Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.
Hallo zusammen,
zuerst einmal ein Kompliment für das dt. Forum und die neues Videos dazu, es geht voran
Wir wollen unsere beiden XG230-v2 von v17.5 nach v18.5 heben, was gibt es vorher bzw. nach dem Upgrade zu beachten ?
Im speziellen mit DPI / NAT, in wie weit ist die Firewall Regel Konvertierung erfolgreich, bzw. wo sollte man nach der Migration etwas genauer hin schauen.
Beide FW's (Standorte) sind per IPSec verbunden. Die User nutzen SSL VPN und Sophos Connect um sich mit beiden Standorten verbinden zu können.
Aktuell nutzen wir alle Firewall Module aus unserer FullGuard+ Subskription z.B. WAF, IPS etc., ev. auch hier irgendwelche Fallstricke bei der Migration ?
Dank schon mal vorab für die Hilfe und Tipps.
StefanS
Hallo,
Grundsätzlich migriert die Appliances alles zu 100% und aktiviert keine neuen Features "von alleine".
Wichtig zu wissen ist: Das HA wird gleichzeitig neu starten, da V18.0 einen neuen Kommunikationskanal zwischen den Appliances implementiert, der verschlüsselt ist. Das erfordert einen Neustart von beiden Appliances zur gleichen Zeit. Somit eine geplante Downtime.
Dann wird der virtual FastPath aktiviert. Diese Technologie erhöht die Performance der Appliance durch eine neue Architektur, kann jedoch auch zu "Problemen führen". Das ist die einzige Technik, die aktiviert wird nach dem Update auf V18. Daher sollte man, hat man danach Probleme, diese Technik mal ausschalten und schauen. (console> system firewall-acceleration disable).
Der Rest wird dann migriert und umgebaut. Persönlich würde ich die Zeit nutzen und die NAT Regeln (Linked NAT) alle löschen und mit Default NATs arbeiten. Jede Firewall Regel, die ein MASQ in V17.5 hatte, wird eine eigene Linked NAT Rule erhalten. Dieses MASQ wird von einer Default SNAT Rule übernommen. Daher kann man die Linked NAT Rules in der Regel löschen.
SD-WAN PBR sind die neuen "Welches Gateway soll ich verwenden". Die Firewall wird dabei alle Regeln 1:1 migrieren. Jedoch gilt hierbei zu beachten: Die Firewall kann drei verschiedene Routing Entscheidungen haben: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/tasks/RoutingSDWANPolicyRoutesMigrated.html Daher ist es zu empfehlen, diese Einstellung auf der Console auf static - VPN - SD-wan zu ändern.
__________________________________________________________________________________________________________________
Danke LuCar für die schnelle und kompetente Antwort.
Das hört sich ja generell gut an, gibt es bereits ein ETA für die v18.5.1 und ev. MR2 ?
In meinen Augen spielt es keine Rolle, ob man nun V18.5 MR1 installiert oder V18.0 MR5. Beide Releases haben bisher keine Probleme dargestellt. V18.5 MR1 soll demnächst freigegeben werden, sollten weiterhin keine Probleme gemeldet werden.
__________________________________________________________________________________________________________________