netadmin und audit be- ziehen sich auf Zugriffsrechte mit dem Innominate Device Manager. 5-22 PHOENIX CONTACT 8334_de_02...
Seite 71 Zugriff. Mit der Einstellung Alle Benutzer ist der Zugriff für jeden der vorgenannten Systembenutzer möglich. Die Einstellmöglichkeiten netadmin und audit be- ziehen sich auf Zugriffsrechte mit dem Innominate Device Manager. 5-23 8334_de_02 PHOENIX CONTACT...
Seite 72 Übernehmen zu klicken haben, damit die Einstellungen vom FL MGUARD übernommen und in Kraft gesetzt werden. Mit Seitenübergreifend wird festgelegt, dass Sie nach Vor- nahme von Änderungen auf mehreren Seiten nur einmalig Übernehmen klicken müssen. 5-24 PHOENIX CONTACT 8334_de_02...
Seite 73 Das heißt, auf dem entfernten Rechner wird der Browser benutzt, um den FL MGUARD zu konfigurieren. Standardmäßig ist diese Option ausgeschaltet. ACHTUNG: Wenn Sie Fernzugriff ermöglichen, achten Sie darauf, dass sichere Pass- wörter für root und admin festgelegt sind. Um HTTPS-Fernzugang zu ermöglichen, machen Sie nachfolgende Einstellungen: 5-25 8334_de_02 PHOENIX CONTACT...
Seite 74 Klicken Sie auf diese Schaltfläche, um neue Schlüssel zu erzeugen. • Beachten Sie die Fingerprints der neu generierten Schlüssel. • Loggen Sie sich über HTTPS ein und vergleichen Sie die Zertifikat-Informationen, die vom Browser zur Verfügung gestellt werden. 5-26 PHOENIX CONTACT 8334_de_02...
Seite 75 Sie eventuell gleichzeitig den Zugriff über ein anderes Interface explizit mit Anneh- men erlauben, bevor Sie durch Klicken auf die Übernehmen-Schaltfläche die neue Einstel- lung in Kraft setzen. Sonst muss bei Aussper- rung die Recovery-Prozedur durchgeführt werden. 5-27 8334_de_02 PHOENIX CONTACT...
Seite 76 FL MGUARD umsetzen. Die vordefinierten Benutzer (root, admin, netadmin, audit und user) werden dann nicht mehr akzeptiert. Extern 2 und Einwahl nur bei Geräten mit serieller Schnittstelle (siehe „Netzwerk >> Interfaces“ auf Seite 5-60). 5-28 PHOENIX CONTACT 8334_de_02...
Seite 77 Erst wenn sichergestellt ist, dass diese Einstellung funktioniert, auf Login nur mit X.509-Benutzerzerti- fikat umstellen. Sonst könnte es passieren, dass Sie sich selbst aussperren! Diese Vorsichtsmaßnahme unbedingt immer dann treffen, wenn unter Benutzerauthentifizierung Einstellungen geändert werden. 5-29 8334_de_02 PHOENIX CONTACT...
Seite 78 Auf jeden Fall muss aber das zugehörige Root-Zertifikat auf dem FL MGU- ARD zur Verfügung stehen. Nach dieser Tabelle sind nachfolgend die Zertifikate zur Verfügung zu stellen, die der FL MGUARD benutzen muss, um einen von entfernt per HTTPS zugreifenden Benutzer bzw. dessen Browser zu authentifizieren. 5-30 PHOENIX CONTACT 8334_de_02...
Seite 79 Erst wenn sichergestellt ist, dass diese Einstellung funktioniert, auf Login nur mit X.509-Benutzerzerti- fikat umstellen. Sonst könnte es passieren, dass Sie sich selbst aussperren! Diese Vorsichtsmaßnahme unbedingt immer dann treffen, wenn unter Benutzerauthentifizierung Einstellungen geändert werden. 5-31 8334_de_02 PHOENIX CONTACT...
Seite 80 Freigabe für alle Subjects (d. h. Personen): Mit * (Sternchen) im Feld X.509-Subject legen Sie fest, dass im vom Browser/HTTPS-Client vorgezeigten Zertifikat belie- bige Subject-Einträge erlaubt sind. Dann ist es überflüssig, das im Zertifikat jeweils angegebene Subject zu kennen oder festzulegen. 5-32 PHOENIX CONTACT 8334_de_02...
Seite 81 Zugriffsrechten, die ihm in weiter unten stehen- den Filtern zugeordnet sind. Sind nachfolgend in der Tabelle mit der Spalte X.509-Zertifikat Gegenstellen-Zertifikate als Fil- ter konfiguriert, dann haben diese Filter Vorrang gegenüber den Filtersetzungen hier. 5-33 8334_de_02 PHOENIX CONTACT...
Seite 82 Ferne zugreifenden Bediener eingeräumt werden. Für eine Beschreibung der Berechtigungsstufen root, admin und user siehe „Authentifizierung >> Administrative Benutzer“ auf Seite 5-116. Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte mit dem Innominate Device Manager. 5-34 PHOENIX CONTACT 8334_de_02...
Seite 83 Im Voucher, den Sie beim Kauf des FL MGUARDs erhalten oder zusätzlich erwor- ben haben, finden Sie eine Voucher-Seriennummer und einen Voucher-Schlüssel. Damit können Sie – die erforderliche Feature-Lizenzdatei anfordern und dann – die Lizenzdatei, die Sie daraufhin erhalten, installieren. 5-35 8334_de_02 PHOENIX CONTACT...
Seite 84 • Hinter dem Feld Dateiname die Schaltfläche Durchsu- chen... klicken, die Datei selektieren und öffnen, so dass ihr Pfad- bzw. Dateiname im Feld Dateiname angezeigt wird. • Dann die Schaltfläche Installiere Lizenzdatei klicken. 5-36 PHOENIX CONTACT 8334_de_02...
Seite 85 Konfiguration 5.2.3.3 Lizenzbedingungen Listet die Lizenzen der Fremd-Software auf, die im FL MGUARD verwendet wird. Es han- delt sich meistens um Open-Source-Software. 5-37 8334_de_02 PHOENIX CONTACT...
Seite 86 Die Software-Version, mit der dieser FL MGUARD ursprüng- lich geflasht wurde. Updates Liste der Updates, die zur Basis hinzu installiert worden sind. Paket Versionen Listet die einzelnen Software-Module des FL MGUARDs auf. Gegebenenfalls für Sup- portzwecke interessant. 5-38 PHOENIX CONTACT 8334_de_02...
Seite 87 ACHTUNG: Sie dürfen während des Updates auf keinen Fall die Stromversorgung des FL MGUARDs unterbrechen! Das Gerät könnte ansonsten beschädigt werden und nur noch durch den Hersteller reaktiviert werden können. Abhängig von der Größe des Updates, kann dieses mehrere Minuten dauern. 5-39 8334_de_02 PHOENIX CONTACT...
Seite 88 Alle konfigurierten Update-Server müssen die selben Updates zur Verfügung stellen. Bei den Angaben haben Sie folgende Möglichkeiten: Protokoll Das Update der kann entweder per HTTPS oder HTTP erfol- gen. Server Adresse Hostnamen des Servers, der die Update-Dateien bereitstellt. 5-40 PHOENIX CONTACT 8334_de_02...
Seite 89 Konfigurationsprofile können beim FL MGUARD RS4000/RS2000, FL MGUARD DELTA TX/TX, FL MGUARD PCI4000 auch auf einem externen Konfigurationsspeicher wie SD- Karte (FL MGUARD RS4000/RS2000, FL MGUARD DELTA TX/TX, FL MGUARD PCI4000) abgelegt werden (siehe „Profile auf externem Speichermedium: FL 5-41 8334_de_02 PHOENIX CONTACT...
Seite 90 Hinter „Speichere aktuelle Konfiguration als Profil“ in das Feld Name des neuen Pro- fils den gewünschten Profil-Namen eintragen. • Auf die Schaltfläche Speichern klicken. Das Konfigurationsprofil wird im FL MGUARD gespeichert, und der Name des Profils wird in der Liste der bereits im FL MGUARD gespeicherten Profile angezeigt. 5-42 PHOENIX CONTACT 8334_de_02...
Seite 91 Auch wenn der externe Speicher ist nicht angeschlossen, voll oder defekt ist, werden Konfigurationsänderungen ausge- führt. Entsprechende Fehlermeldungen erscheinen im Log- ging (siehe Kapitel 5.11.2). Die Aktivierung der neuen Einstellung verlängert die Reakti- onszeit der Bedienoberfläche, wenn Einstellungen geändert werden. 5-43 8334_de_02 PHOENIX CONTACT...
Seite 92 Diese muss die folgenden Eigenschaften besitzen: – VFAT-Dateisystem auf der ersten primären Partition, mindestens 64 MB freie Spei- cherkapazität. Wir empfehlen die Verwendung von Karten von Phoenix Contact, bei Verwendung von Karten anderer Hersteller gilt: auf eigene Gefahr und kein Support durch Phoenix Contact.
Seite 93 Die Bearbeitung einer SNMP-Anfrage kann länger als eine Sekunde dauern. Dieser Wert entspricht jedoch dem Standard-Timeout-Wert einiger SNMP-Management-Applikatio- nen. • Setzen Sie aus diesem Grund den Timeout-Wert Ihrer Management Applikation auf Werte zwischen 3 und 5 Sekunden, falls Timeout-Probleme auftreten sollten. 5-45 8334_de_02 PHOENIX CONTACT...
Seite 94 Sind mehrere Firewall-Regeln gesetzt, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann an- gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert. 5-46 PHOENIX CONTACT 8334_de_02...
Seite 95 Ereignis protokolliert werden soll – Log auf Ja setzen – oder das Ereignis nicht protokolliert werden soll – Log auf Nein setzen (werkseitige Voreinstellung). Extern 2 und Einwahl nur bei Geräten mit serieller Schnittstelle (siehe „Netzwerk >> Interfaces“ auf Seite 5-60). 5-47 8334_de_02 PHOENIX CONTACT...
Seite 96 Die interne IP-Adresse (im Stealth-Modus die Stealth Management IP-Adresse bzw. Virtuelle IP) muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbin- dung als Lokal angegeben ist (siehe „VPN-Verbindung / VPN-Verbindungskanäle defi- nieren“ auf Seite 5-185). 5-48 PHOENIX CONTACT 8334_de_02...
Seite 97 : FL MGUARDShellLastAccessIP Dieser Trap wird gesendet, wenn jemand die Shell öffnet per SSH oder über die serielle Schnittstelle. Der Trap enthält die IP-Adresse der Login-Anfrage. Wurde diese Anfrage über die serielle Schnittstelle abgesetzt, lautet der Wert 0.0.0.0. 5-49 8334_de_02 PHOENIX CONTACT...
Seite 98 – specific-trap : FL MGUARDTrapSignalRelais (3) – additional : FL MGUARDTResSignalRelaisState (FL MGUARDTEsSignlalRelaisRea- son, FL MGUARDTResSignal Relais- ReasonIdx) Wird gesendet nach geändertem Meldekontakt und gibt den dann aktuellen Status an (0 = Aus, 1 = Ein). 5-50 PHOENIX CONTACT 8334_de_02...
Seite 99 Netzlauf- – enterprise-oid : FL MGUARDTrapCIFSScan werkes – generic-trap : enterpriseSpecific – specific-trap : FL MGUARDTrapCIFSScanFailure (2) – additional : FL MGUARDTResCIFSShare, FL MGUARDTResCIFSScanError, FL MGUARDTResCIFSNumDiffs Dieser Trap wird gesendet, wenn CIFS-Integritätsprüfung fehlgeschlagen ist. 5-51 8334_de_02 PHOENIX CONTACT...
Seite 100 Trap bei Ausloggen eines Benutzers der Benutzer-Firewall – enterprise-oid : FL MGUARDTrapUserFirewall – generic-trap : enterpriseSpecific – specific-trap : FL MGUARDTrapUserFirewallAuthEr- ror TRAP-TYPE (3) – additional : FL MGUARDTResUserFirewallUser- name, FL MGUARDTResUserFirewallSrcIP, FL MGUARDTResUserFirewallAuthen- ticationMethod Trap bei Authentifizierungs-Fehler. 5-52 PHOENIX CONTACT 8334_de_02...
Seite 101 : FL MGUARDTResVPNName, FL MGUARDTResVPNIndex, FL MGUARDTResVPNPeer, FL MGUARDTResVPNStatus, FL MGUARDTResVPNLocal, FL MGUARDTResVPNRemote Trap bei Zustandsänderung einer L2TP-Verbindung SNMP-Trap-Ziele Traps können an mehrere Ziele versendet werden. Ziel-IP IP-Adresse, an welche der Trap gesendet werden soll. 5-53 8334_de_02 PHOENIX CONTACT...
Seite 102 Verwaltung >> SNMP >> Trap [...] Ziel-Port Standard: 162 Ziel-Port, an welchen der Trap gesendet werden soll Zielname Ein optionaler beschreibender Name für das Ziel. Hat keinen Einfluss auf die generierten Traps. Ziel-Community Name der SNMP-Community, der der Trap zugeordnet ist. 5-54 PHOENIX CONTACT 8334_de_02...
Seite 103 Ein Text, welcher die Netzwerkschnittstelle beschreibt, über welche der Rechner gefunden wurde. Systemname Hostname des gefundenen Rechners. Schaltfläche: Aktuali- Um gegebenenfalls die angezeigten Daten auf den aktuellen sieren Stand zu bringen, auf die Schaltfläche Aktualisieren klicken. 5-55 8334_de_02 PHOENIX CONTACT...
Seite 104 (siehe „Verwaltung >> Systemeinstellungen“ auf Seite 5-4, „Zeit und Datum“ auf Seite 5-7). Die Zeitsteuerung setzt die ausgewählte Zeit in Bezug auf die eventuell konfigurierte Zeitzone. Server IP-Adresse oder Hostname des Servers, welcher die Konfigu- rationen bereitstellt. 5-56 PHOENIX CONTACT 8334_de_02...
Seite 105 Wird dieses Auswahlkriterium erfüllt, d. h. es wird ein neueres Konfigurationsprofil ange- boten, holt sich der FL MGUARD dieses Konfigurationsprofil, setzt es in Kraft und prüft es gemäß des oben beschriebenen Verfahrens - und setzt es bei nicht bestandener Prüfung per Rollback wieder außer Kraft. 5-57 8334_de_02 PHOENIX CONTACT...
