Jump to:navigation, search
Wiki






























De.png
En.png
Fr.png






Description of the update process on the UTM
Last adaptation to the version: 12.6.2
New:
  • Updated to Redesign of the webinterface
  • Automatische Updates auf UTM konfigurierbar, wenn USC aktiviert ist.
notempty
This article refers to a Resellerpreview

12.5 12.4 12.1 11.8.11 11.7 11.6.11

Access: UTM-IP:Port or UTM-URL:Port
Port as configured at Network / Appliance Settings / Webserver
Default-Port: 11115
i.e.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Extras Firmware Updates



Introduction

In order for the UTM to receive updates, it must be able to reach the Internet and DNS resolution must work

  • The UTM checks every 120 minutes whether a new update is available on the update servers
  • Due to the high number of UTMs that want to download an update, they are distributed over a certain period of time
    This distribution is carried out by the update servers
  • The update will then be downloaded automatically
  • The UTM always downloads a complete firmware image for the corresponding version
  • For cluster devices, please refer to the Cluster Management Wiki.



Planning update

  • Automatische Updates können lokal auf der UTM geplant werden.
    notempty
    New as of 12.6.2:
    Konfigurationen für automatische Updates aus der USC werden auf die UTM übertragen.

  • Update detection

    UTM v12.6.1 Firmware Updates Update heruntergeladen Dialog-en.png
    Update notification

    If the UTM has detected a new version on the update servers and has been completely downloaded, a message is displayed on the administration interface with the next login. If the message is confirmed with Yes, a forwarding to the menu Extras Firmware Updates takes place.



    Firmware Update

    Caption Value Description Firmware Updates UTMuser@firewall.name.fqdnExtras Renew Download the latest firmware UTM v12.6.1 Firmware Updates Uebersicht-en.png
    Installed version
    Version: The currently running version
    Status: Active
    Disabled for dry run
    Available version
    Version: Installable version
    Status: Newer version
    Older versions For rollback
    Aktiv dry run notempty
    Do not perform a factory reset during the dry run!
    Start dry run Start update process
  • In case of failure, the old version is started after rebooting the UTM.
  • During an update/rollback, the UTM is restarted once. This interrupts all connections to the UTM (admin interface, SSH, VPN, etc.).
  • Cancel dry run The previously installed version is reactivated. The UTM restarts in the process.
    Complete dry run Die Version wird als zukünftige Boot-Version festgelegt.
    Automatische Updates
    Status:
    Off Bei Aktivierung Ein werden Updates automatisch installiert, gestartet und finalisiert.
  • Ein äquivalentes Feature kann im Securepoint Unified Security Portal konfiguriert werden. ( Siehe Wiki dort)
  • Wochentage:
    MoDiMiDoFrSaSo Die Wochentage, an denen die Updates automatisch installiert und gestartet werden sollen.
    Ab:
    2 Uhr Die Uhrzeit, ab welcher die Updates automatisch installiert und gestartet werden sollen.
  • Der Prozess wird nicht exakt zu dieser Uhrzeit gestartet. Stattdessen wird der Prozess inerhalb der konfigurierten Stunde gestartet und kann einige Zeit in Anspruch nehmen.
  • Zusätzlicher Prüfungs-Endpunkt:
        Zusätzlicher Endpunkt eines Servers (Hostname oder IP-Adresse), dessen Erreichbarkeit vor dem Finalisieren ebenfalls getestet werden soll.
    Bevor ein Dryrun gestartet wird, also auch nachdem ein Update installiert und gestartet wurde (noch bevor es finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann. Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt und gegebenenfalls ein Rollback zu der vorherigen Version durchgeführt.
      
