Ручное обновление компонентов ПО с использованием PMC

 Для программно-аппаратных комплексов (ПАК) UserGate доступен интерфейс PMC CLI, предназначенный для мониторинга и управления платформой UserGate. В случае, когда устройство недоступно, есть возможность подключения по отдельному перенастроенному MGMT-интерфейсу в режиме PMC CLI или через консольный порт (USB Type-C). Через PMC могут быть обновлены все программные компоненты кроме NGFW-image.

Программные компоненты устройств:

• pmc — основная прошивка PMC. Используется для удалённого мониторинга и управления платформой. Имеет CLI интерфейс, доступный через консольный порт (USB с CON) или через SSH при подключении к интерфейсу MGMT.

• pmc-backup — резервная прошивка PMC. Может быть запущена из режима загрузчика при помощи команды autoboot backup. Для обновления использует образ pmc-main.

• boot — начальный загрузчик хост-процессора платформы.

• sys-recovery — минимальный образ UGOS, используемый для первичной установки основного образа или для аварийного восстановления работоспособности устройства.

• ncpmc — прошивка PMC, расположенного на сетевой плате. Есть только на UserGate FG. При обновлении отключаются все вторичные источники питания платформы.

• NGFW-image — основной образ продукта. Не может быть обновлён напрямую из PMC. Обновляется через процедуру sys-recovery или штатными средствами NGFW.

Для подключения к PMC по SSH через интерфейс MGMT потребуется терминал. Для этих целей можно использовать приложения minicom или Putty. При первичной инициализации адрес по умолчанию 192.168.1.2.

Подробнее о PMC CLI смотрите в разделе данного руководства Platform Management Controller Command Line Interface — UserGate.

Обновление может быть произведено через TFTP или SCP.

Обновление программных компонентов через PMC с использованием утилиты TFTP

1. Настроить TFTP-сервер в той же сети, что и интерфейс MGMT.

2. Загрузить на TFTP-сервер прошивки:

• pmc-main-<model>-7.x.x.xxx.img,

• ugos-ugls-Model-C-recovery-7.x.x.xxx.img,

• ugos-ugls-Model-C-boot-7.x.x.xxx.img.

ПримечаниеВерсии прошивок ugos-ugls-Model-C-recovery и ugos-ugls-Model-C-boot и версия операционной системы UGOS должны совпадать.

3. Подключиться к PMC CLI через консоль (CON) или по SSH через интерфейс MGMT; войти в CLI с использованием заведённого ранее пользователя и пароля (по умолчанию — admin/password).

ПримечаниеВ случае получения ошибки при подключении по SSH через интерфейс MGMT требуется загрузить сертификат. Подробнее о процедуре читайте в разделе Загрузка сертификата.

4. Войти в режим конфигурирования устройства. Этот пункт следует выполнять только для версий ПО старше 7.1.0:

PMC> configure
PMC#

5. Остановить процессор:

PMC# set platform soc stop
SoC stoped

6. Настроить сеть на MGMT-интерфейсе при необходимости:

PMC# set network ip 192.168.1.2/24
Set ip address complete
PMC# set network gateway 192.168.1.1
Set gateway complete
PMC# 

7. Если TFTP-сервер находится в другой подсети, можно указать статическую запись для TFTP-сервера:

PMC# set network arp 192.168.1.7 d8:50:e6:54:b9:fc

8. Посмотреть установленную версию образа контроллера и сравнить с последней доступной версией:

PMC> version
PMC(Main) Firmware 7.0.1 build 20R (2023-03-22 — 10:18:23)

9. Если версия не совпадает, требуется обновить контроллер до последней доступной. Указать настроенный ранее TFTP-сервер и файл для обновления:

PMC# update firmware pmc tftp 192.168.1.1 pmc-main-<model>-7.x.x.xxx.img
TFTP from server 192.168.1.1; our IP address is 192.168.1.2
Filename 'pmc-main-<model>-7.x.x.xxx.img'.
Update at QSPI offset: 0x07080000.
Updating...
        
Bytes transferred = 319280 (0x4DF30) in 3 seconds (103 KiB/s)
TFTP update OK
PMC#

10. Перезапустить устройство:

PMC# reset 
Device will be reset. Continue? (y/n): y

PMC(Loader) Firmware 7.0.1 build 20R (2023-03-22 — 10:18:23)

11. Войти в PMC CLI. Логин/пароль по умолчанию — admin/password:

PMC login: admin
Password: 
PMC> 

12. Войти в режим конфигурирования устройства:

PMC> configure
PMC#

13. Остановить процессор:

PMC# set platform soc stop

14. Обновить образ загрузчика UGOS до последней доступной версии:

PMC# update firmware boot tftp 192.168.1.7 ugos-ugls-Model-C-boot-7.x.x.xxx.img
TFTP from server 192.168.1.7; our IP address is 192.168.1.2
Filename ugos-ugls-Model-C-boot-7.x.x.xxx.img.
Update at QSPI offset: 0x00000000.
Updating...

