11
Installation Barracuda Firewall mit USB-Stick
Moin,
da der Barracuda-Support in diesem Fall nicht sonderlich hilfreich ist (bei uns geht's), mal die Frage hier, in der Hoffnung, dass es hier Barracuda Nutzer gibt.
Prinzipiell ist es möglich, mit NGInstall einen USB-Stick zur Komplettinstallation der Firewall zu erstellen. Ich kann eigentlich auch die vorhandene Konfigurationsdatei über ein PAR-File in die Installation integrieren. Im Endeffekt ist die Neuinstallation dann schnell erledigt: Firewall mit dem USB-Stick booten, Installation läuft durch, Konfig wird eingespielt, Reboot, Firewall ist im Handumdrehen wieder einsatzbereit.
Das klappt bei uns aber seit einiger Zeit nicht mehr (bin mir nicht sicher, aber ich glaube, ab der V8 ging das nicht mehr). Erstelle ich mir mit NGInstall einen USB-Stick und integriere dort das ISO und das PAR-File, kann ich die FW zwar installieren, jedoch ohne unsere Konfig, die muss ich manuell einspielen und aktivieren.
Zunächst hatte ich unsere Konfig in Verdacht, deshalb habe ich mir unsere Spare-FW geschnappt und die FW über den Stick komplett neu installiert. Dann habe ich ein paar Änderungen vorgenommen (Management IP geändert, ein paar Netzwerkobjekte angelegt, Regeln erstellt) und die Konfig abgezogen. Jetzt erstelle ich mir einen neuen USB-Stick und importiere diese Testkonfig in die Installation. FW installiert, Neustart, Management IP ist immer noch auf Default: 192.168.200.200, es wurde nichts aus meiner Testkonfig übernommen. Wieder bleibt mir nur, die Konfig manuell einzuspielen.
Die offizielle Anleitung gibt mir leider auch keine Hinweise, genau so hatte ich das früher auch immer gemacht:
https://campus.barracuda.com/product/cloudgenfirewall/doc/72516522/how-t ...
Gruß
da der Barracuda-Support in diesem Fall nicht sonderlich hilfreich ist (bei uns geht's), mal die Frage hier, in der Hoffnung, dass es hier Barracuda Nutzer gibt.
Prinzipiell ist es möglich, mit NGInstall einen USB-Stick zur Komplettinstallation der Firewall zu erstellen. Ich kann eigentlich auch die vorhandene Konfigurationsdatei über ein PAR-File in die Installation integrieren. Im Endeffekt ist die Neuinstallation dann schnell erledigt: Firewall mit dem USB-Stick booten, Installation läuft durch, Konfig wird eingespielt, Reboot, Firewall ist im Handumdrehen wieder einsatzbereit.
Das klappt bei uns aber seit einiger Zeit nicht mehr (bin mir nicht sicher, aber ich glaube, ab der V8 ging das nicht mehr). Erstelle ich mir mit NGInstall einen USB-Stick und integriere dort das ISO und das PAR-File, kann ich die FW zwar installieren, jedoch ohne unsere Konfig, die muss ich manuell einspielen und aktivieren.
Zunächst hatte ich unsere Konfig in Verdacht, deshalb habe ich mir unsere Spare-FW geschnappt und die FW über den Stick komplett neu installiert. Dann habe ich ein paar Änderungen vorgenommen (Management IP geändert, ein paar Netzwerkobjekte angelegt, Regeln erstellt) und die Konfig abgezogen. Jetzt erstelle ich mir einen neuen USB-Stick und importiere diese Testkonfig in die Installation. FW installiert, Neustart, Management IP ist immer noch auf Default: 192.168.200.200, es wurde nichts aus meiner Testkonfig übernommen. Wieder bleibt mir nur, die Konfig manuell einzuspielen.
Die offizielle Anleitung gibt mir leider auch keine Hinweise, genau so hatte ich das früher auch immer gemacht:
https://campus.barracuda.com/product/cloudgenfirewall/doc/72516522/how-t ...
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7424896629
Url: https://administrator.de/contentid/7424896629
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo CoreKnabe
Mir fallen da folgender Punkt auf die das einspielen verhinderen:
"Sie können nur PCA-Dateien verwenden, die mit der Seriennummer der Appliance als Kennwort verschlüsselt wurden. Entschlüsseln Sie die PCA-Datei, wenn ein manuelles Passwort verwendet wurde oder die Seriennummer nicht mit dem Passwort der PCA-Datei übereinstimmt."
Gibt es ein instalations Log was auf dem Stick abgelegt wird um nach zu volziehen was er gemacht hat?
PS: ich kenne die Fireall nicht, und habe mir lediglich die anleitung durch gelesen!
