This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Migrating from UTM 220 to SG 230

I've recently started a new position at a firm utilizing a Sophos UTM 220 appliance. This is my first time managing Sophos equipment.

They have purchased a brand new SG 230 appliance to replace the older unit. Am I correct that I should be able to take an unencrypted backup from the UTM 220 and restore it to the SG 230 via USB to transfer the previous configuration? The SG 230 will be completely replacing the UTM 220. I do know I should have the new license file ready to apply to the 230.

Current UTM version is v9.305-4. I've done some searching around but have not had much success finding much on migrating devices. Any gotchas I should be aware of? Any advice is appreciated. Thank you!


This thread was automatically locked due to age.
  • Hi, and welcome to the User BB!

    It really is that simple.

    Be aware that you can restore an older backup to a newer UTM version, but not the other way around.  The only other "trick" you might need is being prepared to bounce any switches/routes that are connected directly to the device in order to clear the ARP table.

    The alternative to resetting the ARP tables is, prior to making the backup: on the 'Hardware' tab of 'Interfaces & Routing >> Interfaces', Edit the NICs to set the 'Virtual MAC' to the same value as the 'MAC Address' for each NIC.  When you restore the configuration to the 230, the NICs should communicate as soon as they're connected.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • What about logs and quarantained mails?
  • They'll be gone. Same for reporting data and hotspot vouchers.
  • I just received my two new SG 230 hardware firewalls.  How do I migrate from two UTM 220's in HA mode to two SG 230 in HA mode?  My 220's are at v9.209-8 and the SG230 are at v9.111-10.1.  Should I update my SG 230 to v9.209-8 on the bench before I take them to the Data Center?  What is the best way to do the update?

    Thanks!
  • In that case its easy and you wont loose any data and remain up. Shutdown the passive Node and replace it with one of the two SGs, let it join the HA. It will update and sync. After sync has finished, take the Master down and replace that one as well.

    If the firewalls are located offsite and you want it quick, update the new SGs to your currently used version first, best via Image as it will be a few updates otherwise.
  • Thanks for the help. This ended up being quite easy. We had to do a hard cutover to the SG230 but it accepted the old config without issue. Just reassign some ports as it has 2 less than the 220.

    Only issue I ran into was the UTM220 was being used as a DHCP server so when the SG230 was brought up the DHCP server barfed on something. Everything seemed fine Friday afternoon and we were able to upgrade to the latest firmware. Come Monday morning all of the DHCP licenses were expired and tons of stuff had fallen off the network. Simply bouncing the DHCP server brought got everything working again.

    It's a small shop so not a huge deal, but it was not something I had thought to check. Still learning the lay of the land around here. Otherwise the performance increase from the SG230 is huge. There is a noticeable improvement.

    Thanks again for the help. I'm sure I'll continue lurking around these forums.
  • ...Shutdown the passive Node and replace it with one of the two SGs, let it join the HA...


    Does HA really work with different hardware?
  • Yes and no.  For example, it won't work with a UTM 220 and a UTM 425, but it can work in VMs that are configured similarly.  I haven't tried a 220 to a 210 or 230 - hopefully, trollvottel or another insider will come back and comment more explicitly.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Well at least there are no technical "countermeasures" in place. For temporary setups like that I think it's okay to mix.
  • So I am replacing two ASG 220's in HA Active-Passive mode.  I followed the directives: I removed the HA cable from the ASG 220 Slave and placed it into one of the SG230's on eth3.  It blinked, ran for about two minutes and then the SG 230 shut off.  I restarted the SG 230 by cycling the power and tried again.  Same thing.

    What's going on?  Do I need to move the eth0,eth1 and eth2 cables as well?  Is my unit defective?