Tag Archives: WSM

Vorsicht bei Leerzeichen im Namen von IPSec Phase 2 Proposals

Comment

Bei einer Migration einer WatchGuard Firebox X Peak X5500e von einer 10.2.x Version auf die Version 11.2 ist es mir die Tage passiert, dass plötzlich etwa die Hälfte der vorher ca. 40 BOVPN-Tunnel nicht mehr vorhanden war und im WSM / Firebox System Manager auch nicht mehr angezeigt wurde. Und zwar wurden nur noch die Tunnel angezeigt, deren Tunnel-Name alphabetisch aufsteigend von A bis zu einem bestimmten Buchstaben ging…
Die Fehlersuche führte natürlich sofort zu einem Vergleich des letzten noch angezeigten und des ersten nicht mehr angezeigten Tunnels. Dabei stellte sich als Besonderheit heraus, dass der Name des Phase 2 Proposals im ersten nicht mehr angezeigten VPN-Tunnel ein Leerzeichen enthielt! Nach dem Ersetzen des Leerzeichens durch ein “-” (Minus) und erneutem Speichern der Konfigurationsdatei waren dann auch alle VPN-Tunnel wieder da…

Created session list ”fwusers” entry for…

Comment

Nach dem Update auf die aktuelle Version Fireware XTM v11.2 erscheinen bisweilen im Traffic Monitor im Sekundenabstand Einträge

kernel xt_session: Created session list “fwusers” entry for [IP]

Hierbei handelt es sich um eine Diagnosemeldung, die keinerlei Bedeutung hat. Der Bug besteht lediglich darin, dass die Meldung nicht unterdrückt wird. Der Status für dieses Verhalten steht auf “resolved in future release”.

Fehler -10 bei Update mit edge_11_1.exe

Comment

Um eine WatchGuard Firebox X Edge mit 10-er Software auf die aktuelle Fireware XTM 11.1 upzudaten und dabei die bisherige Konfiguration beizubehalten, muss die X Edge zunächst auf 10.2.9 oder höher upgedatet werden. Anschließend wird der Install Wizard edge_11_1.exe ausgeführt, am besten von einem PC aus, der am Trusted oder Optional Interface angeschlossen ist (also “lokal”). Der Wizard fragt zunächst nach der IP-Adresse der X Edge und den bisherigen Zugangsdaten (Username/Password). Außerdem wird nach den “neuen” Firewall-Kennwörtern gefragt, die Sie vergeben wollen – die Status Passphrase (das “lesende Kennwort”) und die Configuration Passphrase (das “schreibende Kennwort”), so wie sie auch von den größeren Gerätefamilien X Core und X Peak in Verbindung mit dem WatchGuard System Manager (WSM) bekannt sind. Danach läuft der Wizard los. Wenn alles gut geht, bootet die X Edge nach ca. 5 Minuten und am Bildschirm erscheint eine Erfolgsmeldung.

In einer Installation bekam ich aber vorher eine Fehlermeldung angezeigt und das Update wurde abgebrochen. Auch ein erneuter Aufruf der edge_11_1.exe scheiterte mit der gleichen Fehlermeldung: “Error installing utm_edge.sysa-dl (error = -10)”.

Abhilfe schaffte hier ein Reboot der X Edge. Anschließend lief edge_11_1.exe erfolgreich durch. Offenbar braucht der Update Wizard auf der X Edge “Platz” zum Arbeiten, der eventuell im längerfristigen Dauerbetrieb von temporären Dateien o.ä. belegt wird. Ich empfehle also nun immer ein Reboot der X Edge, bevor der Update Wizard gestartet wird!

Bitte denken Sie daran, dass nach dem Update auf die 11-er Version das Webinterface jetzt auf Port 8080 liegt und nicht mehr auf Port 443. Sie müssen daher gerade bei Remote Administration auch diesen Port ggfs. von außen berücksichtigen – am besten BEVOR Sie das Update durchführen 🙂 Generell empfehle ich Besitzern einer X Edge jedoch, sich mit den neuen Möglichkeiten der Administration durch den WatchGuard System Manager (WSM) vertraut zu machen. Erst hiermit blüht Ihre X Edge zur vollen Leistungsfähigkeit auf!

