Während der Server-Umstellung bei einem Kunden über’s Wochenede viel auf, das diverse Downloads abbrachen und Mails ein-/ausgehend nicht mehr zugestellt wurden. Da alles in Sachen Internet bei diesem Kunden durch eine Securepoint UTM RC100 läuft, war der Verdacht schnell naheliegend, das da etwas nicht rund läuft.
Ein Blick in das Web-Interface offenbarte zunächst nichts außergewöhnliches, aber man merkte deutlich, das die UTM “schneckt” (auf deusch: extrem langsam ist). Die Lastenanzeige im Web-Interface zeigte 100% Auslastung. Via ssh (als root) und top war allerdings nur Langeweile zu sehen. Da das Web-Interface so gut wie überhaupt nicht reagierte wurde kurzerhand bei ssh ein “reboot” abgesetzt. Normalerweise startet solch eine Appliance gerade mit aktueller Firmware sehr schnell, aber es dauerte gut 1.5 Stunden bis wieder eine Verbindung zu stande kam. Bemerkung am Rande: Ich war nicht vor Ort, das geschah alles aus der Ferne.
Nach die UTM wieder lief, bestand der erste Weg erneut darin ins Web-Interface zu schauen. Die Ernüchterung war groß: Die Performance-Graphen zeigten keine aktuellen Werte mehr an (nur die bis zum Neustart), das Log konnte nicht geöffnet werden (Fehlermeldung: “__get_messages_query: unable to open database file”), Änderungen an Dienst-Stati bzw. -Konfiguration oder Portfilter-Regeln wurden mit “failed to save database” quittiert. Kurzum: Die Partition(en) auf der SSD wurde offensichtlich nur read-only eingehängt. Damit sich die Migration nicht weiter verzögert wurde erstmal nichts weiter unternommen, immerhin war es Sonntag, beim Kunden vor Ort war niemand, per Notfall hätte nur die Möglichkeit bestanden, mit der Junior-Chefin hinfahren zu können. Wir verblieben telefonisch allerdings so, das Montag-Morgen vorsorglich die UTM durch ein Leihgerät ersetzt wird.
Montag morgen dann vor Ort folgendes Bild:
Nachdem schon klar war, das die Appliance nur noch read-only läuft, kam als weiterer Punkt dazu, das die HDD-LED dauerleuchtet. Ein weiterer Anhaltspunkt dafür, das ein Problem mit der SSD verliegt. Nachdem das Herunterfahren nicht mehr klappte, wurde kurzerhand der Stecker gezogen und das erwähnte Leihgerät verbaut.
In der Werkstatt wurde die UTM dann zunächst an ein Display angeschlossen und gestartet. Allein bei dieser Meldung verharrte das System längere Zeit:
Danach sah’s nicht besser aus:
Anscheinend ist zwischenzeitlich die SSD ganz gestorben. Ein Blick ins BIOS bestätigt das:
Der Support des Herstellers veranlasste gleich, das Ersatz an uns rausgeschickt wird.
Securepoint UTM RC100 wieder Instandsetzen und neu installieren
Für das Austauschen der SSD wird lediglich ein Kreuzschlitzschraubendreher benötigt. Dazu gibt es nichts besonderes zu schreiben. Damit die neue SSD mit der Firmware bespielt werden kann, wird ein USB-Stick mit 500MB Kapazität benötigt. Größere gehen natürlich auch. Früher gab es mal Schwierigkeiten mit Sticks ab einer Kapazätit über 2GB, ob das heute noch gilt, kann ich leider nicht sagen.
Aus dem Partnerprotal das aktuelle “UTM v11 – Autoinstallation”-Image herunterladen und den Stick mit dem Securepoint Imaging Tool vorbereiten:
ACHTUNG: Der so vorbereite Stick startet automatisch die Installation. Hat man diesen Stick z.B. an einem PC hängen und startet diesen neu, wird die Festplatte/SSD überschrieben!
Den Stick an die UTM stecken und diese starten. Es empfiehlt sich ein Display anzuschließen, um den Fortschritt beobachten zu können.
Sobald die Installation abgeschlossen und dreimal ein Piepton ertönt ist, den Stick abziehen, die UTM ausschalten und erneut einschalten. Nach kurzer Zeit erscheint auf der Konsole der Anmeldedialog:
Konfiguration wiederherstellen
Soweit ist die UTM wieder lauffähig und im Werkszustand. D.h. von hier aus kann via Browser wie bei einer Ersteinrichtung weiter verfahren werden. Den gesamten Ersteinrichtungs-Assistenten muss man allerdings nicht durchlaufen. Es genügt Diesen abzubrechen und die aktuelle Datensicherung über die Konfigurationsverwaltung hochzuladen, als Startkonfiguration zu setzen, ggf. zu laden und auf jeden Fall einmal die UTM neuzustarten.
Nicht vergessen sollte man, die Lizenz wieder einzuspielen, da sonst die UTM nach 30 Tagen Demolaufzeit den Betrieb einstellt.
Mit entsprechender Vorbereitung, d.h. USB-Stick, Backup, Lizenz als auch Ersatzteil zur Hand kann man eine UTM innerhalb von 30 Minuten so wieder zum laufen bekommen.
Quellen
Securepoint UTM – Wiki – Installation / Update vom USB-Stick
Securepoint UTM – Wiki – Securepoint UTM USB-Booten
Update 01.12.2017
In den ersten Stunden (bis Tagen) generiert die UTM neue Diffie-Hellmann-Schlüssel, dadurch ist die Last höher, sollte aber den Betrieb nicht beinflussen.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Hi Andy, danke für deinen sehr hilfreichen Blog! Ist es möglich auf der RC100 Hardware PFSence oder eine andere Open Source Firewalllösung zu installieren? Hast du hiermit Erfahrungen?
Beste Grüße
Hallo Eggi,
pfSense geht, ist allerdings schon eine Weile her, das ich das gemacht habe. Siehe:
SSL-VPN und Firewall von Securepoint UTM zu pfSense migrieren
Ich verwende die HW von Securepoint sehr gerne für pfsense/OPNsense Installationen. Auch ipfire läuft problemlos. Securepoint/Terra HW wird häufig bei ebay angeboten und ist oft günstig zu bekommen. Allerdings muss man sich schon etws auskennen, um auch eine brauchbare HW zu erwischen.
So sollte man darauf achten mindestens eine G2-Version der jeweiligen HW zu bekommen. Die G2-Versionen haben eine 64Bit CPU. Eine HW mit 32 Bit CPU macht einfach keinen Sinn mehr!
Leider ist es nicht immer sofort zu erkennen, um welche HW-Version es sich handelt. Viele Verkäufer geben dass natürlich auch nicht an!
Gruß
Dirk