Notas de lanzamiento de Fireware XTM v11.5.1
Introducción
El 13 de diciembre, WatchGuard lanzó una versión actualizada de WatchGuard System Manager v11.5.1 Esta actualización, llamada WatchGuard System Manager v11.5.1 Update 1 (número de compilación 331994), parcha dos vulnerabilidades de XSS reportadas de manera privada en el Log and Report Server de WSM 11.5.1. (En general, las fallas XSS le permiten a los atacantes escalar privilegios en el explorador de la víctima, entre ellos, la posibilidad de ejecutar scripts u otros códigos). Estas vulnerabilidades no le permiten al atacante acceder a su dispositivo XTM o modificar reglas de firewall; sin embargo, podrían permitirle acceder de manera no autorizada a su equipo.
Actualización 2 incluye todos los cambios de la Actualización 1.
Agradecemos a Wayne Murphy de Sec-1 por su informe sobre las fallas XSS.
WatchGuard se complace en anunciar el lanzamiento general de Fireware XTM v11.5.1 y WatchGuard System Manager v11.5.1. Puede instalar el sistema operativo Fireware XTM v11.5.1 en cualquier dispositivo WatchGuard XTM, incluidos el 2 Series, el nuevo XTM 330, el 5 Series, el 8 Series, el XTM 1050 y el nuevo dispositivo XTM 2050.
Aquí se enumeran los puntos más destacados del conjunto completo de las nuevas funciones de Fireware XTM v11.5.1.
Presentación de la nueva Web UI del Log and Report Manager
La nueva Web UI del Log and Report Manager reemplaza al LogViewer, al Report Manager y a la ayuda de la Reporting Web UI con una única interfaz de usuario basada en la web, que es rápida y fácil de usar. Obtenga más información más adelante en estas notas de versión. Otras nuevas funciones de registros e informes incluyen:
- Integración automatizada de WatchGuard Reports con ConnectWise: registre sus dispositivos XTM con un servidor ConnectWise y obtenga informes automatizados de ancho de banda, de intrusión, de sitios filtrados y de sitios importantes.
- Mensajes de registro ahora almacenados con marca de tiempo UTC: La marca de tiempo de un mensaje de registro almacenado en la base de datos del Log Server es ahora la marca de tiempo del mensaje de registro y no el horario en que el mensaje de registro llegó al Log Server. Para aprovechar esta función, debe actualizar su Log and Report Service a v11.5.1. Consulte las secciones "Detalles para la actualización de Log Server" y "Detalles para la actualización de Report Server" más adelante en estas notas de versión para obtener información importante acerca de la actualización para esta función.
Nuevas funciones de red
- Soporte para Mobile VPN with IPSec para los dispositivos del sistema operativo de Mac, Apple® iPad, iPhone, y iPod touch. Para obtener más información, consulte este tema de ayuda.
- Mobile VPN with SSL para clientes Mac con soporte para 64 bits.
- Soporte mejorado de Dynamic Routing: incluye el soporte para dynamic routing en un FireCluster, la validación de configuración y una actualización "detrás de escena" para el paquete Quagga dynamic routing de código abierto.
- Soporte para funciones de red IPv6 clave: con Fireware XTM v11.5.1, agregamos soporte para la configuración estática de direcciones IP IPv6 en todas las interfaces de red de XTM, anuncios del enrutador para la configuración automática de direcciones sin estado y la capacidad de agregar rutas estáticas y servidores DNS/WINS utilizando direcciones IPv6. Esta versión valida el correcto funcionamiento de las capacidades IPv6 de red. No proporciona funcionalidad firewall para el tráfico IPv6, pero es la base para configurar el firewall de IPv6 en próximas versiones. Los próximos lanzamientos incluirán funcionalidad IPv6 más avanzada, incluidos ID del túnel, DHCP, funciones de seguridad en IPv6 nativa y otros servicios de seguridad.
Proxy SMTP mejorado para cifrado TLS
El proxy SMTP ahora puede imponer la autenticación cifrada de usuarios y el cifrado del contenido completo del mensaje.
Nuevas funciones en Centralized Management
- Ahora puede realizar configuraciones heredadas para servidores de autenticación y para usuarios y grupos autorizados.
- Nueva funcionalidad de búsqueda agregada para ayudarlo a encontrar dispositivos administrados rápidamente.
Inicio de sesión único sin cliente
Con Fireware XTM v11.5.1 podrá mejorar la precisión del Inicio de sesión único sin tener que instalar el software SSO Client en todos sus equipos. El paquete Agente de inicio de sesión único incluye una nueva herramienta Event Log Monitor, que, cuando se instala en un controlador de dominio para cada dominio, consigue credenciales de usuario correctas para todos los usuarios que inician sesión en cualquiera de sus dominios.
Soporte de FIPS
Cuando utiliza Fireware XTM v11.5.1, los dispositivos WatchGuard XTM ahora cumplen los requisitos generales de la publicación FIPS 140-2, Seguridad Nivel 2, cuando se configuran de un modo acorde con los lineamientos FIPS.
Además de estas increíbles funciones nuevas, nos complace lanzar una gran cantidad de correcciones de errores que se agregan a nuestra base de clientes actual. Para obtener más información, consulte la sección Problema solucionado más adelante en estas notas de versión.
Para obtener más información acerca de las mejoras de las funciones incluidas en Fireware XTM v11.5.1., consulte las Novedades en Fireware XTM v11.5.1.
Antes de empezar
Antes de instalar este lanzamiento, asegúrese de tener los siguientes requisitos:
- Un dispositivo de WatchGuard XTM 2 Series, 3 Series, 5 Series, 8 Series, XTM 1050 o XTM 2050.
- Los componentes de hardware y software requeridos se muestran a continuación.
- Tecla de función para su dispositivo XTM: Si actualiza su dispositivo XTM desde una versión de sistema operativo Fireware XTM anterior, puede utilizar su tecla de función existente.
Tenga en cuenta que puede instalar y utilizar WatchGuard System Manager v11.5.1 y todos los componentes del servidor WSM con dispositivos que funcionan con versiones anteriores de Fireware XTM v11. En este caso, le recomendamos que utilice la documentación del producto que coincida con su versión de sistema operativo Fireware XTM.
La documentación para este producto está disponible en el sitio web de WatchGuard en www.watchguard.com/help/documentation.
Localización
Las interfaces de usuario de administración de Fireware XTM (conjunto de aplicaciones de WSM y la Web UI) han sido localizadas para el lanzamiento de v11.5.1. Los idiomas admitidos son:
- Chino (simplificado, República Popular China [PRC])
- Francés (Francia)
- Japonés
- Español (Latinoamericano)
Además de estos idiomas, ofrecemos el soporte de la Web UI localizada para coreano y chino tradicional con el lanzamiento v11.5.1. Sólo la Web UI en sí misma ha sido localizada. WSM y todos los archivos de ayuda y la documentación del usuario permanecen en inglés en el caso de estos dos idiomas.
Tenga en cuenta que la mayor parte de la entrada de datos aún debe realizarse utilizando caracteres estándares del Código Estándar Estadounidense para el Intercambio de Información (ASCII). Puede utilizar otros caracteres que no sean del ASCII en algunas áreas de la interfaz de usuario (UI), entre ellas:
- Deny message del servidor proxy;
- título, términos y condiciones, y mensaje del hotspot inalámbrico; y
- usuarios, grupos y nombres de roles de WatchGuard Server Center.
Los datos enviados desde el sistema operativo del dispositivo (p. ej., datos de registro) se muestran sólo en inglés. Además, todos los elementos del menú Estado del Sistema de la Web UI y los componentes de software provistos por compañías externas quedan en inglés.
Fireware XTM Web UI
La Web UI se iniciará en el idioma que haya configurado en su explorador web de manera predeterminada. El nombre del idioma seleccionado actualmente se muestra en la parte superior de cada página. Para cambiar a un idioma diferente, haga clic en el nombre del idioma que aparece. Aparecerá una lista desplegable de idiomas y allí puede seleccionar el que desea utilizar.
WatchGuard System Manager
Cuando instala WSM, puede elegir qué paquetes de idiomas desea instalar. El idioma que se muestra en WSM coincidirá con el idioma que seleccione en su entorno de Microsoft Windows. Por ejemplo, si utiliza Windows XP y desea WSM en japonés, ingrese en Panel de control> Opciones regionales y de idioma, y seleccione Japonés de la lista de idiomas.
Log and Report Manager, CA Manager, Quarantine Web UI y hotspot inalámbrico
Estas páginas web se muestran automáticamente en la preferencia de idioma que ha configurado en su explorador web.
Compatibilidad del sistema operativo Fireware XTM y WSM v11.5.1
*Soporte para Microsoft Windows Server 2008 32 bits y 64 bits; soporte para Windows Server 2008 R2 64 bits.
* * El soporte de Terminal Services con autenticación manual funciona en entornos Microsoft Terminal Services o Citrix XenApp 4.5, 5.0, 6.0 y 6.5.
*** Se necesita Microsoft Windows Server 2003 SP2.
Requisitos del sistema
Cómo descargar software
- Inicie sesión en el portal de WatchGuard y seleccionar la pestaña Articles (Artículos)& Software.
- Desde la sección Search (Búsqueda), desmarque la casilla de selección Articles (Artículos) y busque las descargas de software disponibles. Seleccione el dispositivo XTM para el que desea descargar el software.
Hay varios archivos de software disponibles para descargar. Vea las descripciones a continuación para saber qué paquetes de software necesitará para su actualización.
WatchGuard System Manager
Todos los usuarios ahora pueden descargar el software de WatchGuard System Manager. Con este paquete de software, puede instalar WSM y el software de WatchGuard Server Center:
WSM11_5_1s.exe: utilice este archivo para actualizar WatchGuard System Manager de v11.x a WSM v11.5.1
Sistema operativo Fireware XTM
Seleccione la imagen del sistema operativo Fireware XTM correcta para su hardware. Descargue el archivo .exe si va a instalar el sistema operativo desde una computadora que se ejecuta con un sistema operativo Microsoft Windows. Utilice el archivo .zip si va a instalar el sistema operativo desde una computadora que se ejecuta con un sistema operativo distinto a Windows.
Software de Inicio de Sesión Único
Hay dos archivos disponibles para descargar si utiliza el Inicio de sesión único:
- WG-Authentication-Gateway.exe (software del SSO Agent: es necesario para el Inicio de sesión único e incluye Event Log Monitor opcional para el SSO sin cliente)
- WG-Authentication-Client.msi (software SSO Client, opcional)
Para obtener información sobre cómo instalar y configurar Single Sign-on, vea la documentación del producto.
Software de autenticación de Terminal Services
- TO_AGENT_32_11_5_1.exe (soporte para 32 bits)
- TO_AGENT_64_11_5_1.exe (soporte para 64 bits)
Cliente de Mobile VPN with SSL para Windows y Macintosh
Hay dos archivos disponibles para descargar si utiliza Mobile VPN with SSL:
- WG-MVPN-SSL_11_5_1.exe (Software cliente para Windows)
- WG-MVPN-SSL_11_5_1.dmg (Software cliente para Mac)
Cliente Mobile VPN with IPSec para Windows
Puede descargar el nuevo cliente Shrew Soft VPN para Windows desde nuestro sitio web. Para obtener más información acerca del cliente Shrew Soft VPN, consulte la ayuda o visite el sitio web de Shrew Soft, Inc..
Actualización de Fireware XTM v11.x a v11.5.1
Antes de realizar la actualización de Fireware XTM v11.x a Fireware XTM v11.5.1, descargue y guarde el archivo del sistema operativo de Fireware XTM que coincida con el dispositivo WatchGuard que desea actualizar. Puede encontrar todo el software disponible en la pestaña Articles (Artículos) Software &del portal de WatchGuard. Puede utilizar Policy Manager o la Web UI para finalizar el procedimiento de actualización. Le recomendamos enfáticamente que realice una copia de seguridad de la configuración de su dispositivo, la configuración de su WatchGuard Management Server Y sus bases de datos de Log Server y Report Server antes de realizar la actualización. No se puede regresar a la versión anterior sin estos dos archivos de respaldo.
Realice una copia de respaldo de su configuración de WatchGuard Management Server
Desde la computadora donde instaló el Management Server:
- En WatchGuard Server Center, seleccione File (Archivo)> Backup/Restore (Copia de seguridad/Restablecer).
Se inicia el WatchGuard Server Center Backup/Restore Wizard.
- Haga clic en Siguiente.
Aparece la pantalla Seleccionar una acción.
- Seleccione Configuraciones de respaldo.
- Haga clic en Siguiente.
Aparece la pantalla Especificar un archivo de respaldo.
- Haga clic en Browse (Navegar) para seleccionar una ubicación para el archivo de copia de seguridad. Asegúrese de guardar el archivo de configuración en una ubicación a la que pueda acceder posteriormente para restablecer la configuración.
- Haga clic en Siguiente.
Aparece la pantalla WatchGuard Server Center Backup/Restore Wizard ha finalizado.
- Para salir del asistente, haga clic en Finalizar.
Realice una copia de respaldo de su Log Server, Servidor de Reportes, Quarantine Server
Como la estructura de la base de datos de Log Server y de Report Server cambia cuando se realiza la actualización a WSM v11.5.1, es importante que realice una copia de seguridad de los datos de Log y Report Server por si desea regresar a una versión anterior. También es recomendable realizar una copia de seguridad de su Quarantine Server, si utiliza uno.
- Desde WatchGuard Server Center, tome nota de la ruta del directorio en la cual está instalada la base de datos del Log Server y del Servidor de Reportes. Luego, detenga todos los servidores.
- Desde Panel de control > Herramientas administrativas > Servicios, detenga el servidor PostgreSQL-8.2.
- Realice una copia de respaldo o una copia estándar de los contenidos del directorio que contiene la configuración del Log Server y del Servidor de Reportes.
En Windows XP SP2 o Windows Server 2003, si aceptó la instalación predeterminada, la base de datos del Log Server y del Servidor de Reportes estarán en esta ubicación:
%SYSTEMDRIVE%\Documents and Settings\WatchGuard
En Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, si aceptó la instalación predeterminada, las bases de datos de Log Server y Report Server estarán en esta ubicación:
%SYSTEMDRIVE%\ProgramData\WatchGuard
- Realice una copia de respaldo del directorio de la base de datos del Log Server y del Servidor de Reportes, si fueron cambiados de la configuración predeterminada. Puede encontrar las ubicaciones de las bases de datos en WatchGuard Server Center en las pestañas Database Maintenance (Mantenimiento de bases de datos) de Log Server y Report Server. De manera predeterminada, la base de datos se encuentra en el directorio mencionado en el Paso 3 y este paso no es necesario.
- Realice una copia de respaldo del directorio del Log Server en donde están almacenados los archivos de respaldo de la base de datos, si esto fue cambiado de la configuración predeterminada. La pestaña Database Maintenance (Mantenimiento de bases de datos) de Log Server muestra esta ruta de directorio.
- Realice una copia de respaldo del directorio del Servidor de Reportes donde se almacenan los archivos XML para los Informes disponibles, si esto se cambió desde la configuración predeterminada. La pestaña Server Settings (Configuración del servidor) de Report Server muestra esta ruta de directorio.
Actualización a Fireware XTM v11.5.1 desde la Web UI
- Ingrese a System (Sistema) >Backup Image (Imagen de copia de seguridad) o utilice la función de copia de seguridad en unidad USB para realizar una copia de seguridad de su archivo de configuración actual.
- En su equipo de administración, inicie el archivo del sistema operativo que descargó del Centro de Descargas de Software de WatchGuard.
Si utiliza el instalador basado en Windows, esta instalación extrae un archivo de actualización llamado [xtm series]_[product code].sysa-dl l a la ubicación predeterminada de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model].
- Conéctese a su dispositivo XTM con la Web UI y seleccione System (Sistema) >Upgrade OS (Actualizar sistema operativo).
- Busque la ubicación del [xtm series]_[product code].sysa-dl del Paso 2 y haga clic en Upgrade (Actualizar).
Actualización a Fireware XTM v11.5.1 desde WSM/Policy Manager v11.x
- Seleccione File (Archivo) >Backup (Copia de seguridad) o utilice la función copia de seguridad en unidad USB para realizar una copia de seguridad de su archivo de configuración actual.
- En su equipo de administración, inicie el archivo ejecutable del sistema operativo que descargó del portal de WatchGuard. Esta instalación extrae un archivo de actualización llamado [xtm series]_[product code].sysa-dl l en la ubicación predeterminada de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model].
- Instale y abra WatchGuard System Manager v11.5.1 Conéctese al dispositivo XTM e inicie Policy Manager.
- Desde Policy Manager, seleccione File (Archivo) > Upgrade (Actualizar). Cuando se lo solicite, busque y seleccione el archivo [xtm series]_[product code].sysa-dl del Paso 2.
Información general para actualizaciones del software del servidor de WatchGuard
No es necesario desinstalar su software cliente o servidor v11.x cuando realiza la actualización de v11.0.1 o superior a WSM v11.5.1. Puede instalar el software cliente y el software servidor v11.5.1 encima de su instalación existente para actualizar sus componentes de software de WatchGuard. Si utiliza una base de datos externa de PostgreSQL, recomendamos que realice la actualización a la última versión menor de lanzamiento del servidor PostgreSQL que utiliza o que se asegure de que la versión que utiliza es actual para su zona horaria antes de actualizar. Durante las actualizaciones de Log Server y Report Server, las marcas de tiempo de los datos de registros e informes existentes se convertirán a la UTC de la zona horaria local. A continuación, se enumeran los detalles específicos de lo que puede esperar con cada actualización:
Detalles de actualización de Log Server
- Migración de UTC realizada desde los datos más actuales en su base de datos hasta los datos más antiguos. La conversión a UTC puede demorar un tiempo prolongado si tiene una gran cantidad de datos en su base de datos.
- No aparecerán datos en la Web UI del Log and Report Manager hasta que haya sido migrada.
- Si tiene la opción notificación de falla habilitada, el Log Server enviará una notificación por correo electrónico cuando la migración comience y cuando finalice, además de otra notificación si ocurre un error.
- Si detiene el Log Server durante la migración, la migración continuará automáticamente cuando reinicie el Log Server.
- Durante la migración, el Report Server no puede acceder a ninguno de los datos del registro.
- Puede utilizar el WSM v11.4 o LogViewer anterior con un Log Server v11.5.1.
- Si configuró su Log Server para utilizar una base de datos externa de PostgreSQL, asegúrese de realizar una actualización a la última versión menor de lanzamiento del servidor PostgreSQL que utiliza o asegúrese de que la versión que utiliza sea actual para su zona horaria antes de actualizar. Esto ocurre de manera automática para las configuraciones de bases de datos de Log Server como parte del proceso de instalación de Log Server.
Detalles de actualización de Report Server
- La conversión a UTC puede demorar un tiempo prolongado si tiene una gran cantidad de datos en su base de datos de Report Server.
- Si tiene la opción notificación de falla habilitada, el Report Server enviará una notificación por correo electrónico cuando la migración comience y cuando finalice, además de otra notificación si ocurre un error.
- Durante la migración, el Report Server no puede acceder a ninguno de los datos del registro. No hay informes a pedido disponibles hasta que finaliza la migración de UTC. La mayoría de los informes archivados existentes permanecerán disponibles y las marcas de tiempo en los informes archivados existentes no se actualizarán a UTC.
