HOWTO: WatchGuard Firebox Migration bei FireCluster

In diesem Artikel geht es um die Migration eines alten WatchGuard FireClusters auf ein neues WatchGuard FireCluster (bspw. nach einem Trade-Up). Weitere Informationen zu der WatchGuard Trade-Up Promotion mit den je nach Modell empfohlenen Trade-Ups finden Sie unter >> WatchGuard Trade-Up Promotion.

Die Migration einer einzelnen Firebox haben wir in dem Artikel >> HOWTO: WatchGuard Firebox Migration nach Trade-Up beschrieben.

Lizenz aktivieren

Zunächst führen Sie den Trade-Up oder die Aktivierung auf der WatchGuard Webseite durch.
Sichern Sie vorab auch den Feature Key der auszutauschenden Boxen, da nach einem Trade-Up die Boxen in Ihrer Übersicht auf der WatchGuard Webseite nicht mehr aufgeführt werden. Ihre Fireboxen laufen dennoch bis zum Ende des Feature Keys problemlos weiter.
Wichtig: Bitte achten Sie darauf, dass Sie die Volllizensierte Firebox zuerst aktivieren, da Ihre neuen Fireboxen (Volllizensierte und HA Box) schon bei der Aktivierung miteinander verknüpft werden.

Speichern Sie den Feature Key lokal ab und installieren Sie die aktuelle Version des WSM (https://software.watchguard.com).

Checkliste

Bei dem Tausch Ihres WatchGuard FireClusters berücksichtigen Sie bitte folgende Punkte:

• SSLVPN
  Hier wird ggf. ein neuer WatchGuard Mobile SSLVPN Client benötigt. Bei OpenVPN muss die client.ovpn neu ausgerollt werden. Auch bei Mobiltelefonen und Tablets muss das Zertifikat oder die client.ovpn getauscht werden..
• IKEv2 VPN
  Das Zertifikat muss hier ebenfalls neu ausgerollt werden.
• Webserver Zertifikat
  Falls Sie ein eigenes Zertifikat nutzen, muss dies wieder importiert werden.
• SMTP-TLS
  Hier muss das eigene Zertifikat ebenfalls wieder importiert werden.
• HTTPS Deep Inspection
  Entweder muss das Zertifikat Ihrer neuen Firebox bei den Clients ausgerollt oder das eigene CA Zertifikat importiert werden.
• WatchGuard Access Portal
  Bei konfiguriertem Background und Icons müssen diese neu hochgeladen werden. Bei aktivem SAML muss das Zertifikat bei den SAML Ressourcen ausgetauscht werden.
• Gateway Wireless Controller
  Sofern der TrustStore aktiv ist, müssen die APs neu getrustet werden. Bei einem Voucher-System (Hotspot) verlieren ausgestellte Tickets ihre Gültigkeit. Neue Tickets müssen erstellt und verteilt werden. Der Guest Administrator muss ebenfalls neu angelegt werden.

Setup-Wizard ausführen

Über den Link https://10.0.1.1:8080 können Sie sich mit dem User “admin” und dem Factory Default Kennwort “readwrite” anmelden, sofern sich Ihr PC im selben Subnetz befindet. Klicken Sie den Setup Wizard mit den Default-Werten durch, importieren Sie dabei auch den Feature Key und vergeben Sie am Schluss Ihre eigenen Firewall-Kennwörter. Nach der erneuten Anmeldung mit Ihrem eigenen “admin”-Kennwort installieren Sie über System > Upgrade OS die neueste Firmware auf der Box, die daraufhin einmal durchbooten wird. Updaten Sie auch unbedingt die Subscription Services. Denn wenn Sie einen SMTP-Proxy mit GAV (Gateway AntiVirus) verwenden, werden Ihre E-Mails aufgrund der fehlenden GAV-Pattern nicht zugestellt.

Auf Ihrem Konfigurations-PC/Notebook starten Sie dann den WSM und machen ein “Connect to Device” zu Ihrer neuen Firebox.
Anschließend öffnen Sie den Policy Manager, der Ihnen die praktisch “leere” XML-Konfigurationsdatei der neuen Firebox anzeigt.

Export der Konfiguration vom Altgerät

Im Policy Manager laden Sie über File > Open > Configuration File die letzte XML-Konfigurationsdatei Ihrer “alten” WatchGuard Firebox. Auf die unten gezeigte Frage können Sie mit Nein antworten.

Sie sehen daraufhin die Konfigurationsdatei Ihrer “alten” WatchGuard.

Über Setup > System > Model wählen Sie Ihr neues Hardware-Modell aus. Es folgt evtl. eine Warnmeldung, die auf die veränderte Anzahl der Ethernet-Schnittstellen hinweist.

Anschließend müssen Sie noch bei Setup > Feature Keys den Feature Key der alten Box entfernen und den Feature Key der neuen Box importieren.
Beachten Sie bitte, dass im Policy Manager ganz unten rechts noch der Hinweis steht, dass es sich um eine Konfigurationsdatei mit einer bestimmten Fireware Version handelt.

Unter Setup> OS Compatibility können Sie die Versionierung der Datei anpassen.

Falls Sie diese Einstellung nicht vorgenommen haben, erhalten Sie eine Warnmeldung beim Einlesen der Konfiguration.

Einspielen der Konfiguration auf den neuen Geräten

Passen Sie die FireCluster Einstellungen beider Fire-Cluster Member an. Zuerst muss der vorhandene Feature Key entfernt und anschließend der neue Feature Key importieren werden.

Speichern Sie jetzt die Konfiguration auf die Firebox. Wenn Sie auf eth1 den Adressbereich ändern, der nicht der aktuellen Konfiguration entspricht, erhalten Sie folgende Warnmeldung. Zum Beispiel ändern Sie den standardmäßig durch den Setup Wizard konfigurierten Bereich 10.0.1.1/24 in Ihren eigenen IP-Adressbereich 10.10.100.254/24.

Bitte bestätigen Sie hier mit Ja.

Sie haben die Konfiguration erfolgreich hochgeladen.

Konfiguration der HA (High-Availability) Box

Nachdem der Setup Wizard durchgeklickt und die Firmware upgegraded wurde muss die Box auf Factory default zurückgesetzt werden.

Im passenden Hardware-Guide zu Ihrem Gerät wird der Vorgang beschrieben. Per CLI (Port 4118) kann das Zurücksetzen mit dem Befehl „restore factory-default /all“ durchgeführt werden.

Verbinden Sie nun die beiden Fireboxen über das konfigurierte Cluster-Interface und führen Sie ein “Discover Member” durch.

Sobald ein Master und ein Backup Master angezeigt werden, ist das Cluster erfolgreich konfiguriert.