Um eine WatchGuard Firebox Appliance überhaupt sinnvoll nutzen zu können, muss diese über die WatchGuard Website aktiviert werden. Das bedeutet, dass die Seriennummer bei WatchGuard registriert werden muss, damit man anschließend den Feature Key (die Lizenzdatei) herunterladen kann. Der Feature Key wird dann bei der Inbetriebnahme über den Web Setup Wizard gebraucht.
Bevor man auf einer WatchGuard Firebox / XTM ein Software Upgrade (Fireware XTM) installiert, sollte man sicherstellen, dass auf der Firebox ein aktueller Feature Key (Lizenzdatei) vorhanden ist, der dies überhaupt zulässt. Ist nämlich die LiveSecurity (Standard Support) abgelaufen, verweigert sich die Firebox mit einer Fehlermeldung! Ob bzw. wie lange die Live Security (Standard Support) noch gültig ist, sieht man unter anderem im WSM > Policy Manager unter Setup > Feature Keys… Steht dort in rot “Expired”, braucht man gar nicht versuchen, die Arbeiten fortzusetzen. Stattdessen muss zunächst dafür gesorgt werden, dass wieder ein Feature Key mit gültiger Live Security vorhanden ist.
Wichtig: Wenn Sie der Meinung sind, dass Sie die LiveSecurity bereits verlängert haben, überprüfen Sie bitte in Ihrem Account auf der WatchGuard Website das dort für die Seriennummer angezeigte Ablaufdatum. Möglicherweise müssen Sie nur noch den aktuellen Feature Key eben dort herunterladen und genau in dem hier gezeigten Untermenü auf die WatchGuard hochladen (Save to Firebox nicht vergessen!). Bei dieser Gelegenheit können Sie auch das Häkchen setzen für Enable automatic feature key synchronization, damit die Firebox künftig selbständig mitbekommt, wenn Lizenzverlängerungen vorgenommen wurden. Liegt der neue Feature Key vor, muss dieser noch mit der alten Softwareversion importiert und auf die Firebox hochgeladen werden. Erst danach sollte über den Policy Manager der reguläre Update-Prozess gestartet werden: File > Upgrade…
Möglicherweise erforderliche Lizenzverlängerungen (Renewals) kauft man bei dem WatchGuard-Partner seines Vertrauens, gerne hier im Shop. 🙂
Dieser Artikel wurde erstmals am 28.01.2009 im „Technischen WatchGuard-Blog von Bernd Och“ veröffentlicht. Hierher verschoben und aktualisiert in 2016.
Der nachfolgende Artikel beschreibt die notwendigen Schritte, die zur Verlängerung einer WatchGuard Lizenz notwendig sind.
Viele Kunden steigen derzeit von einer WatchGuard X Core e-series X550e, X750e, X1250e auf ein entsprechendes Nachfolge-Modell XTM 505, XTM 510, XTM 520 und XTM 530 um (respektive von X Peak e-series auf XTM8). Fast immer taucht die Frage auf, ob die bestehende Konfiguration des “alten” Geräts auf das “neue” Gerät übertragen werden kann. Ja, sie kann. Es gilt aber ein paar kleine Hürden zu überwinden.
Zunächst muss natürlich die neue Box über die WatchGuard Website registriert und der neue Feature Key (Lizenzdatei) heruntergeladen werden. Auf dem Konfigurations-PC/Notebook haben Sie den aktuellen WSM 11.4.2 und die entsprechende Fireware XTM 11.4.2 für Ihre Geräte-Familie installiert, und auch das Adobe Flash Plugin für Ihren Browser ist vorhanden. Über https://10.0.1.1:8080 melden Sie sich mit dem User “admin” und dem Factory Default Kennwort “readwrite” an. Sie klicken den Setup Wizard mit den Default-Werten durch, importieren dabei auch den Feature Key und vergeben am Schluss Ihre eigenen Firewall-Kennwörter. Nach der erneuten Anmeldung mit Ihrem eigenen “admin”-Kennwort installieren Sie über System > Upgrade OS die neueste Fireware XTM 11.4.2 auf der Box, die daraufhin einmal durchbooten wird. Auf Ihrem Konfigurations-PC/Notebook starten Sie dann den WSM 11.4.2 und machen ein “Connect to Device” zu Ihrer neuen XTM-Box. Anschließend öffnen Sie den Policy Manager, der Ihnen die praktisch “leere” XML-Konfigurationsdatei der neuen XTM-Box anzeigt.
So weit, so gut. Erst jetzt wird es interessant:
Im Policy Manager laden Sie über File > Open > Configuration File die letzte XML-Konfigurationsdatei Ihrer “alten” WatchGuard. Auf die Frage “Do you want to save this new configuration to a file?” antworten Sie mit NEIN.
Sie sehen daraufhin die Konfigurationsdatei Ihrer “alten” WatchGuard. Falls Sie bisher eine X750e/X1250e im Einsatz hatten, bei der das Interface ganz rechts außen (eth7) im Einsatz war, sollten Sie sich die Network > Configuration Einstellungen für dieses Interface auf Papier notieren und prüfen, ob das Interface irgendwo namentlich in Firewall-Regel(n) auftaucht und auch diese entsprechend dokumentieren! Über Setup > System > Model wählen Sie Ihr neues Hardware-Modell aus. Es folgt eine Warnmeldung, die auf die veränderte Anzahl der Ethernet-Schnittstellen hinweist (eine XTM5 hat jetzt 7 Interfaces, eine alte X550e hatte 4, eine X750e/X1250e 8 Interfaces). Anschließend müssen Sie noch bei Setup > Feature Keys den Feature Key der alten Box removen und den Feature Key der neuen Box importieren. Beachten Sie bitte, dass im Policy Manager ganz unten rechts noch der Hinweis steht, dass es sich um eine Konfigurationsdatei des Typs “Fireware XTM v11.0-v11.3.x” handelt:
Auch bis hierhin alles planmäßig.
Anschließend starten Sie ein “Save to Firebox”. Die eventuelle Warnmeldung “The specified IP address does not match any of the interfaces specified in this config file. Are you sure you want to save to this Firebox?” (…ist klar, weil Ihre alte Konfigurationsdatei höchstwahrscheinlich eben nicht die 10.0.1.1 für eth1 enthält…) bestätigen Sie mit JA.
und erhalten dann eine zweite Warnmeldung: “The configuration file must be upgraded before it can be saved to the v11.4.2 device. Would you like to upgrade the configuration now?”. Auch die bestätigen Sie mit JA.
Anschließend folgt überraschend: “Error communicating with Firebox [IP]. INTERNAL_ERROR: The configuration is invalid, missing application action object”, die Sie nur mit OK bestätigen können.
=> Brechen Sie den Vorgang dann mit CANCEL ab und schließen Sie den Policy Manager.
Öffnen Sie den Policy Manager erneut, und öffnen Sie über File > Open > Configuration File die NEUESTE Version der Konfigurationsdatei, die im Zuge des vorigen “Save to Firebox” gespeichert wurde (ist nur wenige Minuten alt…). Bestätigen/ignorieren Sie die weiter oben bereits beschriebenen Warnmeldungen und starten Sie dann erneut den Vorgang “Save to Firebox”. Beachten Sie in diesem Zusammenhang, dass nun im Policy Manager ganz unten rechts für die Konfigurationsdatei der Typ “Fireware XTM v11.4.2” angezeigt wird:
=> Jetzt – beim zweiten Mal – sollte das Hochladen der Konfigurationsdatei funktionieren:
Danach sollten Sie die neue Box dann auch über die “alten” TCP/IP-Einstellungen auf den entsprechenden Interfaces ansprechen können! [Hinweis: die Firewall-Kennwörter sind nicht Bestandteil der Konfigurationsdatei, sondern hardwarespezifisch! D.h. die neue Firebox hat nicht automatisch die Kennwörter der alten Firebox, sondern die, die Sie ihr über den Setup Wizard verpasst haben!]
