Vor ein paar Tagen hatte ich mit einer X750e (Softwareversion Fireware XTM 11.3.4) zu tun, die im Basic Managed Mode<\/b> als Au\u00dfenstelle an einem WatchGuard Management Server<\/b> lief (Softwareversion WSM 11.5.3). Die BOVPN-Tunnel waren als Managed VPN Tunnels<\/b> \u00fcber den Management Server eingerichtet. Die BOVPN-Tunnel kamen nicht mehr hoch und die X750e lie\u00df \u00fcber WSM \/ Policy Manager auch keine \u00c4nderungen an der Konfiguration zu – auch dann nicht, wenn man mit einem lokalen WSM direkt mit der Box verbunden war. Fehlermeldung beim Schreiben einer Konfiguration: “An error occured while retrieving all certificates from the Firebox [IP]). Unable to send request to module”<\/i>. Ein Neustart der Box brachte keine \u00c4nderung.<\/p>\n
Die Fehlersuche zeigte Probleme mit den Zertifikaten<\/b> auf der X750e. “View… Certificates” aus dem Firebox System Manager konnte die Zertifikate nicht anzeigen (leeres Feld und dar\u00fcber eine leere Fehlermeldung).<\/p>\n
Auch im CLI Modus brachte der Befehl “show certificates” nur eine Fehlermeldung. Der certd daemon lief auch nicht. Ich hatte einen \u00e4hnlichen Fall bereits vor ein paar Monaten. Damals waren auch Zertifikate kaputt, die Box lie\u00df sich jedoch noch \u00fcber WSM \/ Policy Manager administrieren. Damals konnte ich das Problem durch ein Software-Update auf eine neuere Fireware XTM Version<\/b> beheben. Vermutlich h\u00e4tte auch das Aufspielen der gleichen Version<\/b> geholfen. Da jetzt aber WSM \/ Policy Manager nicht mehr funktionierten, habe ich dieses Mal \u00fcber das Web-Interface<\/b> gearbeitet (System > Upgrade OS) und auf diesem Weg die 11.3.4er sysa-dl Datei erneut hochgeladen<\/b>. Nach dem Reboot<\/b> war certd wieder da und die Zertifikate waren wieder sichtbar. Anschlie\u00dfend konnte die Box auch wieder an den zentralen Management Server angebunden werden, jedoch kamen die Managed VPN Tunnel immer noch nicht hoch. Als n\u00e4chstes habe ich den zentralen WSM \/ Management Server n\u00e4her untersucht. Beim Versuch, die Managed VPN Tunnel neu anzulegen, st\u00fcrzte der WSM jedes Mal mit einer Fehlermeldung der AppMngr.exe ab. Ein Neustart des Dienstes half nicht, auch nicht der Reboot der kompletten Windows Server 2008 Maschine.<\/p>\n
Als tempor\u00e4ren Workaround wollte ich nun den BOVPN Tunnel zwischen der Au\u00dfenstelle und dem zentralen System (ein XTM 810 Active\/Passive Cluster mit Fireware XTM 11.5.3) manuell anlegen, damit die User zumindest erst einmal wieder arbeiten konnten. In der XML Konfigurationsdatei des zentralen XTM810 Clusters ist mir dann aufgefallen, dass dort noch die DVCP-basierte Gateway- und Tunnel-Definition der alten “Managed VPN” Verbindung angezeigt wurde, obwohl diese eigentlich gar nicht mehr vorhanden sein sollte. Durch ein Cluster Failover<\/b> verschwanden diese Fragmente dann aus der zentralen Firewall-Konfiguration, woraufhin auch der WSM \/ Management Server nicht mehr abschmierte<\/b> und schlussendlich der BOVPN Tunnel doch wieder regul\u00e4r als “Managed VPN” Tunnel erfolgreich eingerichtet werden konnte…<\/p>\n","protected":false},"excerpt":{"rendered":"
Vor ein paar Tagen hatte ich mit einer X750e (Softwareversion Fireware XTM 11.3.4) zu tun, die im Basic Managed Mode als Au\u00dfenstelle an einem WatchGuard Management Server lief (Softwareversion WSM 11.5.3). Die BOVPN-Tunnel waren als Managed VPN Tunnels \u00fcber den Management Server eingerichtet. Die BOVPN-Tunnel kamen nicht mehr hoch und die X750e lie\u00df \u00fcber WSM \/ Policy Manager auch keine \u00c4nderungen an der Konfiguration zu … Weiterlesen Korruptes Zertifikat entfernen<\/span>