Upgrade de firmware por primera vez

[ardacho]

Hola a todos!!

Es la primera vez que voy a hacer un upgrade del firmware y la verdad es que estoy un poco asustadillo.

Tengo un FortiGate 110C y la versión del firmware instalada es la v4.0,build0291,100824 (MR2 Patch 2). Mi intención es instalar el nuevo firmware v5.0

Lo primero que hice fue un backup del System Configuration que ya lo tengo guardado en un par de sitios. Luego me bajé el firmware y, cuando fuí a hacer el upgrade me salió esto:






Entiendo que con lo de "this operation will downgrade the current version..." me va a bajar a una versión previa para luego meter la v5.0 ¿no?

Bueno, entonces me leí la Release Note y ví esto:

Upgrading from FortiOS v4.0 MR3
FortiOS v5.0.0 GA build 0128 officially supports upgrade from FortiOS v4.0 MR3 Patch Release
10 or later.

Downgrading to previous FortiOS version
Downgrading to previous FortiOS versions results in configuration loss on all models. Only the
following settings are retained:
• operation modes
• interface IP/management IP
• route static table
• DNS settings
• VDOM parameters/settings
• admin user account
• session helpers
• system access profiles.

De aquí deduzco que si hago el upgrade a la v5.0 tal y cómo estoy ahora, perderá mi configuración, pero si tuviera instalada la versión v4.0 MR3 Patch Release 10 me haría un upgrade directo.

Entonces, la pregunta que os hago es la siguiente. ¿actualizo directamente a la v5.0 y luego restauro el backup para tener mi configuración como antes o instalo primero la v4.0 MR3 Patch Release 10? ¿qué es mejor y aconsejable?

Bueno, tengo que decir que en la Release Note de la v4.0 MR Patch Release 10 me dice que para hacer un upgrade directo tengo que tener una versión anterior y de esa versión anterior también tengo que tener otra más anterior para ir haciedo upgrades directos, vamos que tendría que hacer como 3 ó 4 actualizaciones desde la versión del firmware que tengo ahora mismo en mi FortiGate hasta llegar a la última, la v5.0.

Gracias de antemano por la ayuda que me podáis dar.

[gabyrossi]

Hola, como estas?

Mi pregunta es? vas a pasar a 5.0 porque tenes algun requerimiento nuevo que nececitas resolver?

Te pregunto esto porque el 5.0 salio hace muy poco y habria que pasar progresivamente.

Lo que yo haria es primer pasar a mr3, usarlo hasta que salga algun patch de 5.0 (esto siempre y cuando no tenga algun requerimiento que necesita pasar a 5.0 si o si).

Revisa el release note para actualizar a mr3 teniendo mr2.

saludos.

[ardacho]

Hola Gaby

Pues sí, necesitaría pasar porque me lo han pedido desde la central ya que hemos visto que la versión 5 trae mejoras que nos facilitarán mucho las cosas como la detección y reconocimiento automático de dispositivos o la identificación de usuarios que se conectan a la red. Y los nuevos informes y monitorización de tráfico también pinta muy bien en esta nueva versión.

Vamos, que la respuesta a tu pregunta sería que tengo que pasar a la v5 sí o sí

Un compañero, en otra sede, actualizó ayer y le fue bien, pero la versión que tenía del firmware era posterior a la que tengo yo y pudo hacerlo directamente y sin problemas.


Yo he estado mirando las releases notes y me vienen a decir que, para no hacer un downgrade, tengo que tener tal versión (por ejemplo, para pasar directamente a la 5 tendría que tener la 4 MR3 Release 10). Pero para tener esa, tendría que tener otra aún anterior que es una versión posterior a la que tengo actualmente.

Es decir, para pasar de la versión que tengo ahora, la v4.0,build0291,100824 (MR2 Patch 2), a la v5.0 tendría que hacer primero unos 3 ó 4 upgrades, ir haciéndolo de manera escalonada.


Entonces, lo que preguntaba era que si esa sería la mejor manera de proceder (ir actualizando el firmware escalonadamente hasta llegar a la v5.0) o si por el contrario podría instalar directamente la v5.0 y restaurar luego el backup que tengo hecho para recuperar la configuración que tengo en estos momentos del firewall.

Como te decía, va a ser la primera vez que hago un upgrade del firmware y quiero ser bastante cauto, no vaya a meter la pata y dejarlo todo inservible.


Gracias!!

[ardacho]

Hola, como estas?

Bastante asustado

[gabyrossi]

hola, como estas... a demas de asuatado?ja

2 maneras de hacerlo....

* actualizas de manera escalonada... ultimo patch de mr2 ..... y luego ultimo de mr3..... y luego a 5.0
* o formateas, y cargas de cero la configuracion. No restaurar backup porque ahi podrias rompaer todo ya que el backup es de mr1.

La ultima opciones es la mejor, no siempre se puede ya que es un equipo en produccion y dependera de los tiempos y demas. Pero digo que es la mejor porque sera la mas limpita en temas de config.

Algo para que tengas en cuenta es que de mr1 a mr2 cambio muchisimo el tema de los perfiles o protection profile. Si tenes perfil que no uses borrarlos antes de pasar a mr2.

saludos

[ardacho]

buufff, pues creo que voy a optar por hacer las actualizaciones ecalonadas.

Ahora mismo estoy temblando pero es por el frio que hace

Bueno, gracias por los consejos y ya te iré contando. Lo más seguro es que lo haga el lunes por la tarde cuando se haya ido la mayoría de la gente que tengo conectada a la red. Mañana me dedicaré a bajar los firmwares necesarios y a poner una vela a algún santo.

Un saludo!!

[ardacho]

Hola Gaby!!

La actualización a la versión 5 fue bien, lo hice de manera escalonada y en menos de media hora ya la tenía instalada.

En principio, las políticas que tenía montadas (muy pocas) estaban ahí pero algo va mal porque no funcionan, los filtrados web, por ejemplo, no filtran ni bloquean las páginas deseadas.


Asíes como me sale ahora el menú para la regla del filtrado web, marco los items que quiero...


...y luego lo activo en lo de "Policy"


Está exactamente igual que cuando lo tenía antes o, al menos, eso veo yo, pero nada... meto una página porno, por ejemplo, y me sale tranquilamente.

Y parece ser que tampoco me hace los logs:


Antes, desde ahí, podía ver la información del DLP Archive, lo que se estaba visitando en ese momento, mails recibido y envidos, etc etc pero como ves, ahora el "marcador" está a cero.

A otro compañero en otra sede le ha pasado lo mismo, está como yo: versión 5 instalada pero las políticas de filtrado que tenía (igual que las mias) no le funcionan. Va a probar a abrir una incidencia, aver que le cuenta la gente del FortiGate.


Por lo demás, todo bien, una maravilla lo de la detección de usuarios y dispositivos.


OFF TOPIC: Me ha costado una barbaridad entrar en el foro. Lo probé desde el trabajo estos dos días pasados y nada, la página no cargagaba y ahora, desde casa, le ha costado lo suyo...

[gabyrossi]

Hola, como estas?

Te recomendaria que revsiaras los nombres de los perfiles... son todos iguales...
esto es por la migracion de mr1 que solo tenes un protection profile. y luego en mr2 mr3 y 5.0 tenes perfiles individuales de av, webfilter, etc.

para el log revisa el utm proxy option y habilita el log.

si haces nuevos perfiles si te anda el filtrado???

La web en horarios esta saturada de ancho de banda, estan tratando se solucionar eso. gracias!

saludos.