Firmware Update

Beschreibung des Update-Prozesses auf der UTM

Letzte Anpassung zur Version: 14.0.2 (02.2025)

Neu:

PopUp-Dialog beim ersten Login nach Update
Download von Beta Versionen lässt sich konfigurieren.

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Extras Firmware Updates

Vorbemerkung

Damit die UTM Updates erhalten kann, muss sie das Internet erreichen können und die DNS-Auflösung muss funktionieren
Hat die UTM keinen Zugang zum Internet, kann ein Update per USB-Stick eingespielt werden
Die UTM prüft alle 120 Minuten, ob ein neues Update auf den Update Servern zu Verfügung steht
Aufgrund der hohen Anzahl an UTM's, die ein Update herunterladen wollen, werden diese über einen bestimmten Zeitraum verteilt
Diese Verteilung wird durch die Update Server vorgenommen
Der Download des Updates erfolgt dann automatisch
Die UTM lädt immer ein komplettes Firmware Image für die entsprechende Version herunter
Bei Cluster-Geräten bitte das Wiki zum Cluster-Management beachten

Beta Channel

Aus unseren Reseller-Previews wird der Beta-Channel
Der Beta-Channel ermöglicht Zugriff auf Vorabversionen unserer Software, um neue Funktionen vorab zu testen
Beta-Updates stehen für alle Lizenzen zur Verfügung
Auch Beta-Versionen haben erste Tests durchlaufen, bevor wir sie zur Verfügung stellen.
Trotzdem: Diese Versionen befinden sich noch in der Entwicklung und können Fehler enthalten
Konfiguration: Einmalig mithilfe des Dialogs nach dem Update auf die v14.0.2 oder unter dem Menüpunkt Firmware Update.

notempty

NFR-Lizenzen haben bisher automatisch Reseller Previews erhalten.
Dies kann nun mit Beta-Updates aktivieren: Ein manuell konfiguriert werden.

Update Planung

Automatische Updates können lokal auf der UTM geplant werden.
Konfigurationen für automatische Updates aus der USC werden auf die UTM übertragen.

Update Erkennung

UTM v12.6.1 Firmware Updates Update heruntergeladen Dialog.png

Update-Meldung

Wenn die UTM eine neue Version auf den Update Servern erkannt hat und dieser vollständig heruntergeladen wurde, wird beim nächsten Login auf der Administrationsoberfläche ein Hinweis zum Update angezeigt. Wird die Meldung mit Ja bestätigt, erfolgt eine Weiterleitung in das Menü Extras Firmware Updates .

Firmware Update

Beschriftung	Wert	Beschreibung	Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen
Installierte Version
Version:	Die aktuell laufende Version
Status:	Aktiv
Status:	Für Probelauf deaktiviert
Verfügbare Version
Beta-Updates notempty Neu ab v14.0.1	Aus	Bei Aktivierung Ein werden auch Beta-Versionen zur Installation heruntergeladen und für Updates verwendet. Diese Funktion kann für alle Lizenz-Arten aktiviert oder deaktiviert werden notempty NFR-Lizenzen haben bisher automatisch Reseller Previews erhalten. Dies kann nun mit Beta-Updates: Aus manuell konfiguriert werden. notempty Der Beta-Channel ermöglicht Zugriff auf Vorabversionen unserer Software, um neue Funktionen vorab zu testen. Diese Versionen befinden sich noch in der Entwicklung und können Fehler enthalten.
Version:	Installierbare Version
Status:	Neuere Version
	Ältere Version	Für Rollback
	Aktiver Probelauf	notempty Während des Probelaufs darf kein Factory-Reset durchgeführt werden!
Probelauf starten	Updateprozess starten Bei einem Misserfolg wird nach einem erneutem Re-Boot der UTM die alte Version gestartet. Bei einem Update oder Rollback wird die UTM einmal neu gestartet. Dies unterbricht alle Verbindungen zur UTM (Admin-Interface, SSH, VPN, etc.)
Probelauf abbrechen	Die zuvor installierte Version wird wieder aktiviert. Die UTM startet dabei neu.
Probelauf abschließen	Die Version wird als zukünftige Boot-Version festgelegt.
Automatische Updates
Status:	Aus	Bei Aktivierung werden Updates automatisch installiert, gestartet und finalisiert. Ein äquivalentes Feature kann im Securepoint Unified Security Portal konfiguriert werden. ( Siehe Wiki dort)
Wochentage:	MoDiMiDoFrSaSo	Die Wochentage, an denen die Updates automatisch installiert und gestartet werden sollen.
Ab:	2 Uhr	Die Uhrzeit, ab welcher die Updates automatisch installiert und gestartet werden sollen. Der Prozess wird nicht exakt zu dieser Uhrzeit gestartet. Stattdessen wird der Prozess innerhalb der konfigurierten Stunde gestartet und kann einige Zeit in Anspruch nehmen.
Zusätzlicher Prüfungs-Endpunkt:		Zusätzlicher Endpunkt eines Servers (Hostname oder IP-Adresse), dessen Erreichbarkeit vor dem Finalisieren ebenfalls getestet werden soll. ‍ Bevor ein Dryrun gestartet wird, also auch nachdem ein Update installiert und gestartet wurde (noch bevor es finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann. Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt und gegebenenfalls ein Rollback zu der vorherigen Version durchgeführt.
Port:	443	Der Port zum zusätzlichen Prüfungs-Endpunkt

