HOWTO: Downgrade WatchGuard Firecluster ohne Downtime

Testaufbau:

-WatchGuard T35 Member1 (10.0.1.100)
-WatchGuard T35 Member2 (10.0.1.101)
-Virtuelle Cluster-IP (10.0.1.1)

Ziel:

Downgrade eines WatchGuard-Clusters von 12.5.2 auf 12.5 ohne Downtime

Vorgehen: 

  1. Im WSM mit der Member-IP des passiven Knoten (“Backup Master”) verbinden:
  2. Den “Backup Master” über “Tools” -> “Cluster” -> “Leave” temporär auf “Standby” setzen:

    Nachdem der “Leave” ausgeführt wurde, erscheint die WatchGuard als “Standby”:
  3. Downgrade auf “Standby” WatchGuard ausführen:

    “File” -> “Upgrade” -> gewünschte Firmware auswählen (https://software.watchguard.com)

    Warnhinweis mit ja bestätigen (Abfrage des Backups erscheint im Nachhinein):

    Gewünschtes Image auswählen und bestätigen:

    Nach dem Downgrade erscheinte folgende Meldung:

    Warten Sie kurz ab, bis die WatchGuard mit der gewünschten Firmware und als “Standby” wieder angezeigt wird:

    4. Die “Standby”-WatchGuard können Sie jetzt wieder zum Cluster hinzufügen:

    Warten Sie ab, bis die “Standby”-WatchGuard als “Backup Master” angezeigt wird:

    5. Geplanten Failover durchführen.
    WSM mit Cluster-IP verbinden und FSM starten:

    Failover einleiten:

    Die WatchGuard mit der Ziel-Firmware wird jetzt als “Master” angezeigt:

    6. Nun müssen Sie “Leave”, “Restore” und “Join” wie in den Schritten 2-4 beschrieben für die zweite WatchGuard durchführen.

    7. Prüfen Sie den Zustand des Clusters (1x “Master”, 1x “Backup Master”) und den Firmwarestand:

2 Kommentare zu “HOWTO: Downgrade WatchGuard Firecluster ohne Downtime”

  1. MK

    Hallo, ich habe eine Verständnisfrage hierzu:
    – Der Master führt doch normal ein Update auf dem Backup Master aus, ist das bei einem Downgrade nicht der Fall?
    – Von meinem Backup Master kann ich kein Backup machen, die Funktion ist deaktiviert in der Web UI

    1. Johannes Wolfsteiner Post Author

      Hallo MK,
      da die Knoten via “Leave” getrennt werden, ist ein Downgrade manuell auf den einzelnen Boxen auszuführen. Ein automatischer Up-/Downgrade Prozess benötigt auch einen vollständigen Cluster ohne getrennte Member.
      Das Backup sollte immer von der Cluster-IP gezogen werden, nicht von einem einzelnen Device (die Konfiguration an sich ist ja eh gespiegelt). Ein Arbeiten auf den einzelnen Knoten ist eher “Ausnahmezustand”.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>