Category Archives: Technischer Blog

BOVPN Notification einschalten

1 Comment

Wenn die Firebox an einen Logging Server angeschlossen und dieser korrekt konfiguriert ist, können für viele unterschiedliche Ereignisse auf der Firewall Notifications (Benachrichtigungen) erzeugt und per E-Mail an den Firewall-Administrator oder einen Support-Alias verschickt werden. Wichtig: Der Versand der Notification E-Mails erfolgt vom Logging Server aus – die Firewall liefert über das Logging lediglich das Triggersignal dazu!

Ein solches Ereignis kann die Unterbrechung eines BOVPN-Tunnels sein. Die Benachrichtigungs-Option hierfür ist noch relativ neu. Sie kann nur global für alle BOVPN-Tunnel ein- bzw. ausgeschaltet werden: Policy Manager > VPN > VPN Settings > BOVPN Notification:

Kernel Crash bei Fireware 10.2.x

Comment

Im Zusammenhang mit meinem Posting “Upper Port Problem bald gelöst” vom 08.01.09 kam folgende Frage auf: “Wie kann man feststellen, ob/wann überhaupt ein Kernel Crash aufgetreten ist?” Hier die Antwort: Starten Sie den WatchGuard System Manager (WSM), verbinden Sie sich mit Ihrer Firebox und rufen Sie über Rechtsklick den Firebox System Manager auf. Gehen Sie dort auf die Registerkarte “Status Report” und scrollen Sie bis ganz unten. Endet die Anzeige mit

** Routing Protocol (BGP)
**
bgp is not enabled

liegt kein unmittelbarer Kernel Crash vor. Gibt es darunter jedoch noch ein paar Zeilen zum Thema VM Dump, dann sind ein oder mehrere Kernel Crashes aufgetreten:

**
** VM Dump
**
Found kernel crash, time of crash was Sun Jan 11 21:14:26 2009
Crash dump data recovered on Sun Jan 11 21:15:08 CET 2009
Crash dump data saved in /var/log/vmdump/vmdump.3.

In diesem Beispiel bedeutet die Ziffer 3 ganz zum Schluss, dass aktuell sogar vier Kernel Crashes in den internen Support Logfiles der WatchGuard Firebox protokolliert sind. Ein Kernel Crash löst anschließend einen Reboot der Firebox aus.

“Wie kann ich die internen Support Logfiles auslesen?”

Antwort: Ganz rechts unten in der Ecke des Status Reports (vgl. auch den o.g. Screenshot) findet sich ein Button “Support…”:

Mit Klick auf “Retrieve” kann man alle internen Logfiles in einer gemeinsamen Datei namens support.tgz auf die Windows Management-Station herunterladen. Dort kann sie z.B. mit Hilfe von WinZip oder WinRAR ausgepackt werden. Im Unterverzeichnis varlogvmdump finden sich im aktuellen Beispiel die Dateien vmdump.0, vmdump.1, vmdump.2 und vmdump.3 – jeweils mit Datum und Uhrzeit des tatsächlichen Kernel Crashes:

Da alle Uhrzeiten recht ähnlich sind, liegt ein Vergleich mit den Uhrzeiten der 24-stündigen T-DSL Zwangstrennung durch die Telekom nahe (adsl.log). Und siehe da: ja, passt. Im vorliegenden Beispiel steht die T-DSL-Zwangstrennung im direkten Zusammenhang mit den Kernel Crashes… 🙁

