Sophos RED 50 - Boot Image wechseln

Stefan Haßlinger 01 June 2020 Last Updated: 03 June 2020

Problem:

Wie man das Boot Image auf einer RED 50 wechselt

Lösung

Anmerkungen:

Die RED 50 hat 2 Images.
Wird eines defekt, kann man auf das zweite wechseln.
Ist ein Update defekt, wird das aktuelle Image überschrieben, bei einem Wechsel auch das „gute“ zweite
Befehle in der UTM Console welche RED Eigenschaften steuern, müssen nach jedem UTM Update gemacht werden da sie überschrieben werden
Die RED hat 2 Emergency Consolen, das erste erscheint ein paar Sekunden nach dem Boot (uboot) und wird mit beliebigen Tastendruck geöffnet
Die zweite Emergency Console wird mit „f -> Enter“ geöffnet sobald die Firmware schon lädt.
Erste Recovery Console scheint nicht persistente Änderungen zu haben, sie müssen in der zweiten Console persistiert werden. (schien bei letzten Tests so).
Einige Befehle (bsp. setenv heißen in der zweiten Console fw_setenv usw.)
Speziell RED Hardware Rev 1.0 haben Probleme mit der Unified Hardware
Firmware auf !höher Rev 1, kann mit dem RED-AP Recovery App geimaged werden - https://community.sophos.com/kb/en-us/118843
Das Tool setzt die lokale LAN Schnittstelle auf 192.168.0.1 und ping sie, dann verbindet es sich auf die RED (dazu muss sie aber zumindest booten können).

Auf der RED

Serielle Verbindung mit RED 50
Consolen Kabel anstecken, Einstellungen:
Baud: 115200
Data Bits: 8
Stop bits: 1
Parity: None
Flow control: None

In Notfallconsole „uboot“ einsteigen
Beim booten beliebige Taste drücken nach einigen Sekunden

Bestehende Variablen anzeigen
printenv

Änderung Boot Variable:
In der Variable „bootcmd“ wird in den „bootargs“ angegeben welches Image gestartet wird. Beispiel „mtdblock7“ oder „mtdblock10“. Man wechselt in den jeweils anderen um das Image zu wechseln.

In mtdblock7 Image wechseln:
setenv bootcmd "setenv bootargs "root=/dev/mtdblock7 console=ttyS0,115200"; nand read 0xc00000 0x0 0x100000; nand read 0x1000000 0x100000 0x1000000; bootm 0x1000000 - 0xc00000"

In mtdblock10 Image wechseln:
setenv bootcmd "setenv bootargs "root=/dev/mtdblock10 console=ttyS0,115200"; nand read 0xc00000 0x5100000 0x100000; nand read 0x1000000 0x5200000 0x1000000; bootm 0x1000000 - 0xc00000"

Jetzt Image booten
boot

Hinweis - War letztens so:
Wenn das System korrekt bootet, dann die RED dann nochmals starten, dieses Mal aber nach dem Boot in die zweite Console gehen mit „f" -> enter sobald die entsprechende Meldung angezeigt wird.
Jetzt die gleichen Befehle verwenden, nur mit „fw_“ davor.

Bspl: fw_setenv (anstelle setenv) oder fw_printenv (anstelle printenv)...

Auf der SG UTM:

Deaktivieren der Unified Firmware auf REDs

In der Shell Console der SG Firewall:
cc set red use_unified_firmware 0

Achtung
Dieser Befehl muss nach jedem Update gemacht weden wenn keine Unified Firmware verwendet werden soll. Und noch ein Achtung, die RED sollte natürlich nicht während des Updates laufen, sonst bekommt sie es direkt nach dem Update verpasst weil man den Befehl ja nicht so schnell eingeben kann.

Nachlesen

AP RED Recovery Tool: https://community.sophos.com/kb/en-us/118843
Community Unified Image: https://community.sophos.com/products/unified-threat-management/f/remote-ethernet-device-red/111304/utm-9-601---red-issues#pi2353=4
RED Issue Unified Image: https://community.sophos.com/kb/en-us/134398
RED Issue Unified Image: https://martinsblog.dk/sophos-utm-issue-with-9-601-and-new-red-unified-firmwares/

Blog