Tag Archives: Fireware Pro

Fireware Installer zweimal starten

Comment

Wenn eine neue Fireware-Version (z.B. 10.2.7) auf eine Windows Management Station installiert werden soll, auf der sich bereits eine etwas ältere Version (z.B. 10.2.6) befindet, erscheint nach dem Aufruf des (neuen) Fireware-Installers die Meldung “Do you want to completely remove the selected application and all of its features?”:

Diese Meldung verwundert zunächst: warum soll etwas deinstalliert werden – es soll doch etwas installiert werden… Antworten Sie mit JA! Nun wird zunächst die ältere Version deinstalliert! Rufen Sie anschließend den Fireware-Installer einfach ein zweites Mal auf. Erst dann wird die neue Fireware-Version tatsächlich installiert…

WSM und Fireware 10.2.7 verfügbar

1 Comment

Die neuen Versionen WSM, Fireware und SSL-VPN-Client 10.2.7 stehen im Software Download Bereich der WatchGuard Website bereit. In den Release Notes sind als “Resolved Issues” die folgenden Bugs aufgeführt. Mit den meisten hatte ich auch schon persönlich Bekanntschaft geschlossen. Ich werde die neue Version in ein paar Minuten installieren und dann Anfang nächster Woche über meine Erfahrungen berichten.

  • This release resolves a kernel crash associated with branch office VPN and Mobile VPN with IPSec traffic through the Firebox X Core or Peak e-Series. [29491]

  • The Firebox no longer stops passing traffic when you save a configuration. [27821]

  • Policy Manager no longer prevents the entry of host ranges for 1-to-1 NAT on the BOVPN tunnel route settings page. [30010]

  • The Server Load Balancing feature in Fireware now correctly detects that a server is not responding and stops sending traffic to that server. [27276]

  • You can now apply QoS and a schedule when you create a VPN firewall policy template for managed BOVPN tunnels. [10270]

  • You should no longer see the error message “HTTP response code: 500 for URL https://x.x.x.x:4117/cmm/cmd” when you try to connect to WSM. [29336]

  • If there is an active Mobile VPN with PPTP tunnel connected to the Firebox during a configuration save, Firebox System Manager no longer shows the HA peer status as “in-transition.” [27557]

  • WSM and Firebox System Manager connections no longer fail after a configuration save to two Fireboxes configured in an HA configuration. [31990]

  • The Windows SSL VPN client no longer fails to install on Windows XP with a Runtime Error message. [31932]

  • The Windows SSL VPN client now operates correctly after a computer returns from sleep mode. [31523]

BOVPN Notification einschalten

1 Comment

Wenn die Firebox an einen Logging Server angeschlossen und dieser korrekt konfiguriert ist, können für viele unterschiedliche Ereignisse auf der Firewall Notifications (Benachrichtigungen) erzeugt und per E-Mail an den Firewall-Administrator oder einen Support-Alias verschickt werden. Wichtig: Der Versand der Notification E-Mails erfolgt vom Logging Server aus – die Firewall liefert über das Logging lediglich das Triggersignal dazu!

Ein solches Ereignis kann die Unterbrechung eines BOVPN-Tunnels sein. Die Benachrichtigungs-Option hierfür ist noch relativ neu. Sie kann nur global für alle BOVPN-Tunnel ein- bzw. ausgeschaltet werden: Policy Manager > VPN > VPN Settings > BOVPN Notification:

Kernel Crash bei Fireware 10.2.x

Comment

Im Zusammenhang mit meinem Posting “Upper Port Problem bald gelöst” vom 08.01.09 kam folgende Frage auf: “Wie kann man feststellen, ob/wann überhaupt ein Kernel Crash aufgetreten ist?” Hier die Antwort: Starten Sie den WatchGuard System Manager (WSM), verbinden Sie sich mit Ihrer Firebox und rufen Sie über Rechtsklick den Firebox System Manager auf. Gehen Sie dort auf die Registerkarte “Status Report” und scrollen Sie bis ganz unten. Endet die Anzeige mit

