Release Notes CSG 7.1.22
Collax Security Gateway
11.05.2021
Hinweise zur Installation
Update installieren
Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:
Vorgehen
- Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
- Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
- Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
- Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
- Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.
Neu in dieser Version
Net: IPv6-Unterstützung
Mit diesem Update erhalten Collax Server eine vollständige Unterstützung des Protokolls IPv6. Hierbei kann der Server im Dual-Stack-Modus betreiben werden, das bedeutet, dass der Internetanschluss mit einer externen IPv4- und IPv6-Adresse betrieben werden kann. Als reiner Server kann er für die Erreichbarkeit per IPv6 eingerichtet werden. Als Router kann er die Verbindung zu einem Internet-Provider aufbauen und das Netzwerk mit IPv6-Adressen versorgen. Die Vergabe von IPv6-Adressen erfolgt dynamisch, so dass keine unhandlichen Bezeichner von Hand konfiguriert werden müssen.
Wenn kein Link explizit für IPv6 “eingeschaltet” ist, wird sich das System wie ein reiner IPv4-Server bzw. -Router verhalten. Alle IPv6-Funktionen sind dann ausgeschaltet (auf Kernel-Ebene).
Sämtliche nutzbaren Dienste sind bereits in vorherigen Releases auf die Einbindung in IPv6-Netzwerke vorbereitet worden. Dazu zählen natürlich Infrastruktur-Dienste wie z.B.: LDAP-Benutzerverwaltung, DNS-, E-Mail- und Web-Server, wie auch sämtliche Sharing-Services wie Windows-File-Service und Filter-Systeme wie den Web-Proxy-Filter.
Auf der Administrationsoberfläche hat die IPv6-Unterstützung Auswirkung auf lediglich fünf Formulare. Es gibt ein neues Formular, zwei Formulare haben zusätzliche Optionen, in zwei Formularen wird IPv6 unterstützt, ohne dass es sichtbare Änderungen gibt. Das neue Formular nennt sich “IPv6 Allgemein” und dient der Konfiguration des privaten IPv6-Netzes. Zusätzliche Felder haben die beiden Netzwerk-Formulare Links und Hosts erhalten. Im Formular für Link-Typen, die eine Konfiguration für IPv6 benötigen, ist ein neuer Abschnitt “IPv6” enthalten. Diese Funktion ist standardmäßig ausgeschaltet. Bei den Hosts gibt es die Möglichkeit, eine feste IPv6-Adresse zu hinterlegen. Die beide Formulare Werkzeugkasten und DynDNS unterstützen jetzt auch die Verwendung von IPv6-Adressen.
Add-on Software: Virenscanner-Update
Der Update-Mechanismus und der Status der Virenpattern aller installierter und aktivierter Virenscanner kann über den Menüpunkt “Software - Virenscanner” eingesehen und verwaltet werden. An dieser Stelle wurden einige Korrekturen und Verbesserungen implementiert. Die Anzeige wurde dahingehend ergänzt, dass die zum Einsatz kommenden Virenscanner samt deren Nutzung (Mail, Web oder File) und der Pattern-Versionierung tabellarisch dargestellt werden. Neben den automatischen Pattern-Updates können diese auch manuell aktualisiert werden. Ein Hinweis zur Aktion Viren-Scanner aktualisieren: Wird ein Scanner nicht verwendet, so ist der Button nun ausgegraut. Des Weiteren wurde die Benachrichtigung in der Aktiven Überwachung dahingehend korrigiert, dass unter bestimmten Umständen über veraltete Pattern benachrichtigt wurde, obwohl der Scanner nicht oder nicht mehr in Benutzung war.
Verschiedenes: Verbessertes Dynamisches DNS und IPv6
Dynamisches DNS (DynDNS) dient dazu, Hosts mit dynamischen IP-Adressen über einen festen Namen ansprechen zu können.
Mit diesem Update wird die bisherige Software-Komponente ipcheck durch ddclient ersetzt. Der DynDNS Client ddclient unterstützt neben IPv4 zusätzlich IPv6. Zudem wurde die Anzahl der DynDNS Anbieter um 12 weitere ergänzt. Die Anpassungen für das neue Projekt passieren automatisch während des Update-Prozesses. Ein Eingreifen ist nicht notwendig.
System-Management: Linux Kernel 4.9.266
Mit diesem Update wird der Linux Kernel 4.9.266 installiert.
File: Skriptsprache PHP - 7.4.16
Mit diesem Update wird PHP Version 7.4.16 installiert. Weitere Infos dazu finden Sie in den Release Notes.
Hinweise
E-Mail: Avira AntiVir vor Version 7.1.6
Seitens Avira ist ein automatisches Update der Core-Komponenten von Avira durchgeführt worden. In diesem Zuge ist eine neue Abhängigkeit der Bibliotheken hinzugekommen, die beim nächsten Start des Virenscanners nicht aufgelöst werden kann. Die Folge ist, dass der Virenscanner bei einem Reboot oder einer Konfigurationsänderung nicht neu gestartet wird. Aus Sicherheitsgründen werden dann keine E-Mails mehr zugestellt. Um das Problem zu beheben, aktualisieren Sie Ihren Server bitte auf Version 7.1.6. Hinweis: Solange der Virenscanner nicht neu gestartet wird, arbeitet er im vollen Umfang.
Erfahrene Collax-Administratoren können auch über die Konsole als root das Problem beheben: wget -O /etc/perp/savapisd/rc.main https://download.collax.com/files/rc.main
E-Mail: Mailabholung mit SSL und Server-Zertifikat validieren
Die Komponente zur Mail-Abholung (fetchmail) wurde mit dem Release 7.1.20 aktualisiert. Für die Abholung von E-Mails bei externen E-Mail-Providern kann die Verschlüsselungsmethode SSL/TLS eingesetzt werden. Bei der SSL-verschlüsselten Abholung werden abgelaufene und Self-Signed-Zertifikate des Servers akzeptiert. Ist dies nicht gewünscht, kann mit diesem Release die Option gesetzt werden, Server-Zertifikate validieren.
Wichtig: Es wird empfohlen die Einstellung “Server-Zertifikat validieren” zu aktivieren und zu testen. In der Vergangenheit war es üblich, bei der verschlüsselten Abholung auch abgelaufene und Self-Signed-Zertifikate zu akzeptieren. Dies sollte inzwischen nicht mehr notwendig sein und vermieden werden.
E-Mail: Geändertes Ruleset Format des Spam-Filters SpamAssassin
Beachten Sie: Am 1. März stellt das Projekt SpamAssassin das Format der Ruleset-Updates um. Ab dem Datum erhalten nur noch Systeme Aktualisierungen, die das Update 7.1.10 eingespielt haben.
VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab
VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.
Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.