Mir ist es in den letzten Wochen selbst zweimal passiert, und auch ein Kunde hat übereinstimmend berichtet, dass beim Software-Update einer bestehenden X Core e-series (X550e, X750e, X1250e) von Softwareversion 10.2.x direkt auf Version 11.3.4 die Firebox anschließend eine “leere” Konfigurationsdatei hatte – genau so wie sie aus dem Setup Wizard mit durchbestätigten Default-Einstellungen heraus kommen würde.
Das Dumme dabei ist, dass sich auch die TCP/IP-Einstellungen der Interfaces auf Default zurückgesetzt haben: eth0=10.0.0.1/24, eth1=10.0.1.1/24 usw.!! Dadurch war die Firebox natürlich nicht mehr direkt “ansprechbar”, weder vom Trusted Network noch remote über das Internet!
Zum Glück war bisher in allen meinen Fällen kompetentes IT-Personal vor Ort zur Stelle, das nach telefonischer Anleitung den lokalen Zugriff und den Remote-Zugriff wieder herstellen konnte:
Dieses Verhalten ist bei WatchGuard (noch) nicht als Problem bekannt, aber man weiß ja nie… Drei unabhängige Fälle lassen ja schon vermuten, dass da womöglich momentan ein Bug sein Unwesen treibt… Kleiner Tipp: eventuell hat das Problem ja auch etwas mit den berühmten Sonderzeichen zu tun. Sollten Sie also Firewall-Kennwörter verwenden, die nicht ausschliesslich aus A-Z, a-z und 0-9 bestehen, sollten Sie diese eventuell VOR dem Software-Update kurzfristig entsprechend ändern… 🙂
Heute erreicht mich die Nachricht, dass WatchGuard mit dem Erscheinen der Dezember-Preisliste die Einkaufskonditionen für den Handelskanal um 10% kürzen wird. Dies hat direkt zur Folge, dass die Abgabepreise an gewerbliche und öffentliche Endkunden (“Straßenpreis”) um eben diesen Differenzbetrag STEIGEN werden. Bitte berücksichtigen Sie dies bei langfristigeren Projekten!
Für Bestandskunden ist es sogar sinnvoll, eventuell noch im NOVEMBER anstehende Live Security und UTM Lizenz Verlängerungen zu kaufen, selbst wenn das eigentliche Verlängerungsdatum erst weiter in der Zukunft liegt! Hinweis: selbst bei vorzeitiger Verlängerung der Services GEHT NICHTS VERLOREN. Die neu gekaufte Laufzeit wird automatisch an das Ende der bisherigen Laufzeit angehängt!
Bei registrierten WatchGuard X Edge, X Core und X Peak e-series Produkten wird momentan bei “Your Activated Products” in der Anicht unter Manage Products das Vorhandensein der Fireware Pro Option nicht korrekt angezeigt. Der Screenshot zeigt, dass die Fireware Pro angeblich “not activated” ist:
Im Feature Key ist aber ersichtlich, dass die Fireware Pro trotzdem korrekt aktiviert ist:
Serial Number: 908660xxxxxxx
License ID: 908660xxxxxxx
Name: Created Aug-27-2010 13:33
Model: X550e
Version: 1
Feature: AV@Mar-09-2012
Feature: AV_UPDATE@Mar-09-2012
Feature: IPS@Mar-09-2012
Feature: IPS_UPDATE@Mar-09-2012
Feature: WEBBLOCKER@Mar-09-2012
Feature: SPAMBLOCKER@Mar-09-2012;UC17Q63WEU2Q2Uxxxxxx
Feature: 3DES
Feature: INTERFACE#4
Feature: AV_SPEED#10
Feature: SESSION#25000
Feature: AUTHENTICATED_USER#250
Feature: AUTH_DOMAIN#5
Feature: FW_RULE#0
Feature: FW_PRO <==== WICHTIG! Fireware Pro ist lizensiert!
Feature: FIREWARE
Feature: FW_SPEED#0
Feature: VPN_SPEED#35
Feature: BOVPN_TUNNEL#35
Feature: MUVPN_USER#25
Feature: LIVESECURITY@Mar-09-2012
Feature: MODEL#550e
Expiration: never
Signature: 4ebf-d8bc-xxxx-xxxx
WatchGuard X Core und X Peak e-series Modelle werden auch heute noch ab Werk mit der Software-Version 10.2 ausgeliefert. Ich führe derzeit folgende Schritte aus, wenn ich die Produkte out-of-the-box auf die aktuelle Version Fireware XTM 11.3.1 updaten möchte (Voraussetzung: Dual-Install eines WSM 10.2.x und WSM 11.3.1 auf dem Installations-PC vorhanden, feste IP de PC z.B. 10.0.1.100/24, verbunden mit eth1 der Firebox):
Ich habe festgestellt, dass ein direkter Update-Versuch einer Factory Default 10.2 Firebox über den “Quick Setup Wizard” des WSM 11.3.1 scheitert, weil der Installer nach ca. 2-3 Minuten an folgender Stelle hängenbleibt:
Danach geht es auch nach 10-15 Minuten nicht weiter und der Quick Setup Wizard 11.3.1 muss mit einer Fehlermeldung abgebrochen werden. Zum Erfolg führte dann in der Regel das weiter oben beschriebene Verfahren in einer Dual-Install-Umgebung.
In den letzten Monaten hat die Registrierung einer WatchGuard XCS E-Mail Security Appliance dazu geführt, dass ein sehr umfangreicher “Feature Key” (Lizenzdatei) generiert wurde, in dem unter anderem auch der Firmenname enthalten war, über deren Account die Box aktiviert wurde. Wenn im Firmennamen z.B. Non-ASCII Zeichen wie äöüß enthalten waren – oder sogar nur das &-Zeichen einer “GmbH & Co. KG”, gab es beim Import des Feature Keys in das Produktivsystem Schwierigkeiten.
Stand HEUTE sieht ein Feature Key für eine XCS-Box anders aus und enthält auch keinen Firmennamen mehr:
Serial Number: B0E10024xxxxx
License ID: B0E10024xxxxx
Name: 07-06-2010_17:23
Model: XCS170
Version: 1
Feature: ATTACHMENT_CONTROL@Mar-12-2011
Feature: CENTRALIZED_MANAGEMENT
Feature: CLUSTERING
Feature: CONTENT_RULES_EMAIL@Mar-12-2011
Feature: CONTENT_SCANNING@Mar-12-2011
Feature: DOCUMENT_FINGERPRINTING_EMAIL@Mar-12-2011
Feature: EMAIL
Feature: KASPERSKY@Mar-12-2011
Feature: LIVESECURITY@Mar-12-2011
Feature: OCF_EMAIL@Mar-12-2011
Feature: OUTBREAK_CONTROL@Mar-12-2011
Feature: QUEUE_REPLICATION
Feature: REPUTATION_AUTHORITY@Mar-12-2011
Expiration: never
Signature: x-x-x-x-x-x
Bei der Inbetriebnahme einer WatchGuard SSL 100 SSL-VPN Appliance musste ich heute feststellen, dass der nach Produkt-Registrierung auf der WatchGuard Website heruntergeladene Feature Key korrupt war und die SSL 100 sich mit dem Fehler “Wrong Feature Key” verweigerte. Anders als bei den klassischen WatchGuard Produkten steckt in einem SSL 100 Feature Key u.a. auch der Firmenname und die E-Mail-Adresse des Ansprechpartners, so wie sie im betreffenden Account hinterlegt sind. Wurden bei der erstmaligen Erzeugung des Accounts im Firmennamen Sonderzeichen, Umlaute etc. verwendet, kann dies zu diesem Fehlerbild führen. Im vorliegenden Fall war das &-Zeichen der Übeltäter (eine GmbH & Co. KG…)
Leider kann man den Firmennamen im Account NICHT selbst ändern. Hierzu muss ein Support Incident geöffnet werden oder die Customer Care Abteilung in USA anderweitig informiert werden. Diese entfernt dann verdächtige Zeichen aus der Datenbank. Dieses Verhalten ist von WatchGuard als Bug bestätigt, es gibt aber noch keine Aussage, wann dieser Fehler beseitigt wird.
