UF-xxx Config Optionen möglich ?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

UF-xxx Config Optionen möglich ?

Beitrag von XJ8 »

Hallo,

weil ich mich immer öfter mit den R&S UF-360 usw beschäftige habe ich mal ein paar Fragen an die Experten hier:

Da ich lieber mit Scripten arbeite statt mit einer GUI wäre es interessant zu wissen wie man so etwas via SSH machen kann.
Die Klickerei im WEB-Client ist ja doch etwas zeitraubend.
Leider hält sich Lancom mit Infos und Doku zum CLI mächtig zurück.

Auch würde ich gern die fertige Config in lesbarer Form vorliegen haben.
Habe mal gelesen dass ein Export der Config als PDF machbar sein soll, aber einen entsprechenden Menüpunkt konnte ich noch nicht entdecken.

Hat jemand schon mal das Backup automatisieren können ? Habe es mal versucht via SCP aufzusetzen, leider erfolglos.
Habe zwei SCP Server laufen die eigentlich problemlos ansprechbar sind, aber die UF-260 wollen da nichts hin senden :oops:

Gibt es Erfahrungen mit der HA Konfiguration bezüglich Stabilität ?
Habe in einem anderem Forum gelesen, dass das eine ziemlich wackelige Sache sein soll.

Ja - Fragen über Fragen, aber dafür ist das Forum ja da :mrgreen: :mrgreen:
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

XJ8 hat geschrieben: 11 Apr 2023, 21:41 Da ich lieber mit Scripten arbeite statt mit einer GUI wäre es interessant zu wissen wie man so etwas via SSH machen kann.
Die Klickerei im WEB-Client ist ja doch etwas zeitraubend.
Leider hält sich Lancom mit Infos und Doku zum CLI mächtig zurück.
ja leider ...
XJ8 hat geschrieben: 11 Apr 2023, 21:41
Auch würde ich gern die fertige Config in lesbarer Form vorliegen haben.
Habe mal gelesen dass ein Export der Config als PDF machbar sein soll, aber einen entsprechenden Menüpunkt konnte ich noch nicht entdecken.
Hm, weist Du wo Du das gelesen hast?

Wenn Du das Config Backup aus der GUI exportierst, ist das Ergebnis ein paswordgeschützes ZIP File.

Ausgepackt hast Du dann das Verzeichnis /opt/gateprotect/etc usw.
Also reicht es vermutlich, per CLI das Verzeichnis /opt/gateprotect/etc mit Unterverzeichnissen zu zippen, um ein Backup zu haben.
Sieht ziemlich vollständig aus, *.ini und *,json Files usw.

Wir testen grade, wie wir das automatisieren können.
XJ8 hat geschrieben: 11 Apr 2023, 21:41 Hat jemand schon mal das Backup automatisieren können ? Habe es mal versucht via SCP aufzusetzen, leider erfolglos.
Habe zwei SCP Server laufen die eigentlich problemlos ansprechbar sind, aber die UF-260 wollen da nichts hin senden
Das habe ich noch nicht getestet.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von UKernchen »

Habe mal gelesen dass ein Export der Config als PDF machbar sein soll, aber einen entsprechenden Menüpunkt konnte ich noch nicht entdecken.

Hm, weist Du wo Du das gelesen hast?
Also ich habe das auch so im Hinterkopf.
W.Ohn -> Präsentation?
Oder Lancom Technican Workshop?

In meinen Notizen steht: "fertige Konfig als PDF exportieren (Desktop/Export)".
Aber in der aktuellen Version finde ich das leider auch nicht.

Uwe
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

tstimper hat geschrieben: 12 Apr 2023, 10:59
Wenn Du das Config Backup aus der GUI exportierst, ist das Ergebnis ein paswordgeschützes ZIP File.

Ausgepackt hast Du dann das Verzeichnis usw.
Also reicht es vermutlich, per CLI das Verzeichnis /opt/gateprotect/etc mit Unterverzeichnissen zu zippen, um ein Backup zu haben.
Sieht ziemlich vollständig aus, *.ini und *,json Files usw.

Wir testen grade, wie wir das automatisieren können.
Also ich habe mal geschaut und verglichen

Backup machst Du wie folgt:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

mehr ist das nicht ....

Edit: Es ist doch nicht alles...

Zertifikate liegen hier: /opt/gateprotect/keys

Die Lizenz liegt hier: /opt/gateprotect/license

Du brauchst als Backup alle drei Bereiche: Config, Zertifikate und das Licensefile.

Im GUI Backup der UF ist nur die Config drin.


Viele Grüße

ts
Zuletzt geändert von tstimper am 12 Apr 2023, 13:26, insgesamt 1-mal geändert.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

XJ8 hat geschrieben: 11 Apr 2023, 21:41 Da ich lieber mit Scripten arbeite statt mit einer GUI wäre es interessant zu wissen wie man so etwas via SSH machen kann.
nach einer kurzen Analyse des Backups:

gprules.ini -> Firewal Rules

gpnetworkd.json -< Netzwerkkonfiguration, Interfaces, Routen ...
Letzendlich stehen da GUIDs und unique-ids für die Interfaces und die sogenannten Desktop Objekte

Ich kann nicht erkennen, das da ein Mechanismus bzgl. Checksum für die Congig mit drin ist.
Am besten die virtuelle UF als Trial installieren und testen...

Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: UF-xxx Config Optionen möglich ?

Beitrag von XJ8 »

tstimper hat geschrieben: 12 Apr 2023, 12:39
tstimper hat geschrieben: 12 Apr 2023, 10:59
Wenn Du das Config Backup aus der GUI exportierst, ist das Ergebnis ein paswordgeschützes ZIP File.

Ausgepackt hast Du dann das Verzeichnis usw.
Also reicht es vermutlich, per CLI das Verzeichnis /opt/gateprotect/etc mit Unterverzeichnissen zu zippen, um ein Backup zu haben.
Sieht ziemlich vollständig aus, *.ini und *,json Files usw.

Wir testen grade, wie wir das automatisieren können.
Also ich habe mal geschaut und verglichen

Backup machst Du wie folgt:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

mehr ist das nicht ....

Edit: Es ist doch nicht alles...

Zertifikate liegen hier: /opt/gateprotect/keys

Die Lizenz liegt hier: /opt/gateprotect/license

Du brauchst als Backup alle drei Bereiche: Config, Zertifikate und das Licensefile.

Im GUI Backup der UF ist nur die Config drin.


Viele Grüße

ts
Vielen Dank für die "Aufklärung" :mrgreen:

Das führt IMHO jegliche Bemühungen, das Auto-Backup zum laufen zu bekommen, ad absurdum.

Auf die Lizenz kann ich ja in dem Zusammenhang noch verzichten weil ich die entsprechende Datei sowieso pro Kunde archiviere.
Aber die Zertifikate gehören auf jeden Fall dazu... :oops:
Werde ab sofort die drei Bereiche händisch in einer ZIP zusammenfassen und dann archivieren.

Das scheint mir der zweite große Minuspunkt (neben der unzureichenden Dokumentation des CLI) der Firewallserie zu sein,
wenn man nach einem Wiederherstellungsprozess feststellt, dass die Zertifikate im Datenhimmel sind ...
Da sollte ein Hersteller schon deutlich offener mit umgehen. (z. B. mit einem Knowledge Base Beitrag)

Beste Grüße

kl
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: UF-xxx Config Optionen möglich ?

Beitrag von XJ8 »

UKernchen hat geschrieben: 12 Apr 2023, 11:29
Habe mal gelesen dass ein Export der Config als PDF machbar sein soll, aber einen entsprechenden Menüpunkt konnte ich noch nicht entdecken.

Hm, weist Du wo Du das gelesen hast?
Also ich habe das auch so im Hinterkopf.
W.Ohn -> Präsentation?
Oder Lancom Technican Workshop?

In meinen Notizen steht: "fertige Konfig als PDF exportieren (Desktop/Export)".
Aber in der aktuellen Version finde ich das leider auch nicht.

Uwe
Hallo,

das habe ich in einer Hinweisliste der "NetDesign Kernchen" gelesen .... :D

Das Thema Doku und einfaches Backup scheint nicht auf der Prioliste des Herstellers zu stehen, da ja der Export als PDF scheinbar weggefallen ist.

Grüße

kl
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

XJ8 hat geschrieben: 12 Apr 2023, 22:23
Vielen Dank für die "Aufklärung" :mrgreen:

Das führt IMHO jegliche Bemühungen, das Auto-Backup zum laufen zu bekommen, ad absurdum.

Auf die Lizenz kann ich ja in dem Zusammenhang noch verzichten weil ich die entsprechende Datei sowieso pro Kunde archiviere.
Aber die Zertifikate gehören auf jeden Fall dazu... :oops:
Werde ab sofort die drei Bereiche händisch in einer ZIP zusammenfassen und dann archivieren.

Das scheint mir der zweite große Minuspunkt (neben der unzureichenden Dokumentation des CLI) der Firewallserie zu sein,
wenn man nach einem Wiederherstellungsprozess feststellt, dass die Zertifikate im Datenhimmel sind ...
Da sollte ein Hersteller schon deutlich offener mit umgehen. (z. B. mit einem Knowledge Base Beitrag)

Beste Grüße

kl
Ich hatte bisher über das Backup der UF noch nicht nachgedacht, für LCOS, LCOS-LX (Accespoints) und LCOS-SX (Switche)
haben wir das fertig gebaut, geht auf Knopfdruck.

Ich hatte eigentlich erwartet, das es bei der UF kompizierter ist, aber .....
Restore muss ich mal mit der virtuellen UF testen.
Oder hat jemand eine unbenutze UF, mit der wir (Remote) das Restore testen könnten?

Je mehr ich mich damit beschäftige, desto mehr fällt auf, was alles für ein komplettes Restore nötig ist.
Bei der UF werden die Zertifikate sicher auch sehr wichtig fürs Restore sein oder weiß da jemand mehr?

Beim LCOS HA (Clusteroption für Router und WLC) braucht man auch das Backup der CA und Device Zertifikate, sonnst darf man bei Ausfall
des Masters, der die CA hat, alle Zertifikate (VPN, APs) neu machen.

Wichtig ist, das wir hier hin schreiben, wie es geht :-)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: UF-xxx Config Optionen möglich ?

Beitrag von XJ8 »

tstimper hat geschrieben: 12 Apr 2023, 22:50

Je mehr ich mich damit beschäftige, desto mehr fällt auf, was alles für ein komplettes Restore nötig ist.
Bei der UF werden die Zertifikate sicher auch sehr wichtig fürs Restore sein oder weiß da jemand mehr?

Beim LCOS HA (Clusteroption für Router und WLC) braucht man auch das Backup der CA und Device Zertifikate, sonnst darf man bei Ausfall
des Masters, der die CA hat, alle Zertifikate (VPN, APs) neu machen.

Viele Grüße

ts
Sofern man die Full-License im Einsatz hat sind die Zertifikate IMHO schon wichtig, diese werden schließlich auf jeden Client-PC ausgerollt (Proxy Mail und HTTPS).
Muss man nach einem Restore neue Zertifikate erstellen ist auch deren erneuter Roll-out notwendig - und das kann je nach Umgebung ne Menge Zeit kosten.
Auch für die OPENVPN Zugänge sind Zertifikate nicht unwichtig, ggf auch für den Lancom-VPN-Client, wenn der Zertifikate verwendet.
Die Zertifikate neu zu erstellen ist easy, aber die müssen ja auch raus zu den Clients.

Apropos HA, haben Sie mit den UF-xxx Erfahrungen mit HA-Clustern machen können ? Das soll ja nicht so wirklich stabil laufen ...
Hier wäre dann auch interessant ob Zertifikate und Lisence repliziert werden.

Beste Grüße

kl
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

XJ8 hat geschrieben: 13 Apr 2023, 13:27
Sofern man die Full-License im Einsatz hat sind die Zertifikate IMHO schon wichtig, diese werden schließlich auf jeden Client-PC ausgerollt (Proxy Mail und HTTPS).
Ok, ist das bei Euch ein Einsatzfall? Dann solltet Ihr das Backup wie schon beschrieben machen.
Es gibt auch Device Config Backup Tools, die sowas machen.

Fürs reine Backup ist es nicht mehr als die paar Befehle, die ich schon weiter oben beschrieben habe.
XJ8 hat geschrieben: 13 Apr 2023, 13:27 Guter Punkt, also
Muss man nach einem Restore neue Zertifikate erstellen ist auch deren erneuter Roll-out notwendig - und das kann je nach Umgebung ne Menge Zeit kosten.
Auch für die OPENVPN Zugänge sind Zertifikate nicht unwichtig, ggf auch für den Lancom-VPN-Client, wenn der Zertifikate verwendet.
Die Zertifikate neu zu erstellen ist easy, aber die müssen ja auch raus zu den Clients.
Genau dazu braucht es einen definierten Prozess und ggf Software Deployment Tools.
XJ8 hat geschrieben: 13 Apr 2023, 13:27 Apropos HA, haben Sie mit den UF-xxx Erfahrungen mit HA-Clustern machen können ? Das soll ja nicht so wirklich stabil laufen ...
Hier wäre dann auch interessant ob Zertifikate und Lisence repliziert werden.
Also prinzipiell sollte es ja funktionieren, wenn die Config ok ist und die Randbedingunegen stimmen.
Bei LCOS zum Beispiel ist HA unproblematisch, wenn man drauf achtet, keine doppelten VRRP IDs in der Broadcast Domain zu haben.
Das ist wohl die Fehlerquelle, die meist unbeachtet bleibt.
Also LANCOM kann das stabile Systeme liefern.

Und das Backup der Zertifikate mus ja trotzdem gemacht werden.

Beim LCOS WLC Cluster zum Beispiel machen wir auch das separate Backup der Zertifikate beider Cluster Nodes.

Das Problem mit den Zertifikaten ist ja auch, das es notwendig ist, diese Backups gut zu schützen und ggf. den Zugriff zu auditieren.

Gestohlene gültige Zertifikate lassen sich wunderbar für Angriffe nutzen.

Viele Grüße

ts











Dazu fehlen mier zwei freie UFs, um das zu testen.
Habt Ihr welche, mit d
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von UKernchen »

das habe ich in einer Hinweisliste der "NetDesign Kernchen" gelesen .... :D
Das hat mir jetzt doch keine Ruhe gelassen.

Unter "Managementbericht" kann man einen Haken setzen "Desktop-Konfiguration".
Damit wird eine nette Übersicht über die Desktop-Konfiguration gedruckt (Desktop-Objekt, Beschreibung, Aktion, NAT, Ziel, Services).
Aber mehr auch nicht.
Ich habe das bei mir korrigiert.
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von tstimper »

UKernchen hat geschrieben: 14 Apr 2023, 16:01
das habe ich in einer Hinweisliste der "NetDesign Kernchen" gelesen .... :D
Das hat mir jetzt doch keine Ruhe gelassen.

Unter "Managementbericht" kann man einen Haken setzen "Desktop-Konfiguration".
Damit wird eine nette Übersicht über die Desktop-Konfiguration gedruckt (Desktop-Objekt, Beschreibung, Aktion, NAT, Ziel, Services).
Aber mehr auch nicht.
Ich habe das bei mir korrigiert.
Interessant das habe ich mir bisher garnicht angesehen.
Letzendlich ist das aber nur etwas Statistic und die Desktop Objekte und Firewall Rules.
In meiner UF habe ich mehrere Reverse Proxies konfiguriert, mit Zertifikaten usw.
Das kommt im PDF garnicht vor.

Es ist ein Executive Report, geeignet , dem Management was Buntes zu zeigen.

Ein Ausschnitt:
uf-executive-report.png
Ohne technischen Wert und vor allem ohne Config Infos.

Es bleibt also die schon weiter oben beschreibene Vorgehensweise fürs Backup der UF.

Viele Grüße

ts
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xxx Config Optionen möglich ?

Beitrag von UKernchen »

Die Desktopobjekte finde ich schon ganz nett.
20230414_171122.png
Aber keine Frage, das ist kein Backup.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: UF-xxx Config Optionen möglich ?

Beitrag von XJ8 »

UKernchen hat geschrieben: 14 Apr 2023, 16:01
das habe ich in einer Hinweisliste der "NetDesign Kernchen" gelesen .... :D
Das hat mir jetzt doch keine Ruhe gelassen.

Unter "Managementbericht" kann man einen Haken setzen "Desktop-Konfiguration".
Damit wird eine nette Übersicht über die Desktop-Konfiguration gedruckt (Desktop-Objekt, Beschreibung, Aktion, NAT, Ziel, Services).
Aber mehr auch nicht.
Ich habe das bei mir korrigiert.
Danke für die Korrektur.

Diese "Dokumentation" ist wirklich sehr Management-freundlich und daher aus technischer Sicht entbehrlich. :mrgreen: :mrgreen:
Antworten