- Si detiene el Report Server durante la migración, la migración continuará automáticamente cuando reinicie el Report Server.
- No puede utilizar un Report Server v11.5.1 con Log Servers que ejecutan una versión anterior del software. Debe utilizar Log Server v11.5.1 y la Web UI nueva de Log and Report Manager v11.5.1.
Actualizar FireCluster de Fireware XTM v11.x a v11.5.1
Hay dos métodos para actualizar el sistema operativo de Fireware XTM en su FireCluster. El método que le corresponde usar depende de la versión de Fireware XTM que está usando actualmente.
Actualización de FireCluster desde Fireware XTM v11.4.x
Utilice estos pasos para actualizar un FireCluster de Fireware XTM v.11.4.x a Fireware XTM v11.5.1:
- Abra el archivo de configuración del clúster en el Policy Manager
- Seleccione File (Archivo) > Upgrade (Actualizar).
- Ingrese la contraseña de configuración.
- Ingrese o seleccione la ubicación del archivo de actualización.
- Para crear una imagen de respaldo, seleccione Sí.
Aparece una lista de los miembros del clúster.
- Seleccione la casilla de selección para cada dispositivo que desee actualizar.
Aparece un mensaje cuando la actualización de cada dispositivo esté concluida.
Cuando la actualización está concluida, cada miembro del clúster se reinicia y se reintegra al clúster. Si actualiza ambos dispositivos en el clúster a la vez, los dispositivos se actualizan de a uno por vez. El propósito de esto es asegurar que no haya una interrupción en el acceso de red al momento de la actualización.
El Policy Manager actualiza primero el clúster principal de respaldo. Cuando la actualización del primer miembro está concluida, este dispositivo se convierte en el nuevo clúster principal. Entonces, el Policy Manager actualiza el segundo dispositivo.
Para realizar la actualización desde una ubicación remota, asegúrese de que la interfaz de FireCluster para la dirección IP de administración esté configurada en la interfaz externa y que las direcciones IP de administración sean públicas y enrutables. Para más información, vea Acerca de la interfaz para dirección IP de administración.
Actualización de FireCluster desde Fireware XTM v11.3.x
Para actualizar un FireCluster de Fireware XTM v11.3.x a Fireware XTM v11.5.1, debe realizar una actualización manual. Para conocer los pasos para la actualización manual, consulte el artículo base de consultaActualización del sistema operativo de Fireware XTM para un FireCluster.
Instrucciones de instalación de una versión anterior
Regresar de WSM v11.5.1 a WSM v11.x.
Si desea regresar de v11.5.1 a una versión anterior de WSM, debe desinstalar WSM v11.5.1. Cuando desinstala, elija Yes (Sí) cuando el desinstalador le pregunte si desea eliminar los archivos de datos y de configuración del servidor. Después de eliminar los archivos de datos y de configuración del servidor, debe restablecer los archivos de datos y de configuración del servidor que guardó en una copia de seguridad antes de realizar la actualización a WSM v11.5.1.
A continuación, instale la misma versión de WSM que utilizó antes de realizar la actualización a WSM v11.5.1. El instalador debería detectar su configuración del servidor actual e intentar restablecer sus servidores desde el cuadro de diálogo Finish (Finalizar). Si utiliza un WatchGuard Management Server, utilice el WatchGuard Server Center para restablecer la configuración del Management Server de respaldo que creó antes de realizar la actualización a WSM v11.5.1 por primera vez. Verifique que todos los servidores WatchGuard estén en funcionamiento.
No puede regresar un XTM 2050 o un XTM 330 a una versión de sistema operativo Fireware XTM anterior a v11.5.1.
Regresar de Fireware XTM v11.5.1 a Fireware XTM v11.x
Si desea regresar de Fireware XTM v11.5.1 a una versión anterior de Fireware XTM, puede:
- Restablecer la imagen de respaldo completa que creó cuando realizó la actualización a Fireware XTM v11.5.1 para completar el regreso a la versión anterior; o
- utilizar el archivo de respaldo USB que creó antes de realizar la actualización como su imagen de restablecimiento automático, y luego iniciar sesión en modo de recuperación con la unidad USB conectada a su dispositivo.
Para iniciar un dispositivo WatchGuard XTM 330, 5 Series, 8 Series, XTM 1050 o XTM 2050 en modo de recuperación:
- Apague el dispositivo XTM.
- Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
- Mantenga el botón presionado hasta que aparezca "Iniciando Modo de Recuperación" en la pantalla LCD.
Para iniciar un dispositivo WatchGuard XTM 2 Series en modo de recuperación:
- Desconecte la alimentación.
- Presione y sostenga el botón Restablecer en la parte posterior mientras conecta la alimentación al dispositivo.
- Mantenga el botón presionado hasta que la luz Attn en la parte delantera se ilumine de color naranja.
Web UI de Log and Report Manager
Con el lanzamiento de WatchGuard System Manager v11.5.1, nos complace presentar una importante actualización para las herramientas de visualización de registros e informes. La funcionalidad de LogViewer, Report Manager y la ayuda de las herramientas Reporting Web UI se fusionaron en la nueva web UI del Log and Report Manager. La funcionalidad de estas tres importantes herramientas de visualización se encuentra ahora disponible en una interfaz única que está creada dinámica mente para usted, en base a sus derechos de acceso de usuario y el tipo de servidor de WatchGuard que instaló.
Cambios a la herramienta de visualización de registros
El componente de visualización de registros actualizado ofrece un rendimiento mejorado, que incluye un alto rendimiento en la funcionalidad de exportación de datos. La nueva herramienta también incluye visualización de frecuencia de registros. Las siguientes subfunciones de la pre-v11.5.1 de LogViewer no pasaron a la nueva Web UI del Log and Report Manager:
- La capacidad para "Guardar selección como..." .html, .pdf, o .xml desde Log and Report Manager. Puede guardar mensajes de registro en un archivo .csv desde el menú Actions (Acciones) >Export Logs (Exportar registros).
- La capacidad para "Enviar selección como..." .csv o .pdf, directamente desde Log and Report Manager. Puede utilizar su programa de correo electrónico preferido para enviar manualmente el archivo .csv exportado.
- La capacidad para "Exportar datos seleccionados" a formato base de datos sqlite o para "Importar datos" desde una base de datos sqlite con Log and Report Manager. Puede utilizar su Log Server para exportar datos.
- El Search Manager y las opciones de búsqueda avanzada también fueron criticadas, y reemplazadas por una funcionalidad de búsqueda fácil de utilizar que realiza búsquedas de texto completas en el tipo de registro y rango de tiempo seleccionados.
Cambios en la herramienta de visualización de informes
La funcionalidad mejorada de la herramienta de visualización de informes incluye la capacidad de realizar análisis detallados de datos de informe e introduce tablas dinámicas. La Web UI de Log and Report Manager está diseñada para brindarle una experiencia de generación de informes interactivos, no para generar contenido de informes estáticos. El Report Server, sin embargo, continuará admitiendo la generación de informes .html y .pdf estáticos. Debido a esto, las siguientes opciones no pasaron a la nueva Web UI de Log and Report Manager:
- La capacidad de "Guardar como..." archivo de formato .csv, .html o .pdf directamente desde Log and Report Manager. Tenga en cuenta que puede guardar informes resumen directamente en formato .pdf.
- La capacidad de "Enviar a..." una dirección de correo electrónico.
- Se eliminó la opción filtro de informes disponible en algunos tipos de informes.
Cambios en la herramienta de visualización de informes de usuario
La ayuda de la Reporting Web UI ha sido completamente reemplazada por la nueva Web UI del Log and Report Manager. Puede utilizar esta nueva herramienta para brindarle acceso a los informes a sus usuarios. La capacidad de agregar colores y logo personalizados ha sido desaprobada con esta versión.
Para obtener más información acerca de la funcionalidad de la nueva Web UI del Log and Report Manager, consulte la ayuda de WatchGuard System Manager.
Problemas solucionados
El lanzamiento de Fireware XTM v11.5.1 soluciona varios problemas hallados en los lanzamientos anteriores de Fireware XTM v11.x.
General
- Una gran cantidad de usuarios autenticados conectados a través de FireCluster ya no causa inestabilidad en el dispositivo. [62343]
- El proceso Loggerd y wgif_static otros procesos ya no hacen un uso elevado de su CPU cuando se configura en modo de WAN múltiple para utilizar nombre de dominio para el monitoreo de una interfaz externa. [61510]
- Se ha mejorado la estabilidad del proceso Loggerd. [63836]
- Se ha solucionado un problema que ocurría después de ejecutar servicios de suscripción durante un tiempo prolongado y que provocaban que WSM no pudiera administrar el dispositivo y hacer copia de seguridad. [62966]
- Se ha mejorado la información de la zona horaria. Fireware XTM ahora admite las tres zonas horarias para ahorro de energía eléctrica de Brasil y corrige la zona horaria de Argentina. [59983, 58137, 62233]
- Las solicitudes de DNS ya no utilizan el mismo puerto de origen. Esto solucionó una vulnerabilidad descrita en VU#800113. [56866]
- El proceso GRED ya no se bloquea con frecuencia. [61986, 60104, 59905]
- La luz de estado en los dispositivos XTM 2 Series ahora se iluminará durante 30 segundos cuando se establece una conexión de administración. [59065]
- Se ha solucionado un bloqueo aleatorio con el mensaje de error "EIP: f8ced295". [57523]
- El dispositivo XTM ahora acepta el /32 subnet mask en entradas a sitios bloqueados. [59737]
- El tráfico ya no se detiene en el XTM 830 o en el XTM 1050 luego de un inesperado aumento de tráfico del proxy. [63468]
Redes
- Si se configura más de una interfaz externa en un dispositivo XTM sin una actualización de Fireware XTM Pro, el dispositivo ya no intenta hacer monitoreos de enlace de WAN múltiple de las interfaces externas. [60228]
- En una configuración de WAN múltiple, si dos interfaces externas configuradas para utilizar PPPoE usan la misma puerta de enlace predeterminada, ya no se desactiva una interfaz externa luego de un período de tiempo. [61147]
- En una configuración de WAN múltiple, si dos interfaces externas configuradas para utilizar DHCP usan la misma puerta de enlace predeterminada, ya no se desactiva una interfaz externa luego de un período de tiempo. [61152]
- En una configuración de WAN múltiple en que una interfaz está configurada como PPPoE y la segunda interfaz está conectada a un dispositivo WatchGuard 3G Extend, la interfaz externa conectada al 3G Extend ya no muestra fallas en el estado de interfaz luego de un período de tiempo. [61511]
- Un gran número de paquetes TCP SYN ya no ocasionan que el estado de una interfaz externa aparezca marcado como desactivado. [60606]
- La cantidad de sesiones de usuarios autenticados en un XTM 1050 ya no se limita a 1000 sesiones. [61916]
- Esta versión soluciona un problema que podría causar que la retransmisión de DHCP falle a través de un túnel VPN de sucursal con el dispositivo PPPoE. [41702]
- Los ataques de tipo FTP bounce ahora son bloqueados por la política de filtrado de paquetes FTP. [60278]
- Cuando configura un alias que tiene múltiples direcciones IP en la red de confianza y luego utiliza ese alias en una entrada NAT dinámica, NAT dinámica ahora funciona para todas las direcciones configuradas en el alias. [41700]
- Cuando utiliza un PPPoE estático, ahora la configuración puede admitir que el dispositivo XTM acepte una dirección IP diferente enviada por el servidor. [61930]
- Ahora puede configurar la administración de tráfico y QoS para un dispositivo XTM configurado en modo puente. [62259]
Servidores proxy
- Esta versión incluye numerosas mejoras en la estabilidad del proxy. [62693,62925,62934,63107,63222,62104, 58076, 63566, 61492, 62423, 62345, 62451]
- Esta versión presenta una funcionalidad TCP Selective ACK mejorada para servidores proxy. La funcionalidad Selective ACK mejorada debería evitar que los informes con descargas de archivos grandes se atasquen debido al tráfico HTTP y FTP sin puertas de enlace AV o IPS. Las mejoras de Selective ACK también pueden permitir una mayor velocidad del proxy en redes inestables, de poca confiabilidad y alta latencia. [60249, 42691, 60422, 39876, 39150, 60943]
- Los usuarios ya no reciben correos electrónicos que contienen grandes archivos de virus. [61620]
- Las conexiones telefónicas de la PC que se dejan en espera antes de cortar, ahora se cierran cuando se corta. [59374]
- Las llamadas entrantes que utilizan Dialogic Diva SoftIP ahora tienen audio de dos vías. [58054]
- 1 a 1 NAT con SIP-ALG ahora funciona correctamente. [61009]
- Para evitar la violación del estándar RFC5321, los espacios después de los dos puntos en los comandos SMTP ahora se eliminan. [63867]
- La opción proxy SMTP ESMTP BDAT ahora funciona correctamente. [59850]
- Esta versión presenta soporte para SMTP seguro por TLS. [3755]
- Las descargas FTP parciales (REST), las cargas FTP y las transferencias FTP de determinados archivos .xls ahora funcionan correctamente cuando la puerta de enlace AV está habilitada. [60933, 63009, 57440]
- Ahora se pueden mostrar los sitios web que no admiten el nivel de TLS solicitado por el explorador web. [59831]
- La lógica de eliminación de conexiones proxy mejoró para eliminar ciertas conexiones de mala calidad más rápidamente. [60378]
- Un engañoso mensaje de registro acerca de agregarse a un sitio bloqueado durante -1 segundo se corrigió y ahora aparece un mensaje que indica "60 min". [60061]
- Se han corregido varios problemas que generaban el error "falla al abrir el trabajo" en la puerta de enlace AV.[56182, 61807]
- Cuando se configura HTTPS con WebBlocker habilitado para bloquear la categoría Descargar, las conexiones denegadas basadas en certificados de sitio web ahora se pueden ejecutar correctamente con un comodín para bloquear los sitios web. [60401]
- Los niveles de registro de diagnóstico ahora se pueden configurar en el nivel de acción de proxy.
FireCluster
- Se ha solucionado un problema que hacía que un FireCluster activo/activo enviara excesivas solicitudes ARP a los hosts a los cuales les enviaba paquetes. [62358]
- Ya no es necesario reiniciar los dispositivos en su FireCluster después de una conmutación por error de FireCluster para que los certificados de terceros entren en vigencia. [62518]
- Se ha solucionado una pérdida de memoria en el certificado de demonio que algunos clientes experimentaban cuando configuraban un FireCluster. [60609]
- Un dispositivo XTM configurado como parte de un FireCluster activo/activo o activo/pasivo ahora se puede configurar para dynamic routing. [39442]
- Se ha solucionado un problema que provocaba que el tráfico 1 a 1 NAT se viera afectado en un FireCluster cuando no se regresaba la dirección MAC virtual en la respuesta ARP. [60036]
Mobile VPN with SSL
- Mobile VPN with SSL ahora funciona con la autenticación RADIUS factor 2 con una contraseña de un solo uso. [63360]
- Los intentos de conexiones y autenticación de Mobile VPN with SSL ya no fallan aleatoriamente a través de un dispositivo XTM que es miembro de un FireCluster activo/pasivo. [61858, 61267]
- El cliente Mobile VPN with SSL para Mac ahora puede utilizar sus propios servidores DNS, además de los servidores DNS asignados para VPN. [60872]
- Mobile VPN with SSL para Mac ahora funciona correctamente con servidores de autenticación externos. [61597]
- El cliente Mobile VPN with SSL para Windows ahora funciona correctamente en el sistema operativo German Windows XP. [56323]
- Cuando desconecta una conexión de un cliente Mobile VPN with SSL para Mac, la interfaz AirPort ya no se desactiva. [39914]
- Las conexiones de autenticación de Mobile VPN with SSL ya no provocan un pico en el uso del CPU en el dispositivo XTM. [56592]
- Ya no se pierde una segunda conexión de Mobile VPN with SSL cuando el primer usuario Mobile VPN con SSL intenta descargar el software cliente desde un dispositivo XTM. [59795]
- Las conexiones Mobile VPN with SSL a una dirección IP XTM secundaria ahora funcionan correctamente para las conexiones TCP y las conexiones UDP. [60015]
- Esta versión presenta soporte para el cliente Mobile VPN with SSL Mac con Mac OSX v10.6 y 10.7 de 64 bits. [61727]
Mobile VPN with IPSec
- Esta versión presenta soporte para Mobile VPN with IPSec para el cliente Cisco IPSec incluido en iPhones y iPads. [41602]
- El cliente Shrew Soft IPSec ahora funciona correctamente con una configuración de cliente generada mediante la Fireware XTM Web UI. [63881]
- Ya no se le asignan al cliente Shrew Soft IPSec direcciones IP que están fuera del grupo IP virtual configurado. [63213]
Mobile VPN with PPTP
- Las conexiones Mobile VPN with PPTP 3G iOS a los dispositivos XTM ahora funcionan correctamente. [61638]
Branch Office VPN
- Los túneles VPN de sucursal que utilizan un certificado IPSec ahora funcionan correctamente, luego de un actualización desde v11.3.2. [62019]
- Cuando establece la caducidad de la SA de Fase 2 en cero al configurar los valores de caducidad y tamaño real en 0, el dispositivo XTM ya no cambia la caducidad de reingreso de clave a 8 horas. [37209]
- Los túneles VPN de sucursal con configuraciones con certificado ahora pueden establecerse con éxito. [62019]
- Los túneles VPN de sucursal entre dos dispositivos XTM configurados en modo directo de red ahora funcionan correctamente. [61899]
Autenticación
- Esta versión proporciona una mejora significativa al rendimiento de la autenticación cuando varios usuarios se autentican en la base de datos de autenticación de Firebox al mismo tiempo. [61760]
- El tamaño máximo del nombre de un grupo Active Directory se ha incrementado de 31 a 42 caracteres. [60909, 58570]
- El dispositivo XTM ya no envía solicitudes de autenticación por duplicado a un servidor RADIUS. [42164]
- Esta versión incluye soporte para Terminal Services para Citrix XenApp 6.0 y 6.5, para Microsoft Terminal Services y para Citrix XenApp 4.5 y 5.0. [61124]
- El sistema automático y no atendido, y los servicios de actualizaciones ahora funcionan correctamente con la autenticación de Terminal Services [59247]
- Después de cambiar el grupo al que pertenece un usuario de Active Directory en un servidor, el SSO Agent ahora reconoce el cambio en la información del grupo la próxima vez que el usuario inicie sesión en el dominio. [60185]