Bytes transferred = 5312345 (0x510F59) in 33 seconds (157 KiB/s)
TFTP update OK

15. Обновить образ sys-recovery до последней доступной версии:

PMC# update firmware sys-recovery tftp 192.168.1.7 ugos-ugls-Model-C-recovery-7.x.x.xxx.img
TFTP from server 192.168.1.7; our IP address is 192.168.1.2
Filename 'ugos-ugls-Model-C-recovery--7.x.x.xxx.img'.
Update at QSPI offset: 0x01000000.
Updating...

Bytes transferred = 52895516 (0x3271F1C) in 262 seconds (197 KiB/s)
TFTP update OK

PMC> reset

Обновление программных компонентов через PMC с использованием утилиты SCP

1. Включить устройство и дождаться его полной загрузки, или остановить запуск на этапе запуска PMC. В процессе запуска устройства обновление ПО недоступно.

(pmc) Hit 'Enter' key to stop autoboot:  2 

Press '^]' for autoboot and connect to aux
PMC login: 

2. Подключиться к PMC CLI через консоль (CON) или по SSH через интерфейс MGMT; войти в CLI с использованием заведённого ранее пользователя и пароля (по умолчанию — admin/password):

PMC login: admin
Password: 
PMC> 

ПримечаниеВ случае получения ошибки при подключении по SSH через интерфейс MGMT требуется загрузить сертификат. Подробнее о процедуре читайте в разделе Загрузка сертификата.

3. Войти в режим конфигурирования устройства:

PMC> configure
PMC#

4. Настроить сеть в PMC, указав адрес и шлюз по умолчанию вручную, или включив DHCP:

PMC# set network dhcp on
DHCP client start complete
PMC# 

5. Если используется DHCP, необходимо убедиться, что настройки были получены:

PMC# show network status 
------------------------------------
Network status:
IP address type: dhcp
IP address: 192.168.1.2
Gateway address: 192.168.1.1
Netmask: 255.255.255.0
------------------------------------
PMC# 

6. Посмотреть версию образа контроллера и сравнить с последней доступной версией:

PMC> version
PMC(Main) Firmware 7.x.x build YYY

7. Если версия не совпадает, требуется обновить контроллер до последней доступной. Указать настроенный ранее на устройстве IP-адрес:

scp pmc-main-<model>-7.x.x.xxx.img admin@192.168.1.2:/firmware/pmc
admin@192.168.1.2's password:
pmc-main-<model>-7.x.x.xxx.img
100% 6144KB 249.3KB/s   00:24

8. Перезапустить устройство:

PMC# reset 
Device will be reset. Continue? (y/n): y

PMC(Loader) Firmware 7.0.1 build 20R (2023-03-22 — 10:18:23)

9. Войти в PMC CLI (по умолчанию — admin/password):

PMC login: admin
Password: 
PMC> 

10. Войти в режим конфигурирования устройства:

PMC> configure
PMC#

11. Остановить процессор:

PMC# set platform soc stop

12. Обновить образ загрузчика UGOS до последней доступной версии:

scp ugos-ugls-Model-C-boot-7.x.x.xxx.img admin@192.168.1.2:/firmware/boot
admin@192.168.1.2's password: 
ugos-ugls-Model-C-boot-7.x.x.xxx.img
100% 6144KB 249.3KB/s   00:24

13. Обновить образ sys-recovery до последней доступной версии:

scp ugos-ugls-Model-C-recovery-7.x.x.xxx.img admin@192.168.1.2:/firmware/sys-recovery
admin@192.168.1.2's password: 
ugos-ugls-Model-C-recovery-7.x.x.xxx.img
100% 6144KB 249.3KB/s   00:24

14. Подключится к устройству и перезапустить его:

PMC# reset 
Device will be reset. Continue? (y/n): y

PMC(Loader) Firmware 7.0.1 build 20R (2023-03-22 — 10:18:23)

Обновление UGOS через sys-recovery (с использованием внешнего TFTP/FTP/HTTP/SSH-сервера)

Данная инструкция подходит для следующих случаев:

• необходимо в первый раз установить UGOS на устройство;

• необходимо полностью перезаписать образ UGOS.

Обязательные условия:

• к устройству имеется доступ по сети Ethernet;

• на устройстве установлен образ sys-recovery.