Seite 106 Passwort, das der HTTPS Server abfragt. Server-Zertifikat Das Zertifikat, mit dem der FL MGUARD prüft, dass das vom Konfigurations-Server „vorgezeigte“ Zertifikat echt ist. Es ver- hindert, dass von einem nicht autorisierten Server falsche Konfigurationen auf dem FL MGUARD installiert werden. 5-58 PHOENIX CONTACT 8334_de_02...
Seite 107 Parameter funktionieren. Das Ergebnis des Tests wird in der rechten Spalte angezeigt. Stellen Sie sicher, dass das Profil auf dem Server keine unerwünschten mit „GAI_PULL_“ beginnen- den Variablen enthält, welche die hier vorgenom- mene Konfiguration überschreiben. 5-59 8334_de_02 PHOENIX CONTACT...
Seite 108 Die Details dazu müssen auf den Registerkarten Allgemein, Ethernet, Ausgehender Ruf, Eingehender Ruf und Modem / Konsole konfiguriert werden. Für weitere Erläuterungen zur Nutzungsmöglichkeit der seriellen Schnittstelle (und eines eingebauten Modems) siehe „Modem / Konsole“ auf Seite 5-96. 5-60 PHOENIX CONTACT 8334_de_02...
Seite 109 Nur Anzeige: Hier wird der Name der DNS-Server angezeigt, die vom FL MGUARD zur Namensauflösung benutzt werden. Diese Information kann nützlich sein, wenn der FL MGUARD z. B. die DNS-Server verwendet, welche ihm vom Internet Service Provider vorgegeben werden. 5-61 8334_de_02 PHOENIX CONTACT...
Seite 110 Modus = Router, Router-Modus = Modem / Eingebautes Mo- dem“ auf Seite 5-84 „Netzwerk-Modus = Router, Router-Modus = Modem / Eingebautes Modem“ auf Seite 5-84 Modem steht nicht bei allen FL MGUARD-Modellen zur Verfügung (siehe „Netzwerk >> Interfaces“ auf Seite 5-60) 5-62 PHOENIX CONTACT 8334_de_02...
Seite 111 Rechner konfigurierte Standard-Gateway erreichbar ist. Im Netzwerk-Modus Stealth kann zusätzlich ein sekundäres externes Interface konfiguriert werden (siehe „Sekundäres externes Interface“ auf Seite 5-71). Für die weitere Konfiguration des Netzwerk-Modus Stealth siehe „Netzwerk-Modus: Stealth“ auf Seite 5-67. 5-63 8334_de_02 PHOENIX CONTACT...
Seite 112 Im Netzwerk-Modus Router kann zusätzlich ein sekundäres externes Interface konfiguriert werden (siehe „Sekundäres externes Interface“ auf Seite 5-71). Es gibt mehrere Router-Modi, je nach Internetanbindung: – statisch – DHCP – PPPoE – PPPT – Modem 5-64 PHOENIX CONTACT 8334_de_02...
Seite 113 Netz heraus Zugriff auf das Internet zu erhalten (siehe „Netzwerk >> NAT“ auf Seite 5-100). Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen genutzt werden. Für die weitere Konfiguration des Netzwerk-Modus PPTP siehe „Netzwerk-Modus: Router, Router-Modus = PPTP“ auf Seite 5-83. 5-65 8334_de_02 PHOENIX CONTACT...
Seite 114 Sie korrekte Werte angeben. Sonst ist der FL MGUARD unter Umständen nicht mehr erreichbar. Für die weitere Konfiguration des Netzwerk-Modus Eingebautes Modem / Modem siehe „Netzwerk-Modus = Router, Router-Modus = Modem / Eingebautes Modem“ auf Seite 5-84. 5-66 PHOENIX CONTACT 8334_de_02...
Seite 115 Gilt nur, wenn als Netzwerk-Modus „Stealth“ ausgewählt ist. Stealth-Konfiguration automatisch / statisch / mehrere Clients automatisch Der FL MGUARD analysiert den Netzwerkverkehr, der über ihn läuft, und konfiguriert dementsprechend seine Netz- werkanbindung eigenständig. Er arbeitet transparent. 5-67 8334_de_02 PHOENIX CONTACT...
Seite 116 ARD erreichbar ist), müsste der FL MGUARD entsprechend hin- und herschalten, was den Betrieb erheblich stören würde. Um das zu verhindern, setzen Sie diesen Schalter auf Ja, so- fern Sie den FL MGUARD an einem Rechner angeschlossen haben, der diese Eigenarten aufweist. 5-68 PHOENIX CONTACT 8334_de_02...
Seite 117 FL MGUARD wäre nicht mehr lokal administrierbar. Um das zu verhindern hat der FL MGUARD einen Mechanismus einge- baut, der dafür sorgt, dass in einem solchen Fall die Stealth Management IP-Adresse vom lokal angeschlossenem Rechner (oder Netz) erreichbar bleibt 5-69 8334_de_02 PHOENIX CONTACT...
Seite 118 Kommunikation mit einem NTP-Server (zur Zeit-Synchronisation) – das Versenden und Empfangen verschlüsselter Datenpakete von VPN-Verbindun- – Anfragen an DNS-Server – Syslog-Meldungen – das Herunterladen von Firmware-Updates – das Herunterladen von Konfigurationsprofilen von einem zentralen Server (sofern konfiguriert) – SNMP-Traps 5-70 PHOENIX CONTACT 8334_de_02...
Seite 119 In diesen Netzwerk-Modi kann die serielle Schnittstelle des FL MGUARDs als zusätzliches sekundäres externes Interface konfiguriert werden. Über das sekundäre externe Interface kann permanent oder aushilfsweise Datenverkehr ins externe Netz (WAN) geführt werden. Bei aktiviertem sekundärem externen Interface gilt Folgendes: 5-71 8334_de_02 PHOENIX CONTACT...
Seite 120 FL MGUARDs und ein daran angeschlossenes ex- ternes Modem gebildet. Betriebs-Modus permanent / aushilfsweise Nach Auswahl des Netzwerk-Modus Modem oder Eingebau- tes Modem für das sekundäre externe Interface muss der Be- triebs-Modus des sekundären externen Interface festgelegt werden. 5-72 PHOENIX CONTACT 8334_de_02...
Seite 121 IP-Adresse bekannt ist. Bei Einwahl ins Internet über die Telefonnummer des Internet Service Providers wird die Adresse des Gateways normaler- weise erst nach Einwahl bekannt. In diesem Fall ist %gateway als Platzhalter in das Feld einzutragen. 5-73 8334_de_02 PHOENIX CONTACT...
Seite 122 Die Netzwerkadresse 0.0.0.0/0 bezeichnet generell das größte definierbare Netz, also das Internet Im Netzwerk-Modus Router kann das lokale Netz, das am FL MGUARD ange- schlossen ist, über das sekundäre externe Interface erreicht werden, sofern die Firewall-Einstellungen so festgelegt sind, dass sie das zulassen. 5-74 PHOENIX CONTACT 8334_de_02...
Seite 123 Erfolg / Misserfolg: Ein Ping-Test gilt dann als erfolgreich absolviert, wenn der FL MGUARD innerhalb von 4 Sekunden eine positive Reaktion auf das ausgesandte Ping-Request Paket erhält. Bei einer po- sitiven Reaktion gilt die Gegenstelle als erreichbar. 5-75 8334_de_02 PHOENIX CONTACT...
Seite 124 Testläufe werden nicht unbedingt vollständig abgearbeitet: Sobald ein Ping-Test eines Testlaufs erfolgreich ist, werden die folgenden Ping-Tests desselben Testlaufs ausgelassen. Dauert ein Testlauf länger als das festgelegte Intervall, dann wird der nächste Testlauf direkt im Anschluss gestartet. 5-76 PHOENIX CONTACT 8334_de_02...
Seite 125 In dieser Liste können Sie die IP-Adressen von Domain Name Nameserver Servern erfassen. Diese benutzt der FL MGUARD bei der Kommunikation über das sekundäre externe Interface - sofern dieses aushilfsweise aktiviert ist und der DNS-Modus (s. o.) für diesen Fall mit Benutzerdefiniert angegeben ist. 5-77 8334_de_02 PHOENIX CONTACT...
Seite 126 IP-Adresse, unter welcher der FL MGUARD über seinen LAN- Port erreichbar sein soll. Netzmaske Die Netzmaske des am LAN-Port angeschlossenen Netzes. Verwende VLAN Wenn die IP-Adresse innerhalb eines VLANs liegen soll, ist diese Option auf Ja zu setzen. 5-78 PHOENIX CONTACT 8334_de_02...
Seite 127 Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 5-256) Gateway Das Gateway, über welches dieses Netzwerk erreicht werden kann. Siehe auch „Netzwerk-Beispielskizze“ auf Seite 5-257 Sekundäres externes Siehe „Sekundäres externes Interface“ auf Seite 5-71 Interface 5-79 8334_de_02 PHOENIX CONTACT...
Seite 128 Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden. Zusätzliche externe Zusätzlich zur Standard-Route über das unten angegebene Routen Standard-Gateway können Sie weitere externe Routen festle- gen. Netzwerk / Gateway (Siehe „Netzwerk-Beispielskizze“ auf Seite 5-257) 5-80 PHOENIX CONTACT 8334_de_02...
Seite 129 Es gibt bei Netzwerk-Modus = Router, Router-Modus = „DHCP“ keine zusätzlichen Einstell- möglichkeiten. Netzwerk >> Interfaces >> Allgemein (Netzwerk-Modus = „Router“, Router-Modus = „DHCP“) Interne Netzwerke Siehe „Interne Netzwerke“ auf Seite 5-78. Sekundäres externes Siehe „Sekundäres externes Interface“ auf Seite 5-71 Interface 5-81 8334_de_02 PHOENIX CONTACT...
Seite 130 „Verwaltung >> Systemeinstellungen“ auf Seite 5-4, „Zeit und Datum“ auf Seite 5-7). Reconnect täglich um Angabe der Uhrzeit, falls Automatisches Reconnect (s. o.) stattfindet. Interne Netzwerke Siehe „Interne Netzwerke“ auf Seite 5-78. Sekundäres externes Siehe „Sekundäres externes Interface“ auf Seite 5-71 Interface 5-82 PHOENIX CONTACT 8334_de_02...
Seite 131 Das ist die Adresse des PPTP-Servers des Internet Service Providers. Interne Netzwerke Siehe „Interne Netzwerke“ auf Seite 5-78. Sekundäres externes Siehe „Sekundäres externes Interface“ auf Seite 5-71 Interface Dieser Menüpunkt gehört nicht zum Funktionsumfang vom FL MGUARD RS2000. 5-83 8334_de_02 PHOENIX CONTACT...
Seite 132 (siehe „Ausgehender Ruf“ auf Seite 5-87 und „Eingehender Ruf“ auf Seite 5-93). Auf der Registerkarte Modem / Konsole nehmen Sie Anschlusseinstellungen für ein externes Modem vor (siehe „Modem / Konsole“ auf Seite 5-96). Die Konfiguration der internen Netzwerke wird im nächsten Abschnitt erklärt. 5-84 PHOENIX CONTACT 8334_de_02...
Seite 133 Ja: Versuche die benötigte Betriebsart automatisch zu er- guration mitteln. – Nein: Verwende die vorgegebene Betriebsart aus der Spalte „Manuelle Konfiguration“. Manuelle Konfigura- Die gewünschte Betriebsart, wenn Automatische Konfigura- tion tion auf Nein gestellt ist. Aktuelle Betriebsart Die aktuelle Betriebsart des Netzwerkanschlusses. 5-85 8334_de_02 PHOENIX CONTACT...
Seite 134 FL MGUARD Netzwerk >> Interfaces >> Ethernet Port On Ja / Nein Schaltet den Ethernetanschluss auf Ein oder Aus. 5-86 PHOENIX CONTACT 8334_de_02...
Seite 135 ATD zum Wählen ergibt sich für das angeschlossene Modem z. B. folgende Wählsequenz: ATD765432 Standardmäßig wird das kompatiblere Pulswahlverfahren be- nutzt, das auf jeden Fall funktioniert. Es können Wählsonderzeichen in die Wählsequenz aufge- nommen werden. 5-87 8334_de_02 PHOENIX CONTACT...
Seite 136 Sie die entsprechenden Daten ein. Wenn die Authentifizierung per PAP erfolgt: Benutzername Benutzername, zur Anmeldung beim Internet-Service-Provi- der, um Zugang zum Internet zu erhalten. Passwort Passwort, zur Anmeldung beim Internet-Service-Provider an- gegeben, um Zugang zum Internet zu erhalten. 5-88 PHOENIX CONTACT 8334_de_02...
Seite 137 Bei Ja werden die nachfolgen 2 Eingabefelder eingeblendet: Passwort für die Ser- Passwort, das der FL MGUARD beim Server abfragt. Nur ver-Authentifizierung wenn der Server das verabredete Passwort liefert, erlaubt der FL MGUARD die Verbindung. 5-89 8334_de_02 PHOENIX CONTACT...
Seite 138 Zeit keine Netzwerkpakete mehr zu übertragen ge- wesen sind (siehe Wert in Verbindungstrennung nach Leer- lauf). Auf diese Weise bleibt der FL MGUARD allerdings nicht ständig von außerhalb, d. h. für eingehende Datenpakete, er- reichbar. 5-90 PHOENIX CONTACT 8334_de_02...
Seite 139 Telefonverbindung dennoch unterbrochen, versucht der FL MGUARD, sie sofort wiederherzustellen. So entsteht eine ständige Verbindung, also praktisch eine Standleitung. Auf diese Weise bleibt der FL MGUARD auch ständig von außer- halb, d. h. für eingehende Datenpakete, erreichbar. 5-91 8334_de_02 PHOENIX CONTACT...
Seite 140 Werte (Lokale IP-Adresse, Entfernte IP-Adresse, Netzmaske) fest eingestellt werden oder auf dem Wert 0.0.0.0 verbleiben. Auf der Registerkarte Modem / Konsole nehmen Sie An- schlusseinstellungen für ein externes Modem vor (siehe „Mo- dem / Konsole“ auf Seite 5-96). 5-92 PHOENIX CONTACT 8334_de_02...
