El otro día me toco actualizar un cluster de estos … de la R77.30 a la R80.20, aunque teníamos un procedimiento que iba mas o menos paso por paso, tuvimos algunos problemas (que solucionamos) así que … post al canto.
Lo primero es que, te permiten la posibilidad de actualizarlo mediante el CPUSE, aunque leyendo en los foros la propia checkpoint te recomienda hacer una instalación desde 0 (cambia el sistema de ficheros), no entiendo porque aparece allí … en fin.
Hay que crear un USB bootable para arrancar con la nueva versión, se puede ver como hacerlo aqui.
Antes de nada, sacate una configuración del R77.30 (save config o si prefieres con superpoderes clish -c «save configuration fich.txt») y tenla a mano (la deja en tu home para que puedas sacarla por scp).
Después, en el nodo que esta como pasivo … pinchas el usb y reinicias (mejor si estas conectado por consola), y empieza la instalación de la versión R80.20 (ojo con el boot, hay que seleccionar tu modelo), después de instalarla, sacas el usb y reinicias (de botón) para que arranque limpio (admin/admin).
Una vez dentro, tienes que copiar la configuración de la versión anterior y aquí tuvimos algunos problemas.
Me di cuenta de que la configuración en los dos nodos no usa el mismo orden, es mas hay algunos comandos que están en uno y no en el otro (
Puedes hacer copy&paste a lo bestia pero cuando llega a set installer policy check-for-updates-period 3 se para y todo lo que esta debajo no se ejecuta (vamos que nos tocó hacerlo a mano).
Y luego cuando configuras el acceso al gaia set web ssl-port 4434 hay que hacerlo al final, porque también te pregunta. no es que sea grave, pero hay que hacerlo despacio (no como yo, que lo intente hacer a lo burro).
Después de eso haces un save config y ya deberías de ser capaz de llegar desde un remoto y dejar de usar la consola y entrar con tus credenciales(y sino … fw unloadlocal.
Una vez dentro … hay que reiniciar la SIC, cpconfig -> opción 5 y ojo que no salen ni unos miserables asteriscos, así que no ves lo que estas tecleando.
Otra vez save config y en este punto, tienes el nodo instalado, pero sin política (aunque necesitas acceso a Internet para actualizar las licencias).
Y aquí tuvimos el otro problema, las licencias no se actualizan así por las buenas y no tengo claro si el procedimiento que seguí es el bueno. Primero probé a entrar directamente en la web de checkpoint y a bajar el fichero .LIC (como se ha hecho de toda la vida) e importarlo … se importa bien, pero las licencias seguían sin aparecer en el GAIA.
Probé a arrancar el smartupdate, seleccionar el nodo en cuestión y a hacer un upgrade to management version y me dio un error, pero milagrosamente cambió la versión y empezó a aparecer en verde en el GAIA. Ojo con seguir sin tener las licencias, porque puedes hacerlo … pero en cuanto instalas la política te quedas sin acceso. Esto es algo que no tengo claro y tengo que mirarlo (actualizare con la respuesta).
Una vez con la licencia en verde tienes que arrancar la consola, irte al objeto en cuestión y resetear el SIC
gateways & servers -> Gateway cluster properties -> cluster member properties -> secure internal communication -> communication -> reset (pones la que has añadido en el nodo) y listo … conexión establecida.
Ahora te vas al objeto cluster y cambias la version de la R77.30 a la R80.20 -> Gateway cluster properties -> Platform.
Ahora puedes probar a instalar la política (hay que seleccionar Install on each selected gateway indenpendently y desmarcar For gateway clusters, if installation on a cluster member fails, do not install on that cluster para poder instalar solo en un nodo.
Si todo va bien puedes poner ese nodo en activo (clusterXL_admin up) y probar …
Después … toca hacer lo mismo en el otro nodo en el mismo orden … arrancas, copy&paste de la config, reseteo del SIC, etc.
Cuando tengas el segundo instalado, puedes probar a ponerlo online para probar de nuevo haciendo un clusterXL_admin up en los dos nodos.