Un aggiornamento recente della versione 1.0.0.20220310.0 della firma Application Patrol per i gateway di sicurezza della serie ATP/USG FLEX può causare il blocco del gateway durante l’avvio.
Qual è il problema?
La versione della firma App Patrol V1.0.0.20220310.0 può causare errori di parsing sui gateway di sicurezza che operano in modalità standalone o gestiti tramite Nebula. Il servizio App Patrol non funzionerà dopo questo aggiornamento della firma, ma le altre funzionalità UTM continueranno a funzionare. In questo stato, se il gateway viene riavviato manualmente o tramite un’attività programmata, potrebbe bloccarsi durante il processo di avvio.
Quali dispositivi sono interessati e come verificare se questo problema riguarda il tuo gateway?
Il problema si verifica su tutti i gateway delle serie ATP e USG FLEX con versioni firmware dalla 5.00 alla 5.20 che hanno installato la versione problematica della firma Application Patrol 1.0.0.20220310.0.
Nella sezione Configurazione => Licenze => Aggiornamento firma, verifica quale versione della firma App-Patrol è installata.
Se il tuo dispositivo utilizza la versione problematica della firma ed ha una versione firmware 5.00-5.20, non riavviare manualmente il gateway e disabilita eventuali impostazioni di riavvio programmato se presenti!
Se il problema riguarda il tuo dispositivo ma non è stato ancora riavviato.
Soluzione:
Aggiorna il tuo gateway all’ultima versione firmware - V5.21patch1, dove il problema della firma è stato risolto. Puoi aggiornare tramite cloud o manualmente usando un file firmware scaricato dal portale myzyxel.com.
Aggiorna la partizione che ha lo stato Running:
Se il gateway non si avvia dopo un tentativo di riavvio.
Assicurati che il problema sia legato al caricamento della firma problematica controllando i seguenti sintomi:
1) Il gateway non risponde entro 10-15 minuti dall’accensione.
2) Il LED PWR è verde fisso e il LED SYS lampeggia continuamente.
3) Accedendo al gateway tramite la porta COM, il log di avvio si ferma alla riga:
load av threat info...
Il log completo appare come nell’esempio:
Soluzione:
In questo stato è possibile recuperare il gateway senza perdere il file di configurazione. Avrai bisogno di un adattatore console (ad esempio DB9<=>USB) e di un programma terminale (consigliamo TeraTerm). Il recupero deve essere effettuato in loco dove il gateway è installato.
Procedura di recupero passo-passo:
1) Collega l’adattatore console USB al gateway (il gateway può essere acceso o spento).
2) Avvia TeraTerm sul tuo computer e imposta i parametri della porta console come segue:
3) Accendi o riavvia il gateway. Dovresti vedere il log di avvio del gateway nella finestra del terminale. Se vedi caratteri casuali, testo illeggibile o problemi simili, verifica:
a) Che l’adattatore console sia correttamente collegato e i driver corretti siano installati.
b) Che la tastiera sia impostata su layout latino (ENG).
c) Che i parametri della porta console e la porta selezionata siano corretti.
Se il problema di visualizzazione persiste, prova a riavviare TeraTerm e a sostituire l’adattatore console.
4) Quando il processo di avvio raggiunge la riga:
"Press any key to enter debug mode..."
Premi un tasto per entrare in modalità debug. In questa modalità, devi cambiare la partizione di avvio del gateway (numero della partizione firmware). Di default, il gateway usa la prima partizione. Se non sei sicuro di quale partizione il gateway stia usando, prova prima i comandi:
atcd 2
atgo
5) Attendi che il gateway si avvii. Se l’avvio si blocca di nuovo allo stesso punto (load av threat info...), ripeti i passi 3 e 4. Nel passo 4, invece del comando atcd 2, esegui atcd 1.
6) Durante l’avvio, il log della console dovrebbe mostrare la versione firmware della partizione caricata.
Esempio:
Se la versione firmware è 4.30 o superiore, salta il passo 6.
Se la versione firmware della partizione di backup è 4.29, devi prima effettuare la configurazione iniziale e aggiornare il firmware su quella partizione prima di procedere. Per fare ciò:
a) Collega un computer alla porta Ethernet LAN del gateway e assicurati che il computer riceva un indirizzo IP dal server DHCP del gateway.
b) Accedi al dispositivo con l’account di fabbrica predefinito:
Username: admin
Password: 1234
Se la password non funziona, resetta il dispositivo alle impostazioni di fabbrica tenendo premuto il pulsante Reset per fino a 10 secondi, quindi ripeti il passo b. La configurazione principale del dispositivo dovrebbe rimanere intatta.
c) Completa la configurazione passo-passo impostando le reti del dispositivo con accesso a Internet e infine aggiorna il firmware utilizzando la funzione di aggiornamento cloud.
Se il dispositivo non riesce a scaricare il firmware, prova a scaricare manualmente il file .bin dal portale myzyxel.com.
7) Dopo aver effettuato l’accesso alla configurazione web del gateway, scarica tutti i file di configurazione disponibili da Manutenzione => Gestione File.
Metodo alternativo per scaricare le configurazioni via FTP:
a) Apri FTP inserendo l’indirizzo ftp://192.168.1.1 (o l’indirizzo IP del dispositivo nella tua rete locale). Puoi usare il browser o FileZilla.
b) Accedi come utente admin.
c) IMPORTANTE: apri la cartella Standby_conf
d) Scarica tutti i file di configurazione dalla cartella Standby_conf e verifica il file startup-config.conf aprendolo con un qualsiasi editor di testo per controllare le impostazioni corrette.
8) Nella sezione Gestione Firmware, aggiorna il tuo gateway all’ultima versione firmware - V5.21, dove il problema della firma è stato risolto. Puoi aggiornare tramite cloud o manualmente con un file firmware scaricato dal portale myzyxel.com.
Aggiorna la partizione che ha lo stato Standby:
Aggiornamento dei Security Gateway tramite servizio Cloud
Consigliamo che dopo aver selezionato il metodo di aggiornamento, non avviare immediatamente la partizione problematica. Nella finestra "Riavvia dispositivo?", seleziona "No". Il gateway continuerà a funzionare sulla partizione corrente. Dopo l’aggiornamento, controlla la sezione Gestione File; se compaiono nuovi file di configurazione, ripeti il passo 7.
9) Una volta che la partizione con stato Standby è aggiornata alla versione 5.21, puoi riavviarla tramite l’interfaccia web:
Il gateway dovrebbe avviarsi sulla partizione precedente e caricare la configurazione che era attiva prima del riavvio con il problema. Se la configurazione viene resettata, applica l’ultima versione dai file di configurazione precedentemente scaricati. Prima di caricare e applicare la configurazione, aprila con un editor di testo qualsiasi ed elimina la 3ª riga (con la versione firmware).
Se hai domande in qualsiasi fase o la procedura di recupero non funziona, apri un ticket di supporto indicando a quale passo si verifica il problema - Come contattare il supporto?
Commenti
0 commentiAccedi per aggiungere un commento.