Quantcast
Channel: Software – Andy's Blog
Viewing all 1830 articles
Browse latest View live

Windows: Regelmässiger Ereignisprotokolleintrag von VSS mit der ID 8224

July 31, 2020, 10:53 am
$
0
0

Das der VSS-Dienst nach einem gewissen Leerlauf beendet wird macht durchaus Sinn, muss dieser ja nicht die ganze Zeit über Laufen, schließlich wird er in der Regel entweder nur bei der Datensicherung oder bei der Erstellung der Schattenkopien (gemeint ist „Vorige Versionen“) benötigt.

Mitunter kann es allerdings vorkommen, das der Dienst ständig irgendwie angetriggert wird oder aus anderen Gründen nahezu unaufhörlich startet und nach einem Leerlauf beendet wird.

Auf einem recht frischen Windows Server 2019 erschien dieses Ereignis exakt alle fünf Minuten:

Protokollname: Application
Quelle: VSS
Datum: 31.07.2020 08:04:09
Ereignis-ID: 8224
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: hv01
Beschreibung:
Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.

Als erster bekannter workaround wurde der Starttyp des Dienstes „Volumeschattenkopie“ (Dienstname: VSS) von „Manuell“ auf „Automatisch“ geändert und der Dienst einmal durchgestartet, aber leider half das nicht.

Um zu sehen, ob sich der Intervall bzw. das Leerlaufzeitlimit ändern lassen wurde in der Registry unter

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VSS\Settings

ein neuer DWORD-Eintrag mit dem Namen „IdleTimeout“ sowie dem Wert „180“ (Sekunden, also drei Minuten) angelegt sowie der Dienst einmal durchgestartet.

Siehe da, die ständigen VSS-Ereignisse hörten auf.

Quellen:

Appuals – How to Fix ‘VSS Service is Shutting Down Due to Idle Timeout’ Error?

Microsoft Docs – Registry Keys and Values for Backup and Restore


Ähnliche Artikel:

  1. Windows 10: Sperrbildschirm nach dem Abschalten des Displays deaktivieren
  2. Windows 10: Defender samt seiner Dienste deaktivieren
  3. Windows 10: Alte Windows-Fotoanzeige reaktivieren
  4. Windows: Auslastung durch SmartScreen
  5. Windows 7: Abmelde- oder Herunterfahren-Skript bricht nach 15 Minuten ab
Search

E-Mail-Fehlermeldung: 571 Delivery not authorized message refused & 550 Administrative prohibition

August 4, 2020, 12:11 am
$
0
0

Bei einem Kunden trat seit ein-zwei Tagen das Problem auf, das ein bestimmter Empfänger nicht mehr erreicht werden konnte, zuvor war das gar kein Thema. Als Fehlermeldung kam immer „571 Delivery not authorized message refused (in reply to end of DATA command)“ zurück. Alle anderen Empfänger waren hingegen kein Problem. Laut Empfängerin sei zudem bei ihr alles in Ordnung.

Sucht man im Netz nach dieser Meldung findet sich dazu einiges. Das Ganze scheint hauptsächlich in Verbindung mit Microsoft’s Exchange Server aufzutreten. Unser Kunde verwendet den MDaemon Email Server, anhand der Kopfzeilen der Mails konnte nicht eindeutig geklärt werden, was auf der Empfänger-Seite für ein Mail-System zum Einsatz kommt.

Sucht man nach dieser Fehlermeldung findet man verschiedene, (imho) teils kuriose Ursachen:

bobcares – How to fix ‘571 Delivery not authorized message refused’ error in Exchange server

ATVIRTUAL – Mailserver Fehlercodes

MCSEboard – Exchange 2010 / Requested #571 Delivery not authorized, message refused ##

Aufgrund des Beitrags im MCSEboard und um auszuschließen das es am Outlook des Absenders liegt wurde die Nachricht nochmals via MDaemon’s Webmail versendet und kam prompt erneut mit gleicher Fehlermeldung zurück.

Um sicher zu gehen, das nicht der Absender irgendwie Spamfilter-mässig geblockt wird, wurde die Mail-Domain als auch der Provider hinsichtlich Einträgen in Blacklists überprüft:

heise – Spam-Listen

DNSBL Spam Check

MX Toolbox – Blacklists

Auch das Verlief ohne neue Erkenntnisse bzw. der Absender sowie Provider steht auf keiner Blacklist. Als nächstes wurde der E-Mail-Provider unseres Kunden kontaktiert, von dort hieß es das die E-Mail evtl. aus inhaltlichen Gründen abgelehnt wird, da der Abbruch nach dem „DATA command“ kommt. Zugegeben, an der E-Mail ist eine PDF-Datei angefügt, da es sich um eine Auftragsbestätigung handelt. An den PDFs hat sich allerdings ebenfalls nichts grundlegendes verändert und auch eine Prüfung zeigte keinerlei Aufälligkeiten.

Alles in allem weißt alles darauf hin, das es an der Empfänger-Seite ist, das Problem zu lösen. Da bis vor ein paar Tagen die Kommunikation erfolgreich war und sich bei unserem Kunden nichts verändert hat, ist es naheliegend, das beim Empfänger irgendetwas verändert wurde. Das kann ein neuer Spamfilter sein oder auch geänderte Richtlinien, das bestimmte Anhänge nicht mehr akzeptiert werden oder ähnliches.

An dieser Stelle wurde die Empfängerin ein weiteres mal kontaktiert, mit der Bitte die Fehlermeldung an ihren IT-Support weiter zu geben.

Einen weiteren Tag später kam bei einem anderen Empfänger noch folgende Fehlermeldung hinzu:

550 Administrative prohibition (in reply to end of DATA command)

Auch hier die Auffälligkeit mit dem „DATA command“, an dieser Mail hängt ebenfalls eine PDF dran, diesmal allerdings eine Rechnung.

Im weiteren Verlauf wurde mit E-Mails ohne Anhang getestet, selbst diese wurden abgewiesen, bei letztgenannten Empfänger interessanterweise mit der 571er-Fehlermeldung wie oben.

Wieder ein paar Tage später und trotz bitte das sich der jeweilige IT-Support der Empfänger mit uns in Verbindung setzt vermeldete unser Kunde, das es zumindest bei einem Empfänger eine Rückmeldung von einem Mitarbeiter gab, das man auf der Blacklist gewesen sei und es jetzt wieder funktioniert. Einen Grund für die Sperrung und um welche Blacklist (vmtl. irgendwas internes, da nichts öffentliches feststellbar war) es sich handelte wurde nicht genannt.

Von dem zweiten Empfänger wurde uns zuletzt von unserem Kunden berichtetet, das bei diesem zwischenzeitlich wohl die gesamte IT zusammengebrochen sei, diese und andere Umstände wären dort schon öfter vorgekommen.


Ähnliche Artikel:

  1. Glück im Unglück: UTM defekt, Mail-Zustellung und -Abruf durch MDaemon Messaging Server
  2. Outlook: Per CLI eine neue E-Mail erstellen
  3. SBS 2003: Kein E-Mail-Versand per SMTP nach „Recipient+ok“
  4. Server-Eye – Die E-Mail-Funktion mit Mail Round Trip prüfen
  5. Delta Chat – Chatten via E-Mail

Windows: Gespeicherte Anmeldedaten eines anderen Benutzers ändern

August 11, 2020, 7:31 am
$
0
0

Möchte man die gespeicherten Anmeldedaten eines Benutzers ändern geht das via Systemsteuerung oder cmdkey.exe in der Eingabeaufforderung. In der aktuellen Sitzung ist das kein Problem. Soll dies allerdings von einer anderen Sitzung aus erfolgen muss man einen kleinen Umweg nehmen.

