Reboot Archive - Seite 2 von 2 - BOC IT-Security GmbH

Tag Archives: Reboot

SSL VPN Probleme nach Update von 11.1 auf 11.2

17. Februar 2010 Bernd Och 1 Comment

In einem aktuellen Supportfall hatte der Kunde seine Firebox X550e von Fireware XTM v11.1 auf 11.2 upgedated. Anschließend konnten die mobilen User über den WatchGuard SSL VPN Client 11.1 keine Verbindung mehr herstellen. Fehlermeldung: “Could not download the configuration file…”.
Ich vermute einen Zusammenhang mit der fehlerhaften Migration der integrierten WatchGuard-eigenen SSL-Zertifikate. Neben den gültigen SSLVPN-Zertifikaten (“Signed”) befinden sich im Zertifikatsspeicher noch weitere Zertifikate im Status “Pending”, die offenbar die gültigen Zertifikate behindern.

Die “Pending” Zertifikate können wie folgt gelöscht werden: Per WSM mit der Firebox verbinden, den Firebox System Manager starten, dort View > Certificates, Pending-Zertifikate anklicken und “Delete”. Anschließend Reboot der Firebox. Handelt es sich um einen Cluster, müssen beide Boxen zur gleichen Zeit ausgeschaltet werden!

Zeitgesteuerter PPPoE Reconnect oder Reboot bei 11.2

12. Februar 2010 Bernd Och 2 Comments

Die Fireware XTM v11.2 stellt für alle Plattformen ein neues Feature bereit, das speziell für den deutschen Markt mit seiner berühmten 24 Stunden DSL-Zwangstrennung interessant ist. Wenn ein External Interface auf PPPoE eingestellt ist, kann über Network > Configuration > [External] > Configure > Advanced Properties (Button ganz unten) ein täglicher PPPoE Reconnect zu einer bestimmten Uhrzeit ausgelöst werden.

Legt man diesen Zeitpunkt in eine betriebsarme Zeit (Nacht), kann man bei sonst stabiler DSL-Verbindung dadurch verhindern, dass durch eine eventuell sonst tagsüber erfolgende DSL-Zwangstrennung eine kurzzeitige Betriebsunterbrechung erfolgt.
In diesem Zusammenhang: auch bei dem Tarif T-DSL Business mit fester IP-Adresse erfolgt alle 24 Stunden eine Zwangstrennung. Bei der sofort danach erfolgenden Wieder-Einwahl wird lediglich nur wieder die gleiche IP-Adresse zugewiesen!

Alternativ dazu gibt es auch die Möglichkeit, einen zeitgesteuerten Reboot der gesamten Firewall durchzuführen – zum Beispiel einmal pro Woche. Dies ist interessant, weil dadurch regelmäßig wieder ein sauberer Ausgangszustand hergestellt wird und eventuelle Memory Leaks nicht dazu führen, dass die Firebox nach sehr langen Laufzeiten ggfs. instabil wird. Dieses Feature befindet sich unter Setup > Global Settings:

Kernel Crash bei Fireware 10.2.x

13. Januar 2009 Bernd Och Comment

Im Zusammenhang mit meinem Posting “Upper Port Problem bald gelöst” vom 08.01.09 kam folgende Frage auf: “Wie kann man feststellen, ob/wann überhaupt ein Kernel Crash aufgetreten ist?” Hier die Antwort: Starten Sie den WatchGuard System Manager (WSM), verbinden Sie sich mit Ihrer Firebox und rufen Sie über Rechtsklick den Firebox System Manager auf. Gehen Sie dort auf die Registerkarte “Status Report” und scrollen Sie bis ganz unten. Endet die Anzeige mit

** Routing Protocol (BGP)
**
bgp is not enabled

liegt kein unmittelbarer Kernel Crash vor. Gibt es darunter jedoch noch ein paar Zeilen zum Thema VM Dump, dann sind ein oder mehrere Kernel Crashes aufgetreten:

**
** VM Dump
**
Found kernel crash, time of crash was Sun Jan 11 21:14:26 2009
Crash dump data recovered on Sun Jan 11 21:15:08 CET 2009
Crash dump data saved in /var/log/vmdump/vmdump.3.

In diesem Beispiel bedeutet die Ziffer 3 ganz zum Schluss, dass aktuell sogar vier Kernel Crashes in den internen Support Logfiles der WatchGuard Firebox protokolliert sind. Ein Kernel Crash löst anschließend einen Reboot der Firebox aus.

“Wie kann ich die internen Support Logfiles auslesen?”

Antwort: Ganz rechts unten in der Ecke des Status Reports (vgl. auch den o.g. Screenshot) findet sich ein Button “Support…”:

Mit Klick auf “Retrieve” kann man alle internen Logfiles in einer gemeinsamen Datei namens support.tgz auf die Windows Management-Station herunterladen. Dort kann sie z.B. mit Hilfe von WinZip oder WinRAR ausgepackt werden. Im Unterverzeichnis varlogvmdump finden sich im aktuellen Beispiel die Dateien vmdump.0, vmdump.1, vmdump.2 und vmdump.3 – jeweils mit Datum und Uhrzeit des tatsächlichen Kernel Crashes:

Da alle Uhrzeiten recht ähnlich sind, liegt ein Vergleich mit den Uhrzeiten der 24-stündigen T-DSL Zwangstrennung durch die Telekom nahe (adsl.log). Und siehe da: ja, passt. Im vorliegenden Beispiel steht die T-DSL-Zwangstrennung im direkten Zusammenhang mit den Kernel Crashes… 🙁

X Edge und Avaya VoIP Telefone

11. Dezember 2008 Bernd Och 2 Comments

Bislang gab es ein Problem mit der Kompatibilität zwischen einer X Edge mit Software v10.x und VoIP-Telefonen des Herstellers Avaya. Das Problem ließ die X Edge bisweilen unkontrolliert neu booten. Die bisherige Empfehlung lautete: Downgrade der X Edge auf Software v8.6.2 – hier tauchte das Problem nicht auf. Nun ist eine Lösung in Sicht: mit Edge 10.2.6 (offenbar noch vor Weihnachten) soll das Problem behoben sein.

X Edge: Zeitgesteuerter Reboot

10. November 2008 Bernd Och Comment

Ab der Softwareversion X Edge v10.1 gibt es die Möglichkeit, bei den Modellen X10e, X20e und X55e einen zeitgesteuerten Reboot zu hinterlegen – um so z.B. der 24-stündigen PPPoE Zwangstrennung bei T-DSL zu entgehen und stattdessen lieber zu einer festen Uhrzeit (z.B. jeden Morgen um 05:00 Uhr) die X Edge neu zu booten und dadurch eventuell vorhandene VPN-Tunnel kontrolliert neu aufbauen zu lassen. Dadurch kann besser verhindert werden, dass VPN-Tunnel und damit Verbindungen zu den Servern am anderen Ende des VPN-Tunnels während der normalen Arbeitszeit unterbrochen werden: Menüpunkt Administration (direkt auf “Administration” klicken!). Hierzu müssen natürlich auch NTP-Server konfiguriert sein, damit das Gerät “weiß”, wie spät es ist (in der GUI direkt darunter).

X Edge: Model-Upgrades

10. November 2008 Bernd Och Comment

Kunde berichtet: “Einzelne PCs kommen tageweise nicht ins Internet. Heute geht es von PC1 und PC3 nicht, morgen dann eventuell von PC2 und PC4…”
Hintergrund: Die Firebox X Edge Produkte X10e und X20e haben (wie auch früher schon die älteren X5, X15 bzw. SOHO 6 Modelle) eine User-Beschränkung. Bei der aktuellen X10e sind es fünfzehn (15), bei der X20e dreißig (30). Die X55e hat keine User-Beschränkung. Als “User” wertet die kleine WatchGuard jedes IP-Device, das die IP-Adresse der WatchGuard als Default Gateway verwendet. Die X Edge “sammelt” also IP-Adressen. Hat eine X10e fünfzehn verschiedene IP-Adressen gesammelt, kommt die sechzehnte und alle weiteren “nicht mehr ins Internet”. Diese Liste löscht sich durch Zeitablauf, aber auch durch einen Reboot des Geräts (über GUI oder Stromstecker ziehen) und das Spiel beginnt von vorne…
In einer solchen Situation sollte am sinnvollsten ein “Model Upgrade” durchgeführt werden. Durch Zukauf eines Lizenzschlüssels kann aus einer X10e eine X20e gemacht werden, so dass dann nicht mehr nur 15, sondern 30 “User” unterstützt werden. Ein “Model Upgrade” ist auch von einer X10e oder X20e auf eine X55e möglich, bei der es dann ja keine User-Beschränkung mehr gibt. Der Lizenzschlüssel wird über die WatchGuard-Website auf die Seriennummer des entsprechenden Geräts aktiviert (Achtung: wenn Sie mehrere Geräte haben, achten Sie bei der Aktivierung genau auf die passende Seriennummer!). Anschließend kann der neue Feature Key heruntergeladen und abschließend über die GUI der X Edge (Menüpunkt Administration / Upgrade) auf das Gerät selbst hochgeladen werden:

Die Anzahl der erlaubten User/IP-Adressen steckt im Feature Key an der (blau markierten) Stelle FW_USERS.

Link: Modellübersicht WatchGuard Firebox X Edge e-series

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen