Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 4205 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upgrading from v7 to v9 HA-Synch issues

akqadm
Hi at all,

i´m completeley new to this forum and astaro/sophos as well.
We are currently running a HA-Cluster with astaro appliances and v7.
As we know v7 is end of life. Now we bought 2 new Sophos 220 and want to replace the old cluster with them.
The internet is not completeley sure about whether it is possible do to a direct upgrade or not.
So i decided to download a backup file from the running v7 cluster and did inherit this file to our brand new devices.
Basically all Rules users etc are visable in both v9 devices.
But when it now comes to HA i have some issues because they never get out of Status: "Not linked" and "Synching"
They do notice each other and do handle an master and slave role but they never finish synching.

How can i get along with it?

Kind regards
akqadm


This thread was automatically locked due to age.
  • 0
    "Not linked" means, that at least 1 interface, that is configured, is down on at least one of the members. So are you sure that all interfaces are plugged in and shown as up?
    If you have interfaces that you don't use, disable them.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    So basically your are right. Because of the existing config template there are interfaces configured which are currently not connected. Thats why the "unlinked".
    But meanwhile I did antother test. I resetted both 220´s to default. I walked through the intitial diaolgue and did a "yes,yes,yes,go on, further" I configured nothing not even a licens file.
    And then i tryed to bring in them into a cluster. I took "active/standby" choosed an Interface and set a password.
    And here the same. Both devices find each other and handle active standby role. But the standby doesen´t leave the status "Syncing"
    I´m running 9.005-16 on both devices.

    Or is HA not possible without an Licence file installed?
  • 0
    Hi, akqadm, and welcome to the User BB!

    Your existing license file should work if it has been upgraded to the new licensing model.  You can see that you need this free license upgrade if there's no separate 'Network Security' subscription listed in 'Licensing'.  Also, you "broke" automatic configuration because you started the configuration on the Slave.

    All you need to do is:
    • Factory Reset both new UTMs.
    • Power both down and then cable them just as the current ASGs are cabled.
    • Insert a USB memory stick containing the 7.5 backup into one and power it on, thus restoring the configuration.
    • Power off the old units immediately when the new machine is booting and "bounce" any routers/switches connected directly to the UTM to force them to reset their ARP tables.
    • After the new unit has booted completely, power on the second new UTM.  The Master will sync it automatically.


    If you want to retain your logs, you can re-image the new UTM 220s with the V7.511 ISO and do the following:
    • Do not do any configuration of the new UTMs loaded with V7.511.  Factory Reset them if necessary.
    • Disconnect the current old ASG Slave.
    • Cable a new UTM in the place of the old Slave.
    • Power the newly-connected UTM on.  The old ASG Master will sync logs and configuration to the new UTM.
    • When the syncing is completed and both units show as "ACTIVE" in 'High Availability' in WebAdmin, Power the old ASG Master off.  The new UTM becomes Master.
    • Disconnect the second old ASG and replace it with the second new UTM.
    • Power on the second new UTM.
    • When the syncing is completed and both units show as "ACTIVE" in 'High Availability' in WebAdmin, start the one-touch upgrade in WebAdmin to V8.
    • After this process is complete, allow the units to download all of the V8 Up2Dates, and then Up2Date to 8.309.

    My recommendation is that you do not Upgrade to V9 at this time.  If you do, apply the Up2Dates only through 9.006-5.  You definitely don't want to go to 9.1 yet.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi BAlfson,

    thank you for your time and your wide expressions[:)]
    At first I want to say that retaining of the logs is not nescessary.
    But the problem is that the current HA cluster is running productive. 
    So we would like to build up the new cluster in parallel to see if everathing works. And after that we would change the whole cluster 1:1.
     The problem is that we can´t use all original links as they are productive.

    Is your How-To applicable even if all links are not connected?
    Further i noticed while a new unit was on its factory defaults i uploaded the backup file within the initial webdialogue. After restoring and reconnection with of course another IP everything seems to be there except the HA config. When I go to the appropriate Tab then HA is off. I needed to reconfigure it manually.
    Or ist it a difference when restoring the backfile via USB during reboot?
  • 0
    So we would like to build up the new cluster in parallel to see if everathing works. And after that we would change the whole cluster 1:1.
     The problem is that we can´t use all original links as they are productive.

    It is not necessary that the interfaces be connected to production networks, just that the active ones are connected to something.  Of course, the sync interfaces must be connected!

    Further i noticed while a new unit was on its factory defaults i uploaded the backup file within the initial webdialogue. After restoring and reconnection with of course another IP everything seems to be there except the HA config. When I go to the appropriate Tab then HA is off. I needed to reconfigure it manually.

    You don't need to configure it manually.  Following my second list above, you'll see that Hot-Standby HA is automatically configured when you cable the second unit correctly and power it on.  This only works if the second unit has not been touched after a Factory Reset.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So ok your second list requires that i somehow touch the current productive system which is not really an option unfortunately.

    Meanwhile i tested the following:
    Factory reset both new ASG
    start one and in initial dialogue i restored a v7 backupfile
    (USB during boot didnt´t worked even though it was fat32)
    Nonethelesse the new ASG booted with the backupconfiguration. Everything was there except HA-config.
    Then i plugged all interfaces into a switch so they all have a link. Then I manually set the HA-Config.
    After that i booted the other factory resetted ASG also with all cables plugged.
    And then he shows in the Display" Trying zeroconf on eth3"
    Because eth3 seems to be default HA link. But the HA-link is cofigured on eth6.
    So after some time he stops trying to pull the zeroconf and starts with normal initial dialogue and does not come into Active/slave state [:(]
  • 0
    So ok your second list requires that i somehow touch the current productive system which is not really an option unfortunately.

    Sorry, it's not necessary to touch your production systems.  I just talked about that because the instructions demonstrated that "Hot-Standby HA is automatically configured when you cable the second unit correctly and power it on."

    Because eth3 seems to be default HA link. But the HA-link is cofigured on eth6.

    Yes, that is a problem; I recommend that you change to the standard configuration.

    After you restore the config to the first new UTM and before you power on the second "Factory" unit, disable HA, change the interface using eth3 to use eth6 and, finally, re-enable HA and set it to eth3.  Cable eth3 as the sync port to eth3 on the second unit.  When you power it up, this all should work as I described.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So I think we´re getting closer [;)]
    I now changed the interface assignment so that the HA lies on Eth 3.
    Then i booted the factory asg and it tryed to synch the config over eth3.
    But [:(]
    In the display: permission denied
    In the HA-log of the master:
    ......name="Autojoin of 198.19.250.175 denied!" 

    So the 198.X ip is a self generated Cluster IP? Because it an reserved range from the IANA.

    Why is he denying?
  • 0
    Yes, the 198. IPs are auto-generated.

    Try this:
    • Disable HA on the Master
    • Disconnect the Ethernet cables from the second unit
    • Do a Factory Reset of the second unit
    • Power it down
    • Reconnect the Ethernet cables
    • Power it up

    Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Try to not use HA until 9.102. 
    There is a known bug (Mantis 26007).

    There are several provesse with 80-90% wait, systemis very unstable. Without second node everything is fine.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Cookie Information Banner