Tipps & Tricks
Watchguard-Fireware: "Don’t-fragment"-Funktion fehlt
In der neuesten Version der Watchguard-Konfigurationssoftware WSM 9.x ("Fireware") scheint die "
Don?t-fragment"-Funktion zu fehlen. Wurde sie entfernt oder anderswo eingebaut?
Benutzer der Watchguard-Konfigurationssoftware Fireware 8.x waren es gewohnt, die "Don?t
-fragment"-Funktion unter den "Global Settings" zu finden. In der neuen Fireware-Software ist sie
unter den "Advanced"-Einstellungen für das Interface untergebracht.
Aktuelle Patches und Updates zu Novell-Produkten
Welche neuen Patches und Updates stehen für Novell-Produkte zur Verfügung und wo lassen sie sich
downloaden?
Nachfolgend eine Auswahl aktueller Produkt-Updates von Novell für Nicht-Linux-Produkte. Alle
Dateien sind über
support.novell.com/patches.html sowie über den Download-Bereich (download.novell.com) des
Herstellers verfügbar. Mit einem "Securtity Alert" ist folgendes Support-Pack für Zenworks
versehen:
ZDML_SP1_IR1: "Novell Zenworks 7 Desktop Management Support-Pack 1 Interim
Release 1" (TID 5006320). Für dieses Update stehen je nach Plattform unterschiedliche Dateien zur
Verfügung.
In die "Minimum Patch List" (Priorität "Mandatory") des Herstellers sind mit den Dateien "
idm35cleir2.zip", "491psp2_3_4_nwspool.zip" und "6.3_CumulativeHotFix2.exe" drei Updates
aufgestiegen, die LANline bereits in der vergangenen Ausgabe vorgestellt hat.
Nachfolgend noch eine Auswahl "gewichtigerer" Updates der Priorität "Recommended". Diese
beziehen sich auf die Novell-Produkte Imanager, Access Manager, Sentinel, Iprint sowie
Zenworks:
iman26.npm: "Imanager 2.6 Support-Pack 4" (TID 5006340),
nam3sp1gm.tar.gz: "Novell Access Manager 3 SP1 Gold Master" (TID 5006400),
2007–08–29_SENTINEL_6.0.0.0_SP1_GM.zip: "Sentinel 6.0.0.0 Service-Pack 1" (TID
5006002),
iprntnw65sp6g.zip: "Iprint Update to Netware 6.5 Support-Pack 6" (TID 5006001)
und
upd750.zip: "Zenworks 7.5 Asset Management IR 5" (TID 5006220).
Watchguard-Fireware: VPN-Aufbau misslingt
Nach der Migration auf die aktuelle Version der Watchguard-Konfigurationssoftware WSM 9.x ("
Fireware") gelingt der Aufbau von VPNs manchmal nicht mehr oder in einigen Fällen nicht
zuverlässig. Worin könnte der Grund liegen?
Bei der Migration von VPN-Verbindungen auf die neue Watchguard-Fireware (WSM 9.x) ist zu
berücksichtigen, dass die Einstellungen für IPSec jetzt beiderseits genau übereinstimmen müssen,
damit die Verbindungen zustande kommen. Die Vorgängerversion (WFS 7.x) der Watchguard Fireware hat
die Einstellungen bei Abweichungen gegebenenfalls angepasst.
Wird bei einer Migration zur neuen Fireware nur eine der beiden Seiten umgestellt, kommt es aus
den beschriebenen Gründen manchmal auch zu VPNs, die einmal funktionieren und einmal wieder nicht.
Baut nämlich die neue Software das VPN auf, stellt sich die Gegenseite gegebenenfalls auf deren
Konfiguration ein, was im umgekehrten Fall nicht geschieht. Da der Ablauf des Verbindungsaufbaus
aber nicht vorherbestimmbar ist, hängt auch der Erfolg der Verbindungsaufnahme vom Zufall ab. Exakt
gleiche Einstellungen beenden die Unsicherheit.
Bintec-Router: VPN mit dynamischen IP-Adressen
Wie lässt sich mit einem Bintec-Router eine VPN-Verbindung trotz dynamischer IP-Adressen auf
beiden Übertragungseiten realisieren?
Mit den Bintec-Routern R232b und R232bw ist das möglich, denn diese besitzen zwei aktive
VPN-Tunnel ab Werk. Um Kommunikationspartner trotz dynamischer IP-Adressen ausfindig zu machen,
unterstützen die Geräte die Funktion "Dyn-VPN", die kombiniert mit einem DNS-Server im Internet
oder dem ISDN-Netz den Aufbau eines VPNs ermöglicht. Ein VPN-Gateway nimmt dabei über eine
ISDN-Verbindung den Kontakt mit dem anderen Gateway auf. Dabei wird nicht nur wie üblich die
ISDN-Rufnummer übermittelt und überprüft, sondern das Gerät liefert auch gleich die eigene
dynamische IP-Adresse sowie ein Cookie mit. Das zweite VPN-Gateway kennt nun die IP-Adresse des
anderen und weiß, wie es das Partnernetz erreichen kann. Das Cookie kommt beim
VPN-Verbindungsaufbau zur zusätzlichen Authentifizierung zum Einsatz und bringt damit eine höhere
Sicherheit.