Seite 141 Steht dieser Schalter auf Ein, steht die ppp-Einwahloption zur Verfügung. Die Anschlusseinstellungen für das angeschlos- sene externe Modem sind auf der Registerkarte Modem / Konsole vorzunehmen. Lokale IP-Adresse IP-Adresse des FL MGUARDs, unter der er bei einer PPP- Verbindung erreichbar ist. 5-93 8334_de_02 PHOENIX CONTACT...
Seite 142 Ereignis protokolliert werden soll - Log auf Ja setzen – oder nicht - Log auf Nein setzen (werkseitige Voreinstel- lung). Log-Einträge für unbe- Ja / Nein kannte Verbindungs- Bei Ja werden alle Verbindungsversuche protokolliert, die versuche nicht von den voranstehenden Regeln erfasst werden. 5-94 PHOENIX CONTACT 8334_de_02...
Seite 143 Netzwerk >> Interfaces >> Eingehender Ruf [...] Ausgangsregeln Firewall-Regeln für ausgehende PPP-Verbindungen vom LAN (Port) Interface. Die Parameter entsprechen denen von Eingangsregeln (PPP). Diese Ausgangsregeln gelten für Datenpakete, die bei einer durch PPP-Einwahl initiierten Datenverbindung nach draußen gehen. 5-95 8334_de_02 PHOENIX CONTACT...
Seite 144 Diese Verwendungsart wird als PPP-Einwahloption bezeichnet. Sie kann für den Zu- griff ins LAN benutzt werden, das sich hinter dem FL MGUARD befindet, oder für die Konfiguration des FL MGUARDs. In Firewall-Auswahllisten wird für diese Verbindungs- art die Interface-Bezeichnung Einwahl verwendet. 5-96 PHOENIX CONTACT 8334_de_02...
Seite 145 Terminal-Programm genutzt werden kann. Unter Windows benötigen Sie einen speziellen Treiber. Die- ser kann direkt vom FL MGUARD herunter geladen werden. Der Link hierzu befindet sich rechts neben dem Auswahlmenü „Serielle Konsole über USB“. 5-97 8334_de_02 PHOENIX CONTACT...
Seite 146 Doch sollte auf diese Möglichkeit besser verzichtet werden. Initialisierungssequenzen sollten statt dessen lieber extern, d. h. beim FL MGUARD kon- figuriert werden. Dann kann bei einem Defekt des Modems dieses schnell und problem- los ausgetauscht werden, ohne auf Modem-Voreinstellungen zu achten. 5-98 PHOENIX CONTACT 8334_de_02...
Seite 147 “ (ein Leerzeichen gefolgt von „ ATX3 “, gefolgt von einem Leerzeichen, gefolgt von „ “). In dem Fall sollten Sie in die Anzurufende Telefonnummer nach der Ziffer zur Amtsholung das Steuerzeichen „ “ einfügen, damit auf das Freizeichen gewartet wird. 5-99 8334_de_02 PHOENIX CONTACT...
Seite 148 Extern / Extern 2 / Alle Externen / Intern face Gibt an, über welches Interface die Datenpakete ausgehen, damit sich die Regel auf sie bezieht. Mit Alle Externen sind die Interfaces Extern und Extern 2 gemeint 5-100 PHOENIX CONTACT 8334_de_02...
Seite 149 Beispiel: Der FL MGUARD ist über seinen LAN-Port an Netzwerk 192.168.0.0/24 angeschlossen, mit seinem WAN-Port an Netzwerk 10.0.0.0/24. Durch das 1:1-NAT lässt sich der LAN- Rechner 192.168.0.8 im externen Netz unter der IP-Adresse 10.0.0.8 erreichen. 10.0.0.8 192.168.0.8 192.168.0.0/24 10.0.0.0/24 5-101 8334_de_02 PHOENIX CONTACT...
Seite 150 Netzwerkadresse (siehe auch „CIDR (Classless Inter- Domain Routing)“ auf Seite 5-256). Kommentar Kann mit kommentierendem Text gefüllt werden. Extern 2 und Alle Externen nur bei Geräten mit serieller Schnittstelle: FL MGUARD RS4000 (siehe „Sekundäres ex- ternes Interface“ auf Seite 5-71). 5-102 PHOENIX CONTACT 8334_de_02...
Seite 151 Senders eingetragen wird, zum Beispiel 193.194.195.196/32. Von IP Absenderadresse, für die Weiterleitungen durchgeführt wer- den sollen. 0.0.0.0/0 bedeutet alle Adressen. Um einen Bereich anzuge- ben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 5-256) 5-103 8334_de_02 PHOENIX CONTACT...
Seite 152 Ein frei wählbarer Kommentar für diese Regel. Für jede einzelne Port-Weiterleitungs-Regel können Sie fest- legen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll - Log auf Ja setzen – oder nicht - Log auf Nein setzen (werkseitige Voreinstel- lung). 5-104 PHOENIX CONTACT 8334_de_02...
Seite 153 Modus oder im Router-Modus mit DHCP arbeitet. – Benutzerdefiniert (unten stehende Liste) Ist diese Einstellung gewählt, nimmt der FL MGUARD mit den Domain Name Servern Verbindung auf, die in der Liste Benutzer definierte Nameserver aufgeführt sind. 5-105 8334_de_02 PHOENIX CONTACT...
Seite 154 Einer IP-Adresse dürfen mehrere Hostnamen zugeordnet werden. Abkürzung für Time To Live. Angabe in Sekunden. Standard: 3600 (= 1 Stunde) Gibt an, wie lange abgerufene Zuordnungspaare im Cache des abrufenden Rechners gespeichert bleiben dürfen. 5-106 PHOENIX CONTACT 8334_de_02...
Seite 155 Konfiguration Netzwerk >> DNS >> DNS-Server [...] Die IP-Adresse, die dem Hostnamen in dieser Tabellenzeile zugeordnet wird. Domäne mit allen Den entsprechenden Tabelleneintrag löschen. Zuordnungspaaren löschen 5-107 8334_de_02 PHOENIX CONTACT...
Seite 156 10.1.31.2/24 Steuerung B fill.cell-b.example.com Werksnetz 10.1.31.3/24 Steuerung C (Ethernet) pack.cell-b.example.com Switch 10.1.31.0/24 10.1.32.1/24 Steuerung A Maschine C fold.cell-c.example.com 10.1.32.2/24 Steuerung B fill.cell-c.example.com 10.1.32.3/24 Steuerung C pack.cell-c.example.com Switch 10.1.32.0/24 Hostname Domain-Name Bild 5-1 Lokale Auflösung von Hostnamen 5-108 PHOENIX CONTACT 8334_de_02...
Seite 157 Wählen Sie den Namen des Anbieters, bei dem Sie registriert sind, z. B. DynDNS.org, TinyDynDNS, DNS4BIZ DynDNS-Server Name des Servers des ausgewählten DynDNS-Anbieters. DynDNS-Login, Geben Sie hier den Benutzernamen und das Passwort ein, DynDNS-Passwort das Ihnen vom DynDNS-Anbieter zugeteilt worden ist. 5-109 8334_de_02 PHOENIX CONTACT...
Seite 158 Netzwerk >> DNS >> DynDNS [...] DynDNS-Hostname Der für diesen FL MGUARD gewählte Hostname beim DynDNS-Service - sofern Sie einen DynDNS-Dienst benutzen und oben die entsprechenden Angaben gemacht haben. Unter diesem Hostnamen ist dann der FL MGUARD erreich- bar. 5-110 PHOENIX CONTACT 8334_de_02...
Seite 159 Auf der Registerkarte „Allgemein“ unter „Diese Verbindung verwendet folgende Ele- mente“ den Eintrag „Internetprotokoll (TCP/IP“) markieren und auf die Schaltfläche „Ei- genschaften“ klicken. • Machen Sie im Dialogfeld „Eigenschaften von Internetprotokoll (TCP/IP)“ die entspre- chenden Angaben bzw. Einstellungen. 5.3.4.1 Internes / Externes DHCP 5-111 8334_de_02 PHOENIX CONTACT...
Seite 160 DHCP-Anfragen des Rechners und die entspre- chenden Antworten jedoch durchgeleitet. Wenn der Schalter auf Deaktiviert steht, beantwortet der FL MGUARD keine DHCP-Anfragen. DHCP-Modus Server Ist als DHCP-Modus Server ausgewählt, werden unten auf der Seite entsprechende Ein- stellmöglichkeiten wie folgt eingeblendet. 5-112 PHOENIX CONTACT 8334_de_02...
Seite 161 Starten Sie winipcfg in einer DOS-Box. Windows NT/2000/XP: • Starten Sie ipconfig /all in einer Eingabeaufforderung. Die MAC-Adresse wird als „Physikalische Adresse“ ange- zeigt. Linux: • Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf. 5-113 8334_de_02 PHOENIX CONTACT...
Seite 162 Eine Liste von einem oder mehreren DHCP-Servern, an wel- denen weitergeleitet che DHCP-Anfragen weitergeleitet werden sollen. werden soll Füge Relay-Agent- Beim Weiterleiten können zusätzliche Informationen nach Information (Option RFC 3046 für die DHCP-Server angefügt werden, an welche 82) an weitergeleitet wird. 5-114 PHOENIX CONTACT 8334_de_02...
Seite 163 Adresse und Port in den nächsten beiden Feldern festzu- legen ist. HTTP(S) Proxy Server Hostname oder IP-Adresse des Proxy Servers. Port Nummer des zu verwendenden Ports, z. B. 3128. Proxy-Authentifizierung Login Benutzername zur Anmeldung beim Proxy Server. Passwort Passwort zur Anmeldung beim Proxy Server. 5-115 8334_de_02 PHOENIX CONTACT...
Seite 164 Feld Altes Passwort das alte Passwort ein, in die beiden Felder darunter das neue gewünschte Passwort. Admin Administrator-Pass- Bietet die Rechte für die Konfigurationsoptionen, die über die wort (Account: admin) Web-basierte Administratoroberfläche zugänglich sind. Benutzername (nicht änderbar): admin Voreingestelltes Passwort: mGuard 5-116 PHOENIX CONTACT 8334_de_02...
Seite 165 Shell-Zugang siehe Menü: Verwaltung >> Systemeinstellungen >> Shell-Zu- gang – über den Web-Zugriff siehe Menü: Verwaltung >> Web-Einstellungen >> Zugriff Die RADIUS-Filter werden nacheinander durchsucht. Bei der ersten Übereinstimmung wird der Zugriff mit der entsprechenden Rolle (admin, netadmin, audit) gewährt. 5-117 8334_de_02 PHOENIX CONTACT...
Seite 166 Gruppennamen enthalten. Erlaubt sind bis zu 50 Zeichen (nur druckbare UTF-8 Zeichen) ohne Leerzeichen Für den Zugriff autori- Jeder Gruppe wird eine administrative Rolle zugewiesen. siert als admin: Administrator netadmin: Administrator für das Netzwerk audit: Auditor/Prüfer 5-118 PHOENIX CONTACT 8334_de_02...
Seite 167 Gruppennamen als Template Benutzer eingetragen haben. Der RADIUS-Server muss so konfiguriert werden, dass dieser den Gruppennamen im „Access Accept“ Paket als „Filter- ID=<gruppenname>“ Attribut mitschickt. Benutzername Name, den der Benutzer bei der Anmeldung angibt. 5-119 8334_de_02 PHOENIX CONTACT...
Seite 168 (befugter) Firewall-Benutzer vergisst, sich nach der Sitzung auszuloggen. Diese Unsicherheit beim Einloggen über ein „unsicheres Interface“ wird zwar nicht grund- sätzlich beseitigt, aber zeitlich eingegrenzt, indem für das verwendete Benutzerfirewall- Template das konfigurierte Timeout gesetzt ist. Siehe „Timeout-Typ“ auf Seite 5-158. 5-120 PHOENIX CONTACT 8334_de_02...
Seite 169 Auf diese Weise lassen sich alle Einstellungen von Benutzern zentral verwalten. Damit die RADIUS-Authentifizierung aktiv wird, müssen Sie unter Authentifizierung >> Firewall-Benutzer bei dem Unterpunkt Aktiviere Gruppenauthentifizierung die Auswahl Ja einstellen und als Authentifizierungsmethode den Punkt RADIUS auswählen. 5-121 8334_de_02 PHOENIX CONTACT...
Seite 170 Dies kostet beim Einloggen Zeit. Außerdem kann unter Umständen keine Authenti- fizierung stattfinden, wenn eine Namens- auflösung fehl schlägt, weil z. B. der DNS nicht er- reichbar ist oder der Name im DNS gelöscht wurde. 5-122 PHOENIX CONTACT 8334_de_02...
Seite 171 Richten Sie den RADIUS-Server beim FL MGUARD ein zweites Mal mit einem neuen Passwort ein. • Stellen Sie dieses neue Passwort ebenfalls beim RADIUS-Server ein. • Löschen Sie beim FL MGUARD die Zeile mit dem alten Passwort. 5-123 8334_de_02 PHOENIX CONTACT...
Seite 172 Zertifikat oder Benutzerzertifikat, das dieser Mensch „vorzeigt“. Ein sol- ches personenbezogenes Zertifikat kann z. B. auch auf einer Chipkarte gespeichert sein und von dessen Inhaber bei Bedarf in den Kartenleser seines Rechners gesteckt werden, wenn der Web-Browser bei der Verbindungsherstellung dazu auffordert. 5-124 PHOENIX CONTACT 8334_de_02...
Seite 173 CA-Zertifikat der ihr übergeordneten CA usw. bis hin zum Root-Zertifikat (siehe im Glossar unter CA-Zertifikat). Die Authentifizierung anhand von CA-Zertifikaten macht es möglich, den Kreis möglicher Gegenstellen ohne Verwaltungsaufwand zu erweitern, weil nicht für jede mögliche Gegen- stelle deren Gegenstellen-Zertifikat installiert werden muss. 5-125 8334_de_02 PHOENIX CONTACT...
Seite 174 Ein zugehöriges von einer CA (Certificate Authority) signiertes Zertifikat muss bei einer CA beantragt werden. Damit der private Schlüssel zusammen mit dem zugehörigen Zertifikat in den FL MGUARD importiert werden können, müssen diese Bestandteile in eine sogenannte PKCS#12-Datei (Dateinamen-Erweiterung *.p12) eingepackt werden. 5-126 PHOENIX CONTACT 8334_de_02...
