Lizensierung mit übergeordnetem Proxy

Hallo Community,

ich möchte 2 XG230 Systeme in Betrieb nehmen, scheitere allerdings an der Lizensierung.

Die beiden Firewalls sollen als Cluster in einem abgeschotteten Netzwerkbereich zum Einsatz kommen. Dort haben sie jedoch keinen direkten Zugang zum Internet.
Um Lizenzinformationen auszutauschen und Firmwareupdates zu erhalten braucht die XG allerdings Internet. Der einzige Weg dahin ist der Einsatz eines übergeordneten Proxys.

Beim ersten Setup nach einem Factory Reset wird bereits in der Konfiguration der Uplinkschnittstelle der übergeordnete Proxy angeboten. Der Proxy wird per IP angesprochen.
Ein DNS Server wird ebenfalls abgefragt. Den habe ich in der abgeschotteten Umgebung nicht - brauche ich auch für den Proxy eigentlich nicht. Am Ende hört der Verbindungsaufbau zum Lizenzserver bereits bei dem nicht vorhanden DNS Server auf.

Egal ob ich die Firewall neu aufsetze oder aus der Oberfläche heraus konfiguriere, die Firewall spricht nicht zum Lizenzserver über den übergeordneten Proxy.

Ohne diese Kommunikation werden die installierten Lizenzen nach 90 Tagen deaktiviert.

Gibt es einen Punkt in der Konfiguration, den ich noch gesondert aktivieren muss um die Lizenz- und Updateserver per übergeordnetem Proxy  zu erreichen?

Vielen Dank für eure Hilfe.

Mit freundlichen Grüßen
Daniel Büchner

  • Hi Daniel,

    To investigate this issue, please DM licensing.log after a license synchronisation attempt via GUI. For logfile information on XG please refer to, https://community.sophos.com/kb/en-us/123185.

    Thanks,

  • In reply to sachingurung:

    Hi Sachin,

    the licensing.log says:

    INFO      Sep 19 15:46:16 [0]: --haID = " "                                    
    INFO      Sep 19 15:46:16 [0]: --isActive = false                              
    INFO      Sep 19 15:46:16 [0]: --haType = " "                                  
    INFO      Sep 19 15:46:16 [0]: --cert = /content/licensing/lic_csr.pem         
    INFO      Sep 19 15:46:16 [0]: --key = /content/licensing/lic_csr.key          
    INFO      Sep 19 15:46:16 [0]: --token = Token-Id:xxxxxxxxxxxxxxx              
    INFO      Sep 19 15:46:16 [0]: URL : https://eu-prod-utm.soa.sophos.com/api/device/1/appliance                                                                 
    INFO      Sep 19 15:46:16 [0]: licensing_do_applianceupdate : request : { "serialNumber": "xxxxxxxxxxxxxx", "applianceAttributes": [ { "name": "firmwareVersion", "value": "17.1.1.175" }, { "name": "haID", "value": "\" \"" }, { "name": "isActive", "value": "false" }, { "name": "haType", "value": "\" \"" } ] }         
    ERROR     Sep 19 15:46:36 [0]: curl_easy_perform(6) failed: Couldn't resolve host name                                                                         
    ERROR     Sep 19 15:46:36 [0]: licensing_do_applianceupdate() : Problem in contacting Server

    But on the Upstream Proxy Side, there is no requests for https://eu-prod-utm.soa.sophos.com/api/device/1/appliance   from the appliance. There we see only DNS Requests for it.

    Regards Daniel

  • In reply to Daniel Büchner:

    Die Appliance selbst scheint den Server nicht auflösen zu können.

    Welche DNS Server sind eingetragen bei der XG? 

    Diese DNS Server, können die diesen DNS Record auflösen? 

    Wie ist die Infrastruktur? Wie erreicht die XG den Upstream Proxy bzw. wo befindet dieser sich? 

  • In reply to LuCar Toni:

    Hallo,

    die Appliance hat einen internen DNS eingetragen, der nur für das abgeschottete Netzwerk ist, oder gar keinen DNS. Die XG selber kann und soll den Eintrag nicht auflösen, sie soll die Anfrage an den übergeordneten Proxy schicken und der soll DNS auflösen. Der übergeordnete Proxy wird per IP angesprochen und ist auch erreichbar. Der Weg ist ein einfaches Routing, die Firewall selbst darf aber nicht direkt ins Internet routen.

    Mein eigentlliches Problem  an der ganzen Geschichte ist, dass ich die Lizenzinformationen alle paar Tage online abgleichen muss, weil die Lizenzen sonst auf der Firewall deaktiviert werden (nach 90 Tagen). Ich möchte die Firewall aber einfach in einem lokalen Netz als Firewall zwischen Netzen einsetzen. Am besten komplett ohne Internet und mit manuellen Updates (Es sind 2 Appliances als Cluster).

    Gruß Daniel

  • In reply to Daniel Büchner:

    Wir arbeiten an einem Air Gap Licensing Process für XG. Solange dieser Prozess noch nicht vorhanden ist, wird die Appliance diese 90 Tage abschaltung durchführen.

    Könnte man Testweise den DNS Record vom Licensing Server auf dem DNS Server eintragen? Soweit ich mich erinnern kann, sollte die XG dann den Upstream Proxy nutzen. Es könnte nämlich sein, dass das Licensing Module nach dem nicht erreichen des DNS Records einfach aufhört. 

    community.sophos.com/.../126576

  • In reply to LuCar Toni:

    Hallo,

    kann ich den DNS Record auch lokal auf der Firewall eintragen? Und dann quasi die Firewall selber als DNS eintragen (127.0.0.1)?

    Den Eintrag im DNS teste ich unabhängig davon auch. Danke für die Info.

    MfG Daniel