coreknabe
Goto Top

Installation Barracuda Firewall mit USB-Stick

Moin,

da der Barracuda-Support in diesem Fall nicht sonderlich hilfreich ist (bei uns geht's), mal die Frage hier, in der Hoffnung, dass es hier Barracuda Nutzer gibt.

Prinzipiell ist es möglich, mit NGInstall einen USB-Stick zur Komplettinstallation der Firewall zu erstellen. Ich kann eigentlich auch die vorhandene Konfigurationsdatei über ein PAR-File in die Installation integrieren. Im Endeffekt ist die Neuinstallation dann schnell erledigt: Firewall mit dem USB-Stick booten, Installation läuft durch, Konfig wird eingespielt, Reboot, Firewall ist im Handumdrehen wieder einsatzbereit.

Das klappt bei uns aber seit einiger Zeit nicht mehr (bin mir nicht sicher, aber ich glaube, ab der V8 ging das nicht mehr). Erstelle ich mir mit NGInstall einen USB-Stick und integriere dort das ISO und das PAR-File, kann ich die FW zwar installieren, jedoch ohne unsere Konfig, die muss ich manuell einspielen und aktivieren.
Zunächst hatte ich unsere Konfig in Verdacht, deshalb habe ich mir unsere Spare-FW geschnappt und die FW über den Stick komplett neu installiert. Dann habe ich ein paar Änderungen vorgenommen (Management IP geändert, ein paar Netzwerkobjekte angelegt, Regeln erstellt) und die Konfig abgezogen. Jetzt erstelle ich mir einen neuen USB-Stick und importiere diese Testkonfig in die Installation. FW installiert, Neustart, Management IP ist immer noch auf Default: 192.168.200.200, es wurde nichts aus meiner Testkonfig übernommen. Wieder bleibt mir nur, die Konfig manuell einzuspielen.

Die offizielle Anleitung gibt mir leider auch keine Hinweise, genau so hatte ich das früher auch immer gemacht:
https://campus.barracuda.com/product/cloudgenfirewall/doc/72516522/how-t ...

Gruß

Content-ID: 7424896629

Url: https://administrator.de/forum/installation-barracuda-firewall-mit-usb-stick-7424896629.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Toby-ch
Toby-ch 05.06.2023 aktualisiert um 09:07:41 Uhr
Goto Top
Hallo CoreKnabe

Mir fallen da folgender Punkt auf die das einspielen verhinderen:
"Sie können nur PCA-Dateien verwenden, die mit der Seriennummer der Appliance als Kennwort verschlüsselt wurden. Entschlüsseln Sie die PCA-Datei, wenn ein manuelles Passwort verwendet wurde oder die Seriennummer nicht mit dem Passwort der PCA-Datei übereinstimmt."

Gibt es ein instalations Log was auf dem Stick abgelegt wird um nach zu volziehen was er gemacht hat?


PS: ich kenne die Fireall nicht, und habe mir lediglich die anleitung durch gelesen!
Coreknabe
Coreknabe 05.06.2023 um 09:18:16 Uhr
Goto Top
Hi Toby,

nein, das verhindert lediglich das Einspielen, wenn das PAR-File (Passwort-)verschlüsselt ist --> PCA-Format. Ich habe aber eine unverschlüsselte Konfig integriert.

Gruß
Dani
Dani 05.06.2023 um 09:24:24 Uhr
Goto Top
Moin,
Prinzipiell ist es möglich, mit NGInstall einen USB-Stick zur Komplettinstallation der Firewall zu erstellen
von welchen Version von NGInstall und Firmware sprichst du?


Gruß,
Dani
Coreknabe
Coreknabe 05.06.2023 um 09:44:32 Uhr
Goto Top
Hi Dani,

auf Dich hab ich gehofft face-wink

Relativ beliebige Versionen, von 8.3 bis zur 9.0 (wie bereits erwähnt, ich meine, mit der 7er ging das noch problemlos, bin aber nicht sicher).
Aktuell getestet: NGInstall 9.0.0-2 und FW 9.0.0-0511

Gruß
Dani
Dani 05.06.2023 um 12:08:56 Uhr
Goto Top
Moin,
der Azubi sagt mit 8.3 funktioniert es wie es soll. Für 9.x kann ich es leider nicht testen lassen.


Gruß,
Dani
Coreknabe
Coreknabe 05.06.2023 um 12:26:25 Uhr
Goto Top
Dir vielen lieben Dank für's Testen (lassen) und Gruß an den Azubi face-smile

Hm, ja, schade, das habe ich mir auch immer wieder sagen lassen, dass es bei anderen funktioniert. Jetzt weiß ich leider nicht, was ich da noch anders machen sollte...