Inspiriert wurde dieser Beitrag durch eine eher unschöne Geschichte bei einem Kunden, wo versucht wurde eine Anwendung als Domänen-Administrator auszuführen. Unguterweise wurden bei den Bemühungen des „Vor-Ort-Kollegens“ die Anmeldedaten gespeichert.

Grundsätzlich sollte sowas nicht sein, das eine „Alltags-Anwendung“ mit erhöhten bzw. administrativen Rechten laufen muss!

Letztlich stellte sich heraus, das all das für die Anwendung überhaupt nicht notwendig war und von daher, ohne den laufenden Betrieb zu beeinträchtigen, die Änderungen zurückgenommen werden mussten.

Die nachfolgenden Schritte müssen auf dem Computer ausgeführt werden, auf dem der Benutzer arbeitet. In diesem Fallbeispiel ist der Administrator zusätzlich zu dem Benutzer an einem Windows 10-PC angemeldet.

Am einfachsten ist es eine Eingabeaufforderung in dem Benutzerkontext zu starten, für den die gespeicherten Anmeldeinformationen geändert werden sollen:

runas /user:<Domain-or-Host>\<Username> cmd

Daraufhin öfnet sich eine neue Eingabeaufforderung und man kann dort mittels

cmdkey

die gespeicherten Anmeldedaten einsehen, ändern, welche hinzufügen oder löschen.

Grafisch geht es mit folgendem Befehl:

rundll32.exe keymgr.dll, KRShowKeyMgr

Es öffnet sich ein Dialog über den die gewünschten Änderungen vorgenommen werden können.

Der Vollständigkeit halber: Der Befehl „control /name Microsoft.CredentialManager“ funktioniert via runas nicht.

Quellen:

Microsoft Docs – cmdkey

Microsoft TechNet Foren – command line for credential manager

windowsreport – How to add, remove and edit files in Windows Credential Manager


Ähnliche Artikel:

  1. Windows: Keine gespeicherte Anmeldedaten bei Remotedesktopverbindung
  2. Windows: Mit cmdkey Anmeldedaten per Skript zur Anmeldeinformationsverwaltung hinzufügen oder entfernen
  3. Windows: runas – Automatische Kennwort-Eingabe mit UniPass
  4. Windows: Einzelne Anwendungen bei Bedarf als Administrator ausführen
  5. Windows: Hyper-V Manager in der Arbeitsgruppe verwenden

Windows: Drucker auf neuen Computer migrieren

August 11, 2020, 7:37 am
$
0
0

Im Rahmen eines Rechnerwechsels sollten die Drucker samt deren Einstellungen auf das neue Gerät übernommen werden.

Seitens Microsoft bietet sich dabei der Assistent für die Druckermigration an. Dieser wird mit dem Befehl

PrintBrmUi.exe

gestartet und führt durch den Export-/Import-Vorgang.

Im Idealfall klappt der Ex- und Import. In diesem Praxisbeispiel klappte allerdings der Import nur sehr bedingt. Die allermeisten Drucker fehlten und im Ereignisprotokoll war nicht ausreichend vermerkt woran es scheiterte. So blieb nur der klassische Weg.

Evtl. hätte man mehr Erfolg, wenn man die zu ex-/importierenden Drucker auswählen könnte, leider ist das in der aktuellen Fassung des Assistenten nicht der Fall, so das versucht wird immer alles mitzunehmen.

Quelle:

Winaero – Backup and Restore Printers in Windows 10


Ähnliche Artikel:

  1. Windows 8.1: Es werden nicht alle Drucker angezeigt
  2. Windows: Dummy-Drucker anlegen
  3. Windows: hMailServer auf neuen Computer migrieren
  4. Windows-Meldung „Vertrauen Sie diesem Drucker?“
  5. Windows: DHCP-Server bei unterschiedlichen Sprachen migrieren

Windows: Outlook 2019-Profil auf einen neuen Computer umziehen

August 11, 2020, 7:51 am
$
0
0

Das Thema Outlook-Profil umziehen gab es bereits das eine oder andere Mal im Rahmen dieses Blogs. Im wesentlichen hat sich an den Schritten nichts verändert.

Man exportiert nach wie vor aus der Registry folgenden Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion \Windows Messaging Subsystem\Profiles

In diesem sind alle Profile (Standard ist „Outlook“) enthalten.

Anschließend kopiert man alle Outlook-relevanten Ordner und Dateien aus dem Benutzerprofil auf den neuen Computer.

In der Regel findet man die Datendateien unter „Dokumente“. Weitere relevante Dinge finden sich unter

%LocalAppData%\Microsoft\Outlook
%AppData%\Microsoft\Outlook
%AppData%\Microsoft\Signatures

Mitunter und bei immer wieder migrierten Daten über x-Jahre und Outlook-Versionen hinweg und manuell erstellten Datendateien können noch weitere Pfade hinzukommen.

Nach dem Kopieren und Importieren auf dem neuen Computer startet man Outlook. I.d.R. wird man zunächst nach dem zu verwendetem Profil gefragt, dieses wählt man aus und setzt den Haken bei dem gewünschten Standardprofil. Haben sich Pfade geändert, der Klassiker wäre ein anderer Benutzername aufgrund von z.B. einer Heirat, fragt Outlook nach dem jeweiligen Verbleib der Datendatei(en). Als nächstes müssen die Kennwörter der Postfächer eingeben werden.

Hat man dieses Prozedere einmal durchgeführt ist man wieder auf Stand und kann weiterarbeiten.

Quelle:

TC-IT Services – Export Outlook account settings to another computer


Ähnliche Artikel:

  1. Windows: Outlook-Kontoeinstellungen umziehen
  2. Microsoft Outlook 2013 umziehen
  3. MailStore: Outlook öffnen, während MailStore eine PST archiviert
  4. Windows: MS Office 2019 Home and Business und Publisher 2019 (jeweils Klick-und-Los) parallel installieren
  5. Windows: Computer aus der Domäne entfernen und dabei das Benutzerprofil behalten

Windows: Adobe Flash Player automatisch deinstallieren

August 11, 2020, 11:49 pm
$
0
0

(Endlich) Wird der Support für den Adobe Flash Player eingestellt (EOL Jahresende 2020) und so langsam wird es Zeit diesen los zu werden. In Firmenumgebungen und mittels entsprechender Management-Lösungen lässt sich dieser leicht automatisch und für den Benutzer unsichtbar entfernen.

