Category Archives: Technischer Blog

Minimum AP Firmware v8.6.0 in Fireware v12.5.4 und höher

Sollten Sie ein Upgrade Ihrer WatchGuard Firebox auf v12.5.4 oder höher planen, müssen vorab die Access Points (via Gateway Wireless Controller) mindestens auf die Firmware v8.6 oder höher aktualisiert werden.

Falls Sie das Upgrade der Firebox bereits durchgeführt haben, wechselt der AP Status permanent zwischen Online/Offline und kann daher nicht mehr verwaltet werden. Sie können ein entsprechendes Downgrade der Firebox durchführen, anschließend die Firmware der APs auf v8.6.0 oder höher upgraden und danach dann wieder die Firmware der Firebox auf v12.5.4 oder höher upgraden.

Falls Sie Ihre Access Points via Wi-Fi Cloud verwalten, können Sie die Updates unabhängig von der Firebox Firmware durchführen.

>> weitere Infos in diesem Knowledge Base Artikel

DCHP Server Probleme mit 12.6.2

Symptom:

“WLAN geht nicht mehr”

Ursache:

im VLAN wurde keine IP mehr vergeben. DHCP-Server verteilt keine IP-Adressen mehr.

Recherche:

>> Knowledge-Base-Artikel bei WatchGuard

Der DHCP-Prozess scheint sich hier mit erhöhter CPU-Last zu verklemmen und liefert keine IP-Adressen mehr aus.

Laut KB vorgeschlagener Workaround:
  • Reboot (hat in diesem Fall nur für 10-12h geholfen, danach ging es wieder los)
  • Alle DHCP Reservierungen in allen Scopes entfernen (ist hier nicht sinnvoll, da sehr intensiv mit Reservierungen gearbeitet wurde)
Verwendeter Workaround
  • Downgrade auf 12.5.4 (die Version lief vorher seit dem Upgrade stabil).

Swyxit! IPS false positive

Setup:

SwyxIt!-Softphone greift auf Swyx-TK-Anlage via BOVPN-Tunnel zu.

Symptom:

Swyxit Softphone Client zeigt keinen Status nach Login.

Beobachtung:

auf der Firewall sind folgende Log-Einträge zu sehen:

2020-09-07 10:14:43 Deny 10.xxx.xxx.xxx 10.xxx.yyy.zzz sip/udp 5070 5060 [...] IPS detected [...] proc_id="firewall" rc="301" msg_id="3000-0150" 
src_ip_nat="10.xxx.xxx.xxx" signature_name="SIP Digium Asterisk SIP CSeq Heap Buffer Overflow (CVE-2017-937" 
signature_cat="Buffer Over Flow" signature_id="1133858" severity="4" [...]

Scheinbar triggert der Swyx-Client hier beim Verbindungsaufbau zur Swyx-TK-Anlage gelegentlich das IPS.

Abhilfe:
  • Policy-Manager
    => Subscription-Services
    => [Exceptions] => Entsprechende ID einfügen => ADD => OK => OK
    => Policy auf Firewall schreiben.

Anzeigefehler: WatchGuard System Manager zeigt Zertifikate als expired

Wenn sehr langlaufende Zertifikate auf einer Firebox installiert sind, werden diese unter Umständern als abgelaufen angezeigt obwohl sie noch viele Jahre gültig sind.

Das folgende Bild zeigt links die Anzeige des WatchGuard System Managers – er zeigt bei Zertifikaten (gültig bis 2038 oder 2049) ein “expired” an; auf der rechten Seite ist die identische Box abgebildet, allerdings stammt der Screenshot vom Firebox System Manager – Hier ist die Anzeige korrekt.

WatchGuard Hotspot Administration nicht erreichbar – ERR_TOO_MANY_REDIRECTS

Symptom:

beim Zugriff auf die HotSpot-Admin-Seite unter https://<ip-der-firewall>:8080/wirelessguest/ beschwert sich der Browser über ERR_TOO_MANY_REDIRECTS.

Ursache:

Dies tritt unter aktueller Fireware (uns sind derzeit bekannt: 12.5.3/12.5.4) in bestimmten Konstellationen auf, falls der Hotspot über den Policy Manager konfiguriert wurde.

Workaround:

  • Einloggen über in das Admin-Panel der Webui (Firewall-Administration, nicht HotSpot Administration), und dort auf der Hotspot Konfiguration irgendetwas ändern und neu speichern.
    (damit die Konfiguration über die WebUI neu geschrieben wird).

Bereinigen der Most-Recently-Used Liste des WatchGuard System Managers und des SSLVPN-Clients

Die Drop-Down-Liste des WatchGuard System Managers beim Connect auf die Fireboxen bzw. Management-Server

kann wie folgt mit Regedit bearbeitet werden:

Computer\HKEY_CURRENT_USER\Software\WatchGuard Technologies, Inc.\fbMRU

Das “fb” in “fbMRU” steht für Firebox.

Analog dazu ist folgender Registry Key für die Liste der Management-Server vorhanden:

Computer\HKEY_CURRENT_USER\Software\WatchGuard Technologies, Inc.\vpnMRU

Der Name “vpn” in “vpnMRU” ist vermutlich historisch bedingt, da damals[tm] der Management-Server zunächst nur für eine zentrale Verwaltung der BOVPNs verfügbar war. Solche Namensgebungen halten sich aber bekannterweise sehr hartnäckig 😉

Vielen Dank an Hr. Brian Schneider für die Anregung zu diesem Blog-Post.