Wechseln zu:Navigation, Suche
Wiki

Firmware Update

Aus Securepoint Wiki




















































































| Indicates that this is a new version. }}

| Indicates that this is the previous version and a rollback can be performed }}





















| Failed to connect() to host or proxy
TCP connection fails
Wrong route, connection is blocked by another firewall or similar}} }}










De.png
En.png
Fr.png








Beschreibung des Update-Prozesses auf der UTM
Letzte Anpassung zur Version: 12.6.2
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
  • Automatische Updates auf UTM konfigurierbar, wenn USC aktiviert ist.
Zuletzt aktualisiert: 
    04.2024 (Screenshot für Verfügbare Version aktualisiert)
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 12.4 12.1 11.8.11 11.7 11.6.11

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Extras Firmware Updates


Vorbemerkung

  • Damit die UTM Updates erhalten kann, muss sie das Internet erreichen können und und die DNS-Auflösung muss funktionieren
    Hat die UTM keinen Zugang zum Internet, kann ein Update per USB-Stick eingespielt werden
  • Die UTM prüft alle 120 Minuten, ob ein neues Update auf den Update Servern zu Verfügung steht
  • Aufgrund der hohen Anzahl an UTM's, die ein Update herunterladen wollen, werden diese über einen bestimmten Zeitraum verteilt
    Diese Verteilung wird durch die Update Server vorgenommen
  • Der Download des Updates erfolgt dann automatisch
  • Die UTM lädt immer ein komplettes Firmware Image für die entsprechende Version herunter
  • Bei Cluster-Geräten bitte das Wiki zum Cluster-Management beachten


Update Planung

  • Automatische Updates können lokal auf der UTM geplant werden.
    notempty
    Neu ab 12.6.2:
     Konfigurationen für automatische Updates aus der USC werden auf die UTM übertragen.

    • Update Erkennung

    UTM v12.6.1 Firmware Updates Update heruntergeladen Dialog.png
    Update-Meldung

    Wenn die UTM eine neue Version auf den Update Servern erkannt hat und dieser vollständig heruntergeladen wurde, wird beim nächsten Login auf der Administrationsoberfläche ein Hinweis zum Update angezeigt. Wird die Meldung mit Ja bestätigt, erfolgt eine Weiterleitung in das Menü Extras Firmware Updates .


    Firmware Update

    Beschriftung Wert Beschreibung Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen UTM v12.6.1 Firmware Updates Uebersicht.png
    Installierte Version
    Version: Die aktuell laufende Version
    Status: Aktiv
    Für Probelauf deaktiviert
    Verfügbare Version
    Version: Installierbare Version
    Status: Neuere Version
    Ältere Version Für Rollback
    Aktiver Probelauf notempty
    Während des Problaufs darf kein Factory-Reset durchgeführt werden!
    Probelauf starten Updateprozess starten
  • Bei einem Misserfolg wird nach einem erneutem Re-Boot der UTM die alte Version gestartet.
  • Bei einem Update oder Rollback wird die UTM einmal neu gestartet. Dies unterbricht alle Verbindungen zur UTM (Admin-Interface, SSH, VPN, etc.)
    • Probelauf abbrechen Die zuvor installierte Version wird wieder aktiviert. Die UTM startet dabei neu.
    Probelauf abschließen Die Version wird als zukünftige Boot-Version festgelegt.
    Automatische Updates
    Status:
    		Aus Bei Aktivierung Ein werden Updates automatisch installiert, gestartet und finalisiert.
  • Ein äquivalentes Feature kann im Securepoint Unified Security Portal konfiguriert werden. ( Siehe Wiki dort)
    • Wochentage:
    		MoDiMiDoFrSaSo Die Wochentage, an denen die Updates automatisch installiert und gestartet werden sollen.
    Ab:
    		2 Uhr Die Uhrzeit, ab welcher die Updates automatisch installiert und gestartet werden sollen.
  • Der Prozess wird nicht exakt zu dieser Uhrzeit gestartet. Stattdessen wird der Prozess inerhalb der konfigurierten Stunde gestartet und kann einige Zeit in Anspruch nehmen.
    • Zusätzlicher Prüfungs-Endpunkt:
    		    Zusätzlicher Endpunkt eines Servers (Hostname oder IP-Adresse), dessen Erreichbarkeit vor dem Finalisieren ebenfalls getestet werden soll.
    Bevor ein Dryrun gestartet wird, also auch nachdem ein Update installiert und gestartet wurde (noch bevor es finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann. Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt und gegebenenfalls ein Rollback zu der vorherigen Version durchgeführt.
    Port:
    		443Link= Der Port zum zusätzlichen Prüfungs-Endpunkt
    Aktualisieren
    		 Aktualisiert die Anzeige der auf der UTM verfügbaren Version.
    Neuste Firmware herunterladen
    		 Manueller Download der neuesten Firmware, auch wenn diese UTM noch nicht in der normalen Verteilung vorgesehen ist.
  • Kann nur alle 10 Minuten ausgeführt werden.
    • Speichern
    		 Speichert die Einstellungen









































    De.png
    En.png
    Fr.png

    CLI Code zum aktivieren des Features
    extc value set { application spupdater variable AUTO_UPDATE_ENABLE value [ "1" ] }
    Im Default ist das Feature Aus. Bei Aktivierung ohne weitere Konfiguration werden tägliche Updates ab 2 Uhr aktiviert.
    Wird der Securepoint Update Server nach dem Update nicht erreicht erfolgt ein reboot mit der vorherigen Firmware.


    CLI-Code zum konfigurieren der Auto-Update-Funktion:
    extc valuelist set [ { application "spupdater" values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } { variable "AUTO_UPDATE_TIME" value [ "3 MON,FRI,SUN" ] } { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } ] } ]

    Zur besseren Lesbarkeit mit Zeilenumbrüchen: 

    extc valuelist set [ { application "spupdater" 
values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } 
	 { variable "AUTO_UPDATE_TIME" value [ "3 MON,SAT,SUN" ] } 
	 { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } 
	 { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } 
	] } ]

    (Nicht Copy-Paste-fähig)
    Variable Wert Beschreibung
    AUTO_UPDATE_ENABLE 1 Aktiviert das Feature: value [ "1" ] bzw. deaktiviert es: value [ "0" ]
    AUTO_UPDATE_TIME h d,d,d Zeit für das Update: Stunde gefolgt von einem Leerzeichen und einer Liste der Wochentage (mit Komma getrennt, ohne Leerzeichen)
    z.B.: 15 MON,SAT,SUN oder 2 *
    MON - Montag
    TUE - Dienstag
    WED - Mittwoch
    THU - Donnerstag
    FRI - Freitag
    SAT - Sonnabend
    SUN - Sonntag
    * - Jeder Wochentag
    AUTO_UPDATE_HOST_CHECK pruefpunkt.local Endpunkt eines Servers, dessen Erreichbarkeit zusätzlich zum Securepoint Update Server vor dem Finalisieren ebenfalls getestet werden soll
    • IP oder Hostname
    • optional setzbar
    AUTO_UPDATE_HOST_PORT_CHECK 443 Der Port zum zusätzlichen Prüfungs-Endpunkt


    Firmware Updates UTMbenutzer@firewall.name.fqdn Aktualisieren Neuste Firmware herunterladen UTM v12.6.1 spupdater Firmware Updates Automatische Updates.pngAnzeige der Werte unter Extras Firmware Updates  Bereich Automatische Updates

    Anzeige der Werte im CLI

    extc value get { application "spupdater" } application|variable |value -----------+---------------------------+----- spupdater |AUTO_UPDATE_ENABLE |1 |AUTO_UPDATE_HOST_CHECK |pruefpunkt.local |AUTO_UPDATE_HOST_PORT_CHECK|443 |AUTO_UPDATE_POST_CHECK |0 |AUTO_UPDATE_RUN |0 |AUTO_UPDATE_TIME |3 MON,SAT,SUN
    Die Werte AUTO_UPDATE_POST_CHECK und AUTO_UPDATE_RUN werden vom Update-Prozess gesetzt.

  • Für Updates von Versionen vor 12.5.0 siehe die vorherige Version dieses Artikels


    • Update abschließen

    Update abschließen

    Annahme Lizenzvereinbarung und Datenschutzerklärung

    Annahme Lizenzvereinbarung und Datenschutzerklärung
    Nach dem Update und erneutem Login an der Administrations-Weboberfläche wird die Lizenzvereinbarung angezeigt. Diese muss man Akzeptieren.
    Mit Ablehnen wird die vorherige Version wieder aktiviert.
    Es wird die Datenschutzerklärung angezeigt. Diese muss man Akzeptieren.
    Mit Ablehnen wird die vorherige Version wieder aktiviert.
    LIZENZVEREINBARUNG - SORGFÄLTIG LESEN! - UTMbenutzer@firewall.name.fqdn Akzeptieren Ablehnen UTM v12.6.1 Firmware Updates Lizenzvereinbarung.png
    Eula akzeptieren
    DATENSCHUTZERKLÄRUNG - SORGFÄLTIG LESEN! - UTMbenutzer@firewall.name.fqdn Akzeptieren Ablehnen UTM v12.6.1 Firmware Updates Datenschutzerklaerung.png
    Datenschutzerklärung akzeptieren













    Changelog

    Changelog
    Es wird das Changelog mit den wichtigsten Änderungen angezeigt.

    Mit Ja kann bereits jetzt festgelegt werden, dass diese Version beim nächsten Start verwendet wird.
    Mit Später erneut nachfragen wird bei einem Neustart zunächst die vorherige Version verwendet.