Bugfixes in WatchGuard WSM und Fireware XTM 11.1

Comment

Die Versionen Fireware XTM v11.1 und WSM v11.1 beheben eine Reihe von Bugs und Known Issues früherer Versionen. Diese Aufstellung wurde den aktuellen Release Notes der Version 11.1 entnommen. Obwohl man aufgrund der Vielzahl eventuell auf den Gedanken kommen könnte, dass das Produkt sehr fehlerlastig ist (bzw. war), sehe ich diese offene Kommunikation hingegen sehr positiv. Die meisten anderen Hersteller geben kaum vergleichbare Informationen heraus, sondern werkeln eher im Hintergrund. Zudem zeigt sich, dass das Produkt “lebt” und intensiv weiterentwickelt wird. Auch schon in den Versionen 11.0.1 und 11.0.2 war das Produkt ausreichend stabil, auch wenn ich meinen Kunden anfangs eher zur Zurückhaltung geraten habe!

General

  • The WSM Quick Setup Wizard now allows you to enter a feature key that contains a model upgrade for Edge e-Series. [40405]

  • Fireware XTM v11.1 resolves a cross site scripting vulnerability found in the web server used with the authentication applet. [40332]

  • Fireware XTM v11.1 resolves a cross site scripting vulnerability found in the WatchGuard servers’ Apache HTTP server implementation. [40581]

  • The lighttpd version used by Fireware XTM has been upgraded to v1.4.22 to resolve several reported vulnerabilities. [38808]

  • The ISC DHCP server version has been upgraded to v4.1.0p1 to resolve several reported vulnerabilities. [40032]

  • HostWatch now shows VLAN traffic. [40401]

  • You can now right-click in Firebox System Manager > Traffic Monitor to add an IP address to the blocked sites list. [40488]

  • ServiceWatch now correctly displays bandwidth for auto-generated BOVPN policies created by the WatchGuard Management Server. [40364]

Authentication

  • The Authentication redirect feature now works when you use a wireless guest network on the Firebox X Edge e-Series. [40029]

  • This release resolves an issue that causes Active Directory authentication to fail with the following log message: user=”test1″ domain=TESTQAWIN2K30. [40786]

Proxies

  • You can now enable notification for Application Blocker. [40422]

  • Application Blocker has been enhanced to add support for Winny, a popular peer to peer application used in Japan. [35027]

  • You can now unlock a file with an “&” in the file name with the unlock.exe utility. [40718]

  • This release resolves several reported issues in which certain web applications did not work through the HTTP Proxy. [40293] [38121] [40392]

  • This release resolves an issue that caused FTP proxy traffic to stop after a multi-WAN failover. [37965]

Subscription Services

  • Subscription services now update when you use an internal HTTP proxy server. [40517]

  • WebBlocker override now works on Firebox X e-Series devices configured in Bridge Mode. [39283]

  • The Quarantine Server client now accepts firstname.lastname@domain.com email format. [39743]

Networking

  • You can now use either Policy Manager or the Web UI to add multicast addresses in a policy. [39947, 39948]

  • If you enable a network interface and change the Interface Name (Alias) at the same time you enable the interface, the interface now becomes active without the need for a reboot.[39815]

  • When you use multi-WAN, DNS servers with static IP addresses on WAN 1 are now used even when other external interfaces use DNS servers from an ISP through PPPoE or DHCP. [40322]

  • DHCP relay through a branch office VPN tunnel now works. [40844]

  • You can now change the MTU of an external interface configured with PPPoE. [40705]

  • The DHCP server now works when there are multiple VLANs in the configuration. [40556]

  • Server Load Balancing now works when the internal server IP addresses are on different subnets. [41041]

  • We have made enhancements to the Server Load Balancing server status detection mechanism. [40300] [40519]

