CHECKPOINT HARDWARE UPGRADEmise à jour matérielle de Checkpoint

PURPOSE

Upgrade from a 3 systems based on checkpoint software R71.10 on Dell server to a 2 systems based on UTM-1 570.
Before: 

Before

 After 

After

Advantage: This is a full HA solution, if a member failed the other member becomes active for the management and gateway.  The 3 systems is not HA for the management point of view. 

PREPARATION PHASE

Prepare the first UTM-1 member

  1. Get the IP topology and route configuration from the running “MEMBER 1” server.
  2. Issue the following command:
    ifconfig –a
    netstat –rn

  3. Start the new UTM-1 server
  4. Connect a laptop to the INT interfaces (laptop with static IP 192.168.1.2/24)
  5. Using the WebUI ( http://192.168.1.1:4434) first time wizard, install as a standalone. Define date and time; IP topology, route topology based on the “MEMBER 1” topology; hostname must be the “MGMT” hostname. On the management type page, select Locally Managed (Do not choose any cluster option at this stage).
  6. Install the relevant SmartDashboard and connect to the newly installed member.
  7. Close the SmartDashboard.

“MGMT” database backup

  1. Log on the running “MGMT” server
  2. Issue the following command:
    expert
    cd $FWDIR/bin/upgrade_tools
    ./upgrade_export /tmp/database

  3. saved the /tmp/database.tgz file on the newly installed UTM-1 host
  4. Log on the newly installed UTM-1 member
  5. Issue the following commands

Finish the first UTM-1 configuration

  1. Log on the newly installed UTM-1 member
  2. Issue the following command:
    expert
    cd $FWDIR/bin/upgrade_tools
    ./upgrade_import /tmp/database.tgz

  3. Connect to the SmartDashboard on the UTM-1
  4. Edit the management object (MGMT object)
  5. On general properties the tab network security must be accessible if yes go to Configuring the cluster section.
  6. Close all GUI session including Dashboard, SmartEvent, etc..
  7. Create a text file containing this line <management_object_name must be replace by the object name define in the GUI (normally MGMT)
  8. modify network_objects <management_object_name> \
    firewall installed
    update network_object <management_object_name>

  9. Save the edited file as enable_firewall.txt
  10. Issue the following command
  11. Note: in this example the administrator name is fwadmin and the password is abc123 

    dbedit –s localhost –u fwadmin –p abc123 -f \
    enable_firewall.txt

  12. Issue the following command
  13. cpstop; cpstart

Configuring the cluster

  1. Using the WebUI, on the Product Configuration page, make the standalone appliance the primary member of the cluster
  2. Reboot the member
  3. In SmartDashboard, connect again the newly installed UTM-1. The cluster first time wizard opens
  4. Configure the cluster name.
  5. Note: When configuring the new cluster, you cannot use the previous cluster name since it still exists in the database. 

  6. Configure the primary cluster member
  7. Skip the secondary member configuration. On the Cluster topology page of the wizard, enter the Virtual IP address of the cluster. Finish the wizard
  8. Note the old cluster configuration (eg VPN, NAT, ClusterXL mode, SmartDefense Profile).
  9. Check rule and object where the old cluster is used. Right click on the object and choice where used. Replace the old cluster by the newly created cluster for each usage.
  10. Delete the old cluster.
  11. Install Policy on the newly created cluster
    1. Select the “installed on each selected GW independently” option.
    2. Uncheck the “For GW clusters installed on all the members, if it fails do not install at all” option
  12. Using the WebUI remove the 192.168.1.1 IP interfaces
  13. Get the IP topology and route configuration from the “MEMBER 2” server.

Install the second UTM-1 member

  1. Get the IP topology and route configuration from the “MEMBER 2” server.
  2. Issue the following command:
    expert
    ifconfig -a
    netstat -rn

  3. Start the second UTM-1 server
  4. Connect a laptop to the INT interfaces (laptop with static IP 192.168.1.2/24)
  5. Using the WebUI ( http://192.168.1.1:4434) first time wizard, install as a standalone. Define date and time; IP topology, route topology based on the “MEMBER 2” topology; hostname must be the “MEMBER 2” hostname. On the management type page, select Locally and as the secondary member of the cluster
  6. Set the LAN/SYNC interface on the same subnet for  the two newly installed UTM-1
  7. Connect the second UTM-1 member on the same switch
  8. Open SmartDashboard
  9. Double click the cluster object. Select “simple mode wizard). The first time wizard opens again
  10. Configure the secondary cluster member using the wizard and click “Finish”
  11. Install Policy on the newly created cluster
    1. Select the “installed on each selected GW independently” option.
    2. Check the “For GW clusters installed on all the members, if it fails do not install at all” option
  12. Using the WebUI remove the 192.168.1.1 IP interfaces

  

Now, we have the new cluster configured and ready. The preparation phase is terminated. We can perform some verification like stop one member and verify that all services are available. Restart the stopped member and stop the other member. 

If an error occurred we can restore the default configuration and restart the procedure from the beginning. 