Voraussetzung ist zunächst der Download des Uninstall-Tools:

http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe

Dieses muss dann mit einem der folgenden Parameter aufgerufen werden:

Vollständige Deinstallation:

uninstall_flash_player.exe -uninstall

Spezifische Deinstallation:

uninstall_flash_player.exe -uninstall activex
uninstall_flash_player.exe -uninstall plugin
uninstall_flash_player.exe -uninstall pepperplugin

Quellen:

Adobe Support Community – How do I uninstall Flash player silently using command line

Adobe Flash Player 30.0 Administration Guide (PDF, Seite 11)


Ähnliche Artikel:

  1. Adobe Flash Player 11.2 Beta 2 – Automatische Updates
  2. Firefox, YouTube und Adobe Flash – Das ewige Leiden und ein Workaround
  3. Windows: Probleme mit Browsern und der Video-Wiedergabe mit Flash Player beheben
  4. Kein mobiles Adobe Flash mehr in Zukunft
  5. Linux: Flash-Alternative Gnash auf Debian Squeeze aktualisieren

Windows Server 2019: Windows Update-Fehler 0x800705b4 und „Der Bedrohungsdienst wurde beendet. Starten Sie ihn jetzt neu.“

August 12, 2020, 8:08 am
$
0
0

Bislang liefen bei uns und unseren Kunden die Windows Updates auf Windows Server 2019 ohne Schwierigkeiten durch. Auch in Sachen Schnelligkeit ist man (imho) wieder auf dem Niveau von Windows Server 2012 R2. Also alles kein Vergleich zu Windows Server 2016.

Nun gab es erstmals auf einem Kundensystem Schwierigkeiten. Das Ganze ist ein Windows Server 2019 Standard mit Hyper-V-Rolle. Während die VM-Instanzen schnell die aktuellen (August 2020) Windows Updates gefunden und installiert hatten, suchte der Host immer noch. Irgendwann gab es dann den Fehlercode „0x800705b4“. Kurzum: Ein Timeout, aber wieso?!

Das Windows Update-Protokoll das man via Powershell (Get-WindowsUpdateLog) generieren kann lieferte zunächst keinen brauchbaren Hinweis. Der Windows-Update-Dienst lies sich zudem nicht ohne weiteres Beenden, lediglich ein „Abschießen“ des Prozesses half. Ein Reset der Windows-Update-Komponenten half ebenfalls nicht, genauso wenig wie das manuelle Herunterladen und Installieren der Updates. Letztgenanntes suchte ebenfalls endlos. Per Zufall fiel dann auf, das der Defender-Dienst abgestürtzt war und sich nicht mehr starten lies:

Letztlich half den Host neu zu starten und anschließend die Updates zu installieren.


Ähnliche Artikel:

  1. Windows Server 2019 Essentials
  2. Windows Server 2019 Evaluierungsversion – Häufige Reaktivierung notwendig
  3. Windows 8.1 Pro Preview und Windows Update-Fehler 80073712 bei Update 2870699
  4. Erste Erfahrung(en) mit Updates auf Windows Server 2019
  5. Windows Server 2019: Memory Leak?

Windows: PDF24 Creator automatisch installieren oder updaten

August 14, 2020, 2:00 am
$
0
0

Verteilt man im Firmennetzwerk bzw. via Client-Management-Suiten Software und deren Updates bieten sich automatische Installationen sowie Aktualisierungen ohne Benutzereingriff an.

Auch der PDF24 Creator lässt sich dank des INNO-Setups oder der MSI-Datei silent installieren. Allerdings stolpert man dabei evtl. über das Problem, das die Installation stockt und nicht weiter läuft.

Führt man die Installation manuell durch begegnet einem die Meldung, dass das Programm noch läuft und ob man dieses beenden möchte. Hintergrund dieser Meldung dürfte in den allermeisten Fällen der PDF24-Dienst und im benutzerkontext-laufende Prozesse sein.

Am Beispiel mit einem kleinen Skript und der INNO-Setup-basierten Installationsdatei kann man die Meldung wie folgt umgehen:

@echo off

rem Den Dienst beenden

net stop "PDF24"

rem Alle laufenden PDF24-Prozesse beenden

taskkill /im "pdf24.exe" /f

rem PDF24 Creator installieren bzw. aktualisieren

pdf24-creator.exe /verysilent /noupdate /norestart

Auf der Download-Seite finden sich immer die aktuellen Installationsdateien mit der Versionsnummer, wie z.B. „pdf24-creator-9.2.0.exe“, im Namen. Alternativ, damit man nicht immer das Skript ändern muss, kann man entweder die heruntergeladene Datei umbenennen oder direkt ohne Versionszusatz herunterladen:

https://www.pdf24.org/products/pdf-creator/download/pdf24-creator.exe

https://www.pdf24.org/products/pdf-creator/download/pdf24-creator.msi

Quellen:

PDF24 Creator Changelog

PDF24 Help Center – PDF24 Creator .exe Setup Parameter/Arguments


Ähnliche Artikel:

  1. Windows: RemoteApps für verschiedene Benutzer per Aufgabe automatisch starten und trennen – Der kurze Weg
  2. MS SQL Server 2014 Express auf einem Domänencontroller installieren
  3. Windows: Adobe Flash Player automatisch deinstallieren
  4. Windows Server 2019: Defender automatisch aktualisieren
  5. Windows: Automatisch OpenVPN-Verbindung inkl. Anmeldung herstellen
Search

Windows: Angeschlossene USB-Geräte wiederverbinden

August 17, 2020, 1:57 pm
$
0
0

Hat man ein USB-Gerät abgemeldet und möchte dieses direkt wieder anmelden ohne das USB-Kabel ziehen und nochmal anstecken zu müssen oder wird ein bereits verbundenes USB-Gerät nicht erkannt, kann ein gezieltes Neustarten des jeweiligen USB-Hubs (Controller) helfen.

Bei einem Kunden kommt es immer wieder vor, das nach dem Wechsel der USB-Festplatte für die Datensicherung diese nicht auf Anhieb oder selbst nach mehrmaligen ab-/anstecken nicht erkannt wird. Mit dem gezielten Neustart klappt es dann doch, ohne das der PC oder in diesem Fall der Server neu gestartet werden muss.

Zunächst benötigt man das Kommandozeilen-Tool devcon.exe. Mögliche Download-Quellen finden sich hier:

superuser – Quick Method to install DevCon.exe?

Als nächstes muss über den Geräte-Manager der entsprechende USB-Hub, genauer ausgedrückt dessen ID, mit dem das Gerät verbunden ist ermittelt werden. Am Beispiel von USB 3.0 ist dies meist „ROOT_HUB30“.

Nun führt man in einer Eingabeaufforderung mit erhöhten Rechten folgenden Befehl aus:

devcon.exe restart *ROOT_HUB30*

Nahezu sofort wird der USB-Hub neu gestartet, alle dort verbundenen Geräte (neu) erkannt und diese stehen dann zur Verfügung.

Quellen:

NI – Knowledge Base – Force Windows to Remove and Re-detect an NI USB Device

Microsoft – Docs – DevCon Restart


Ähnliche Artikel:

  1. Windows: Alternative Geräte-Manager über’s Netzwerk nutzen
  2. Kein Zugriff mehr auf den Geräte-Manager unter Windows über das Netzwerk möglich
  3. Fehlermeldung „Sie haben die Anzahl der unterstützten USB-Geräte überschritten“
  4. Windows 8.1 & WLAN-Stick: Das Gerät kann nicht gestartet werden (Code 10)
  5. Windows: RemoteApps schneller wiederverbinden

Outlook: Termin mit Erinnerung bei weiterem Konto nicht möglich

August 18, 2020, 10:30 pm
$
0
0

Verwendet man Outlook mit zwei oder mehr Konten und trägt einen Termin mit Erinnerung in einen Kalender dieser zusätzlichen Konten ein, kann es vorkommen das einem folgende oder ähnliche gemeinte Fehlermeldung begegnet:

"Die Erinnerung für <Betreff> wird nicht angezeigt,
weil das Element sich in einem Ordner befindet,
der Erinnerungen nicht unterstützt. Sind Sie damit einverstanden?"