Mir fallen da folgender Punkt auf die das einspielen verhinderen:
"Sie können nur PCA-Dateien verwenden, die mit der Seriennummer der Appliance als Kennwort verschlüsselt wurden. Entschlüsseln Sie die PCA-Datei, wenn ein manuelles Passwort verwendet wurde oder die Seriennummer nicht mit dem Passwort der PCA-Datei übereinstimmt."
Gibt es ein instalations Log was auf dem Stick abgelegt wird um nach zu volziehen was er gemacht hat?
PS: ich kenne die Fireall nicht, und habe mir lediglich die anleitung durch gelesen!
Hi Toby,
nein, das verhindert lediglich das Einspielen, wenn das PAR-File (Passwort-)verschlüsselt ist --> PCA-Format. Ich habe aber eine unverschlüsselte Konfig integriert.
Gruß
nein, das verhindert lediglich das Einspielen, wenn das PAR-File (Passwort-)verschlüsselt ist --> PCA-Format. Ich habe aber eine unverschlüsselte Konfig integriert.
Gruß
Moin,
Gruß,
Dani
Prinzipiell ist es möglich, mit NGInstall einen USB-Stick zur Komplettinstallation der Firewall zu erstellen
von welchen Version von NGInstall und Firmware sprichst du?Gruß,
Dani
1
Hi Dani,
auf Dich hab ich gehofft
Relativ beliebige Versionen, von 8.3 bis zur 9.0 (wie bereits erwähnt, ich meine, mit der 7er ging das noch problemlos, bin aber nicht sicher).
Aktuell getestet: NGInstall 9.0.0-2 und FW 9.0.0-0511
Gruß
auf Dich hab ich gehofft
Relativ beliebige Versionen, von 8.3 bis zur 9.0 (wie bereits erwähnt, ich meine, mit der 7er ging das noch problemlos, bin aber nicht sicher).
Aktuell getestet: NGInstall 9.0.0-2 und FW 9.0.0-0511
Gruß
Moin,
der Azubi sagt mit 8.3 funktioniert es wie es soll. Für 9.x kann ich es leider nicht testen lassen.
Gruß,
Dani
der Azubi sagt mit 8.3 funktioniert es wie es soll. Für 9.x kann ich es leider nicht testen lassen.
Gruß,
Dani
2
Dir vielen lieben Dank für's Testen (lassen) und Gruß an den Azubi 
Hm, ja, schade, das habe ich mir auch immer wieder sagen lassen, dass es bei anderen funktioniert. Jetzt weiß ich leider nicht, was ich da noch anders machen sollte...
Probiert habe ich:
Und eigentlich müsste es ja zwingend funktionieren, wenn ich auf unserer frisch installierten Spare-FW eine neue Minikonfig erzeuge, aber nicht einmal das funktioniert.
Ratlose Grüße
Hm, ja, schade, das habe ich mir auch immer wieder sagen lassen, dass es bei anderen funktioniert. Jetzt weiß ich leider nicht, was ich da noch anders machen sollte...
Probiert habe ich:
- Diverse USB-Sticks, auch vorher komplett gelöschte (sektorweise)
- Eine Teststellung von Barracuda, da ich an unserer Live-FW nicht rumspielen will
- Erstellung des Sticks an einem anderen Rechner
Und eigentlich müsste es ja zwingend funktionieren, wenn ich auf unserer frisch installierten Spare-FW eine neue Minikonfig erzeuge, aber nicht einmal das funktioniert.
Ratlose Grüße
Moin,
wiederhole deinen Test und greife den Output von der Konsole via TeraTerm ab und logge in einer Datei. Dann kannst du in Ruhe die verschiedenen Routinen kontrollieren.
Gruß,
Dani
wiederhole deinen Test und greife den Output von der Konsole via TeraTerm ab und logge in einer Datei. Dann kannst du in Ruhe die verschiedenen Routinen kontrollieren.
Firewall mit dem USB-Stick booten, Installation läuft durch, Konfig wird eingespielt, Reboot, Firewall ist im Handumdrehen wieder einsatzbereit.
- Werden Patches, die du in den USB Stick integrierst, eingespielt oder werden diese auch ignoriert?!
- Die verwendete PAR File passt zu verwendeten Firmware Version. Weil 8.x wird vermutlich mit 9.x nicht kompatibel sein.
Gruß,
Dani
Moin,
Über das abgegriffene Putty-Log bekomme ich folgende Info:
Das PAR-File wird also erkannt, aber nicht angewendet.
Was mir aufgefallen ist, es besteht natürlich keine Netzwerkverbindung. Die Netzwerkkabel müssen ja aber wohl kaum so gesteckt sein, wie es in der Konfig vorgegeben ist?!?
Dann noch eine Frage, hatte Euer Azubi ein unverschlüsseltes PAR-File, also nicht im PCA-Format, verwendet?