Процедура обновления:

1. Загрузить с портала my.usergate.com на свой ПК архив прошивки (file for clean installing) в виде файла:

• ngfw_ugls_full_update_7.x.x.xxxxxxR.tar.gz — для моделей C150, X10, D250, FG;

• ngfw_ugrc_full_update_7.x.x.xxxxxxR.tar.gz — для модели В50.

2. Распаковать полученный архив.

3. В распакованном архиве перейти в папку images.

4. В папке images найти файл образа UGOS в виде:

• ngfw-ugls-7.x.x.xxx-public.ssd.gz — в случае моделей C150, X10, D250, FG;

• ngfw-ugrc-7.x.x.xxx-public.ssd.gz  — в случае модели В50. 

5. Загрузить образ UGOS на TFTP-сервер.

6. Подключится к PMC через консольный интерфейс (USB Type-C) или по SSH через интерфейс MGMT.

7. Войти в CLI с использованием заведённого ранее пользователя и пароля (по умолчанию — admin/password):

PMC login: admin
Password: 
PMC> 

8. Войти в режим конфигурирования устройства:

PMC> configure
PMC#

9. Остановить работу CPU и запустить образ sys-recovery:

PMC# set platform soc stop
SoC stoped
PMC# autoboot recovery 
Connected to CPU at speed 115200.
...
UGOS login:

10. Для входа использовать логин/пароль — root/root:

UGOS login: root
Password: root

11. Подключить устройство к локальной сети через интерфейс port0 и настроить IP-адрес на интерфейсе (DHCP или статический):

root@UGOS:~# dhclient port0
root@UGOS:~# ip ro
default via 192.168.75.1 dev port0 
192.168.75.0/24 dev port0 proto kernel scope link src 192.168.75.217 
root@UGOS:~#

12. Загрузить обновление с настроенного ранее TFTP-сервера:

root@UGOS:~# curl tftp://192.168.1.2/ugos/ngfw-ugls-7.x.x.xxx-public.ssd.gz -o /ugos.ssd.gz
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  766M  100  766M    0     0  2322k      0  0:05:37  0:05:37 --:--:-- 2329k
100  766M  100  766M    0     0  2322k      0  0:05:37  0:05:37 --:--:-- 2322k
root@UGOS:~#

13. Провести запись образа на SSD-накопитель с помощью одной из следующих команд:

• для моделей C150, X10, B50:

curl file:///ugos.ssd.gz | gzip -d | dd of=/dev/sda

• для моделей D250, FG:

curl file:///ugos.ssd.gz | gzip -d | dd of=/dev/nvme0n1

Пример выполнения команды на модели FG:

root@UGOS:~# curl file:///ugos.ssd.gz | gzip -d | dd of=/dev/nvme0n1
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  766M  100  766M    0     0  2015k      0  0:06:29  0:06:29 --:--:--  507k
100  766M  100  766M    0     0  2015k      0  0:06:29  0:06:29 --:--:-- 2015k
41943040+0 records in
41943040+0 records out
21474836480 bytes (20 G) copied, 395.429293 s, 52 M/s 
root@UGOS:~#

14. Выйти обратно в PMC CLI с помощью нажатия Ctrl + ]:

root@UGOS:~# ^]
Disconnected from CPU

PMC#

15. Остановить работу CPU и запустить основной образ UGOS:

PMC# set platform soc stop
SoC stoped
PMC# autoboot
...
UGOS login:

Загрузка сертификата

В случае получения ошибки при подключении по SSH через интерфейс MGMT, требуется загрузить сертификат. Загрузка сертификата осуществляется только при подключении через COM-порт.

1. Сгенерировать сертификат для SSH:

openssl ecparam -genkey -name prime256v1 -noout -outform DER -out privatekey.der

2. Загрузить сертификат на TFTP-сервер. 

3. Подключится к устройству через COM-порт. Перейти в режим PMC CLI. Во время загрузки устройства при появлении записи "(pmc) Hit 'Enter'  key to stop autoboot:"  нажать Enter.

3. Обновить сертификат на устройстве c помощью TFTP-сервера. По окончании обновления перезагрузить устройство:

PMC> update key ssh tftp 192.168.1.7 privatekey.der
TFTP from server 192.168.1.7; our IP address is 192.168.1.2
Filename 'privatekey.der'.
Update at QSPI offset: 0x07100000.
Updating...
Bytes transferred = 121 (0x79) in 9 ms (13 KiB/s)
TFTP update OK
 
PMC> reset
Device will be reset. Continue? (y/n): y

4. После перезагрузки подключится через интерфейс MGMT по SSH.

PMC login: admin
Password: 
PMC>