Den Termin kann man eintragen, aber es geht z.B. 15 Minuten vorher kein Fenster auf.
Handelt es sich um POP3- oder IMAP-Konten sowie weitere Datendateien wie z.B. Archive kann man in den Eigenschaften der Datendatei die notwendige Funktion aktivieren. Siehe dazu:

Mailhilfe.de – Eine Erinnerungsfunktion für Ordner in Archiven und zusätzlichen pst-Dateien

MSOutlook.info – Reminders support for folders in archives and additional pst-files

In Verbindung mit dem MDaemon Email Server samt MDaemon Connector for Outlook und z.B. dem persönlichen und zusätzlich dem Info- oder Support-Postfach haben wir diese Meldung ebenfalls beobachtet. Etwas kurios dabei ist, das der Support von EBERTLANG den Fehler nachstellen konnte, allerdings dennoch (im Gegensatz zu uns) eine Erinnerung erhielt.

Die Angelegenheit wurde an den Hersteller weitergeleitet und man wartet auf Rückmeldung.


Ähnliche Artikel:

  1. Outlook: Termin- oder Besprechungseinladungen werden nicht angezeigt
  2. Windows: Öffentlicher Kalender von MDaemon wird unter Outlook nicht mehr aktualisiert
  3. Outlook: Verwaistes E-Mail-Konto entfernen
  4. MDaemon Connector Plugin wird beim Einrichten von Outlook-Konten nicht angezeigt
  5. MDaemon und Outlook – Automatisch Termine aus öffentlichen und freigegebenen Ordnern aktualisieren

Ein erster Blick auf Securepoint’s Antivirus Pro

August 19, 2020, 2:04 am
$
0
0

Seit geraumer Zeit bietet Securepoint neben der etablierten UTM und der UMA einen eigenen Virenschutz an.

Dieser wird zentral verwaltet, wobei auch lokale Einstellungen möglich sind und setzt auf die T3 Scan-Engine des österreichischen Herstellers Ikarus (Wikipedia), die ihres Zeichens regelmässig bei Tests (sehr) gut abschneidet und zudem bei vielen anderen Produkten weiterer Anbieter zum Einsatz kommt.

Allein schon aus dieser Kombination, gemeint ist Securepoint und Ikarus, heraus ergibt sich ein DSGVO- bzw. datenschutzfreundliches Produkt, was man nicht (mehr) von allen Akteuren am Markt behaupten kann.

Der Vertrieb erfolgt ausschließlich über Securepoint-Partner und ist nicht an eine UTM oder weitere Produkte gebunden! Die Lizenzen können sowohl mit Laufzeiten von ein, drei und fünf Jahren erworben oder im Rahmen eines MSP auf monatlicher Basis bezogen werden. Bei letzterem ist eine Mindestabnahme von 100 Stück sowie ein MSP-Vertrag zu beachten.

Lizenziert wird pro Gerät, also Client sowie Server, dies gilt auch für Terminalservern (aka Remote Desktop Session Host) und stellt gerade bei letztem einen echten Vorteil gegenüber der benutzerbezogenen Lizenzierung anderer Hersteller dar.

Erst-Kontakt

Zunächst muss im Dashboard der Kunde und die Lizenz vorhanden sein. Ein Self-Service, d.h. Kunden anlegen, Lizenzen bestellen ist über das Reseller-Portal oder den Innendienst möglich.

Neben dem bei der ersten Anmeldung erstellbaren Standard-Profil können im Dashboard unter dem Punkt „Konfigurationsprofile“ weitere Profile angelegt, kopiert und voreingestellt werden. Über den Punkt „Gruppen“ können die Konfigurationsprofile zugewiesen werden.

Securepoint empfiehlt mindestens eine Gruppe für Clients und eine für Server anzulegen und die Benachrichtigungen für veraltete Systeme auf drei (Server) und 28 (Clients) Tage zu setzen. Im Wiki des Anbieters ist alles notwendige und vieles mehr beschrieben.

Installation

Um für die jeweilige Installation das passende vorkonfigurierte Setup zu erhalten im Bereich „Lizenzen“ beim entsprechenden Kunden oder im Bereich „Gruppen“ auf das Download-Symbol klicken und das Paket seiner Wahl herunterladen.

Im Gegensatz zu manch anderem Produkt am Markt erhält man wahlweise ein Archiv, das Setup und Konfigurationsdatei enthält, nur die Konfigurationsdatei, eine vorkonfigurierte oder eine unkonfigurierte MSI-Datei. Sowohl das Archiv als auch die MSI-Datei enthalten ein vollständiges Setup, es wird also nicht erst ein Agent installiert und dann der Rest nachgezogen wie bei anderen Anbietern. Allerdings ist dieses Setup nicht immer ganz aktuell, so das bei der ersten Aktualisierung nach der Installation beispielsweise nicht nur die Signatur sondern auch die Scan-Engine ein Update erfahren.

Ein Neustart nach der Installation ist übrigens nicht notwendig. Die Installation kann manuell (mit oder ohne der Konfigurationsdatei) oder automatisiert (silent) stattfinden. Das Setup fällt mit ca. 52 MB erfreulich kompakt aus, ferner ist die Installation sehr schnell durchlaufen.

Konfiguration

Die Konfiguration kann vice-versa stattfinden, d.h. in der Regel wird via Dashboard ein Konfigurationsprofil erstellt und auf eine Gruppe angewendet. Man kann allerdings auch lokal einen Client konfigurieren und diese Einstellungen in das Konfigurationsprofil übertragen.

Selbst wenn etwas am Client lokal verändert wurde, wird dies im Dashboard angezeigt (Spalte „Status“ mit den Werten „Synchron/Asynchron“) und die Änderung kann wieder überschrieben werden.

Generell empfiehlt sich im Konfigurationsprofil unter „Clientkonfiguration“ ein Passwort zu setzen, damit der Anwender die Einstellungen nicht einfach so verändern kann. Leider wird dieses Passwort oder ein Hash davon nicht gespeichert, so das man dieses jedes Mal neu eingeben muss.

Der erste Scan

Leider gibt es noch keine Möglichkeit, aus dem Dashboard heraus einen ad-hoc Scan starten zu können, dies geht nur lokal am Client. Auf dem Test-Gerät wurde der vollständige Scan mit einer Dauer von 45 Minuten veranschlagt und war letztlich nach gut 27 Minuten beendet. Grundsätzlich empfiehlt sich ein erster Scan, damit das Infobereichssymbol (aka Tray Icon) keine Warnung mehr anzeigt. Regelmässige Scans können im Konfigurationsprofil eingestellt werden. Ein Leerlauf-Scan ist Moment noch nicht möglich, Securepoint bittet allerdings in der Wunschbox im Feedback zu diesem angedachten Feature.

Malware-Fund und weiter

Wurde eine Malware oder eine PUA bzw. ein PUP gefunden, wird dies lokal angezeigt sowie im Dashboard und sofern im Konfigurationsprofil eingestellt via E-Mail mitgeteilt. Etwas ungünstig kann sein, das für jeden Fund eine eigene E-Mail versendet wird. Offenbar ist dies von einem gewissem zeitlichem Rahmen abhängig, da für den ersten Fund eine E-Mail ankam und für die beiden weiteren etwas später eine Mail die für beiden letzten Treffer galt verschickt wurde.