  • The Server Load Balancing Stickiness function has been improved to maintain a sticky connection state until the idle timeout is reached. [40297]

  • Static MAC address binding now works when your device is configured in Bridge Mode. [40665]

  • This release resolves an issue that prevented some Windows computers from getting an IP address via DHCP when your device is configured in Drop-In Mode. [40184]

  • The Blocked Ports and Blocked Sites features now apply only to traffic on an external interface. [39918]

Multi-WAN

  • Several multi-WAN issues related to PPPoE and branch office and Mobile VPN have been resolved. [40007]

  • Multi-WAN now works when the source IP address for incoming traffic is on the same network subnet as one of the external interfaces of the Firebox. [41026]

  • This release resolves an issue that caused the external interfaces to become inactive when you used multi-WAN configured in Round-robin mode. [40357]

FireCluster

  • Firebox devices with a model upgrade in the feature key can now join a FireCluster. [39370]

Branch Office VPN

  • The choice of Any has been removed from the Tunnel Route Settings Local and Remote drop-down menu. The Web UI now shows “any (0.0.0.0/0)”. [40409]

  • This release resolves an issue that caused the IKED process to crash and all IPSec tunnels to fail. [40442]

Mobile VPN

  • The Windows SSL VPN client has been updated to support Windows 7 and Windows 64-bit operating systems. [39841]

  • This release resolves an issue that caused SSL VPN to fail to connect after an upgrade from v10.2.x to v11.0.x. When this problem occurred, the SSL VPN client logs showed: sslvpn State: initialization of prerequisites Debug. [40408]

  • This release resolves several reported vulnerabilities in the SSL VPN client for Mac. [40292]

  • Mobile VPN with PPTP and SSL now continue to work when the LiveSecurity subscription is expired in your Firebox feature key. [41045]

  • When you disconnect the Mobile VPN with SSL client from one Firebox and then connect to a different Firebox, the SSL VPN profile is now updated to show the new connection. [41052]

  • The Mobile VPN with IPSec v11.1 client supports Windows 7 (32-bit and 64-bit) and contains additional bug fixes.

Web UI

  • You can now export your device configuration with the Web UI. [35234]

  • The Web UI now prevents the use of custom SSL VPN ports that conflict with ports used by the Firebox. [39382]

Policy Manager

  • The Firebox no longer becomes unresponsive if you use more than 28 characters in a proxy policy name. [40679]

  • The alias “Firebox” is now treated the same as other aliases the Firebox determines policy precedence. [38891]

Management Server

  • When a Firebox is in Full Management Mode and you clear the Enable TCP Syn Checking check box, TCP Syn Checking is now correctly disabled. [40853]

  • When a Firebox is under centralized management, an update from the WatchGuard Management Server no longer overwrites any blocked sites configured manually on the Firebox. [40312]

  • You can now right-click on a device and add that device to a folder. [36077]

  • The ability to schedule a reboot time is now available from the Management Server. [38230]

  • You can now perform a mass update of managed devices to force all selected appliances to check for a configuration update. [36958]

  • The Management Server now sorts the IPSec-action-list and abs-ipsec-action-list for tunnels created by the Management Server. The IPSec actions for Manual BOVPN tunnels are left in the order sorted by the user. Manual tunnels are always placed at the top of the list, followed by the sorted list of the tunnels created by the Management Server.

  • For each firewall policy template in use, there is now a single firewall policy created in the appliance configuration. As an example, if you have three tunnels (to different endpoints) that all use the same firewall policy template, there is a single firewall policy with the attributes set in the template. If there are two firewall policy templates in use, then two firewall policies are created. [38877]

Report Server

  • If you use an IIS server to serve published reports, you no longer get an error about missing files. [39319]

Log Server

  • The performance of the LogViewer Search function has been improved in v11.1. To facilitate the performance improvements, a log database migration will occur when you upgrade from v11.0.x to v11.1. During the migration, all log messages generated for a particular device are not visible until the migration is finished. [38833]

