O actualizare recentă a versiunii semnăturii Application Patrol 1.0.0.20220310.0 pentru gateway-urile de securitate din seria ATP/USG FLEX poate cauza blocarea gateway-ului în timpul pornirii.
Care este problema?
Versiunea semnăturii App Patrol V1.0.0.20220310.0 poate cauza erori de parsare pe gateway-urile de securitate care funcționează în modul standalone sau sunt gestionate prin Nebula. Serviciul App Patrol nu va funcționa după această actualizare a semnăturii, dar celelalte funcții UTM continuă să funcționeze. În această stare, dacă gateway-ul este repornit manual sau printr-o sarcină programată, acesta se poate bloca în timpul procesului de pornire.
Care dispozitive sunt afectate și cum puteți verifica dacă această problemă se aplică gateway-ului dumneavoastră?
Problema apare pe toate gateway-urile din seria ATP și USG FLEX care rulează versiuni de firmware de la 5.00 la 5.20 și care au instalată versiunea problematică a semnăturii Application Patrol 1.0.0.20220310.0.
În secțiunea Configuration => Licensing => Signature Update, verificați ce versiune a semnăturii App-Patrol este instalată.
Dacă dispozitivul dumneavoastră folosește versiunea problematică a semnăturii și are versiunea de firmware 5.00-5.20, nu reporniți manual gateway-ul și dezactivați orice setare de repornire programată dacă există!
Dacă problema se aplică dispozitivului dumneavoastră, dar acesta nu a fost repornit încă.
Soluție:
Actualizați gateway-ul la cea mai recentă versiune de firmware - V5.21patch1, unde problema semnăturii a fost rezolvată. Puteți actualiza prin cloud sau manual folosind un fișier de firmware descărcat de pe portalul myzyxel.com.
Actualizați partiția care are statusul Running:
Dacă gateway-ul nu pornește după o încercare de repornire.
Asigurați-vă că problema este legată de încărcarea semnăturii problematice verificând următoarele simptome:
1) Gateway-ul nu răspunde în decurs de 10-15 minute după aplicarea alimentării.
2) LED-ul PWR este verde aprins, iar LED-ul SYS clipeste continuu.
3) Când accesați gateway-ul prin portul COM, jurnalul de pornire se oprește la linia:
load av threat info...
Jurnalul complet arată ca în acest exemplu:
Soluție:
În această stare, este posibil să recuperați gateway-ul fără a pierde fișierul de configurare. Veți avea nevoie de un adaptor de consolă (de exemplu, DB9<=>USB) și orice program terminal (recomandăm TeraTerm). Recuperarea trebuie efectuată la fața locului unde este instalat gateway-ul.
Procedura pas cu pas pentru recuperare:
1) Conectați adaptorul de consolă USB la gateway (gateway-ul poate fi pornit sau oprit).
2) Lansați TeraTerm pe calculatorul dumneavoastră și setați parametrii portului de consolă astfel:
3) Porniți sau reporniți gateway-ul. Ar trebui să vedeți jurnalul de pornire al gateway-ului în fereastra terminalului. Dacă vedeți caractere aleatorii, text ilizibil sau probleme similare, verificați:
a) Adaptorul de consolă este conectat corect și driverele corespunzătoare sunt instalate.
b) Layout-ul tastaturii este setat pe Latin (ENG).
c) Parametrii portului de consolă și portul selectat sunt corecte.
Dacă problema de afișare persistă, încercați să reporniți TeraTerm și să schimbați adaptorul de consolă.
4) Când procesul de pornire ajunge la linia:
"Press any key to enter debug mode..."
Apăsați orice tastă pentru a intra în modul debug. În acest mod, trebuie să schimbați partiția de boot a gateway-ului (numărul partiției firmware). Implicit, gateway-ul folosește prima partiție. Dacă nu sunteți sigur ce partiție folosește gateway-ul în prezent, încercați mai întâi comenzile:
atcd 2
atgo
5) Așteptați ca gateway-ul să pornească. Dacă pornirea se oprește din nou la același punct (load av threat info...), repetați pașii 3 și 4. La pasul 4, în loc de comanda atcd 2, executați atcd 1.
6) În timpul pornirii, jurnalul consolei ar trebui să afișeze versiunea firmware-ului partiției încărcate.
Exemplu:
Dacă versiunea firmware-ului este 4.30 sau mai mare, săriți pasul 6.
Dacă versiunea firmware-ului partiției de rezervă este 4.29, trebuie mai întâi să efectuați configurarea inițială și să actualizați firmware-ul pe acea partiție înainte de a continua. Pentru aceasta:
a) Conectați un calculator la portul Ethernet LAN al gateway-ului și asigurați-vă că calculatorul primește o adresă IP de la serverul DHCP al gateway-ului.
b) Autentificați-vă pe dispozitiv cu contul implicit din fabrică:
Utilizator: admin
Parolă: 1234
Dacă parola nu funcționează, resetați dispozitivul la setările din fabrică ținând apăsat butonul Reset pentru până la 10 secunde, apoi repetați pasul b. Configurarea principală a dispozitivului nu ar trebui să fie afectată.
c) Finalizați configurarea pas cu pas configurând setările de rețea ale dispozitivului cu acces la internet și în final actualizați firmware-ul folosind funcția de actualizare în cloud.
Dacă dispozitivul nu poate descărca firmware-ul, încercați să descărcați manual fișierul .bin de pe portalul myzyxel.com.
7) După ce accesați interfața web de configurare a gateway-ului, descărcați toate fișierele de configurare disponibile din Maintenance => File Manager.
Metodă alternativă pentru descărcarea configurațiilor prin FTP:
a) Deschideți FTP introducând adresa ftp://192.168.1.1 (sau adresa IP a dispozitivului în rețeaua locală). Puteți folosi browser-ul sau FileZilla.
b) Autentificați-vă ca utilizator admin.
c) IMPORTANT: deschideți folderul Standby_conf
d) Descărcați toate fișierele de configurare din folderul Standby_conf și verificați fișierul startup-config.conf deschizându-l în orice editor de text pentru a verifica setările corecte.
8) În secțiunea Firmware Management, actualizați gateway-ul la cea mai recentă versiune de firmware - V5.21, unde problema semnăturii a fost remediată. Puteți actualiza prin cloud sau manual cu un fișier de firmware descărcat de pe portalul myzyxel.com.
Actualizați partiția care are statusul Standby:
Actualizarea Gateway-urilor de Securitate prin Serviciul Cloud
Recomandăm ca după selectarea metodei de actualizare să nu porniți imediat în partiția problematică. În fereastra "Reboot device?" selectați "No". Gateway-ul va continua să ruleze pe partiția curentă. După actualizare, verificați secțiunea File Manager; dacă apar fișiere noi de configurare, repetați pasul 7.
9) Odată ce partiția cu status Standby este actualizată la versiunea 5.21, puteți reporni în ea prin interfața web:
Gateway-ul ar trebui să pornească în partiția anterioară și să încarce configurația care era activă înainte de repornirea cu problema. Dacă configurația este resetată, aplicați cea mai recentă versiune din configurațiile descărcate anterior. Înainte de a încărca și aplica configurația, deschideți-o în orice editor de text și ștergeți linia a 3-a (cea cu versiunea firmware-ului).
Dacă aveți întrebări la orice pas sau procedura de recuperare nu funcționează, vă rugăm să deschideți un tichet de suport indicând la ce pas apare problema - Cum să Contactați Suportul?
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.