- Se ha mejorado el soporte Telnet para el SSO Agent, por lo que ahora incluye un comando que puede un administrador puede utilizar para verificar la versión de su software SSO Client que se ejecuta en una dirección IP específica o para todos los SSO Client a los que el agente se encuentra actualmente conectado. [59226]
Management Server
- Las configuraciones heredadas se han actualizado para evitar una situación en la que se pueda aplicar una política incorrecta al tráfico inalámbrico de usuarios invitados. [61906]
- El tráfico de Management Server ahora deriva a una ruta cero de un túnel VPN para que pueda anular una concesión de un dispositivo administrado sin causar un bloqueo en el WSM o fallas en las actualizaciones. [61548, 59788, 55775,61452]
- La generación del perfil de Mobile VPN with IPSec ya no falla luego de que cambia la contraseña del administrador del Management Server. [64203, 59491]
- Ahora puede utilizar nombres de usuario y de grupo en sus plantillas de política de Centralized Management. [57831]
- Esta versión incluye una nueva opción de notificación de Management Server que envía un aviso cuando cambia la dirección IP de un dispositivo administrado con dirección asignada dinámicamente. [59685]
- Los usuarios a los que se les asignan roles de acceso en base a sus roles y que pueden visualizar solo un dispositivo ya no pueden ver túneles VPN administrados para todos los dispositivos. [59556]
- Ha mejorado el rendimiento de Management Server. [63385,63675, 63377, 63292, 63137]
- Las actualizaciones de los dispositivos ya no fallan si los nombres del dispositivo para un túnel superan los 45 caracteres. [62230]
Policy Manager
- Ahora puede agregar un dominio de Active Directory que incluye un guión bajo "_" desde Policy Manager o desde la Web UI. [61237]
- En esta versión, se han solucionado varios problemas que no permitían guardar los archivos de configuración después de una actualización de v10.x a v11.x. [62130, 61815, 61022]
Web UI
- Ahora se pueden administrar políticas en una configuración de dispositivo para la cual no se ha definido una dirección IP de interfaz externa. [64285]
- Los cambios en la configuración de Mobile VPN with SSL ya no afectan a los usuarios que por definición forman parte del grupo SSLVPN. [60994]
- La Web UI y el Policy Manager ahora manejan las VPN de la ruta cero de forma consistente. [61325, 61324]
Servicios de seguridad
- IPS ahora permite la fragmentación normal de paquetes de ICMP con envío exitoso o fragmentación de paquetes. [61813]
- El sitio web de Twitter ya no se carga de manera parcial cuando es rechazado por WebBlocker. [60558]
- El servicio de puerta de enlace A/V ahora detiene virus correctamente, incluso en una descarga FTP en modo pasivo. [60831]
Certificados
- Ahora puede eliminar correctamente las solicitudes de certificado pendientes del Firebox System Manager. [61769]
- Se ha solucionado un problema que generaba un mensaje de error en Firebox System Manager cuando intentaba importar un certificado raíz de CA. [60697]
- El certificado raíz de CA DigNotar ha sido eliminado de la lista CA de confianza. [63246]
Método de autenticación
- El tráfico de clientes inalámbricos conectados con 802.11n (5 Ghz) ya no se interrumpe esporádicamente. [42280]
- Ahora puede cambiar con éxito el horario para la detección de Rogue AP a un horario semanal. [62370]
- Esta versión incluye mejoras en la funcionalidad inalámbrica, lo que se traduce en menos desconexiones de clientes inalámbricos. [57957]
- Ahora puede establecer conexiones inalámbricas con éxito cuando el dispositivo XTM está configurado para utilizar cifrado de clave compartida. [59703]
- En esta versión se ha solucionado una pérdida de memoria que afectaba a los dispositivos XTM 2 Series inalámbricos. [60615]
Generación de registros
- En esta versión se han solucionado varios problemas que impedían la conmutación por error a un segundo Log Server. [63702, 63418]
- La marca de tiempo para un mensaje de registro almacenado en la base de datos del Log Server es ahora la marca de tiempo del propio mensaje de registro y no el horario en que el mensaje de registro llegó al Log Server. [58918]
- Se ha mejorado el proceso de Log Collector para que pueda detectar mejor las condiciones de error y pueda recuperarse mejor cuando ocurran problemas de conexión. [61306]
- Se ha solucionado un problema que provocaba que el Log Server dejara de funcionar en situaciones en que varios clientes de log emiten un gran número de reconexiones a Log Server. [61810, 62360]
- Ahora puede eliminar con éxito un dispositivo XTM de una configuración de Log Server cuando el dispositivo XTM es miembro de un FireCluster directamente desde el WatchGuard Server Center. [61935]
- El Log Server ya no muestra una base de datos de tamaño anormal después de haber establecido como tamaño máximo de la base de datos un valor menor que el tamaño actual. Anteriormente, esto ocurría debido a que el Report Server extraía datos y bloqueaba la operación de eliminación de tabla del Log Server. [62184]
- Los Log servers que utilizan instalaciones PostgreSQL externas ahora funcionan correctamente después de una actualización desde la versión v11.3.2. [59964]
- Los mensajes de registro para los dispositivos XTM configurados en modo puente ahora muestran correctamente la interfaz de origen y de destino. [40997]
- Ahora puede desactivar mensajes de notificaciones de correo electrónico enviados específicamente cuando se alcanza el tamaño máximo de configuración de la base de datos del Log Server. [62327]
- Se ha solucionado un problema que creaba un error "logging_res.loc" cuando se instalaba un Log Server. [39684]
- Los mensajes de notificaciones configurados ahora se envían correctamente cuando falla un evento de la copia de seguridad de la base de datos de un servidor. [61748]
Firebox System Manager (FSM)
- Ahora puede buscar los datos en la pestaña Firebox System Manager Status Report (Informe de estado del Firebox System Manager) con la función estándar "Ctrl-F". [60911]
- Ahora puede exportar una lista de sitios bloqueados a un archivo de texto. Si lo desea, puede importar la lista de sitios bloqueados a un archivo de configuración XTM diferente. [62323]
- Traffic Monitor ya no se bloquea o aparece en blanco cuando el dispositivo XTM recibe tráfico de registros generado para un usuario origen que tiene un "&" en su nombre. [62837]
- Cuando utiliza Traffic Monitor con un dispositivo XTM 2 Series, Traffic Monitor ya no aparece en blanco cuando se producen inicios de sesión simultáneos desde WSM y el CLI. [60993]
- Los totales de conexiones Service Watch por políticaahora son exactos.
Problemas conocidos
Estos son problemas conocidos de Fireware XTM v11.5.1 y todas las aplicaciones de administración. Cuando esté disponible, incluimos una solución para el problema.
General
- Cuando conecta una unidad USB a un dispositivo XTM, el dispositivo no guarda automáticamente una captura de pantalla de soporte en la unidad USB. [64499]
Workaround
Utilice la Command Line Interface de Firewall XTM “USB diagnostic enable” (Habilitar diagnóstico de la unidad USB) para habilitar el dispositivo y guardar una captura de pantalla de soporte de diagnóstico en la unidad USB en un intervalo de tiempo especificado. Para obtener más información acerca de este comando, consulte la Referencia de la Command Line Interface Firewall XTM.
- Cuando configura una NAT dinámica basada en la política con la opción IP de origen, debe agregar la dirección IP de origen como dirección secundaria en la red externa. [64292]
- La versión "Sysb" que aparece en el informe de estado del Firebox System Manager mostrará un espacio en blanco para los modelos XTM 2, 5, 8 y 1050 que fueron fabricados antes del lanzamiento de XTM v11.5.1.
- La protección contra la congestión ICMP funciona diferente en 11.5.1 con respecto a las versiones anteriores. En v11.5.1, el dispositivo XTM cuenta la cantidad total combinada de solicitudes y respuestas de ping en vez de contar solo la cantidad total de solicitudes de ping. Debido a que el umbral predeterminado para la protección contra los ataques de congestión del servidor ICMP no aumentó, la protección contra la congestión podría activarse con más frecuencia que en los lanzamientos anteriores. [63094]
Workaround
En las configuraciones de Administración de paquetes predeterminadas, aumente el umbral para disminuir Ataques de congestión del servidor ICMP, del valor predeterminado de 1000 paquetes/segundo a un número mayor.
- Cuando el nivel de memoria libre en su dispositivo XTM es menor que 20 M, si guarda la configuración del dispositivo XTM en el dispositivo se pueden generar problemas en la red. [64474]
- Para desconectar un dispositivo XTM 5 Series, debe presionar y mantener el conmutador de energía trasero durante 4 ó 5 segundos. [42459]
- En un dispositivo XTM 5 Series, la luz del enlace para la interfaz de red 0 permanece encendida cuando el dispositivo está desconectado utilizando el conmutador de energía trasero. [42388]
- Para los dispositivos XTM 5 Series, la interfaz 0 no admite la Interfaz cruzada dependiente del medio (MDIX) automática y no detecta la polaridad del cable automáticamente.
- En los dispositivos XTM 330, si presiona los botones LCD en rápida sucesión (cinco veces en un segundo), es posible que se bloquee la pantalla. La pantalla se corregirá sola después de reiniciar el sistema. [64358]
- En los dispositivos XTM 2 Series, la carga promedio aparece siempre con valor 1 o superior, incluso cuando no hay carga en el dispositivo. [63898]
- Un dispositivo XTM 2 puede tardar hasta 5 minutos en reiniciarse.
- Cuando utiliza las funciones Policy Manager > File (Archivo) >Backup (Copia de seguridad)o Restore (Restablecer), el proceso puede tardar un tiempo prolongado, pero finaliza con éxito. [35450]
- No puede regresar un dispositivo XTM 2 Series de v11.5.1 a v11.4.1 con la opción Actualizar sistema operativo en la Web UI. [63323]
Workaround
Para regresar a una versión anterior del sistema operativo, utilice el CLI o las opciones del menú System (Sistema) > Backup Image (Imagen de copia de seguridad) y System (Sistema)> Restore Image (Restablecer imagen).
