Folgende Änderungen im Installationsverhalten ist mir aufgefallen: Beim Aufruf des Installers fireware10_2_8.exe kommt nicht mehr die verwirrende Meldung "Do you want to completely remove the selected application and all of its features?", sondern zu der schon existierenden Version 10.2.x wird zusätzlich die Fireware 10.2.8 installiert. Zur Vermeidung von Fehlern empfehle ich nun, als ersten Schritt über Systemsteuerung > Software die bisherige Version Fireware 10.2.x zu deinstallieren - und anschließend den Installer fireware10_2_8.exe aufzurufen.
Weiterhin stehen im Download-Bereich neue Versionen für den IPSec Mobile User VPN-Client, den SSL-VPN-Client sowie für den Single Sign On (SSO) Client und Agent (Gateway).
Dienstag, 31. März 2009
Donnerstag, 26. März 2009
Version 10.2.8 steht unmittelbar bevor
Die Release Notes liegen schon vor. Die Build-Nummer der Fireware 10.2.8 wird B215550 lauten. Hier die dieses Mal ganz besonders lange Liste der Resolved Issues. Ganz dringend erwartet wird sicher der allererste Bugfix auf der Liste (Upper Port Fix). Mit vielen anderen Punkten hatte ich aber in der Praxis gar keine Berührung. Fireware und WSM 10.2.8 sollen noch im Laufe dieser Woche, spätestens aber bis zum 31.03.2009 im Download-Bereich der WatchGuard Website bereitgestellt werden. Für die Installation ist eine aktive Live Security Lizenz erforderlich:
General
General
- This release resolves several stability issues on Firebox devices that have the upper 4 ports in use. [27896] [29899] [30057] [30093]
- You can now connect to a Firebox with WSM or Firebox System Manager more reliably after running a high load on the Firebox for several days. [35309]
- The time it takes to save a configuration is reduced as much as 60% when there are many policies. [27791]
- The Firebox can continue to operate even when IPS is using 100% of the CPU. [31361]
- Support files are now correctly rotated so they do not take up so much storage space. [33551]
- This release fixes an instability issue with PPPoE. [29212]
- The Firebox no longer stops getting OSPF routing table information from neighboring networks. [27202]
- The IKED process no longer becomes non-responsive when two users log in with the same name and same IP address. [33067] [33361]
- The MIA process no longer crashes during a configuration save when multiple mobile VPN users are logged in. [33617]
- Users now can use Mobile VPN (SSL, PPTP, and IPSec) with a dynamically addressed external interface without using DynDNS. [32707] [32715] [32716]
- You can now use a space in user names configured on the Firebox. [33687]
- Server Load Balancing now detects the revival of a dead server within 30 seconds instead of 10 minutes.
- The traffic load gauge on Traffic Monitor no longer incorrectly shows 100% even when the load is low on Firebox X Peak e-Series devices. [27950]
- The Firebox System Manager Traffic Monitor function "highlight search results" is now case insensitive. [33318]
- The sender address is now shown in Log Server alarm/notification emails. [31489]
- The Report Server can now generate POP3 reports. [32974]
- Devices are now correctly marked as connected when you use multiple Log Servers. [31524]
- The spamBlocker report no longer incorrectly reports 100% bulk mail. [28562]
- The SSO login information on the Authentication List now refreshes immediately. [31856]
- The SSO agent no longer crashes with Windows Event message: EventType clr20r3. [32775]
- The SSO client now returns the correct domain name.
- The SSO client and agent now handle both AD domain name information and NetBIOS domain name information correctly.
- The SSO client and agent now respond correctly to unexpected disconnections that occur within 10 seconds.
- HA monitoring on external fiber interface now works correctly. [32967]
- When you enable HA, it no longer causes a branch office VPN rekey to occur approximately every two minutes. [33402]
- HA failover now occurs immediately when a critical process fails. [33823]
- The SSLVPN daemon no longer fails when you enter an empty password or a very long password. [31894] [35183]
- The Mobile VPN with SSL Mac OS X client now shows the Bound IP Address and Gateway Connected IP Address correctly. [34561]
- The Mobile VPN with SSL Mac OS X client now removes the search domain and DNS information when it is disconnected or you exit. [34564]
- The Mobile VPN with SSL Mac OS X client now shows both WINS addresses. [34560] [23635]
- The Mobile VPN with SSL Mac OS X client now sets the default log level to low. [34563]
- Routes of available networks are now correctly added when you install the Mobile VPN with SSL client software on a computer running Windows Vista. [34558]
Freitag, 20. März 2009
X Edge running from a backup copy of firmware
Heute kam eine WatchGuard Firebox X Edge von einem Kunden zurück mit folgender Fehlerbeschreibung: Zurücksetzen auf Factory Default führt zu kurzzeitiger Erreichbarkeit (ping) unter 192.168.111.1, jedoch kein Zugriff über https. Nach einem regulären Neustart überhaupt keine Reaktion.
