Administration Archive - BOC IT-Security GmbH

Tag Archives: Administration

NIC Einstellungen auf dem Cluster Interface per Hand ändern

27. Juni 2012 Bernd Och 1 Comment

Im Normalbetrieb kann man ja für jedes Firewall-Interface die Ethernet Geschwindigkeit (10/100/1000 Mbit) und Full Duplex bzw. Half Duplex über Network > Configuration manuell einstellen, wobei aber in der Regel die Einstellung “Auto Negotiate” beibehalten werden sollte, solange keine Ethernet Errors und Collisions offensichtlich sind. Im HA Cluster-Betrieb können die NIC Einstellungen auf dem/den “Cluster-Interface(s)“, mit denen die Boxen direkt miteinander verbunden sind, jedoch NICHT manuell beeinflusst werden! Im Regelfall befinden sich beide Cluster Member direkt beieinander und sind mit einem normalen Patchkabel (1:1 oder Cross-Over) verbunden. In manchen Installationen befinden sich die beiden Cluster-Boxen aber in verschiedenen Räumen/Rechenzentren und sind teilweise mehrere Hundert Meter weit voneinander entfernt. Bei diesen Entfernungen kommen dann Querverbindungen zum Einsatz, die auf LWL/Glasfaser-Technik basieren. Je nachdem wie die Netzwerk-Infrastruktur an beiden Lokationen aussieht und wie viele freie LWL-Fasern zur Verfügung stehen, werden die Interfaces der beiden Fireboxen dann entweder direkt miteinander verbunden (über LWL-Medienkonverter) – oder über VLANs, die auf entsprechenden Switchen an beiden Lokationen konfiguriert sind. In beiden Fällen hatte ich nun in der Praxis bereits Fälle, dass speziell die HA-Verbindung (Cluster Interface) zwischen den beiden Boxen Probleme bereitet hat und Ethernet Errors und Collisions auftraten. Teilweise konnten die beteiligten externen Netzwerk-Komponenten (=Medien-Konverter) nicht auf einen festen Wert eingestellt werden oder es gab nach wie vor Probleme, egal auf welche Werte das Interface auf dem beteiligten VLAN-Switch (z.B. HP) eingestellt war. Hier kann dann nur über die WatchGuard versucht werden, das Problem abzustellen. Aber wie gesagt, für das Cluster Interface lassen sich keine festen Werte über die GUI einstellen. Also muss hier mal wieder ein Texteditor und ein manueller Eingriff in die XML-Konfigurationsdatei ran… 😉

Je nachdem, wie bzw. wie oft das betreffende Interface vorher schon mal konfiguriert war, findet sich in der Konfig-Datei dann folgende Stelle:

[Schnipp] (für die Ansicht hier “<" und ">” durch “{” und “}” ersetzt)

{interface}
   {name}Optional-5{/name}
   {description /}
   {property}0{/property}
   {if-item-list}
    {item}
     {item-type}1{/item-type}
     {physical-if}
      {if-num}6{/if-num}
      {enabled}1{/enabled}
      {if-property}4{/if-property}
      {ip}0.0.0.0{/ip}
      {netmask}255.255.255.255{/netmask}
      {mtu}1500{/mtu}
      {auto-negotiation}1{/auto-negotiation}
      {link-speed}100{/link-speed}
      {mac-address-enable}0{/mac-address-enable}
      {mac-address /}
      {full-duplex}1{/full-duplex}

[Schnapp]

Die fett markierten Stellen sprechen für sich und müssen eben entsprechend händisch angepasst werden, also Auto Negotiation ausschalten (=0) und die entsprechenden Werte für Link Speed und Full Duplex an (=1) bzw. aus (=0) einstellen. Anschließend kann die XML-Datei gespeichert und auf die Firebox hochgeladen werden. Im Policy Manager unter Network > Configuration wird dann auch die Änderung des “NIC Speed” angezeigt (also z.B. 100 Mbit Full Duplex)…

IKE (IPSec) Subsystem einzeln neu starten

24. Juni 2012 Bernd Och 2 Comments

Wie man die Neu-Aushandlung von BOVPN Tunneln (einzeln oder alle) über den Firebox System Manager erzwingen kann, dürfte allgemein bekannt sein (FSM > Front Panel > Branch Office VPN Tunnels und dann Rechtsklick auf dieser Zeile oder einem der darunter angezeigten Gateway-Einträge: “Rekey All BOVPN Tunnels” bzw. “Rekey Selected BOVPN Tunnel”). Manchmal reicht dies aber nicht aus und man möchte gerne das komplette IKE/IPSec Subsystem auf der WatchGuard neu starten, um auf diese Weise eventuell auch “quer sitzende” SA-Fragmente los zu werden, die ein einfaches Re-Keying eines BOVPN Tunnels verhindern. Natürlich kann man dazu einfach die komplette WatchGuard neu booten – das geht aber im Produktiveinsatz nicht immer ohne weiteres. Über den Kommandozeilenmodus / Command Line Interface (CLI) gibt es die Möglichkeit, nur den IKE Prozess einzeln neu zu starten und dadurch alle SAs und Fragmente restlos zurückzusetzen:

