Fortigate, actualizacion 4.0 mr3 patch 10 a 5.0.0 GA

Un consejo para los leyentes … parchea, parchea, parchea y no dejes que se te acumulen los parches … Así te vas a evitar muchos problemas (y muchas tonterías de paso).

El caso es que ahora nos enfrentamos a un par de problemas … estamos en una versión del año de la tana y hay que subir el firewall a la ultima …

Para hacerlo hay que pedir ventanas de corte … y hay que currar los fines de semana …

El caso es que, según las release notes, la primera versión desde la que se puede saltar a la 5.0.0 es la 4.0 mr3 patch 10, así que, ni cortos ni perezosos la pusimos …

La primera actualización fue sobre un nodo standalone (310B) y se hizo sin problemas, limpia y rápida. El cacharro funciona bien, aunque da un mensaje de error que tenemos que solucionar (solo hay que darle acceso a internet al pobre).

«status=failure reason=»failed to search database» msg=»Failed to update reputation tracking data for host ALL/utm traffic log/vdom root»

El problema lo tuvimos al actualizar el segundo, que es un cluster. Todo parecía ir bien, pero dejaron de mostrarse los objetos (aunque el firewall funcionaba bien, se podían crear objetos desde la regla…pero luego no salia el listado).

Preguntando al soporte (por cierto, mira que es malo…ya podían currárselo un poco mas). Me dicen que, la secuencia de actualización que estamos usando no es la adecuada, que mejor que usemos la que dicen ellos.

Joder, si no es la adecuada porque la ponéis como soportada en vuestras release notes …

En fin, que la secuencia buena se puede mirar aqui.

En nuestro caso hay que hacerlo:

de 4.0 MR3 patch 10 -> 4.0 MR3 patch 11 -> 4.0 MR3 patch15 -> 5.0 patch 4

En las release notes la que seguían era:

de 4.0 MR3 patch 10 -> 5.0.0 Ga -> 5.0 patch 2 -> 5.0 patch 4

Mismo numero de saltos…

Ahora teníamos que hacer rollback para volver a dejar a nuestro(s) pequeños otra vez en 4.0 MR3 patch 10. Para hacerlo necesitas un cable de consola (y acercarte un sábado por la noche al puto CPD).

Entras por consola, ejecutas un «exec reboot» y cuando sale el menú de arranque utilizas la opción «B» ([B]: Boot with backup firmware and set as default.)

Hay que hacerlo en los dos nodos fisicos (tarda poco).

Una vez en la versión antigua (que funciona bien)…vuelta a empezar…