** Routing Protocol (BGP)
**
bgp is not enabled

liegt kein unmittelbarer Kernel Crash vor. Gibt es darunter jedoch noch ein paar Zeilen zum Thema VM Dump, dann sind ein oder mehrere Kernel Crashes aufgetreten:

**
** VM Dump
**
Found kernel crash, time of crash was Sun Jan 11 21:14:26 2009
Crash dump data recovered on Sun Jan 11 21:15:08 CET 2009
Crash dump data saved in /var/log/vmdump/vmdump.3.

In diesem Beispiel bedeutet die Ziffer 3 ganz zum Schluss, dass aktuell sogar vier Kernel Crashes in den internen Support Logfiles der WatchGuard Firebox protokolliert sind. Ein Kernel Crash löst anschließend einen Reboot der Firebox aus.

“Wie kann ich die internen Support Logfiles auslesen?”

Antwort: Ganz rechts unten in der Ecke des Status Reports (vgl. auch den o.g. Screenshot) findet sich ein Button “Support…”:

Mit Klick auf “Retrieve” kann man alle internen Logfiles in einer gemeinsamen Datei namens support.tgz auf die Windows Management-Station herunterladen. Dort kann sie z.B. mit Hilfe von WinZip oder WinRAR ausgepackt werden. Im Unterverzeichnis varlogvmdump finden sich im aktuellen Beispiel die Dateien vmdump.0, vmdump.1, vmdump.2 und vmdump.3 – jeweils mit Datum und Uhrzeit des tatsächlichen Kernel Crashes:

Da alle Uhrzeiten recht ähnlich sind, liegt ein Vergleich mit den Uhrzeiten der 24-stündigen T-DSL Zwangstrennung durch die Telekom nahe (adsl.log). Und siehe da: ja, passt. Im vorliegenden Beispiel steht die T-DSL-Zwangstrennung im direkten Zusammenhang mit den Kernel Crashes… 🙁

WatchGuard 3G Extend Solution

1 Comment

Ab sofort ist das Produkt WatchGuard 3G Extend Solution bestellbar. Es handelt sich um eine Bridge, die vor einer WatchGuard Firebox Edge, Core oder Peak platziert wird. In diese Bridge wird eine PCMCIA- bzw. PC-Express-Karte eingeschoben, die die Verbindung zu einem Mobilfunknetz herstellt (z.B. UMTS, HSDPA/GPRS, EDGE). Somit können kleine Arbeitsgruppen, die an ständig wechselnden Orten arbeiten müssen (zum Beispiel in Baustellen-Containern) sicher an das Internet und über VPN an das Firmennetzwerk angebunden werden. Gleiches gilt auch für Fahrzeuge, bewegliche Maschinen (LKWs, Baumaschinen) oder fest installierte Automaten, die an Orten ohne eigenen Telefon- oder DSL-Anschluss aufgestellt sind.

Auch Failover- bzw. Backup-Szenarien lassen sich hiermit aufbauen: in Verbindung mit Edge Pro bzw. Fireware Pro kann so ein zweiter externer Anschluss bereitgestellt werden. Fällt die reguläre Internet-Leitung aus, weicht die Firebox auf die Mobilfunk-Anbindung aus. Zur Kostenbegrenzung sollte ein Tarif mit einer Daten-Flatrate gewählt werden, die derzeit schon für unter 40 Euro im Monat zu bekommen sind. Alternativ kann beim Mobilfunk-Anbieter eine Volumen-/Kostenbeschränkung beantragt werden, damit nicht im Extremfall unkontrolliert Kosten auflaufen. Der 3G Extender kostet unter 300 Euro (incl. MwSt.).