* Als “admin” per Putty/SSH an der WatchGuard anmelden
* Befehl diagnose vpn “/ike/restart” absetzen
* Mit exit wieder abmelden

Ob der iked Prozess korrekt neu gestartet hat, kann man im FSM auf der Registerkarte “Status Report” sehen. In der Prozessliste sollte für iked nun das aktualisierte Datum/Uhrzeit zu sehen sein.

Reboot der WatchGuard per Script

24. Juni 2012 Bernd Och 5 Comments

Dass ein zeitgesteuerter Reboot einer WatchGuard eingerichtet werden kann, dürfte allgemein bekannt sein (im Policy Manager unter Setup > Global Settings > Automatic Reboot). Neulich fragte ein Kunde, ob ein solcher Reboot auch event-gesteuert eingerichtet werden kann. Konkret sollte die WatchGuard jede Nacht durchbooten – aber erst dann, wenn die nächtlichen Online-Backup Jobs zu Ende gelaufen waren. Die verwendete Backup-Software hat die Option, abschließend ein Programm/Script zu starten, das diese Aufgabe übernehmen könnte.
Eine mögliche Lösung sieht so aus: Auf dem Backup-Server wird die 3rd-Party Software Cygwin installiert (http://cygwin.com). Bei der Installation müssen die Module expect und openssh mitinstalliert werden. Das auszuführende Skript sieht in etwa so aus:

#!/usr/bin/expect

set firebox    “a.b.c.d”   ;# IP-Adresse der WatchGuard
set fbusername “admin”     ;# admin Account verwenden
set fbpassword “xxxxxxxx”  ;# admin Kennwort

spawn ssh $fbusername@$firebox -p 4118

# SSH Warnmeldung übergehen bei erstmaliger Anmeldung

set logged_in 0
while {!$logged_in} {
   expect timeout {
    } “Are you sure you want to continue connecting (yes/no)? ” {
      exp_send “yesr”
    } “[Pp]assword*” {
      exp_send “$fbpasswordr”
    } -re “WG.*(#|>)” {
      set logged_in 1
    }
}

# Reboot-Befehl absetzen und SSH Verbindung beenden

set timeout 20
exp_send “rebootr”
  expect timeout {
    } “Reboot (yes or no)?” {
      exp_send “yesr”
    }
expect -re “WG.*(#|>)”
exp_close
exp_wait

Dieses Script kann nun über die Cygwin-Umgebung ausgeführt werden: C:cygwinbinbash.exe –login -c [Dateiname].

Und kann somit flexibel in jegliche Scripting-/Batch-Umgebungen eingebunden werden. Natürlich kann der v.g. Befehl auch wiederum zeitgesteuert ausgeführt werden, wenn über den Task Scheduler / Aufgabenplanung entsprechende Tasks eingerichtet werden. Während die integrierte Funktion “Automatic Reboot…” nur tägliche oder wöchentliche Intervalle zulässt, können auf diesem Weg also auch davon abweichende Reboot-Zyklen umgesetzt werden. Auch alle anderen Command Line Interface (CLI) Befehle lassen sich auf die o.g. Methode von außen scripten… Damit sind viele kreative Ideen umsetzbar, z.B. auch das regelmäßige Auslesen der XML-Konfigurationsdatei und Ablegen auf einen FTP-Server… Die vollständige Referenz der Kommandozeilen-Befehle findet sich auf der WatchGuard Website unter http://www.watchguard.com/help/documentation/xtm.asp

X Core und X Peak e-series nicht direkt von v10.x auf v11.3.3 oder v11.3.4 updaten!

10. Oktober 2011 Bernd Och 1 Comment

Mit diesem Blog-Beitrag hatte ich bereits auf das Problem eines möglichen Verlusts der Konfiguration beim direkten Umstieg von Fireware v10.x auf Fireware XTM v11.3.3 und v11.3.4 hingewiesen. Der Hinweistext “Note: If you are upgrading from Fireware XTM OS v10.x, you must upgrade to Fireware XTM OS v11.3.2 before you upgrade to v11.3.4” im Software-Portal bestätigt nun also dieses Problem. Wenn Sie also auf einer X Core e-series (X550e, X750e, X1250e) oder einer X Peak e-series (X5500e, X6500e, X8500e, X8500e-F) die Migration von v10 auf v11 vorhaben, sollten Sie tunlichst den Zwischenschritt auf v11.3.2 mit in Ihren Upgrade-Pfad einbauen!

WSMMGR Lizenznummer derzeit nur per Support Incident

15. September 2011 Bernd Och Comment

Auch mehr als zwei Monate nach dem Umbau der WatchGuard-Webseite gibt es noch keine Möglichkeit, die Lizenznummer für den “WatchGuard System Manager” (bzw. besser gesagt: die “Management Server” Komponente, vgl. auch https://www.boc.de/watchguard-info-portal/watchguard-system-manager-vs-watchguard-management-server-2/) selbständig aus seinem LiveSecurity Account auzulesen wie das bis Anfang Juli möglich war.
Wer aktuell seine VPNMGR, WSMMGR und/oder WSMUPGRADE Lizenznummer(n) braucht und nicht bereits irgendwo dokumentiert hat, muss leider bei WatchGuard einen Support Incident aufmachen (per Web oder telefonisch) – und sich die entsprechenden Lizenznummer(n) von den WatchGuard-Kollegen händisch auslesen und übermitteln lassen…

Secondary IP nicht auf VLANs

15. September 2011 Bernd Och Comment

Ich musste aktuell in einem Projekt feststellen, dass Secondary IPs nur auf physikalischen Interfaces konfiguriert werden können, nicht aber auf VLANs. Ich konfiguriere Secondary IPs z.B. sehr gerne auf External Interfaces, um damit mehrere (oder alle) vom Provider zugewiesenen externen IP-Adressen auf einem externem Interface verfügbar zu machen, so dass diese für eingehenden Datenverkehr als Basis für einen SNAT-Eintrag (Statisches NAT oder Server Load Balancing) verwendet werden können.
In dem angesprochenen Projekt musste das neu hinzu kommende externe Interface aber auf einem VLAN-Interface konfiguriert werden. Hier konnte ich die weiteren IPs nur auf dem Weg über 1-to-1-NAT Einträge nachträglich verfügbar machen, was aber natürlich deutlich weniger flexibel ist wie die typischen SNAT-Einträge, die z.B. nur einen bestimmten Port einer IP-Adresse zu einem bestimmten internen Server weiterleiten…

Transfer of Ownership geht noch nicht…

15. August 2011 Bernd Och Comment

Es kommt ja immer mal wieder vor, dass eine WatchGuard von einem Live Security Account zu einem anderen Account “verschoben” werden muss (“Transfer of Ownership”). Seit der Umstellung des WatchGuard Portals steht diese Funktion temporär nicht zur Verfügung. WatchGuard arbeitet daran. Derzeit bekommt man auf einen entsprechenden Customer Care Incident die Antwort, dass dies später erledigt wird und man eine entsprechende Mitteilung erhalten wird.

WatchGuard System Manager vs. WatchGuard Management Server

10. August 2011 Bernd Och Comment

Begriffsbestimmung “WatchGuard System Manager”: Dieser wird auch im internen WatchGuard-Sprachgebrauch etwas uneindeutig verwendet.

Zum einen taucht er auf bei den Software Downloads und steht dort für die Software-Komponenten, die für die Installation auf einem Windows-basierten “WatchGuard Management Computer” gedacht sind. Der Dateiname für die aktuelle Version 11.4.2 lautet z.B.: WSM11_4_2s.exe (s steht hierbei für Strong Encryption) oder WSM11_4_2b.exe (b für Base Encryption – wenn z.B. beim Anlegen Ihres WatchGuard Accounts etwas schief gelaufen ist und Sie versehentlich in einem Land angesiedelt wurden, das unter US-Export-Beschränkungen steht 😉 Einen solchen Fehler sollten Sie schleunigst über einen Support Incident bei WatchGuard beheben lassen…)

Zum anderen wird der Begriff WatchGuard System Manager auch etwas irreführend für den Server Service “WatchGuard Management Server” verwendet. Das ist der Nachfolger des früheren “VPN Manager”, also die Möglichkeit, mehrere WatchGuard Fireboxen zentral zu verwalten und Branch Office VPN Tunnel zwischen den angeschlossenen Standorten per Mausklick einzurichten… Der “WatchGuard Management Server” ist ein optionales Kaufprodukt, das in 5-er Schritten (auch 25, 50, 100) zusätzlich erworben werden kann (taucht in den Preislisten lustigerweise auch wieder als “WatchGuard System Manager” auf…). Wenn Sie mindestens eine X750e oder eine XTM 505 in Ihrem Account haben, hat WatchGuard Ihnen bereits kostenfrei eine Lizenz für 4 Standorte bereitgestellt. Diese finden Sie bei Ihren “Activated Products”: Die Lizenznummern beginnen mit WSMMGR-1-xxx, WSMMGR-4-xxx, WSMUPGRADE-5-xxx o.ä. Nun ja, zumindest fanden Sie dort die Lizenznummern, bevor WatchGuard am 02.07.2011 das Customer Portal umgestellt hat… 😉 Sie werden irgendwann dort auch einmal wieder erscheinen. Vorher hilft nur ein Support Call, mit der Bitte, die entsprechende(n) Lizenznummer(n) telefonisch oder per E-Mail oder im Support Incident bekannt zu geben…

Hinweis: es kann immer nur eine WSMMGR- (Basislizenz) verwendet werden. Die Anzahl der lizensierten Standorte lässt sich dann nur durch WSMUPGRADE- (Erweiterungslizenzen) erhöhen.

Den Installer WSM11_4_2s.exe können Sie auch ohne diese Lizenznummer(n) vollständig durchklicken und je nach Bedarf sowohl die Client Komponenten als auch die Server Services “Management Server”, “WebBlocker Server”, “Logging Server”, “Quarantine Server” und “Report Server” erfolgreich installieren.

Wenn Sie jedoch anschließend die Server Services über das WatchGuard Server Center konfigurieren (und bei der Installation den “Management Server” angeklickt haben), werden Sie zur Eingabe der Lizenznummer(n) aufgefordert. Dies können Sie zwar überspringen, jedoch wird der Management Server erst dann funktionstüchtig sein, wenn Sie die Lizenznummer(n) nachträglich über das WatchGuard Server Center eingetragen haben.

Hinweis: Wenn Sie überhaupt nur eine einzelne WatchGuard Firebox besitzen, bringt Ihnen der Management Server auch gar nichts. Sie sollten dann beim Durchklicken des WSM11_4_2s.exe Installers das Häkchen beim Management Server einfach weg lassen.

Verwirrt? Na ja, kommt wie gesagt auch in den besten Kreisen vor… 🙂

Diagnostic Tasks / Extended Ping / TCP Dump

4. August 2011 Bernd Och 1 Comment

Eine relativ unbekannte Funktion des Firebox System Managers sind die Diagnostic Tasks, die im Traffic Monitor per Rechtsklick mit der Maus erreicht werden können:

Eine Funktion ist Extended Ping, mit dem z.B. pings von der Firewall selbst aus gestartet werden können – und zwar auch unter Angabe des tatsächlich zu verwendenden Interfaces! Das kann gerade im Multi-WAN Umfeld interessant sein, wenn geprüft werden muss, ob ein bestimmter Ziel-Host auch genau über das angegebene Interface erreichbar ist (Problematik vgl. http://de.watchguard-blog.com/2011/08/multi-wan-und-policy-based-routing.html). Ein weiterer Anwendungsfall kommt aus dem Umfeld Dynamic Routing, wenn geprüft werden muss, ob das Routing eben auch auf den alternativen Wegen/Interfaces möglich ist. Die Advanced Options werden erst angezeigt, wenn das entsprechende Häkchen gesetzt ist. Im u.g. Screenshot wird die Ziel-IP 10.10.10.200 direkt von der Quell-IP 192.168.1.1 (Firebox Interface) angepingt:

Mittels TCP Dump lässt sich z.B. rudimentär mit verfolgen, welche Datenpakete auf welchem Interface transportiert werden – auch ohne dass sie zwingend im Traffic Monitor angezeigt werden:

Traffic Management funktioniert nicht richtig unter 11.4.1

4. August 2011 Bernd Och Comment

In der Version 11.4.1 hat sich ein Bug in den Bereich Traffic Management eingeschlichen. Eine Traffic Management Action, die eine Bandbreitenbegrenzung für den Fall enthält, dass der Verbindungsaufbau zwar in ausgehende Richtung erfolgt – der eigentliche Traffic aber von außen nach innen fließt, greift derzeit nicht!
Dies betrifft leider auch den “typischen” Anwendungsfall, dass HTTP Downloads bzw. allgemein das “Websurfen” nur eine begrenzte Bandbreite verwenden dürfen… 🙁

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Firewall / VPN

WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen