FortiGate:KonfigExample

Aus Fortinet Wiki
Version vom 11. Januar 2022, 08:10 Uhr von Martin Ruesch (Diskussion | Beiträge) (→‎FortiClient 5.6 VPN-Only für Windows)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FortiGate:KonfigExample

Vorwort

Dieser Artikel beschreibt, wie die in diesem Artikel zur Verfügung stehenden Konfiguration Beispiele, installiert werden. Diese Beispiele sollen einen Eindruck verschaffen "was" mit einer FortiGate Konfiguration möglich ist. Diese ausgearbeiteten Konfigurationen können als Template für zukünftige Konfigurationen herangezogen werden. Wenn die hier zur Verfügung gestellten Konfigurationen verwendet werden, ist es wichtig diese zu studieren und auch zu verstehen. Diese Konfiguration einfach in einer Produktionsumgebung -anzuwenden ohne das sie verstanden wird, ist kein gangbarer Weg. Wir vom ALSO Team helfen gerne bei Fragen zu diesen Konfigurationen weiterzuhelfen. Wir lehnen jedoch jede Verantwortung betreffend Einsatz in einer Produktionsumgebung ab!

       NOTE Alle Konfigurationen wurden auf Basis einer FortiGate 60E durchgeführt. 
            Diese auf grössere Devices zu portieren ist zwar möglich, setzt jedoch das entsprechende Wissen Voraus dies durchzuführen. Ebenfalls sind 
            die Beispiele basierend auf einem bestimmten FortiOS Release und sind somit nur Kompatibel zu den erwähnten FortiOS Versionen. 


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"


Staging/Setup

How to Staging/Setup "Konfigurations Example"?

Um das Staging/Setup in diesem Artikel durchzuführen muss das entsprechende FortiOS benutzt werden das entsprechend dem Konfigurationsfile angegeben wird! Dies gilt seitens dem FortiGate Device als absolute Vorraussetzung. Seitens dem Vorgang selber wird folgendes Vorrausgesetzt:

                   _____________________________
                  |       RS232 Verbindung      |
    Consolen Port |                             |
       ___________|___                          | RS232 Anschluss
      |               |                     ____|_______________
      | FortiGate 60D |   192.168.1.100/24 |                    |
      |_______________|               _____| LapTop/Workstation | --> SolarWindsTFTP Server starten 
               |                     | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
          WAN1 |                     |      
               |_____________________|    
      NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
           muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
       1. Oeffne über Putty eine Serielle Verbindung (Console). Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
          
          Please wait for OS to boot, or press any key to display configuration menu.
          
          Führe nun folgendes durch:
          
          NOTE Durch diesen Vorgang gehen sätmliche Daten/Konfiguration auf der FortiGate 60D Unwiederruflich verloren!
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          MBRecord is empty.
          Please wait for OS to boot, or press any key to display configuration menu.
          
          [C]: Configure TFTP parameters.
          [R]: Review TFTP parameters.
          [T]: Initiate TFTP firmware transfer.
          [F]: Format boot device.
          [I]: System information.
          [B]: Boot with backup firmware and set as default.
          [Q]: Quit menu and continue to boot.
          [H]: Display this list of options.
          
          Enter C,R,T,F,I,B,Q,or H:F
          It will erase data in boot device. Continue? [yes/no]:yes
          Formatting...MBRecord is empty.
          ...... Done.
          
          
          [C]: Configure TFTP parameters.
          [R]: Review TFTP parameters.
          [T]: Initiate TFTP firmware transfer.
          [F]: Format boot device.
          [I]: System information.
          [B]: Boot with backup firmware and set as default.
          [Q]: Quit menu and continue to boot.
          [H]: Display this list of options.
          
          Enter C,R,T,F,I,B,Q,or H:R
          
          Image download port:    WAN1
          DHCP status:            Disabled
          Local VLAN ID:          <NULL>
          Local IP address:       192.168.1.1
          Local subnet mask:      255.255.255.0
          Local gateway:          192.168.1.254
          TFTP server IP address: 192.168.1.100
          Firmware file name:     image.out
          
          Enter C,R,T,F,I,B,Q,or H:T
          
          Please connect TFTP server to Ethernet port 'WAN1'.
          
          MAC: 08:5b:0e:4f:7d:14
          
          Connect to tftp server 192.168.1.100 ...
          
