Montag, 10. Oktober 2011

X Core und X Peak e-series nicht direkt von v10.x auf v11.3.3 oder v11.3.4 updaten!

Mit diesem Blog-Beitrag hatte ich bereits auf das Problem eines möglichen Verlusts der Konfiguration beim direkten Umstieg von Fireware v10.x auf Fireware XTM v11.3.3 und v11.3.4 hingewiesen. Der Hinweistext "Note: If you are upgrading from Fireware XTM OS v10.x, you must upgrade to Fireware XTM OS v11.3.2 before you upgrade to v11.3.4" im Software-Portal bestätigt nun also dieses Problem. Wenn Sie also auf einer X Core e-series (X550e, X750e, X1250e) oder einer X Peak e-series (X5500e, X6500e, X8500e, X8500e-F) die Migration von v10 auf v11 vorhaben, sollten Sie tunlichst den Zwischenschritt auf v11.3.2 mit in Ihren Upgrade-Pfad einbauen!
Von um 22:55 1 Kommentare
Labels: , , , , , , ,

Donnerstag, 15. September 2011

WSMMGR Lizenznummer derzeit nur per Support Incident

Auch mehr als zwei Monate nach dem Umbau der WatchGuard-Webseite gibt es noch keine Möglichkeit, die Lizenznummer für den "WatchGuard System Manager" (bzw. besser gesagt: die "Management Server" Komponente, vgl. auch http://de.watchguard-blog.com/2011/08/watchguard-system-manager-vs-watchguard.html) selbständig aus seinem LiveSecurity Account auzulesen wie das bis Anfang Juli möglich war.
Wer aktuell seine VPNMGR, WSMMGR und/oder WSMUPGRADE Lizenznummer(n) braucht und nicht bereits irgendwo dokumentiert hat, muss leider bei WatchGuard einen Support Incident aufmachen (per Web oder telefonisch) - und sich die entsprechenden Lizenznummer(n) von den WatchGuard-Kollegen händisch auslesen und übermitteln lassen...
Von um 21:55 0 Kommentare
Labels: , , , ,

Secondary IP nicht auf VLANs

Ich musste aktuell in einem Projekt feststellen, dass Secondary IPs nur auf physikalischen Interfaces konfiguriert werden können, nicht aber auf VLANs. Ich konfiguriere Secondary IPs z.B. sehr gerne auf External Interfaces, um damit mehrere (oder alle) vom Provider zugewiesenen externen IP-Adressen auf einem externem Interface verfügbar zu machen, so dass diese für eingehenden Datenverkehr als Basis für einen SNAT-Eintrag (Statisches NAT oder Server Load Balancing) verwendet werden können.
In dem angesprochenen Projekt musste das neu hinzu kommende externe Interface aber auf einem VLAN-Interface konfiguriert werden. Hier konnte ich die weiteren IPs nur auf dem Weg über 1-to-1-NAT Einträge nachträglich verfügbar machen, was aber natürlich deutlich weniger flexibel ist wie die typischen SNAT-Einträge, die z.B. nur einen bestimmten Port einer IP-Adresse zu einem bestimmten internen Server weiterleiten...
Von um 21:43 0 Kommentare
Labels: , , , , , , , , , ,

Maximal vier physikalische External Interfaces

Aus früheren Zeiten hat auch die aktuelleste Fireware XTM 11.4.2 noch die Beschränkung, dass maximal vier physikalische Interfaces konfiguriert werden können. Wenn aber doch einmal MEHR als vier externe Interfaces konfiguriert werden sollen, bleibt noch der Weg über VLANs. Hierbei wird z.B. ein physikalisches Interface der WatchGuard als VLAN-Interface eingerichtet - und die ganzen externen Anschlüsse dann eben als Tagged VLAN mit unterschiedlichen VLAN-IDs. Zwischen der WatchGuard und den externen Leitungen sitzt dann ein VLAN-fähiger Switch, auf dem die gleichen VLAN-IDs konfiguriert sind. Die verschiedenen ISP-Router sind dann jeweils an einem Untagged Port angeschlossen, der dem passenden VLAN zugeordnet ist. Der Switch-Port, an dem die WatchGuard angeschlossen wird, muss als Trunk Port eingerichtet werden (Tagged).

Auf diese Weise kann man natürlich auch physikalische Ports auf der WatchGuard einsparen, wenn es in komplexen Umgebungen einmal eng wird. Statt z.B. mehrere Trusted oder Optional Networks direkt als physikalische Interfaces auf der WatchGuard einzurichten, können diese auch als VLANs auf einem VLAN-Switch abgebildet werden, der nur über ein einzelnes Kabel an der WatchGuard angeschlossen ist...
Von um 21:28 0 Kommentare
Labels: , , , , , , , ,

WebBlocker Download wieder langsam

Ich musste heute wieder einmal feststellen, dass der Download der WebBlocker Datenbank furchtbar langsam und abgehackt ist (zumindest von Deutschland aus dem Telekom-Backbone...). Ich verweise einfach mal auf ein früheres Posting, das schon damals die Lösung/Workaround beschrieben hat: http://de.watchguard-blog.com/2008/11/webblocker-download-und-update-langsam.html.
Von um 21:22 0 Kommentare
Labels:

Montag, 15. August 2011

Probleme mit PPTP-VPN

In der letzten Zeit stolpere ich häufiger über Probleme mit Mobile User VPN über PPTP, die nach einiger Zeit im laufenden Betrieb oder nach einer Hardware-Migration auftreten. Die WatchGuard verweigert einfach die PPTP-Einwahl, obwohl sich an der Konfiguration, Benutzername, Kennwort und Client-Einstellungen nichts geändert hat. Wenn auch ein Reboot der WatchGuard nicht weiter hilft, hat sich folgender Trick bewährt:
  • Aktuelle Konfigurationsdatei (XML) unter einem anderen Namen sichern.
  • VPN > Mobile VPN > PPTP... komplett deaktivieren (Häkchen entfernen).
  • Eventuelle Firewall-Regeln löschen, die auf Basis der Gruppe "PPTP-Users" geschrieben waren.
  • "Save to Firebox"
  • File > Open > Configuration File (die zuvor auf die Seite gelegte Version öffnen)
  • "Save to Firebox"
Nun sollte die VPN-Einwahl per PPTP wieder funktionieren. Eine Erklärung dafür habe ich nicht.
Von um 21:19 2 Kommentare
Labels: , , , , , , , , , , , , , ,

Transfer of Ownership geht noch nicht...

Es kommt ja immer mal wieder vor, dass eine WatchGuard von einem Live Security Account zu einem anderen Account "verschoben" werden muss ("Transfer of Ownership"). Seit der Umstellung des WatchGuard Portals steht diese Funktion temporär nicht zur Verfügung. WatchGuard arbeitet daran. Derzeit bekommt man auf einen entsprechenden Customer Care Incident die Antwort, dass dies später erledigt wird und man eine entsprechende Mitteilung erhalten wird.
Von um 21:15 0 Kommentare
Labels: ,
Abonnieren Posts (Atom)