- Amazon Web Services (AWS) requiere el uso de BGP mediante un túnel IPSec. Las operaciones descritas por Amazon.com para admitir los Amazon Web Services no son admitidas actualmente por los productos WatchGuard. [41534]
WatchGuard System Manager
- En Firebox System Manager, si intenta importar un certificado, la importación falla si el archivo de certificado contiene un texto antes de la sección “----COMENZAR CERTIFICADO”. El archivo de certificado debe comenzar con “----COMENZAR CERTIFICADO” y finalizar con “----FINALIZAR CERTIFICADO” y puede contener solo un certificado. [64081]
Workaround
Edite el archivo cacert.pem para eliminar cualquier texto que aparezca antes de “----COMENZAR CERTIFICADO”
- WatchGuard System Manager no muestra la dirección IP correcta para la puerta de enlace determinada de un dispositivo XTM que no tiene interfaz externa. [56385]
- Puede haber problemas cuando agrega, actualiza o elimina una instalación del WatchGuard Server Center si WatchGuard System Manager está instalado en un equipo con Windows 7 que tiene elmodo de compatibilidad con XPactivado. [56355]
Workaround
Asegúrese de que el modo de compatibilidad con Windows XP no está activado en el archivo ejecutable WSM v11.x. Para verificar, ubique el archivo wsm.exe en Windows Explorer. Haga clic derecho sobre el archivo ejecutable, seleccione Propiedades y haga clic en la pestaña Compatibilidad.
- Es posible que los dispositivos XTM o Firebox de administración remota configurados en modo directo no puedan conectarse a un Management Server que está detrás de un dispositivo XTM o Firebox de puerta de enlace también configurado en modo directo. [33056]
- Si restaura una imagen de respaldo a un dispositivo del cliente administrado por un Management Server, es posible que el secreto compartido se desincronice.
Workaround
Conéctese a Management Server desde WSM. Seleccione el dispositivo administrado y luego Actualizar dispositivo. Seleccione el botón de radio Reset server configuration (IP address/ Hostname, shared secret) (Reiniciar la configuración del servidor [dirección IP/nombre de host, secreto compartido]).
- No puede desinstalar WatchGuard System Manager con éxito cuando el WatchGuard Server Center está funcionando en una computadora que utiliza Windows Vista de 64 bits. [39078]
Workaround
Salga del WatchGuard Server Center antes de comenzar a desinstalar WSM. Luego puede desinstalar WatchGuard System Manager con éxito.
- Cuando ejecuta el instalador de WSM v11.3.x o superior (ya sea el componente del cliente WSM únicamente o cualquier componente seleccionado del servidor WSM) en Microsoft SBS (Small Business Server) 2008 y 2011 en un equipo que tiene instalado un sistema operativo de 64 bits, aparecerá un error de Microsoft Windows "IssProc.x64 ha dejado de funcionar". Cuando cierra el diálogo de error, la instalación se completa. [57133]
Web UI
- La Fireware XTM Web UI no admite la configuración de algunas funciones. Estas funciones incluyen:
- FireCluster
- Exportación de certificados
- No puede activar o desactivar la notificación de eventos de BOVPN.
- No puede agregar o quitar entradas de ARP estáticas en la tabla ARP del dispositivo.
- No puede obtener el perfil de configuración de usuario final de Mobile VPN with IPSec cifrado, conocido como el archivo .wgx. La Web UI genera sólo una versión de texto simple del perfil de configuración de usuario final, con extensión de archivo .ini.
- No puede editar el nombre de una política, usar una dirección personalizada en una política ni usar el nombre de host (búsqueda de DNS) para agregar una dirección IP a una política.
- Si configura una política en la Web UI con un estado de Desactivado, luego abra Policy Manager y realice un cambio en la misma política, la acción asignada a la política cuando niega paquetes cambia a Enviar TCP RST. [34118]
- Si utiliza la Web UI para editar una política de proxy existente que tiene configuraciones de alarmas activadas, éstas pueden desactivarse cuando guarda su configuración. [38585]
- No puede crear archivos de configuración de Mobile VPN with IPSec de solo lectura con la Web UI. [39176]
WatchGuard Server Center
- Si tiene WatchGuard Server Center abierto cuando está desinstalando WSM, verá varios mensajes de advertencia para cerrar la aplicación, en lugar de una sola advertencia. [36901]
Command Line Interface (CLI)
- La CLI no admite la configuración de algunas funciones:
- No puede agregar o editar una acción de proxy.
- No puede obtener el perfil de configuración de usuario final de Mobile VPN with IPSec cifrado, conocido como el archivo .wgx. La CLI genera sólo una versión de texto simple del perfil de configuración de usuario final, con extensión de archivo .ini.
- La CLI realiza una validación mínima de entrada para varios comandos.
- Para el XTM 2050, la salida del comando del CLI "mostrar interfaz" no indica claramente el número de interfaz que utiliza en el CLI para configurar una interfaz. El comando del CLI “show interface” (mostrar interfaz) muestra el número de interfaz que aparece en la etiqueta de interfaz al frente de su dispositivo (A0, A2 … A7; B0, B1 … B7; C0, C1), seguido de un guión y de un número consecutivo de interfaz (0 al 17) para todas las interfaces. [64147]
Workaround
Utilice el número consecutivo de interfaz que aparece después del guión como número de interfaz para configurar la interfaz. Por ejemplo, para configurar la interfaz B1-9, utilice el comando de CLI ”interface fastEthernet 9” (interfaz fastEthernet 9).
Servidores proxy
- Cuando un dispositivo XTM está trabajando con una carga alta, es posible que algunas conexiones proxy no terminen correctamente. [61925, 62503]
- La opción de Servidor de Caché Proxy HTTP no funciona correctamente para un dispositivo XTM configurado para red de área ancha (WAN) múltiple con modos de operación por turnos, desbordamiento en la interfaz o conmutación por error. [61658]
- Cuando habilita DPI y OCSP en el proxy HTTPS, es posible que ocasionalmente vea alertas de certificado o mensajes de error. [63001]
- La capacidad para utilizar un servidor proxy HTTP de caché no está disponible en conjunto con el proxy TCP-UDP. [44260]
- No puede realizar una llamada basada en SIP desde un softphone Polycom PVX detrás de un Firebox a un Polycom PVX en la red externa. [38567]
Workaround
Puede usar el protocolo H.323 en lugar del SIP.
- Cuando intenta transmitir videos de YouTube de un dispositivo Apple que funciona con iOS, puede ver este mensaje de error: "El servidor no está configurado correctamente".
Workaround
1. Edite su política de proxy HTTP.
2. Haga clic en View/Edit proxy (Ver/Editar proxy).
3. Seleccione la casillas de selección Allow range requests through unmodified (Permitir solicitudes de rango mediante no modificado).
4 Guarde este cambio en su dispositivo XTM.
- El SIP-ALG no envía el encabezado de contacto correctamente cuando éste contiene un nombre de dominio. Sólo envía una cadena vacía de: Contacto: < >. Si el encabezado de contacto contiene una dirección IP, el SIP-ALG envía el encabezado de contacto correctamente: Contacto: <sip:10.1.1.2:5060>. [59622]
Workaround
Configure el PBX para enviar el encabezado de contacto con una dirección IP, no un nombre de dominio.
Suscripciones de seguridad
- Las actualizaciones de firmas de puertas de enlace AV pueden ocasionar una conmutación por error de FireCluster en algunos dispositivos XTM 5. [62222]
- Alguna información de firmas IPS, como el número de CVE, no está disponible en Firebox System Manager. Proporcionamos capacidades de búsqueda e información CVE para firmas IPS en un portal de seguridad web para IPS en el sitio web de WatchGuard, al cual puede acceder en http://www.watchguard.com/SecurityPortal/ThreatDB.aspx
- No se proporciona ninguna notificación a los usuarios que intentan acceder a una aplicación o a una función de una aplicación que está bloqueada por Application Control. Por ejemplo, si un usuario intenta utilizar una aplicación web bloqueada, la aplicación no se cargará y el usuario sólo verá un mensaje que indica que la página web no pudo cargarse. [59305]
- La cantidad de aplicaciones admitidas por Application Control en un dispositivo WatchGuard XTM 2 Series es aproximadamente de 300, lo que resulta más pequeño que el conjunto completo de aplicaciones admitidas por otros dispositivos XTM.
- La cantidad de firmas IPS incluidas en el XTM 2 Series es menor que en los dispositivos 3, 5 y 8 Series o el XTM 1050. Sólo las firmas clasificadas en los niveles crítico y elevado están disponibles en el XTM 2 Series.
- La detección de Skype bloquea sólo las nuevas sesiones de Skype. Si un usuario ya inició sesión en Skype y tiene una sesión de Skype iniciada cuando se activa Application Control, es posible que Application Control no detecte la actividad.
- En los dispositivos XTM 2 Series únicamente, Application Control se desactiva de manera temporaria durante una actualización, una copia de respaldo o una restauración. Cuando la operación se completa, Application Control comienza a funcionar nuevamente.
- No se puede asignar un rol para la administración de Application Control desde la función de administración basada en roles de WatchGuard System Manager. [59204]
- No se puede utilizar un WebBlocker Server a través de un túnel VPN para sucursales. [56319]
Redes
- No se pueden configurar las acciones de administración de tráfico ni utilizar el marcado QoS en VLAN. [56971, 42093]
- Cuando cambia la acción de administración de tráfico asociada con una política, los cambios no tienen efecto. [63205]
- No puede conectar una interfaz inalámbrica a una interfaz VLAN. [41977]
- El Web Setup Wizard puede fallar si su computadora se conecta directamente a un dispositivo XTM 2 Series como un cliente de Protocolo de configuración dinámica de host (DHCP) cuando inicia el Web Setup Wizard. Esto puede ocurrir porque la computadora no puede obtener una dirección IP lo suficientemente rápido después de que el dispositivo se reinicia durante el asistente. [42550]
Workaround
1. Si su computadora se conecta directamente al dispositivo XTM 2 Series durante el Web Setup Wizard, use una dirección IP estática en su computadora.
2. Use un interruptor o concentrador entre su computadora y el dispositivo XTM 2 Series cuando ejecute el Web Setup Wizard.
