Ein offensichtlicher Bug tritt zutage, wenn das Webinterface (WebUI) verwendet wird, um in einer SMTP-Proxy Action Änderungen an der möglicherweise dort hinterlegten Rcpt To Liste mit den erlaubten E-Mail-Adressen vorzunehmen. Um in die existierende Liste z.B. eine weitere Adresse aufzunehmen, muss das Häkchen Limit email recipients aktiviert werden. Nach dem Hinzufügen mit “Add” wird die Änderung logischerweise über den Save-Button auf die Firebox hochgeladen. Leider führt das dazu, dass alle Adressen in der Liste plötzlich nicht mehr mit der Action Allow versehen sind, sondern mit Deny!!! Es kommen also plötzlich überhaupt keine E-Mails mehr herein. Erst wenn das Häkchen wieder herausgenommen wird – und auch diese Änderung wieder mit “Save” auf die Firebox hochgeladen wird – ist das Verhalten wieder so wie bezweckt…

Seit dem 03.09.2009 stehen die ersten gepatchten Versionen der Fireware XTM und WSM 11 im Downloadportal zur Verfügung. Ich habe bislang etwa 20 Migrationen auf Version 11 durchgeführt und bin mit der generellen Funktionalität und Stabilität unter dem Strich ganz zufrieden. Die lange Wartezeit hat sich offenbar gelohnt, denn durch die extrem lange Beta-Phase konnten offenbar doch die meisten Bugs bereits im Vorfeld gefunden und entschärft werden. Nachdem nun hier etwas Ruhe einkehrt, werde ich in den nächsten Tagen und Wochen hier wieder häufiger über Besonderheiten und Tipps berichten.

In der letzten Zeit hatte ich einige Supportfälle, bei denen zum Beispiel über Download langsam (oder fehlschlagend) bzw. VPN-Verbindung instabil geklagt wurde. Als Ursache konnte jeweils eine Inkompatibilität auf Ethernet-Ebene zwischen der WatchGuard Firebox und – entweder dem vorgelagerten Übergabe-Router des Internet-Providers (im Regelfall an eth0) – oder dem internen Netzwerk-Switch (im Regelfall an eth1) lokalisiert werden, wodurch jeweils Ethernet Errors bzw. Ethernet Collisions auftraten. Bei einer X Edge findet sich die Ethernet Statistik bei System Status > Interfaces:

Bei X Core und X Peak öffnen Sie den WSM, dann den Firebox System Manager. Auf der Registerkarte System Status scrollen Sie dann herunter, bis Sie den vergleichbaren Abschnitt finden.
Grundsätzlich sollten die Ethernet Errors und Collisions auf allen Interfaces dauerhaft auf Null bleiben. Laufen die Werte hoch, haben Sie ein Problem. WatchGuard empfiehlt, die Netzwerk-Interfaces an der Firebox auf “Auto Sensing” zu belassen. Insofern sollte zunächst das Interface auf dem Router oder (managebaren) Switch manuell auf einen festen Wert eingestellt werden, um eine Kombination zu finden, die keine Errors und Collisions produziert. Gelegentlich hilft auch der Austausch des Netzwerkkabels.
Bei den aktuellen Supportfällen handelte es sich jeweils um eine 2 Mbit Company Connect Leitung der Telekom / T-Systems mit einem Cisco als Übergaberouter. Nach einer Störungsmeldung bei der Telekom dauerte es ca. 10 Minuten, bis die Kollegen dort ihren Router per Fernzugriff umkonfiguriert hatten und der Spuk mit den Errors und Collisions ein Ende hatte… 🙂