Spam Quarantine 11.2.1 - User können keine Spams löschen oder weiterleiten

Bei Nutzung der Spam Quarantine in Verbindung mit spamBlocker, einem der UTM Service, kommt es nach dem Update von WSM 11.2 auf WSM 11.2.1 zu folgendem Verhalten: Ein User, der sich über den Link "Go to Quarantine Server" in seiner Benachrichtigungs-E-Mail an der Weboberfläche der Spam Quarantine angemeldet hat, kann dort nichts löschen oder weiterleiten. Die PopUp-Fehlermeldung lautet: "Enter a numeric value for page number".



Das Problem wird im nächsten Release behoben sein. Es handelt sich um einen Bug in zwei Steuerdateien für das Apache Frontend: user_messages.tmpl und webui.mo. Ich habe bereits korrigierte Versionen von USA Support bekommen. Bei kurzfristigem Bedarf bitte ein Support Incident öffnen.

Management IP der passiven Box in einem 11.2.1 Active/Passive HA Cluster nicht erreichbar

In einem Active/Passive HA Cluster unter Fireware XTM v11.x haben beide Firewalls zusätzlich zu der gemeinsamen Traffic IP auch noch jeweils eine eigene Management IP-Adresse. Bei der Einrichtung des Clusters wird gefragt, über welches Interface der Management-Zugriff erfolgen soll. In vielen Fällen wird man das reguläre Trusted Interface wählen, wodurch die Management IP als Secondary IP (z.B. eth1:1) mit auf das Trusted Interface gebunden wird. Die Management IP hat u.a. den Vorteil, dass man nun auch die passive Box in einem Cluster "ansprechen" kann, was vorher nicht ging.

Wenn ein Netzwerk-Monitoring-System im Einsatz ist (z.B. Nagios), wird man daher auch die Management IP Adressen - auch die der passiven Box - überwachen (oder zumindest anpingen) wollen. In einem aktuellen Projekt hat das jedoch nicht funktioniert. Die nähere Untersuchung hat ein Verhalten aufgezeigt, das bei WatchGuard bereits als Bug bekannt ist:
Im passiven Zustand werden alle IP-Adressen von den Interfaces entfernt, bis auf die Management IP (und die Cluster IP auf dem dedizierten HA Interface). Die Subnetzmaske auf dem Interface der Management IP wird jedoch fest auf /24 (255.255.255.0) eingestellt:



- unabhängig davon, welche Subnetzmaske im aktiven Zustand auf diesem Interface eingestellt ist (!):



Zudem enthält die Routing Table der passiven Box kein Default Gateway:



Dies führt dazu, dass die Management IP der passiven Box dem Monitoring-System nicht antworten kann, es sei denn, dass die ersten drei Oktets der IP-Adresse zufälligerweise identisch sind und das Netz größer gleich /24 ist...

Neue Versionen Fireware XTM und WSM 11.2.1 verfügbar

Seit dem 1. März 2010 stehen die neuen Softwareversionen Fireware XTM und WSM 11.2.1 im Download-Portal der WatchGuard-Website zur Verfügung. Mit dieser Version wird nun erstmalig auch Microsoft Windows Server 2008 (32-bit und 64-bit) offiziell als Plattform für die Server Services (Logging, Reporting, Spam Quarantine, WebBlocker Server, Management Server) unterstützt. Es wird jedoch ausdrücklich darauf hingewiesen, dass R2 NICHT unterstützt wird!