Gruß
- Patches / Hotfixes werden eingespielt
- PAR-File entspricht der jeweiligen FW-Version
Über das abgegriffene Putty-Log bekomme ich folgende Info:
Checking software selection
Generating updated storage configuration
Checking storage configuration...
================================================================================================================================================================
Installation
1) [x] Phion Parfile 2) [x] Language settings
(OK) (English (United States))
3) [x] Time settings 4) [x] Installation source
(Etc/UTC timezone) (GWAY-9.0.0-0511.iso)
5) [x] Software selection 6) [x] Installation Destination
(Custom software selected) (Custom partitioning selected)
7) [ ] Network configuration 8) [ ] User creation
(Not connected) (No user will be created)
================================================================================================================================================================Das PAR-File wird also erkannt, aber nicht angewendet.
Was mir aufgefallen ist, es besteht natürlich keine Netzwerkverbindung. Die Netzwerkkabel müssen ja aber wohl kaum so gesteckt sein, wie es in der Konfig vorgegeben ist?!?
Dann noch eine Frage, hatte Euer Azubi ein unverschlüsseltes PAR-File, also nicht im PCA-Format, verwendet?
Gruß
Moin,
Gruß,
Dani
Das PAR-File wird also erkannt, aber nicht angewendet.
mehr wird da nicht mehr ausgegeben? Früher war in der Konsole alle Interaktionen ersichtlich.Dann noch eine Frage, hatte Euer Azubi ein unverschlüsseltes PAR-File, also nicht im PCA-Format, verwendet?
PAR File.Gruß,
Dani
Moin Dani,
doch, sicher, da steht noch ganz viel mehr drin. Ich habe jetzt nur auf Einträge geachtet, die mir relevant erscheinen. Bei Interesse poste ich gern den gesamten Output, wollte das hier nur niemandem vor den Latz knallen...
Der Eintrag bestätigt mir zumindest, dass das PAR-File zumindest als legitim erkannt wird, hatte ich mir allerdings ja schon selbst durch die Test-Konfig auf der neu installierten FW bestätigt, die auch nicht eingebunden wird.
Nach der Paketinstallation kommt noch folgendes:
Muss ja aber auch nichts heißen, können schließlich auch die Standardvorgaben sein.
Gruß
EDIT: Auf der Barracuda Seite (Link in meinem ersten Post) heißt es auch, dass die FW das zu verwendende PAR-File abfragt, wenn man mehrere PAR-Files in den Installationsstick bastelt. Passiert bei mir aber auch nicht.
doch, sicher, da steht noch ganz viel mehr drin. Ich habe jetzt nur auf Einträge geachtet, die mir relevant erscheinen. Bei Interesse poste ich gern den gesamten Output, wollte das hier nur niemandem vor den Latz knallen...
Der Eintrag bestätigt mir zumindest, dass das PAR-File zumindest als legitim erkannt wird, hatte ich mir allerdings ja schon selbst durch die Test-Konfig auf der neu installierten FW bestätigt, die auch nicht eingebunden wird.
Nach der Paketinstallation kommt noch folgendes:
Performing post-installation setup tasks
Configuring installed system
Writing network configuration
Creating users
Configuring addons
Generating initramfs
Running post-installation scripts
Starting Restore /run/initramfs...Muss ja aber auch nichts heißen, können schließlich auch die Standardvorgaben sein.
Gruß
EDIT: Auf der Barracuda Seite (Link in meinem ersten Post) heißt es auch, dass die FW das zu verwendende PAR-File abfragt, wenn man mehrere PAR-Files in den Installationsstick bastelt. Passiert bei mir aber auch nicht.
Moin,
Problem gelöst, soll noch mal jemand sagen, dass Dokumentation wichtig ist...
Im Dateinamen des PAR-Files MUSS das Kürzel "box" (ohne Anführungszeichen) vorkommen. Diese Info ist bei uns im Laufe der Jahre verlorengegangen und die Barracuda-Doku (s. Link oben) weist auch Stand heute nicht auf diesen Umstand hin. Bei Eröffnung des ersten Tickets bei Barracuda ist dem Support das auch nicht aufgefallen.
@Dani
Vielen Dank für Deine Hilfe und das Testen!
Gruß
Problem gelöst, soll noch mal jemand sagen, dass Dokumentation wichtig ist...
Im Dateinamen des PAR-Files MUSS das Kürzel "box" (ohne Anführungszeichen) vorkommen. Diese Info ist bei uns im Laufe der Jahre verlorengegangen und die Barracuda-Doku (s. Link oben) weist auch Stand heute nicht auf diesen Umstand hin. Bei Eröffnung des ersten Tickets bei Barracuda ist dem Support das auch nicht aufgefallen.
@Dani
Vielen Dank für Deine Hilfe und das Testen!
Gruß