Die Funde werden immer in die Quarantäne verschoben und können von dort aus lokal sowie via Dashboard weiter behandelt werden. Leider, wie bei vielen anderen Anbietern auch, gab es drei false-positives hinsichtlich eigener AutoIt-Skripte (ein Treffer) sowie eines VST-Plugins (zwei Treffer).

Ein direktes dauerhaftes Exkludieren aus der Quarantäne heraus ist nicht möglich, dies geht lediglich temporär, wobei direkt angeboten wird die verdächtige Datei an das Labor zu senden und somit der falsche Treffer zukünftig vermieden werden kann. Beim Versand an das Labor kann angegeben werden ob dies anonym oder mit Rückmeldung an eine E-Mail-Adresse erfolgen soll.

Was noch?

Aktuell fehlt noch ein Tamper-Schutz, wobei im Regelfall der gemeine Anwender sowie der tagtägliche Nutzer des Computers keine Administrator-Rechte haben sollte. Der Passwort-Schutz von Antivirus Pro verhindert dabei direktes Eingreifen in das Sicherheits-Niveau. Spätestens über die automatische Benachrichtigung das ein Gerät nicht mehr aktuell oder geschützt ist sollte der Administrator bzw. Securepoint-Partner mitbekommen, das etwas nicht stimmt.

Der Client meldet sich alle 60 Sekunden beim Dashboard und erhält alle 20 Minuten eine neue Signatur. Somit ist man quasi immer up-to-date.

Kommentare die man bei einem Gerät hinterlegen kann sind leider nicht editier- oder löschbar. Um beispielsweise einzutragen, wer an dem Client sitzt oder welche Rolle der Server hat bietet sich das Feld „Eigene Bezeichnung“ an.

Aus dem Dashboard heraus kann keine Neu- oder Deinstallation angestartet werden.

Securepoint’s Antivirus Pro bietet keinen Webfilter nach Kategorien oder gar einen Werbefilter an. Ersteres ist der UTM vorbehalten, letzteres kann durch entsprechende Browser-Erweiterungen umgesetzt werden.

Der Windows-Dienst heißt übrigens „XGuard“.

Im Windows-Ereignisprotokoll werden diverse Ereignisse erfasst, somit wäre es möglich Securepoint Antivirus Pro durch eigene bzw. externes Monitoring zusätzlich zu überwachen.

Fazit

Abgesehen von ein paar Kleinigkeiten ist Securepoint’s Antivirus Pro eine geeignete Lösung für den zentral verwalteten Unternehmensvirenschutz und MSP-Anbieter. Vor allem in Zeiten der Roadwarrior (Außendienst) und von Home Office macht die Unabhängigkeit von einem im Unternehmen-stehenden Management-Server Sinn. Die Handhabung ist einfach, die Installation sowie der Scan sind zügig durchgeführt und die Ressourcenbelastung ist gering. Der Service und Support sind Securepoint-typisch gut.


Ähnliche Artikel:

  1. Ein erster Blick auf BackupAssist ER
  2. Securepoint OS v11 Beta – Ein erster Blick auf Clientless VPN
  3. G Data Antivirus Business – Sehr viele Sicherheitsmeldungen entfernen
  4. Avira Free Antivirus Setup vollständig herunterladen
  5. G Data Antivirus Business 13.2 und Thinstuff XP/VS Server: Probleme mit der Tastatur ab dem dritten angemeldeten Benutzer

Windows: apcupsd baut keine Verbindung mehr auf, nachdem die USV ausgetauscht wurde

August 20, 2020, 4:26 am
$
0
0

Verwendet man apcupsd unter Windows mit dem entsprechenden USB-Treiber und tauscht die USV z.B. aufgrund eines Defekts aus, kann die Software evtl. keine Verbindung zum neuen Gerät aufbauen.

Im Geräte-Manager wird zwar die USV erkannt und der apcupsd-Treiber verwendet, dennoch klappt es nicht. Lösen lässt sich das, indem man den Treiber deinstalliert, so das wieder die Windows-Standard-Treiber verwendet werden und man anschließend gemäss Anleitung erneut den apcupsd-Treiber installiert.

Ggf. muss man einmal den Dienst noch neustarten und die Verbindung ist wieder da.


Ähnliche Artikel:

  1. Apcupsd und Windows Server 2012 (R2)
  2. apcupsd: Akku-Datum (battdate) ändern
  3. apcupsd: Akustischen Alarm abschalten
  4. Windows: Mit apcupsd einen VMware ESXi herunterfahren
  5. Apcsupsd zeigt keine Last an

Securepoint UTM: Benachrichtigung über neue Firmware

August 20, 2020, 4:33 am
$
0
0

Eine UTM ist nur so sicher wie ihre Konfiguration und wenn die Firmware aktuell ist. Zwar wird man inzwischen über sehr viel automatisch informiert, aber leider nicht über ein anstehendes Update.

Leider gibt es auch vom Hersteller keine Mail wenn eine neue Firmware zur Verfügung steht, so das bislang nur das regelmässige Nachschauen im Changelog oder auf einer UTM hilft.

Etwas Abhilfe kann man schaffen, wenn man den Newsfeed des Wikis bzw. des Changelogs abonniert:

https://wiki.securepoint.de/index.php?title=UTM/Changelog&action=feed&feed=rss

In der Wunschbox ist das Thema Mail-Benachrichtigung ebenfalls zu finden.


Ähnliche Artikel:

  1. Securepoint OS v11 – Aktualisierung der Firmware
  2. Securepoint OS v11 verfügbar
  3. Securepoint Piranja UTM für Jedermann
  4. Securepoint: Notizen zum Mailrelay und Mailfilter
  5. Securepoint UMA mit Outlook-Plugin und PST-Import

Securepoint UTM: Schwierigkeiten beim Versand der Alerting Center-Nachrichten

August 20, 2020, 10:43 pm
$
0
0

Das Alerting Center in der Securepoint UTM ist eine feine Sache um über etwaige Probleme unterrichtet zu werden. Wir nutzen dieses Feature sehr gerne sind allerdings bei einem Kunden auf ein Problem gestoßen.

Im Regelfall sollte es so sein, das die UTM an den Unternehmens-eigenen Mailserver (sofern vorhanden) zustellt. Soweit, sogut. Bei Kunden gibt es folgende Konstellation in Sachen Mail-Flow:

Securepoint UTM -> MDaemon - > Weiterleitung zu uns

Das Ganze scheint irgendwie (mal wieder) mit 1&1 Ionos zusammen zu hängen, denn die gleiche Kombi funktioniert mit All-inkl.com ohne Überraschungen. Um es etwas ausführlicher auszudrücken:

Die Securepoint UTM hat als SMTP-Relay den MDaemon Email Server des Kunden konfiguriert. Das macht nicht nur wegen der Alerting Center-Nachrichten Sinn, sondern auch wegen des Spamfilters, wenn Nachrichten aus der Quarantäne zugestellt werden sollen.

Im MDaemon wiederum gibt es einen administrativen Benutzer, der unter anderem Postmaster, etc. ist. Bei diesem ist eine Weiterleitung zu uns eingerichtet. So erhalten wir alle Systrem-relevanten Nachrichten.