UPGRADE PROCEDURE

  1. Stop the running “MEMBER 1” host.
  2. Wired the newly installed UTM-1 “MGMT” based on the previous “MEMBER 1” wiring
  3. Perform change in your DNS. We must have
  4. “MGMT” name
    “MEMBER 1” alias name
    “MEMBER 1” IP address

  5. Stop running “MGMT”  and “MEMBER 2” host (all previous server are stopped)
  6. Start immediately the newly installed MGMT UTM-1 server.
  7. Note: Step 3 and 4 introduce a service interruption around 2 minutes 

  8. Verify that all services are available when the newly UTM-1 is running. Verify VPN state, internet access, etc… at this step a rollback procedure can be started. Go to the Rollback section
  9. Wired the newly installed “MEMBER 2” UTM-1 based on the old“MEMBER 2” wiring
  10. Start the “MEMBER 2” UTM-1 host
  11. Verify that cluster is ok using SmartView Monitor

  

ROLLBACK PROCEDURE

  1. Stop the UTM-1  server
  2. Start immediately the “MGMT” and “MEMBER 2” host (Dell architecture)
  3. Restore the DNS configuration
  4. Wired the “MEMBER 1”
  5. Start the “MEMBER 1”

But

Mettre à jour un 3 systèmes basé sur le logiciel Checkpoint R71.10 sur des Dell serveurs vers un 2 systèmes basé sur des UTM-1 570
Avant: 

Before

 Après 

After

Avantage: C’est une vrai système HA, si un membre devient H/S l’autre membre devient actif pour la partie gestion et gateway. LE 3 systèmes n’est pas HA pour la partie gestion. 

PHASE DE PREPARATION

Prépare le premier UTM-1 serveur

  1. Récupérer la topologie IP et la configuration des routes pour le “MEMBER 1” serveur qui tourne.
  2. Exécutez les commandes suivantes:
    ifconfig –a
    netstat –rn

  3. Démarrer le nouveau UTM-1 serveur
  4. Connectez un laptop sur l’interface INT (laptop avec l’IP adresse statique 192.168.1.2/24)
  5. en utilisant ( http://192.168.1.1:4434) le wizard d’installation, le configurer en standalone. Definissez la date and l’heure; la topology IP et les routes, basés sur la topologie du “MEMBER 1”; hostname doit être le hostname de “MGMT”. sur la page de management, selectionnez Locally Managed (ne pas choisir de mode cluster à cette étape).
  6. Installez le SmartDashboard and connectez le nouveau membre installé.
  7. Fermez le SmartDashboard.

backup de la database de “MGMT”

  1. Connectez vous sur le serveur “MGMT”
  2. Exécutez les commandes suivantes:
    expert
    cd $FWDIR/bin/upgrade_tools
    ./upgrade_export /tmp/database

  3. saved the /tmp/database.tgz file sur le nouveau UTM-1 serveur
  4. Connectez vous dessus
  5. Exécutez les commandes suivantes

Terminez la configuration du premier UTM-1

  1. Connectez vous dessus
  2. Executez les commandes suivantes:
    expert
    cd $FWDIR/bin/upgrade_tools
    ./upgrade_import /tmp/database.tgz

  3. Connectez vous sous le SmartDashboard de l’UTM-1
  4. Editez l’objet de management object (MGMT object)
  5. Dans les propriétés sécurité réseaux générales doit être accessible, si oui allez à la section de configuration du cluster.
  6. fermez toutes les sessions GUI en incluant Dashboard, SmartEvent, etc..
  7. Créez un fichier texte contenant cette ligne <management_object_name doit être remplacer par le nom de l’objet défini dans le GUI(normalement MGMT)
  8. modify network_objects <management_object_name> \
    firewall installed
    update network_object <management_object_name>

  9. Sauvez le fichier comme enable_firewall.txt
  10. Executez la commande suivante
  11. Note: Dans get exemple in le nom de l’administrateur est fwadmin et le password: abc123 

    dbedit –s localhost –u fwadmin –p abc123 -f \
    enable_firewall.txt

  12. Exécutez la commande suivante
  13. cpstop; cpstart

Configurez le cluster

  1. En utilisant le WebUI, dans la page de configuration du produit, designez l’UTM-1 comme l’appliance standalone le premier membre du cluster
  2. Reboot le membre
  3. Dans le SmartDashboard, connectez vous encore sur cet UTM-1. Le wizard d’installation du cluster va s’ouvrir
  4. Configurez le nom du cluster.
  5. Note:Vous ne pouvez pas utilizer le nom du précédent cluster car il est toujours dans la datables. 

