Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 26959 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring HA (High Availability)

m@rek
Hi,

Recently, I deployed Sophos SG135 with 3 years of premium support and now I would like to install in that remote office second Sophos SG135 appliance and have them configured in HA mode.

I want to utilize Active/Passive HA (Hot Standby) method.

Question1: Does second appliance needs to be same model?
Question2: Do I need to buy support for the second appliance?
Question3: Please, look at my diagram and let me know if it makes sense. I want to follow the best practices and I cannot find one clean How-to, setp-by-step documents.


This thread was automatically locked due to age.
  • 0
    I know that it's supposed to work as Drew says, but I always do the Up2Dates first and then do a factory reset of the new device before I hook it up in HA.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Im getting this error: 

    2015:10:14-13:52:04 ddpnet-1 ha_daemon[31904]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 77 04.034" name="Access granted to remote node 2!" 

    2015:10:14-19:54:57 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 30 57.156" name="Monitoring interfaces for link beat: eth0" 

    2015:10:14-19:54:57 host-2 ha_daemon[3822]: id="38A3" severity="debug" sys="System" sub="ha" seq="S: 31 57.156" name="Netlink: Lost link beat on eth0!" 

    2015:10:14-19:54:57 host-2 ha_daemon[3822]: id="38A3" severity="debug" sys="System" sub="ha" seq="S: 32 57.157" name="Netlink: Found link beat on eth0 again!" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 33 01.140" name="HA control: cmd = 'build'" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 34 01.157" name="HA control: cmd = 'up2date successful'" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 35 01.157" name="Set UTM version to 9.315002 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 36 01.157" name="up2date to 9.315002 successful" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 37 01.157" name="start/reset initial synchronization timer = 0" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 38 01.157" name="state change UP2DATE(256) -> ACTIVE(0)" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 39 01.157" name="check up2date: version conflict with MASTER" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 40 01.158" name="state change ACTIVE(0) -> UP2DATE(256)" 

    2015:10:14-19:55:01 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 41 01.158" name="Starting local up2date 9.315002 -> 9.350012" 

    2015:10:14-19:55:01 host-2 ha_up2date[5474]: starting system up2date to '9.350012' 

    2015:10:14-19:55:01 host-2 ha_up2date[5474]: No up2date path to '9.350012', try to fix it 

    2015:10:14-19:55:01 host-2 ha_up2date[5474]: calling /sbin/audld.plx --types=sys --ha-override --proxy 198.19.250.1:9009 

    2015:10:14-13:52:24 ddpnet-1 ha_proxy[32483]: Connect (file descriptor 6): node2 [198.19.250.2] 

    2015:10:14-13:52:24 ddpnet-1 ha_proxy[32483]: Request (file descriptor 6): CONNECT us1.utmu2d.sophos.com:443 HTTP/1.0 

    2015:10:14-13:52:24 ddpnet-1 ha_proxy[32483]: No proxy for us1.utmu2d.sophos.com 

    2015:10:14-13:52:24 ddpnet-1 ha_proxy[32483]: Established connection to host "us1.utmu2d.sophos.com" using file descriptor 7. 

    2015:10:14-13:52:24 ddpnet-1 ha_proxy[32483]: Not sending client headers to remote machine 

    2015:10:14-19:55:06 host-2 ha_daemon[3822]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 42 06.501" name="Monitoring interfaces for link beat: eth0" 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[32483]: Closed connection between local client (fd:6) and remote client (fd:7) 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[381]: Connect (file descriptor 6): node2 [198.19.250.2] 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[381]: Request (file descriptor 6): CONNECT us1.utmu2d.sophos.com:443 HTTP/1.0 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[381]: No proxy for us1.utmu2d.sophos.com 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[381]: Established connection to host "us1.utmu2d.sophos.com" using file descriptor 7. 