    Port:
    443Link= Der Port zum zusätzlichen Prüfungs-Endpunkt
    Renew Updates the display of the version available on the UTM.
    Download the latest firmware Manual download of the latest firmware, even if this UTM is not yet scheduled in the normal distribution.
  • Can only be executed every 10 minutes.
  • Speichern Speichert die Einstellungen





























    De.png
    En.png
    Fr.png

    CLI code to activate the feature
    extc value set { application spupdater variable AUTO_UPDATE_ENABLE value [ "1" ] }
    By default, the feature is "Off". When activated without further configuration, daily updates are enabled from 2 a.m.
    If the Securepoint Update Server is not reached after the update, a reboot with the previous firmware is performed.


    CLI code for configuring the auto-update function:
    extc valuelist set [ { application "spupdater" values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } { variable "AUTO_UPDATE_TIME" value [ "3 MON,FRI,SUN" ] } { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } ] } ]

    For better readability with line breaks:

    extc valuelist set [ { application "spupdater" 
    values [ { variable "AUTO_UPDATE_ENABLE" value [ "1" ] } 
    	 { variable "AUTO_UPDATE_TIME" value [ "3 MON,SAT,SUN" ] } 
    	 { variable "AUTO_UPDATE_HOST_CHECK" value [ "pruefpunkt.local" ] } 
    	 { variable "AUTO_UPDATE_HOST_PORT_CHECK" value [ "443" ] } 
    	] } ]

    (Not copy-paste capable)

    Variable Value Description
    AUTO_UPDATE_ENABLE 1 Enables the feature: value [ "1" ] or disables it: value [ "0" ]
    AUTO_UPDATE_TIME h d,d,d Time for the update: hour followed by a space and a list of weekdays (comma-separated, without spaces)
    For example: 15 MON,SAT,SUN or 2 *
    MON - Monday
    TUE - Tuesday
    WED - Wednesday
    THU - Thursday
    FRI - Friday
    SAT - Saturday
    SUN - Sunday
    * - Every weekday
      
    AUTO_UPDATE_HOST_CHECK pruefpunkt.local Endpoint of a server whose reachability should also be tested before finalizing, in addition to the Securepoint Update Server
    • IP or hostname
    • optionally settable
    AUTO_UPDATE_HOST_PORT_CHECK 443 The port for the additional check endpoint


    Firmware Updates UTMuser@firewall.name.fqdn Renew Download the latest firmware UTM v12.6.1 spupdater Firmware Updates Automatische Updates-en.pngDisplay of values under Extras Firmware Updates  Area Automatic Updates

    Display of values in the CLI

    extc value get { application "spupdater" } application|variable |value -----------+---------------------------+----- spupdater |AUTO_UPDATE_ENABLE |1 |AUTO_UPDATE_HOST_CHECK |pruefpunkt.local |AUTO_UPDATE_HOST_PORT_CHECK|443 |AUTO_UPDATE_POST_CHECK |0 |AUTO_UPDATE_RUN |0 |AUTO_UPDATE_TIME |3 MON,SAT,SUN
    The values AUTO_UPDATE_POST_CHECK and AUTO_UPDATE_RUN are set by the update process.
      

  • Für Updates von Versionen vor 12.5.0 siehe die vorherige Version dieses Artikels


  • Complete update

    Complete update

    Acceptance of License Agreement and Privacy Policy

    Acceptance of License Agreement and Privacy Policy
    After the update and a re-login to the administration web interface, the license agreement is displayed. This must be signed Accept.
    If you decline Decline the previous version will be reactivated.
    The privacy policy is displayed. This must be signed Accept.
    If you decline Decline the previous version will be reactivated.
    LIZENZVEREINBARUNG - SORGFÄLTIG LESEN! - UTMuser@firewall.name.fqdn Akzeptieren Ablehnen UTM v12.6.1 Firmware Updates Lizenzvereinbarung-en.png
    Accept Eula
    DATENSCHUTZERKLÄRUNG - SORGFÄLTIG LESEN! - UTMuser@firewall.name.fqdn Akzeptieren Ablehnen UTM v12.6.1 Firmware Updates Datenschutzerklaerung-en.png
    Accept privacy policy













    Changelog

    Changelog
    The changelog with the most important changes is displayed.

