HA nach Firewallausfall wiederherstellen

Hallo zusammen,

 

wir haben zwei SG330 im Unternehmen im Einsatz, verbunden mit HA. Eine der Firewalls hatte einen defekt und wurde von unserem Partner wieder zum Laufen gebracht.

Nun unterscheiden sich jedoch die Firmwarestände der beiden Firewalls (die aktive: UTM 9.5.x, die reparierte: 9.4.x)

Die reparierte Firewall ist komplett unkonfiguriert. 

 

Wie gehe ich nun am Besten vor, um die Firewall wieder ins HA aufzunehmen? Kann ich die FW einfach über den HA Port mit der aktuellen verbinden und das HA wird wiederhergestellt? 

 

 

Danke im Voraus für eure Antworten!

  • Hallo Philipp,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Here's the procedure I recommend to my clients:

    1. If needed, do a quick, temporary install so that the new device can download Up2Dates.
    2. Apply the Up2Dates to the same version as the current unit, do a factory reset and shutdown.
    3. On the current UTM in use, on the 'Configuration' tab of 'High Availability':
       a. Disable and then enable Hot-Standby
       b. Select eth3 as the Sync NIC
       c. Configure it as Node_1
       d. Enter an encryption key (I've never found a need to remember it)
       e. Select 'Enable automatic configuration of new devices'
       f. I prefer to use 'Preferred Master: None' and 'Backup interface: Internal'
    4. Cable eth3 to eth3 on the new device.
    5. Cable all of the other NICs exactly as they are on the original UTM.
    6. Power up the new device and wait for the good news. Wink

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • Bob hat alles vollständig und korrekt beschrieben. Ggf. noch als Anmerkung, man kann mit der Neuinstallation per iso das Gerät auch näher an den gewünschten Firmwarestand bringen. Es darf keine neuere Version sein.

    Z. B. um sicherzustellen dass Postgress bereits in 64 Bit läuft, siehe

    Denn 9.4 ist schon relativ alt.

    Beste Grüße

    Alex

  • Danke für eure Antworten. 

    Bin nach Anleitung vorgegangen. Als ich auf der laufenden Firewall das HA deaktiviert habe, ging leider gar nix mehr. Internetanbindung war weg, AccessPoints haben keine SSID mehr ausgestrahlt und ich kam nicht mal mehr auf die Firewall, als ich mich direkt mit nem LAN Kabel verbunden hatte. Ein Neustart über das Display hat dann aber Wirkung gezeigt, danach ging wieder alles.

     

    Ich vermute mal, dass das Verhalten nicht normal ist und sich einfach die Firewall aus welchen Gründen auch immer aufgehängt hat? :D 

  • In reply to Alexander Busch:

    Ja das ist leider nicht auf meinem Mist gewachsen. Hatte die Firewall aufgrund von Zeitmangel an unseren Partner (angeblich Sophos Spezialist..) zur Reparatur gegeben. Die meinten aber sie können nichts aktuelleres als 9.4 installieren, aber damit geht HA auch.. Hab das kommentarlos hingenommen und selbst die restlichen Updates aufgespielt.. 

  • In reply to Philipp Rückert:

    Meine Vorredner haben die Vorgehensweise ja schon sehr gut geschildert.

    Hier meine Vorgehensweise, falls der Cluster noch nicht wieder aktiv ist und eth3 der HA-Port ist.

    1. Austauschgerät auf den gleichen Software-Stand bringen wie das Laufende - am besten per ISO-Installation (ansonsten ein Factory-Reset nach den Updates).

    2. Gerät abschalten

    3. am laufenden Gerät HA aktivieren, "automatische Konfiguration neuer Geräte" aktivieren und einen evtl. als "DEAD" eingetragenen Slave löschen.

    4. Austauschgerät über eth3 verbinden und einschalten

    jetzt sollte sich das Austauschgerät wieder in den Cluster integrieren.

    5. restliche Ports verbinden

  • Danke für eure Anleitungen, die werden mir weiterhelfen! 

     

    Werde das ganze aber lieber außerhalb unserer Geschäftszeiten machen, keine Lust auf einen weiteren Ausfall :) 

  • Also hat alles funktioniert, wie beschrieben, haben wieder eine funktionierende HA. Vielen Dank für eure Hilfe!