Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 6 replies
  • Answers 2 answers
  • Subscribers 9 subscribers
  • Views 864 views
  • Users 0 members are here
Options
Suggested

Hilfe, vorgehen bei RMA Austausch im HA Cluster (angeblich automatische Lizenzübertragung!)

Gerald Gleissner1

Hallo,

ich brauch mal euer Hilfe.

In einem HA Cluster hat die Primäre XGS ein Problem, sie funktioniert einwandfrei, aber sie hat sich einfach mal ausgeschalten und wird nun ausgetauscht.

In der Mail vom RMA-Support steht das die Lizenz automatisch übertragen wird!?

(The License transfer process is automated. When you claim the device, the system will prompt you to say that your licenses associated with the faulty device will be transferred to the replacement device. This action will de-register the faulty device and will then function as a basic router only. )

Nur irgendwie traue ich dem ganzen nicht.

Wie würdet ihr vorgehen, oder hat es einer schon gemacht?

Mein Problem dabei ist, Firewall des Kunden ist 1,5 Stunden Autofahrt entfernt. Es soll tagsüber zu keinerlei Ausfällen kommen. Konfiguration habe ich bereits hochgeladen auf das Austauschgerät.

Also ich wollte das vor Ort austauschen und Nachts per Fernwartung den Rest erledigen. Termin habe ich Montag früh!

Gruß aus dem Fichtelgebirge

Gerald



Added TAGs
[edited by: Erick Jan at 12:46 PM (GMT -7) on 15 Aug 2024]
  • 0

    Wichtige Fakten: 
    SFOS bezieht alle 24 Stunden die Lizenz. Du kannst den genauen Zeitpunkt im /log/Licensing.log nachschauen. Das bedeutet, wenn die Lizenz "weg" ist, dann hast du im besten Fall noch 23 Stunden bis zum nächsten Sync. 

    Viele Dinge sind hier erklärt: 

    https://docs.sophos.com/support/help/de-de/portal/userGuide/rma/RmaProcess/index.html#versand-und-versandstatus

    Ich würde vorschlagen: Lokalisiere die beiden Nodes in Central. Weißst du, in welchem Central Account beide Appliances sich befinden (Lizenztechnisch, nicht Heartbeat). Unter dem Icon oben rechts, Licensing, und Firewall Licensing. Dort solltest du Zugriff drauf haben. 

    Dann lokalisierst du die Lizenz. Unter der Firewall selbst und HA zeigt die Firewall dir an, welcher von beiden Nodes die Lizenz hält. 
    Wenn Faulty Appliance die Primary ist: Überträgt Sophos die Lizenz nach Registrierung / Claim alleine.
    Wenn Faulty Appliance die Aux ist: Überträgt Sophos nur die Base License. 

    Abhängig von der Appliance, kannst du dann das HA Auflösen. Wenn du das HA auf der Appliance auflöst, die AUX war (keine Lizenz) wirst du ein Standalone Appliance ohne Lizenz haben. Du kannst aber vorher in Central die Lizenz von der Primary (Defekt) auf die AUX übertragen. 

    Über Sophos Central claimst du dann die Firewall: https://docs.sophos.com/central/customer/help/en-us/LicensingGuide/FirewallLicenses/FirewallClaimRMA/index.html 
    Das solltest du in dem Account machen, wo auch beide Firewalls sich gerade befinden. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo,

    ja die  Anleitung hatte ich schon mal überflogen, aber irgendwie gehen die auf das Problem das ich gerade habe nicht ein. Quasi der Austausch eines Gerätes in einem HA Cluster. Ich sehe wie man Lizenzen überträgt, ich sehe das bei einzelnen Firewalls das anscheinend Problemlos funktioniert mit der Lizenzübertragung, aber man geht nicht darauf ein, eine der FW in einem HA Cluster zu tauschen.

    Oder ich übersehe diesen Punkt?

    Ja ich sehe meine Firewalls im Partner Account und ich weiß das die Firewall, die die Lizenz hat, ausgetauscht werden muss.

    Eigentlich hatte ich folgendes vor:

    Die Aux aktivieren, dann die Primäre herunterfahren

    Dann die Primäre Firewall austauschen vor Ort

    Alles anschließen und die neue primäre Firewall hochfahren und registrieren.

    Jetzt sollte der automatische Prozess mit der Lizenzübertragung beginnen.

    Nur Frage ich mich:

    - Läuft nach der Registrierung die sekundäre Firewall weiter, sprich gibt es keine Unterbrechung im Betrieb?

    - Wird das Cluster automatisch wieder aufgebaut wenn man die Konfiguration von der alten Primären übertragen hat?

    - Falls nicht, kann ich das HA per Fernwartung wieder aufbauen?

    Oder wäre es eventuell besser vorher die Lizenz auf die Sekundäre Firewall zu übertragen.

    Eine neue Sicherung anzulegen und diese dann auf die Austausch Firewall zu spielen

    Und dann die quasi Aux auszutauschen

  • 0 in reply to Gerald Gleissner1

    Ein HA Cluster ist eine direkte Verbindung zwischen zwei Seriennummern. 

    Wenn du eine davon austauschst, solltest du das HA Cluster neu bauen. 

    Mach folgendes: 
    Übertrag die Lizenz auf die AUX Appliance. Failover auf die AUX. Cluster auflösen. Faulty Appliance austauschen. Die neue Appliance in Central claimen.
    Auf die neue RMA Appliance zugreifen via Webadmin. Dann HA wieder aufbauen. Fertig. 

    Du kannst das auch Remote machen, sollte die Austauschappliance auch erreichbar sein. Diese werden ja mit Factory Default, also 172.16.16.16 ausgeliefert. Wenn du die IP vorher änderst, solltest du kein Thema haben. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo,

    ok, dann versuche ich das so.

    Mache die Aux zur Primären, dann Lizenz übertragen. 

    Dann Montag runter fahren zum Kunden. HA auflösen, RMA-Firewall in Betrieb nehmen und schauen ob ich sie erreiche per Fernwartung.

    Wenn ja, dann Nachts HA neu aufbauen und testen.

  • 0 in reply to Gerald Gleissner1

    Wenn ein HA beendet oder aufgebaut wird, wird man einen kurzen "Ausfall" haben. Die MAC Addressee werden neu berechnet und Switche haben häufig dann einen 1-2 Sekunden Ausfall. 

    Warum baust du das HA Cluster nicht wieder auf, wenn du vor Ort bist? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Das würde ich gern, nur das Telekom MPLS Netz der 14 Standorte meines Kunden (Bundesweit 300 - 400 Standorte) verwenden für Kassen und EC-Cash zum größten Teil genau den Internetzugang an diesem Standort das dann die Sophos zu Verfügung stellt. Nur einzelne Kassen gehen über den Standort direkt ins Internet.

    EC Cash ist meistens nicht das Problem, aber die Kassen die über ein ERP System angebunden sind, die teilweise abstürzen wenn das Internet nicht erreichbar ist und dann teilweise verdammt lang benötigen um wieder sauber hochzufahren. Hab schon etwa 1 Stunde erlebt mit mehreren Neustarts an einer Kasse.

    Also bevor ich das Risiko eingehe das Internet zu unterbrechen, versuche ich alles dies zu vermeiden.

Unfiltered HTML