[solved] Backup Recovery neue Hardware

p54

Hi,

eine Frage in die Runde. Ich habe zwei scope7 hier herum liegen. Die erste habe ich schon kaputt gemacht, nach meinem laienhaften Import nach der Art: trail-and-error mein CFG Backup ohne Applications zu importieren.

Danach habe ich mir die zweite angesehen - beide waren vorinstalliert von scope mit der CE 2.5.0 und zfs und anderen Einstellungen, welche ich so natürlich nicht in meiner aktiven FW hinterlegt habe.

Nun überlege ich mir wie ich mein CFG importiert bekomme aber mit den aktuellen Einstellungen der scope7.

Mein Gedanke war vom neuen System das CFG zu holen und in mein Backup die entsprechenden und fehlenden Einträge für VPN, Keys, aliase und interfaces hinterlege.

Könnte es damit so funktionieren, oder muss man noch etwas beachten, wie z.B. im Vorfeld schon einmal alle Interfaces vorkonfigurieren und dann die CFG bearbeiten?

VG, ich.

JeGr

@p54 warum kaputt gemacht? klingt nach Unfug. kaputt mit Software bekommt man die kaum.

ansonsten restore und gut. Niemand hat auf den Kisten irgendwelche Einstellungen gemacht die man unbedingt braucht.

p54

@jegr nein natürlich nicht kaputt im sinne von kaputt :) eher so, das das Gerät jetzt in irgend einem Zustand ist, welches ich nicht sehen kann ohne Console Port - warte hier noch auf einen Adapter. Hab da jetzt auch kein Schmerz, wollt nur wissen was passiert wenn ich von meinem alten System das Backup einfach auf dem neuen schon vorinstallierten Gerät drüber jage.

Und da scope7 eben z.B. zfs als Filesystem gewählt hat und andere Dinge - müsste ich noch genauer nachsehen was noch für Einstellungen getroffen wurden, hätte ich es eben mit dessen Voreinstellungen und mit meinem Backup nutzen wollen.

Und hier ist die Frage ob man und wie man da am besten vorgeht mit der Backup CFG.
Hoffe ihr versteht was ich meine.

Grüße

JeGr

@p54 said in Backup Recovery neue Hardware:

Und da scope7 eben z.B. zfs als Filesystem gewählt hat

Ja weil wir/ich u.a. den Jungs das eingetrichtert habe auf Hardware ZFS Installation bitte zu bevorzugen, danke :)

und andere Dinge - müsste ich noch genauer nachsehen was noch für Einstellungen getroffen wurden, hätte ich es eben mit dessen Voreinstellungen und mit meinem Backup nutzen wollen.

Keine anderen Dinge. Das Einzige was sie machen - was mich persönlich ein wenig stört - ist, dass das LAN nicht auf 192.168.1.1 belassen, sondern auf .2.1 geändert wird. Das ist aber wohl dem QA geschuldigt, weil damit überprüft wird, ob das Gerät quasi schon durch die Config lief oder noch "neu grundinstalliert" ist ohne Anpassungen.

Ansonsten nehmen die lieben Leute dort soweit mir bekannt keine Änderungen vor. Man kann also problemlos selbst neu installieren, da geht nichts verloren. Wüsste zumindest von keiner neueren Entwicklung dahingehend und da wir sowohl Vertriebs- als auch Support-Partner von den Jungs sind, wäre das seltsam

p54

@jegr danke für die Tipps. Eigentlich echt leicht, wenn man ein Seriel2Usb verwenden kann. Ist ja echt der Hammer, wie einfach es geht.

Hab mich auch intensiv mit meiner backup.cfg beschäftigt weil ich meine Anordnung verändern wollte hinsichtlich der Ports, da die igb's nicht gleich Port-Nummer entsprechen.

Nachdem ich alles fehlerfrei hinbekommen hatte, habe ich feststellen müssen das die WUI lange Zeit für die Anmeldung wie auch nach der Anmeldung benötigt um das Dashboard zu laden. Innerhalb anderer Bereiche wie der Wechsel von IPSec zu Firewall / Rules usw. funktionieren sehr flott. Nur eben nicht der Sprung auf die Hauptseite / Dashboard.

Nach weiteren Tests mit einer Neuinstallation der V2.5.1 wie auch auf die V2.5.2 RC von gestern hat sich dieses Verhalten nicht geändert.
Ein weiterer Test mit factoryreset der V2.5.2 RC und der originalen backup.cfg hat sich das Verhalten auch nicht verbessert.

Habt ihr dieses Verhalten auch feststellen können oder davon gehört?

Zur Info: Alle Backups sind von mir ohne Apps erstellt.

Hier nun auch die nächste Frage, obwohl ich keine Apps im Backup habe sind dennoch PFBlockerNG-Devel Einträge in der cfg file zu finden, z.B. unter aliase oder auch rules:

		<alias>
			<name>pfB_PRI1_v4</name>
			<url>https://127.0.0.1:443/pfblockerng/pfblockerng.php?pfb=pfB_PRI1_v4 &lt;br /&gt;[ Abuse_Feodo_C2_v4, Abuse_SSLBL_v4, CINS_army_v4, ET_Block_v4, ET_Comp_v4, ISC_Block_v4, Spamhaus_Drop_v4, Spamhaus_eDrop_v4, Talos_BL_v4 ]</url>
			<updatefreq>32</updatefreq>
			<address></address>
			<descr><![CDATA[pfBlockerNG  Auto  Alias]]></descr>
			<type>urltable</type>
			<detail><![CDATA[DO NOT EDIT THIS ALIAS]]></detail>
		</alias>

		<rule>
			<ipprotocol>inet</ipprotocol>
			<type>block</type>
			<descr><![CDATA[pfB_PRI1_v4 auto rule]]></descr>
			<source>
				<address>pfB_PRI1_v4</address>
			</source>
			<destination>
				<any></any>
			</destination>
			<log></log>
			<created>
				<time>1624269759</time>
				<username><![CDATA[Auto]]></username>
			</created>
			<interface>wan</interface>
			<tracker>1770009470</tracker>
		</rule>

Ist aber denke ich normal da aliase und rules recht systemspezifisch sein können und man diese Einträge einfach so nicht verlieren möchte nach einem backup-recovery, oder?

JeGr

@p54 said in Backup Recovery neue Hardware:

Habt ihr dieses Verhalten auch feststellen können oder davon gehört?

Nein

@p54 said in Backup Recovery neue Hardware:

Zur Info: Alle Backups sind von mir ohne Apps erstellt.

Was soll das denn heißen? Backup ist Backup. Was heißt denn dann "ohne Apps"?

Ist aber denke ich normal da aliase und rules recht systemspezifisch sein können und man diese Einträge einfach so nicht verlieren möchte nach einem backup-recovery, oder?

Es sind eben Aliase und Regeln. Wie/warum sollten die nicht gesichert werden?
Verstehe den Sinn da nicht ganz.

NOCling

Hast du kein aktives Upstream GW?
Wenn nicht, dann wartest du oft auf den DNS Timeout, das ist scheinbar leider immer noch nicht ganz fixed.

p54

@nocling Hi, ja habe ich gelesen soeben. Danke für den Hinweis, was hilft wenn kein GW aktiv ist einfach einen Resolver-Eintrag hinterlegen und dann dauert es auch keine 60 Sek für das Dashboard.

WebGUI Slow

Sehr hilfreich wenn man sein Backup testen will aber es noch nicht an Netz bringen will ;)

JeGr

@p54 Wenn man das wegen dem Update Check macht - einfach den selbigen in System/Updates abschalten. Dann braucht man sich auch den DNS Resolver nicht kaputt verbiegen ;)

p54

@jegr Guten Morgen,

ja dies war auch mein erster Gedanke das das am DNS liegen könnte und ein Timeout ausgeführt wird, bzw. dem UpdateCheck geschuldet sein kann - diesen habe ich auf "nicht prüfen" gesetzt und neu gestartet. Leider mit dem selben verhalten, danach bin ich unter generals gegangen und hab den DNS Eintrag dort entfernt -> Neustart und wieder selbiges.

Nachdem ich dem Verweis gefolgt bin "auf das Umbiegen im Resolvers" wie im Link zu sehen hat es dann zum Ziel geführt. Warum erst dann ist eine gute Frage. Es gab aber dazu auch schon mal einen redmine Eintrag aus 2020 glaube ich.

Jedenfalls bin ich jetzt entspannt, da alles theoretisch so funktioniert wie ich es mir wünsche mit dem Recovery, jetzt steht nur noch ein live Test an. :)

VG und in freudiger Erwartung auf V2.5.2