FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

Beim FortiOS müssen oft bestimmte Update Pfade eingehalten werden. Manchmal müssen auch bestimmte Voraussetzungen erfüllt sein, damit ein Update erfolgreich abgeschlossen werden kann.

Bei neueren Versionen wird ein Update über das Webinterface angeboten. Die neuste Firmware wird vom FortiGate automatisch heruntergeladen und mit einem Klick installiert. Diese Funktion ist an sich eine feine Sache, denn sogar an ein Backup der Konfiguration wird der Administrator vorgängig erinnert. Jedoch sind über dieses GUI Feature teilweise auch Updates möglich, die nicht dem unterstützten Update Pfad entsprechen. Die Ergebnisse sind vielfältig: Von Systemen, welche mit der Backup Firmware starten bis zu gar nicht mehr startenden Systemen ist alles möglich.

Indem Sie das in diesem Artikel geschilderte Vorgehen einhalten, sollten Sie in aller Regel von solchen Überraschungen verschont bleiben.

Vorgehen für ein erfolgreiches Update:

  • Backup anlegen. Ausnahmslos immer.
  • Prüfen Sie den unterstützten update Pfad auf der cookbook.fortinet.com.
  • Prüfen Sie, ob Sie die neue Firmware problemlos auf Ihrem Gerät betreiben können. Einige ältere Hardwareplattformen eignen sich nicht mehr für neue Versionen oder haben zu wenig Leistung um diese zuverlässig zu betreiben. Informationen dazu finden Sie unter support.fortinet.com.
  • Laden Sie die Firmware von support.fortinet.com herunter. Achten Sie darauf, die richtige Firmware herunter zu laden. Für FortiWiFi, sowie PoE und FGT Modelle sind verschiedene Firmware Dateien verfügbar!
  • Prüfen Sie die Prüfsumme der heruntergeladenen Datei (zum Beispiel mit der Software hashcheck).
  • Lesen Sie sich die Release-Notes der heruntergeladenen Version durch und prüfen Sie, ob Ihre Konfiguration ein spezielles Vorgehen erfordert.
  • Laden Sie die Firmware über das Dashboard im Webinterface auf Ihr Gerät und installieren Sie diese. Das Gerät wird neu gestartet!
  • Prüfen Sie mit dem CLI Befehl „get system status“ oder im Webinterface die Version Ihres FortiGates. Hier sollte nun die neu installierte Version stehen.
  • Ebenfalls in der Ausgabe von „get system status“ finden Sie die Versionen der Signaturdatenbanken. Falls die Daten nicht mehr aktuell sind, können Sie diese mit dem Befehl „execute update-now“ aktualisieren.
  • Prüfen Sie mit dem CLI Befehl „diagnose debug rating“, ob die Appliance über eine funktionierende Verbindung zu FortiGuard verfügt.

Leider können auch bei einem optimal vorbereiteten Firmware-Update unvorhergesehene Probleme auftreten. Dem werden wir uns als nächstes widmen:

Was ist im Fehlerfall zu tun?

  • Don’t panic! Langsam und überlegt zu pressieren führt schneller zu einer sauberen Lösung als überhastete Entscheide unter Druck.
  • Installieren Sie die Zielversion der Firmware über TFTP auf der Appliance. Eine Anleitung dazu finden Sie unter kb.fortinet.com.
  • Laden Sie die Konfiguration der alten Version über das Dashboard im Webinterface zurück. Das Gerät wird neu gestartet.
  • Nach dem Start der Appliance mit der geladenen Konfiguration prüfen Sie mit dem CLI Befehl „diagnose debug config-error-log read“, ob beim aktualisieren der Konfiguration Fehler aufgetreten sind.
  • Falls die Konfiguration nicht sauber importiert werden konnte und es sich bei den angezeigten Fehlern nicht nur um Dashboard-Einstellungen oder Customizing-Texte handelt, ist möglicherweise ein Downgrade erforderlich. Möglicherweise haben Sie beim Update einen Zwischenschritt vergessen.
  • Das Downgrade sollten Sie in jedem Fall per TFTP installieren und vorgängig im BIOS mit „f“ den Flash Speicher formatieren. So wird ausgeschlossen, dass irgendwelche Altlasten oder Partitionsänderungen von der höheren Version übernommen werden.
  • Prüfen Sie noch einmal die Release notes und vergewissern Sie sich, dass Sie die empfohlenen Update-Pfade eingehalten haben. Falls die Ursache nicht eruiert werden konnte, wenden Sie sich an den zuständigen Supportanbieter bevor Sie einen weiteren Versuch starten.

Spezialfall: HA Cluster

Der Cluster wird über das Webinterface der Master Appliance aktualisiert. Beim Upload der Firmware auf den Master werden erst die Slave Maschinen und als letztes auch der Master aktualisiert. Während dem Update wird ein Failover erzeugt, daher können Sessions verloren gehen. Ein längerer Unterbruch als bei einem Failover ist nicht zu erwarten. In einem Aktiv-Aktiv Cluster wird das Load-Balancing temporär deaktiviert. Falls das override nicht aktiviert wurde, wird nach dem Update ein anderes Gerät die Master Rolle übernehmen. Bei aktiviertem override erfolgen zwei Failover. Detailliertere Ausführungen zum Cluster Update finden Sie unter help.fortinet.com.

Falls Sie für die Cluster Geräte jeweils ein Management Interface konfiguriert haben, sichern Sie vor einem Update von jeder Appliance die Konfiguration einzeln. So haben Sie auch die Konfiguration der Management Interfaces gesichert.

Falls Sie einen HA Cluster downgraden möchten, muss der Cluster aufgebrochen werden.  Eine Anleitung dazu finden Sie unter help.fortinet.com.

0 Responses to “FortiOS aktualisieren: Tipps & Tricks”


  • No Comments

Leave a Reply