    With Yes, it can already be specified that this version will be used during the next startup.
    With Ask again later, the previous version will be used initially when restarting.

    UTM v12.6.1 Firmware Updates Changelog Dialog-en.png
    Changelog

    Dry run

    Dry run
    • Um einen Probelauf auszuführen, wird unter
      Verfügbare Version
      auf die Schaltfläche Probelauf starten geklickt
    • Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Später erneut nachfragen klicken
    • Es erscheint der Status Aktiver Probelauf bei der aktuell aktiven Firmware-Version
    • Entsprechend erscheint ein Status Für Probelauf deaktiviert bei der installierten Firmware-Version
    • Mit der Schaltfläche Probelauf abschließen wird aus der probelaufenden Firmware-Version die installierte Firmware-Version, mit der Schaltfläche ✖ Probelauf abbrechen wird der Probelauf abgebrochen
      notempty
      Während des Probelaufs darf kein Factory Reset ausgeführt werden.

      notempty
      Es empfiehlt sich den Browserchache nach dem Update zu leeren.
    Firmware Updates UTMuser@firewall.name.fqdnExtras Renew Download the latest firmware UTM v12.6.1 Firmware Updates Probelauf-en.pngFinalize dry run

    Rollback

    Rollback
    Mit einem Rollback wird die Firmware auf die zuletzt installierte Version gesetzt.
    • Unter
      Verfügbare Version
      muss der Status Ältere Version stehen
    • Auf die Schaltfläche Probelauf starten klicken
    • Nach dem Neustart der UTM erscheint ein Changelog-Fenster nach dem Einloggen. Dort auf die Schaltfläche Ja klicken, oder
    • Nach dem Neustart der UTM im Changelog-Fenster auf die Schaltfläche Später erneut nachfragen klicken und im Firmware Update-Fenster auf die Schaltfläche Probelauf abschließen klicken notempty
      If a Newer version has already been found, a rollback is only possible via CLI.
      notempty
      Configuration changes in the active version are reset in the process.
    Firmware Updates UTMuser@firewall.name.fqdnExtras Renew Download the latest firmware UTM v12.6.1 Firmware Updates Rollback-en.pngRollback



    Troubleshooting

    Troubleshooting

    The system does not boot with the new firmware version

    The system does not boot with the new firmware version

    If the system does not boot properly after a restart, a reboot can re-enable the previous version.
    The reboot can be done via the CLI (system reboot), the web interface (if accessible under Restart or by pressing the power switch at the back of the case.

    Certain features do not behave as desired after the update

    Certain features do not behave as desired after the update

    If the UTM does not work as desired after the update, a rollback can be performed.

    If proper operation has not yet been confirmed, proceed as described above.

    Otherwise under Extras Firmware updates in the section

    Available version
    activate the Older version with Start dry run .

    notempty
    Please create a support ticket with an error description as detailed as possible. → how to make a ticket

    A new version is not downloaded automatically

    A new version is not downloaded automatically
    • A valid license is required.
    • The time of the system must not deviate too much.
    • The update server is not accessible. e.g. due to a too large packet size (MTU), this must be adjusted if necessary.
    • The automatic update process is distributed over a certain period of time for load distribution (see Changelog): Planned rollout period.
    • Update does not load and the following error message can be seen in the log:
      2023-01-09T09:51:17.302+01:00|spupdater|22223|downloading do-update.sh: failed
      Additionally, the configuration cannot be saved or a new configuration cannot be created.
      Solution:
      • Check storage space
      • Check the writability of the partition/hard disk.

    Check availability of the support server

    Check availability of the support server

    The following command can be executed from the root shell
    root@fw:~# curl update-001.v12.utm.spnoc.de

    Result Description
    curl: (6) Could not resolve host: update-001.v12.utm.spnoc.de DNS problem
    curl: (7) Error Failed to connect() to host or proxy
    TCP Verbindung schlägt Fehl.
    Falsche Route, Verbindung wird durch eine andere Firewall blockiert o.ä.