          ########################################################
          Image Received.
          Checking image... OK
          Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?D
          
          Programming the boot device now.
          The system must reformat the boot device to install this firmware.
          The default and backup firmware will be lost.
          Continue:[Y/N]?Y
          ..................................................................................................................................
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          Resizing shared data partition...done
          Formatting shared data partition ... done!
          
          
          FGT60D4613062521 login:
       2. Logge dich nun auf der FortiGate 60D ein (Ueber Console) mit dem User "admin" (kein Passwort) und formatiere die Disk.
          Dabei spielt es keine Rolle ob der Device für das Logging benutzt wird oder benutzt werden kann. Wichtig ist das die Disk
          neu Formatiert wird. Je nach Device kann durchaus eine Fehlermeldung erscheinen da der Device über keine Disk verfügt:
          
          FGT60D4613062521 login: admin
          Password: 
          Welcome !
          
          FGT60D4613062521 # execute formatlogdisk 
          Log disk is /dev/sdb1.
          Formatting this storage will erase all data on it, including
            logs, quarantine files;
            WanOpt caches;
          and require the unit to reboot.
          Do you want to continue? (y/n)y
          
          
          Performing format on the requested disk(s) and rebooting, please wait...
          Formatting the disk...
          - unmounting /data2 :  ok
          - unmounting /data :  ok
          - unmounting /var/log :  ok
          - unmounting /var/storage/FLASH1-47D0E53F74D9537B :  ok
          Formatting /dev/sdb1 ... done
          
          
          
          The system is going down NOW !!
          
          Please stand by while rebooting the system.
          Restarting system.
          
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          Please wait for OS to boot, or press any key to display configuration menu......
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          
          
          FGT60D4613062521 login: 
       3. Logge dich nun erneut auf der FortiGate 60D ein (Ueber Console) und aktiviere den "Interface Mode". Dies bedeutet: Damit dies 
          durchgeführt werden kann muessen Abhängigkeiten zum "Internal Switch" aufgelöst werden. Diese Abhängigkeiten bestehen auf 
          folgenden Komponenten:
          
          - Firewall Policy 
          - DHCP Server
          - Virtual Hardware Switch
          
          Ab ca. Januar 2015 wurden zB FG-60D sowie weitere Devices mit einem sogenannten "Hardware Switch Controller" ausgeliefert. Dies bedeutet: 
          Der Interface Mode steht zware unter "config system global" FortiOS 5.2 zur Verfügung, jedoch ist die Option "internal-switch-mode" 
          bereits auf "interface" gesetzt. Unter FortiOS 5.4 wenn der Device über einen "Hardware Switch Controller" verfügt steht das Kommando 
          gar nicht mehr zur Verfügung. Weitere Informationen betreffend Switch Mode für FortiOS 5.2 sowie 5.4 siehe nachfolgender Artikel: 
          
          FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_den_Switch_Mode_aufbrechen_damit_einzelne_Interfaces_zur_Verf.C3.BCgung_stehen.3F
          FortiGate-5.0-5.2:FAQ#Wieso_kann_ich_auf_einer_FortiGate_mit_.22Hardware_Switch.22_.28zB_60D.2F100D.2F140D.2F240D.29_den_Internal_Switch_nicht_in_einzelne_Ports_aufbrechen.3F
          
          Somit stellt sich die Frage was zu tun ist unter der entsprechenden FortiOS um die entsprechenden Interface's aufzubrechen? Nachfolgend
          sind die Kommandos aufgelistet die für jedes FortiOS gelten. Dies bedeutet: In allererster Linie müssen die Abhängigkeiten für die 
          Interfaces betreffend Firewall Policy sowie DHCP Server aufgelöst werden. Danach je nach FortiOS müssen die entsprechenden Kommandos
          ausgeführt werden um die Interfaces aufzubrechen. Somit führe einfach jedes nachfolgnde Kommando aus. Dabei ist zu berücksichtigen, dass
          je nach Device und FortiOS entweder das Kommando bereits mit der entsprechenden Option gesetzt ist oder gar nicht existiert jedoch führen
          diese Kommandos für jeden Device und FortiOS zur Aufbrechung der Interfaces:
                     
          FGT60D4613062521 login: admin
          Password: 
          Welcome !
          
          FGT60D4613062521 # config firewall policy
          
          FGT60D4613062521 (policy) # purge
          This operation will clear all table!
          Do you want to continue? (y/n)y
          
          
          FGT60D4613062521 (policy) # end
          
          FGT60D4613062521 # config system dhcp server
          
          FGT60D4613062521 (server) # purge
          This operation will clear all table!
          Do you want to continue? (y/n)y
          
          
          FGT60D4613062521 (server) # end
          
          FGT60D4613062521 # config system global
          
          FGT60D4613062521 (global) # set internal-switch-mode interface
          
          FGT60D4613062521 (global) # end
          Changing switch mode will reboot the system!
          Do you want to continue? (y/n)y
          
          Wenn durch dieses Kommando kein Neustart ausgelöst wird führe das nächste Kommando aus:
          
          FGT60D4613062521 # config system virtual-switch
          FGT60D4613062521 (virtual-switch) # get
          == [ internal ]
          name: internal    
          FGT60D4613062521 (virtual-switch) # del internal
          FGT60D4613062521 # end
          
          FGT60D4613062521 # execute reboot
          This operation will reboot the system !
          Do you want to continue? (y/n)y
          
          The system is going down NOW !!
          
          Please stand by while rebooting the system.
          Restarting system.
          
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          Please wait for OS to boot, or press any key to display configuration menu......
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          
          
          FGT60D4613062521 login: 
       4. Kontrolliere kurz über Console ob nun die Disk vorhanden ist und ob die FortiGate sich im "Interface Mode" befindet. Danach 
          führe den "factoryreset2" durch (nicht "factoryreset") um sicher zu gehen, dass die  gesamte Konfiguration betreffend Profile
          etc. zurück gesetzt wird dabei bleibt die Konfiguration betreffend "system.global, VDOM, system.interface, system.settings sowie
          router.static" erhalten:
          
          FGT60D4613062521 login: admin
          Password: 
          Welcome !
          
          FGT60D4613062521 # get system status
          Version: FortiGate-60D v5.0,build0292,140801 (GA Patch 9)
          Virus-DB: 16.00560(2012-10-19 08:31)
          Extended DB: 1.00000(2012-10-17 15:46)
          IPS-DB: 4.00345(2013-05-23 00:39)
          IPS-ETDB: 0.00000(2001-01-01 00:00)
          Serial-Number: FGT60D4613062521
          Botnet DB: 1.00000(2012-05-28 22:51)
          BIOS version: 04000022
          System Part-Number: P14482-03
          Log hard disk: Available
          Internal Switch mode: interface
          Hostname: FGT60D4613062521
          Operation Mode: NAT
          Current virtual domain: root
          Max number of virtual domains: 10
          Virtual domains status: 1 in NAT mode, 0 in TP mode
          Virtual domain configuration: disable
          FIPS-CC mode: disable
          Current HA mode: standalone
          Branch point: 292
          Release Version Information: GA Patch 9
          System time: Fri Sep  5 01:17:47 2014
          
          FGT60D4613062521 # get system interface
          == [ dmz ]
          name: dmz    mode: static    ip: 10.10.10.1 255.255.255.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ wan1 ]
          name: wan1    mode: dhcp    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ wan2 ]
          name: wan2    mode: dhcp    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ modem ]
          name: modem    mode: pppoe    ip: 0.0.0.0 0.0.0.0   netbios-forward: disable    type: physical   sflow-sampler: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ ssl.root ]
          name: ssl.root    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: tunnel   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    
          == [ internal1 ]
          name: internal1    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal2 ]
          name: internal2    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal3 ]
          name: internal3    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal4 ]
          name: internal4    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal5 ]
          name: internal5    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal6 ]
          name: internal6    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          == [ internal7 ]
          name: internal7    mode: static    ip: 0.0.0.0 0.0.0.0   status: up    netbios-forward: disable    type: physical   sflow-sampler: disable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    mtu-override: disable    wccp: disable    drop-overlapped-fragment: disable    drop-fragment: disable    
          
          FGT60D4613062521 # execute factoryreset2
          This operation will reset the system to factory default except system.global.vdom-admin/VDOMs/system.interface/system.settings/router.static!
          Do you want to continue? (y/n)y
          
          
          System is resetting to factory default...
          