Kommt jetzt allerdings eine Nachricht vom Alerting Center der UTM schlägt die Weiterleitung fehl. Die Nachricht landet in der Defekt-Warteschlange mit der Erläuterung

undeliverable forwarded message

Um mehr Informationen zu dieser Meldung zu erfahren ist es hilfreich ins „C:\MDaemon\Logs\MDaemon-<Datum>-SMTP-(abg.).log“ zu schauen. Zum entsprechenden Zeitpunkt findet man z.B. folgende Einträge:

...
Wed 2020-07-15 02:01:59.775: 01: Sending <c:\mdaemon\queues\remote\pd50000017829.msg> to [212.227.15.183]
Wed 2020-07-15 02:01:59.834: 01: Transfer Complete
Wed 2020-07-15 02:01:59.903: 02: <-- 554-Transaction failed
Wed 2020-07-15 02:01:59.903: 02: <-- 554-Reject due to policy restrictions.
Wed 2020-07-15 02:01:59.903: 02: <-- 554 For explanation visit https://www.ionos.com/help/index.php?id=2425&ip=<Eigene IP-Adresse>&c=hd
Wed 2020-07-15 02:01:59.903: 03: --> QUIT
Wed 2020-07-15 02:01:59.905: 01: Dies ist eine weiter- oder umgeleitete Nachricht; sie wird in die Defekt-Warteschlange verschoben.
Wed 2020-07-15 02:01:59.938: 02: <-- 221 kundenserver.de Service closing transmission channel
Wed 2020-07-15 02:01:59.938: 04: SMTP session terminated (Bytes in/out: 5010/43588)

Ruft man die vorgeschlagene URL von 1&1 Ionos auf bekommt man zum Fehlercode 554 gleich mehrere mögliche Ursachen. Für die protokollierte Meldung wäre diese hier die passendste Begründung:

554 Reject due to policy restrictions
Problem:

The email was rejected as it violates IONOS policy. The sending server is mostly sending spam messages.

Solution:

Contact us IONOS to have the facts of the case examined.

Kurzum der Spam-Filter des Providers verhindert den Versand. Wahrscheinlich deswegen, da es sich um eine weitergeleitete Nachricht handelt, die als Absender im Header

From: Alerting-Center [firewall.domain.local] <spalertd@firewall.domain.local>

stehen hat. Leider ist dies in der UTM nicht so ohne weiteres änderbar. Lösen lässt sich in Verbindung mit dem MDaemon Email Server das Problem dadurch, das man die Header-Zeile umschreiben lässt:

  • Auf „Einstellungen – Server-Einstellungen – Kopfzeilen-Umsetzung“ klicken.
  • Im Feld „Bestehender Kopfzeilentext“ die ursprüngliche Angabe der UTM eintragen, z.B. „From: Alerting-Center [firewall.domain.local] <spalertd@firewall.domain.local>“
  • Im Feld „Neuer Kopfzeilentext“ den neuen Absender eintragen, z.B. „From: Administrator <administrator@domain.tld>
  • Auf „Hinzufügen“, „Übernehmen“ und „OK“ klicken.

Ab sofort wird in allen Nachrichten, in denen die betreffende Header-Zeile gefunden wird, diese ersetzt.

Was bei anderen Konstellationen womöglich auch hilft (in diesem Fall allerdings nicht) sind die erweiterten Einstellungen zur Weiterleitung:

  • Das betreffende Benutzerkonto bearbeiten.
  • Zu „Weiterleitung“ wechseln.
  • Im Abschnitt „Erweiterte Einstellungen zur Weiterleitung“ im Feld „Nachrichten an folgende Domäne weiterleiten:“ entweder die Zieldomäne eintragen oder wenn es gezielt an einen Server gehen soll, diesen in eckigen Klammern eintragen.
  • Im Feld „Adresse für SMTP-Umschlag“ die für den Versand zu verwendete E-Mail-Adresse eintragen. An dieser Stelle kann also die etwas ungünstige Altering-Center-Adresse ersetzt werden.
  • Ggf. noch den Port eintragen.

Zum Abschluss noch ein Tipp für bereits in der Defekt-Warteschlange hinterlegten Nachrichten:

  • Die betreffende Nachricht bearbeiten.
  • Die „FROM“-Zeile ändern und speichern.
  • Mit der rechten Maustaste auf die „Defekt-Warteschlange“ klicken und „Jetzt verarbeiten“ auswählen.

Die Nachricht wird zeitnah verarbeitet und im Idealfall, wenn alles passt, auch gleich versendet.

Quelle:

Securepoint – Support-Forum – Smarthost Test ?

MDaemon – Help – Header Translation


Ähnliche Artikel:

  1. MDaemon: Mit Regeln des Inhaltsfilters beim Emfpang Nachrichten verarbeiten lassen
  2. MDaemon: Verschlüsselte Nachrichten(-Anhänge) landen in der Quarantäne
  3. Delta Chat-Nachrichten auf dem PC entschlüsseln
  4. MDaemon Email Server: Nach Update landen alle Nachrichten in der Störungs-Warteschlange
  5. MDaemon: Anzeige von 500 Nachrichten pro Seite im WorldClient führt zum Abmelden beim Verschieben

Windows: Maus(zeiger) hängt, auch nach Wechsel der Maus

August 27, 2020, 7:20 am
$
0
0

Auf dem PC einer Kundin verweigerte unvermittelt die Maus teilweise ihren Dienst.

Die Schwierigkeiten äußerten sich im nahezu ständigen Hängenbleiben des Mauszeigers oder das dieser sogar verschwand. Der Wechsel der Maus änderte nichts und die Mäuse ansich funktionierten an einem anderen Computer ohne Probleme.

Das Erste war ein Blick in den Task-Manager, können solche Phänomene doch auch durch eine zu hohe Auslastung verursacht werden, allerdings langweilte sich das System, also konnte es das nicht sein.

Als nächstes wurden verschiedene Untergründe ausprobiert, dabei zeigte sich, das zumindest bei der zweiten (Ersatz-)Maus ein Zusammenhang besteht, wenn gleich das nicht alles war.

Ein Blick via „Systemsteuerung – Maus“ offenbarte auf den ersten Blick nichts „verstelltes“, dennoch wurde auf der Registerkarte „Zeiger“ auf die Werkseinstellung zurückgesetzt.

Nachdem auf der Registerkarte „Zeigeroptionen“ im Abschnitt „Sichtbarkeit“ einmal der Haken entfernt wurde bei „Zeiger bei Tastatureingaben ausblenden“ und erneut gesetzt war, funktionierten beide Mäuse wieder wie sie sollten.

Offenbar hatte sich im Hintergrund irgendetwas verändert was durch die genannten Schritte zugesetzt wurde.


Ähnliche Artikel:

  1. Windows: Maus und Tastatureingabe verselbständigen sich bei einer Remotedesktopverbindung
  2. VirtualBox: Plan B wenn die Maus nicht funktioniert
  3. Windows: Wenn mal die Maus und die Tastatur streikt …
  4. Nach Router-Wechsel stürzt der Dienst „G Data AntiVirus Proxy“ ab
  5. Firefox und Windows 7 x64 – Der Browser hängt immer wieder
Search

Android: Nur Anrufe von Kontakten erlauben

August 28, 2020, 2:03 pm
$
0
0

Je nachdem welche Runde die eigene Handyrufnummer macht bekommt man mitunter ständig lästige Anrufe. So geschehen bei einem Familienmitglied, das seit ein paar Wochen nahezu regelmässig meistens Samstags von Immobilienmakler behelligt wird.

