Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1601 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update to V9

papa__01
Hi,

I want to upgrade my 2 big firewalls to V9. On some small firewalls the upgrade run without problems.

Are there known problems with

- IPSec Site-to-site
  I run some 130 IPSec tunnels. The networks all have outgoing SNAT, some also DNAT

- SSL VPN
 I have some 700 Users with SSL VPN. Authentication of users is against AD groups.
 Does the old client and the certificates make problems? I can't roll out a new client "on the fly"
 

regards


This thread was automatically locked due to age.
Parents
  • 0
    Do you use the http proxy with these boxes? If so, you should wait for 9.005 or you have to create an autorestart for the http proxy because it has a serious memory leak (it is diskussed somewhere here extensivly...). The normal networking features seem to work normal. I can't tell about IPS - do you use it?

    V9.1 has a nice new function (ssl vpn profiles) - but 9.1 is early beta at time, so we will wait some more month for that.

    A well planned fallback possibility should be in place - but I think in your dimensions thats clear standard.

    The HTML Gateway seems to be a ressource hog - someone said, that it is not mentioned for hundreds of endusers but for few service accesses. What are your plans with that?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Waiting for 9.005 is what I planned. We use the proxy.

    The html gateway is not ready for massive usage, I have seen this in my tests. But we have some use cases where it would be helpful for now and in later versions it will be better I think.
    IPS can't get worse than now...

    On the other machine there are only IPSec and some SSL-tunnels - beside the usual firewall- and NAT-rules. Here I need the 1:1 NAT because some of our customers insist on their crude networks.. (like 192.168.1.0/24 or 10.0.0.0/24...)

    A fallback strategy is a must, you are right. But a downtime of 1-2 hours is nothing I want to cause when there is a high risk.

    I would like a Button continue/reset in the up2date process after the ha slave did the update and I can check if I want to update the master too or stop the update.
Reply
  • 0 in reply to Hallowach2
    Waiting for 9.005 is what I planned. We use the proxy.

    The html gateway is not ready for massive usage, I have seen this in my tests. But we have some use cases where it would be helpful for now and in later versions it will be better I think.
    IPS can't get worse than now...

    On the other machine there are only IPSec and some SSL-tunnels - beside the usual firewall- and NAT-rules. Here I need the 1:1 NAT because some of our customers insist on their crude networks.. (like 192.168.1.0/24 or 10.0.0.0/24...)

    A fallback strategy is a must, you are right. But a downtime of 1-2 hours is nothing I want to cause when there is a high risk.

    I would like a Button continue/reset in the up2date process after the ha slave did the update and I can check if I want to update the master too or stop the update.
Children
No Data
Cookie Information Banner