Das Verfahren funktioniert in beiden Richtungen. Das Bintec-VPN-Gateway versucht mit zwei
verschiedenen Methoden (LLC/Subadresse) die IP-Adresse zuerst über den kostenfreien D-Kanal zu
übermitteln. Schlagen beide Methoden fehl, lässt sich auch der kostenpflichtige B-Kanal zur
Übertragung der dynamischen IP-Adresse nutzen.
Alternativ dazu besteht die Möglichkeit, ein VPN mit dynamischen IP-Adressen mithilfe eines
Dyndns-Anbieters zu realisieren. Der Bintec-Router registriert sich hierzu bei jeder
Interneteinwahl bei einem Dyndns-Server. Kurze Zeit nach der Registrierung wird jede DNS-Anfrage
nach dem Host-Namen des Bintec-Routers – dieser ist beim Dyndns-Anbieter wählbar – auf die aktuell
gültige IP-Adresse des Routers aufgelöst. Eine eindeutige Adressierung des Routers ist damit trotz
wechselnder IP-Adresse aus dem Internet heraus möglich.
Verschlüsseltes Drucken aus dem Microsoft Printing System
Existiert unter aktuellen Microsoft-Betriebssystemen eine Möglichkeit, auch ohne spezielle
Zusatzsoftware verschlüsselte Druckverbindungen zu Netzwerkdruckern in der Konfiguration
einzurichten?
Microsoft Betriebssysteme unterstützten beim Netzwerkdruck diverse Protokolle wie zum Beispiel "
Raw", "LPD/LPR" oder das Internet Printing Protocol (IPP). Sicher im Sinn von "Schutz vor
unberechtigtem Zugriff durch Dritte" sind sie aber alle nicht, da diese Protokolle Klartext
übertragen. Aus diesem Grund wurden Varianten dieser Protokolle mit integrierten
Sicherheitsfunktionen wie SSL-/TLS-Verschlüsselung und/oder Authentifizierung entwickelt. IPP in
der Version 1.1 (IPPv1.1) unterstützt zum Beispiel eine SSL-Verschlüsselung.
Moderne Printserver können in der Regel auch über solche sicherheitstechnisch aufgewerteten
Protokolle kommunizieren. Die Microsoft-Betriebssysteme beherrschen diese Technik allerdings nicht.
Daher muss der Anwender dort in der Regel Software von Fremdherstellern nachrüsten.
Mit einem kleinen Kniff kann der Benutzer eventuell jedoch sogar ohne eine solche Software aus
einem der aktuellen Microsoft-Betriebssysteme (wie Windows 2000/2003/XP/Vista) sicher drucken –
sofern auch der Printserver "mitspielt":
Microsoft Printing System starten,
Drucker hinzufügen (Druckerinstallationsassistent),
"Netzwerkdrucker oder Drucker, der an einen anderen Computer angeschlossen ist"
anklicken sowie
"Verbindung zu einem Drucker im Internet oder Heim-/Firmennetz herstellen"
anklicken.
Anstatt den Printserver einfach nur über HTTP mit seiner IP-Adresse zu adressieren, sollte der
Anwender es via HTTPS versuchen. Die Eingabe der URL erfolgt dabei herstellerspezifisch, in der
Regel nach der Formel: "https://". Nachfolgend zwei Syntaxbeispiele für Endgeräte unterschiedlicher
Hersteller:
192.168.0.192/ipp/lp1 (SEH)
192.168.0.192/printers/lp1 (Kyocera)
Möglicherweise erfolgt daraufhin bei der ersten Verbindungserstellung eine Zertifikatsabfrage.
Anschließend kann der Anwender den Drucker aber ganz normal im Microsoft Printing System anlegen.
Die Kommunikation sollte danach verschlüsselt erfolgen. Bei einigen Printservermodellen zum
Beispiel von SEH ist dann auch das SSL-/TLS-verschlüsselte Drucken über HTTPS möglich.
Watchguard-Fireware: Renewable-Prozess scheitert
Nach dem Erwerb von "Renewal Keys" für Watchguard-Appliances zwecks Weiterführung der Wartung
scheitert manchmal der Renewal-Prozess. Wie lässt sich dieses Problem vermeiden?
Nach dem Kauf der Renewal-Keys sollte man diese sofort nach Erhalt auf der Support-Seite von
Watchguard registrieren. Wenn dies zu spät geschieht, funktioniert der Renewal-Prozess tatsächlich
nicht mehr. Die Sorge, bei sofortiger Registrierung werde die alte Wartungszeit nicht vollständig
ausgeschöpft, ist unbegründet.
Lesen Sie mehr zum Thema