X Edge: versteckte Debug-Funktionen

1 Comment

Die Firebox X Edge hat eine nicht dokumentierte Seite, die zum Testen und für Debug-Zwecke sehr hilfreich ist:
https://IP-DER-FIREBOX/shakne.htm.
Im Abschnitt Property Management können mit den Funktionen “Get Property”, “Put Property” und “Delete Property” einzelne Parameter in der Konfigurationsdatei hinzugefügt, verändert und gelöscht werden, die über die GUI sonst nicht erreichbar wären. Ähnlich wie beim manuellen Eingriff in die Registry eines Windows-Rechners ist hier natürlich ein konkreter Anlass und äußerste Sorgfalt angesagt!
Die Funktion Ping setzt einen Ping direkt von der Firebox an die eingegebene Zieladresse ab. Das ist äußerst hilfreich, z.B. wenn man sich gerade einmal nicht auf anderes Testsystem an dem Standort aufschalten kann…

Weiter unten finden sich noch verschiedene Debug-Hilfen – unter anderem kann hier auch das Logging Level für die Application Proxies hochgesetzt werden (wirklich nur für Debug-Zwecke, denn natürlich erzeugt das erweiterte Logging Last auf der Firewall…)

Upper Port Problem bald gelöst

Comment

Freudige Nachricht des Tages: Aktuell wird bereits ein neuer Code getestet, der zwei Phänomene des bisweilen auftretenden Upper Port Problems beseitigen soll – genau die, die hauptsächlich hier in Europa auftreten: Das Booten der kompletten Box durch Kernel Crash und temporäre Traffic Unterbrechung an den oberen (rechten) vier Ports der aktuellen X Core e-series und X Peak e-series Hardware. Dieser Code soll u.a. Bestandteil der nächsten Version 10.2.7 sein.

Upgrade-Pfad für X Edge e-series

Comment

WatchGuard empfiehlt, beim Software-Update einer X Edge e-series (X10e, X20e, X55e und die Wireless-Versionen) auf die Einhaltung folgender Reihenfolge zu achten: Edge e-Series 8.0 > 8.0.1 > 8.0.3 > 8.6.2 > 10.2 > 10.2.6. Dazwischen liegende Software-Versionen sollten immer zunächst auf die nächst höhere Version in der Liste upgedated werden, bevor die weiteren Updates in der o.g. Reihenfolge aufgespielt werden.
Speziell der Zwischenschritt auf 10.2 soll dabei das Problem mit der fehlenden VPN-Any Policy vermeiden. Hier wird beschrieben, wie ein Software-Update auf einer X Edge durchgeführt wird.

Software-Updates auf einer X Edge

Comment

Im Software-Download-Bereich der WatchGuard Website finden sich für die X Edge jeweils zwei Versionen: eine EXE-Datei und eine ZIP-Datei. Die EXE kann unter Windows XP und 2000 verwendet werden – ich verwende im Regelfall aber die ZIP-Datei. Im Download steckt jeweils ein vollständiges Linux-Image, das bei einem Update auf die X Edge Appliance hochgeladen wird. Nach dem Entpacken der ZIP-Datei findet sich neben einer README und drei Language Files (Französisch, Chinesisch und Japanisch) die eigentlich wichtige Datei: yakfw.sysa-dl, die aktuell etwa 20 MB groß ist.

Prüfen Sie nach der Anmeldung am Webinterface der X Edge zunächst, ob die LiveSecurity noch aktuell oder bereits abgelaufen ist (Expired). Nur bei gültiger Live Security kann das Software-Update überhaupt durchgeführt werden. Die Verlängerung bzw. Reaktivierung der Live Security erfolgt über Ihren WatchGuard-Partner, gerne natürlich auch über uns. 🙂

Natürlich ist es eine gute Idee, vor dem Update zunächst ein Backup der Konfigurationsdatei zu erstellen: Administration > Backup Configuration. Hinweis: je nach verwendetem Browser müssen Sie ggfs. zwei Mal auf Backup klicken, bevor Sie die Backup-Datei namens edgecfg.wgbk tatsächlich zum Speichern angeboten bekommen.
Für das eigentliche Software-Update findet sich im Webinterface unterhalb der X Edge-Abbildung der Button Update. Ein Klick bringt Sie zu der Seite Administration > Update. Dort können Sie mit Durchsuchen den Pfad zu der neuen yakfw.sysa-dl auswählen und die Datei anschließend auf die X Edge hochladen. Abschließend will die X Edge einmal booten. Oben links im Webinterface sollte dann die neue Versionsnummer angezeigt werden: 10.2.6 December 08 2008 Build 202312. Die Konfigurationsdatei sollte erhalten geblieben sein, so dass die X Edge sofort wieder voll produktiv ist.

Sichere Fernwartung einer X Edge

Comment

Um eine entfernt stehende Firebox X Edge auch per HTTPS direkt über das Internet administrieren zu können, füge ich normalerweise bei Firewall > Incoming eine Custom Packet Filter Policy hinzu, die eingehenden HTTPS-Verkehr direkt auf das Webinterface der Firebox leitet (Static NAT). Damit nicht jeder beliebige Rechner aus dem Internet bis zur Anmeldeseite gelangt, lasse ich jedoch nur die bekannten festen IP-Adressen z.B. des Hauptstandorts des Kunden (und unsere eigenen) zu:

Hat die X Edge eine feste externe IP-Adresse, erfolgt der Zugriff über https://EXTERNE-IP. Bei einer dynamischen externen IP-Adresse nehme ich mir einen kostenfreien DYNDNS-Hostname zu Hilfe, der bei Network > Dynamic DNS eingetragen wird:

Befindet sich die X Edge in einer (VPN-)Außenstelle unseres Unternehmens, sorgt diese Einrichtung natürlich auch dafür, dass wir die X Edge über das Internet erreichen können, auch wenn der reguläre VPN-Tunnel dorthin gerade einmal nicht zur Verfügung steht 🙂 Wenn ich parallel dazu auch die SSL-VPN-Möglichkeit der X Edge nutzen möchte, um dort mobile User zu terminieren, lege ich den Port für Remote-HTTPS meist von 443 zum Beispiel auf 444 um: Administration > System Security:

Base Encryption statt Strong Encryption

Comment

In seltenen Fällen passiert beim Anlegen des Live Security User Accounts in der WatchGuard Datenbank ein Fehler. Nach der Anmeldung stehen Ihnen dann über Support > Software Downloads im Download-Bereich nur die Base Encryption Versionen (40 Bit) zur Verfügung, nicht aber die üblichen Strong Encryption Versionen (128 Bit). Wir können Ihnen bei der “Reparatur” helfen, wenn Sie uns den Namen Ihres Live Security Accounts mitteilen…

Neue Software-Versionen 10.2.6

Comment

Mit heutigem Datum (12.12.2008) wurden die Software-Versionen WatchGuard System Manager (WSM), Fireware und Edge 10.2.6 im Download-Bereich der WatchGuard-Website bereit gestellt. Dort steht auch eine neue Version 10.2.6 des WatchGuard SSL VPN Client bereit. Nach der Installation von 10.2.6 in unserem Produktiv-System waren keine negativen Auswirkungen erkennbar. Alle vorkonfigurierten BOVPN-Tunnel kamen erfolgreich wieder hoch, auch die Mobile User VPN Einwahl verlief erfolgreich…

WSM 10.2.4: Bandwidth Meter defekt

Comment

Das Bandwidth Meter im Firebox System Manager der Version WSM 10.2.4 hat wohl einen Bug. Die belegte Bandbreite wird – gefühlt – nur zu etwa einem Tausendstel angezeigt. Offenbar ist da im Hintergrund mal ein “Kilo” mit einem “Mega” durcheinander geraten…
[16.12.2008]: Wie mir heute aufgefallen ist, steckt der Bug nicht im WSM bzw. im Firebox System Manager, sondern in der Fireware 10.2.4: das Bandwidth Meter / WSM arbeitet korrekt, die Appliance liefert jedoch einen viel zu geringen Anzeigewert. Ein Update der Appliance auf Fireware 10.2.6 behebt das Problem!