Ich hatte bei einem Checkpoint-Cluster (ClusterXL, R77.30, Gaia) das Problem das das Management-Zertifikat abgelaufen ist. Über das SmartDashboard war keine Verlängerung – oder ein Neuausstellen – möglich. Administration des Clusters war auch nicht mehr sauber möglich, da die Kommunikation natürlich über Zertifikate läuft…

Über die CLISH (Expert-Modus) auf der betroffenen Maschine war ein erstellen eines neuen Zertifikats aber zum Glück noch möglich:

1. Backup des derzeitigen Zertifikats

mv $CPDIR/conf/sic_cert.p12 $CPDIR/conf/sic_cert.p12_BACKUP

2. Wiederrufen des derzeitigen Zertifikats

cpca_client revoke_cert -n „CN=cp_mgmt“

3. Neues Zertifikat erstellen

cpca_client create_cert -n „CN=cp_mgmt“ -f $CPDIR/conf/sic_cert.p12

4. Neustarten der Check Point Services:

cpstop && cpstart

Danach liefen alle Dienste wieder sauber und eine Administration des Clusters war wieder ohne Probleme möglich 🙂

Ich wollte eine Checkpoint Appliance auf der GAiA installiert war (in meinem Fall R77.20) auf die aktuelle Version upgraden.
Problem: Ein klick in der WebUI bzw. im Gaia Portal auf Status und Action unter Software Updates führte zu einem dauerkreiselenden Portal und die WebUI war nicht mehr benutzbar. Auf der Kommandozeile war auch kein Arbeiten mit dem DAClient möglich – weder über den expert-mode noch über die cli.sh – alles war super langsam.

Ein top brachte folgendes zu Tage:

CheckpointGAiAconfdFehler

Der confd lief konstant zwischen 90 und 100 % CPU-Usage.

Das hat die Ursache das eine Datenbank in der in GAiA mitgelogt wird zu groß ist. Man kann das mit

ls -lh /config/db/initial_db

überprüfen – es sollte unter 100 MB liegen – ab 100 MB habe ich bei diversen Maschinen das Problem erlebt.

Um das Problem zu beheben muss man folgendes im Expert-Modus machen:


tellpm process:confd

mkdir /config/db/BKP

mv /config/db/initial_db /config/db/BKP/

conv2db /config/db/initial /config/db/initial_db

sqlite3 /config/db/initial_db "update revisions set time='1980-01-01 02:00:00';"

tellpm process:confd t

Wenn man jetzt mit top den Status überprüft, dürfte der confd-Prozess nicht mehr die Maschine zu machen.

Ich habe dann im Anschluss dann noch gleich den CPUSE manuell auf den neuesten Stand gebracht:

Im Checkpoint-Support-Center kann man den aktuellen Agent herunterladen

Auf die Appliance hochladen und im Expert-Modus mit

tar -zxvf DeploymentAgent_BuildNummer.tgz

entpacken und mit

rpm -Uhv --force CPda-00-00.i386.rpm

installieren. Danach noch schnell den Dienst mit

$DADIR/bin/dastart

starten.

Jetzt hat bei mir das Upgrade im GAiA Portal (WebUI) ohne Probleme funktioniert 🙂

Eine Positive Sache: Der Bug ist bekannt und auch schon gepatcht (z.B. Mit dem Jumbo-Hotfix für R77.20) – allerdings ist das Problem das diese Patches die Datenbank nicht verkleinern und man so auch auf vermeintlich gepatchten Machinen in das Problem laufen kann….

Quelle: Checkpoint

Ich wollte letztens einen Firewall (Security Gateway Appliance 4600 im Cluster) – die noch auf Gaia R75.40 lief – auf die aktuelle Version Gaia R77.20 upgraden und lief in einen Fehler.

Der eigentlich Upgrade-Vorgang lief sauber durch – bei der ersten Installation der Policy erhielt ich jedoch diese Fehlermeldung:


R77.20 Network Security export Standard.Set:
R77.20 Network Security Standard:
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/updates.def^, line 16603: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/updates.def^, line 49566: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/updates.def^, line 89976: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53276: ERROR: function or table ^pgm_len_block_code^ undefined
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53277: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53278: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53279: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53280: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53281: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53282: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53283: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53284: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53285: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53286: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53287: ERROR:
[Manufacturer Serial Number: 12345678910 ]syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53288: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53289: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53290: ERROR: syntax error
R77.20 Network Security ^/opt/CPsuite-R77/fw1/conf/Standard.pf^, line 53291: ERROR: syntax error
R77.20 Network Security Error compiling IPv6 flavor.
R77.20 Network Security Compilation failed.
R77.20 Network Security Operation ended with errors.

CheckpointUpgradeError

Das Problem war hier der Switch auf dem die Firewall verbunden war.

Nachdem wir das ca. 8 Jahre alte Modell durch einen neuen – in diesem Fall einen HP Procurve Switch – ersetzt haben, lief das Upgrade (nach vorhergehenden Revert auf die R75.40) sauber durch. 🙂