Tag Archives: Allgemeines

NIC Einstellungen auf dem Cluster Interface per Hand ändern

Im Normalbetrieb kann man ja für jedes Firewall-Interface die Ethernet Geschwindigkeit (10/100/1000 Mbit) und Full Duplex bzw. Half Duplex über Network > Configuration manuell einstellen, wobei aber in der Regel die Einstellung “Auto Negotiate” beibehalten werden sollte, solange keine Ethernet Errors und Collisions offensichtlich sind. Im HA Cluster-Betrieb können die NIC Einstellungen auf dem/den “Cluster-Interface(s)“, mit denen die Boxen direkt miteinander verbunden sind, jedoch NICHT manuell beeinflusst werden! Im Regelfall befinden sich beide Cluster Member direkt beieinander und sind mit einem normalen Patchkabel (1:1 oder Cross-Over) verbunden. In manchen Installationen befinden sich die beiden Cluster-Boxen aber in verschiedenen Räumen/Rechenzentren und sind teilweise mehrere Hundert Meter weit voneinander entfernt. Bei diesen Entfernungen kommen dann Querverbindungen zum Einsatz, die auf LWL/Glasfaser-Technik basieren. Je nachdem wie die Netzwerk-Infrastruktur an beiden Lokationen aussieht und wie viele freie LWL-Fasern zur Verfügung stehen, werden die Interfaces der beiden Fireboxen dann entweder direkt miteinander verbunden (über LWL-Medienkonverter) – oder über VLANs, die auf entsprechenden Switchen an beiden Lokationen konfiguriert sind. In beiden Fällen hatte ich nun in der Praxis bereits Fälle, dass speziell die HA-Verbindung (Cluster Interface) zwischen den beiden Boxen Probleme bereitet hat und Ethernet Errors und Collisions auftraten. Teilweise konnten die beteiligten externen Netzwerk-Komponenten (=Medien-Konverter) nicht auf einen festen Wert eingestellt werden oder es gab nach wie vor Probleme, egal auf welche Werte das Interface auf dem beteiligten VLAN-Switch (z.B. HP) eingestellt war. Hier kann dann nur über die WatchGuard versucht werden, das Problem abzustellen. Aber wie gesagt, für das Cluster Interface lassen sich keine festen Werte über die GUI einstellen. Also muss hier mal wieder ein Texteditor und ein manueller Eingriff in die XML-Konfigurationsdatei ran… 😉

Je nachdem, wie bzw. wie oft das betreffende Interface vorher schon mal konfiguriert war, findet sich in der Konfig-Datei dann folgende Stelle:

[Schnipp] (für die Ansicht hier “<" und ">” durch “{” und “}” ersetzt)

{interface}
   {name}Optional-5{/name}
   {description /}
   {property}0{/property}
   {if-item-list}
    {item}
     {item-type}1{/item-type}
     {physical-if}
      {if-num}6{/if-num}
      {enabled}1{/enabled}
      {if-property}4{/if-property}
      {ip}0.0.0.0{/ip}
      {netmask}255.255.255.255{/netmask}
      {mtu}1500{/mtu}
      {auto-negotiation}1{/auto-negotiation}
      {link-speed}100{/link-speed}
      {mac-address-enable}0{/mac-address-enable}
      {mac-address /}
      {full-duplex}1{/full-duplex}

[Schnapp]

Die fett markierten Stellen sprechen für sich und müssen eben entsprechend händisch angepasst werden, also Auto Negotiation ausschalten (=0) und die entsprechenden Werte für Link Speed und Full Duplex an (=1) bzw. aus (=0) einstellen. Anschließend kann die XML-Datei gespeichert und auf die Firebox hochgeladen werden. Im Policy Manager unter Network > Configuration wird dann auch die Änderung des “NIC Speed” angezeigt (also z.B. 100 Mbit Full Duplex)…

IKE (IPSec) Subsystem einzeln neu starten

Wie man die Neu-Aushandlung von BOVPN Tunneln (einzeln oder alle) über den Firebox System Manager erzwingen kann, dürfte allgemein bekannt sein (FSM > Front Panel > Branch Office VPN Tunnels und dann Rechtsklick auf dieser Zeile oder einem der darunter angezeigten Gateway-Einträge: “Rekey All BOVPN Tunnels” bzw. “Rekey Selected BOVPN Tunnel”). Manchmal reicht dies aber nicht aus und man möchte gerne das komplette IKE/IPSec Subsystem auf der WatchGuard neu starten, um auf diese Weise eventuell auch “quer sitzende” SA-Fragmente los zu werden, die ein einfaches Re-Keying eines BOVPN Tunnels verhindern. Natürlich kann man dazu einfach die komplette WatchGuard neu booten – das geht aber im Produktiveinsatz nicht immer ohne weiteres. Über den Kommandozeilenmodus / Command Line Interface (CLI) gibt es die Möglichkeit, nur den IKE Prozess einzeln neu zu starten und dadurch alle SAs und Fragmente restlos zurückzusetzen:

* Als “admin” per Putty/SSH an der WatchGuard anmelden
* Befehl diagnose vpn “/ike/restart” absetzen
* Mit exit wieder abmelden

Ob der iked Prozess korrekt neu gestartet hat, kann man im FSM auf der Registerkarte “Status Report” sehen. In der Prozessliste sollte für iked nun das aktualisierte Datum/Uhrzeit zu sehen sein.

Reboot der WatchGuard per Script

Dass ein zeitgesteuerter Reboot einer WatchGuard eingerichtet werden kann, dürfte allgemein bekannt sein (im Policy Manager unter Setup > Global Settings > Automatic Reboot). Neulich fragte ein Kunde, ob ein solcher Reboot auch event-gesteuert eingerichtet werden kann. Konkret sollte die WatchGuard jede Nacht durchbooten – aber erst dann, wenn die nächtlichen Online-Backup Jobs zu Ende gelaufen waren. Die verwendete Backup-Software hat die Option, abschließend ein Programm/Script zu starten, das diese Aufgabe übernehmen könnte.
Eine mögliche Lösung sieht so aus: Auf dem Backup-Server wird die 3rd-Party Software Cygwin installiert (http://cygwin.com). Bei der Installation müssen die Module expect und openssh mitinstalliert werden. Das auszuführende Skript sieht in etwa so aus:

#!/usr/bin/expect

set firebox    “a.b.c.d”   ;# IP-Adresse der WatchGuard
set fbusername “admin”     ;# admin Account verwenden
set fbpassword “xxxxxxxx”  ;# admin Kennwort

spawn ssh $fbusername@$firebox -p 4118

# SSH Warnmeldung übergehen bei erstmaliger Anmeldung

set logged_in 0
while {!$logged_in} {
   expect timeout {
    } “Are you sure you want to continue connecting (yes/no)? ” {
      exp_send “yesr”
    } “[Pp]assword*” {
      exp_send “$fbpasswordr”
    } -re “WG.*(#|>)” {
      set logged_in 1
    }
}

# Reboot-Befehl absetzen und SSH Verbindung beenden

set timeout 20
exp_send “rebootr”
  expect timeout {
    } “Reboot (yes or no)?” {
      exp_send “yesr”
    }
expect -re “WG.*(#|>)”
exp_close
exp_wait

Dieses Script kann nun über die Cygwin-Umgebung ausgeführt werden: C:cygwinbinbash.exe –login -c [Dateiname].

Und kann somit flexibel in jegliche Scripting-/Batch-Umgebungen eingebunden werden. Natürlich kann der v.g. Befehl auch wiederum zeitgesteuert ausgeführt werden, wenn über den Task Scheduler / Aufgabenplanung entsprechende Tasks eingerichtet werden. Während die integrierte Funktion “Automatic Reboot…” nur tägliche oder wöchentliche Intervalle zulässt, können auf diesem Weg also auch davon abweichende Reboot-Zyklen umgesetzt werden. Auch alle anderen Command Line Interface (CLI) Befehle lassen sich auf die o.g. Methode von außen scripten… Damit sind viele kreative Ideen umsetzbar, z.B. auch das regelmäßige Auslesen der XML-Konfigurationsdatei und Ablegen auf einen FTP-Server… Die vollständige Referenz der Kommandozeilen-Befehle findet sich auf der WatchGuard Website unter http://www.watchguard.com/help/documentation/xtm.asp

Neue XTM 33 wird nicht mehr warm

Neu in der WatchGuard-Preisliste Januar 2012 sind die Modelle XTM 33 und XTM 33-W. Optisch gleichen die Geräte der XTM 2. Im Inneren arbeitet jedoch eine DEUTLICH leistungsfähigere Hardware mit einer schnelleren CPU und doppelt so viel Hauptspeicher (512 MB) wie bei einer XTM 2. Angeboten wird eine normale “wired version” XTM 33 – und eine Wireless Version XTM 33-W mit integriertem WLAN Accesspoint.
Auf der WatchGuard Conference 2012 in Neuss wurde eine XTM 33 für den WLAN-Zugang der Teilnehmer verwendet. Auch bei gleichzeitiger Nutzung durch ca. 30-40 User war kein Leistungseinbruch bei der Performance – und auch keine nennenswerte Erwärmung feststellbar! (Die XTM 2 Modelle werden im laufenden Betrieb teilweise recht warm. WatchGuard begründete dies bislang mit Hardware-Design-Gründen: die Metallunterseite der XTM 2 wird als passiver Kühlkörper mit verwendet).
Auch bei einer XTM 33 ist das XTM Pro Upgrade bereits im Lieferumfang enthalten. Jedoch wird es – anders als bei der XTM 330 – künftig keine Freischaltung der HA (Cluster) Funktionalität für die XTM 33 geben!
Die XTM 33 liegt preislich 10% unter der XTM 330.

Lauter Lüfter bei XTM 330 soll leiser werden

Das im Dezember 2011 erstmals ausgelieferte neue 19″ 1HE Modell WatchGuard XTM 330 überzeugt durch eine ausgewogene Kombination aus Dual-Core CPU und 1 GB Hauptspeicher.
Damit ist das Gerät künftig sicher die erste Wahl für kleine Unternehmen bis etwa 100 Mitarbeiter, die eine professionelle 19″ Hardware Firewall/VPN Appliance suchen, die auch in der Lage ist, alle verfügbaren WatchGuard Security Services (WebBlocker, spamBlocker, Gateway Antivirus, Intrusion Prevention Service, Reputation Enabled Defense und Application Control) performant abbilden zu können. Preislich liegt die XTM 330 genau 20% unter der XTM 505, wenn man berücksichtigt, dass das XTM Pro Upgrade bei der 330 bereits enthalten ist, aber bei der 505 separat dazu bestellt werden muss.
Während die XTM5 bereits temperaturgesteuerte Lüfter hat, die ein solches Gerät angenehm leise machen, laufen die Lüfter bei der XTM 330 derzeit ständig auf 100% und erzeugen einen hohen Geräuschpegel, der eigentlich nur in einem Serverraum erträglich ist… 🙂
Es soll jedoch demnächst ein Software-Update/Patch geben (BIOS-Update für die XTM 330), so dass auch bei diesem Modell die Temperatursteuerung funktioniert und die XTM 330 im Normalbetrieb deutlich leiser werden soll.

(Wert-)schöpferische Phase beendet…

Das schlechte Gewissen reist ständig mit. Seit Oktober 2011 habe ich jetzt hier auf dem Blog nichts mehr geschrieben. Begründen und entschuldigen kann ich das nur mit dem Hinweis auf die Vielzahl von WatchGuard-Projekten, die wir (BOC Computersysteme GmbH) im 4.Quartal 2011 umgesetzt haben. Knapp 200 neue WatchGuard-Boxen wurden alleine in diesen drei Monaten verkauft und großteils auch von uns installiert. Auf der WatchGuard Conference am 19.01.2012 in Neuss durfte ich dafür auch die Auszeichnung Best Performing Partner 2011 Central EMEA (Europe, Middle East and Africa) entgegen nehmen. Dazu kommen noch die Lizenzverkäufe (LiveSecurity Renewals und UTM Software Suite bzw. Security Services Verlängerungen) und die “ganz normalen” Wartungs-Dienstleistungen und Software-Migrationen, teilweise auch schon auf die neue Fireware XTM 11.5.1. Über die Erfahrungen hierbei werde ich nun in kürzerer Folge hier berichten… 🙂

WSMMGR Lizenznummer derzeit nur per Support Incident

Auch mehr als zwei Monate nach dem Umbau der WatchGuard-Webseite gibt es noch keine Möglichkeit, die Lizenznummer für den “WatchGuard System Manager” (bzw. besser gesagt: die “Management Server” Komponente, vgl. auch https://www.boc.de/watchguard-info-portal/watchguard-system-manager-vs-watchguard-management-server-2/) selbständig aus seinem LiveSecurity Account auzulesen wie das bis Anfang Juli möglich war.
Wer aktuell seine VPNMGR, WSMMGR und/oder WSMUPGRADE Lizenznummer(n) braucht und nicht bereits irgendwo dokumentiert hat, muss leider bei WatchGuard einen Support Incident aufmachen (per Web oder telefonisch) – und sich die entsprechenden Lizenznummer(n) von den WatchGuard-Kollegen händisch auslesen und übermitteln lassen…

Transfer of Ownership geht noch nicht…

Es kommt ja immer mal wieder vor, dass eine WatchGuard von einem Live Security Account zu einem anderen Account “verschoben” werden muss (“Transfer of Ownership”). Seit der Umstellung des WatchGuard Portals steht diese Funktion temporär nicht zur Verfügung. WatchGuard arbeitet daran. Derzeit bekommt man auf einen entsprechenden Customer Care Incident die Antwort, dass dies später erledigt wird und man eine entsprechende Mitteilung erhalten wird.

WatchGuard System Manager vs. WatchGuard Management Server

Begriffsbestimmung “WatchGuard System Manager”: Dieser wird auch im internen WatchGuard-Sprachgebrauch etwas uneindeutig verwendet.

Zum einen taucht er auf bei den Software Downloads und steht dort für die Software-Komponenten, die für die Installation auf einem Windows-basierten “WatchGuard Management Computer” gedacht sind. Der Dateiname für die aktuelle Version 11.4.2 lautet z.B.: WSM11_4_2s.exe (s steht hierbei für Strong Encryption) oder WSM11_4_2b.exe (b für Base Encryption – wenn z.B. beim Anlegen Ihres WatchGuard Accounts etwas schief gelaufen ist und Sie versehentlich in einem Land angesiedelt wurden, das unter US-Export-Beschränkungen steht 😉 Einen solchen Fehler sollten Sie schleunigst über einen Support Incident bei WatchGuard beheben lassen…)

Zum anderen wird der Begriff WatchGuard System Manager auch etwas irreführend für den Server Service “WatchGuard Management Server” verwendet. Das ist der Nachfolger des früheren “VPN Manager”, also die Möglichkeit, mehrere WatchGuard Fireboxen zentral zu verwalten und Branch Office VPN Tunnel zwischen den angeschlossenen Standorten per Mausklick einzurichten… Der “WatchGuard Management Server” ist ein optionales Kaufprodukt, das in 5-er Schritten (auch 25, 50, 100) zusätzlich erworben werden kann (taucht in den Preislisten lustigerweise auch wieder als “WatchGuard System Manager” auf…). Wenn Sie mindestens eine X750e oder eine XTM 505 in Ihrem Account haben, hat WatchGuard Ihnen bereits kostenfrei eine Lizenz für 4 Standorte bereitgestellt. Diese finden Sie bei Ihren “Activated Products”: Die Lizenznummern beginnen mit WSMMGR-1-xxx, WSMMGR-4-xxx, WSMUPGRADE-5-xxx o.ä. Nun ja, zumindest fanden Sie dort die Lizenznummern, bevor WatchGuard am 02.07.2011 das Customer Portal umgestellt hat… 😉 Sie werden irgendwann dort auch einmal wieder erscheinen. Vorher hilft nur ein Support Call, mit der Bitte, die entsprechende(n) Lizenznummer(n) telefonisch oder per E-Mail oder im Support Incident bekannt zu geben…

Hinweis: es kann immer nur eine WSMMGR- (Basislizenz) verwendet werden. Die Anzahl der lizensierten Standorte lässt sich dann nur durch WSMUPGRADE- (Erweiterungslizenzen) erhöhen.

Den Installer WSM11_4_2s.exe können Sie auch ohne diese Lizenznummer(n) vollständig durchklicken und je nach Bedarf sowohl die Client Komponenten als auch die Server Services “Management Server”, “WebBlocker Server”, “Logging Server”, “Quarantine Server” und “Report Server” erfolgreich installieren.

Wenn Sie jedoch anschließend die Server Services über das WatchGuard Server Center konfigurieren (und bei der Installation den “Management Server” angeklickt haben), werden Sie zur Eingabe der Lizenznummer(n) aufgefordert. Dies können Sie zwar überspringen, jedoch wird der Management Server erst dann funktionstüchtig sein, wenn Sie die Lizenznummer(n) nachträglich über das WatchGuard Server Center eingetragen haben.

Hinweis: Wenn Sie überhaupt nur eine einzelne WatchGuard Firebox besitzen, bringt Ihnen der Management Server auch gar nichts. Sie sollten dann beim Durchklicken des WSM11_4_2s.exe Installers das Häkchen beim Management Server einfach weg lassen.

Verwirrt? Na ja, kommt wie gesagt auch in den besten Kreisen vor… 🙂

Diagnostic Tasks / Extended Ping / TCP Dump

Eine relativ unbekannte Funktion des Firebox System Managers sind die Diagnostic Tasks, die im Traffic Monitor per Rechtsklick mit der Maus erreicht werden können:

Eine Funktion ist Extended Ping, mit dem z.B. pings von der Firewall selbst aus gestartet werden können – und zwar auch unter Angabe des tatsächlich zu verwendenden Interfaces! Das kann gerade im Multi-WAN Umfeld interessant sein, wenn geprüft werden muss, ob ein bestimmter Ziel-Host auch genau über das angegebene Interface erreichbar ist (Problematik vgl. http://de.watchguard-blog.com/2011/08/multi-wan-und-policy-based-routing.html). Ein weiterer Anwendungsfall kommt aus dem Umfeld Dynamic Routing, wenn geprüft werden muss, ob das Routing eben auch auf den alternativen Wegen/Interfaces möglich ist. Die Advanced Options werden erst angezeigt, wenn das entsprechende Häkchen gesetzt ist. Im u.g. Screenshot wird die Ziel-IP 10.10.10.200 direkt von der Quell-IP 192.168.1.1 (Firebox Interface) angepingt:

Mittels TCP Dump lässt sich z.B. rudimentär mit verfolgen, welche Datenpakete auf welchem Interface transportiert werden – auch ohne dass sie zwingend im Traffic Monitor angezeigt werden: