Trade-Up / Migration von X Core e-series X550e, X750e, X1250e auf XTM 5
Viele Kunden steigen derzeit von einer WatchGuard X Core e-series X550e, X750e, X1250e auf ein entsprechendes Nachfolge-Modell XTM 505, XTM 510, XTM 520 und XTM 530 um (respektive von X Peak e-series auf XTM8). Fast immer taucht die Frage auf, ob die bestehende Konfiguration des “alten” Geräts auf das “neue” Gerät übertragen werden kann. Ja, sie kann. Es gilt aber ein paar kleine Hürden zu überwinden.
Zunächst muss natürlich die neue Box über die WatchGuard Website registriert und der neue Feature Key (Lizenzdatei) heruntergeladen werden. Auf dem Konfigurations-PC/Notebook haben Sie den aktuellen WSM 11.4.2 und die entsprechende Fireware XTM 11.4.2 für Ihre Geräte-Familie installiert, und auch das Adobe Flash Plugin für Ihren Browser ist vorhanden. Über https://10.0.1.1:8080 melden Sie sich mit dem User “admin” und dem Factory Default Kennwort “readwrite” an. Sie klicken den Setup Wizard mit den Default-Werten durch, importieren dabei auch den Feature Key und vergeben am Schluss Ihre eigenen Firewall-Kennwörter. Nach der erneuten Anmeldung mit Ihrem eigenen “admin”-Kennwort installieren Sie über System > Upgrade OS die neueste Fireware XTM 11.4.2 auf der Box, die daraufhin einmal durchbooten wird. Auf Ihrem Konfigurations-PC/Notebook starten Sie dann den WSM 11.4.2 und machen ein “Connect to Device” zu Ihrer neuen XTM-Box. Anschließend öffnen Sie den Policy Manager, der Ihnen die praktisch “leere” XML-Konfigurationsdatei der neuen XTM-Box anzeigt.
So weit, so gut. Erst jetzt wird es interessant:
Im Policy Manager laden Sie über File > Open > Configuration File die letzte XML-Konfigurationsdatei Ihrer “alten” WatchGuard. Auf die Frage “Do you want to save this new configuration to a file?” antworten Sie mit NEIN.
Sie sehen daraufhin die Konfigurationsdatei Ihrer “alten” WatchGuard. Falls Sie bisher eine X750e/X1250e im Einsatz hatten, bei der das Interface ganz rechts außen (eth7) im Einsatz war, sollten Sie sich die Network > Configuration Einstellungen für dieses Interface auf Papier notieren und prüfen, ob das Interface irgendwo namentlich in Firewall-Regel(n) auftaucht und auch diese entsprechend dokumentieren! Über Setup > System > Model wählen Sie Ihr neues Hardware-Modell aus. Es folgt eine Warnmeldung, die auf die veränderte Anzahl der Ethernet-Schnittstellen hinweist (eine XTM5 hat jetzt 7 Interfaces, eine alte X550e hatte 4, eine X750e/X1250e 8 Interfaces). Anschließend müssen Sie noch bei Setup > Feature Keys den Feature Key der alten Box removen und den Feature Key der neuen Box importieren. Beachten Sie bitte, dass im Policy Manager ganz unten rechts noch der Hinweis steht, dass es sich um eine Konfigurationsdatei des Typs “Fireware XTM v11.0-v11.3.x” handelt:
Auch bis hierhin alles planmäßig.
Anschließend starten Sie ein “Save to Firebox”. Die eventuelle Warnmeldung “The specified IP address does not match any of the interfaces specified in this config file. Are you sure you want to save to this Firebox?” (…ist klar, weil Ihre alte Konfigurationsdatei höchstwahrscheinlich eben nicht die 10.0.1.1 für eth1 enthält…) bestätigen Sie mit JA.
und erhalten dann eine zweite Warnmeldung: “The configuration file must be upgraded before it can be saved to the v11.4.2 device. Would you like to upgrade the configuration now?”. Auch die bestätigen Sie mit JA.
Anschließend folgt überraschend: “Error communicating with Firebox [IP]. INTERNAL_ERROR: The configuration is invalid, missing application action object”, die Sie nur mit OK bestätigen können.
=> Brechen Sie den Vorgang dann mit CANCEL ab und schließen Sie den Policy Manager.
