Letzte Aktualisierung: 23. Juli 2024
Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll “Firmware” genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.
Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – “Uptime”. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.
Beim FortiOS müssen oft bestimmte Update Pfade eingehalten werden. Manchmal müssen auch bestimmte Voraussetzungen erfüllt sein, damit ein Update erfolgreich abgeschlossen werden kann.
Bei neueren Versionen wird ein Update über das Webinterface angeboten. Die neuste Firmware wird vom FortiGate automatisch heruntergeladen und mit einem Klick installiert. Diese Funktion ist an sich eine feine Sache, denn sogar an ein Backup der Konfiguration wird der Administrator vorgängig erinnert. Jedoch sind über dieses GUI Feature teilweise auch Updates möglich, die nicht dem unterstützten Update Pfad entsprechen. Die Ergebnisse sind vielfältig: Von Systemen, welche mit der Backup Firmware starten bis zu gar nicht mehr startenden Systemen ist alles möglich.
Indem Sie das in diesem Artikel geschilderte Vorgehen einhalten, sollten Sie in aller Regel von solchen Überraschungen verschont bleiben.
Vorgehen für ein erfolgreiches Update:
- Backup anlegen. Ausnahmslos immer.
- Prüfen Sie, welche FortiOS Version Sie einsetzen möchten. Wir haben hier einen Artikel zu Ihrer Unterstützung zusammengestellt.
- Prüfen Sie, ob es sich bei der gewünschten Version um einen Feature oder Mature release handelt. Wir (wie auch Fortinet) empfehlen für die produktive Nutzung die “Mature” releases zu bevorzugen.
- Prüfen Sie den unterstützten update Pfad unter docs.fortinet.com/upgrade-tool
- Prüfen Sie, ob Sie die neue Firmware problemlos auf Ihrem Gerät betreiben können. Einige ältere Hardwareplattformen eignen sich nicht mehr für neue Versionen oder haben zu wenig Leistung um diese zuverlässig zu betreiben. Informationen dazu finden Sie unter support.fortinet.com.
- Prüfen Sie, ob Ihre Fabric Geräte (Siehe Abschnitt “Spezialfall: Fortinet Security Fabric” weiter unten) wie FortiSwitches, FortiAPs, FortiExtender, FortiManager, FortiAnalyzer und viele weitere mit dem neuen FortiOS kompatibel sind oder ob diese ebenfalls noch aktualisiert werden müssen.
- Laden Sie die Firmware von support.fortinet.com herunter. Achten Sie darauf, die richtige Firmware herunter zu laden. Für FortiWiFi, sowie PoE und FGT Modelle sind verschiedene Firmware Dateien verfügbar!
- Prüfen Sie die Prüfsumme der heruntergeladenen Datei (zum Beispiel mit der Software hashcheck).
- Lesen Sie sich die Release-Notes der heruntergeladenen Version durch und prüfen Sie, ob Ihre Konfiguration ein spezielles Vorgehen erfordert.
- Laden Sie die Firmware über das Dashboard im Webinterface auf Ihr Gerät und installieren Sie diese. Das Gerät wird neu gestartet!
- Prüfen Sie mit dem CLI Befehl “get system status” oder im Webinterface die Version Ihres FortiGates. Hier sollte nun die neu installierte Version stehen.
- Ebenfalls in der Ausgabe von “get system status” finden Sie die Versionen der Signaturdatenbanken. Falls die Daten nicht mehr aktuell sind, können Sie diese mit dem Befehl “execute update-now” aktualisieren.
- Nach dem Start der Appliance mit der neuen Version prüfen Sie mit dem CLI Befehl “diagnose debug config-error-log read”, ob beim aktualisieren der Konfiguration Fehler aufgetreten sind.
- Prüfen Sie mit dem CLI Befehl “diagnose debug rating”, ob die Appliance über eine funktionierende Verbindung zu FortiGuard verfügt.
Leider können auch bei einem optimal vorbereiteten Firmware-Update unvorhergesehene Probleme auftreten. Dem werden wir uns als nächstes widmen:
Was ist im Fehlerfall zu tun?
- Don’t panic! Langsam und überlegt zu pressieren führt schneller zu einer sauberen Lösung als überhastete Entscheide unter Druck.
- Installieren Sie die Zielversion der Firmware über TFTP auf der Appliance. Eine Anleitung dazu finden Sie unter kb.fortinet.com.
- Laden Sie die Konfiguration der alten Version über das Dashboard im Webinterface zurück. Das Gerät wird neu gestartet.
- Nach dem Start der Appliance mit der geladenen Konfiguration prüfen Sie mit dem CLI Befehl “diagnose debug config-error-log read”, ob beim aktualisieren der Konfiguration Fehler aufgetreten sind.
- Falls die Konfiguration nicht sauber importiert werden konnte und es sich bei den angezeigten Fehlern nicht nur um Dashboard-Einstellungen oder Customizing-Texte handelt, ist möglicherweise ein Downgrade erforderlich. Möglicherweise haben Sie beim Update einen Zwischenschritt vergessen.
- Das Downgrade sollten Sie in jedem Fall per TFTP installieren und vorgängig im BIOS mit “f” den Flash Speicher formatieren. So wird ausgeschlossen, dass irgendwelche Altlasten oder Partitionsänderungen von der höheren Version übernommen werden.
- Prüfen Sie noch einmal die Release notes und vergewissern Sie sich, dass Sie die empfohlenen Update-Pfade eingehalten haben. Falls die Ursache nicht eruiert werden konnte, wenden Sie sich an den zuständigen Supportanbieter bevor Sie einen weiteren Versuch starten.
Spezialfall: HA Cluster
Der Cluster wird über das Webinterface der Master Appliance aktualisiert. Beim Upload der Firmware auf den Master werden erst die Slave Maschinen und als letztes auch der Master aktualisiert. Während dem Update wird ein Failover erzeugt, daher können Sessions verloren gehen. Ein längerer Unterbruch als bei einem Failover ist nicht zu erwarten. In einem Aktiv-Aktiv Cluster wird das Load-Balancing temporär deaktiviert. Falls das override nicht aktiviert wurde, wird nach dem Update ein anderes Gerät die Master Rolle übernehmen. Bei aktiviertem override erfolgen zwei Failover. Detailliertere Ausführungen zum Cluster Update finden Sie unter help.fortinet.com und im Artikel unter diesem Link.
Falls Sie für die Cluster Geräte jeweils ein Management Interface konfiguriert haben, sichern Sie vor einem Update von jeder Appliance die Konfiguration einzeln. So haben Sie auch die Konfiguration der Management Interfaces gesichert.
Das aufbrechen des Clusters und einzelne Updaten von Geräten ist nur in sehr seltenen Ausnahmefällen notwendig. In Normalfall raten wir davon ab. Fortinet dokumentiert solche Ausnahmen zuverlässig. Zum beispiel im Customer Support Bulletin CSB-190819-1 oder CSB-190819-2. Ein Workaround dazu wird ebenfalls gleich angeboten.
Falls Sie einen HA Cluster downgraden möchten, muss der Cluster aufgebrochen werden. Eine Anleitung dazu finden Sie unter help.fortinet.com.
Spezialfall: Fortinet Security Fabric
In einer Security Fabric, also einem Verbund diverser Fortinet Geräte wie beispielsweise FortiSwitches, FortiManager und FortiAnalyzer sind spezielle Upgrade-Vorgehensweisen einzuhalten um die Netzwerkverfügbarkeit nicht zu beeinträchtigen. Eine detaillierte Anleitung zum empfohlenen Vorgehen finden Sie in den jeweiligen FortiOS release notes.
Achtung: Bitte prüfen sie vor jedem Upgrade die Kompatibilität von FortiOS, FortiAnalyzer OS und FortiManager OS.
Spezialfall: Updates über VPN Verbindungen
Falls sie ein Update über eine SSL VPN Verbindung versucht haben und dieses fehlgeschlagen ist (zum Beispiel mit der Meldung “image upgrade failed”), versuchen sie das Image direkt über das WAN Interface hoch zu laden. Instabile VPN Verbindungen können die Übertragung des Images zu einem Glückspiel machen. Ebenso ist zu prüfen, ob die MTU korrekt hinterlegt ist.
Spezialfall: Downgrade des FortiOS
Downgrades mit FortiOS sind ein ganz anderes Thema. Gemäss den FortiOS Release Notes werden nur (unglaublich) wenige Einstellungen übernommen bei einem Downgrade. Am Beispiel von FortiOS 7.4.4 zitiere ich die Liste der übernommenen Einstellungen aus den Release Notes:
- operation mode
- interface IP/management IP
- static route table
- DNS settings
- admin user account
- session helpers
- system access profiles
Daher empfehlen wir, im Falle von Downgrades die ältere Firmware per TFTP zu installieren (incl Format boot storage) und anschliessend das Konfigurations-Backup von dieser Version wiederherzustellen. In der Regel werden viele bis alle Einstellungen beim Downgrade übernommen (Dies kann man mit “diag debug config-error-log read” prüfen), aber wirklich supportet sind eben nur die Einstellungen gemäss Release Notes.
Wenn Sie sich dennoch für ein Downgrade entscheiden, achten Sie darauf wie oben beim Upgrade vorgehen beschrieben vorzugehen, einfach in die andere Richtung.
Pingback:FortiGate „Cannot allocate memory“ Fehler beheben « :: Boll – Tech Blog ::