Die „Elfe“ – unser neuer Link Load Balancer von Elfiq

Puh – die ganze letzte Woche stand unter dem Zeichen von Elfiq, einen neuen WAN Link Load Balancer, den BOLL ins Sortiment aufgenommen hat. Es hat mich zwar einige Gehirnwindungen gekostet, aber so langsam haben wir das Ding durchschaut. Und müssen zugeben: „Nicht schlecht!“. Bis jetzt hat die Elfiq alle Herausforderungen, die wir ihr im Testlab gestellt haben, aufgenommen und sauber umgesetzt. Die CLI Sprache ist zwar etwas gewöhnungsbedürftig, aber zum Glück gibt es ja noch das WebGUI, in dem es vor Wizards nur so wimmelt…. Ok, aber jetzt mal von vorne:

Der Elfiq Link Load Balancer dient dazu, mehrere WAN Anschlüsse anzubinden, um darüber mehr WAN Bandbreite und eine höhere Verfügbarkeit der WAN Anbindung zu erreichen. Das Besondere daran (und so etwas braucht es, wenn man bei BOLL ins Sortiment aufgenommen werden will 😉 ) ist, dass die „Elfe“ auf Layer-2 arbeitet. D.h. sie bekommt selber keine eigenen IP-Adressen. Das bringt mehrere Vorteile mit sich: für die Elfiq-Installation werden keine zusätzlichen IPs benötigt; dadurch dass sie keine IPs hat, ist sie transparent und kann von aussen auch nicht angegriffen werden; und letztlich bedarf es keiner Aenderung in der Konfiguration der bestehenden Haupt-WAN-Leitung.

„Die „Elfe“ – unser neuer Link Load Balancer von Elfiq“ weiterlesen

Neuzugänge in unserer Knowledge Base

Sie sind zwar nicht mehr brandfrisch – aber immer noch heiss genug, um noch mal darauf aufmerksam zu machen.

Wir haben zwei neue KnowledgeBase Artikel geschrieben und auf unserem DocServer veröffentlicht.

Beim einen geht es um Zertifikate. Es wird beschrieben, wie diese umformatiert werden können, wie man diese in unsere Geräte (Fortigate/Fortimail/Seppmail/Watchguard SSL/Mailfoundry) reinbekommt und vor allem welche Fallstricke es zu beachten gibt. (KB_-_Import_Certificates.pdf).

Der zweite KnowledgeBase Artikel nimmt sich der Thematik „SIP über Fortigate“ an. Das Ganze funktioniert nämlich wunderbar – nur muss man auch hier ein, zwei Dinge beachten. Inhalte des Artikels sind eine kurze Einführung in SIP, die Problematik von SIP mit einer Firewall und wie die Fortigate es doch schafft, SIP Traffic sauber zu verarbeiten. (KB_-_FortiGate_SIP_Konfiguration_v42.pdf)

Viel Spass also beim Lesen!

Fortinet „3G Modem“ Support

Immer wieder taucht die Frage auf, welche 3G USB Modem Stick’s an einer FortiGate verwendet werden können.

Dies ist leider nicht immer ganz einfach zu beantworten, denn die Mobilfunk Anbieter wechseln hier doch ab und zu die Modelle. Grösstenteils scheinen diese vom Hersteller Huawei zu stammen, welche jedoch Fortinet ziemlich breit unterstützt.

Nun scheint Swisscom wieder ein neues Modell auf den Markt gebracht zu haben, den „HUAWEI E1762“.
Gemäss aktuellem Kenntnisstand ist dieser mit der FortiGate noch nicht verwendbar. Die Unterstützung in einem kommenden FortiOS Release ist aber wahrscheinlich.

„Fortinet „3G Modem“ Support“ weiterlesen

Mit XTM v11.4 starten wir ins neue Jahr!

Hoi zäme,

Das Jahr ist schon längstens gestartet, der Alltag hat die meisten von uns schon wieder fest im Griff – aber der Blog ist leer. Das soll sich ab sofort wieder ändern! Hier also die neueste Meldung des Jahres: Watchguard Fireware XTM v11.4 ist released worden. Und das komplett im Time Schedule. Keine Verzögerungen, alles gemäss Plan. Na, so haben wir das doch gerne.

Aber bitte nicht wundern: v11.4 wird es nur für die neuen Hardwaremodelle XTM 2, 5, 8 und XTM 1050 geben. Keine neue Version mehr für eine Firebox e-Series (die e-Series Geräte hatten ihren End-of-Sale Ende 2010, aber der Support läuft noch bis Ende 2015 – also keine Sorge, sie werden noch weiter unterstützt, aber es gibt halt keine neuen Features mehr).

Hier die neuen Features von v11.4:

„Mit XTM v11.4 starten wir ins neue Jahr!“ weiterlesen

Probleme mit Reputation Service /DNSBL auf BSP / XCS

Am Montag, 7. September gab es Probleme mit den Domains borderware.com  und deren Namensauflösung. Dies hatte zur Folge dass die Reputation oder auch DNSBL auf den Borderware BSP / Watchguard XCS nicht mehr zuverlässig funktionierten.

Die DNS Auflösung funktioniert nun wieder, die Services können wieder genutzt werden. Es kann allerdings vorkommen, dass gewisse DNS Server noch die alten IP’s gespeichert haben. In diesen Fällen hilft es, einen Flush der DNS Daten durchzuführen.

Weitere Informationen finden Sie auf:
http://watchguard.custhelp.com/app/answers/detail/a_id/2895/session/L3NpZC82Yms0QW05aw%3D%3D

FortiOS v4.2.2 released

Die Liste der Bugfixes ist lang. Insbesondere die WebGUI Probleme wurden angegangen. Das GUI soll nun besser performen. Icons, welche z.B. mit dem IE nicht angezeigt wurden (IPSec: Add Phase 1 and Add Phase2), sind nun vorhanden und einzelne Funktionen (Firewalladressen umbenennen, FW Policy Insert) funktionieren nun wie gewohnt und gewünscht. Bravo!

Leider wird der FortiAP und auch die FG60C von diesem Release noch nicht unterstützt. FortiAP Unterstützung wird es voraussichtlich ab v4.3 geben.

VASCO Digipass for Mobile iPhone Video

VASCO’s DIGIPASS for Mobile Enterprise Security Edition is the easiest way of using strong authentication on portable devices within your company. No hardware needed, no SMS gateway to set up and no download server to maintain: VASCO offers a secure provisioning service which will handle the logistics part, so you can concentrate on your business.

This tutorial will show you how to use and activate a DIGIPASS For Mobile phone for Enterprise Security iPhone edtion.

http://www.youtube.com/watch?v=_aleE0sRJ2I

Erhöhte CPU Last unter V4.2

Für alle, die auf Ihrer Fortigate seit dem Update auf v4.2 eine hohe CPU Last bemerken und noch nicht im Customer Support Bulletin von Ihrem Support Account nachgeschaut haben:

Subject: High CPU with IPS engine enabled
Released: April 22, 2010
Modified: April 27, 2010

Description:

After upgrading a FortiGate device to v4.0 MR2 (B0272), under certain conditions the CPU may spike to over 90%. The issue is caused by a bug in the MIME parser of the IPS engine code when handling the header line of some emails. Some cases have been reported to FortiCare support where the CPU usage returns to a normal state on its own after a short period.

Affected Products:
All FortiGate models running FortiOS v4.0 MR2 B0272 and using IPS Engine version 1.161.

Resolution:
This problem is fixed with an interim IPS engine that is available from Customer Support for manual update. A updated IPS engine, version 1.163, will be released to customers running FortiOS v4.0 MR2 by Tuesday, May 11, 2010.

Webbrowsing Probleme bei aktuellen FortiClients

Vereinzelt sehen wir in letzter Zeit immer wieder Fälle wobei der FortiClient in den aktuellen Versionen auf einigen Clients den Web-Traffic blockiert.

Dies geschieht häufig dann, wenn der FortiClient zwar nur als VPN Client genutzt wird, doch deshalb noch ein Drittanbieter AntiVirus auf dem selben Gerät installiert ist.

Das Problem äussert sich damit, dass bei gestartetem FortiClient keine Websiten mehr aufgerufen werden können. Anderer Netzwerktraffic wie Ping, SMTP usw. ist davon jedoch nicht betroffen.

„Webbrowsing Probleme bei aktuellen FortiClients“ weiterlesen