Aktualisieren	Aktualisiert die Anzeige der auf der UTM verfügbaren Version.
Neuste Firmware herunterladen	Manueller Download der neuesten Firmware, auch wenn diese UTM noch nicht in der normalen Verteilung vorgesehen ist. Kann nur alle 10 Minuten ausgeführt werden.
Speichern	Speichert die Einstellungen

Automatische Updates per CLI

CLI Code zum aktivieren des Features
extc value set { application spupdater variable AUTO_UPDATE_ENABLE value [ "1" ] }
Im Default ist das Feature Aus. Bei Aktivierung ohne weitere Konfiguration werden tägliche Updates ab 2 Uhr aktiviert.
Wird der Securepoint Update Server nach dem Update nicht erreicht erfolgt ein reboot mit der vorherigen Firmware.

CLI-Code zum konfigurieren der Auto-Update-Funktion:
extc valuelist set [ { application "spupdater" values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } { variable "AUTO_UPDATE_TIME" value [ "3 MON,FRI,SUN" ] } { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } ] } ]

Zur besseren Lesbarkeit mit Zeilenumbrüchen:

extc valuelist set [ { application "spupdater" 
values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } 
	 { variable "AUTO_UPDATE_TIME" value [ "3 MON,SAT,SUN" ] } 
	 { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } 
	 { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } 
	] } ]

(Nicht Copy-Paste-fähig)

Variable	Wert	Beschreibung
AUTO_UPDATE_ENABLE	1	Aktiviert das Feature: value [ "1" ] bzw. deaktiviert es: value [ "0" ]
AUTO_UPDATE_TIME	h d,d,d	Zeit für das Update: Stunde gefolgt von einem Leerzeichen und einer Liste der Wochentage (mit Komma getrennt, ohne Leerzeichen) z.B.: 15 MON,SAT,SUN oder 2 * ‍ MON - Montag TUE - Dienstag WED - Mittwoch THU - Donnerstag FRI - Freitag SAT - Sonnabend SUN - Sonntag * - Jeder Wochentag
AUTO_UPDATE_HOST_CHECK	pruefpunkt.local	Endpunkt eines Servers, dessen Erreichbarkeit zusätzlich zum Securepoint Update Server vor dem Finalisieren ebenfalls getestet werden soll IP oder Hostname optional setzbar
AUTO_UPDATE_HOST_PORT_CHECK	443	Der Port zum zusätzlichen Prüfungs-Endpunkt

Firmware Updates UTMbenutzer@firewall.name.fqdn Aktualisieren Neuste Firmware herunterladen Anzeige der Werte unter Extras Firmware Updates Bereich Automatische Updates

Anzeige der Werte im CLI

extc value get { application "spupdater" } application|variable |value -----------+---------------------------+----- spupdater |AUTO_UPDATE_ENABLE |1 |AUTO_UPDATE_HOST_CHECK |pruefpunkt.local |AUTO_UPDATE_HOST_PORT_CHECK|443 |AUTO_UPDATE_POST_CHECK |0 |AUTO_UPDATE_RUN |0 |AUTO_UPDATE_TIME |3 MON,SAT,SUN

‍

Für Updates von Versionen vor 12.5.0 siehe die vorherige Version dieses Artikels

Update abschließen

Annahme Lizenzvereinbarung und Datenschutzerklärung Annahme Lizenzvereinbarung und Datenschutzerklärung
Nach dem Update und erneutem Login an der Administrations-Weboberfläche wird die Lizenzvereinbarung angezeigt. Diese muss man Akzeptieren. Mit Ablehnen wird die vorherige Version wieder aktiviert. Es wird die Datenschutzerklärung angezeigt. Diese muss man Akzeptieren. Mit Ablehnen wird die vorherige Version wieder aktiviert.	LIZENZVEREINBARUNG - SORGFÄLTIG LESEN! - UTMbenutzer@firewall.name.fqdn Akzeptieren Ablehnen Eula akzeptieren DATENSCHUTZERKLÄRUNG - SORGFÄLTIG LESEN! - UTMbenutzer@firewall.name.fqdn Akzeptieren Ablehnen Datenschutzerklärung akzeptieren

Changelog

Es wird das Changelog mit den wichtigsten Änderungen angezeigt. Mit Ja kann bereits jetzt festgelegt werden, dass diese Version beim nächsten Start verwendet wird. Mit Später erneut nachfragen wird bei einem Neustart zunächst die vorherige Version verwendet.		Changelog--cap

Probelauf Probelauf
Um einen Probelauf auszuführen, wird unter Verfügbare Version auf die Schaltfläche Probelauf starten geklickt Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Später erneut nachfragen klicken Es erscheint der Status Aktiver Probelauf bei der aktuell aktiven Firmware-Version Entsprechend erscheint ein Status Für Probelauf deaktiviert bei der installierten Firmware-Version Mit der Schaltfläche Probelauf abschließen wird aus der probelaufenden Firmware-Version die installierte Firmware-Version, mit der Schaltfläche ✖ Probelauf abbrechen wird der Probelauf abgebrochen notempty Während des Probelaufs darf kein Factory Reset ausgeführt werden. notempty Es empfiehlt sich den Browserchache nach dem Update zu leeren.		Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen Probelauf abschließen

Rollback Rollback
Mit einem Rollback wird die Firmware auf die zuletzt installierte Version gesetzt. Unter Extras Firmware Updates Bereich Verfügbare Version muss eine Verison mit dem Status Ältere Version aufgeführt sein Auf die Schaltfläche Probelauf starten klicken Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Ja klicken, oder Nach dem Neustart der UTM im Changelog-Fenster auf die Schaltfläche Später erneut nachfragen klicken und im Firmware Update-Fenster auf die Schaltfläche Probelauf abschließen klicken notempty Wurde bereits eine Neuere Version gefunden ist ein Rollback nur noch per CLI möglich. notempty Konfigurationsänderungen in der aktiven Version werden dabei zurückgesetzt.		Firmware Updates UTMbenutzer@firewall.name.fqdnExtras Aktualisieren Neuste Firmware herunterladen Rollback

Problembehandlung

Das System fährt mit der neuen Firmware-Version nicht hoch

Wenn das System nach dem Neustart nicht ordnungsgemäß startet, kann durch einen Neustart die vorherige Version wieder aktiviert werden.
Der Neustart kann über die CLI (system reboot), das Webinterface (sofern erreichbar unter Neu starten oder durch betätigen des Power-Schalters an der Gehäuserückseite durchgeführt werden.

Bestimmte Funktionen Verhalten sich nach dem Update nicht wie gewünscht

Wenn die UTM nach dem Update nicht wie gewünscht funktioniert, kann ein Rollback durchgeführt werden.

Wenn der störungsfreie Betrieb noch nicht bestätigt wurde, kann wie oben verfahren werden.

Ansonsten unter Extras Firmware Updates im Abschnitt

Verfügbare Version

die Ältere Version mit Probelauf starten aktivieren.

notempty

Bitte mit einer möglichst genauen Fehlerbeschreibung ein Support-Ticket eröfnen → Ticketerstellung

Eine neue Version wird nicht automatisch heruntergeladen

Eine gültige Lizenz muss vorhanden sein.
Die Uhrzeit des Systems darf nicht zu stark abweichen.
Der Update-Server ist nicht erreichbar. z.B. aufgrund einer zu großen Paketgröße (MTU), diese muss ggf. angepasst werden.
Der automatische Update-Prozess wird zur Lastverteilung über einen bestimmten Zeitraum verteilt (siehe Changelog: Geplanter Rollout Zeitraum)
Update lädt nicht und folgende Fehlermeldung ist im Log zu sehen:
2023-01-09T09:51:17.302+01:00|spupdater|22223|downloading do-update.sh: failed
ggf. weitere Logzeilen:
2023-01-09T09:46:24.870+01:00|spupdater||ATTENTION! Not enough space available on /rootdisk to download an firmware update.
2023-01-09T09:46:24.871+01:00|spupdater|20609|post update script: failed
Zusätzlich kann die Konfiguration nicht gespeichert werden bzw. es kann keine neue Konfiguration angelegt werden.
Lösung:
- Speicherplatz prüfen
- Beschreibarkeit der Partition/Festplatte prüfen.

Erreichbarkeit des Support-Servers prüfen

Aus der root-Shell heraus lässt sich folgender Befehl ausführen
root@fw:~# curl update-001.v12.utm.spnoc.de

Ergebnis	Beschreibung
curl: (6) Could not resolve host: update-001.v12.utm.spnoc.de	DNS Problem
curl: (7) Error	Failed to connect() to host or proxy TCP Verbindung schlägt Fehl. Falsche Route, Verbindung wird durch eine andere Firewall blockiert o.ä.

Vorbemerkung

Beta Channel

Update Planung

Update Erkennung

Firmware Update

Update abschließen

Annahme Lizenzvereinbarung und Datenschutzerklärung

Changelog

Probelauf

Rollback

Problembehandlung

Das System fährt mit der neuen Firmware-Version nicht hoch

Bestimmte Funktionen Verhalten sich nach dem Update nicht wie gewünscht

Eine neue Version wird nicht automatisch heruntergeladen

Erreichbarkeit des Support-Servers prüfen