- Cuando se configura una secondary network para un dispositivo XTM 2 Series configurado en Modo Drop-In, a veces puede requerir unos minutos que las computadoras que se conectan a la secondary network aparezcan en la lista de ARP del XTM 2 Series. [42731]
- Después de activar la lista de control de acceso MAC o agregar una nueva dirección MAC, debe reiniciar su dispositivo XTM antes de que el cambio entre en vigencia. [39987]
- Debe asegurarse de que las interfaces de red desactivadas no tengan la misma dirección IP que alguna interfaz de red activa o pueden presentarse problemas de enrutamiento. [37807]
- Si activa el enlace de la dirección MAC/IP con la casilla de selección Sólo permitir tráfico enviado desde o hacia estas direcciones MAC/IP, no agregue entradas en la tabla, la función de enlace de MAC/IP no se activa. Esto es para ayudar a garantizar que los administradores no se bloqueen de forma accidental desde su propio dispositivo XTM. [36934]
- Las interfaces de red que forman parte de una configuración de bridge se desconectan y vuelven a conectarse automáticamente cuando guarda una configuración de una computadora en la red en bridge que incluye cambios de configuración a una interfaz de red. [39474]
- Cuando cambia la dirección IP de una VLAN configurada en una interfaz externa de estática a PPPoE, y el Firebox no puede obtener una dirección PPPoE, Firebox System Manager y la Web UI pueden continuar mostrando la dirección IP estática anteriormente utilizada. [39374]
- Cuando configura su dispositivo XTM con una configuración de Modo de Enrutamiento Combinado, cualquier interfaz hacia la cual se establece el bridge muestra su interfaz y gateway IP address predeterminada como 0.0.0.0 en la Web UI. [39389]
- Cuando configura su dispositivo XTM en Modo Bridge, la pantalla de LCD de su dispositivo XTM muestra la dirección IP de las interfaces con bridge como 0.0.0.0. [39324]
- Cuando configura su dispositivo XTM en Modo Bridge, la función de redirección HTTP se puede configurar desde la interfaz de usuario, pero no funciona en este lanzamiento. [38870]
- El enlace de direcciones MAC/IP estáticas no funciona cuando su dispositivo XTM está configurado en Modo Bridge. [36900]
- Cuando su dispositivo XTM está configurado para utilizar el Modo Bridge, la interfaz física del dispositivo XTM no aparece correctamente en los mensajes de registro. En lugar de eso, la interfaz queda representada como tbrX. [36783]
- Cuando cambia su modo configuración de enrutamiento combinado a bridge o de bridge a enrutamiento combinado, la CLI y Web UI pueden continuar mostrando el modo de configuración anterior. [38896]
- El enrutamiento dinámico de RIPv1 no funciona. [40880]
- Cuando una dirección IP se agrega a la lista de sitios bloqueados temporalmente por el administrador a través de la pestaña Firebox System Manager >Sitios bloqueados, el tiempo de caducidad se restablece constantemente cuando se recibe tráfico desde la dirección IP. [42089]
método de autenticación
- Varios mensajes de falla innecesarios aparecerán en el archivo de registro cuando un dispositivo XTM 2 inalámbrico se conecta con un punto de acceso. [64342]
WAN múltiple
- Cuando activa la opción Failback inmediata de redes de área extensa (WAN) múltiples en relación con Failover de WAN, cierto tráfico puede desplazarse a causa del error de forma gradual. [42363]
- Cuando activa las redes de área extensa (WAN) múltiples en modo de operación por turnos, no puede utilizar la opción de Servidor de Caché Proxy HTTP. [57561]
Autenticación
- Si utiliza la autenticación de Terminal Service, debe reiniciar su servidor después de instalar el software TO AGENT.
- Cuando configura su dispositivo XTM para utilizar un servidor con autenticación RADIUS, las configuraciones de tiempo de espera y reintentosno tienen efecto en esta versión. [62953]
- No se admite el SSO sin cliente en un entorno de Active Directory con TLS habilitado.
- Si utiliza la autenticación de Terminal Services, no se verifica la autenticación contra el tráfico de ningún protocolo que no sea TCP o UDP. Esto incluye al tráfico DNS, NetBIOS y ICMP.
- El soporte de autenticación de Terminal Services no funciona con Inicio de sesión único.
- No se puede utilizar la opción Auto redirect users to authentication page for authentication (Redirigir automáticamente a los usuarios a la página de autenticación para su autenticación) junto con la autenticación de Terminal Services.
- Para habilitar su dispositivo XTM para que procese correctamente el tráfico relacionado proveniente del servidor Terminal o Citrix, el Agente de Terminal Services utiliza una cuenta de usuario especial denominada Backend-Service. Debido a esto, es posible que deba agregar políticas para permitir el tráfico desde esta cuenta de usuario a través de su dispositivo XTM. Puede obtener más información sobre cómo funciona Backend-Service en el sistema de ayuda del producto.
- Para que la función de Redireccionamiento de Autenticación funcione correctamente, no se puede permitir el tráfico HTTP o HTTPS a través de una política saliente basada en direcciones IP o alias que contengan direcciones IP. La función de Redireccionamiento de Autenticación funciona solamente cuando las políticas para los puertos 80 y 443 se configuran para la autenticación de usuario y grupo de usuarios. [37241]
Centralized Management
- Si utilizó Centralized Management con dispositivos suscritos a plantillas en versiones anteriores de WSM, cuando realice la actualización de WSM 11.x a v11.4 o superior, estas plantillas serán actualizadas y los dispositivos ya no estarán suscritos. Cada dispositivo mantiene la configuración de su plantilla. Las plantillas existentes son actualizadas para utilizar “T_” en sus nombres objetivos (para coincidir con los nombres objetivos de los dispositivos que solían suscribirse a ellas). Después de realizar la actualización, verá la actualización de plantilla que ocurre durante la actualización en sus antecedentes de revisión.
- Cuando se aplica una plantilla XTM a un dispositivo administrado, el Management Server crea una nueva revisión de la configuración para el dispositivo sólo si la nueva revisión va a ser diferente de la revisión actual. Además, tampoco hay comentarios acerca del motivo por el cual no se creó una nueva revisión de la configuración. [57934]
FireCluster
- Es posible que el principal de resguardo de FireCluster se desactive cuando Mobile VPN with SSL o PPTP se configuran para utilizar un grupo virtual desde dirección IP que incluye la dirección IP del clúster. [63762]
Workaround
Evite utilizar un grupo virtual desde dirección IP que produzca conflictos con las direcciones IP del clúster.
- Si no se puede acceder al Log Server desde las direcciones IP de administración, solo se podrá conectar el principal de FireCluster actual. Esto puede ocurrir si el Log Server está conectado mediante una red externa, pero las direcciones IP de administración están en una red opcional o de confianza. [64482]
- Si cambia la configuración de red de un FireCluster de modo enrutado a modo directo y luego lo cambia nuevamente a modo enrutado, la dirección IP de la interfaz del clúster no se muestra correctamente en el cuadro de diálogo Policy Manager Network > Configuration (Configuración de red del Policy Manager). Las interfaces del clúster correctas se muestran en el cuadro de diálogo de configuración de FireCluster. [63905]
- Las actualizaciones de puertas de enlace AV en un sistema que tiene poca memoria pueden generar una conmutación por error de FireCluster [62222]
Workaround
Reduzca la frecuencia con la que el sistema verifica las actualizaciones de puertas de enlace AV para minimizar las posibilidades de que esto ocurra.
- Si un enlace monitoreado falla en los dos miembros de FireCluster, el miembro no maestro se cambia a modo pasivo y en consecuencia no procesa el tráfico. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde.
- Cada dispositivo XTM tiene un conjunto de direcciones IP predeterminadas asignado a las interfaces del dispositivo en un rango que va desde 10.0.0.1. La dirección IP predeterminada más elevada depende de la cantidad de interfaces. Si configura la dirección IP de la interfaz del cluster Principal o De respaldo como una de las direcciones IP predeterminadas, ambos dispositivos se reinician y el maestro de respaldo queda inactivo. [57663]
Workaround
No utilice ninguna de las direcciones IP predeterminadas como la dirección IP de interfaz del cluster Principal o De respaldo.
- Cuando tiene un FireCluster activo/activo y utiliza la función de cancelación de WebBlocker, se le puede solicitar que ingrese su contraseña de cancelación dos veces. [39263]
- Cada interfaz de red activada en un FireCluster está monitoreada automáticamente por FireCluster. Debe asegurarse de que todas las interfaces activadas estén físicamente conectadas a un dispositivo de red.