  6. Configurez le premier membre du cluster
  7. Sautez la configuration du second membre. Sur la page de topologie cluster du wizard, entrez l’adresse IP virtuel du cluster. Terminez le wizard
  8. Notez la configuration de l’ancien cluster (I-e VPN, NAT, mode du ClusterXL, le profile SmartDefense).
  9. Vérifiez les règles et les objets où l’ancien cluster est utilisé. click droit sur l’objet et choisissez “where used”. Remplacez l’ancien cluster par le nouveau pour tous.
  10. Effacez l’ancien cluster.
  11. Installez les polices sur le nouveau cluster
    1. Sélectionnez l’option: “installed on each selected GW independently”.
    2. Décochez l’option “For GW clusters installed on all the members, if it fails do not install at all”
  12. En utilisant le WebUI effacez l’interface IP 192.168.1.1

Installez le deuxième UTM-1

  1. Récupérez la topologie IP et la configuration des routes du “MEMBER 2”.
  2. Exécutez ces commandes:
    expert
    ifconfig -a
    netstat -rn

  3. Démarrez le deuxième UTM-1
  4. Connectez le laptop sur l’interface INT (laptop avec l’adresse IP 192.168.1.2/24)
  5. En utilisant le wizard d’installation ( http://192.168.1.1:4434) du WebUI, l’installer en standalone. Configurez la date et l’heure; la topologie et et les routes avec la configuration notée plus haut; l’hostname doit être celui du précédent membre du cluster. Dans la page de gestion, sélectionnez “Locally and as the secondary member of the cluster”
  6. sélectionnez l’interface LAN/SYNC sur le même sous réseaux pour les deux UTM-1
  7. Connectez the deuxième UTM-1 sur le même switch
  8. Ouvrez le SmartDashboard
  9. Double click sur l’objet cluster. Sélectionnez “simple mode wizard”. Le Wizard va s’ouvrir
  10. Configurez le deuxième membre avec le wizard et cliquez sur “Finish”
  11. Installez les “Policy” on le cluster
    1. Sélectionnez l’option “installed on each selected GW independently”.
    2. Cochez l’option “For GW clusters installed on all the members, if it fails do not install at all”
  12. En utilisant le the WebUI enlevez l’interface IP 192.168.1.1

  

Maintenant le nouveau cluster est configuré et prêt. La phase de préparation est terminée. Vous pouvez faire quelques vérifications comme stopper un membre et vérifiez que tous les services soient accessibles. Redémarrez le et stoppez l’autre membre.

Si une erreur survient vous pouvez restaurer la configuration par défaut et redémarrez la procédure. 

PROCEDURE D’UPGRADE

  1. Arrêtez le “MEMBER 1”.
  2. câblez le UTM-1 “MGMT” comme le précédent “MEMBER 1”
  3. Effectuez les changements dans votre DNS. Vous devez avoir
  4. “MGMT” nom
    “MEMBER 1” alias name
    “MEMBER 1” adresse IP

  5. Arrêtez le serveur “MGMT”  and “MEMBER 2” (Tous les vieux serveurs sont arrêtés)
  6. Démarrez immediatement le MGMT UTM-1.
  7. Note: les étapes 3 et 4 vont introduire une interruption de service de deux minutes environ 

  8. Vérifiez que tous les services soient accessibles. Vérifiez l’état VPN, l’accès internet, etc… A rollback procédure est possible (cf la section rollback)
  9. Câblez le “MEMBER 2” UTM-1 comme l’ancien “MEMBER 2”
  10. Démarrez le “MEMBER 2” UTM-1
  11. Vérifiez que le cluster est ok en utilisant le SmartView

  

PROCEDURE DE ROLLBACK

  1. Stoppez l’ UTM-1
  2. Démarrez immédiatement le “MGMT” et “MEMBER 2” (Dell architecture)
  3. Restaurez la configuration DNS
  4. Câblez le “MEMBER 1”
  5. Démarrez le “MEMBER 1”

How to debug a checkpoint VPNComment déboguer un VPN Checkpoint

I have created a VPN between checkpoint and a CISCO.
As we have encountered issue with the phase 2 of the establishment, I used some commands to debug and find what’s happen.

To debug a vpn you have two commands:
vpn debug trunc or vpn debug on;vpn debug ikeon
this command creates two files which are
$FWDIR/log/ike.elg and $FWDIR/log/vpnd.elg
To turn off the dump
vpn debug truncoff or vpn debug off;vpn debug ikeoff

To do a snoop on the VPN packets
vpn debug mon
this command create a snoop file:
$FWDIR/log/ikemonitor.snoop
to turn off:
vpn debug moff

I found that the netmask put in the configuration with incorrect, with the snoop file.

I have found this link for the checkpoint debugging too.

J’ai créé un VPN entre checkpoint et CISCO
Comme nous avons rencontré un problème durant la phase 2 de l’établissement, J’ai utilisé les commandes suivantes pour déboguer et trouver le problème


vpn debug trunc or vpn debug on;vpn debug ikeon
Cette commande crée deux fichiers qui sont:
$FWDIR/log/ike.elg and $FWDIR/log/vpnd.elg
pour stopper le debug:
vpn debug truncoff or vpn debug off;vpn debug ikeoff

Pour faire un snoop des paquets VPN:
vpn debug mon
Cette commande crée le fichier snoop:
$FWDIR/log/ikemonitor.snoop
pour stopper:
vpn debug moff

J’ai trouvé que le netmask de la configuration était incorrect, dans le fichier snoop.

J’ai trouvé ce lien pour déboguer checkpoint .