Probiert habe ich:
  • Diverse USB-Sticks, auch vorher komplett gelöschte (sektorweise)
  • Eine Teststellung von Barracuda, da ich an unserer Live-FW nicht rumspielen will
  • Erstellung des Sticks an einem anderen Rechner

Und eigentlich müsste es ja zwingend funktionieren, wenn ich auf unserer frisch installierten Spare-FW eine neue Minikonfig erzeuge, aber nicht einmal das funktioniert.

Ratlose Grüße
Dani
Dani 05.06.2023 um 12:44:22 Uhr
Goto Top
Moin,
wiederhole deinen Test und greife den Output von der Konsole via TeraTerm ab und logge in einer Datei. Dann kannst du in Ruhe die verschiedenen Routinen kontrollieren.

Firewall mit dem USB-Stick booten, Installation läuft durch, Konfig wird eingespielt, Reboot, Firewall ist im Handumdrehen wieder einsatzbereit.
  • Werden Patches, die du in den USB Stick integrierst, eingespielt oder werden diese auch ignoriert?!
  • Die verwendete PAR File passt zu verwendeten Firmware Version. Weil 8.x wird vermutlich mit 9.x nicht kompatibel sein.


Gruß,
Dani
Coreknabe
Coreknabe 06.06.2023 um 13:12:37 Uhr
Goto Top
Moin,

  • Patches / Hotfixes werden eingespielt
  • PAR-File entspricht der jeweiligen FW-Version

Über das abgegriffene Putty-Log bekomme ich folgende Info:

Checking software selection   
Generating updated storage configuration   
Checking storage configuration...
================================================================================================================================================================   
Installation  
 1) [x] Phion Parfile                     2) [x] Language settings
        (OK)                                     (English (United States))
 3) [x] Time settings                     4) [x] Installation source
        (Etc/UTC timezone)                       (GWAY-9.0.0-0511.iso)
 5) [x] Software selection                6) [x] Installation Destination
        (Custom software selected)               (Custom partitioning selected)
 7) [ ] Network configuration             8) [ ] User creation
        (Not connected)                          (No user will be created)
================================================================================================================================================================

Das PAR-File wird also erkannt, aber nicht angewendet.

Was mir aufgefallen ist, es besteht natürlich keine Netzwerkverbindung. Die Netzwerkkabel müssen ja aber wohl kaum so gesteckt sein, wie es in der Konfig vorgegeben ist?!?

Dann noch eine Frage, hatte Euer Azubi ein unverschlüsseltes PAR-File, also nicht im PCA-Format, verwendet?

Gruß
Dani
Dani 06.06.2023 um 16:06:50 Uhr
Goto Top
Moin,
Das PAR-File wird also erkannt, aber nicht angewendet.
mehr wird da nicht mehr ausgegeben? Früher war in der Konsole alle Interaktionen ersichtlich.

Dann noch eine Frage, hatte Euer Azubi ein unverschlüsseltes PAR-File, also nicht im PCA-Format, verwendet?
PAR File.


Gruß,
Dani
Coreknabe
Coreknabe 07.06.2023 aktualisiert um 09:25:41 Uhr
Goto Top
Moin Dani,

doch, sicher, da steht noch ganz viel mehr drin. Ich habe jetzt nur auf Einträge geachtet, die mir relevant erscheinen. Bei Interesse poste ich gern den gesamten Output, wollte das hier nur niemandem vor den Latz knallen...

Der Eintrag bestätigt mir zumindest, dass das PAR-File zumindest als legitim erkannt wird, hatte ich mir allerdings ja schon selbst durch die Test-Konfig auf der neu installierten FW bestätigt, die auch nicht eingebunden wird.

Nach der Paketinstallation kommt noch folgendes:
Performing post-installation setup tasks

Configuring installed system
 
Writing network configuration

Creating users

Configuring addons

Generating initramfs

Running post-installation scripts

Starting Restore /run/initramfs...

Muss ja aber auch nichts heißen, können schließlich auch die Standardvorgaben sein.

Gruß

EDIT: Auf der Barracuda Seite (Link in meinem ersten Post) heißt es auch, dass die FW das zu verwendende PAR-File abfragt, wenn man mehrere PAR-Files in den Installationsstick bastelt. Passiert bei mir aber auch nicht.
Coreknabe
Lösung Coreknabe 07.06.2023 aktualisiert um 16:08:14 Uhr
Goto Top
Moin,

Problem gelöst, soll noch mal jemand sagen, dass Dokumentation wichtig ist...

Im Dateinamen des PAR-Files MUSS das Kürzel "box" (ohne Anführungszeichen) vorkommen. Diese Info ist bei uns im Laufe der Jahre verlorengegangen und die Barracuda-Doku (s. Link oben) weist auch Stand heute nicht auf diesen Umstand hin. Bei Eröffnung des ersten Tickets bei Barracuda ist dem Support das auch nicht aufgefallen.

@Dani
Vielen Dank für Deine Hilfe und das Testen!

Gruß