HOWTO: Downgrade WatchGuard Firecluster ohne Downtime

2 Comments

Testaufbau:

-WatchGuard T35 Member1 (10.0.1.100)
-WatchGuard T35 Member2 (10.0.1.101)
-Virtuelle Cluster-IP (10.0.1.1)

Ziel:

Downgrade eines WatchGuard-Clusters von 12.5.2 auf 12.5 ohne Downtime

Vorgehen: 

  1. Im WSM mit der Member-IP des passiven Knoten (“Backup Master”) verbinden:
  2. Den “Backup Master” über “Tools” -> “Cluster” -> “Leave” temporär auf “Standby” setzen:

    Nachdem der “Leave” ausgeführt wurde, erscheint die WatchGuard als “Standby”:
  3. Downgrade auf “Standby” WatchGuard ausführen:

    “File” -> “Upgrade” -> gewünschte Firmware auswählen (https://software.watchguard.com)

    Warnhinweis mit ja bestätigen (Abfrage des Backups erscheint im Nachhinein):

    Gewünschtes Image auswählen und bestätigen:

    Nach dem Downgrade erscheinte folgende Meldung:

    Warten Sie kurz ab, bis die WatchGuard mit der gewünschten Firmware und als “Standby” wieder angezeigt wird:

    4. Die “Standby”-WatchGuard können Sie jetzt wieder zum Cluster hinzufügen:

    Warten Sie ab, bis die “Standby”-WatchGuard als “Backup Master” angezeigt wird:

    5. Geplanten Failover durchführen.
    WSM mit Cluster-IP verbinden und FSM starten:

    Failover einleiten:

    Die WatchGuard mit der Ziel-Firmware wird jetzt als “Master” angezeigt:

    6. Nun müssen Sie “Leave”, “Restore” und “Join” wie in den Schritten 2-4 beschrieben für die zweite WatchGuard durchführen.

    7. Prüfen Sie den Zustand des Clusters (1x “Master”, 1x “Backup Master”) und den Firmwarestand:

2 Kommentare zu “HOWTO: Downgrade WatchGuard Firecluster ohne Downtime”

  1. MK

    Hallo, ich habe eine Verständnisfrage hierzu:
    – Der Master führt doch normal ein Update auf dem Backup Master aus, ist das bei einem Downgrade nicht der Fall?
    – Von meinem Backup Master kann ich kein Backup machen, die Funktion ist deaktiviert in der Web UI

    Reply »
    1. Johannes Wolfsteiner Post Author

      Hallo MK,
      da die Knoten via “Leave” getrennt werden, ist ein Downgrade manuell auf den einzelnen Boxen auszuführen. Ein automatischer Up-/Downgrade Prozess benötigt auch einen vollständigen Cluster ohne getrennte Member.
      Das Backup sollte immer von der Cluster-IP gezogen werden, nicht von einem einzelnen Device (die Konfiguration an sich ist ja eh gespiegelt). Ein Arbeiten auf den einzelnen Knoten ist eher “Ausnahmezustand”.

      Reply »

Leave a Reply

Your email address will not be published. Required fields are marked *