Hier die Liste der Resolved Issues in 11.2.1:

• It is no longer possible to save configuration changes to the Firebox or XTM device with the Escape key and the configuration passphrase. [42609]
• Per-policy and global NAT settings now apply correctly to IPSec traffic. [39366]
• This release includes improvements to the Single Sign-on agent software that affected customers with a large number (>1000) of Single Sign-on users. [42406, 42407, 42408]
• WatchGuard System Manager and Firebox System Manager connections no longer fail after you upgrade your device from Fireware v10.2.11 to Fireware XTM v11.x. [41806]
• Ping traffic through a branch office VPN tunnel configured to a Firebox or XTM device configured for multi-WAN is now encrypted correctly. [42617]
• The external IP address of a Firebox X Edge e-Series device is no longer counted as an active IP address in the Outbound Access List. [42581]
• The Firebox X Edge e-Series no longer includes VPN traffic in the results on the Outbound Access List. [42582]
• DHCP relay now works correctly with multiple VLANs. [42288]
• Firebox System Manager no longer fails with the error " Missing data for XPATH /network/wan/failback_status/failback_status" when connected through an active/passive FireCluster configured with multi-WAN. [42334]
• The Management Server now correctly handles Edge configuration templates that have properties with values longer than 1023 characters. [42630]
• The Fireware to Fireware XTM upgrade process now correctly upgrades Mobile VPN resource entries with zero route functionality enabled. [42216]
• This release resolves an issue that caused management connections to fail after several days of device uptime. [40768]

Proxies

• The H.323 ALG no longer drops a call when the call is on hold longer than the timeout setting. [40370]
• The H.323 ALG no longer times out when audio and video content is being sent between Polycom systems. [40377]
• The H.323 ALG no longer fails with kernel panic error (EIP: 0060: [< 380112c6 >]) when dynamic NAT is not used. [40757]
• NetMeeting to NetMeeting connections configured to use the H.323 ALG no longer time out when audio and video content is being sent. [40692]
• Trusted phones configured to use the SIP ALG can now make correctly re-negotiate connections when a call is put on hold several times. [40447]
• The SIP ALG now correctly recognizes the hold signal and maintains audio and video content after a long hold period. [40100]
• The HTTP proxy now supports more possible characters in the customizable deny message. [42566]
• Multi-byte languages are now supported in SMTP notification messages. [38335]
• The SMTP proxy now correctly recognizes multi-byte attachment file names. [39559]
• You can now add user email addresses longer than 32 characters to the Quarantine Server. [42283]

Mobile User with SSL

• The Mobile VPN with SSL client upgrade no longer fails when the client is used with CryptoCard two-factor authentication. [42467]
• The Force users to authenticate after a connection is lost option now works correctly. [42470]
• You can now correctly save changes to the Mobile VPN with SSL Advanced configuration. [42426]

Web UI

• The Firebox X Edge Outbound Access List feature is now available for both wired and wireless devices. [42602]
• The Web UI can now correctly display third-party certificates. [41324]
• The HTTP proxy now includes configuration for Application Blocker in the Web UI. [40331]

WatchGuard Servers

• Symantec Backup Exec backups no longer fail because of an embedded "..\" in the registry keys of the WatchGuard server products. [40010]
• Report Manager now displays the correct counts for "bytes_in" and "bytes_out". [42628]
• Report Manager now correctly displays reports after you upgrade your device from Fireware v10.x to Fireware XTM. [42651]
• On-demand reports generated with the Reporting Web UI now correctly handle the date for non-English locales and generate without error. [42522]
• Report start and end dates that cross a month boundary are now handled correctly in the Reporting Web UI. [42547]
• The Reporting Web UI no longer gives an HTTP 403 error when the WSM Report Server is installed in a non-default location. [42552]
• It is no longer necessary to restart the Report Server and Log Server when you restart the PostgreSQL database. [35063]

Internal Server Error beim Quarantine Server

Nach dem Update auf Version 10.2.12 war die User Spam Quarantäne, die im Rahmen von spamBlocker konfiguriert werden kann, über https nicht mehr ansprechbar. Port 4119 hat zwar noch Verbindungen angenommen, aber immer diese Fehlermeldung ausgegeben:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log.

Das Problem wird von einer veralteten Datei mod_python.so verursacht, die beim Update auf 10.2.12 nicht korrekt erneuert wird.
Lösung: Quarantine Server Dienst anhalten, C:\Programme\WatchGuard\wsm10.2\apache\bin\mod_python.so durch die neuere Version ersetzen (erhältlich im Rahmen eines Support Incidents), Dienst wieder starten...