Kurzer Hinweis an Administratoren unter den Blog-Lesern, die die Watchguard Firebox M270 bei sich einsetzen. Ein Leser hat mich darüber informiert (danke dafür), dass ein bestimmte Firmware-Version einen Bug enthält, so dass keine Geolocation mehr erfolgt. Es gibt aber einen Patch für betroffene Systeme.
Die Watchguard Firebox M270
Die Watchguard Firebox M270 ist eine Hardware-Firewall Appliance von Watchguard mit 8x 1Gbit/s Ethernet-Schnittelle, 1x serielle Console-Anschluss und, 2x USB-Buchsen.
Geolocation Problem bei der Firebox M270
Ein Blog-Leser hat sich per Mail bei mir gemeldet und schrieb, dass die WatchGuard Firebox M270 bei ihm im Unternehmen eingesetzt werde. Seit dem Update auf die Firmware 12.11.1 (von Version 12.11.) sei die Geolocation ohne Funktion. Im Updateprozess selber gibt es, laut Leser, keinen Hinweis darauf.
Aufmerksam wurde die IT auf diesen Bug, da sie die geo_src und geo_dst im Traffic-Log zur Nachverfolgung nicht mehr gefunden haben. Also hat man sich auf die Suche nach den fehlenden Einträgen gemacht.
Nachdem der Lookup der IP-Adressen in der Geolocation Datenbank auf der WatchGuard Firebox M270 ebenfalls immer „Unknown“ ausgegeben hat, habt die IT ein Ticket bei WatchGuard geöffnet. Durch den Support haben die Leute nun einen Link zum WatchGuard Support Center bekommen, wo der Bug dokumentiert ist.
Im Support-Artikel Geolocation no longer classifies IPv4 addresses after upgrade to Fireware v12.11 heißt es, dass im März 2025 die IPv4-Geolocation-Datenbank auf eine Größe anwuchs, die größer ist als Fireware für die Verwendung in Richtlinien laden kann. Infolgedessen können bei Kunden, die kürzlich auf Fireware 12.11 aktualisiert haben, diese Symptome auftreten:
- Die in der Fireware Web UI und im Policy Manager verfügbaren Geolocation-Lookup-Utilities geben für alle IPv4-Lookups „unbekannt“ zurück.
- Richtlinien mit aktivierter Geolokalisierung blockieren keine IPv4-Verbindungen aus blockierten Ländern mehr.
- Fireware-Verkehrsprotokolle zeigen nicht mehr die Tags geo_src und geo_dst an.
Diese Symptome treten nur nach einem Neustart der Firebox oder einem Fireware-Upgrade auf. Dieses Problem betrifft nicht Fireware v12.10.4 und niedriger.
Wer vor kurzem ein Upgrade auf Fireware v12.11 oder v12.11.1 durchgeführt hat und glaubt, betroffen zu sein, für den ist ein Patch für Fireware v12.11.1 verfügbar. Er soll sich an den technischen Support von WatchGuard wenden. Wie schrieb der Leser: „Ich weiß das die Geolocation keinen 100% Schutz geben kann, aber einen weiteren guten Schutz bereitstellt.“
Moin,
dies betrifft auch die T45 in der entsprechenden Version. Die T20/T25/T40 hingegen scheinen davon nicht betroffen zu sein. Das versteh wer will.
Gruß
Daniel
Das betrifft potentiell alle WG Firewalls mit der entsprechenden Firmware, wir haben gerade einen Upgrade Link mit Dateien für alle Firewall Modelle bekommen. Danke für den Hinweis!
Wir haben einen T80-Cluster. Schaue ich mir einmal an. Danke für den Hinweis.