Voraussgegangen war eine Announce zu einem privatem (!) Immobilienverkauf. Daraufhin meldeten zig Makler und so manchen bekommt man mittlerweile selbst unter Androhung einer Anzeige wegen Belästigung schlichtweg nicht mehr los.

Bevor man nun zur Ultima Ratio greift und die Handynummer ändert kann man unliebsame Anrufer auch anderweitig (versuchen) loszuwerden.

Einzelne Rufnummern blockieren

Einzelne Rufnummer können bequem in der Telefon-App durch einen langen Druck auf den entsprechenden Eintrag und dem anschließenden Auswählen von „Nummer blockieren“ gesperrt werden.

Anonyme/Unbekannte Anrufer

In den Einstellungen der Telefon-App kann man unter

Blockierte Nummern

zum einen die bisher blockierten Nummer sehen und ggf. entsperren, sowie regeln, das Anrufe mit unterdrückter Rufnummer abgewiesen werden.

Leider gibt es an dieser Stelle einen Unterschied zwichen Android 9 und 10, denn bei der älteren Android-Ausgabe fehlt dieser Punkt:

Alle außer Kontakte blockieren

Möchte man nur Anrufe von Bekannten, Freunden, der Familie, etc. zulassen bietet sich der Trick an, über das DND-Profil (Do Not Disturb, Bitte nicht stören) nur Anrufe von den Kontakten zuzulassen und dieses Profil zu aktivieren:

Apps

Je nach Android-Version und je nachdem was der jeweilien Smartphone-Hersteller evtl. sonst noch so in Sachen Telefon-App verbrochen hat fehlen Möglichkeiten oder funktionieren nicht. In solchen Momente kommt einem schnell „dafür gibt’s doch bestimmt eine App“ in den Sinn. Ja, die gibt es, aber die bisherigen Tests waren gelinde ausgedrückt enttäuschend. Offenbar ist das allerdings nicht unbedingt alleine die Schuld der jeweiligen Macher, sondern es scheint, als hätte zum mittlerweile nicht mehr funktionieren vieler Apps auch Google mit irgendeinem Update beigetragen. Das ist allerdings im Moment reine Vermutung.

Falls jemand eine funktionierende App für aktuelle Android 9, 10 & neuer in diesem Bereich kennt, dann bitte einen Hinweis via Kommentar. Vielen Dank schon mal vorab.


Ähnliche Artikel:

  1. 3CX: Unerwünschte Anrufer blockieren
  2. Android: Gerätenamen ändern
  3. Nokia 6 und Android 8.1 Oreo
  4. Android: Das Smartphone als Webcam benutzen
  5. 3CX: Gleicher Klingelton bei snom-Telefonen für interne und externe Anrufe

3CX: Port-Freigaben in der AVM FRITZ!Box (Umgehen der Port-Range-Begrenzung)

September 3, 2020, 11:27 pm
$
0
0

Je nachdem was von extern mit einer 3CX-Telefonanlage gemacht werden soll, beispielsweise Smartphone- und HomeOffce-Anbindung, oder damit zumindest der Firewall-Checker erfolgreich durchläuft müssen entsprechende Freigabe in der Firewall erfolgen. Kurzum müssen diverse Ports weitergeleitet werden.

Bei vielen Routern und Firewall ist das kein Problem, bei der AVM FRITZ!Box im Speziellen stößt man auf eine Begrenzung der maximalen Länge der Port-Range. Dies betrifft die Freigabe von RTSP im Bereich 9000 bis 10999/udp:

Umgehen lässt sich diese Begrenzung durch das Aufteilen der Port-Range:

Alternativ könnte man die 3CX auch als „Exposed Host“ eintragen:

AVM – Hilfe FRITZ!Box 7390 – Portfreigaben auf Heimnetzgeräte: Exposed Host

Das kann allerdings zuviel des Guten sein.

Quellen:

3CX – Konfigurieren von Router und Firewall

3CX – Konfigurieren einer AVM FRITZ!Box für die 3CX-Telefonanlage


Ähnliche Artikel:

  1. pfSense: Static Port für VoIP konfigurieren
  2. FRITZ!Box – Schwierigkeiten mit HD-Telefonie (G.722 deaktivieren)
  3. Windows: Ein paar Notizen zu AVM FRITZ!Fernzugang (aka VPN)
  4. Grandstream HT702 für AVM FRITZ!Box konfigurieren
  5. Instar-Kamera Live-Bild auf FRITZ!Fon

Site-to-Site-VPN zwischen OPNsense und pfSense

September 4, 2020, 12:55 am
$
0
0

Im Vorfeld einer anstehende Migration bei einem Kunden sollten alle neuen Geräte bei uns in der Werkstatt vorbereitet werden. Zu diesem Zweck sollte ein Site-to-Site-VPN hergestellt werden, normalerweise keine große Sache.

Beim Kunden lief zu diesem Zeitpunkt eine OPNsense als reiner OpenVPN-Server als VM auf einem Hyper-V (Windows Server 2019 Standard) sowie eine Telekom DigitalisierungsBox Premium als Router, auf unserer Seite wurde eine pfSense in der Werkstatt aufgestellt.

Ausgehend von den Vorgaben ist der S2S-Server auf der OPNsense schnell erstellt:

Bemerkung: Da es nur eine vorübergehende Geschichte ist, wurde kurzerhand „Shared Key“ verwendet, für dauerhafte Lösungen empfiehlt sich der Einsatz von SSL/TLS.

  • Am Web-Interface anmelden.
  • Zu „VPN – OpenVPN – Servers“ wechseln.
  • Auf „+ Add“ klicken.
  • Bei „Description“ einen Namen eingeben.
  • Bei „Server Mode“ „Peer to Peer (Shared Key)“ auswählen.
  • Bei „IPv4 Tunnel Network“ das Transfer-Netz (z.B. 10.0.8.0/24) eintragen.
  • Bei „IPv4 Local Network“ das lokalen Subnetz (LAN, z.B. 192.168.2.0/24) eintragen.
  • Bei „IPv4 Remote Network“ das entfernte Subnetz (das LAN der Gegenseite, z.B. 192.168.1.0/24) eintragen.
  • Ggf. sofern die Gegenstelle keine feste öffentliche IP-Adresse hat noch den Haken setzen bei „Dynamic IP“.
  • Auf „Save“ klicken.
  • Anschließend den Server nochmals bearbeiten (Stift-Symbol) und aus dem Feld „Shared Key“ den Daten kopieren.
  • Unter „Firewall – Rules – WAN“ noch eine eingehende Regel für den S2S-Server-Port erstellen sowie unter Firewall – Rules – OpenVPN“ noch Regeln erstellen die den Datenverkehr der Gegenseite zulässt.

Da in diesem Szenario die OPNsense als VPN-Server hinter einem Router betrieben wurd, muss statt „WAN“ „LAN“ verwendet werden. Auf dem Router selbst muss eine Route erstellt werden, die den Datenverkehr zur pfSense-Seite an die OPNsense schickt, z.B.

IPv4-Netz: 192.168.1.0
Subnutz: 255.255.255.0
Gateway: <Die IP-Adresse der OPNsense>

Alternativ kann auf jedem Computer eine entsprechende Route hinterlegt werden.