Seite 175 Ob die beiden Verfahren alternativ oder kombiniert zu verwenden sind, wird bei VPN, SSH und HTTPS unterschiedlich gehandhabt. Einschränkung Safari- Browser Beachten Sie bei einem administrativer Zugriff zum FL MGUARD mit dem Safari Brow- ser über ein X.509-Zertifikat, dass alle Sub-CA-Zertifikate im Truststore des Browsers in- stalliert seien müssen. 5-127 8334_de_02 PHOENIX CONTACT...
Seite 176 CA-Zertifikaten die Vereinigungsmenge bilden, um die Kette zu bil- den. Auf jeden Fall muss aber das zugehörige Root-CA-Zertifikat auf dem FL MGUARD zur Verfügung stehen. (Siehe „Verwaltung >> Web-Einstellungen“ auf Seite 5-24, „Zugriff“ auf Seite 5-25) 5-128 PHOENIX CONTACT 8334_de_02...
Seite 177 (VPN, SSH, HTTPS) referenziert werden, welche aus dem Pool der in den FL MGUARD importierten Zertifikate jeweils verwendet werden sollen. Das Gegenstellen-Zertifikat für das Authentifizieren einer VPN-Verbindung (bzw. der Ka- näle einer VPN-Verbindung) wird im Menü IPsec VPN >> Verbindungen installiert. 5-129 8334_de_02 PHOENIX CONTACT...
Seite 178 Uhr (bei FL MGUARD RS4000/2000, FL MGUARD SMART2) oder – durch Synchronisierung der Systemzeit (siehe „Zeit und Datum“ auf Seite 5-7). Bis zu diesem Zeitpunkt werden alle zu prüfenden Zertifikate sicherheitshalber als ungültig erachtet. 5-130 PHOENIX CONTACT 8334_de_02...
Seite 179 Sie an, von wo der FL MGUARD die Sperrlisten be- kommt. Ist die CRL-Prüfung eingeschaltet, der CRL-Download aber auf Nie gesetzt, muss die CRL manuell in den FL MGUARD geladen worden sein, damit die CRL-Prüfung gelingen kann. 5-131 8334_de_02 PHOENIX CONTACT...
Seite 180 Verbindung bzw. die jeweilige Fernzugriffsart zu benutzen. Beispiel für importierte Maschinenzertifikate: Authentifizierung >> Zertifikate >> Maschinenzertifikate Maschinenzertifikate Zeigt die aktuell importierten X.509-Zertifikate an, mit dem sich der FL MGUARD gegenüber Gegenstellen, z. B. anderen VPN-Gateways, ausweist. 5-132 PHOENIX CONTACT 8334_de_02...
Seite 181 Schlüssel und ist deshalb unbedenklich. Gehen Sie dazu wie folgt vor: • Beim betreffenden Maschinenzertifikat neben dem Zeilentitel Zertifikat herunterladen auf die Schaltfläche Aktuelle Zertifikatsdatei klicken. • Im sich daraufhin öffnenden Dialogfeld die gewünschten Angaben machen. 5-133 8334_de_02 PHOENIX CONTACT...
Seite 182 Namen müssen eindeutig sein, dürfen also nicht doppelt vergeben werden. Verwendung des Kurzna- Bei der Konfiguration mens: – von SSH (Menü Verwaltung >> Systemeinstellungen , Shell-Zugang), – von HTTPS (Menü Verwaltung >> Web-Einstellungen , Zugriff) und – von VPN-Verbindungen (Menü IPsec VPN >> Verbindungen ) 5-134 PHOENIX CONTACT 8334_de_02...
Seite 183 Aus dem importierten CA-Zertifikat können Sie eine Kopie erzeugen. Gehen Sie dazu wie folgt vor: • Beim betreffenden CA-Zertifikat neben dem Zeilentitel Zertifikat herunterladen auf die Schaltfläche Aktuelle Zertifikatsdatei klicken. Im sich daraufhin öffnenden Dialogfeld die gewünschten Angaben machen. 5-135 8334_de_02 PHOENIX CONTACT...
Seite 184 Zertifikats hier als Kurzname vorgeschlagen, sofern das Feld Kurzname bis jetzt leer ist. Dieser Name kann übernommen oder frei geändert werden. • Sie müssen einen Namen vergeben, den vorgeschlagenen oder einen anderen. Und Namen müssen eindeutig sein, dürfen also nicht doppelt vergeben werden. 5-136 PHOENIX CONTACT 8334_de_02...
Seite 185 Aus dem importierten Gegenstellen-Zertifikat können Sie eine Kopie erzeugen. Gehen Sie dazu wie folgt vor: • Beim betreffenden Gegenstellen-Zertifikat neben dem Zeilentitel Zertifikat herunterla- den auf die Schaltfläche Aktuelle Zertifikatsdatei klicken. Im sich daraufhin öffnen- den Dialogfeld die gewünschten Angaben machen. 5-137 8334_de_02 PHOENIX CONTACT...
Seite 186 Bei Ja greift der FL MGUARD durch einen VPN-Tunnel auf die VPN wenn möglich URL zu, die die CRL zum Download bereitstellt. Dazu muss ein passender VPN-Tunnel konfiguriert und aktiv sein und den Zugang erlauben. Sonst werden die CRL-Downloads dieser URL nicht durch einen VPN-Tunnel weitergeleitet. 5-138 PHOENIX CONTACT 8334_de_02...
Seite 187 CRL-Datei erneut laden. Während eines Firmware-Upgrades können vor- handene CRL-Dateien gelöscht werden. In die- sem Fall werden die CRL-Dateien vom FL MGU- ARD von der angegebenen URL erneut heruntergeladen. Alternativ kann diese auch ma- nuell hochgeladen werden. 5-139 8334_de_02 PHOENIX CONTACT...
Seite 188 Sind mehrere Firewall-Regeln gesetzt, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann an- gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert. 5-140 PHOENIX CONTACT 8334_de_02...
Seite 189 Port. – startport:endport (z. B. 110:120) bezeichnet einen Port- bereich. Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). 5-141 8334_de_02 PHOENIX CONTACT...
Seite 190 Bei Ja werden alle Verbindungsversuche protokolliert, die kannte Verbindungs- nicht von den voranstehenden Regeln erfasst werden. (Werk- versuche seitige Voreinstellung: Nein) Extern 2 und Alle Externen nur bei Geräten mit serieller Schnittstelle (siehe „Netzwerk >> Interfaces“ auf Seite 5-60). 5-142 PHOENIX CONTACT 8334_de_02...
Seite 191 Port. – startport:endport (z. B. 110:120) bezeichnet einen Port- bereich. Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). 5-143 8334_de_02 PHOENIX CONTACT...
Seite 192 Ereignis protokolliert werden soll - Log auf Ja setzen – oder nicht - Log auf Nein setzen (werkseitige Voreinstel- lung). Log-Einträge für unbe- Bei Ja werden alle Verbindungsversuche protokolliert, die kannte Verbindungs- nicht von den voranstehenden Regeln erfasst werden. (Werk- versuche seitige Voreinstellung: Nein) 5-144 PHOENIX CONTACT 8334_de_02...
Seite 193 Firewall-Regel referenziert wird, angewendet. Aktiv Aktiviert / deaktiviert den betreffenden Regelsatz. Name Name des Regelsatzes. Der Name ist beim Erstellen des Re- gelsatzes festgelegt worden. Nach Klicken auf die Schaltfläche Editieren wird die Seite Regelsatz angezeigt: 5-145 8334_de_02 PHOENIX CONTACT...
Seite 194 Ein frei wählbarer Kommentar für diese Regel. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll - Log auf Ja setzen – oder nicht - Log auf Nein setzen (werkseitige Voreinstel- lung). 5-146 PHOENIX CONTACT 8334_de_02...
Seite 195 Adresse, an die z. B. alle ARP-Anfragen geschickt werden. Ethernet-Protokoll %any steht für alle Ethernet-Protokolle. Weitere Protokolle können mit dem Namen oder in HEX ange- geben werden, zum Beispiel: – IPv4 oder 0800 – ARP oder 0806 FL MGUARD RS4000 5-147 8334_de_02 PHOENIX CONTACT...
Seite 196 Netzwerksicherheit >> Paketfilter >> MAC-Filter [...] Aktion Annehmen bedeutet, die Datenpakete dürfen passieren Verwerfen bedeutet, die Datenpakete werden verworfen Kommentar Ein frei wählbarer Kommentar für diese Regel. Ausgehend Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“. 5-148 PHOENIX CONTACT 8334_de_02...
Seite 197 Sollen übergroße Pakete verhindert zum Funktionsumfang vom FL werden, um „Verstopfungen“ zu vermeiden, kann ein maxima- MGUARD RS2000. ler Wert angegeben werden. Dieser sollte auf jeden Fall über 64 liegen, damit normale ICMP-Echo-Requests nicht blockiert werden. 5-149 8334_de_02 PHOENIX CONTACT...
Seite 198 Ja / Nein von GVRP-Paketen: Das GARP VLAN Registration Protocol (GVRP) wird von GVRP-fähigen Switches verwendet, um Konfigurationsinfor- mationen miteinander auszutauschen. Ist dieser Schalter auf Ja gesetzt, dann können GVRP-Pakete den FL MGUARD im Stealth-Modus passieren. 5-150 PHOENIX CONTACT 8334_de_02...
Seite 199 Eine durch NAT umgeschriebene Verbindung (nicht 1:1- NAT), muss danach erneut aufgebaut werden. Wenn unter „Erlaube TCP-Verbindungen nur mit SYN“ die Auswahl Ja eingestellt ist, dann müssen alle abgelaufen Ver- bindungen neu aufgebaut werden. Die Voreinstellung sind 432000 Sekunden (5 Tage). 5-151 8334_de_02 PHOENIX CONTACT...
Seite 200 Ähnlich wie bei FTP: Beim Chatten im Internet per IRC müs- sen nach aktivem Verbindungsaufbau auch eingehende Ver- bindungen zugelassen werden, soll das Chatten reibungslos funktionieren. Damit diese von der Firewall durchgelassen werden, muss IRC auf Ja stehen (Standard). 5-152 PHOENIX CONTACT 8334_de_02...
Seite 201 Firewall-Regeln einzufügen, wenn weitere Kommunikationskanäle zu derselben Sitzung aufgebaut werden. Wenn zusätzlich NAT aktiviert ist, können einer oder mehrere lokal angeschlossene Rechner über den FL MGUARD mit ex- tern erreichbaren Rechnern per SIP kommunizieren. 5-153 8334_de_02 PHOENIX CONTACT...
Seite 202 Folgende Firewall-Funktionalität steht Ihnen bei der Nutzung des FL MGUARD RS2000 zur Verfügung: Diese Variablen stehen auch bei anderen Geräten zur Verfügung. Aber für andere Geräte gibt es weitere Einstellmöglichkeiten (siehe „Eingangsregeln“ auf Seite 5-141 und „Aus- gangsregeln“ auf Seite 5-143). 5-154 PHOENIX CONTACT 8334_de_02...
Seite 203 Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu- sätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen. 5-155 8334_de_02 PHOENIX CONTACT...
Seite 204 Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu- sätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen. 5-156 PHOENIX CONTACT 8334_de_02...
Seite 205 Rechts im betreffenden Eintrag auf die Schaltfläche Editieren klicken. Netzwerksicherheit >> Benutzerfirewall >> Benutzerfirewall-Templates Aktiv Aktiviert / deaktiviert das betreffende Template. Name Name des Templates. Der Name ist beim Erstellen des Tem- plates festgelegt worden. Allgemein Nach Klicken auf Editieren erscheint folgende Registerkarte: 5-157 8334_de_02 PHOENIX CONTACT...
Seite 206 5 Tage (Dieser Wert ist einstellbar, siehe 5-151.) Hinzukommen zusätzlich 120 s nach Schließen der Verbindung. (Diese 120s gelten auch nach dem Schließen durch den Benutzer.) – 30s nach Datenverkehr in einer Richtung; 180 s nach Datenverkehr in beide Richtungen – ICMP – Andere 10min 5-158 PHOENIX CONTACT 8334_de_02...
Seite 207 Ein frei wählbarer Kommentar für diese Regel. Für jede Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Log auf Ja setzen – oder nicht – Log auf Nein setzen (werkseitig voreinge- stellt). 5-159 8334_de_02 PHOENIX CONTACT...
Seite 208 Einstellmöglichkeiten für den CIFS-Anti-Virus-Scan-Connector – Welche Netzlaufwerke dem FL MGUARD bekannt sind (siehe „CIFS-Integrity-Monito- ring >> Netzlaufwerke“ auf Seite 5-161). – Welche Art von Zugriff erlaubt ist (Lese- oder Lese/Schreib-Zugriff, siehe „CIFS-Integ- rity-Monitoring >> CIFS-Anti-Virus-Scan-Connector“ auf Seite 5-171). 5-160 PHOENIX CONTACT 8334_de_02...
Seite 209 Identifikation zur Referen- Name Name des Netzlaufwerkes, das geprüft werden soll. (Interner zierung Name, der in der Konfiguration verwendet wird.) Ort des Netzlaufwerkes IP-Adresse des freige- IP-Adresse des Servers, dessen Netzlaufwerk geprüft werden benden Servers soll. 5-161 8334_de_02 PHOENIX CONTACT...
Seite 210 Prüfung des Laufwerkes. Nach einer gewollten Manipulation der relevanten Dateien des Netzlaufwerkes muss die Integritätsdatenbank neu erstellt werden. Solange keine (gültige) Integritätsdatenbank besteht, kann eine unerlaubte Manipulation der relevanten Dateien nicht entdeckt wer- den. 5-162 PHOENIX CONTACT 8334_de_02...
Seite 211 Diese Adresse wird in der E-Mail als Absender eingetragen. E-Mail-Benachrichti- gungen Adresse des E-Mail- IP-Adresse oder Hostname des E-Mail-Servers, über den die Servers E-Mail verschickt wird. Anfang des Betreffs Text für die Betreffzeile der E-Mail-Nachricht. für E-Mail-Benachrich- tigung 5-163 8334_de_02 PHOENIX CONTACT...