Nach einem erneuten Rücksetzen auf Factory Default reagiert die Box auf http (nicht https!). Es erscheint folgende Fehlermeldung: "Your WatchGuard Firebox Edge is running from a backup copy of firmware. Your unit can be restored by sending the required files using FTP. Status of firmware: SYSA partition is valid. Serial Number is [xxx]. Reset button IS pressed. SYSB version 8.0."
Im vorliegenden Zustand läuft die X Edge in einem Mini-Betriebssystem, das in der Partition SYSB fest hinterlegt ist. Das eigentliche Betriebssystem, das in SYSA liegen sollte, ist entweder beschädigt oder gar nicht vorhanden. Eine Reparatur kann auf zwei Wegen erfolgen:
1. Mit Hilfe der aktuellen EXE-Datei edge_10_2_7.exe aus dem Software Download Bereich: X Edge wieder auf Factory Default setzen (beim Einschalten den Reset-Knopf mindestens 45 Sekunden lang gedrückt halten) und die o.g. EXE-Datei von einem Windows 2000/XP/2003-PC (nicht Vista!) aus starten. Der PC muss für TCP/IP so konfiguriert sein, dass er die Default-IP der X Edge (192.168.111.1) erreicht. Sofern der Wizard erfolgreich durchläuft, kann die X Edge anschließend wieder wie üblich neu eingerichtet werden.
2. Mit Hilfe der ZIP-Datei: ZIP-Datei auf einem PC auspacken, so dass auf die darin enthaltene Datei yakfw.sysa-dl zugegriffen werden kann. Firebox X Edge auf Factory Default setzen. Sicherstellen, dass der PC die IP 192.168.111.1 erreichen kann. MS-DOS-Eingabeaufforderung (cmd) öffnen und in das Unterverzeichnis wechseln, in dem die Datei yakfw.sysa-dl liegt:
ftp 192.168.111.1 (User=admin, Passwort=admin)
bin (Umschalten in den Binary Mode)
put yakfw.sysa-dl
X Edge booten lassen. Anschließend sollte die Box wieder wie üblich neu eingerichtet werden können.
Nach einem erneuten Rücksetzen auf Factory Default reagiert die Box auf http (nicht https!). Es erscheint folgende Fehlermeldung: "Your WatchGuard Firebox Edge is running from a backup copy of firmware. Your unit can be restored by sending the required files using FTP. Status of firmware: SYSA partition is valid. Serial Number is [xxx]. Reset button IS pressed. SYSB version 8.0."
Im vorliegenden Zustand läuft die X Edge in einem Mini-Betriebssystem, das in der Partition SYSB fest hinterlegt ist. Das eigentliche Betriebssystem, das in SYSA liegen sollte, ist entweder beschädigt oder gar nicht vorhanden. Eine Reparatur kann auf zwei Wegen erfolgen:
1. Mit Hilfe der aktuellen EXE-Datei edge_10_2_7.exe aus dem Software Download Bereich: X Edge wieder auf Factory Default setzen (beim Einschalten den Reset-Knopf mindestens 45 Sekunden lang gedrückt halten) und die o.g. EXE-Datei von einem Windows 2000/XP/2003-PC (nicht Vista!) aus starten. Der PC muss für TCP/IP so konfiguriert sein, dass er die Default-IP der X Edge (192.168.111.1) erreicht. Sofern der Wizard erfolgreich durchläuft, kann die X Edge anschließend wieder wie üblich neu eingerichtet werden.
2. Mit Hilfe der ZIP-Datei: ZIP-Datei auf einem PC auspacken, so dass auf die darin enthaltene Datei yakfw.sysa-dl zugegriffen werden kann. Firebox X Edge auf Factory Default setzen. Sicherstellen, dass der PC die IP 192.168.111.1 erreichen kann. MS-DOS-Eingabeaufforderung (cmd) öffnen und in das Unterverzeichnis wechseln, in dem die Datei yakfw.sysa-dl liegt:
ftp 192.168.111.1 (User=admin, Passwort=admin)
bin (Umschalten in den Binary Mode)
put yakfw.sysa-dl
X Edge booten lassen. Anschließend sollte die Box wieder wie üblich neu eingerichtet werden können.
Montag, 16. März 2009
Keine Umlaute und Sonderzeichen in der Konfiguration!
Nach fast 3 Wochen Abstinenz nun mal wieder ein kleines Lebenszeichen. Aus gegebenem Anlass nur ein kurzer Hinweis auf ein eigentlich bekanntes Known Issue:
Verwenden Sie im Zusammenhang mit WatchGuard-Konfigurationen, Kennwörtern, Pre-Shared Keys usw. ausschließlich druckbare Zeichen des US-ASCII Zeichensatzes (ASCII-7) - vgl. http://de.wikipedia.org/wiki/ASCII.
Die Verwendung anderer Zeichen, z.B. deutsche Umlaute (ä,ö,ü,ß) und höherbittige Sonderzeichen, kann zu nicht vorhersagbarem Verhalten der WatchGuard Firebox führen! Ich selbst gehe sogar noch einen Schritt weiter: insbesondere bei den Firewall-Kennwörten und Pre-Shared Keys beschränke ich mich auf die Buchstaben A-Z, a-z und die Ziffern 0-9 - und verzichte entgegen dem Komplexitätsgedanken instinktiv auf Sonderzeichen.
Ich habe neulich die Migration eines Clusters aus zwei Firebox X5500e von der Fireware 9.1 auf die aktuelle Fireware 10.2.7 durchgeführt. Die ursprüngliche Einrichtung wurde von einem anderen Dienstleister vorgenommen, der in den Firewall-Kennwörtern (Status Passphrase und Configuration Passphrase) jeweils ein $ (Dollarzeichen) verwendet hatte, was auch bei der Fireware 9.1 offenbar funktioniert hat. Nach dem Software-Update auf 10.2.7 liefen die Boxen jedoch instabil und konnten vom WSM auch nach kurzer Laufzeit nicht mehr angesprochen werden. Das Rücksetzen auf Factory Default habe ich dann nicht mit dem normalen "Quick Setup Wizard" (Windows-Applikation), sondern über den "Web Quick Setup Wizard" im Safe Mode vorgenommen. Der Web Quick Setup Wizard hat dann übrigens auch die Verwendung des Dollarzeichens in den Passphrases abgelehnt, der normale Quick Setup Wizard hingegen akzeptiert Dollars :-) Ohne Sonderzeichen in den Kennwörten liefen die Boxen dann auch mit unveränderter Konfiguration wieder klaglos...
Verwenden Sie im Zusammenhang mit WatchGuard-Konfigurationen, Kennwörtern, Pre-Shared Keys usw. ausschließlich druckbare Zeichen des US-ASCII Zeichensatzes (ASCII-7) - vgl. http://de.wikipedia.org/wiki/ASCII.
Die Verwendung anderer Zeichen, z.B. deutsche Umlaute (ä,ö,ü,ß) und höherbittige Sonderzeichen, kann zu nicht vorhersagbarem Verhalten der WatchGuard Firebox führen! Ich selbst gehe sogar noch einen Schritt weiter: insbesondere bei den Firewall-Kennwörten und Pre-Shared Keys beschränke ich mich auf die Buchstaben A-Z, a-z und die Ziffern 0-9 - und verzichte entgegen dem Komplexitätsgedanken instinktiv auf Sonderzeichen.
Ich habe neulich die Migration eines Clusters aus zwei Firebox X5500e von der Fireware 9.1 auf die aktuelle Fireware 10.2.7 durchgeführt. Die ursprüngliche Einrichtung wurde von einem anderen Dienstleister vorgenommen, der in den Firewall-Kennwörtern (Status Passphrase und Configuration Passphrase) jeweils ein $ (Dollarzeichen) verwendet hatte, was auch bei der Fireware 9.1 offenbar funktioniert hat. Nach dem Software-Update auf 10.2.7 liefen die Boxen jedoch instabil und konnten vom WSM auch nach kurzer Laufzeit nicht mehr angesprochen werden. Das Rücksetzen auf Factory Default habe ich dann nicht mit dem normalen "Quick Setup Wizard" (Windows-Applikation), sondern über den "Web Quick Setup Wizard" im Safe Mode vorgenommen. Der Web Quick Setup Wizard hat dann übrigens auch die Verwendung des Dollarzeichens in den Passphrases abgelehnt, der normale Quick Setup Wizard hingegen akzeptiert Dollars :-) Ohne Sonderzeichen in den Kennwörten liefen die Boxen dann auch mit unveränderter Konfiguration wieder klaglos...
Abonnieren
Posts (Atom)
Dipl.-Ing. Bernd Och
Posts