- Si utiliza conmutadores HP ProCurve, es posible que no pueda configurar su FireCluster en modo activo/activo dado que estos conmutadores pueden no admitir la adición de entradas de ARP estáticas. [41396]
- Si utiliza el cliente Mobile VPN with IPSec para la misma red que la dirección de red externa configurada en su FireCluster, es posible que algo de tráfico no pase por el túnel VPN. [38672]
- Los usuarios de Mobile VPN with PPTP no aparecen en Firebox System Manager cuando está conectado a un miembro FireCluster pasivo. PPTP sólo está conectado a Firebox activo cuando utiliza un FireCluster activo/pasivo. [36467]
- No se puede utilizar una dirección IP de la interfaz VLAN para una dirección IP de administración del FireCluster. [45159]
- Para realizar una actualización manual de un FireCluster de v11.3.x a v11.5.1, el equipo de administración debe estar en la misma red que las direcciones IP de administración del FireCluster. [63278]
Generación de registros y presentación de informes
- Algunos informes previamente disponibles no están disponibles aún o se encuentran incompletos en el nuevo Log and Report Manager. Estos informes incluyen:
- Informe resumen de alarmas [64420]
- Informe resumen de paquetes denegados [63192]
- Algunos informes no tienen la columna de estadística. [62981]
- Log Manager no admite exportaciones de resultados de búsqueda. [63198]
- Log Manager no muestra ningún resultado cuando la cadena de búsqueda tiene uno o más caracteres ‘+’. [63931]
- La capacidad para definir parámetros de búsqueda granular no se encuentra disponible aún en el nuevo Log and Report Manager. [63536]
- La salida del informe de Tendencia de actividad web en PDF no incluye etiquetas de tiempo en el eje X cuando se visualiza en Log and Report Manager. La información de fechas y horarios se incluye en la tabla que aparece debajo del informe. [64162]
- Cuando realiza una actualización de Fireware XTM v11.4.x a v11.5.1, es posible que los informes generados cerca del horario de la actualización no aparezcan en Log and Report Manager. [64325]
- En la pestaña WatchGuard Server Center > Report Server >Server Settings (Configuraciones de servidor), el nombre del servidor que ingresa en el servidor ConnectWise (sitio) distingue mayúsculas de minúsculas. Si el nombre del servidor ConnectWise no coincide exactamente con el nombre del servidor especificado en el Certificado CA para el servidor ConnectWise, los informes fallan con "Error: Falló la validación del certificado".[64393]
Workaround
Asegúrese de que el nombre del servidor ConnectWise que especifica en las configuraciones de la integración de Report Server ConnectWise respeta las mayúsculas y minúsculas del servidor en el Certificado CA que usted importa.
- La opción Refresh (Actualizar) en la página Log and Report Manager Log Search results (Resultados de Log Search) no funciona. [63082]
- Si un nombre del cronograma de informes diario incluye dos puntos (por ejemplo: "1:35"), el sistema devuelve un error. [63427]
- El log collector se bloqueará cuando alcance el tamaño virtual límite de 2 GB en sistemas Windows de 32 bits. [64249]
- Hay dos problemas de ordenamiento en el nuevo Log and Report Manager. Cuando ordena por Destination (Destino), el campo ordena por la dirección IP y no por el nombre de host de destino (si está disponible). Cuando ordena por Disposition (Disposición), algunos elementos en el estado "denegar" no se ordenan adecuadamente dentro de los grupos. [62879]
- Cuando instala WSM en un servidor SBS (Small Business Server) de Windows, es posible que vea un error que indique que "IssProc.x64 ha dejado de funcionar". [57133]
- Las nuevas opciones de programación de informes flexibles cambian la forma en la cual los grupos están representados en la interfaz del usuario de informes. Si tiene grupos configurados en su Report Server en WSM v11.0 a 11.3, cuando realice la actualización a WSM v11.4.x o superior, cada grupo existente será convertido y aparecerá como una Tarea Programada en su interfaz de usuario del Report Server. En esta conversión no se pierde información.
- Cualquier "Informe archivado" que tenga configurado como diario o semanal en su configuración de v11.3 se convertirá automáticamente en un informe programado después de que realice la actualización a WSM v11.4 o superior.
Perfil del usuario
- Cuando utiliza el cliente IPSec incorporado de un iPhone o iPad, la conexión del cliente se desconectará cuando la duración de la conexión llega a una hora y 45 minutos. Esto ocurre a causa de una limitación en el cliente Cisco utilizado por iPhone/iPad. Debe reconectar el cliente IPSec para restablecer el túnel VPN. [63147]
- El cliente Mobile VPN con SSL para MAC no elimina a los servidores DNS asignados luego de que el cliente se desconecta. [64418]
- Las conexiones de Mobile VPN with PPTP desde dispositivos móviles Android no funcionan consistentemente en redes móviles 3G. [63451]
- Fireware XTM Web UI no permite habilitar Mobile VPN with SSL si la única interfaz externa es una interfaz VLAN externa. [63871]
Workaround
Utilice Policy Manager para configurar Mobile VPN with SSL si su única interfaz externa es una VLAN externa.
- Las conexiones del cliente Mobile VPN with IPSec pueden enrutar a través de una interfaz externa incorrecta cuando el dispositivo XTM está configurado para red de área ancha (WAN) múltiple con modo de operación por turnos. [64386]
- No puede configurar Mobile VPN with SSL para conectar el tráfico de red a una interfaz puenteada. [61844]
- Los usuarios de Mobile VPN with SSL no pueden conectarse con algunos recursos de red a través de un túnel VPN de sucursal que termina en un FireCluster activo/activo. [61549]
- No puede hacer ping en una dirección IP de la interfaz del dispositivo XTM con la cual un cliente Shrew Soft VPN estableció un túnel VPN. Puede hacer ping en equipos en esa red, pero no en la dirección IP de la interfaz misma. [60988]
- Las conexiones de cliente Shrew Soft VPN pueden fallar si hay varios clientes conectados a un dispositivo XTM al mismo tiempo, otorgando claves de Fase 2. [60261]
- El reingreso de claves de Fase 1 iniciado por el cliente Shrew Soft VPN provoca la desconexión del cliente, si está conectado por más de 24 horas. En este caso, recomendamos que configure el reingreso de clave en su dispositivo XTM a 23 horas, una hora antes que el reingreso de claves preprogramadas en la configuración del cliente Shrew Soft. Esto obliga al dispositivo XTM a iniciar el reingreso de claves y le envía al cliente una notificación informándole que el túnel debe establecerse nuevamente. [60260, 60259]
- Una sesión continua de FTP a través de una conexión de Mobile VPN with IPSec podría finalizarse si se produce una regeneración de clave IPSec durante la transferencia de FTP. [32769]
Workaround
Incremente el conteo de bytes de la regeneración de clave.
- Cuando utiliza la Web UI o la CLI para configurar perfiles del usuario de Mobile VPN with IPSec, los grupos de usuarios con autenticación extendida pueden mostrarse incorrectamente como grupos de autenticación local de Firebox. [39695]
- Los usuarios que intentan actualizar el cliente de Mobile VPN with SSL desde Fireware XTM v11.2.1 a una versión posterior de Fireware XTM fallarán. La falla no daña la instalación del cliente de la versión v11.2.1. [43970]
Workaround
Para actualizar su cliente Mobile VPN with SSL de v11.2.1 a v11.3, utilice su explorador web para conectarse a https://<IP address of a Firebox or XTM device>/sslvpn.html. Luego puede descargar e instalar el nuevo software cliente. O bien, descargue el software cliente de la página Descargas de Software y envíelo por correo electrónico a sus usuarios para que lo instalen en sus computadoras.
- Es posible que el cliente Mobile VPN with SSL para Mac no pueda conectarse a un dispositivo XTM cuando el algoritmo de autenticación esté configurado a SHA 256. [35724]
Branch Office VPN
- Cuando configure su dispositivo XTM en modo WAN múltiple, debe seleccionar las interfaces que desea incluir en su configuración de WAN múltiple. Si hay alguna interfaz que elige no incluir en su configuración de WAN múltiple (es decir, limpia la casilla de selección para esa interfaz), el sistema no crea una ruta para esa red. Esto puede causar un problema si tiene una VPN de sucursal configurada para incluir la misma interfaz. En este caso, es posible que el túnel VPN no logre negociar con este par remoto. [57153]
Workaround
Si utiliza la WAN múltiple y tiene problemas con sus túneles de VPN de sucursal porque éstos no logran negociar con sus pares remotos, debe abrir su configuración de WAN múltiple y seleccionar Configurar en la ubicación adyacente a su modo de configuración de WAN múltiple elegido. Asegúrese de que las interfaces adecuadas estén incluidas en su configuración de WAN múltiple.
- Un túnel VPN de sucursal no pasa el tráfico si existe una política NAT estática entrante que incluye los protocolos IP 50 e IP 51 para la dirección IP externa del dispositivo XTM. [41822]
- Los túneles branch office VPN administrados no pueden establecerse si el punto de distribución de la lista de revocación de certificados (CRL) (por ejemplo, el WatchGuard Management Server o un sitio de distribución de CRL de terceros que utilice) está desconectado. [55946]
- El uso de Any (Cualquiera) en una ruta de túnel BOVPN se cambia en Fireware XTM. Si un túnel VPN para sucursales utiliza Cualquiera para la parte Local de una ruta de túnel, Fireware XTM interpreta que esto significa una red 0.0.0.0 y una Subnet Mask 0.0.0.0 (en notación diagonal, 0.0.0.0/0). Si el punto remoto IPSec no envía 0.0.0.0/0 como su identificación de Fase 2, las negociaciones de Fase 2 fallan. [40098]
Workaround
No utilice Any (Cualquiera) para la parte local o remota de la ruta de túnel. Cambie la parte Local de la ruta de túnel. Ingrese las direcciones IP de computadoras detrás del Firebox que actualmente participan en el enrutamiento del túnel. Comuníquese con el administrador del punto remoto de IPSec para determinar qué utiliza ese dispositivo para la parte Remota de su ruta de túnel (o la parte Remota de su identificación de Fase 2).
- Si tiene una gran cantidad de túneles VPN para sucursales en la configuración, los túneles pueden requerir bastante tiempo para aparecer en Policy Manager. [35919]
Uso de CLI
La CLI (Command Line Interfaces) de Fireware XTM está totalmente admitida en lanzamientos de v11.x. Para obtener información acerca de cómo comenzar y utilizar la CLI, consulte la Guía de Referencia de Command CLI, que ha sido actualizada para este lanzamiento. Puede descargar la guía de CLI desde el sitio web de la documentación en http://www.watchguard.com/help/documentation/xtm.asp.Asistencia técnica
Para recibir asistencia técnica, comuníquese con el Soporte de WatchGuard por teléfono o inicie sesión en el portal de WatchGuard en la Web en http://www.watchguard.com/support. Cuando se comunica con el soporte técnico, debe proporcionar el número de serie del producto registrado o la identificación de socio.