Certificates

  • You can now import a CRL in DER format into Firebox System Manager. [36643]

  • This release resolves a memory leak that occurred when you used 3rd-party certificates on the Firebox and kept WatchGuard System Manager or Firebox System Manager connected. [41008]

  • WatchGuard System Manager and Firebox System Manager no longer display the certificates status as valid even if a certificate is invalid. [40378]

Version 11.1 Download und Update-Tipps

3 Comments

Am 13.11.2009 wurde die Version 11.1 freigeschaltet. Die Release Notes weisen auf die breite Unterstützung von Windows 7 für die Komponenten des WatchGuard System Manager (WSM) und der VPN-Clients für mobile User hin. Neu ist jetzt auch die Unterstützung von 64-Bit-Betriebssystemen für den Betrieb von Server Services. Hier ein Screenshot der aktuellen Unterstützungstabelle (aus den Release Notes, betrifft Windows XP 32-bit, Windows XP 64-bit, Vista 32-bit, Vista 64-bit, Windows 7 32-bit, Windows 7 64-bit, Mac OS X v10.5 (Leopard) und Microsoft Windows Server 2003. Hier fehlt leider eine konkrete Aussage über die 64-bit Version. Windows Server 2008 wird in der Tabelle leider überhaupt nicht erwähnt):

Bevor Sie das Update durchführen, lesen Sie bitte aufmerksam die Release Notes. Es kommt wirklich darauf an, welche Softwareversion aktuell auf Ihrer WatchGuard Firebox läuft. Unter Umständen muss ein bestimmter Upgrade-Pfad eingehalten werden. Beispiele:

Firebox X Edge

  • Wenn Sie aktuell 11.0 oder 11.0.1 auf Ihrer Firebox X Edge verwenden, müssen Sie die X Edge zunächst auf 11.0.2 updaten, bevor Sie auf 11.1 gehen. Dies gilt nicht für die X Core oder X Peak Geräteserien.

  • Wenn Sie aktuell 10.2.8 oder niedriger auf Ihrer Firebox X Edge verwenden, müssen Sie zunächst auf 10.2.9 (oder höher) updaten, bevor Sie dann direkt auf 11.1 upgraden können.

  • Wenn sich Ihre Firebox X Edge mit 10.x unter “centralized management” eines WatchGuard Management Servers befindet, können Sie das Update auf 11.1 nicht über die Funktion “Scheduled Firmware Updates” des Management Servers vornehmen, sondern müssen diesen Schritt “standalone” durchführen!

  • Nach dem Update auf 11.1 müssen Sie ggfs. die Konfiguration der Mobile User erneut aktivieren. Dies betrifft Mobile VPN mit IPSec, SSL-VPN und PPTP.

  • Unter 10.x gab es nur ein “Web-Kennwort” für den Administrator. Unter 11.x gibt es für die Administration standardmäßig zwei User: admin (Default-Kennwort “readwrite”) und status (Default-Kennwort “readonly”). Wenn unter 11.x Änderungen an der Konfiguration vorgenommen werden sollen, muss die Anmeldung mit dem User “admin” erfolgen.

  • Wenn Sie sich über einen Browser auf das neue Web-Interface verbinden wollen (https://[IP-der-Firebox]:8080) (Port 8080), muss der Browser “Flash” unterstützen. Wenn nicht, müssen Sie Flash installieren. Hierzu brauchen Sie auf dem PC ggfs. Administrator-Rechte.

  • Wenn Sie das Software-Update auf 11.x durchführen, indem Sie die Datei “utm_edge.sysa-dl” über das Webinterface hochladen, wird Ihre X Edge im Zuge des Updates auf Factory Default zurückgesetzt. Erzeugen Sie VORHER über Administration > Backup ein Backup Ihrer Konfigurationsdatei. Ich empfehle außerdem über Administration > View Configuration den im Hauptfenster angezeigten Text mit Cut&Paste in eine Textdatei wegzuspeichern!

  • Ich rate davon ab, ein Update direkt über das Internet vorzunehmen. Ich empfehle, eine Möglichkeit zu schaffen, sich remote auf einen PC im entfernten Netzwerk hinter der X Edge aufschalten zu können (incoming RDP, Teamviewer, PCvisit) – und das eigentliche Update quasi “lokal” von diesem PC aus durchzuführen.

Firebox X Core, X Peak, XTM1050

  • Um eine Firebox X Core oder X Peak auf 11.1 upzudaten, muss sich diese zunächst auf einer Version 10.2.x befinden.

WSM und Fireware 10.2.9 verfügbar

Comment

Im Software Download Bereich steht seit heute die Version 10.2.9 für Kunden mit aktiver Live Security zur Verfügung. Die Release Notes geben Aufschluss über Bugfix und neue Features:

Server Load Balancing (SLB) and VPN

  • A Firebox configured for server load balancing no longer stops sending traffic to a healthy server because of quick continuous requests, a missing route to a dead server, or interference from other SLB policies [35761]

  • A Firebox configured for server load balancing now considers a server as active as soon as it can set up a connection with the server, instead of waiting for three successful tries. [35550]

  • A problem that caused an IKED runtime crash with a pstack call “trace EIP:e045684d” is fixed. [32966, 36424]

  • The Mobile VPN with SSL client can now resolve host names on an internal DNS server. [28120]

  • If you have configured two DNS or WINS servers, both IP addresses are now assigned correctly to Mobile VPN clients (IPSec and PPTP). [12575, 33904]

  • A problem that caused an error “HTTP response code: 500 for URL: https://x.x.x.x:4117/cmm/cmd” when you saved a configuration in which Mobile VPN with SSL is enabled has been fixed. [28105]

High Availability

  • The primary HA Firebox no longer stays in the “in-transition” state indefinitely after you do an HA sync operation just after you save your configuration. [36033]

  • HA sync now completes successfully when two HA ports are used. [30207]

  • You can now use WSM to quickly create successive tunnels on Fireboxes in an HA pair and not lose management access. [36007]

  • VRRP logging messages no longer show in the log file unless the appropriate log level has been set. [35763]

Single Sign On

  • You can now install the SSO client on Windows Vista. [35869]

  • When you enable SSO, you can now obtain group information even if the SSO agent is not installed on the Domain Controller. [36043]

  • When you install the SSO client on Vista, you can now see the build number. [36289]

  • SSO client and agent communication is now more reliable and several timeout issues have been resolved. [35199, 35200]

  • SSO now ignores group names exceeding 32 characters and continues to process other group names. It no longer returns a “domain name str too log” error. [35988]

WSM Management

  • WSM no longer displays a device as “Pending” when it is not. [36080]

  • WSM can now handle different devices with identical IP addresses. It no longer shows a “Maintenance Alert” warning for these devices. [36068]

  • LogViewer can now display SMTP and POP3 log messages whose headers are encoded in ISO-2022-JP. [33460]

  • Firebox System Manager and Policy Manager now show and error that says “Invalid login/password” instead of “No SID” when users enter the wrong password when downloading a configuration, downloading a feature key, or during a system backup. [36959]

  • Service Watch can now reliably connect to the Firebox when there are a large number of policies. [37142]

Proxy

  • The Application Blocking feature now blocks the most recent versions of Yahoo! Messenger. [36268]

  • The Firebox now supports more than 1000 FTP proxy connections. [35998]

Preview zu WSM und Fireware XTM 11

Comment

Die Version Beta 4 ist da. Bis zum eigentlichen Release werden nun also wohl noch etwa 4-6 Wochen vergehen. XTM (Extensible Threat Management) setzt natürlich auf UTM (Unified Threat Management) auf und erweitert diesen Begriff um “Erweiterbarkeit” in den Bereichen Sicherheit, Netzwerk Features und flexibleres Management.

Wichtigste Neuerung ist, dass das neue Betriebssystem Fireware XTM 11 auf allen bisherigen e-series Boxen (also auch auf der X Edge!) und der neuen XTM 1050 laufen wird. Es wird also künftig für alle WatchGuard Boxen ein einheitliches Betriebssystem geben. Im kernelnahen Bereich wurde ein ganz neues Software Design angewendet, um überhaupt für die gestiegenen und künftig noch weiter steigenden Performance-Anforderungen an eine Security Appliance gewappnet zu sein.

Zu einem höheren Maß an Sicherheit werden beitragen: HTTPS content inspection – ja, ein HTTPS-Proxy, der in SSL-verschlüsselten Traffic hineinsehen kann; ein neuer OEM-Partner für Antivirus Engine und Signaturen (AVG); bessere Unterstützung für VoIP und verbesserte Einstellmöglichkeiten für IPS (Intrusion Prevention Service).
Bei den neuen Netzwerk Features wäre insbesondere FireCluster zu nennen, der neue Name für den neuen Active/Active Cluster Mode, des weiteren der neue Bridge Mode, VLAN auf externen Interfaces, MAC Access Control. Die Interfaces der X Edge werden künftig wie bei der X Core weitgehend frei verwendbar sein, die Namen WAN1, WAN2, OPT und LAN0-2 werden weitgehend bedeutungslos und durch eth0, eth1, eth2 und eth3 ersetzt. Innerhalb von Branch Office VPN Tunneln (BOVPN) können Regeln nun auch mit einer zeitlichen Begrenzung versehen werden, auch Traffic Management, QoS und Priorisierung innerhalb des VPN-Tunnels wird möglich, ebenso wie Dynamic NAT.
Für SSL-VPN entfällt die Notwendigkeit von Port 4100 tcp, die gesamte Verbindung läuft über Port 443 tcp.
Flexibleres Management wird insbesondere dadurch erreicht, dass zum einen künftig alle Boxen (also auch die X Edge!) über den WSM / Policy Manager administriert werden können. Alle Boxen (also auch X Core und X Peak!) können künftig aber auch über Web-Interface und weitestgehend auch über CLI (Command Line Interface) konfiguriert und verwaltet werden.

Weitere kleine Nettigkeiten sind: WebBlocker Override Passwort auch bei X Core und X Peak (bisher nur bei X Edge); deutlich verbessertes Logging und Reporting (mehr Performance und braucht weniger Resourcen); nur noch ein Einstiegspunkt WatchGuard Server Center in die Verwaltung der Server Services; HostWatch zeigt für jede einzelne Verbindung an, wie viel Bandbreite verbraucht wird – die Liste kann sogar nach dieser neuen Spalte in absteigender Reihenfolge sortiert werden 🙂

Der WSM 11 wird auch Fireboxen mit Fireware 10.x verwalten können. Dies ermöglicht in meinen Augen für den Anfang einen interessanten Mischbetrieb: die verbesserten Möglichkeiten des WSM 11 (speziell Logging und Reporting) in Verbindung mit der letzten stabilen 10-er Version auf der Firebox selbst. Die Version 11 wird im Rahmen der Live Security kostenfrei zum Download angeboten, kann aber nur installiert werden, wenn auf der Firebox ein gültiger Feature Key vorhanden ist.

Version 10.2.8 im Download-Bereich

2 Comments

Folgende Änderungen im Installationsverhalten ist mir aufgefallen: Beim Aufruf des Installers fireware10_2_8.exe kommt nicht mehr die verwirrende Meldung “Do you want to completely remove the selected application and all of its features?”, sondern zu der schon existierenden Version 10.2.x wird zusätzlich die Fireware 10.2.8 installiert. Zur Vermeidung von Fehlern empfehle ich nun, als ersten Schritt über Systemsteuerung > Software die bisherige Version Fireware 10.2.x zu deinstallieren – und anschließend den Installer fireware10_2_8.exe aufzurufen.

