UTM-1 Checkpoint - Recuperación del cluster luego de rotura de un nodo.

Este artículo lo redacté, ya que no hay mucha información de como recuperar un cluster cuando un nodo se rompe o hay que reinstalarlo. El SK de la base de conocimiento de Checkpoint define como hay que hacerlo desde el Dashboard, pero en realidad, si quieren un proceso definido, deben seguir los pasos que describo en este artículo.

Por otro lado, el mismo aplica para escenarios con equipos UTM-1 con configuración de cluster, en donde un nodo posee el rol de activo y el otro pasivo.

Incidente

Si al poseer el cluster, uno de los nodos se rompe o requiere ser reinstalado, debe ser cuidadoso, ya que hay un solo nodo que provee los servicios a la compañía y cualquier error de configuración al momento de implementar el nodo adicional puede comprometer la configuración.
Se recomienda:

1) Ingresar por la consola Web (https://IPdelNODO:4434) al nodo activo y proceder a realizar una imágen del mismo. Esto opción solo disponible en los UTM-1, si poseen instalaciones abiertas (el equipamiento no es provisto por Checkpoint, es un servidor, realizar una imagen con software similar al Ghost). Esto permite que si surge cualquier inconveniente, pueden volver atrás.

2) Hacer un backup del S.O desde la misma consola Web y guardar la misma fuera del UTM-1. Usen la opción almacenar en la PC.

3) Verifiquen la versión del S.O y que actualizaciones posee el mismo (es lo que figura como HFA). Es sumamente importante que al momento de agregar nuevamente el nodo dos, los dos equipos tengan el mismo S.O y HFA.

4) Ingrese al Dashboard y verifique que nodo se ha roto. En el caso de ser el primario, verifique que el nodo actual este bien seteado como nodo primario, ya que el nodo que va a reparar, deberá agregarlo como secundario.

5) En el caso de no tener la documentación del equipo que va a reparar (Error, debe hacer un documento con la configuración mínima de cada equipo una vez que terminó la implementación!), en el Dashboard, si ingresa a la configuración del cluster, en la opción TOPOLOGIA, podrá verificar las direcciones IP que poseen ambos nodos. Por otro lado, tome nota del nombre del equipo, debe respetarse el nombre, incluyendo mayúsculas y minúsculas.

Reinstalación Nodo Secundario

Vamos a proceder a instalar o reinstalar el nodo afectado. Contando con la información y si ya ha dispuesto de los cables entre los equipos correctamente (no se olvide de poner el cable entre los equipos que sincronizan el SIC o internamente), avanzamos.

Al encender el equipo, una de las maneras rápidas de configurar el mismo, es via Web. Recuerde que de manera predeterminada, la dirección IP es 192.168.1.1, por lo cual, para acceder a la consola WEB, es https://192.168.1.1:4434. Si Usted en su red posee esa dirección IP asignada a otro recurso, aisle la boca que equipo que dice "INTERNAL" y en todo caso coloque un cable entre la boca "INTERNAL" del UTM-1 y una notebook o una PC hasta que halla terminado el proceso de configuración.

Los pasos son los siguientes

1) Abre la consola Web, se loguea como admin, usando admin como contraseña la primera vez.

2) Cambie la contraseña y recuerde la misma.

3) Le pedirá los datos de las placas de red, recuerde de colocar bien las direcciones IP y las submáscaras de red. Si la placa INTERNAL lleva otra dirección, modifiquela ahora, el dispositivo le mostrará una advertencia que la dirección IP 192.168.1.1 se mantendrá hasta finalizar la configuracioón.

4) Configure el enrutamiento. Si no lo recuerda, puede entrar al Nodo Principal y copiarlo de allí.

5) Configure los DNS. Si no lo recuerda, puede entrar al Nodo Principal y copiarlo de allí.

6) Defina el nombre del equipo, respete las mayúsculas y minúsculas tal cual poseía el equipo original. Si bien el certificado generado por la entidad emisora interna no hace distinción a mayúsculas o minúsculas, se evita problemas luego en el Dashboard.

7) Defina que es un equipo que pertenece al cluster, y defina el mismo como equipo secundario, como dice la pantalla. Este punto es muy importante.

8) Defina el SIC. Sirve mucho recordarlo y tenerlo de la documentación para evitar problemas posteriores. Este mismo número que ingresa allí, deberá transcribirlo en el Dashboard en la configuración del nodo agregado o reparado.
9) Se procede a darle el ok a la configuración y se empieza el proceso de configuración. El mismo demora unos 15 minutos aproximadamente. Luego de esto, REINICIE el equipo.

A tener en cuenta
Recomendaciones al momento de realizar el proceso de reparación del cluster

1) Si el equipo UTM-1 a instalar posee una versión anterior del S.O o HFA de la actual, realice los pasos anteriores. Si va a la herramienta SmartView Monitor observará que el nodo agregado tiene una flecha roja y dice "untrusted". Esto es por que aún no se ha agregado bien al cluster, por lo cual, ACTUALICE el S.O y el HFA y luego vamos a reconfigurar el Dashboard.
2) Si el equipo UTM-1 a instalar posee una versión superior del S.O o HFA actual, realice una actualización del equipo actual en producción (si actualiza el S.O genera una imágen automática, si es un HFA genere Usted la imagen). Si el S.O cambia (de un R65 pasa a R70) recuerde de tener la licencia a mano de ámbos equipos. En el caso de no contar con la licencia, deberá instalar usando un CD o DVD por USB la versión más vieja en el equipo nuevo (no se los recomiendo, ya que hoy el R65 no es soportado, vayan siempre por la última versión disponible del fabricante).

Pasos Finales
Listo, el S.O del nodo adicional está en linea, pero aún no tiene configuración o la réplica del cluster. Realizamos los siguientes pasos

1) Ir al Dashboard.
2) Ir a la configuración del cluster y seleccionar el nodo instalado.
3) Ir a la configuración del SIC y presionar el botón RESET. La configuración se borra y le permitirá escribir allí el mismo número que ingreso en la consola Web en el paso anterior.

4) Aplicar los cambios.
5) Instalar la política, verificando que se aplique en los dos nodos.
6) Una vez que se aplica la política, si va en el Dashboard a la opción del Management High Availability, le indicará que está sincronizando y que debe esperar. Este proceso de unos 10 minutos, lo que hace es copiar las reglas y contenidos o seteos del nodo 1 al nodo 2.
7) Una vez que observa en el Management HA que dice sincronizado, ya puede cambiar los roles de los nodos si lo desea o dejar los mismos en ese estado.
8) Verifique en el SmartView Monitor que ámbos nodos, poseen toda la configuración en verde. indicando que está todo correcto.
9) Puede ir a la consola del equipo adicional, ingresando por PuTTy, loguearse y verificar el estado del cluster con el comando cphaprob stat.
10) Agregue la licencia al nodo instalado, si no en 15 días el mismo se desactivará.

Una vez que se ha sincronizado, los dos nodos pasan a estar listos para los failover.
Hasta la próxima.