Author Topic: Checkliste für die Firewall-Migration Netscreen 5GT -> SSG5  (Read 14394 times)

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Wer eine Juniper Firewall vom Typ Netscreen 5GT, Netscreen 20 o.ä durch ein neueres SSG-Modell ersetzen möchte, wird beim Einspielen der alten Konfigurationsdatei feststellen müssen, dass alle VPN-Tunnel fehlen und auch viele andere Einstellungen nicht übernommen werden.

Die SSG5 Firewall hat mehrere, frei definierbare und gruppierbare Interfaces, daher haben sich die Namen der Ethernet-Schnittstellen geändert. Das ist der einzige Grund, warum das Einspielen der Konfigurationsdatei des Vorgängermodells nicht mehr funktioniert, denn ansonsten ist der Befehlssatz von ScreenOS voll kompatibel. Wer sich die Neuerstellung der VPN-Tunnel ersparen möchte, kann aber mit der folgenden Checkliste dennoch die alten Einstellungen übernehmen:

  • Config-File aus der bisherigen Firewall speichern und eine Kopie anlegen, die zur Migration verwendet wird.
  • Falls mit der SSG5 bereits rumgespielt wurde, Factory Reset machen. (Reset-Knopf hinten - 6s drücken, loslassen, nochmal 6s drücken, loslassen - ja, es ist eine Fummelei :-)
  • Neue Firewall mit Web-Browser konfigurieren über: http://192.168.1.1 (PC auf dieses Netz einstellen oder DHCP verwenden!)
  • Mit Notepad die zuvor erstellte Kopie bearbeiten und die folgenden Strings global ersetzen:
      interface trust   ->   interface bgroup0
      interface untrust   ->   interface ethernet0/0
      outgoing-interface "untrust"  ->   outgoing-interface "ethernet0/0"
      (Die Anführungszeichen gehören mit zum String!)
  • Kopie speichern und unter
      Update / Config File / Merge to Current Configuration -> Apply
    in die neue Firewall laden. Geduld, es dauert eine Weile!
  • Danach den Client auf die richtige, ursprüngliche LAN-IP-Adresse einstellen und an der bisherigen Management-IP anmelden
  • Mit 'netscreen' anmelden (Passwort: 'netscreen') und alle anderen Benutzer-Passworte neu vergeben (all diese Passworte gehen bei der Migration verloren!)
  • Kontrollieren, ob alle Tunnel da sind, und Verbindung aufgenommen wird
  • Kontrollieren, ob alle Policies da sind, auch die Tunnelpolicies
  • Die Software Version 6.00r3 hat einen Fehler beim VIP-Forwarding von SSL / HTTPS, dafür gibt es einen Patch von Juniper.
  • Ggf. ANY -> ANY Policy entfernen, alle normalen Policies nach hinten einsortieren, Tunnel müssen oben  stehen. In beiden Richtungen kontrollieren!
  • Zeitsynchronisierung testen, mit Client synchronisieren, NTP Server zufügen, z.B.: 192.53.103.104,  130.149.17.21
  • Wenn alles funktioniert, Config-File speichern und für den Notfall archivieren.
  • Hier im Forum anmelden und eine kleine Rückmeldung geben :-)
« Last Edit: Thursday, 29.11.2007 08:50 by admin »

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Re: Checkliste für die Firewall-Migration Netscreen 5GT -> SSG5
« Reply #1 on: Sunday, 13.01.2008 01:38 »
Nachtrag:

den Patch von Juniper gibt´s nicht auf der Website zum Herunterladen, es ist ein "Engineering Release", das man nur bekommt, wenn man einen Support Case aufmacht, das ist aber kostenlos.