15
Konfiguration Watchguard firebox x700
Hallo Kollegen,
ich habe eine produktive Konfiguration von einer firebox auf eine andere übertragen, um im Falle eines Hardwarefehlers die Ersatzbox anzustöpseln und weiterarbeiten zu können. Die Konfiguration und auch die Lizenzen sind auf beiden identisch.
Da ich die firebox in eine Niederlassung schicken muss und nicht direkt probieren kann wollte ich zumindest einfache Tests durchführen.
DHCP funktioniert und das interne Interface lässt sich auch pingen.
Beim externen Interface habe ich keine Ping-Antwort. (Zum Testen habe ich einem Notebook die IP des Gateways gegeben.)
Die produktive Box antwortet, demnach scheint es nicht an der Ping Konfiguration liegen.
Habe ich irgendwo einen Denkfehler gemacht, oder muss vor der Inbetriebnahme noch etwas aktiviert werden?
Das ist die erste watchguard, die ich neu installiert habe....
Kann mir jemand einen Tipp geben?
Vielen Dank
Ditmar
ich habe eine produktive Konfiguration von einer firebox auf eine andere übertragen, um im Falle eines Hardwarefehlers die Ersatzbox anzustöpseln und weiterarbeiten zu können. Die Konfiguration und auch die Lizenzen sind auf beiden identisch.
Da ich die firebox in eine Niederlassung schicken muss und nicht direkt probieren kann wollte ich zumindest einfache Tests durchführen.
DHCP funktioniert und das interne Interface lässt sich auch pingen.
Beim externen Interface habe ich keine Ping-Antwort. (Zum Testen habe ich einem Notebook die IP des Gateways gegeben.)
Die produktive Box antwortet, demnach scheint es nicht an der Ping Konfiguration liegen.
Habe ich irgendwo einen Denkfehler gemacht, oder muss vor der Inbetriebnahme noch etwas aktiviert werden?
Das ist die erste watchguard, die ich neu installiert habe....
Kann mir jemand einen Tipp geben?
Vielen Dank
Ditmar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206940
Url: https://administrator.de/contentid/206940
Printed on: April 26, 2024 at 17:04 o'clock
15 Comments
Latest comment
Vermutlich nicht, denn es ist allgemeiner Standard das ICMP (Ping) bei allen Firwalls generell aus Sicherheitsgründen deaktiviert ist. Ganz sicher ist ICMP auf "roten" Interface aber deaktiviert, denn das ist ein erhebliches Sicherheitsloch.
Sollte auch besser so bleiben. Du musst ICMP dediziert aktivieren damit FW Interfaces pingbar sind.
Sollte auch besser so bleiben. Du musst ICMP dediziert aktivieren damit FW Interfaces pingbar sind.
Ja, da magst du recht haben, jedoch habe ich die produktive Konfiguration, die über das Internet ja pingbar ist auf die andere box übertragen und da lässt sich das interface nicht pingen. Da ich bisher noch nicht soo viel mit watchguard zu tun hatte, ausser Regeln ändern, weiss ich nicht, ob die Box nach dem rüberkopieren der Konfiguration direkt funktionsfähig ist, oder ob evtl die Lizenz online verifiziert werden muss, o.ä. Hat dazu jemand Erfahrungen?
Filterfunktionen haben aber nix mit Lizensierung zu tun. Kann auch niemals sein, denn dann wäre z.B. einen Watchguard in einem internen Netz ohne Internat Anbindung gar nicht einsetzbar.
Darf also bezweifelt werden das eine HW Lizensierung online gemacht wird.
Es ist aber möglich das sich default Settings in der Firmware geändert haben. Ist der Firmware Stand beider Boxen denn identisch ??
Darf also bezweifelt werden das eine HW Lizensierung online gemacht wird.
Es ist aber möglich das sich default Settings in der Firmware geändert haben. Ist der Firmware Stand beider Boxen denn identisch ??
das muss ich noch prüfen. ich werde auch mal versuchen, icmp zu deaktivieren und erneut zu aktivieren.
ich habe das übrigens mit 2 verschiedenen boxen probiert, 2 mal erfolglos.
ich habe das übrigens mit 2 verschiedenen boxen probiert, 2 mal erfolglos.
Hi,
das ist eine Policy (Regel) mit der das ICMP geregelt wird.
Da kannst du nichts "abschalten".
Kann es eher sein, das dein Notebook das als Gatewayersatz dient, die Firewall an hat und deswegen nicht antwortet?
Worauf genau pingst du?
Und generell, wenn die Regeln im Policy Manager so aussehen wie erwartet, dann passt das schon
EDIT: Die Lizenz brauchst du nicht für den reinen Betrieb, aber wenn du Z.B. updaten möchtest, dann verweigert die Box dir das.
VG
Deepsys
das ist eine Policy (Regel) mit der das ICMP geregelt wird.
Da kannst du nichts "abschalten".
Kann es eher sein, das dein Notebook das als Gatewayersatz dient, die Firewall an hat und deswegen nicht antwortet?
Worauf genau pingst du?
