HOWTO: WatchGuard Firebox Migration nach Trade-Up

1 Comment

In diesem Artikel geht es um die Migration einer alten WatchGuard Firebox auf eine neue WatchGuard Firebox (bspw. nach einem Trade-Up).Weitere Informationen zu der WatchGuard Trade-Up Promotion mit den je nach Modell empfohlenen Trade-Ups finden Sie unter >> WatchGuard Trade-Up Promotion.

Die Migration eines alten FireClusters auf ein neues FireCluster haben wir in dem Artikel >> HOWTO: WatchGuard Firebox Migration bei FireCluster beschrieben.

Lizenz aktivieren

Zunächst führen Sie den Trade-Up oder die Aktivierung auf der WatchGuard Webseite durch.
Sichern Sie vorab auch den Feature Key der auszutauschenden Boxen, da nach einem Trade-Up die Boxen in Ihrer Übersicht auf der WatchGuard Webseite nicht mehr aufgeführt werden.
Ihre Firebox läuft dennoch bis zum Ende des Feature Keys problemlos weiter.

Speichern Sie den Feature Key lokal ab und installieren Sie die aktuelle Version des WSM (https://software.watchguard.com).

Checkliste

Bei dem Tausch Ihrer WatchGuard Firebox berücksichtigen Sie bitte folgende Punkte:

  • SSLVPN
    Hier wird ggf. ein neuer WatchGuard Mobile SSLVPN Client benötigt. Bei OpenVPN muss die client.ovpn neu ausgerollt werden. Auch bei Mobiltelefonen und Tablets muss das Zertifikat oder die client.ovpn getauscht werden..
  • IKEv2 VPN
    Das Zertifikat muss hier ebenfalls neu ausgerollt werden.
  • Webserver Zertifikat
    Falls Sie ein eigenes Zertifikat nutzen, muss dies wieder importiert werden.
  • SMTP-TLS
    Hier muss das eigene Zertifikat ebenfalls wieder importiert werden.
  • HTTPS Deep Inspection
    Entweder muss das Zertifikat Ihrer neuen Firebox bei den Clients ausgerollt oder das eigene CA Zertifikat importiert werden.
  • WatchGuard Access Portal
    Bei konfiguriertem Background und Icons müssen diese neu hochgeladen werden. Bei aktivem SAML muss das Zertifikat bei den SAML Ressourcen ausgetauscht werden.
  • Gateway Wireless Controller
    Sofern der TrustStore aktiv ist, müssen die APs neu getrustet werden. Bei einem Voucher-System (Hotspot) verlieren ausgestellte Tickets ihre Gültigkeit. Neue Tickets müssen erstellt und verteilt werden. Der Guest Administrator muss ebenfalls neu angelegt werden.

Setup-Wizard ausführen

Über den Link https://10.0.1.1:8080 können Sie sich mit dem User “admin” und dem Factory Default Kennwort “readwrite” anmelden, sofern sich Ihr PC im selben Subnetz befindet.
Klicken Sie den Setup Wizard mit den Default-Werten durch, importieren Sie dabei auch den Feature Key und vergeben Sie am Schluss Ihre eigenen Firewall-Kennwörter.
Nach der erneuten Anmeldung mit Ihrem eigenen “admin”-Kennwort installieren Sie über System > Upgrade OS die neueste Firmware auf der Box, die daraufhin einmal durchbooten wird.

Auf Ihrem Konfigurations-PC/Notebook starten Sie dann den WSM und machen ein “Connect to Device” zu Ihrer neuen Firebox.
Anschließend öffnen Sie den Policy Manager, der Ihnen die praktisch “leere” XML-Konfigurationsdatei der neuen Firebox anzeigt.

Export der Konfiguration vom Altgerät

So weit, so gut. Erst jetzt wird es interessant:

Im Policy Manager laden Sie über File > Open > Configuration File die letzte XML-Konfigurationsdatei Ihrer “alten” WatchGuard Firebox. Auf die unten gezeigte Frage können Sie mit Nein antworten.

Sie sehen daraufhin die Konfigurationsdatei Ihrer “alten” WatchGuard.

Über Setup > System > Model wählen Sie Ihr neues Hardware-Modell aus. Es folgt evtl. eine Warnmeldung, die auf die veränderte Anzahl der Ethernet-Schnittstellen hinweist.

Anschließend müssen Sie noch bei Setup > Feature Keys den Feature Key der alten Box entfernen und den Feature Key der neuen Box importieren.
Beachten Sie bitte, dass im Policy Manager ganz unten rechts noch der Hinweis steht, dass es sich um eine Konfigurationsdatei mit einer bestimmten Fireware Version handelt.

Unter Setup> OS Compatibility können Sie die Versionierung der Datei anpassen.

Falls Sie diese Einstellung nicht vorgenommen haben, erhalten Sie eine Warnmeldung beim Einlesen der Konfiguration.

Einspielen der Konfiguration auf dem neuen Gerät

Speichern Sie jetzt die Konfiguration auf die Firebox. Wenn Sie auf eth1 den Adressbereich ändern, der nicht der aktuellen Konfiguration entspricht, erhalten Sie folgende Warnmeldung.
Zum Beispiel ändern Sie den standardmäßig durch den Setup Wizard konfigurierten Bereich 10.0.1.1/24 in Ihren eigenen IP-Adressbereich 10.10.100.254/24.

Bitte bestätigen Sie hier mit Ja.

Sie haben die Konfiguration erfolgreich hochgeladen.

Abschlusstest

Es empfiehlt sich im Anschluss die Verbindung zur Firebox nach dem Upload erneut zu kontrollieren und die Konfiguration zu überprüfen.
Hier muss der Konfigurations-PC wieder in das passende Subnetz.

Ein Kommentar zu “HOWTO: WatchGuard Firebox Migration nach Trade-Up”

Leave a Reply

Your email address will not be published. Required fields are marked *