Freitag, der 28. Juni 2024 war in mehrfacher Hinsicht ein heißer Tag für Admins und IT-Verantwortliche. Securepoint-Partner die Build 12.7.1 Reseller Preview der UTM-Firmware vom 27.06.2024 installierten stießen gegebenenfalls auf einen unschönen Fehler.

Sofern man mehr als eine WAN-Schnittstelle nutzt und zusätzlich noch Policy Based Routing oder Rule Routing konfiguriert hat, stellte man fest, das eben dieses nicht mehr funktionierte. Alle Daten gingen trotz anders lautender Regeln einfach über die Default Route. Je nachdem welche Dienste oder Ports über verschiedene Anschlüsse geroutet werden kann dies ein relativ großes Problem darstellen.

Glücklicherweise lässt sich Securepoint-typisch das Ganze schnell wieder regeln: Entweder man führt einen Rollback der Firmware durch, was erfreulich schnell und einfach von statten geht, siehe:

Securepoint – Wiki – UTM – Firmware Update

Securepoint – Wiki – UTM – UTM Firmware-Update CLI

Oder man wartet auf das nächste Update, dieses stand als Version 12.7.1.1 bereits am 28.06.2024, also am gleichen Tag als der Fehler auffiel, ab ca. 14 Uhr zur Verfügung.

In diesem Fall trat der Fehler nach dem Wechsel der Firewall-Engine von “iptables” zu “nftables” auf. Dies kann man im CLI ebenfalls ändern:

system rule_engine set value "iptables"

So oder so konnte man den Fehler also schnell umgehen. Betroffen waren lediglich die NFR-Lizenzen der Partner und keine Kunden-Lizenzen bzw. -Systeme!

Etwas irritierend waren allerdings manche Aussagen von Partnern, die der Meinung sind, das die NFR-Versionen “besser” gestellt sein sollten als die Kunden-Versionen. Hierzu sei nochmal explizit auf folgenden Hinweis aus dem Changelog und den E-Mails hingewiesen:

"Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen"

Man kann, muss aber nicht die Reseller Preview-Versionen installieren. Diese Versionen sind zum Testen und wir halten das so wie viele Kollegen: “Besser solche Fehler fallen bei uns auf, als beim Kunden.”

Sicher, das Ganze war sehr ärgerlich und ist irgendwie bei den internen Tests bei Securepoint durchgerutscht. Man ist bestimmt bereits dabei die Umstände zu analysieren und sowas wird vermutlich nicht wieder vorkommen.

Update 11.07.2024

Im heutigen Product Spotlight-Webinar wurde erwähnt, das der Tausch der Firewall-Engine auf Version 12.8 verlegt wurde. Vorab kann man dennoch nftables testen in dem man über die CLI die Konfiguration ändert:

system rule_engine set value "nftables"

Welche Engine aktuell genutzt wird erfährt man mit

system rule_engine get

In der Zwischenzeit haben zudem die Lüneburger im Changelog nochmals explizit hervorgehoben, das die Reseller Preview-Versionen zum Testen sind:

Ähnliche Artikel:

  1. Securepoint UTM: Version 12.7 mit neuem Reverse Proxy
  2. Securepoint UTM: Version 12.6.2 final mit vielen Verbesserungen
  3. Securepoint UTM: Multi-WAN und Routing – Im Zweifelsfall einmal neustarten
  4. Securepoint UTM: Version 12.6.2 – Probleme mit dem Nameserver?
  5. Securepoint UTM: Leere Alerting-Center-Reports