Weiterhin stehen im Download-Bereich neue Versionen für den IPSec Mobile User VPN-Client, den SSL-VPN-Client sowie für den Single Sign On (SSO) Client und Agent (Gateway).

Version 10.2.8 steht unmittelbar bevor

Comment

Die Release Notes liegen schon vor. Die Build-Nummer der Fireware 10.2.8 wird B215550 lauten. Hier die dieses Mal ganz besonders lange Liste der Resolved Issues. Ganz dringend erwartet wird sicher der allererste Bugfix auf der Liste (Upper Port Fix). Mit vielen anderen Punkten hatte ich aber in der Praxis gar keine Berührung. Fireware und WSM 10.2.8 sollen noch im Laufe dieser Woche, spätestens aber bis zum 31.03.2009 im Download-Bereich der WatchGuard Website bereitgestellt werden. Für die Installation ist eine aktive Live Security Lizenz erforderlich:

General

  • This release resolves several stability issues on Firebox devices that have the upper 4 ports in use. [27896] [29899] [30057] [30093]

  • You can now connect to a Firebox with WSM or Firebox System Manager more reliably after running a high load on the Firebox for several days. [35309]

  • The time it takes to save a configuration is reduced as much as 60% when there are many policies. [27791]

  • The Firebox can continue to operate even when IPS is using 100% of the CPU. [31361]

  • Support files are now correctly rotated so they do not take up so much storage space. [33551]

Networking and VPN

  • This release fixes an instability issue with PPPoE. [29212]

  • The Firebox no longer stops getting OSPF routing table information from neighboring networks. [27202]

  • The IKED process no longer becomes non-responsive when two users log in with the same name and same IP address. [33067] [33361]

  • The MIA process no longer crashes during a configuration save when multiple mobile VPN users are logged in. [33617]

  • Users now can use Mobile VPN (SSL, PPTP, and IPSec) with a dynamically addressed external interface without using DynDNS. [32707] [32715] [32716]

  • You can now use a space in user names configured on the Firebox. [33687]

  • Server Load Balancing now detects the revival of a dead server within 30 seconds instead of 10 minutes.

WatchGuard System Manager (WSM)

  • The traffic load gauge on Traffic Monitor no longer incorrectly shows 100% even when the load is low on Firebox X Peak e-Series devices. [27950]

  • The Firebox System Manager Traffic Monitor function “highlight search results” is now case insensitive. [33318]

  • The sender address is now shown in Log Server alarm/notification emails. [31489]

  • The Report Server can now generate POP3 reports. [32974]

  • Devices are now correctly marked as connected when you use multiple Log Servers. [31524]

  • The spamBlocker report no longer incorrectly reports 100% bulk mail. [28562]

Single Sign-On

  • The SSO login information on the Authentication List now refreshes immediately. [31856]

  • The SSO agent no longer crashes with Windows Event message: EventType clr20r3. [32775]

  • The SSO client now returns the correct domain name.

  • The SSO client and agent now handle both AD domain name information and NetBIOS domain name information correctly.

  • The SSO client and agent now respond correctly to unexpected disconnections that occur within 10 seconds.

High Availability

  • HA monitoring on external fiber interface now works correctly. [32967]

  • When you enable HA, it no longer causes a branch office VPN rekey to occur approximately every two minutes. [33402]

  • HA failover now occurs immediately when a critical process fails. [33823]

Mobile VPN with SSL

  • The SSLVPN daemon no longer fails when you enter an empty password or a very long password. [31894] [35183]

  • The Mobile VPN with SSL Mac OS X client now shows the Bound IP Address and Gateway Connected IP Address correctly. [34561]

  • The Mobile VPN with SSL Mac OS X client now removes the search domain and DNS information when it is disconnected or you exit. [34564]

  • The Mobile VPN with SSL Mac OS X client now shows both WINS addresses. [34560] [23635]

  • The Mobile VPN with SSL Mac OS X client now sets the default log level to low. [34563]

  • Routes of available networks are now correctly added when you install the Mobile VPN with SSL client software on a computer running Windows Vista. [34558]