Nach der Anmeldung als admin und dem zugehörigen Passwort muss man nur folgenden Befehl absetzen, die neue Lizenz als TXT in das SSH Fenster einfügen und mit CRTL+D den Befehl beenden.

system register

ssh root@192.168.0.1 spcli rule get |grep -i -v DISABLED > fw-rules.txt 

In der Datei fw-rules.txt stehen im Anschluß die aktiven Firewall Regeln. Natürlich kann man sich auch die Iptables ausgeben lassen, mit dem Befehl spcli finde ich es aber deutlich übersichtlicher.

Ich gehe mal davon aus, dass das aktuelles MSI Paket sich im Ordner c:\temp befindet. Des weiteren müssen wir nur eine CMD-Box öffnen und nacheinander folgende Befehle ausführen:

set myDat=%date:~6,4%-%date:~3,2%-%date:~0,2%
xcopy "%appdata%\Securepoint SSL VPN\" "%appdata%\%myDat%-Securepoint SSL VPN.sik\" /S /y

Anschließend kann man den installierten Securepoint Client deinstallieren. Installiert man wieder exakt die gleiche Version, kann die Deinstallation übersprungen und direkt mit folgendem Befehl weiter gemacht werden.

msiexec /i c:\temp\openvpn-client-installer-2.0.33.msi /german

Vor dem ersten Start kopiert man die Sicherung wieder an den korrekten Platz. 

xcopy "%appdata%\%myDat%-Securepoint SSL VPN.sik\" "%appdata%\Securepoint SSL VPN\"  /S /y

Anschließend kann man den Securepoint Client starten und die Einstellungen prüfen. Mehr sollte nicht zu tun sein und bestenfalls sind alle weiteren Einstellungen noch vorhanden.

Manche Geräte können mit diesen unterschiedlichen Dateien nicht umgehen, weil z.B. kein richtiges Dateisystem vorhanden ist. Apple iPhone/iPad Apps wären z.B. so ein Fall.

Will man dort SSL-VPN (openVPN) verwenden, so muss die CA, Cert und Key direkt in der openVPN Konfigurationsdatei vorhanden sein.
Für diesen Fall habe ich ein kleines Script geschrieben. (Etwas abgewandelt welches ich im Securepoint Forum gefunden habe.

Dies Script geht davon aus, dass die Konfigurationsdaten entpackt in einem Verzeichnis liegen. Zu finden sind die Dateien in der Regel im „Data“ Verzeichnis wenn man das ZIP entpackt oder das TBLK-Verzeichnis umbenannt hat.

Hier nun aber erst mal das Script. Als ersten Parameter wird der Dateiname des openVPN-Files erwartet. Zweiter Parameter wie die neue Konfigurationsdatei benannt werden soll. Der dritte und letzte Parameter gibt an, ob die Originaldateien gelöscht oder behalten werden sollen.

Hier nun aber erst mal das Script:

#!/bin/sh
# Autor: Knut Herter
#
if [ -z "$1" ] || [ -z "$2" ] || [ -z "$3" ] ; then
		echo "\nKeine Parameter angegeben!"
		echo ""
 		echo "Parameter 1: <Dateiname>(ohne .ovpn)"
 		echo "Parameter 2: <Neuer Dateiname>(ohne .ovpn)"
 		echo "Parameter 3: <0 oder 1> 1 = Origignaldateien löschen"
		echo "\n"
 		exit 1
fi

for dat in ".ovpn" "-ca.pem" "-cert.pem" "-cert.key"; do
	if [ ! -f "$1$dat" ]; then
	    echo "$1$dat nicht vorhanden"
	    fehler=1
	fi
done

if [ $fehler ]; then echo "\nFehler, breche die Verarbeitung ab." 
 exit 1  
fi

grep -F -v -e "ca" -e "cert" -e "key" "$1".ovpn > $2.ovpn
{
echo '<ca>'
cat "$1"-ca.pem 
echo '</ca>'
echo '<cert>'
cat "$1"-cert.pem 
echo '</cert>'
echo '<key>'
cat "$1"-cert.key 
echo '</key>'
} >> $2.ovpn

if [ "$3" = "1" ]; then
for dat in ".ovpn" "-ca.pem" "-cert.pem" "-cert.key"; do
	rm -f $1$dat
done
fi

Anschließend kann man die erzeuge .ovpn-Datei z.B. auf seinem iPhone/iPad nutzen um sich mit dem SSL-VPN Server zu verbinden. 

Auch in Tunnelblick oder dem originalen Securepoint VPN Client kann diese Datei verwendet werden.

Manchmal „zerstören“ größere Windows Updates den für das VPN notwendigen Dienst „Securepoint VPN“. Beim Start von Windows kommt dann nur eine gewohnt langweilige Fehlermeldung „Dienst konnte nicht gestartet werden“. Zumindest so in etwa.

Um das Problem zu lösen und die vorhandenen Konfigurationsdateien behalten zu können kann wie folgt vorgegangen werden.

Zuerst beenden wir, sofern es gestartet ist den SSL VPN Client unten in der Iconleiste. Anschließend öffnen wir den Datei Explorer und wechseln in das Verzeichnis %AppData% . Dort befindet sich das Verzeichnis „Securepoint SSL VPN„. Dies sollten wir nun umbenennen. Z.B. in „_Securepoint SSL VPN„.

Nun kann ganz klassisch der VPN Client unter den Apps deinstalliert werden.

Im nächsten Schritt laden wir von folgender URL den aktuellsten Client herunter: https://sourceforge.net/projects/securepoint/files/

Anschließend können wir wie gewohnt die Software mit den üblichen/gewohnten Optionen installieren. Vor dem ersten Start der Software muss man wieder mit dem Datei Explorer in das Verzeichnis %AppData% wechseln und das Verzeichnis „_Securepoint SSL VPN“ wieder korrekt zurück umbennen in „Securepoint SSL VPN„.

Nach dem Start der Software mit dem neuen Icon auf dem Desktop sind die vorigen Konfigurationen wieder vorhanden und funktionieren wie gewünscht.

Zuerst sollte man sich bei der UTM anmelden. Der Optionspunkt „Extras“ schaut dann wie folgt aus.

Drückt man nun auf der Apple Tastatur folgende Kombination, [control] + [option] + a , dann erscheint ein weiterer Menüpunkt.

Über diesen Menüpunkt lassen sich z.B. direkt Konfigurationsdateien (Tempplates) über die GUI einlesen, bearbeiten und abspeichern.

Unter Windows wird die Tastenkombination [strg] + [alt] + a sein.

Mit [control] + [option] + c bzw. [strg] + [alt] + c startet man die Web-CLI auf der UTM

Es wird dabei der Befehl zum Erstellen eines Benutzerzertifikats, als auch den Befehl zum Anlegen Benutzer selbst ausgegeben.

Voraussetzung dabei ist, dass eine entsprechende CA zuvor erstellt wurde. Die ID der CA wird für das Excel-Dokument benötigt und kann mit folgendem Befehl ganz einfach ermittelt werden:

ssh admin@10.68.0.1 'cert get' |grep "CA:TRUE"

Diese ID merken wir uns und tragen diese gleich in die Konfigurationsseite des Excel Dokuments ein.

Starten wir nun das Excel Dokument und wechseln auf das Blatt „Config“. Dort tragen wir an markierter Stelle die zuvor ermittelte ID der CA ein. Natürlich passen wir die Organisationsdaten auf unsere eigenen Bedürfnisse an.

Anschliessend wechseln wir wieder zum Blatt „Anwender“ und geben jeweils Vorname, Nachname, Mailadresse und Passwort ein. Oben wird auch noch ein zufälliges Passwort angeboten. Diese kann man in die Zwischenablage kopieren, sollte aber beim Einfügen aufpassen das nur die Werte in das Feld eingefügt werden!

In der Spalte „E“ befinden sich nun die CLI Befehle um die drei Beispiel-Zertifikate anzulegen. In der Spalte „F“ sind die Befehle um die Benutzer anzulegen.

Num muss man sich nur als admin auf der SecurePoint UTM mittels SSH anmelden und nacheinander die Befehle hinkopieren und ausführen.
Auf diese Art kann man sehr einfach viele Nutzer anlegen. Leider muss man in der Variante 1.3 meines Excel Dokuments im Anschluss über das Webinterface noch die Nutzerrechte anpassen. Für openVPN z.B. muss man im Benutzer noch das entsprechende Zertifikat zuordnen.
Die „grobe“ Arbeit ist aber erst mal getan und die Nutzer sind beim Abspeichern des Excel Dokuments auch gleich dokumentiert.

Wer mag kann das PRE beim Benutzer- und Zertifikatsnamen noch anpassen oder leer lassen. Dies kann man im Tabellenblatt „Config“ einfach bewerkstelligen.

System

PDF generieren lassen

system config report

Der Report kann dann mittels SCP und root-Zugriff unter /var/www/admin/private abgeholt werden. ( scp root@192.168.2.1:/var/www/admin/private/* Downloads/ ). Siehe auch [klick]

Auslesen eines Wertes einer oder mehrerer Variablen

extc value get

(https://wiki.securepoint.de/Extc_cli_v11)

Firewall

Regeln ausgeben lassen

rule get

 

Regel Gruppen ausgeben lassen

rule group get

 

Regel löschen

rule delete id 20

 

DHCP

Vergebene Leases anzeigen lassen

dhcp lease get

 

NODE

Netzwerkobjekte anzeigen lassen:

node get

 

Netzwerkobjekt anlegen:

node new name "CL-Knut" address "192.168.1.20" zone "internal"

 

Netzwerkobjekt bearbeiten (ID zuvor mit get suchen):

node set id 393 name "CL-Knut" address "192.168.1.21"

 

Netzwerkobjekt löschen (ID zuvor mit get suchen):

node delete id 393

 

Cert

Zertifikate anzeigen lassen:

cert get

 

Zertifikat löschen:

cert delete cert id {CertID}

 

Fehleranalyse

URL zum Wiki: https://wiki.securepoint.de/UTM/Extras/Fehleranalyse

Zuerst auf der UTM als admin anmelden

ssh admin@192.168.175.1

mit dem Passwort insecure

Anschließend folgende Befehle absetzen:

system ssh pubkey new key "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCw70ZfkRAD4/EWSt9pN2agjEnY6eO16+pP+jKhZCtI621D80zeQP3MYCC88HLmojEnGeZg1QO7XWeObpqoHsYnJYT6uoxszkzQCUXuMP1n2pPSMnqb4MBZQauSfk8pDVF/riA5YcTQ7b2oUSuSzHPmURqELdVSv5EFek9HT9TdZf1NhEr2R8Z4gO9tgWVBndbrtgirk0Tyj+k2ctyiyGwkYHIQKRITjW1tmGwrl/TQAj5s2431yN8eL4YNWlCbv7uoS3PlIb3d5qjEZ4WDU4Rxm8MF3L+20emZ55WXDSEGj8qaKATsoN7q9bubrK7aIXQZomei/XchtqCkwMFGG/Fl"
system ssh pubkey enable id 1
extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1
system update system

Anschließend klappt es auch via SSH und dem Nutzer root.

ssh root@192.168.175.1