Seite 212 Ja: Die Prüfung für dieses Netzlaufwerk wird regelmäßig aus- gelöst. Ausgesetzt: Die Prüfung wird bis auf Weiteres ausgesetzt. Ein Status kann eingesehen werden. Überprüftes Netzlauf- Name des zu prüfenden Netzlaufwerkes (wird unter CIFS-In- werk tegrity-Monitoring >> Netzlaufwerke >> Editieren angelegt). 5-164 PHOENIX CONTACT 8334_de_02...
Seite 213 B. vor Beginn des Schichtbetriebes) abgeschlossen sein wird. Prüfsummenspeicher Prüfsummenalgorith- SHA-1 SHA-256 Prüfsummenalgorithmen wie MD5, SHA-1 oder SHA-256 hel- fen zu überprüfen, ob eine Datei verändert wurde. SHA-256 gilt als sicherer als SHA-1, benötigt aber länger in der Verarbeitung. 5-165 8334_de_02 PHOENIX CONTACT...
Seite 214 >>CIFS-Integritätsprüfung >> Einstellungen >> Editieren ausgewählt sein, damit das Muster aktiv wird. Klicken Sie auf die Schaltfläche Editieren, um einen Satz von Regeln für die zu prüfenden Dateien festzulegen und unter dem definierten Namen zu speichern. 5-166 PHOENIX CONTACT 8334_de_02...
Seite 215 (Jeder Dateiname wird mit den Mustern der Reihe nach vergli- chen. Der erste Treffer entscheidet, ob die Datei in die Integri- tätsprüfung einbezogen wird. Ohne einen Treffer wird die Datei nicht einbezogen.) Ausnehmen: Die Dateien werden aus der Prüfung ausge- nommen. 5-167 8334_de_02 PHOENIX CONTACT...
Seite 216 Konfigura- gefunden tion] Letzte Prüfung fand x Abweichungen(n): Die genauen Ab- weichungen finden Sie im Prüfbericht. Bericht Hier finden Sie den Prüfbericht. Er kann über die Schaltfläche Bericht herunterladen heruntergeladen werden. UNC-Notation des \\Servername\Netzlaufwerk\ Netzlaufwerkes 5-168 PHOENIX CONTACT 8334_de_02...
Seite 217 Integritätsprüfung begonnen. Wird nur angezeigt, wenn keine Prüfung aktiv ist. Breche die aktuelle Durch einen Klick auf die Schaltfläche Abbrechen, wird die Integritätsprüfung ab Integritätsprüfung gestoppt. Wird nur angezeigt, wenn eine Prüfung aktiv ist. 5-169 8334_de_02 PHOENIX CONTACT...
Seite 218 Für eine weitere Integritätsprüfung muss eine neue Integritäts- datenbank angelegt werden. Sie können dies über die Schalt- fläche Initialisieren anstoßen. Ansonsten wird eine neue In- tegritätsdatenbank zum nächsten Prüftermin automatisch angelegt. Dieser Vorgang ist nicht sichtbar. 5-170 PHOENIX CONTACT 8334_de_02...
Seite 219 Bei diesem Verfahren ist zusätzlich eine Anti-Virus-Software notwendig. Stellen Sie den für Ihre Anti-Virus-Software notwendigen Lese-Zugriff ein. 5.6.4.1 CIFS-Anti-Virus-Scan-Connector CIFS-Integrity-Monitoring >> CIFS-Anti-Virus-Scan-Connector CIFS-Server Aktiviere den Server Nein: CIFS-Server ist nicht verfügbar Ja: CIFS-Server ist verfügbar 5-171 8334_de_02 PHOENIX CONTACT...
Seite 220 Die Standardeinstellung kann mit diesen Regeln anders bestimmt werden. Von IP Geben Sie hier die Adresse des Rechners/Netzes an, von dem der Fernzugriff erlaubt beziehungsweise verboten ist. IP-Adresse: 0.0.0.0/0 bedeutet alle Adressen. Um einen Be- reich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe 5-256). 5-172 PHOENIX CONTACT 8334_de_02...
Seite 221 In diesem Verzeichnis können mehrere Laufwerke zu einem verzeichnis zusammengefasst werden. Netzlaufwerk Name des zu importierenden Netzlaufwerkes (wird unter CIFS-Integrity-Monitoring >> Netzlaufwerke >> Editieren an- gelegt) Extern 2 und Einwahl nur bei Geräten mit serieller Schnittstelle (siehe „Netzwerk >> Interfaces“ auf Seite 5-60). 5-173 8334_de_02 PHOENIX CONTACT...
Seite 222 Das freigegebene Netzlaufwerk kann nicht über browsen oder die Suchfunktionen ge- funden werden. – Der „Name der exportieren Freigabe“ muss immer hinzugefügt werden. – Windows zeigt das freigegebene Netzlaufwerk nicht automatisch an, wenn der FL MGUARD angeschlossen wird. 5-174 PHOENIX CONTACT 8334_de_02...
Seite 223 VPN-Gegenstellen befinden, enthalten sind. Natürlich muss das umgekehrt (lokales und entferntes Netz vertauscht) auch bei den VPN- Gegenstellen so eingerichtet sein (siehe „Re- mote“ auf Seite 5-191). Die Einstellung Ja wird im Netzwerk-Modus Stealth nicht unterstützt. 5-175 8334_de_02 PHOENIX CONTACT...
Seite 224 Gateway für die VPN-Verbindungen vieler Maschinen, werden die Meldungen zu Aktivitäten der verschiedenen VPN-Verbindungen im selben Da- tenstrom protokolliert. Das dadurch entstehende Volumen des Logging macht es zeitaufwendig, die für einen Fehler relevanten Informationen zu finden. 5-176 PHOENIX CONTACT 8334_de_02...
Seite 225 Bei Aus ist diese Funktion ausgeschaltet. Ist an den Service Kontakten des FL MGUARDs ein Taster oder Ein/Aus-Schal- ter angeschlossen, dann hat dessen Betätigung keine Wir- kung. Wenn eine VPN-Verbindung über einen VPN- Schalter gesteuert wird, dann kann die VPN-Red- undanz nicht aktiviert werden. 5-177 8334_de_02 PHOENIX CONTACT...
Seite 226 Taster- bzw. Schalterbetätigung wieder abgebaut wird. Wird ein Ein/Aus-Schalter (statt Taster) verwen- det und ist durch dessen Betätigung eine VPN- Verbindung aufgebaut worden, wird diese nach einem Neustart des FL MGUARDs automatisch wieder aufgebaut. 5-178 PHOENIX CONTACT 8334_de_02...
Seite 227 Damit die TCP-Kapselung durch einen HTTP-Proxy hindurch funktioniert, muss einer- seits der Proxy explizit in den Proxy-Einstellungen (Menüpunkt „Netzwerk >> Proxy-Ein- stellungen“ ) benannt werden (darf also kein transparenter Proxy sein) und andererseits muss dieser Proxy die HTTP-Methode CONNECT verstehen und erlauben. 5-179 8334_de_02 PHOENIX CONTACT...
Seite 228 Auf welchen Schnittstellen gehorcht werden muss, ermittelt der FL MGUARD aus den Einstellungen der aktiven VPN-Ver- bindungen, die „%any“ als Gegenstelle konfiguriert haben. Die Einstellung unter „Interface, welches bei der Einstellung %any für das Gateway benutzt wird“ ist ausschlaggebend. 5-180 PHOENIX CONTACT 8334_de_02...
Seite 229 Wird der Schalter auf Ja gesetzt, ist diese Einstel- lung nur wirksam, wenn die Gegenstelle ein FL MGUARD ist, auf dem die Firmware ab Version 5.1.0 installiert ist. In allen anderen Fällen bleibt die Einstellung unwirksam, schadet aber nicht. 5-181 8334_de_02 PHOENIX CONTACT...
Seite 230 1500 Bytes zu bleiben, wird ein Wert von 1414 (Bytes) empfohlen, so dass auch für zusätzliche Header genügend Platz bleibt. Wenn Sie diese Option nutzen wollen, legen Sie einen niedri- geren Wert als die Voreinstellung fest. 5-182 PHOENIX CONTACT 8334_de_02...
Seite 231 Hostname bei einem DynDNS-Service registriert, dann kann der FL MGUARD regelmäßig überprüfen, ob beim betreffen- den DynDNS eine Änderung erfolgt ist. Falls ja, wird die VPN- Verbindung zu der neuen IP-Adresse aufgebaut. Abfrageintervall Standard: 300 (Sekunden) 5-183 8334_de_02 PHOENIX CONTACT...
Seite 232 ändern (editieren) und Verbindungen zu löschen. VPN-Verbindung / VPN-Verbindungskanäle neu definieren: • In der Tabelle der Verbindungen beim Eintrag mit dem Namen „(unnamed)“ auf die Schaltfläche Editieren klicken. • Falls „(unnamed)“ nicht sichtbar ist, in der Tabelle eine weitere Zeile öffnen. 5-184 PHOENIX CONTACT 8334_de_02...
Seite 233 Die Verbindung ist bereit, selbst Kanäle aufzubauen oder hereinkommende Anfragen zum Kanalaufbau zu erlauben. active Zu der Verbindung ist mindestens ein Kanal auch wirklich aufgebaut. VPN-Verbindung / VPN-Verbindungskanäle definieren Nach Klicken auf Editieren erscheint je nach Netzwerk-Modus des FL MGUARDs folgende Seite. 5-185 8334_de_02 PHOENIX CONTACT...
Seite 234 Legt fest, ob die unten definierten VPN-Verbindungskanäle insgesamt aktiv (= Ja) sein soll oder nicht (= Nein). Adresse des VPN- (Eine IP-Adresse, ein Hostname oder %any für beliebige, Gateways der Gegen- mehrere Gegenstellen oder Gegenstellen hinter einem NAT- stelle Router) 5-186 PHOENIX CONTACT 8334_de_02...
Seite 235 IP-Adresse oder ein Hostname angegeben werden, wenn dieser FL MGUARD die VPN-Verbindung initiieren und den VPN-Datenverkehr einkapseln soll. Ist dieser FL MGUARD einer Wartungszentrale vorgeschaltet, zu der mehrere entfernte FL MGUARDs VPN-Verbindungen herstellen und eingekapselte Datenpakete senden, muss das VPN-Gateway der Gegenstelle mit %any angegeben werden. 5-187 8334_de_02 PHOENIX CONTACT...
Seite 236 In diesem Fall ist der FL MGUARD bereit, die Verbindung an- zunehmen, die eine entfernte Gegenstelle aktiv zum FL MGU- ARD initiiert und aufbaut. Wenn Sie unter Adresse des VPN-Gateways der Gegenstelle %any eingetragen haben, müssen Sie Warte auswählen. 5-188 PHOENIX CONTACT 8334_de_02...
Seite 237 Also können Sie hier mehrere VPN-Verbindungskanäle definieren. Für jeden einzelnen Nach Klicken auf die Schaltfläche Mehr... wird eine weitere VPN-Verbindungska- Seite zur Festlegung der Verbindungsparameter des betref- fenden Transportweges oder Tunnels angezeigt, zum Teil überschneidend. 5-189 8334_de_02 PHOENIX CONTACT...
Seite 238 Tunnelenden. (Netz ↔ Netz) IPsec Tunnel Internet Lokales Netz VPN-Gateway Netz gegenüber gegenüber Lokal Hier geben Sie die Adresse des Netzes oder Computers an, das oder der lokal am FL MGUARD angeschlossen ist. 5-190 PHOENIX CONTACT 8334_de_02...
Seite 239 FL MGUARDs wird jeweils für das bei ihnen unter Lokal angegebene Netz ein Teil dieses Adressenbereichs verwendet. Um das zu illustrieren: Die Angaben in den Feldern Lokal und Remote beim lokalen und bei entfernten FL MGUARDs könnten zum Beispiel wie folgt lauten: 5-191 8334_de_02 PHOENIX CONTACT...
Seite 240 Bild 5-4 Virtuelle IP Im Stealth-Modus wird das lokale Netz des VPNs durch den FL MGUARD simuliert. Inner- halb dieses virtuellen Netzes ist der Client unter der hier einzutragenden virtuellen IP-Ad- resse bekannt und ansprechbar. 5-192 PHOENIX CONTACT 8334_de_02...
Seite 241 Adressen ersetzt. Es können die IP-Adressen von Geräten umgeschrieben werden, die sich am lokalen Ende des VPN-Tunnels befinden (Lokales NAT) oder es werden die Adressen von Gerä- ten umgeschrieben, die sich am entfernten Ende befinden (Remote NAT). 5-193 8334_de_02 PHOENIX CONTACT...
Seite 242 Interne Netzwerk- Datenpakete, die durch den VPN-Tunnel empfangen werden, adresse für lokales werden umgekehrt zugeordnet. Zieladressen, die zum Netz- 1-zu-1 NAT werk Lokal gehören, werden auf die entsprechende Adresse unter Interne Netzwerkadresse für lokales 1-zu-1 NAT umgeschrieben. 5-194 PHOENIX CONTACT 8334_de_02...
Seite 243 Aus / 1-zu-1-NAT / Masquerading des gegenüberliegen- Tunnel-Verbindungen den Netzes Hier wird definiert, welche Art von Adress-Umschreibung für die Quelladresse der ankommenden und die Zieladresse der gesendeten Pakete vorgenommen wird. Default: Aus Aus: Es wird kein NAT vorgenommen. 5-195 8334_de_02 PHOENIX CONTACT...
Seite 244 VPN-Tunnel empfängt, werden umgekehrt umgeschrie- des 1-zu-1-NAT ben. Solche Pakete kommen mit einer Quelladresse aus dem Netzwerk an, das unter Remote definiert ist. Diese Adresse wird mit Hilfe der Netzwerkadresse für gegebenüberlie- gendes 1-zu-1-NAT umgeschrieben. 5-196 PHOENIX CONTACT 8334_de_02...
Seite 245 Netzwerk mit zahlreichen Rechnern installiert, die über den je- weiligen VPN-Tunnel mit der Zentrale verbunden sind. In diesem Fall könnte der Adress- raum zu klein sein, um die Rechner an den verschiedenen VPN-Tunnelenden insgesamt darin unterzubringen. Lokales Masquerading schafft hier Abhilfe: 5-197 8334_de_02 PHOENIX CONTACT...