Neue Software-Versionen

6 Comments

Die Version 10.2.4 soll am Montag, 17.11.08, amerikanischer Zeit zum Download über die WatchGuard-Website bereitgestellt werden. Hier soll sich speziell die Funktion Single Sign On bei Verwendung von User Authentication in Verbindung mit Active Directory verbessern. Bislang hatte der SSO Agent auf dem Domänencontroller Schwierigkeiten mit PCs, an denen mehrere wechselnde Benutzer arbeiten oder Dienstkonten genutzt werden (z.B. für Backup- oder Antivirus-Software). Mit 10.2.4 soll ein zusätzlicher Software-Client bereitgestellt werden, der – auf den PCs installiert – die Erkennung des aktiven Benutzerkontos für den Agent vereinfacht.
Vor Weihnachten soll dann noch eine Version 10.2.5 erscheinen, bevor dann Ende Januar mit dem nächsten Major Release Fireware 11 zu rechnen ist.

Zertifikat für Web Authentication

3 Comments

Bei Nutzung von User Authentication melden sich die User an der von der WatchGuard Firebox selbst zur Verfügung gestellten Anmeldeseite https://ip-der-firewall:4100 an. Für die SSL-Verschlüsselung wird standardmäßig ein von WatchGuard selbst erzeugtes SSL-Zertifikat verwendet, das aber nicht gegenüber einer “offiziellen” Zertifizierungsstelle rückbestätigt ist. Daher bekommen die User zunächst die übliche Warnmeldung des Browsers gezeigt, die sie entsprechend übergehen müssen.
Der beste Ansatz, dieses Verhalten zu umgehen, ist der Einsatz eines offiziellen Webserver SSL-Zertifikats, das aber kostenpflichtig ist und im Regelfall pro Jahr ebenfalls kostenpflichtig erneuert werden muss. Die entsprechende Zertifikatskette kann dann über den Firebox System Manager im Menüpunkt View / Certificates… importiert werden. Anschließend steht das Zertifikat im Policy Manager unter Setup / Authentication / Web Server Certificate als Third Party Certificate zur Auswahl bereit. Alternativ dazu kann bei Vorhandensein einer (Windows) Active Directory Umgebung dort auch eine eigene (Windows-)Zertifizierungsstelle aufgesetzt und darüber ein eigenes Webserver-Zertifikat generiert werden. Computer, die Mitglied der Domäne sind, lernen dieses Zertifikat dann automatisch.
Wichtig: Der Import von Zertifikaten ist ein Feature der Zusatzoption Fireware Pro, die bei X Peak Geräten standardmäßig dabei ist, auf X Core Geräten jedoch separat lizensiert werden muss!

Zwei Versionen der Fireware 10.2.3

Comment

Die ursprüngliche Veröffentlichung der Fireware 10.2.3 vom 07.10.08 ist offenbar fehlerhaft. Der Installer fireware10_2_3.exe, der am 07.10.08 zum Download bereitgestellt wurde, wurde am 14.10.08 durch eine neuere Version – allerdings mit gleichem Dateinamen (!) ersetzt. Die Versionen erkennen Sie nur an der so genannten Build-Nummer: Gehen Sie auf Ihrer WatchGuard Management-Station in das Verzeichnis C:ProgrammeGemeinsame DateienWatchGuardresourcesFireware10.2. Überprüfen Sie dort den Dateinamen der *.wgf und *.wgu Dateien. Finden Sie dort fbx_ta-10.2-b192439.wgf bzw. FW1020B192439.wgu (entspricht Build 192439), dann haben Sie die ALTE Version der Fireware 10.2.3. Bei fbx_ta-10.2-b193535.wgf bzw. FW1020B193535.wgu (entspricht Build 193535) haben Sie die NEUE Version!
Ich empfehle dringend, auf die NEUE Version umzusteigen. In einem Kundenprojekt hat sich z.B. gezeigt, dass bei der alter Version jedesmal die BOVPN-Tunnel unterbrochen werden, wenn eine simple Konfigurationsänderung gespeichert wurde. Dieses Fehlverhalten war dann mit der neuen Version wieder verschwunden. Der Installer des WSM hingegen hat sich nicht geändert.