Und generell, wenn die Regeln im Policy Manager so aussehen wie erwartet, dann passt das schon
EDIT: Die Lizenz brauchst du nicht für den reinen Betrieb, aber wenn du Z.B. updaten möchtest, dann verweigert die Box dir das.
VG
Deepsys
Zitat von @aqui:
Ganz sicher ist ICMP auf "roten" Interface aber deaktiviert, denn das ist ein erhebliches
Sicherheitsloch.
Sollte auch besser so bleiben.
Ganz sicher ist ICMP auf "roten" Interface aber deaktiviert, denn das ist ein erhebliches
Sicherheitsloch.
Sollte auch besser so bleiben.
Zumindest ICMP ECHO Request und ICMP Echo Reply würde ich für diagnostische Zwecke "anlassen". Deren Sicherheitsrisiko ist überschaubar und diese sind bei der Fehlersuche und -diagnostik imho unverzichtbar.
lks
So, ich habe neue Infos.
Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird. Ausserdem habe ich bemerkt, dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann. Das ist, denke ich, das eigentliche Problem. Ich werde mal in diese Richtung weitersuchen, wenn dazu jemand eine Idee hat, ich lass mich gerne unterstützen...
Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird. Ausserdem habe ich bemerkt, dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann. Das ist, denke ich, das eigentliche Problem. Ich werde mal in diese Richtung weitersuchen, wenn dazu jemand eine Idee hat, ich lass mich gerne unterstützen...
Zitat von @Ditmar57:
Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird.
???Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird.
Das glaube ich nun aber nicht, die Kiste soll auf durchzug stehen beim Hochfahren?
Dann fliegt die aber aus dem Fenster!
Ausserdem habe ich bemerkt,
dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann.
Na das ist doch klar.dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann.
Du solltest dich mal bei WG einloggen und den richtigen Feature Key auf die Kiste spielen
Das ist,denke ich, das eigentliche Problem. Ich werde mal in diese Richtung weitersuchen, wenn dazu jemand eine Idee hat, ich lass mich gerne unterstützen...
Denke nicht es das Problem ist.Ist es überhaupt ein Problem?
Ich bin mir da nicht so sicher ...
Ein Plan wäre evtl. mal gut ....
VG
Deepsys
Die richtige Lizenz habe ich nun draufgeschoben, es werden jetzt auch alle konfigurierten VPN's angezeigt. Die Sache mit dem Ping hat sich jedoch nicht verändert. Ich habe auch schon die Regel dafür gelöscht und neu erstellt, um sicher zu gehen, dass es keine Auswirkungen durch die falsche Lizenz waren, aber auch das ohne Erfolg.
ich konnte jetzt auch definitiv beobachten, dass während die Regeln geladen werden, eine Ping Antwort geschickt wird, nach dem Laden wird der Ping wieder blockiert. Die Regeln sind von der produktiven rüberkopiert, dort bekomme ich eine Antwort.
Zitat von @Ditmar57:
ich konnte jetzt auch definitiv beobachten, dass während die Regeln geladen werden, eine Ping Antwort geschickt wird, nach
dem Laden wird der Ping wieder blockiert. Die Regeln sind von der produktiven rüberkopiert, dort bekomme ich eine Antwort.
ich konnte jetzt auch definitiv beobachten, dass während die Regeln geladen werden, eine Ping Antwort geschickt wird, nach
dem Laden wird der Ping wieder blockiert. Die Regeln sind von der produktiven rüberkopiert, dort bekomme ich eine Antwort.
Dann ist vermutlich irgendetwas an den regeln faul oder nicht wirklich komplett kopiert.
Sind die Objekte denn alle gleich?
lks
ja, bis auf einen Unterschied:
bei der funktionierenden steht in den ping properties:
protocol ping
Client Port client
bei der kopierten ist die Spalte Client Port leer.
Ich weiss nicht, ob das eine Bedeutung hat und ich habe auch keine Möglichkeit gefunden das zu ändern.
bei der funktionierenden steht in den ping properties:
protocol ping
Client Port client
bei der kopierten ist die Spalte Client Port leer.
Ich weiss nicht, ob das eine Bedeutung hat und ich habe auch keine Möglichkeit gefunden das zu ändern.
Ähm, welche Firmware Version benutzt du da?
Könnte es sein das die etwas älter ist??
(Ja, muss ja, die X700 ist ja nicht mehr so aktuell)
VG
Deepsys
7.5.0.B342528
Aktuell ist die XTM 11.7.3, allerdings wird die nicht mehr mit der X700 laufen.
Ich vermute mal, das ihr auch keinen Support mehr habt, oder?
Ich würde nun einfach den Ping mal vergessen und die Kiste nun einfach abschicken und ausprobieren lassen.
By the way, Watchguard bietet auch einen HA-Cluster an um diese Art von Ausfällen abzufangen.
Aber etwas neuer sollten die dann schon sein.
VG
Deepsys
Ich vermute mal, das ihr auch keinen Support mehr habt, oder?
Ich würde nun einfach den Ping mal vergessen und die Kiste nun einfach abschicken und ausprobieren lassen.
By the way, Watchguard bietet auch einen HA-Cluster an um diese Art von Ausfällen abzufangen.
Aber etwas neuer sollten die dann schon sein.
VG
Deepsys