Seite 246 - lokal und/oder entfernt - zur Angabe des Tunnelanfangs bzw. -endes angegeben werden, unabhängig von den mit der Gegenseite vereinbarten Tunnelparametern: Lokales Netz Gegenüberliegendes Netz IPsec-Tunnel Internet Netzwerkadresse für ge- Internet Netzwerkadresse für genüberliegendes 1-zu-1- 1-zu-1-NAT Bild 5-5 1-zu1-NAT 5-198 PHOENIX CONTACT 8334_de_02...
Seite 247 Informationen über seinen Eigentümer und einer Be- glaubigungsstelle (Certification Autority, CA) enthält.) Es muss Folgendes festgelegt werden: – Wie sich der FL MGUARD bei der Gegenstelle authenti- siert. – Wie der FL MGUARD die entfernte Gegenstelle authenti- fiziert 5-199 8334_de_02 PHOENIX CONTACT...
Seite 248 Die Tabelle unten zeigt, welche Zertifikate dem FL MGUARD zur Authentifizierung der VPN-Gegenstelle zur Verfügung stehen müssen, wenn die VPN-Gegenstelle bei Verbin- dungsaufnahme eines der folgenden Zertifikatstypen vorzeigt: – ein von einer CA signiertes Maschinenzertifikat – ein selbst signiertes Maschinenzertifikat 5-200 PHOENIX CONTACT 8334_de_02...
Seite 249 An dieser Stelle ist ausschließlich das CA-Zertifikat von der CA zu referenzieren (in der Aus- wahlliste auszuwählen), welche das von der VPN-Gegenstelle vorgezeigte Zertifikat sig- niert hat. Die weiteren CA-Zertifikate, die mit dem von der Gegenstelle vorgezeigten Zertifi- 5-201 8334_de_02 PHOENIX CONTACT...
Seite 250 Es ist nicht möglich, ein Gegenstellen-Zertifikat zu referenzieren, das unter Menüpunkt Authentifizierung >> Zertifikate geladen ist. Gegenstellen-Zertifikat installieren Das Gegenstellen-Zertifikat muss konfiguriert werden, wenn die VPN-Gegenstelle per Ge- genstellen-Zertifikat authentifiziert werden soll. Um ein Zertifikat zu importieren, gehen Sie wie folgt vor: 5-202 PHOENIX CONTACT 8334_de_02...
Seite 251 Beschränkung auf bestimmte Subjects (d. h. Maschinen) und/oder auf Subjects, die bestimmte Merkmale (Attribu- te) haben, oder – Freigabe für alle Subjects (Siehe „Subject, Zertifikat“ auf Seite 9-5.) Statt „Subject“ wurde früher die Bezeichnung „Di- stinguished Name“ verwendet. 5-203 8334_de_02 PHOENIX CONTACT...
Seite 252 Zertifikaten beliebige Werte haben. Beachten Sie folgendes, wenn Sie einen Subject-Filter setzen. Bei den Attributen müssen Anzahl und Reihenfolge mit denen in den Zerti- fikaten übereinstimmen, auf die der Filter angewendet wird. Achten Sie auf Groß- und Kleinschreibung. 5-204 PHOENIX CONTACT 8334_de_02...
Seite 253 Bei PSK sind folgende Einträge gültig: – leer (die IP-Adresse wird verwendet, dies ist die Voreinstellung) – eine IP-Adresse – ein Hostname mit voran gestelltem ’@’ Zeichen (z. B. „@vpn1138.example.com“) – eine E-Mail Adresse (z. B. „piepiorra@example.com“) 5-205 8334_de_02 PHOENIX CONTACT...
Seite 254 Falls in der Regelliste weitere passende Regeln vorhanden sind, wer- den diese ignoriert. Im Stealth-Modus ist in den Firewall-Regeln die vom Client wirklich verwendete IP-Adres- se zu verwenden oder aber auf 0.0.0.0/0 zu belassen, da nur ein Client durch den Tunnel angesprochen werden kann. 5-206 PHOENIX CONTACT 8334_de_02...
Seite 255 Port. – startport:endport (z. B. 110:120) bezeichnet einen Port- bereich. Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). 5-207 8334_de_02 PHOENIX CONTACT...
Seite 256 – Log auf Nein setzen (werkseitige Voreinstel- lung). Log-Einträge für unbe- Bei Ja werden alle Verbindungsversuche protokolliert, die kannte Verbindungs- nicht von den voranstehenden Regeln erfasst werden. versuche Ausgehend Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“. 5-208 PHOENIX CONTACT 8334_de_02...
Seite 257 Konfiguration 5.7.2.5 IKE-Optionen 5-209 8334_de_02 PHOENIX CONTACT...
Seite 258 SHA-256 per Hardware. IPsec SA (Datenaustausch) Im Unterschied zu ISAKMP SA (Schlüsselaustausch) (s. o.) wird hier das Verfahren für den Datenaustausch festgelegt. Es kann sich von denen des Schlüsselaustausches un- terscheiden, muss aber nicht. Algorithmen Siehe oben. 5-210 PHOENIX CONTACT 8334_de_02...
Seite 259 IPsec SA für diese VPN-Verbindung verschlüsselt werden (Hard Limit). Re-Key-Margin bzgl. Gilt für ISAKMP SAs und IPsec SAs der Lebensdauer Minimale Zeitspanne vor Ablauf der alten Schlüssel, innerhalb der ein neuer Schlüssel erzeugt werden soll. Werkseinstel- lung: 540 Sekunden (9 Minuten). 5-211 8334_de_02 PHOENIX CONTACT...
Seite 260 Verzögerung bis zur Zeitspanne in Sekunden, nach welcher DPD Keep Alive An- nächsten Anfrage fragen gesendet werden sollen. Diese Anfragen testen, ob die nach einem Lebens- Gegenstelle noch verfügbar ist. zeichen Werkseinstellung: 30 Sekunden. 5-212 PHOENIX CONTACT 8334_de_02...
Seite 261 Gegen- Werkseinstellung: 120 Sekunden. stelle für tot befunden wird Wenn der FL MGUARD eine Verbindung für tot befindet, handelt er entsprechend der Einstellung, die unter Verbindungsinitiierung festgelegt ist (siehe Definition dieser VPN-Verbindung, Regis- terkarte Allgemein, Verbindungsinitiierung). 5-213 8334_de_02 PHOENIX CONTACT...
Seite 262 Anfang / Ende IP- Nach dem obigen Screenshot teilt der FL MGUARD der Ge- Adressbereich der genstelle eine IP-Adresse zwischen 10.106.106.2 und Gegenstellen 10.106.106.254 mit. Status Informiert über den L2TP-Status, wenn dieser als Verbin- dungstyp gewählt ist. 5-214 PHOENIX CONTACT 8334_de_02...
Seite 263 Die VPN-Verbindung ist erfolgreich aufgebaut und kann genutzt werden. Sollte dies den- lished noch nicht möglich sein, dann macht das VPN-Gateway der Gegenstelle Probleme. In die- sem Fall die Verbindung deaktivieren und wieder aktivieren, um die Verbindung erneut aufzubauen. 5-215 8334_de_02 PHOENIX CONTACT...
Seite 264 FL MGUARD mit den Daten und der Software, die auf seinem SEC-Stick gespeichert sind. Der SEC-Stick stellt eine SSH-Verbindung zum FL MGUARD her. In diese können weitere Kanäle eingebettet sein, z. B. TCP/IP-Verbindungen. 5-216 PHOENIX CONTACT 8334_de_02...
Seite 265 Mit Ja wird der SEC-Stick-Fernzugang aktiviert. Fernzugang Port für SEC-Stick- Standard: 22002 Verbindungen (nur Wird diese Port-Nummer geändert, gilt die geänderte Port- Fernzugang) Nummer nur für Zugriffe über das Interface Extern, Extern 2 oder VPN. Für internen Zugriff gilt weiterhin 22002 5-217 8334_de_02 PHOENIX CONTACT...
Seite 266 Bei "0" ist keine Sitzung erlaubt. Maximale Zahl gleich- 0 bis 2147483647 zeitiger Sitzungen für Gibt die Anzahl der Verbindungen an, die von einem Benutzer einen Benutzer gleichzeitig erlaubt sind. Bei "0" ist keine Sitzung erlaubt. 5-218 PHOENIX CONTACT 8334_de_02...
Seite 267 Ereignis protokolliert werden soll – Log auf Ja setzen – oder das Ereignis nicht protokolliert werden soll – Log auf Nein setzen (werkseitige Voreinstellung). Extern 2 und Einwahl nur bei Geräten mit serieller Schnittstelle (siehe „Netzwerk >> Interfaces“ auf Seite 5-60). 5-219 8334_de_02 PHOENIX CONTACT...
Seite 268 Name der Person. Firma Angabe der Firma. Nach Klicken auf Editieren erscheint folgende Seite: Allgemein Aktiv Wie oben Benutzername Wie oben Kommentar Optional: kommentierender Text. Kontakt Optional: kommentierender Text. Bezeichnung des Optional: Name der Person. (Wiederholt) Benutzers 5-220 PHOENIX CONTACT 8334_de_02...
Seite 269 SSH Port-Weiterleitung Liste der erlaubten Zugriffe und SSH-Port-Weiterleitungen bezogen auf den SEC- Stick des entsprechenden Benutzers. IP-Adresse des Rechners, auf den der Zugriff ermöglicht wird. Port Port-Nummer, die beim Zugriff auf den Rechner benutzt wer- den soll. 5-221 8334_de_02 PHOENIX CONTACT...
Seite 270 Zum Beispiel macht es keinen Sinn, bei Angabe des Ethernet-Protokolls ARP im selben Regelsatz zusätzlich ein IP-Protokoll anzugeben. Oder bei Angabe des Ethernet- Protokolls IPX (hexadezimal anzugeben) die IP-Adressen von Sender oder Absender vor- zugeben. 5.9.1.1 Intern / Extern Intern: Einstellung für Ingress Filter an der LAN-Schnittstelle 5-222 PHOENIX CONTACT 8334_de_02...
Seite 271 Veröffentlichungen des betreffenden Standards nachgeschla- gen werden.) IP-Protokoll Alle / TCP / UDP / ICMP / ESP Legt fest, dass nur Datenpakete des ausgewählten IP-Proto- kolls passieren dürfen. Mit Alle findet keine Filterung nach IP- Protokoll statt. 5-223 8334_de_02 PHOENIX CONTACT...
Seite 272 Das gilt für den Datenstrom, der den links ange- gebenen Kriterien dieses Regelsatzes entspricht, also passie- ren darf. Liefert dieser Datenstrom mehr Datenpakete pro Sekunde, dann verwirft der FL MGUARD die überzählige An- zahl an Datenpaketen. Kommentar Optional: kommentierender Text. 5-224 PHOENIX CONTACT 8334_de_02...
Seite 273 Das Feature Egress-Queues kann für alle Schnittstellen eingesetzt werden und für VPN- Verbindungen. 5.9.2.1 Intern / Extern / Extern 2 / Einwahl Intern: Einstellung für Egress-Queues an der LAN-Schnittstelle Extern: Einstellung für Egress-Queues an der WAN-Schnittstelle Extern 5-225 8334_de_02 PHOENIX CONTACT...
Seite 274 Extern 2: Einstellung für Egress-Queues bei der sekundären externen Schnittstelle. Einwahl: Einstellung für Egress-Queues für Pakete für ppp-Wählverbindung (Einwahl) 5.9.3 Egress-Queues (VPN) 5.9.3.1 VPN via Intern / VPN via Extern / VPN via Extern 2 / VPN via Einwahl VPN via Intern: Einstellung für Egress-Queues 5-226 PHOENIX CONTACT 8334_de_02...
Seite 275 Extern 2, Einwahl sowie für VPN-Verbindungen, die über dieses Interfaces geführt werden, bieten die gleichen Einstellmöglichkeiten. In allen Fällen beziehen sich die Einstellungen auf die Daten, die von der jeweiligen Schnitt- stelle gesehen vom FL MGUARD nach außen ins Netz gehen. 5-227 8334_de_02 PHOENIX CONTACT...
Seite 276 Beschränkung bewirkt. Priorität Niedrig / Mittel / Hoch Legt fest, mit welcher Priorität die betreffende Warteschlange, sofern vorhanden, abgearbeitet werden muss, falls die zur Verfügung stehende Gesamtbandbreite aktuell nicht ausge- schöpft ist. Kommentar Optional: kommentierender Text. 5-228 PHOENIX CONTACT 8334_de_02...
Seite 277 Die Zuordnungen können bezüglich aller Schnittstellen sowie für VPN-Verbindungen sepa- rat festgelegt werden. 5.9.4.1 Intern / Extern / Extern2 / Einwahl Intern: Einstellung für Egress-Queue-Zuordnungen Extern: Einstellung für Egress-Queue-Zuordnungen Extern 2: Einstellung für Egress-Queue-Zuordnungen Einwahl: Einstellung für Egress-Queue-Zuordnungen 5-229 8334_de_02 PHOENIX CONTACT...
Seite 278 Intern, Extern, Extern 2, Einwahl sowie für VPN-Verbindungen, die über diese Interfaces ge- führt werden, bieten die gleichen Einstellmöglichkeiten. In allen Fällen beziehen sich die Einstellungen auf die Daten, die von der jeweiligen Schnitt- stelle gesehen vom FL MGUARD nach außen ins Netz gehen. 5-230 PHOENIX CONTACT 8334_de_02...
Seite 279 (z. B. 110 für pop3 oder pop3 für 110). Nach IP IP-Adresse des Netzes/Geräts, wohin die Daten gehen. An- gabe entsprechend wie oben unter Von IP. Nach Port Benutzter Port bei der Quelle, wohin die Daten gehen. Angabe entsprechend wie oben unter Von Port. 5-231 8334_de_02 PHOENIX CONTACT...
Seite 280 Notification (ECN) to IP“ – RFC2474 „Definition of the Differentiated Services Field (DS Field)“ – RFC1349 „Type of Service in the Internet Protocol Suite“ Queue-Name Name der Egress-Queue, welcher der Traffic zugeordnet wer- den soll. Kommentar Optional: kommentierender Text. 5-232 PHOENIX CONTACT 8334_de_02...
Seite 281 Konfiguration 5.10 Redundanz Eine ausführliche Darstellung zum Thema Redundanz finden Sie in Kapitel 6, „Redun- danz“. 5.10.1 Redundanz >> Firewall-Redundanz Dieses Menü steht nicht auf dem FL MGUARD RS2000 zur Verfügung. 5.10.1.1 Redundanz 5-233 8334_de_02 PHOENIX CONTACT...
Seite 282 Der FL MGUARD in Bereitschaft bekommt die Pri- orität niedrig. Beide FL MGUARDs eines Redundanzpaares dürfen entwe- der eine unterschiedliche Priorität oder die Priorität hoch ha- ben. . Setzen Sie niemals beide FL MGUARDs eines Redundanzpaares auf die Priorität niedrig. 5-234 PHOENIX CONTACT 8334_de_02...
Seite 283 Ein gelber Haken zeigt, dass bereits das neue Passwort genutzt, aber das alte noch ak- zeptiert wird, für den Fall, dass der andere FL MGUARD es noch verwendet. Wenn kein Symbol vorhanden ist, wird kein Passwort genutzt. Zum Beispiel, weil die Re- dundanz nicht aktiviert ist oder die Firmware bootet. 5-235 8334_de_02 PHOENIX CONTACT...
Seite 284 Die Passwort-Erneuerung wurde gestartet, aber nicht an allen FL MGUARDs, weil diese ausgefallen sind. Sobald ein fehlerhafter FL MGUARD wieder online ist, muss die Passwort-Erneuerung gestartet werden. Bei einem ausgetauschten FL MGUARD muss dieser zunächst mit dem alten Passwort konfiguriert werden, bevor er ange- schlossen wird. 5-236 PHOENIX CONTACT 8334_de_02...
Seite 285 Beachten Sie dabei, dass CARP dasselbe Protokoll und den- selben Port wie VRRR (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRR oder CARP nutzen und sich im selben Ethernet-Segment befinden. 5-237 8334_de_02 PHOENIX CONTACT...
Seite 286 Beachten Sie dabei, dass CARP dasselbe Protokoll und den- selben Port wie VRRR (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRR oder CARP nutzen und sich im selben Ethernet-Segment befinden. 5-238 PHOENIX CONTACT 8334_de_02...
Seite 287 Der FL MGUARD in Bereitschaft kann bei diesem Vorgang für kurze Zeit im Zustand „out- dated“ sein, aber das behebt sich automatisch wieder. Verschlüsselungs- DES, 3DES, AES-128, AES-192, AES-256 algorithmus Siehe „Algorithmen“ auf Seite 5-210. Prüfsummen- MD5, SH1, SHA-256, SHA-512 algorithmus/Hash Siehe „Algorithmen“ auf Seite 5-210. 5-239 8334_de_02 PHOENIX CONTACT...
Seite 288 Bei Alle Ziele einer Menge müssen antworten müssen beide Ziele antworten. Wenn kein sekundäres Ziel angegeben ist, muss nur das primäre antworten. Bei Nur Prüfung des Ethernet-Links wird nur der Verbin- dungsstatus der Ethernet-Verbindung geprüft. 5-240 PHOENIX CONTACT 8334_de_02...
Seite 289 Die Einstellungen sind gleichbedeutend mit dem des externen Interfaces. Primäre Ziele für ICMP siehe oben Echo-Anfragen Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31 Sekundäre Ziele für siehe oben ICMP Echo-Anfragen Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31 5-241 8334_de_02 PHOENIX CONTACT...
Seite 290 FL MGUARD 5.10.2 Redundanz >> Firewall-Redundanz Status 5.10.2.1 Redundanzstatus 5-242 PHOENIX CONTACT 8334_de_02...
Seite 291 Ein Wechsel dieses Zustandes wird ebenfalls angezeigt. – Tabelle der Netzwerkdatenströme meint die Firewall- Status-Datenbank – IPsec-VPN-Verbindungen (bei aktivierter VPN-Redun- danz) Steuerung der Virtuel- Alle virtuellen Schnittstellen werden gemeinsam darauf hin len Interfaces kontrolliert, ob die Weiterleitung von Paketen erlaubt ist. 5-243 8334_de_02 PHOENIX CONTACT...
Seite 292 Prüfung aller Komponenten war erfolgreich Prüfung mindestens einer Komponente ist fehlge- schlagen Zustandsab- Zustand unbekannt gleich Datenbestand ist aktuell Datenbestand ist veraltet Datenbestand wechselt in den Zustand „in Bereit- schaft“ Datenbestand wechselt in den Zustand „aktiv“ 5-244 PHOENIX CONTACT 8334_de_02...
Seite 293 Zeigt, ob der Ethernet-Anschluss verbunden ist. Anschlusses Anzahl Prüfzyklen Anzahl der abgeschlossenen Prüfintervalle. Wenn der Zähler überläuft, wird vor die Anzahl eine Meldung gestellt. Art der Prüfung Wiederholt die Einstellung für die Konnektivitätsprüfung (siehe Art der Prüfung auf Seite 5-240). 5-245 8334_de_02 PHOENIX CONTACT...
Seite 294 Zustand des Ethernet- Siehe Externes Interface Anschlusses Anzahl Prüfzyklen Siehe Externes Interface Prüfintervall Siehe Externes Interface Zeitüberschreitung je Siehe Externes Interface Intervall und Menge von Zielen Ergebnisse der letz- Siehe Externes Interface ten 16 Intervalle (jüngstes zuerst) 5-246 PHOENIX CONTACT 8334_de_02...
Seite 295 Unterbrechungen im Netzwerk leicht zurückver- folgen lassen. Redundanzport Intern / Extern Intern: Wenn die Verbindung am LAN-Port wegfällt/kommt, wird auch der WAN-Port ausgeschaltet/eingeschaltet. Extern: Wenn die Verbindung am WAN-Port wegfällt/kommt, wird auch der LAN-Port ausgeschaltet/eingeschaltet. 5-247 8334_de_02 PHOENIX CONTACT...
Seite 296 Und die interne IP-Adresse (im Stealth-Modus die Stealth Management IP-Adresse bzw. Virtuelle IP) muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbindung als Lokal angegeben ist (siehe „VPN- Verbindung / VPN-Verbindungskanäle definieren“ auf Seite 5-185). 5-248 PHOENIX CONTACT 8334_de_02...
Seite 297 Log-Einträge entsprechende Kontrollkästchen zum Filtern der Einträge nach Katego- rien angezeigt. Damit eine oder mehrerer Kategorien angezeigt werden, aktivieren Sie das/die Kontroll- kästchen der gewünschten Kategorie(n) und klicken dann auf die Schaltfläche Aktuali- siere Logs. 5-249 8334_de_02 PHOENIX CONTACT...
Seite 298 Menü Netzwerksicherheit >> Benutzerfirewall , Firewall-Regeln Log-ID: ufw- – Regeln für NAT, Port-Weiterleitung Menü Netzwerk >> NAT >> IP und Port-Weiterleitung fw-portforwarding Log-ID: – Firewall-Regeln für serielle Schnittstelle: Menü Netzwerk >> Interfaces >> Eingehender Ruf Eingangsregeln fw-serial-incoming Log-ID: Ausgangsregeln fw-serial-outgoing Log-ID: 5-250 PHOENIX CONTACT 8334_de_02...
Seite 299 B.: fw-https-access-1-1ec2c133-dca1-1231-bfa5-000cbe01010a kopieren Diese Passage über die Zwischenablage ins Feld Gehe zur Firewall-Regel kopieren. Auf die Schaltfläche Suchen klicken. Es wird die Konfigurationsseite mit der Firewall-Regel angezeigt, auf die sich der Log- Eintrag bezieht. 5-251 8334_de_02 PHOENIX CONTACT...
Seite 300 Meldungen der unter Verwaltung -> SNMP konfigurierbaren Dienste. IPsec VPN Listet alle VPN-Ereignisse auf. Das Format entspricht dem unter Linux gebräuchlichen Format. Es gibt spezielle Auswertungsprogramme, die Ihnen die Informationen aus den protokollier- ten Daten in einem besser lesbaren Format präsentieren. 5-252 PHOENIX CONTACT 8334_de_02...
Seite 301 Falls die auf der Route gelegenen Stellen mit IP-Adresse statt mit Hostnamen (falls vorhanden) ausgegeben werden sollen, aktivieren Sie das Kontrollkästchen Do not resolve IP addresses to hostnames (= Häkchen setzen). • Dann auf die Schaltfläche Trace klicken. Sie erhalten daraufhin eine entsprechende Meldung. 5-253 8334_de_02 PHOENIX CONTACT...
Seite 302 VPN-Verbindung aufzubauen, oder ob z. B. eine Firewall das verhindert. Vorgehen: • In das Feld Hostname/IP-Adresse den Namen bzw. die IP-Adresse des VPN-Gate- ways eingeben. • Auf die Schaltfläche Ping klicken. • Sie erhalten eine entsprechende Meldung. 5-254 PHOENIX CONTACT 8334_de_02...
Seite 303 Um einen Snapshot zu erstellen, gehen Sie wie folgt vor: • Die Schaltfläche Herunterladen klicken. • Die Datei speichern (unter dem Namen snapshot.tar.gz) Stellen Sie die Datei dem Support Ihres Händlers zur Verfügung, wenn dies erforderlich ist. 5-255 8334_de_02 PHOENIX CONTACT...
Seite 304 Firewall, kann es erforderlich sein, den Adressraum in der CIDR-Schreibweise an- zugeben. Die nachfolgende Tabelle zeigt links die IP-Netzmaske, ganz rechts die entspre- chende CIDR-Schreibweise. IP-Netzmaske binär CIDR Beispiel: 192.168.1.0 / 255.255.255.0 entspricht im CIDR: 192.168.1.0/24 5-256 PHOENIX CONTACT 8334_de_02...
Seite 305 Zusätzliche interne Netz B Rechner Routen: IP-Adresse 192.168.15.2 192.168.15.3 192.168.15.4 192.168.15.5 Netzwerk: 192.168.15.0/24 Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Gateway: 192.168.11.2 Netz C Rechner Netzwerk: 192.168.27.0/24 IP-Adresse 192.168.27.1 192.168.27.2 192.168.27.3 192.168.27.4 Gateway: Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 192.168.11.2 5-257 8334_de_02 PHOENIX CONTACT...
Seite 306 FL MGUARD 5-258 PHOENIX CONTACT 8334_de_02...
Seite 307 Im Netzwerk-Modus Router wird die Firewall-Redundanz nur mit dem Router-Modus „statisch“ unterstützt. – Der Netzwerk-Modus Stealth wird derzeit noch nicht unterstützt. – Weitere Einschränkungen siehe „Voraussetzungen für die Firewall-Redundanz“ auf Seite 6-4 und „Grenzen der Firewall-Redundanz“ auf Seite 6-14. 8334_de_02 PHOENIX CONTACT...
Seite 308 Zeit keine Anwesenheitsnachricht erhält. Außerdem wird die Prüfung nicht bestanden, wenn ein FL MGUARD Anwesenheitsnachrichten von niedrigerer Priorität erhält als die ei- gene. Die Daten werden immer über das physikalische Netzwerk-Interface übertragen und nie- mals über das virtuelle Netzwerk-Interface. PHOENIX CONTACT 8334_de_02...
Seite 309 Statusanzeige Die Statusanzeige enthält detaillierte Informationen über den Status der Firewall-Redun- danz. Eine Zusammenfassung des Status kann über das Menü Redundanz >> Firewall-Re- dundanz >> Redundanz oder Redundanz >> Firewall-Redundanz >> Konnektivitätsprü- fung abgerufen werden. 8334_de_02 PHOENIX CONTACT...
Seite 310 Interface >> Primäre Ziele für ICMP Echo-Anfragen nicht leer sein. Das Gleiche gilt für das Interne Interface. – Im Netzwerk-Modus Router müssen mindestens eine externe und eine interne virtu- elle IP-Adresse eingestellt werden. Keine virtuelle IP-Adresse darf doppelt aufgelistet werden. PHOENIX CONTACT 8334_de_02...
Seite 311 Die Größe der Anwesenheitsnachrichten (CARP) beträgt bis zu 76 Bytes am Layer 3 des Internet-Protokolls. Mit dem Ethernet auf Layer 2 kommen 18 Bytes für den MAC-Header und die Prüfsumme dazu, wenn kein VLAN verwendet wird. Der ICMP-Echo-Reply hat die gleiche Größe. 8334_de_02 PHOENIX CONTACT...
Seite 312 Hohe Priorität Niedrige Priorität 50 pro Sekunde 25 pro Sekunde 20 ms 37,600 Bit/s 16,6 pro Se- 8,3 pro Sekunde 60 ms 12,533 Bit/s kunde 10 s 5 pro Sekunde 2,5 pro Sekunde 200 ms 3,760 Bit/s PHOENIX CONTACT 8334_de_02...
Seite 313 Datenpaketen oder einer zu hohen Latenzzeit entsteht. Ohne die Konnektivitätsprüfung kann der FL MGUARD nicht entscheiden, welcher Bereich die Fehler verursacht hat. Ein Ausfall der Verbindung zwischen den Switchen einer Netzwerk-Seite (intern/extern) wird nicht ausgeglichen (7 und 8 in Bild 6-2). 8334_de_02 PHOENIX CONTACT...
Seite 314 FL MGUARD ausfällt. In diesem Fall wird die Verfolgung der Verbindung vom FL MGUARD, der nach dem Failover aktiv ist, nicht korrekt fortgeführt. Das kann durch den FL MGUARD nicht korrigiert werden. Dann wird die Datenverbindung zurückgesetzt oder un- terbrochen. PHOENIX CONTACT 8334_de_02...
Seite 315 Definieren Sie zusätzlich dort eine sekundäre Menge von Zielen. Sie können die Tole- ranz für den Verlust von ICMP-Echo-Requests noch erhöhen, wenn die Ziele von un- zuverlässigen Verbindungen unter beiden Mengen (primär und sekundär) eingetragen werden oder innerhalb einer Menge mehrfach aufgelistet werden. 8334_de_02 PHOENIX CONTACT...
