UTM Home Lizenzproblem

- Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

- Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

@roesch4alc 
 Naja, die 50 IPs sind eigentlich gar nicht mal so schwer zu erreichen gewesen. Ich habe das Netzwerk meiner Eltern per RED10 angebunden. Alleine dort befinden sich, wenn man WLAN und LAN IPs zusammenzählt schon locker 10 bis 15 Stück. Ich habe bei mir zu Hause einen Server, 2Stk. Synology NAS, 2x Managed Switches, 1x WLAN Access Point, 1x MediaPlayer, 2 Macs mit jeweils LAN & WLAN, 2 x Handy, Apple TV, FireTV, Poe Webcam, Philips HUE, Amazon Echo, Logitech Harmony HUB, Mediacenter PC, PS4 und einen Netzwerkdrucker.

Ben said:

- Hast du IPv6 aktiviert? Hier werden die IP Adressen leider vielfach gezählt (u.a. wegen privacy extensions) 

IPv6 ist eigentlich nicht aktiviert. Ich habe alles IPv4 Adressen in meinem Netzwerk vergeben und bekommen auch nur diese vom DHCP Server zugewiesen.

Ben said:

- Hast du VMs die du oft neu aufsetzt? Hier wäre ggf. ein anderer (kaskadierter) Router sinnvoll ohne IP Beschränkung.

Jas hat Recht, Du warst eigentlich kurz davor. Und Bob hat Dir da auch die richtige Antwort zu gegeben ;-).

Aber: Warum den ganzen Internetverkehr Deiner Eltern über die RED10 jetzt über Deinen Anschluss laufen lassen? Schmeiß die RED raus, stell denen den UTM-Rechner hin und bau zwischen euch einen Side-to-Side-Tunnel. Am Einfachsten per SSL.

Dann noch Internet-Regeln/Webfilter-/Masquerading- bei Deinen Eltern und gut ;-). Deine Eltern können auf Dein Netz zugreifen und Du auf das Deiner Eltern. Deren IPs zählen aber nicht zu Deiner Lizenz.

Wahrscheinlich hätte es nicht mehr viel gebraucht damit es funktioniert hätte. 

ManuelAbeledo said:

Aber: Warum den ganzen Internetverkehr Deiner Eltern über die RED10 jetzt über Deinen Anschluss laufen lassen? Schmeiß die RED raus, stell denen den UTM-Rechner hin und bau zwischen euch einen Side-to-Side-Tunnel. Am Einfachsten per SSL.

Naja, den Internetverkehr meiner Eltern habe ich sowieso nie über meinen Anschluss laufen lassen. Die RED war immer auf "Standard/Getrennt" eingestellt. Der Grund warum ich die Verbindung zwischen den beiden UTMs damals per RED einrichten wollten, war der, dass mir die Einrichtung der RED 10 sehr einfach gefallen ist (eigentlich kein Konfigurationsaufwand), daher dachte ich mir ich versuche die UTM zu UTM Verbindung auch gleich per UTM RED einzurichten, was sich allerdings als deutlich komplizierter herausstellte. Über eine andere Methode dachte ich dann gar nicht mehr nach.

Es befindet sich in meinem Netzwerk allerdings ein Windows Server welcher als Domänen Controller eingerichtet ist, habe ich dann mit einer Site-to-Side Verbindung irgendwelche Probleme oder Nachteile gegenüber einer RED Verbindung oder anderen VPN Direktverbindungen?

LG
Manuel

fireb said:

Es befindet sich in meinem Netzwerk allerdings ein Windows Server welcher als Domänen Controller eingerichtet ist, habe ich dann mit einer Site-to-Side Verbindung irgendwelche Probleme oder Nachteile gegenüber einer RED Verbindung oder anderen VPN Direktverbindungen?

Ne, keinerlei. Side-to-Side sind ja z.B. auch für Firmen gedacht, die mehrere Standorte haben.

Ich sitze hier auch an einem Domänen-Laptop, der mit den ADs bei uns in der Firma kommuniziert. Der "weiß" ja, wo er sich zu melden hat ;-).
 

Hallo Manuel,

danke für deine Hilfe!

Habe das heute gleich einmal ausprobiert mit der SSL Site-to-Site VPN Verbindung und hatte alles innerhalb von 5 Minuten eingerichtet. Hätte ich das gleich gewusst, hätte ich mir die Kosten für die RED10 gespart.

Kannst Du mir vielleicht noch bei der Konfiguration sagen welche Verschlüsselungsmethode am Besten ist?

Derzeit habe ich es auf AES-256-CBC eingestellt. Standardmäßig war AES-128-CBC eingestellt.

Ist bei der Schlüssellänge und beim Authentifizierungsalgorithmus außer den Standardeinstellungen noch zu ändern?

Derzeit ist 1024Bit mit MD5 eingestellt und als Serverzertifikat wird das Local X509 Cert verwendet.

Soll ich hier vielleicht ein eigenes Zertifikat nur für diese SSL Verbindung einrichten?

Liebe Grüße
Manuel

Hallo Manuel,

Systeme, die wir konfigurieren, stehen grundsätzlich auf eine sehr hohe Verschlüsselung. Unser "Standard" ist da:

Das Zertifikat kannst, musst Du aber nicht ändern. Wenn DU es auf ein eigenes änderst, dann bitte auch das CA-Zertifikat in beide UTMs einspielen.

Hallo Manuel,

danke für Deine Hilfe!
Hab das Heute bei meinen Eltern eingerichtet und es funktioniert bis auf ein paar Kleinigkeiten einwandfrei.

Somit wäre mein Problem mit den Lizenzen und dem RED Tunnel auch gelöst.

Vielen Dank noch einmal an Dich und alle anderen die mir geholfen haben!

Liebe Grüße

Manuel

Gerne, wenn ich helfen kann, warum sollte ich das nicht machen? Ich denke, das ist der Hauptgedanke der Community. Ich weiß auch nicht alles über die UTM, muss da aber auch zugeben, ich kann mich da ziemlich "verbeissen", wenn etwas nicht funktioniert, wie ich es brauche. Du willst garnicht wissen, wie oft ich meine zwei Test-UTMs (VMs auf VMWare) schon weg geschossen habe ;-). Dank VM reichen zwei Klicks und sie leben wieder :-D. Die Armen müssen immer herhalten, wenn mal wieder ein "exotischer" Wunsch, egal ob firmenintern oder vom Kunden, angefragt wird.

Was hast Du denn noch für Kleinigkeiten, die nicht wollen? 

Mir geht es da gleich. Bei manchen Dingen bin ich auch schon Wochen und Monate gesessen bis dann alles so funktioniert hat wie ich es wollte. Teste da auch immer mit VMs bis es dann läuft.

ManuelAbeledo said:

Was hast Du denn noch für Kleinigkeiten, die nicht wollen?  

Eine Frage hätte ich jetzt noch. Ist mir nämlich gerade aufgefallen als ich versucht habe die UTM bei meinen Eltern mit meinem ActiveDirectory zu verbinden.

Zuerst habe ich es mit einer Verbindung zu meinem RADIUS Server, welcher auf meinem Domänencontroller unter NPS läuft, versucht. Hier habe ich beim Testen der Verbindung immer ein Connection Timeout erhalten. Als ich dann Versucht habe die Firewall per AD SSO in die Domäne einzubinden hat es auch nicht funktioniert. Der Ping aus dem Remote- Netzwerk auf den DC ist allerdings Problemlos möglich.

Kann es sein, dass ich hierfür noch Routen setzen muss?

lg
Manuel

Hi,

setz mal unter Nertzwerkdienste -> DNS -> Abfragerouten einen Eintrag deineDomäne.local -> DeinDC

Danach sollte es gehen. 

Hi,

danke, das hat funktioniert. Komisch nur, denn ich habs gestern schon so eingetragen und es hat nicht funktioniert. Hab den Eintrag dann auch so gelassen und wie ich es dann jetzt wieder Probiert habe hats funktioniert. Bis auf die RADIUS Verbindung, bei dieser bekomme ich immer noch ein Timeout.

Hi,

danke, das hat funktioniert. Komisch nur, denn ich habs gestern schon so eingetragen und es hat nicht funktioniert. Hab den Eintrag dann auch so gelassen und wie ich es dann jetzt wieder Probiert habe hats funktioniert. Bis auf die RADIUS Verbindung, bei dieser bekomme ich immer noch ein Timeout.

Radius spricht nicht den Domänen-Namen an. Daher wird der nicht zu Deinem DC weitergeleitet.

Ich denke Du hast es eingerichtet und direkt probiert. Kleinste Änderungen im WebAdmin können die Middleware dazu veranlassen, die halbe Konfiguration der UTM neu zu schreiben. Das dauert dann. Wenn Du was ändert, geh Dir eine rauchen (als Raucher), hol Dir neue Gummibärchen aus dem Geheimversteck, etc. und probier es dann erst ;-).