Öffnen Sie den Policy Manager erneut, und öffnen Sie über File > Open > Configuration File die NEUESTE Version der Konfigurationsdatei, die im Zuge des vorigen “Save to Firebox” gespeichert wurde (ist nur wenige Minuten alt…). Bestätigen/ignorieren Sie die weiter oben bereits beschriebenen Warnmeldungen und starten Sie dann erneut den Vorgang “Save to Firebox”. Beachten Sie in diesem Zusammenhang, dass nun im Policy Manager ganz unten rechts für die Konfigurationsdatei der Typ “Fireware XTM v11.4.2” angezeigt wird:
=> Jetzt – beim zweiten Mal – sollte das Hochladen der Konfigurationsdatei funktionieren:
Danach sollten Sie die neue Box dann auch über die “alten” TCP/IP-Einstellungen auf den entsprechenden Interfaces ansprechen können! [Hinweis: die Firewall-Kennwörter sind nicht Bestandteil der Konfigurationsdatei, sondern hardwarespezifisch! D.h. die neue Firebox hat nicht automatisch die Kennwörter der alten Firebox, sondern die, die Sie ihr über den Setup Wizard verpasst haben!]
Super.
Das hat mir ein paar Stunden Arbeit erspart!!!!
Hervorragend. Hat bei uns sofort funktioniert.
Danke!
Also worked for me, thanks!
Funktioniert die Vorgehensweise genauso, wenn ich einen Active/Passive Cluster konfiguriert habe? Oder muss ich den Cluster zuerst auflösen.
Vielen Dank. Hat super funktioniert.
Dieser Artikel gilt nur beim Umstieg auf eine Fireware XTM v11.4.x! Die neuere Version Fireware XTM v11.5.1 ermöglicht den Umstieg *OHNE* das hier beschriebene Vorgehen. Ein hiermit verwandtes Problem ist beim Umstieg eines WLAN-Modells auf ein Nicht-WLAN-Modell festzustellen: die vorherigen WLAN-Interfaces und WLAN-Einstellungen werden nicht sauber entfernt. Dies muss dann händisch in der XML-Datei geschehen…
Bei der Migration eines Clusters würde ich zunächst in der alten Konfigurationsdatei die Cluster-Einstellungen entfernen, dann mit dieser alten Datei zunächst nur auf *EINE* neue Box umsteigen – und erst wenn dieser Umstieg erfolgreich abgeschlossen ist – zum Schluss auf Basis des "Firecluster-Wizards" den zweiten, neuen Clusterknoten hinzufügen.
Danke – Großartig!
Funktionierte von einer X20e-W 11.3.5 auf eine XTM22-W 11.4.2. Der direkte Weg allerdings auf die 11.5.1 hat garnicht funktioniert.
Tolle Arbeit !
Die Migration hat super funktioniert und hat meir eine Menge Zeit und Ärger erspart.
Vielen Dank für den tollen Blog.
Hat prima geklappt, allerdings ist das mit der neuen WSM 11.6 auch kein Problem mehr. Trotzdem danke für diese Anleitung.
Thank You!
Ich habe eine x550e mit 11.3. auf eine XTM515 11.6.1 migriert. Das lief ohne Fehler völlig problemlos.
Danke für die Infos!
Nach nun drei Jahren will ich heute unsere Firebox x750e durch eine XTM530 ersetzen. Habe die hier beschriebene Vorgehensweise durchgeführt. Allerdings erhalte ich nach dem Upgrade auf das neue OS (11.6.1) beim verbinden mit dem WSM die Fehlermeldung:"wsm was unable to connect to the device. the following error has occurred access denied by firebox". Seltsamerweise kann ich mich mit dem "Status" Login anmelden, jedoch nicht als "admin". Über das WebUI funktioniert der Login als "admin" einwandfrei!
Für Infos und Anregungen danke ich im Voraus.
Am WSM melden Sie sich zunächst auch nur als User "status" mit dem lesenden Kennwort an. Der User "admin" tritt beim WSM nur dann in Erscheinung, wenn schreibende Änderungen durchgeführt werden sollen. Das war aber schon immer so gewesen… 🙂 LG Bernd
Zunächst vielen vielen Dank für die schnelle Antwort. D.h. ich kann den darauffolgenden Import/Migration meiner "alten" XML-Konfiguration in die XTM5 auch als "Status" User durchführen?
Nach dem Import der alten Konfig werden Sie beim Ausführen von "Save to Firebox" nach dem schreibenden Kennwort gefragt… Es gibt dann noch die eine oder andere Warnmeldung (Anzahl der Interfaces, Transformieren nach Version 11.6.x), die Sie aber alle mit OK bestätigen können.
Der Modellwechsel wird insbesondere durch den Austausch des Feature Key vorgenommen… Viel Erfolg!
Nun, das hat wunderbar funktioniert. Nochmals vielen Dank für Ihre äußerst hilfreiche und vor allem schnelle Unterstützung.
Frohe Feiertage und beste Wünsche für das neue Jahr.
LG,
Hatem
Dieser Artikel hat mir die entscheidenden Hinweise geliefert für den Umbau von einer Peak X5500 auf die neue XTM2520 (wegen den Interfaces konnte ich im ersten Moment die "alte" Konfig nicht einlesen). Vielen Dank dafür!
Gruss
Jochen