Auf der pfSense sind die Schritte ähnlich einfach:

  • Am Web-Interface anmelden.
  • Zu „VPN – OpenVPN – Clients“ wechseln.
  • Auf „+ Add“ klicken.
  • Bei „Server Mode“ „Peer to Peer (Shared Key)“ auswählen.
  • Bei „Server host or address“ die öffentliche Adresse der OPNsense eintragen.
  • Bei „Description“ einen Namen eintragen.
  • Den Haken entfernen bei „Auto generate“ und den zuvor aus der OPNsense kopierten Schlüssel einfügen.
  • Bei „Auth digest algorithm“ „SHA1 (160-bit)“ auswählen.
  • Bei „IPv4 Tunnel Network“ das gleiche Transfer-Netz wie in der OPNsense (z.B. 10.0.8.0/24) eintragen.
  • Bei „IPv4 Remote network(s)“ das entfernte Subnetz (LAN auf der OPNsense-Seite, z.B. 192.168.2.0/24) eintragen.
  • Bei „Compression“ „Omit Preference (use OpenVPN Default)“ auswählen.
  • Auf „Save“ klicken.
  • Unter „Firewall – Rules – OpenVPN“ Regeln erstellen, die den Datenverkehr der Gegenstelle zulässt.

Dies ist soweit nur die Minimal-Konfiguration. Hinsichtlich der Sicherheit sollten die Cipher und sowohl die Firewall-Regeln entsprechend angepasst werden.

Überraschung mit der DigitalisierungsBox Premium

Trotz aller Erfahrung, Vorbereitung, mehrfacher Prüfung der Konfiguration, uvm. wollte das VPN nicht so recht laufen. Man konnte zwar gegenseitig Pingen, mehr aber auch nicht. In den Firewall-Logs auf beiden Seiten fand sich kein Treffer, die Routen waren beidseitig (inkl. in der DigiBox) gesetzt, keine Change.

Nach drei-stündigen Hin-und-Her dann der Abbruch und eine entsprechende Umdisponierung der Planung sowie der Termine.

Es schien, als würde die DigitalisierungsBox außer ICMP nicht weiter Routen. Nachgeprüft haben wir das beispielsweise mit tcpdump auf beiden VPN-Seiten, da sah man zwar die Pakete bei der OPNsense ankommen, aber an den Ziel-Hosts kam nichts an.

Der Kunde meinte bereits im Vorfeld das die DigiBox schon öfter Probleme gemacht hat und im Rahmen der Migration sollte diese zudem Weichen.

Ich konnte oder wollte das Ganze so nicht Ruhen lassen und nun da die DigiBox raus und eine FRITZ!Box drinnen ist reaktivierte ich das VPN noch mal. Außer der Port-Freigabe und der Route musste dazu ja nichts weiter in der FRITZ!Box konfiguriert werden.

Siehe da, es lebt! Das Ganze läuft auf Anhieb und so wie erwartet.


Ähnliche Artikel:

  1. OpenVPN Site-to-Site mit pfSense als Server und Securepoint UTM als Client
  2. OpenVPN Site-to-Site mit pfSense und Securepoint UTM
  3. OPNsense als OpenVPN-Server verwenden
  4. Securepoint UTM: Roadwarrior, Site-to-Site VPN und Drucken im entfernten Standort
  5. Securepoint UTM: Site-to-Site (SSL-VPN) mit Debian als Server/Gegenstelle

3CX: Via VPN angebundene snom-Telefone provisionieren

September 4, 2020, 1:31 am
$
0
0

Bei zwei oder mehr Standorten oder für’s HomeOffice trifft man häufig das Szenario an, das die Telefonanlage beispielsweise in der Zentrale steht und allen anderen via VPN daran angebunden sind.

So auch in diesem Fall, alle Außenstellen sowie Home Offices sind via Site-to-Site-VPN mit der Hauptstelle verbunden. Damit das Auto-Provisioning der (snom-)Telefone funktioniert gibt es je nach Hersteller und Umgebung gleich mehrere Möglichkeiten. In diesem Szenario ging es darum den Telefonen an den entfernten Standorten via DHCP mitzuteilen, wo sie ihren Provisioning-Server finden.

Damit dies möglich ist, muss der DHCP-Server die Möglichkeit bieten, die Option 066 (Boot Server Host Name) samt Parameter konfigurieren zu können. Als weitere Voraussetzungen gelten, das die betroffenen Telefonen bereits in der 3CX bei den jeweiligen Nebenstellen zugeordnet sind, d.h. mindestens deren MAC-Adresse vorhanden ist.

Aus der 3CX selbst wird für die DHCP-Server-Konfiguration der „Provisionierungs-Link“ benötigt. Diesen findet man in den Eigenschaften einer Nebenstelle, der bereits ein Telefon zugeordnet wurde.

Der Aufbau ist dabei der Folgende:

http://<IP-Adresse-der-PBX>:<Port>/provisioning/<config-dir>/cfg{mac}

Hinweis: Die Links bzw. URLs sind pro 3CX unterschiedlich!

Am Beispiel einer pfSense wird der DHCP-Server wie folgt konfiguriert:

  • Am Web-Interface anmelden.
  • Zu „Services – DHCP Server“ wechseln.
  • Bei „Additional BOOTP/DHCP Options“ auf „Display/Advanced“ klicken.
  • Bei „Number“ „66“ eintragen.
  • Die Auswahl bei „Type“ auf „Text“ belassen“.
  • In das Feld „Value“ den aus der 3CX zuvor kopierten Provisionierungs-Link einfügen.
  • Auf „Save“ klicken.

Beim nächsten Start der Telefone erhalten diese vom DHCP-Server die konfigurierte Option und melden sich anschließend bei der 3CX. Dies kann einen Moment in Anspruch nehmen.

Quelle:

3CX – Provision via DHCP “Option 66”


Ähnliche Artikel:

  1. snom 320 – BLF funktioniert nicht
  2. 3CX: snom-Telefone mit BLF richtig provisionieren
  3. Askozia und snom-Telefone: transfer on hangup bzw. onhook
  4. Mit dem Mini-Webserver die Firmware von snom-Telefone aktualisieren
  5. snom 720 VoIP-Telefone an Auerswald COMpact 3000 ISDN anbinden

OPNsense: Log Files veraltet, leer oder protokollieren nichts neues

September 4, 2020, 1:50 am
$
0
0

Sind auf einer OPNsense die Log Files z.B. der Firewall und vom VPN veraltet (z.B. der letzte Eintrag ist mehrere Tage her), leer oder erfassen keine aktuellen Ereignisse so sollte man zunächst prüfen, ob der Daemon noch läuft.

Unter „System – Log Files – General“ finden sich evtl. Einträge, die auf einen Absturz von „syslog-ng“ hinweisen.

Abhilfe kann ein Zurücksetzen der Log Files bringen:

  • Zu „System – Settings – Logging“ wechseln.
  • Auf „Reset Log Files“ klicken und die Sicherheitsabfrage bestätigen.

Anschließend erneut prüfen ob der Daemon läuft und nach kurzer Wartezeit die vür einen relevanten Logs prüfen ob nun aktuelle Einträge vorhanden sind.


Ähnliche Artikel:

  1. OPNsense als OpenVPN-Server verwenden
  2. OPNsense: Zugriff auf das Web-Interface über WAN
  3. Site-to-Site-VPN zwischen OPNsense und pfSense
  4. OPNsense: OpenVPN und feste IP-Adressen für Benutzer
  5. OpenVPN-Konfiguration in verschiedenen Routern finden
Viewing all 1830 articles
Browse latest View live
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>