    2015:10:14-13:52:39 ddpnet-1 ha_proxy[381]: Not sending client headers to remote machine 

    2015:10:14-13:52:51 ddpnet-1 ha_proxy[381]: Closed connection between local client (fd:6) and remote client (fd:7) 

    2015:10:14-19:55:32 host-2 ha_up2date[5474]: calling /sbin/auisys.plx --types=sys --upto 9.350012 

    2015:10:14-19:55:32 host-2 ha_up2date[5474]: done (auisys has gone into the background) 


    Seems to have a problem with the update path to 9.315002 -> 9.350012.

    I dont think automated HA is going to work.  I have since removed the slave from HA and did a factory reset to get it back to 192.168.0.1. I then went through the initial login/setup and gave it an IP on the network so it can pull down the Up2Dates from the LAN port.

    Been a few hours but hasnt pulled them down yet. I know it has been sniffing for them and can talk to the world.

    So assuming it eventually pulls down the Up2Dates and I get it to the current version (which is the version of the Master), do I need to do a factory reset before adding it back as an HA slave? Or can I just add it back and the Master will overwrite the configuration?

    Im assuming if I do a factory reset, it resets config, but it would not reset the firmware version? In other words, once I install the latest firmware version, its on there for good even if I pencil-push the reset button on the back?

    Thanks.
  • 0
    Pencil push will not factory reset the device (it is one of the feature requests - Reset a device to factory settings using a paper clip).

    Also, factory reset will not downgrade firmware. Currently the only way to do downgrade is to reinstall the box.
  • 0
    Well, I pencil pushed and it seems to reset things to factory settings. Unless it never changed from factory settings when I plugged it into HA.

    New problem:  backup box will not pull down Up2Dates. Been almost 24hrs. Box can trace and ping to the world fine. Seems to be sniffing for Up2Dates every 15min as its set.

    Sophos took down the manual upgrade files on their FTP site so thats not an option.  I'm really getting frustrated.  Setting this up as a slave HA box should not be this difficult.
  • 0
    I'm lazy - I always let the new box Up2Date first.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yeah Im at that point, but it wont Up2Date the firmware. It will only Up2Date the patterns. 

    2015:10:16-19:16:34 ddpnet audld[6338]: Could not connect to Server 184.72.238.199 (status=500 Can't connect to 184.72.238.199:443).

    2015:10:16-19:16:53 ddpnet audld[6338]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"

    2015:10:16-19:31:02 ddpnet audld[7007]: no HA system or cluster node

    2015:10:16-19:31:02 ddpnet audld[7007]: Starting Up2Date Package Downloader

    2015:10:16-19:31:03 ddpnet audld[7007]: patch up2date possible

    2015:10:16-19:31:51 ddpnet audld[7007]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"

    2015:10:16-19:46:01 ddpnet audld[7654]: no HA system or cluster node

    2015:10:16-19:46:01 ddpnet audld[7654]: Starting Up2Date Package Downloader

    2015:10:16-19:46:02 ddpnet audld[7654]: patch up2date possible

    2015:10:16-19:47:01 ddpnet audld[7654]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful" 


    Its like its looking for an HA mode to do it, but I turned HA mode OFF. And its downloading Pattern Up2Dates fine so its obviously communicating with the Sopho mothership.

    I really just need the manual Up2Date firmware files to do this manually.
  • 0
    It just registered with me that you're on 9.350 which is a bit of a different beast.  Sophos was doing a "staged" rollout, so you will need to download that manually from the FTP site, upload it into the new device, apply the Up2Date and then Factory Reset.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I looked here: ftp://ftp.astaro.de/UTM/v9/up2date/

    But I only see 9.316004 as the latest they have posted.  Which files would I need to download even if I did? The .tgz.gpg AND the md5 (I assume thats a check sum file)?

    Do I need to rename or unzip the file before uploading? Whats the file extension the manual uploader needs?
  • 0
    ftp://ftp.astaro.com/pub/UTM/v9/up2date/ is all you need.  Don't do anything to it, just download it and upload directly.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to UDPride
    ...  But I only see 9.316004 as the latest they have posted...
      

    are you sure? the naming system is ...from version...to version...
Unfiltered HTML