Seite 316 Gateway für ihre Routen nutzen. Wenn diese Geräte dafür die reale IP-Adresse eines der beiden FL MGUARDs nutzen würden, würde es funktionieren, bis dieser FL MGU- ARD ausfällt. Dann aber kann der andere FL MGUARD nicht übernehmen. 6-10 PHOENIX CONTACT 8334_de_02...
Seite 317 Updates verloren gehen, kommt es aber nicht dazu. Denn der FL MGUARD in Be- reitschaft fordert automatisch eine Wiederholung des Updates ein. Die Anforderungen an die Latenzzeit sind dieselben, wie unter „Umschaltzeit im Fehlerfall“ auf Seite 6-5 beschrie- ben. 6-11 8334_de_02 PHOENIX CONTACT...
Seite 318 ), dann muss eine URL pro CA-Zertifikat vorgehalten werden, an der die entsprechende CRL verfügbar ist. Die URL und CRL müssen veröffentlicht werden, bevor der FL MGUARD die CA-Zertifikate nutzt, um die Gültigkeit der von den VPN-Partnern vor- gezeigten Zertifikate zu bestätigen. 6-12 PHOENIX CONTACT 8334_de_02...
Seite 319 FL MGUARD RS4000 62 MBit/s, bidirektional, FL MGUARD SMART2 nicht mehr als 5 250 Frames/s FL MGUARD PCI4000 FL MGUARD DELTA TX/TX Failover-Umschaltzeit Sie können die Umschaltzeit im Fehlerfall auf 1, 3 oder 10 Sekunden einstellen. 6-13 8334_de_02 PHOENIX CONTACT...
Seite 320 IP-Adresse bzw. der ersten internen IP-Adresse verborgen wird. Das unterscheidet sich von dem Masquerading des FL MGUARDs ohne Firewall-Redundanz. Ohne akti- vierte Firewall-Redundanz wird in einer Routing-Tabelle festgelegt, hinter welcher ex- ternen bzw. internen IP-Adresse der Sender verborgen wird. 6-14 PHOENIX CONTACT 8334_de_02...
Seite 321 Es wird verwendet, um VPN-Verbindungen aufzubauen, zu akzeptieren und zu be- treiben. Der FL MGUARD lauscht nur auf der ersten virtuellen IP-Adresse. Im Netzwerk-Modus Router hört er an der ersten externen und internen virtuellen IP-Ad- resse zu. 6-15 8334_de_02 PHOENIX CONTACT...
Seite 322 Allerdings kann bei einer Netzwerk-Lobotomie der VPN-Teil die anderen VPN-Gateways stören. Die von einander unabhängigen FL MGUARDs haben dann die gleiche virtuelle IP-Adresse um mit den VPN-Partnern zu kommunizieren. Das kann dazu führen, dass die VPN-Verbindungen in schneller Folge auf- und abgebaut werden. 6-16 PHOENIX CONTACT 8334_de_02...
Seite 323 IKE-Nachrichten zu senden oder zu beantworten. Der ESP-Datenverkehr wird ähnlich gehandhabt, allerdings wird er ebenfalls von der realen IP-Adresse akzeptiert und be- arbeitet. Interne virtuelle IP- Wie unter Externe virtuelle IP-Adressen beschrieben, aber für Adressen die internen virtuellen IP-Adressen. 6-17 8334_de_02 PHOENIX CONTACT...
Seite 324 Anzahl an Datenpaketen passt, die durch den VPN-Kanal während der maximalen Failover-Umschaltzeit gesendet werden können. Im schlimmsten Fall (bei einem Gigabit-Ethernet und einer Umschaltzeit von 10 Sekunden) sind das 0,5 % einer IPsec Sequenz. Im besten Fall ist es nur ein Promille. 6-18 PHOENIX CONTACT 8334_de_02...
Seite 325 Jeder FL MGUARD eines Redundanzpaares muss neu konfiguriert werden, um das Ma- schinenzertifikat zu tauschen. Und beide FL MGUARDs benötigen das gleiche Zertifikat, um aus der Sicht ihrer VPN-Partner als die selbe virtuelle VPN-Appliance zu erscheinen. 6-19 8334_de_02 PHOENIX CONTACT...
Seite 326 ESP-Pakete fallen, die die gleiche Sequenznummer haben, wie ein Paket, das der FL MGU- ARD für einen bestimmten IPsec-Kanal bereits entschlüsselt hat. Dieser Mechanismus wird IPsec-Replay-Window genannt. Es verhindert einen Replay-Angriff, bei dem der Angreifer zuvor aufgezeichnete Daten sendet, um etwa eine fremde Identität vorzutäuschen. 6-20 PHOENIX CONTACT 8334_de_02...
Seite 327 Fehlerfall“ auf Seite 6-5 beschrieben. Reale IP-Adressen VPN-Partner dürfen keinen ESP-Traffic an die reale IP-Adresse des Redundanzpaares senden. VPN-Partner müssen immer die virtuelle IP-Adresse des Redundanzpaares nut- zen, um dorthin IKE-Nachrichten oder ESP-Traffic zu senden. 6-21 8334_de_02 PHOENIX CONTACT...
Seite 328 17 MBit/s, bidirektional,  FL MGUARD RS4000 nicht mehr als 2 300 Frames/s FL MGUARD SMART2 FL MGUARD PCI4000 FL MGUARD DELTA TX/TX Failover-Umschaltzeit Sie können die Umschaltzeit im Fehlerfall auf 1, 3 oder 10 Sekunden einstellen. 6-22 PHOENIX CONTACT 8334_de_02...
Seite 329 Für den Wiederaufbau sorgt die Dead Peer Detection (DPD) mit der dafür konfigurier- ten Zeit. Dieser Effekt liegt außerhalb des Einflussbereichs des FL MGUARDs. – Bei einer Pfad-Redundanz, die durch eine Netzwerk-Lobotomie ausgelöst wird, wer- den die VPN-Verbindungen nicht länger unterstützt. Eine Netzwerk-Lobotomie muss wenn möglich verhindert werden. 6-23 8334_de_02 PHOENIX CONTACT...
Seite 330 MGUARD eingestellt sein. Es wird Remote CA-Zertifikat genannt. Wenn ein Remote-Zertifikat erneuert wird, hat kurzfristig nur einer der FL MGUARDs ein neues Zertifikat. Wir empfehlen deshalb bei der VPN-Redundanz die VPN-Partner über CA- Zertifikate statt über Remote-Zertifikate zu authentifizieren. 6-24 PHOENIX CONTACT 8334_de_02...
Seite 331 Zertifikaten und CRLs eingestellt haben, dann muss die Systemzeit stimmen. Wir emp- fehlen, die Systemzeit mit einem vertauenswürdigen NTP-Server zu synchronsieren. Jeder FL MGUARD eines Redundanzpaars kann den anderen als NTP-Server nutzen, aber nicht als einzigen NTP-Server. 6-25 8334_de_02 PHOENIX CONTACT...
Seite 332 FL MGUARD 6-26 PHOENIX CONTACT 8334_de_02...
Seite 333 FL MGUARD RS4000/RS2000, FL MGUARD DELTA TX/TX: bis die LED ERR leuch- • FL MGUARD SMART2: bis die mittlere LED in Rot aufleuchtet Alternativ dazu: • Die Stromzufuhr vorübergehend unterbrechen. • FL MGUARD PCI4000: Computer, der die FL MGUARD PCI4000-Karte enthält, neu starten. 8334_de_02 PHOENIX CONTACT...
Seite 334 FL MGUARD RS4000/RS2000, FL MGUARD SMART2, FL MGUARD PCI4000 , FL MGUARD DELTA TX/TX: • Die Rescue-/Reset-Taste langsam 6-mal drücken. Nach ca. 2 Sekunden antwortet der FL MGUARD: FL MGUARD RS4000/ Die LED STAT leuchtet grün RS2000, FL MGUARD PCI4000, FL MGUARD DELTA TX/TX PHOENIX CONTACT 8334_de_02...
Seite 335 Konfiguration des gesamten Netzwerks beeinflusst werden. – Sie haben die Firmware des FL MGUARDs auf dem Konfigurations-Rechner ge- speichert. – DHCP- und TFTP-Server sind unter der gleichen IP-Adresse zu erreichen. – FL MGUARD RS4000/RS2000, FL MGUARD PCI4000 und FL MGUARD DELTA TX/TX: 8334_de_02 PHOENIX CONTACT...
Seite 336 Die Kontrollprozedur löscht nun den aktuellen Inhalt des Flashspeichers und bereitet die Neuinstallation der Firmware vor. Die Reaktion des Gerätes hängt vom Typ ab: FL MGUARD RS4000/ Die LEDs STAT, MOD und SIG bilden ein Lauflicht RS2000, FL MGUARD DELTA TX/TX PHOENIX CONTACT 8334_de_02...
Seite 337 Adresse zugewiesen. Diese Adresse bekommt er von einem im Netz erreichbaren BootP- Server, der während des Flashens verwendet wurde. Wenn Sie den empfohlenen DHCP-Server für Windows verwenden (siehe Seite 7-7), dann arbeitet dieser auch als BootP-Server. Wenn Sie einen DHCP-Server unter Linux verwenden, dann gilt dies nicht. 8334_de_02 PHOENIX CONTACT...
Seite 338 Die LED STAT an der Frontblende leuchtet kurz orange. Anschließend leuchten die LED STAT sowie die beiden oberen LEDs der Ethernet- Buchsen nacheinander grün • Lassen Sie während der grünen Leuchtphase die Reset-Taste los. Die Flash-Prozedur startet. PHOENIX CONTACT 8334_de_02...
Seite 339 Upgrade erworbene Lizenz-Datei unter dem Namen licence.lic eben- falls dort abgelegt werden. Stellen Sie sicher, dass es sich um die Lizenzdatei handelt, welche wirklich zum Gerät gehört (siehe „Verwaltung >> Update“ auf Seite 5-38). Bild 7-2 Host-IP eingeben 8334_de_02 PHOENIX CONTACT...
Seite 340 (siehe „Verwaltung >> Update“ auf Seite 5-38). • Starten Sie dann den inetd-Prozess neu, um die Konfigurationsänderungen zu über- nehmen. • Sollten Sie einen anderen Mechanismus verwenden, z. B. xinetd, dann informieren Sie sich in der entsprechenden Dokumentation. PHOENIX CONTACT 8334_de_02...
Seite 341 725 g (TX/TX) 722 g (TX/TX) Firmware und Leistungswerte Firmware-Kompatibilität FL MGUARD v7.4.0 oder höher; Phoenix Contact empfiehlt die Verwendung der je- weils aktuellen Firmware Version und Patch Releases Funktionsumfang siehe entsprechendes Firmware-Datenblatt Datendurchsatz (Router | Firewall) - Routermodus, Default Firewallregeln, bi- - Routermodus, Default Firewallregeln, bi- direktionaler Durchsatz: max.
Seite 342 Firmware-Version und Patch Releases Funktionsumfang siehe entsprechendes Firmware-Datenblatt Datendurchsatz (Router | Firewall) - Routermodus, Default Firewallregeln, bidirektionaler Durchsatz: max. 124 MBit/s,  - Stealthmodus, Default Firewallregeln, bidirektionaler Durchsatz: max. 58 MBit/s Hardware-basierte Verschlüsselung DES | 3DES | AES-128/192/256 PHOENIX CONTACT 8334_de_02...
Seite 343 LEDs (2 x LAN, 2 x WAN in Kombination) für Ethernet-Status und Geschwin- digkeit; 1 LED für Power, Error, State, Fault, Info) | Log-File | Remote-Syslog Sonstiges Konformität CE | FCC Besonderheiten Echtzeituhr | Trusted Platform Module (TPM) | Temperatursensor | FL MGUARD Remote Services Portal ready 8334_de_02 PHOENIX CONTACT...
Seite 344 Gewicht 629 g Firmware und Leistungswerte Firmware-Kompatibilität FL MGUARD v7.4.0 oder höher; Phoenix Contact empfiehlt die Verwendung der jeweils aktuellen Firmware-Version und Patch Releases Funktionsumfang siehe entsprechendes Firmware-Datenblatt Datendurchsatz (Router | Firewall) - Routermodus, Default Firewallregeln, bidirektionaler Durchsatz: max. 124 MBit/s, ...
Seite 345 131 g Firmware und Leistungswerte Firmware-Kompatibilität FL MGUARD v7.2 oder höher; Phoenix Contact empfiehlt Firmware Version 7.x in den jeweils aktuellen Patch Releases; Funktionsumfang siehe entsprechendes Firmware Datenblatt Datendurchsatz (Router | Firewall) - Routermodus, Default Firewallregeln, bidirektionaler Durchsatz: max. 124 MBit/s, ...
Seite 346 Produkte Beschreibung Artikel-Bezeichnung Artikel-Nr. Security Appliance im Metallgehäuse, mit erweitertem Temperaturbereich, FL MGUARD RS2000 TX/TX VPN 2700642 SD-Karten-Slot, bis zu 2 VPN-Tunnel, 2-Click-Firewall für einfachste Konfigu- ration, Router mit NAT/1:1-NAT Security Appliance im Metallgehäuse, mit erweitertem Temperaturbereich, FL MGUARD RS4000 TX/TX 2700634 SD-Karten-Slot, intelligente Firewall mit vollem Funktionsumfang für maxi-...
Seite 347 Security-Element für FL CAT5/6 PATCH ... FL PATCH SAFE CLIP 2891246 HOTLINE: Bei Problemen, die nicht mit Hilfe dieser Dokumentation gelöst werden können, wenden Sie sich bitte an unsere Hotline: + 49 - (0) 52 81 - 946 28 88 8334_de_02 PHOENIX CONTACT...
Seite 348 FL MGUARD PHOENIX CONTACT 8334_de_02...

Diese Anleitung auch für:

Fl mguard rs4000 tx/txFl mguard rs4000 tx/tx vpnFl mguard smart2Fl mguard smart2 vpnFl mguard pci4000Fl mguard pci4000 vpn ... Alle anzeigen

Phoenix Contact FL MGUARD RS2000 TX/TX VPN Anwenderhandbuch

Quicklinks

Verwandte Anleitungen für Phoenix Contact FL MGUARD RS2000 TX/TX VPN

Inhaltszusammenfassung für Phoenix Contact FL MGUARD RS2000 TX/TX VPN

Diese Anleitung auch für: