Tag Archives: Fireware Pro

Neue XTM 33 wird nicht mehr warm

Neu in der WatchGuard-Preisliste Januar 2012 sind die Modelle XTM 33 und XTM 33-W. Optisch gleichen die Geräte der XTM 2. Im Inneren arbeitet jedoch eine DEUTLICH leistungsfähigere Hardware mit einer schnelleren CPU und doppelt so viel Hauptspeicher (512 MB) wie bei einer XTM 2. Angeboten wird eine normale “wired version” XTM 33 – und eine Wireless Version XTM 33-W mit integriertem WLAN Accesspoint.
Auf der WatchGuard Conference 2012 in Neuss wurde eine XTM 33 für den WLAN-Zugang der Teilnehmer verwendet. Auch bei gleichzeitiger Nutzung durch ca. 30-40 User war kein Leistungseinbruch bei der Performance – und auch keine nennenswerte Erwärmung feststellbar! (Die XTM 2 Modelle werden im laufenden Betrieb teilweise recht warm. WatchGuard begründete dies bislang mit Hardware-Design-Gründen: die Metallunterseite der XTM 2 wird als passiver Kühlkörper mit verwendet).
Auch bei einer XTM 33 ist das XTM Pro Upgrade bereits im Lieferumfang enthalten. Jedoch wird es – anders als bei der XTM 330 – künftig keine Freischaltung der HA (Cluster) Funktionalität für die XTM 33 geben!
Die XTM 33 liegt preislich 10% unter der XTM 330.

Fireware Pro wird unter Manage Products nicht korrekt angezeigt

Bei registrierten WatchGuard X Edge, X Core und X Peak e-series Produkten wird momentan bei “Your Activated Products” in der Anicht unter Manage Products das Vorhandensein der Fireware Pro Option nicht korrekt angezeigt. Der Screenshot zeigt, dass die Fireware Pro angeblich “not activated” ist:

Im Feature Key ist aber ersichtlich, dass die Fireware Pro trotzdem korrekt aktiviert ist:

Serial Number: 908660xxxxxxx
License ID: 908660xxxxxxx
Name: Created Aug-27-2010 13:33
Model: X550e
Version: 1
Feature: AV@Mar-09-2012
Feature: AV_UPDATE@Mar-09-2012
Feature: IPS@Mar-09-2012
Feature: IPS_UPDATE@Mar-09-2012
Feature: WEBBLOCKER@Mar-09-2012
Feature: SPAMBLOCKER@Mar-09-2012;UC17Q63WEU2Q2Uxxxxxx
Feature: 3DES
Feature: INTERFACE#4
Feature: AV_SPEED#10
Feature: SESSION#25000
Feature: AUTHENTICATED_USER#250
Feature: AUTH_DOMAIN#5
Feature: FW_RULE#0
Feature: FW_PRO   <==== WICHTIG! Fireware Pro ist lizensiert!
Feature: FIREWARE
Feature: FW_SPEED#0
Feature: VPN_SPEED#35
Feature: BOVPN_TUNNEL#35
Feature: MUVPN_USER#25
Feature: LIVESECURITY@Mar-09-2012
Feature: MODEL#550e
Expiration: never
Signature: 4ebf-d8bc-xxxx-xxxx

Wie Auto Negotiation auf HA Port abschalten?

In einem Hochverfügbarkeits-Projekt sollten zwei WatchGuard Firebox X5000 mit Fireware 10.2.11, die bislang “klassisch” per Crossover-Patchkabel miteinander verbunden waren, auf zwei mehrere Hundert Meter auseinander liegende, aber mit ausreichend LWL/Glasfasern verbundene Serverräume verteilt werden. Die Telekom stellte zudem eine Zweiwege-Zuführung bereit. Die beteiligten Router regeln die dynamische Umschaltung der IP-Adressen im Bedarfsfall selbst. Aus Sicht des Firebox-Clusters handelt es sich also um eine einfache, klassische “Static IP” Konfiguration.

Für alle im Einsatz befindlichen Interfaces (hier: External, Trusted und eine DMZ) wurde pro Serverraum jeweils ein dedizierter Cisco-Switch bereitgestellt, die per LWL direkt miteinander verbunden sind. Die HA-Ports der Fireboxen wurden jedoch NICHT über Switche, sondern DIREKT miteinander verbunden – mit zwei Medienkonvertern, die RJ45 auf LWL umsetzen. Bei Inbetriebnahme des Clusters stellte sich heraus, dass die Heartbeats zwischen den Fireboxen nicht korrekt liefen, die Synchronisation der Konfiguration nur teilweise funktionierte und häufig zufällige Failovers ausgelöst wurden.

Problemursache war das offenbar nicht korrekt funktionierende Auto-Sensing zwischen Firebox und Medienkonverter am HA-Interface. Die Konverter waren nicht managebar, also musste seitens der Firebox ein fester Wert für den Betrieb des HA-Interfaces eingestellt werden, z.B. 100 Mbit Full-Duplex. Die GUI des Policy Managers erlaubt dies aber nicht! Sobald HA auf einem Interface aktiviert wird, wird dort automatisch “Auto-Sensing” eingestellt – auch wenn das Interface vorher fest mit 100 Mbit Full-Duplex konfiguriert wurde…

Abhilfe schafft hier der manuelle Eingiff in die XML-Konfigurationsdatei. Nach Aktivierung von HA kann in der XML-Datei für das entsprechende Interface der Wert für < auto-sensing > von 1 auf 0 geändert und die gewünschten Parameter (100 Mbit, Full Duplex) eingetragen werden. Im vorliegenden Fall musste diese Einstellung anschließend auch noch für die zweite Firebox manuell in deren Konfigurationsdatei geändert werden, denn die Synchronisation der Konfigurationen lief auch nach Anpassung der ersten Firebox noch immer nicht korrekt. Danach funktionierte der HA Cluster jedoch korrekt.

Hinweis: Manuelle Eingriffe in die XML-Konfigurationsdatei werden von WatchGuard offiziell “nicht supported” und erfolgen auf “eigene Gefahr”.

Management IP der passiven Box in einem 11.2.1 Active/Passive HA Cluster nicht erreichbar

In einem Active/Passive HA Cluster unter Fireware XTM v11.x haben beide Firewalls zusätzlich zu der gemeinsamen Traffic IP auch noch jeweils eine eigene Management IP-Adresse. Bei der Einrichtung des Clusters wird gefragt, über welches Interface der Management-Zugriff erfolgen soll. In vielen Fällen wird man das reguläre Trusted Interface wählen, wodurch die Management IP als Secondary IP (z.B. eth1:1) mit auf das Trusted Interface gebunden wird. Die Management IP hat u.a. den Vorteil, dass man nun auch die passive Box in einem Cluster “ansprechen” kann, was vorher nicht ging.

Wenn ein Netzwerk-Monitoring-System im Einsatz ist (z.B. Nagios), wird man daher auch die Management IP Adressen – auch die der passiven Box – überwachen (oder zumindest anpingen) wollen. In einem aktuellen Projekt hat das jedoch nicht funktioniert. Die nähere Untersuchung hat ein Verhalten aufgezeigt, das bei WatchGuard bereits als Bug bekannt ist:
Im passiven Zustand werden alle IP-Adressen von den Interfaces entfernt, bis auf die Management IP (und die Cluster IP auf dem dedizierten HA Interface). Die Subnetzmaske auf dem Interface der Management IP wird jedoch fest auf /24 (255.255.255.0) eingestellt:

– unabhängig davon, welche Subnetzmaske im aktiven Zustand auf diesem Interface eingestellt ist (!):

Zudem enthält die Routing Table der passiven Box kein Default Gateway:

Dies führt dazu, dass die Management IP der passiven Box dem Monitoring-System nicht antworten kann, es sei denn, dass die ersten drei Oktets der IP-Adresse zufälligerweise identisch sind und das Netz größer gleich /24 ist…

Software-Update auf 10.2.11 auf alten Firebox X Core und Peak

Bei den alten Modellen X Core X500, X700, X1000, X2500 sowie X Peak X5000, X6000, X8000 ist bekanntlich am 25.10.2009 das “End-of-Life” Datum erreicht worden, d.h. auch die Live Security ist an diesem Tag ausgelaufen. Ohne gültige Live Security können jedoch keine Software Updates mehr auf die Geräte aufgespielt werden. Wenn jedoch eine alte Firebox X tatsächlich bis zum 25.10.2009 unter Live Security gestanden ist, erstellt WatchGuard auf Antrag im Rahmen eines Support Incident einen 1-Tages-LiveSecurity-Key, mit dem das Gerät noch auf die letzte 10-er Version (10.2.11) upgegradet werden kann. WatchGuard weist jedoch ausdrücklich darauf hin, dass kein Support geleistet wird, sollte bei dem Software-Update etwas schiefgehen. Der Key wird jedoch nicht erstellt, wenn das Ablaufdatum der Live Security VOR dem 25.10.2009 lag, das Gerät auf “Retired” steht oder als Basis für ein Trade-Up verwendet worden ist.

[05.11.2009]: Sollten sich Probleme bei der Abwicklung über WatchGuard USA ergeben, kann auch ich Ihnen gegen Aufwandsentschädigung (ca. 1 Stunde Dienstleistung) helfen. Ich brauche das Gerät dann aber bei mir vor Ort!

X550e und X750e können mit Fireware XTM jetzt auch Gigabit

Obwohl auf der WatchGuard Website bei “Compare Models” die X550e ausdrücklich nur mit “10/100 Fast Ethernet” angegeben ist (Gigabit wird laut dieser Vergleichsübersicht nur von der X750e und X1250e unterstützt), synchronisiert auch eine X550e einen Gigabit Ethernet Link mit Full Duplex. Auch unter Network > Configuration könnten auf den NICs theoretisch auch 1000 Mbps, Full Duplex oder Half Duplex fest eingestellt werden, wovon jedoch abgeraten wird.
Hinweis: Unter Fireware 10.2.x wird Gigabit nach wie vor ausschließlich von der X1250e unterstützt!

Achtung bei Migration auf Fireware XTM: Routing Table – Abarbeitung ändert sich

Momentan habe ich wenig Zeit für meinen Blog, weil jeden Tag neue Support-Anforderungen bei mir eingehen. Admins migrieren ihre WatchGuard Firebox mit bestem Wissen und Gewissen auf Fireware XTM (Version 11) – und erleiden bisweilen Schiffbruch. In den allermeisten Fällen lassen sich die Probleme darauf zurückführen, dass bei Fireware XTM (Version 11) die interne Routing Table der Firebox in einer anderen Reihenfolge abgearbeitet wird als bei der bisherigen Fireware 10.2.x.

Generell gilt bei XTM: VPN hat Vorrang!

Welche Probleme können daraus entstehen und welche Lösungsansätze gibt es:

  • 1. Mobile User VPN. Während noch bei der Version WFS 7.x empfohlen wurde, den IP-Pool für die Einwahl der mobilen User INNERHALB des lokalen LAN-Subnetzes zu definieren (Beispiel: LAN = 192.168.0.0/24, mobile User (egal ob PPTP oder IPSec) bekommen 192.168.0.200 bis 220 zugewiesen), ist dies bei Fireware XTM (Version 11) grundsätzlich ein Problem und führt zu gravierendem Fehlverhalten.

    Verwenden Sie grundsätzlich für die Einwahl von mobilen Usern IP-Bereiche, die in dieser Form an keiner anderen Stelle Ihrer (verteilten) IP-Infrastruktur verwendet werden. Ich persönlich verwende gerne für PPTP den Bereich 172.31.254.1 bis 50, für IPSec 172.31.255.1 bis x (je nach Lizenz) und für SSL-VPN 172.31.253.0/24. Diese Bereiche werden in aller Regel noch nicht für andere Zwecke verwendet – und haben eben den Vorteil, dass die WatchGuard Firebox zu diesen Bereichen ein sauberes Routing fahren kann.

  • 2. Network > Routes. Das Problem hier lässt sich anhand von folgendem Support Fall verdeutlichen: als eth1 (=Trusted) war bei einem Kunden definiert: 192.168.0.1/30, d.h. außer der Firebox gibt es in diesem Subnetz nur noch genau einen weiteren Host, 192.168.0.2. Dies ist ein Standleitungs-Router, der eine Leitung zu einem 10-er IP-Netz am Hauptstandort des Unternehmens bedient, an dem sich auch die AD-Domänencontroller des Unternehmens befinden, über die u.a. auch die Einwahl der mobilen User gegenüber Active Directory authentifiziert wurde (Eintrag unter Setup > Authentication > Authentication Servers > Active Directory). Dummerweise gab es in dieser Konfiguration auch noch einen BOVPN-Tunnel (sprich eine feste Außenstelle), der auf der Gegenseite das IP-Netz 192.168.0.0/24 bedient hat. Während unter der Software-Version Fireware 10.2.x das auf eth1 definierte lokale Netzwerk 192.168.0.0/30 Vorrang hatte und daher die DCs in dem 10-er Netz per Routing erreichbar waren, verhält sich die WatchGuard Firebox unter Fireware XTM (Version 11) nun anders und schickt den Traffic zu dem Standleitungs-Router 192.168.0.2 nun nicht mehr zum lokalen Interface eth1 raus – sondern packt ihn in den Tunnel in die Außenstelle x ein, wo er im Nirwana landet… Problematik klar? In diesem Fall am einfachsten die Konfiguration von eth1 und die IP-Adresse und das Routing des/zum Standleitungs-Router so abändern, dass das verwendete IP-Subnetz an keiner anderen Stelle der Unternehmens-IP-Infrastruktur verwendet wird…
  • 3. Problematik: vermaschte IP-Netze. Unter einem “vermaschten IP-Netz” verstehe ich hier ein verteiltes Netzwerk mit mehreren Standorten, die auf TCP/IP-Basis miteinander kommunizieren können, wobei das Routing jedoch nicht direkt von Außenstelle zu Außenstelle geführt wird, sondern über einen gemeinsamen, zentralen Punkt (i.d.R. ein Rechenzentrum). Auch ich habe in der Vergangenheit Netze gebaut, die in einer Außenstelle z.B. ein IP-Netz à la 10.0.23.0/24 verwendet haben – und einen BOVPN-Tunnel zu 10.0.0.0/8 hinter einem zentralen Gateway angesteuert haben. Dort befand sich eine WatchGuard Firebox X Core oder X Peak, die den Traffic angenommen hat – und auch tatsächlich wieder korrekt in die ebenfalls dort terminierten BOVPN-Tunnel zu den anderen Außenstellen eingepackt hat. Damit ließen sich auch schon in der Vergangenheit zentralisierte VoIP-Lösungen (z.B. Asterisk, Siemens HiPath, Avaya) abbilden. Ein Problem entsteht unter Fireware XTM insbesondere dann, wenn auch das zentrale Netzwerk in einem IP-Subnetz des o.g. vermaschten Netzwerks betrieben wird. Die zentralen Server sind dann aus den Außenstellen heraus nicht mehr korrekt erreichbar. Trifft dieses Szenario auf Sie zu, sprechen Sie mich bitte direkt an, um eine Lösung gemeinsam zu erarbeiten.
  • 4. Allgemein gilt: sofern Ihre IP-Infrastruktur *KLAR* definiert ist und es zwischen den verwendeten IP-Bereichen keine Konflikte/Überschneidungen gibt, wird ein Update auf die aktuelle Version WSM 11.x und Fireware XTM v11.x relativ einfach und überschaubar über die Runden gehen.

Policy Based Routing offenbar auch bei IPSec

Bislang galten die Einstellungen für Policy Based Routing (PBR) im Multi-WAN Betrieb unter Fireware Pro (zwei oder mehr externe Internet-Anschlüsse auf der gleichen Firebox) ausdrücklich nur für ausgehenden non-IPSec Traffic.
Bei der Fireware XTM gilt PBR nun offenbar auch, wenn die Ziel-IP hinter einem VPN-Tunnel liegt. Aufgefallen ist mir dies daran, dass plötzlich ping nicht mehr über einen VPN-Tunnel funktioniert hat – tcp- oder udp-Verkehr hingegen schon. Die “ping”-Regel beim Kunden sah so aus: From: Any, To: Any, und hierbei PBR 2,0 (also bevorzugt eth2 und nur bei Failover eth0). Die VPN-Tunnel terminierten jedoch an eth0. Im Traffic Monitor war kein Problem zu sehen. Die Pakete wurden von der Firewall als Allowed zugelassen, erreichten eben aber nie ihr Ziel…
Es muss nun also noch genauer geschaut werden, wenn mit dem Begriff “Any” gearbeitet wird, denn auch “Any-BOVPN” (also alle BOVPN-Tunnel) sind Bestandteil von “Any”…
Ob dieses neue Verhalten jetzt eher Vorteil oder Nachteil ist, habe ich aus Zeitmangel noch nicht genauer durchdacht… 🙂