• SSH (System-> Settings -> Administration) aktivieren!
• Ausgesperrt? Firewall per SSH od. Shell deaktivieren: pfctl -d  (pfctl -e)
  
• System -> Configuration -> Backup: Backup-Count setzen, diese Backups lassen sich per SSH oder Shell über Punkt 13: Restore wählen
  
• Konfigurationsänderung greift nicht gleich? Firewall -> Diagnostics -> States -> Actions: "Reset State Table" + "Reset Source Tracking"
  (Firewall friert kurz ein)
• ICMP Redirect heisst bei OPNsense: Firewall -> Settings -> Advanced: Static Route Filtering --> Haken sollte i.Allg. gesetzt sein.

• Schnittstellen -> Devices -> VLAN
• VLANs werden pro Schnittstelle angelegt (mehrere VLANs pro Schnittstelle möglich, VLAN tagged)
  Schnittstelle selbst kann auch eine IP haben und ist UNTAGGED (Bsp. Management)
• VLAN-Bezeichner fängt immer mit vlan0 an (Tip: vlan0.20 für VLAN20)
• VLANs als Schnittstelle(n) zuweisen und IP für VLAN vergeben (Bsp: 10.10.10.1/24 -> 10.10.10.1 ist das Gateway), ggf. mit DHCP
• Firewallregel auf VLANxx anlegen: (Allow - VLANxx - In - whatever)
• VLANs werden automatisch ins WAN geroutet, nicht aber ins LAN
  Firewallregel auf LAN anlegen: (Allow - LAN - In - Destination= VLANxx Netzwerk - Dest.Ports= whatever)
• kein VLAN auf Bridges oder den beteiligten Interfaces möglich! (OPNsense ist kein Switch)
• siehe https://www.zenarmor.com/docs/

• beherrscht standardmäßig IPsec, OpenVPN, Wireguard
• IPSec IKEv1 / IKEv2
  - LAN-to-LAN: OPNsense: IPSec VPN
  - IPE v2 Verbindung zu mobilen Clients
• OpenVPN mit OPNsense bietet Zertifikat/Key/User + OTP -Authentifizierung (MFA)
• WireGuard VPN mit OPNsense, Peer-Assistent mit Config-Export und QR-Code
  (sehr schnell, robust und schlank)
• andere Verfahren (Tinc, Cisco OpenConnect) über PlugIn

• freie Firewall-Distribution unter FreeBSD-Lizenz, Fork von pfSense
• wird von der niederländischen „Deciso B.V.“ als Sponsor und Co-Entwickler unterstützt
• kostenfreie Community-Edition und Business-Edition mit Support
• lauffähig auf PC, VM oder Router-Hardware mit 2 oder mehr Netzwerkkarten
• WAN: PPoE oder DHCP / stat. IP (kein Modem bzw. Medienkonverter)
• Multi-WAN (Failover, LoadBalancing oder statische Verteilung)
• Anmeldung mit lokalen Usern (auch mit integriertem TOTP), LDAP/AD, RADIUS, Voucher
• DHCP pro Interface (Option: "unbekannte Clients ignorieren")
• Firewall pro Interface mit Live-Ansicht
  - Redundanz (Master/Slave) möglich
• NG-Firewall Erweiterung mit PlugIn ZenAmor (zumindest die kostenlose Version immer installieren!)
  (Application Control, Webseiten nach Kategorien blocken, Cloud Reputation und Threat Intelligence, TLS-Inspection, detailliertes Reporting und Grafiken, AD-Anbindung, Secure-User-not-IP, optional zentrales Management)
• IDS/IPS, Router, SNAT, DNAT, DHCP, VLAN, Proxy, Antivirus, Captive Portal (alle Anmeldearten), Geoblocking...
• VPN:
  - Open VPN (Pre-shared keys, Certificate-Based Authentication, Username/Password Authentication, TOTP MFA)
  - IPSec IKEv1 / IKEv2
  - Wireguard Server / Client / Peer Assistent
  - PlugIns: Tinc (redundantes, robustes Mesh-Netz), ZeroTier (über zentralen VPN-Anbieter als Mittler), Cisco OpenConnect
• Zwei-Faktor-Authentisierung (TOTP) voll integriert (für Login, VPN, Captive Portal), Token wird vor / nach dem Kennwort eingegeben
• komfortable Zertifikatsverwaltung per GUI
• 07/2025: Version 25.7: OpenVPN und IPsec legacy moved (in PlugIns)

• separate Firewall pro Interface (Paketfilter pf von FreeBSD)
  (Ausnahme: Floating Regeln gelten für alle Interfaces)
• Schnittstellen-Gruppen (Firewall -> Groups) erlauben Regeln für mehrere Schnittstellen
• Regeln immer im eingehenden Interface erstellen
• wird jeweils von oben nach unten abgearbeitet (speziell oder schnell abzuarbeitende - allgemein - drop)
  Default=First-Match: Regelwerk wird bei erstem Treffer beendet
• Firewall arbeitet verbindungsorientiert,- Antwortpakete sind automatisch erlaubt
• BLOCKIEREN = ohne Reaktion, für WAN
• ABLEHNEN/REJECT = informiert Sender, für friendly Interfaces
• Regeln möglichst simpel halten und im Kommentarfeld beschreiben
• Ports, Netzwerke und Geräte gruppieren (Aliase)
• zeitbasierte Regeln (Schedules) sind möglich (Freigabe WLAN, Freigabe E-Mail...)
• per Default hat Interface "LAN" eine "allowed all"-Regel, alle anderen Interfaces sind zu
• Best-Practice: Regeln clonen und auf andere Schnittstelle ändern+speichern
• Button "Inspect" (rechts oben in den Regeln) zeigt für jede Regel, wie oft sie aktiv war
• Anti-Spoofing blockt gefälschte IPs
  - OPNsense blockt von Haus aus IP-Adressen an einen Interface, die einem anderen Interface zugeordnet sind
  - eigene Anti-Spoofing-Regel (blockiert alle nicht definierten Netze): Regel LAN - IN - Blocke - Quelle= NICHT(!) "Meine-LAN-Netze"(Alias)
• GeoIP blocking nach Herkunftsland mit kostenlosem Plugin (Registrierung) für jede einzelne Regel möglich (VPN, WEB, Mail..)
• letzte Regel in jedem Interface sollte Deny-All-Regel mit temp. Protokollierung zur Fehlersuche sein
• >1000 Regeln ist "groß" und beeinflusst den Durchsatz (Default: max. 200.000 Regeln)
• Protokollierung von Regeln nur temporär(!) an, dauerhaft nur sparsam einsetzen (Durchsatz und Schreibzugriffe)
• wenn PING erlaubt sein soll: Firewall -> Automatisierung -> Filter: Erlaube - IN - ICMP (pauschal oder pro Interface oder Ziel)
• Liveansicht zum Test nutzen (nur wenn Protokollierung AN)
• Regeln überprüfen: (Firewall -> Diagnose -> Sitzungen) Alter des letzen Zugriffs, Traffic?
• Tip: Zugriff auf LAN (any Destination) soll nicht gleichzeitig Zugriff auf alle anderen lokalen Netze erlauben
  Alias: Lokale_Netzwerke anlegen (alle verwendeten lokalen Netzwerke)
  Regel "Webzugang" Destination = (!)Lokale_Netzwerke (Invert)
  
  
• Praktisches Beispiel
  Internetzugang aus "LAN-Buero" (für Gruppe von IPs) erlauben
  
  *Aliase (Firewall -> Aliase):
  1) Internet-Ports definieren
  - Name: _P_WEB_Zugang, Typ: Ports, Inhalt: 53, 853 (DNS), 80, 443 (HTTP/S)
  (ggf. analog Regel für E-Mail, Filezugriff usw.)
  2) Management-Ports definieren
  - Name: _P_Management, Typ: Ports, Inhalt: 22 (SSH), 80, 123 (NTP), 443 (HTTP/S)
  3) Internet-Hosts (im LAN-Buero) definieren
  - Name: _H_BUERO_Internet, Typ: Hosts, Inhalt: 10.12.0.66, 10.12.0.67 (IP der Internet-Hosts)
  4) alle genutzten lokalen Netze definieren
  - Name: _N_Lokale_Netze, Typ= Network, Inhalt: 10.12.0.0/24, 10.12.5.0/24..
  
  *Rules (Firewall -> Regeln -> LAN-Buero):
  1) Management erlaubt
  - Name: Management, Allow - IN - LAN-Buero - IPv4 - TCP/UDP / Source: VLANBuero.NET, Destination: This Firewall, Dest.Ports: _P_Management(Alias)
  2) Internet erlaubt (nur WEB-Ziele, nicht(!) Nachbarnetzwerke)
  - Name: Internetzugang, Allow - IN - LAN-Buero - IPv4 - TCP/UDP / Destination: NICHT(!) _N_Lokale_Netze (Alias), Dest.Ports: _P_WEB_Zugang(Alias)
  3) Drop-All + Protokoll (ganz unten!)
  - Name: Drop-All, Blocke - IN - LAN-Buero - IPv4 - any / Ziel: any, Protocol

• UK: OPNsense Hardware
• UK: VPN-Strategie mit 2FA
• Plugins: https://techcorner.max-it.de/wiki/OPNsense_-_Plugin-Liste
• Business-Service und Plugins: https://shop.opnsense.com/product-categorie/software_and_licenses/
• Roadmap: https://opnsense.org/about/road-map/
• SIP hinter OPNsense: https://www.tuxoche.de/2024/03/12/aufruestung-im-netz-voip-und-opnsense/
• (1) Buch: Der OPNsense-Praktiker, Enterprise-Firewalls mit Open Source von Markus Stubbig

• Reporting -> Netflow: Listening Interfaces konfigurieren
• Capture local - anhaken (Auswertungen können auch an externe Destination gesendet werden)
• Reports werden in der Firewall angezeigt
• SNMP: System -> Firmware > Plugins: Net SNMP-Plugin installieren (Communitiy)
  dann Services -> NET-SNMP: aktivieren und konfigurieren
  - Observium: erkennt Ports+Traffic, Memory, CPU, Storages -> gut
  - Zabbix Template: OPNsense by SNMP laden https://www.zabbix.com/de/integrations/opnsense
  - Zabbix -> Data Collection -> Templates -> Import
  - Zabbix: Add Template "OPNsense by SNMP"
  - Zabbix: SNMP + IP konfigurieren (SNMP wird grün)
• Zabbix Monitor (passiv) Agent: (besser als SNMP, das ist aber etwas schneller)
  - Plugins (Community): os-zabbix74-agent installieren
  - System: Zabbix Agent aktivieren, Hostname, Zabbix-Server eintragen
  - Zabbix: Host -> Template= "FreeBSD by Zabbix Agent"
  - Zabbix: Host -> Agent + IP konfigurieren  (ZBX wird grün)  
  - Firewall konfigurieren (Port 10050 + 10051)

• jeder Port bekommt per Default ein eigenes IP-Netzwerk
• mehrere Ports als "Swich" verbinden (schlechte Performance, kein VLAN möglich):
  - vorher separates Management-Interface mit IP einrichten!
  - "Switch"-Schnittstellen zuweisen und aktivieren (ohne IP)
  - Schnittstellen -> Devices -> Bridge: neue Bridge mit allen gewünschten Interfaces erstellen (alle ohne IP)
  - Schnittstellen zuweisen: bridge0 für "LAN" zuweisen
  - Schnittstelle LAN: IP zuweisen
  Besser einen VLAN-fähigen Switch verwenden.
• mehrere Ports als LAGG bündeln:
  - LAG Member Interfaces dürfen im Interface Assignment nicht zugeordent sein
  - LAG Member Interfaces dürfen keine IP und/oder DHCP Bindung haben
  - Schnittstelle -> Devices -> LAGG hinzufügen, Schnittstellen auswählen
  - LAGG aktivieren, IP + DHCP konfigurieren
  - ggf. VLANs wie auf normalem Interface zuweisen
• LAN/VLAN auf verschiedene Ports verteilen (beste Performance)
• WAN: PPPoE auf OPNsense lastet die CPU stark aus (CPU nicht zu knapp wählen)
  - ggf. vor der OPNsense mit Exposed Host oder im Modem lösen

• deutlich bessere Boxcryptor-Alternative, mein Favorit
• Open Source, privat und kommerziell nutzbar, deutscher Hersteller
• für alle gängigen Betriebssysteme (mobile Apps kostenpflichtig)
• uneingeschränkte Anzahl Geräte
• funktioniert lokal oder mit jeder Cloud
• Multiuser-fähig (Duplikate bei Konflikt)
• kein Account notwendig, Schlüssel liegt beim Anwender
• dateiweise Verschlüsselung, auch Dateinamen und Pfadnamen, in einem Tresor-Ordner
• entschlüsselt Mapping des Ordners als virtuelles Laufwerk
• FS: WebDAV kann nur Dateien bis max. 4GB Größe, WinFsp funktioniert bei mir (in Windows) gut
• Datei "vault.cryptomator" enthält Informationen des Tresors (Schreibzugriff erforderlich, für Verzeichnisse reicht Lesen)
• Ubuntu: https://launchpad.net/~sebastian-stenzel/+archive/ubuntu/cryptomator - Installation+Aktualisierung über Repository

• Open Source, Entpacken mit Windows Boardmitteln (Explorer) möglich
• Verschlüsselung mit Passwort
• dateiweise oder ordnerweise Verschlüsselung
• keine direkte Bearbeitung im Archiv möglich
• Tip: AES-256 auswählen

• Verschlüsselung per TPM-Modul, AD, USB-Stick oder Passwort
• Hersteller: Microsoft, USA
• bei Defekt dieser Umgebung ist die Festplatte per Notfallschlüssel lesbar
• Lizenz ist in Windows 7 Ultimate oder Enterprise, Windows 8.1/10 ab Prof. und  Windows Server ab 2012 enthalten
• Bitlocker To Go ist geeignet für USB-Verschlüsselung unter Windows
• Bitlocker läßt sich für Reboots suspendieren und ermöglicht so Wartung und Updates (des Bootloaders)
  siehe: Bitlocker

• Deutsche Software, Peis auf Anfrage  (Miete und Dauerlizenz)
• Cloud Security Produkt des Jahres 2013
• Netzwerkfähig, multiuserfähig, mehrere gleichzeitige Zugriffe möglich
• Verschlüsselung mit Passwort, optional 2-Faktor-Auth. mit USB Smartcard Token oder Smartcard
• Integrierte Benutzerverwaltung unabhängig von Domänenbenutzern (mehrere Benutzer pro Freigabe, mehrere Freigaben pro Benutzer möglich)
• keine Abhängigkeit von Domäne und Windows Userverwaltung (PKI)
• Wiederherstellungsschlüssel für Disaster Recovery
• nur Dateiinhalte werden verschlüsselt, Ordner- und Dateinamen bleiben erhalten
• differentielle Backups und Replikation sind möglich
• Zugriff erfolgt über spezielle Client-Software, keine Serverkomponenten

• kompatibel und potentieller Nachfolger von Truecrypt
• Frankreich, Open Source
• Verschlüsselung mit Passwort
• bei Containern keine differentiellen Backups möglich
• kann komplette Windows-Partitions im UEFI-Mode verschlüsseln. (eingeschränkt bei Secure Boot)
     https://veracrypt.codeplex.com/

• Hersteller: Microsoft, USA
• Dateien und Ordner verschlüsseln mit Benutzerzertifikat
• einfache Bedienung, im System integriert
• Freigabe für mehrere Personen möglich, muß vom Nutzer selbst konfiguriert werden
• Datei- und Ordnernamen bleiben im Klartext erhalten
• differentielle Backups und Replikation sind möglich
• Datenverlust bei Verlust des Personenzertifikates (Userprofil defekt, Passwort-Reset, ActiveDirectory defekt)
• Sicherung des Userzertifikates und Domänenwiederherstellungs-Agenten möglich
• Lizenz ist in allen Windows Prof. Versionen enthalten
• Die Lösung ist geeignet für Server im ActiveDirectory, weil hier die Nutzerdatenbank aufwändiger gesichert wird.
  Auf lokalen PCs oder Notebooks ist die Gefahr von Datenverlust zu hoch.

CryptSync - quelloffen von Stefan Küng
  - Open Source
  - praktische Oberfläche zum synchronisieren mit 7-Zip in die Cloud
  - Dateien können automat. mit CryptSync oder manuell mit 7-Zip entschlüsselt werden.

Boxcryptor - ehem. deutscher Hersteller, 12/2022: an Dropbox (US) verkauft
  - proprietärer Client, über den eine Zugriffs- und Lizenzkontrolle aus der Ferne erfolgt

Truecrypt - Freeware, altbewährt und sicher
  - Projekt wurde 2014 von der NSA angegriffen und von den Entwicklern eingestellt.
  -> zukünftige Betriebssysteme funktionieren ggf. nicht.
  - Verschlüsselung in einer Containerdatei, die als Laufwerk eingebunden werden kann.
Update 09/2015: eine gefährliche Sicherheitslücke wird im Windows-Treiber gefunden, mit deren Hilfe jeder Systemrechte erlangen kann. Der Hersteller patcht nicht mehr. Damit disqualifiziert sich Truecrypt für den weiteren Einsatz.

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

OEM-Partner:
• Antivirus: Avira / DE -> US
• Antispam, Contentfilter, URL-Filter: Bitdefender / Ro

Gerätetypen: UF-60 (5 User)  ... UF-760 (200 User), auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...256) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion rechts in der Web-Oberfläche muß mit "Activate" aktiviert werden.
- Button blau ist nicht aktiviert.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.
* Passwort+Support-PW ändern: Firewall->Administrator-> Benutzer wählen "Kennwort-Änderung erforderlich nach nächster Anmeldung"
* RESET Button macht nur Neustart. Werks-Reset siehe unten.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* Desktopregeln als PDF exportieren (Managementbericht/Export)
* Ansicht kann gefiltert werden über Tag, IP, Port oder Interface
* es können mehrere Nutzer mit granularen Rechten angelegt werden

DNS
Viele Funktionen der Firewall arbeiten auf DNS-Basis. Zu langsames DNS führt häufig zu Funktionsfehlern.
- DNS-Informationen der Firewall von einem potenten DNS-Server holen, nicht vom vorgeschalteten Router
- direkten DNS-Verkehr über die Firewall blocken (manche Dienste haben fest verdrahtete DNS-Einträge und irgnorieren sonst die Firewall)
- DNS-Cache deaktivieren

Firewall-Konfiguration:
* für interne Zugriffe auf die Firewall ist keine Regel erforderlich (DNS, NTP, HTTP/S...)
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  (Aktions-Pfeil: LAN-Objekt zu WAN, NAT genauso)
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

• Host für einzelne Geräte/IP
• IP-Bereich für Bereiche (Drucker, Notebooks, IoT...)
• Host-/Netzwerk-Gruppe erlaubt mehrere IP/Geräte in einem Objekt

• DROP-Regeln gehen vor ALLOW-Regeln und lassen sich auch in Vererbung nicht überschreiben
• Regeln vererben sich über Netzwerk -> IP-Range -> Host
• Priorität: Host größer als IP-Range größer als Netzwerk

Dienste
Neben den vordefinierten Diensten können eigene Dienste auch mit mehreren Ports und Protokollen angelegt werden.
Mit Dienst-Gruppen können mehrere Dienste zusammengefasst werden.

NAT (Network Adress Translation)
- wird in jeder Desktop-Verbindungsregel einzeln gesteuert
- ist bei Regeln zum WAN per Default aktiviert
- Achtung bei Regeln zu einzelnen Servern im WAN (DNS o.ä.): NAT setzen, Regel meist nicht bidirektional lassen!

Portforwarding wird im Protokoll der Desktop-Verbindung (Hostobjekt zu WAN) konfiguriert.
Bsp: Dienst HTTP, Verbindungsrichtung drehen (von außen nach innen), NAT aus, DMZ/Port-Weiterleitung aktivieren
Quellport ist das Dienstobjekt, abweichender Zielport kann definiert werden.
Portforwardings können auch für Dienstgruppen eingerichtet werden.

Proxy-Konfiguration:
Der Proxy ist ein klassischer Man-in-the-middle und bricht gültige Zertifikatsketten auf.
Er ist für viele Funktionen unerläßlich, aber er ist eine Dauerbaustelle für Admins und ständiges Ärgernis der Anwender.
• Antivirus funktioniert nur mit aktivem Proxy (HTTP/S, FTP, EMail)
• URL-/ Contentfilter funktioniert nur mit aktivem Proxy (HTTP/S)
• Webstatistik geht nur mit Proxy
• Spamfilter, Blacklist/Whitelist funktioniert nur mit aktivem Proxy (EMail)
• Applicationfilter, IDS und IPS funktionieren auch ohne Proxy.

Hinweis:
* Der Proxy muss global und pro Verbindung aktiviert werden.
* Keine Firewall-Regel darf TCP Port 443 enthalten, sonst wird der HTTPS-Proxy ausgehebelt.

Proxy-Whitelist Syntax: "domain.com" -> nur Domain ohne Subdomains, ".domain.com" -> Domain incl Subdomains

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Weitere Proxy-Ausnahmen:
- Seiten mit Ende-Ende-Zertifikat (Grundbuch, KSA, Onlinebanking, MS WSUS, Windows Aktivierung, Firmwareupdates (VMWare, Lancom)...)
- Signal Desktop Client (.signal.org und .whispersystems.org)
- Microsoft Server- oder Office- Aktivierung

Zertifikate
• Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite). Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).
• Let`s Encrypt Zertifikate für Reverse Proxy und externes Portal (-> FX 10.10).


Einbinden des LCOS Root CA und LCOS Proxy-Zertifikates manuell oder per GPO:
• LCOS Root CA als vertrauenswürdige Stamm-CA
• LCOS HTTPS Proxy als vertrauenswürdiger Herausgeber
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen


Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.
Firewall-Zertifikate werden beim Reset gelöscht -> sichern!

Zertifikat für HTTPS-Webzugriff erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983640

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und IMAP-Proxy
* HTTP-, HTTPS-Proxy

URL-/Contentfilter
Um URL- und Contentfilter für HTTP- und HTTPS-Verbindungen zu verwenden, wird der HTTP-Proxy benötigt.
URL/Contentfilter wird für jede Firewall-Verbindung konfiguriert.
Um URL- und Contentfilter für DNS-Anfragen zu verwenden, muss der Web-Filter-Modus auf „DNS“ oder „Proxy und DNS“ gesetzt werden.
Falls Ausnahmen/Override erlaubt sein soll, in "Einstellungen" zentral erlauben.
- vordefinierte Kategorien
- eigene URL-Blacklist
- Blacklists für Dateiendungen (\.exe$)
- eigene URL-Whitelist
Konfiguration des BPjM-Moduls im Content Filter: URL/Contentfilter-Regel in Verbindung aktivieren, WEB-Filter-Modus= DNS
-> https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=128418084

UTM / Applikation Firewall:
Per Default: aus.
Vorteil: funktioniert ohne Proxy.
Nachteil: Der Application-Filter liefert keine definierte Block-Seite wie der Content-Filter, sondern der geblockte Aufruf schlägt fehl.
Dienst aktivieren, Filter-Profil erstellen, in Desktop-Verbindung Profil als Whitelist oder Blacklist definieren.

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Layer-7 Mustererkennung verarbeiten und erkennt die Anwendung (Aliexpress, AmazonShopping, Apple Maps, Bitcoin, eBay, Facebook, Office365, GoToMeeting, Dropbox, OneDrive, Games, Modebus, Mail, Messenger, News, Peer-to-peer, RemoteControl, Tunnel, Streaming u.v.a.m.).
Unabhängig vom Application-Filter muß der entsprechende Port frei gegeben sein (Verbindungsregel), wenn die Applikation erlaubt sein soll.

Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

Reverse Proxy
Will man über nur eine externe IP-Adresse verschiedene interne Ziele bei gleichem Port erreichen, nutzt man Reverse Proxy.
Der Reverse Proxy löst verschiedene Domain Namen auf einer IP-Adresse auf und routet sie an verschiedene interne Server.

• mehrere Domainnamen (mail.domain.de und web.domain.de) verweisen auf die selbe externe IP-Adresse
• im Router ist eine Portfreigabe von Port 443 und/oder 80 auf den Server eingerichtet auf dem der Reverse Proxy läuft
• der Reverse Proxy wertet die angefragte Domain aus und leitet dann beispielsweise entweder zum Exchange oder Webserver weiter

VPN Verbindung:
Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Außerdem unterstützt die Firewall VPN Open-SSL / OpenVPN.
Seit FX 10.12 unterstützt die UF auch Wireguard.
Anleitung Wireguard: Lancom WiKi
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) per IPSec wird in der Lancom KB beschrieben.
Anleitung für OpenVPN:
• https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
• https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=42108821

• IPSec-Einstellungen: IPSec aktivieren
• virt. IP-Pools: Default IP-Pool konfigurieren (DNS) oder eigenen Pool anlegen
• Verbindung anlegen, Vorlage wählen, Tunnel und Authentifizierung konf.
• VPN-Verbinung: Konfig. exportieren
• Desktop-Objekt: VPN-Host erstellen
• Desktop-Verbindung(en) VPN-Host zu LAN-oder-Host definieren, Dienste frei geben

Netzwerksegmentierung/VLAN
Die Firewall kann intern nicht arbeiten, wenn alle Geräte im gleichen Netzwerk sind.
Routing über Netzsegmente ist erforderlich.
Da die physischen Ports beschränkt sind, heißt die Lösung VLAN.

• Netzwerk / VLAN interfaces anlegen
• Netzwerk / Verbindungen / Netzwerkverbindungen anlegen (Name, VLAN-Interface wählen, IP festlegen)
• Desktop-Objekt: Netzwerk erstellen, Name festlegen, VLAN-Interface und Netzwerk-IP auswählen

Routing
Die Firewall arbeitet auch als Router.
Unter Netzwerk / Routing können individuelle Routen (beispielsweise zu Transfer-Netzen hinter anderen Routern) angelegt werden.
Routen zwischen Netzwerkobjekten werden automatisch erstellt und sind verborgen (Nicht konfigurierbare Tabellen anzeigen).
Unabhängig vom Routing muß zu dem Netz auch eine Firewallregel angelegt werden.
Weitere interne Netze: ggf. RDP, DNS, SMB.. frei geben!

"Routing" zu anderen Routern im gleichen Netz (bei Lancom-Routern mit ICMP-Redirect) ist mir bei den UF nicht gelungen.
Lösung: Anderen VPN-Router in getrenntes Transfer-Netz hinter die UF.

Monitoring
Die Firewall kann max. 8 GB Monitordaten auf die interne HD speichern. Nach 6GB werden die ältesten Daten automatisch überschrieben.
Die letzten 500 Ereignisse werden angezeigt, für mehr Ereignisse: filtern.
• Alarmprotokoll: Traffic, geblockte Verbindungen
Im Alarmprotokoll können für jedes Ereignis individuell Regeln erstellt werden, wenn das Protokoll als Rohdaten gespeichert wird.

Backup / Daten
Im GUI-Backup ist nur der Config-Pfad enthalten, es fehlen die Zertifikate.
Das Backup erfolgt als passwortgeschützte ZIP-Datei, die sich wieder entpacken läßt.

SSH-Backup:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

Datenpfade:
/opt/gateprotect/etc - Configuration
/opt/gateprotect/keys - Zertifikate
/opt/gateprotect/license - Lizenz

Dateien:
gprules.ini -> Firewal Rules
gpnetworkd.json -< Netzwerkkonfiguration, Interfaces, Routen ...

Fehlersuche
• Monitoring & Statistiken > Einstellungen: bsp: "Blockierter eingehender Verkehr" -> Rohdaten speichern
• Fehler provozieren
• Alarmprotokoll: Einträge "Connection Blocked" suchen
• Zahnrad rechts: neue Regel aus Eintrag erstellen

Werksreset:
Werksreset löscht auch die Lizenz aus dem Gerät! Lizenz vorher sichern!

• einfach über GUI (wenn Ports erreichbar und Passwort bekannt)
• wenn nichts mehr geht: USB-Stick -> automatische Installation (LCOS FX-ISO + UF-USB-Stick-Creator)
  Firewall geht danach aus. USB-Stick abziehen(!) und neu starten.

Versionshistorie:

• Release-Update FX 10.13 RU2  (05.12.2023)

• When using an IPSec connection and port forwarding at the same time, packets sent via the IPSec connection for the ports used in port forwarding were sent to the port forwarding destination instead of the actual destination. This led to restricted communication via the VPN connection.
• If the mail proxy was activated in the configuration of the Unified Firewall after an update to LCOS FX 10.13 Rel or 10.13 RU1, a mail server (e. g. Microsoft Exchange) could no longer receive e-mails. If the inbound proxy (SMTP-IN) was deactivated, e-mail reception worked again.
• An update to the Squid proxy has fixed a vulnerability in the web proxy that allowed attackers to smuggle data through the proxy using request/response packets in HTTPS 1.1 or ICAP.

• Relase-Update FX 10.13 RU1 (01.11.2023 - zurück gezogen / 10.11.2023):

• Erweiterung des WEB-GUI der Firewall: Desktop-Verbindungen zeigen auch geerbte Berechtigungen

• Release-Update FX 10.12 RU3 (09/2023):

• Schlüssel zum Betrieb der Avira Antivirus Engine wurden aktualisiert (keine Funktion ab 10/2023 ohne dieses Update!)
• Sicherheitslücke im Border Gateway Protokoll (BGP) behoben (CVE-2023-38802)
• diverse Fehlerkorrekturen in RU2

• Release-Update FX 10.12 RU1 (07/2023):

• Wireguard VPN
• Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen
• automat. E-Mail-Versand von Security Reportings
• DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)

• Release-Update FX 10.11 (02/2023):

• Wechsel des OEM-Partners für Antispam, Contentfilter und URL-Filter von Cyren/US (in Insolvenz) in Bitdefender/Ro

• Release-Update FX 10.10 (01/2023):

• Zertifikatsverwaltung > Let's Encrypt: können im Reverse Proxy Frontend bei aktiviertem SSL-Modus und im externen Portal der Benutzerauthentifizierung verwendet werden

• Release-Update FX 10.9 (08/2022):

• URL- / Content-Filter auf Basis von DNS ohne SSL-Inspection
  DNS-Abfragen, die über den DNS-Server der LANCOM R&S®Unified Firewall laufen, werden klassifiziert und gemäß ihrer Kategorien oder konfigurierter Black und Whitelists gefiltert. In den Desktop-Verbindungen wurde unter dem Tab "URL-/ Content-Filter" ein neues Auswahlfeld für den Web-Filter-Modus hinzugefügt. Es werden die gleichen Profile genutzt wie beim URL-/ Content-Filter über den HTTP-/ HTTPS-Proxy.
  - gefiltert wird auf der Domain, nicht auf der URL
  - es wird keine Blockpage angezeigt und ist nicht möglich, den Override-Modus zu nutzen
  - gefiltert wird nur, wenn die DNS Anfrage durch die Firewall geht
• BGP: unter Netzwerk > Routing: neuer Menü-Eintrag BGP
  Monitoring & Statistiken > BGP-Status
  

• Release-Update FX 10.5 (06/2020):

• IMAP-Proxy
• Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
• individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

• LCOS FX 10.13 Benutzerhandbuch: https://www.lancom-systems.de/fileadmin/download/documentation/manuals/MA_LCOS-FX-10-13-User-Manual_DE.pdf
• Lancom LCOS
• Lancom Firewall FAQ: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925347
• Firewall Downloads (ISO, USB-Installer, MIBs): https://my.lancom-systems.de/mylancom/lizenzportal/downloads/
• Authentifizierung per Single Sign On an der Firewall: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=54952158
• Lancom VLAN (Router, Switche)

Pocket-Gehäuse, lüfterlos, industrietauglich, VESA-Halterung

• Glovary Firewall Quad Core N100, DDR5 8GB RAM 256GB NVMe SSD, AES-NI, TypeC Port
• DDR5 SO-DIMM 4800 MHz
• 6 x 2.5GbE i226V LAN
• 12V/36W DC Klinke
• 2x HDMI, 4x USB, 1x USB 3.2, 1x USB-C, TF Card Slot
• großer On/Off Taster, kl. Reset-Taster
• Fanless Alu-Gußgehäuse mit Kühlrippen, Betriebstemperaturbereich zwischen 0 und 60 °C.
  Für niedrigere Temperaturen sind an der Unterseite des Geräts vorgebohrte Lüfterlöcher für die Installation eines 12-V-4-Pin-Lüfters (80 x 80 x 10 mm) vorhanden. Im Lieferumfang sind ein 12-V-4-Pin-Lüfterkabel und Schrauben zur Lüfterbefestigung enthalten.
• incl. VESA Montageplatte
• Entf/F2-Taste -> BIOS, F7-Taste -> Boot-Menue
• CPUs ab 11. Generation unterstützen BIOS-Zugriff nur im UEFI-Modus
• Beim erstmaligen Einsetzen oder Austauschen eines neuen Speichersticks dauert es 5–10 Minuten, bis das Gerät den Speicherstick erkennt.
  Nach erfolgreicher Erkennung bootet das Gerät normal. Bitte haben Sie etwas Geduld.
• Sollte der Mini-PC nach längerem Gebrauch nicht mehr starten, drücken Sie bitte die BIOS-Reset-Taste am I/O-Panel oder entfernen Sie den Akku vom Motherboard, um ihn zu entladen. Setzen Sie ihn anschließend wieder ein, um den PC neu zu starten.
• Glovary bietet 1 Jahr Garantie und technischen Online-Support. Bei Problemen mit der Systeminstallation oder Treibern kontaktieren Sie uns bitte direkt.
• 

Pocket-Gehäuse, lüfterlos, industrietauglich, VESA-Halterung, Power-Klemmbuchse, 2x SFP+

• 2 x i226V 2.5GbE LAN, 2 x 10GbE SFP+
• 12V DC Klinke + 2pin Phoenix Klemmbuchse
• 1 x DDR5 SO-DIMM memory 4800MHz, 1 x M.2 2280 NVMe SSD slot, 1 x SATA 3.0 for 2.5" SSD/HDD (SATA 3.0 Cable Included)
• VESA Wallmount Platte
• 

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker

Bsp: 19" Firewall mit RJ45- und SFP+ Ports

• OPNsense Firewall
• VPN-Strategie mit 2FA

Inzwischen produzieren KIs Software und ihre Updates.

KIs machen die Qualitätskontrolle und Tests.

Updatezyklen überschlagen sich.

Welche IT-Abteilung soll das testen?
Die Qualität sinkt immer weiter.

Updates stellen immer öfter ein erhebliches Risiko für den Betrieb dar.

Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Die hier vorgestellten Unified Firewalls von Rohde & Schwarz Cybersecurity arbeiten nutzerbasierend als Proxy mit AD-Integration.

Die Firewall enthält (mit entsprechender Lizenz) einen mehrstufigen Malware- und Virenschutz.
Neben der lokalen Patternprüfung, Statful Inspection und Deep Inspection im Proxy der Firewall erfolgt eine KI-Prüfung und bei Unklarheit eine Sandboxprüfung bei Avira, so dass eine zuverlässige Fehlererkennung gewährleistet ist.
Die Firewall arbeitet mit einem eigenen Zertifikat und überprüft auch HTTPS-verschlüsselten Datenverkehr.
Sie ersetzt nicht den Client-Virenschutz, aber sie erhöht die Sicherheit der Clients deutlich.

Auch der POP3/S, SMTP/S-, IMAP/S Datenstrom zum Mailserver läßt sich damit überprüfen.
Dafür ist außerdem eine cloudbasierte Spamprüfung konfigurierbar.

Die Firewall besitzt (je nach Modell) mehrere Ports und kann so auch lokale Netzwerk-Zonen voneinander trennen. (1 Gb/s bis 10 Gb/s, Multi-WAN (gewichtetes richtlinienbasiertes Routing / Failover), Lastverteilung)
Die Performance ist für LAN optimiert und übertrifft die WAN-optimierten Lancom-Router um ein Vielfaches.

Der Webfilter unterstützt das Filtern nach URL und Inhalt, anpassbare Regeln für Benutzer, Blacklists / Whitelists, Import / Export von URL-Listen,  Blockieren von angegebenen Dateitypen (beispielsweise kein Download von EXE-Dateien für alle Nutzer außer...), kategoriebasiertes Blockieren von Websites (individuell konfigurierbar), Online-Scan-Technologie, HTTP(S)-Proxy-Unterstützung und eine Override-Funktion für Ausnahmen.

Die Apllication-Kontrolle bietet Layer-7-Paketfilter (Deep Packet Inspection) zum Filtern nach Applikationen (z. B. Facebook, YouTube, BitTorrent etc.).
Hier werden nicht nur Domainnamen, sondern auch Protokolle u.ä. zur Analyse einbezogen.

Eine umfangreiche Netzwerkvisualisierung dient dem Monitoring und der Fehlersuche (Netzwerk, IDS / IPS, Applikationskontrolle, Surfkontrolle, Antivirus / Antispam).

Die Geräte unterstützen VLAN, QoS, VPN (IPSec und SSL).

Hardware, Software und Cloudlösung sind Made in Germany.


Die Modelle ab UF-200 verfügen (mit entsprechender Lizenz) über vollen UTM-Schutz (Malware-, URL- und Spam-Filter, App.-Kontrolle, IDS/IPS, HA).
Die kleinere UF-100 unterstützt nur Malware-, URL- und Spam-Filter und besitzt kein Application Control und IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) und High Availabilty.
Beim kleinsten Modell UF-50 fehlt außerdem Antivirus und Antispam.

Es gibt eine Basic-Softwarelizenz zur Aktivierung der Firewall-Funktionen der jeweiligen Firewall mit SSL Inspection inkl. aller Software-Updates
oder eine Full-Lizenz zur Aktivierung der UTM- & Firewall-Funktionen der Firewall mit Sandboxing, Machine Learning, AV/Malware Protection, SSL Inspection inkl. aller Software-Updates.

Einrichtungshinweise in meiner FAQ.

Alle weiteren Informationen bei LANCOM oder bei uns als Lancom Partner.
R&S Lösungswebinar auf Youtube: VIDEO

Lange Zeit nutzen wir vorrangig LANCOM Router für VPN-Verbindungen.
Lancom ist ein deutsches Unternehmen, die Router sind zuverlässig, langlebig und nutzen IP-Sec VPN.
Allerdings haben die Geräte ihre Grenzen.
Lancom hat einen VPN-Client für Windows und MacOS, deutlich verspätet auch für Mac M1-Chips. Für Windows-Notebooks mit SOC-(KI)CPU, für Android und auch für Linux gibt es keine direkte VPN-Unterstützung.
Lancom-Router haben keine Nutzerverwaltung und keine Multifaktor-Unterstützung (2FA).
Modernere VPN-Verschlüsselungsprotokolle werden nicht unterstützt.

In den letzten Jahren löste ich die Kompatibilitätsprobleme und fehlende Clients mit Wireguard-VPN.
Wireguard ist Open-Source, modern und robost. Kostenlose VPN-Clients sind für alle Betriebssysteme verfügbar.
Als EU-Hardware kann beispielsweise der lettische Anbieter MikroTik eingesetzt werden.

OPNsense Firewall und VPN-Gateway

• Freie Firewall-Distribution unter FreeBSD-Lizenz, niederländischer Hauptentwickler
• kostenlose Version und Business-Edition mit Support verfügbar
• Hardware frei skalierbar für kleine Außenstellen, rauhe Industrieumgebung bis Multiport- HiSpeed-Router, mit SFP+ Modul oder LTE
• inclusive Open-VPN, kostenlose VPN-Client für alle OS (keine VPN Lizenzkosten)
• Zwei-Faktor-Authentisierung (TOTP) für Open-VPN voll integriert
• Anmeldung mit lokalen Usern oder ActiveDirectory Domänen-Usern
• leistungsfähige Multiport Firewall
• Next-Generation Firewall zubuchbar (Application Control, Cloud Reputation…)
• gemeinsam nutzbar mit bestehender Infrastruktur (parallel zu IPsec oder Wireguard)
• Telefoniefunktionen, SIP oder DSL-Modem sind nicht integriert und erfordern separate Hardware

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker

Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.

Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.

Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle. Der schleppende Breitbandausbau desillusioniert viele Firmen und verbietet dort das Cloud-Konzept von vornherein.

Natürlich sind Cloud-Lösungen meist redundant ausgelegt und haben riesigen Rechenpower, aber meinen wir das mit "Sicherheit"?

Wie sieht es aus, wenn ich den Anbieter wechseln will oder der einfach sein Cloud-Konzept einstellt?
Die GoBD verpflichtet mich zur Aufbewahrung von Büchern und Unterlagen in der originären Form.
Zahle ich also 10 Jahre weiter für ein nicht mehr verwendetes Buchhaltungsprogramm? Ja,- ich kenne Beispiele dafür.

Kann ich beweisen, dass meine Daten die EU nicht verlassen? Ansonsten wird es bereits bei Personendaten (Adressbuch) eng.

Wer hat Zugriff auf meine Daten und was geschieht damit? Man denke an seine Konkurrenz im In- und Ausland.

„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.

Die automatische Nutzung der neusten Funktionen klingt gut. Aber habe ich den Funktionsumfang noch in der Hand? Was, wenn morgen eine dringend benötigte Funktion, ein Bericht oder ein Datenformat eingestellt wird?

Sicher kann man einige dieser Fragen mit Verträgen klären, wenn man eine ernst genommene Firmengröße hat.

Ich teile die Meinung des Security Insiders: So wenig IT outsourcen wie möglich.

Passend dazu:

• Januar 2023: Die Ende-zu-Ende Verschlüsselungssoftware Boxcryptor wird verkauft und kündigt allen Nutzern. Der prorietäre Client prüft online die Lizenz und läßt sich nicht mehr starten, wenn der Hersteller das nicht will. Damit sind die eigenen Ende-zu-Ende verschlüsselten Daten verloren. (Caschys Block)
• August 2022: Der Online-Passwortspeicher LastPass bestätigt: Angreifer hatten 4 Tage Zugriff auf die internen Systeme. Es gab wohl keinen Zugriff auf Benutzerkonten. (BornCity)
• Juli 2022: Neue Kontosperrungen bei Outlook.com – läuft Microsofts KI Amok, oder sind Konten kompromittiert? (BornCity)
• Juli 2022: die Hitzewelle zwingt die Cloud von Google und Oracle in UK zum Shutdown (-> Verfügbarkeit). (The Register)
• Juni 2022: Die westliche Welt lacht hähmisch, weil die von Russland geklauten John Deere Landmaschinen vom Hersteller aus der Ferne deaktiviert wurden. Dabei sollte man nicht vergessen, dass diese "Waffe" gegen jeden Nutzer eingesetzt werden könnte.
  ( agrarheute.com )
• 2016: Gescheiterte Abbo-Umstellungen bei Microsoft führen zu Verfügbarkeits- und Datenverlust. (CT 7/2016 S.64f)

Am 7.11.2018 häuften sich Meldungen, dass die Microsoft-Aktivierungsserver nicht erreichbar sind.