    		UTM v12.6.1 Firmware Updates Changelog Dialog.png
    Changelog

    Probelauf

    Probelauf
    • Um einen Probelauf auszuführen, wird unter
      Verfügbare Version
       auf die Schaltfläche Probelauf starten geklickt
    • Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Später erneut nachfragen klicken
    • Es erscheint der Status Aktiver Probelauf bei der aktuell aktiven Firmware-Version
    • Entsprechend erscheint ein Status Für Probelauf deaktiviert bei der installierten Firmware-Version
    • Mit der Schaltfläche Probelauf abschließen wird aus der probelaufenden Firmware-Version die installierte Firmware-Version, mit der Schaltfläche ✖ Probelauf abbrechen wird der Probelauf abgebrochen
      notempty
      Während des Probelaufs darf kein Factory Reset ausgeführt werden.

      notempty
      Es empfiehlt sich den Browserchache nach dem Update zu leeren.
    		Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen UTM v12.6.1 Firmware Updates Probelauf.pngProbelauf abschließen

    Rollback

    Rollback
    Mit einem Rollback wird die Firmware auf die zuletzt installierte Version gesetzt.
    • Unter Extras Firmware Updates  Bereich Verfügbare Version muss eine Verison mit dem Status Ältere Version aufgeführt sein
    • Auf die Schaltfläche Probelauf starten klicken
    • Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Ja klicken, oder
    • Nach dem Neustart der UTM im Changelog-Fenster auf die Schaltfläche Später erneut nachfragen klicken und im Firmware Update-Fenster auf die Schaltfläche Probelauf abschließen klicken notempty
      Wurde bereits eine Neuere Version gefunden ist ein Rollback nur noch per CLI möglich.
       notempty
      Konfigurationsänderungen in der aktiven Version werden dabei zurückgesetzt.
    		 Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen UTM 12.7 Verfügbare Version.pngRollback


    Problembehandlung

    Problembehandlung

    Das System fährt mit der neuen Firmware-Version nicht hoch

    Das System fährt mit der neuen Firmware-Version nicht hoch

    Wenn das System nach dem Neustart nicht ordnungsgemäß startet, kann durch ein Neustart die vorherige Version wieder aktiviert werden.
    Der Neustart kann über die CLI (system reboot), das Webinterface (sofern erreichbar unter Neu starten oder durch betätigen des Power-Schalters an der Gehäuserückseite durchgeführt werden.

    Bestimmte Funktionen Verhalten sich nach dem Update nicht wie gewünscht

    Bestimmte Funktionen Verhalten sich nach dem Update nicht wie gewünscht

    Wenn die UTM nach dem Update nicht wie gewünscht funktioniert, kann ein Rollback durchgeführt werden.

    Wenn der störungsfreie Betrieb noch nicht bestätigt wurde, kann wie oben verfahren werden.

    Ansonsten unter Extras Firmware Updates im Abschnitt

    Verfügbare Version
    die Ältere Version mit Probelauf starten aktivieren.

    notempty
    Bitte mit einer möglichst genauen Fehlerbeschreibung ein Support-Ticket eröfnen → Ticketerstellung

    Eine neue Version wird nicht automatisch heruntergeladen

    Eine neue Version wird nicht automatisch heruntergeladen
    • Eine gültige Lizenz muss vorhanden sein.
    • Die Uhrzeit des Systems darf nicht zu stark abweichen.
    • Der Update-Server ist nicht erreichbar. z.B. aufgrund einer zu großen Paketgröße (MTU), diese muss ggf. angepasst werden.
    • Der automatische Update-Prozess wird zur Lastverteilung über einen bestimmten Zeitraum verteilt (siehe Changelog: Geplanter Rollout Zeitraum)
    • Update lädt nicht und folgende Fehlermeldung ist im Log zu sehen:
      2023-01-09T09:51:17.302+01:00|spupdater|22223|downloading do-update.sh: failed
      ggf. weitere Logzeilen:
      2023-01-09T09:46:24.870+01:00|spupdater||ATTENTION! Not enough space available on /rootdisk to download an firmware update.
      2023-01-09T09:46:24.871+01:00|spupdater|20609|post update script: failed
      Zusätzlich kann die Konfiguration nicht gespeichert werden bzw. es kann keine neue Konfiguration angelegt werden.
      Lösung:
      • Speicherplatz prüfen
      • Beschreibarkeit der Partition/Festplatte prüfen.

    Erreichbarkeit des Support-Servers prüfen

    Erreichbarkeit des Support-Servers prüfen

    Aus der root-Shell heraus lässt sich folgender Befehl ausführen
    root@fw:~# curl update-001.v12.utm.spnoc.de

    Ergebnis Beschreibung
    curl: (6) Could not resolve host: update-001.v12.utm.spnoc.de DNS Problem
    curl: (7) Error Failed to connect() to host or proxy
    TCP Verbindung schlägt Fehl.
    Falsche Route, Verbindung wird durch eine andere Firewall blockiert o.ä.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/EXTRAS/Firmware_Update&oldid=90978