          
          The system is going down NOW !!
          
          FGT60D4613062521 # 
          Please stand by while rebooting the system.
          Restarting system.
          
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          Please wait for OS to boot, or press any key to display configuration menu......
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          
          System will reboot to make some changes effective.
          License is bad!
          
          
          The system is going down NOW !!
          
          Please stand by while rebooting the system.
          Restarting system.
          
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          Please wait for OS to boot, or press any key to display configuration menu......
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          
          
          FGT60D4613062521 login:  
       5. Die FortiGate ist nun in den Grundzügen bereit. Als nächstes kann die Konfiguration vorbereitet und nachträglich geladen
          werden. Dazu siehe den nachfolgenden Abschnitt:
          
          FortiGate:KonfigExample#How_to_Staging.2FSetup_.22Konfigurations_Example.22.3F
          
          Wurde die Konfiguration bearbeitet oder soll diese zur Verfügung stehende Konfiguration unverändert auf dem Device eingespielt
          werden siehe nachfolgenden Artikel:
          
          FortiGate:KonfigExample#How_to_Installation_.22Konfigurations_Example.22.3F

Konfigurations Example

Typische KMU Konfiguration

Das File "myconfig.conf" das in den Zip Files "myconfig-kmu.zip" beinhaltet ist, enthält die gesamte Konfiguration in allen Zügen mit deren eigenen Namen und IP's etc. Ebenso enthält das File "myconfig-kmu.zip" verschiedenen txt Files in denen die entsprechenden Kommandos ersichtlich sind die angewendet wurden:

Nachfolgend eine Kurzübersicht die zeigen soll was die "myconfig-kmu" Konfiguration in Ihren Grundzügen enthält resp. über deren Network-Topology:

                                __________
                               |   ISP    |                 Pub DNS 1:  8.8.8.8
                               |  Router  |                 Pub DNS 2:  8.8.4.4
                               |  Bridge  |                 NTP Server: ch.pool.ntp.org
                               |__________|
                                    |                       FortiClient SSL VPN:                     IP Pool 198.18.0.0/25
                                    |                       IPSec FortiClient Client2Site:           IP Pool 198.18.1.128/25
                                    |                       IPSec IOS Device Client2Site:            IP Pool 198.18.4.0/25
                                    |                       IPSec L2TP Device Client2Site:           IP Pool 198.18.4.128/25
                                    |                       IPSec Cisco Native Client Client2Site:   IP Pool 198.18.5.0/25
                                    |
                                    | WAN1 (PPPoE Fix IP 1.1.1.1/32; Mgmt. Access FMG)
                           _________|_________                             _______     SSID: only4internal WPA2-Private   (DHCP 198.18.2.1/25)
                          |                   | DMZ (FAP 198.18.3.1/24)   |       |    SSID: only4guest    Captive Portal (DHCP 198.18.2.129/25)
                          |   FortiGate 60E   |-------------------------- |  FAP  |  
                          |___________________|                           |_______|
                                    |
                                    | internal1 (LAN 198.18.0.1/24)
                                    |
                 ___________________|___________________
                |                                       |
                |     Internal DNS:  198.18.0.91/32     |
                |     Host Exchange: 198.18.0.92/32     |
                |     Host VoIP:     198.18.0.94/32     |
                |_______________________________________|
                

Das Logging und Management wurde so konfiguriert, dass ein FortiManager zuständig ist für das Management und ein FortiAnalayzer für das Logging. Ist kein FortiManager resp. FortiAnalyzer vorhanden kann die Konfig des FortiManagers deaktiviert werden sowie das Loggging von FortiAnalyzer auf Memory gesetzt werden. Um den FortiManager sowie FortiAnalyzer zu deaktivieren und Memory Logging zu aktivieren führe folgendes aus:

       "Deaktiviere FMG Access auf "wan1"    
                     
       # config system interface
       # edit wan1
       # unset allowaccess
       # end
       "Deaktiviere FMG IPv4 Adresse für Zentrales Management"
       
       # config system central-management
       # unset fmg
       # end
       "Deaktiviere FAZ Quarantine"
       
       # config antivirus quarantine
       # unset destination 
       # end
       "Deaktiviere FAZ Log Settings"
       
       # config log fortianalyzer setting
       # set status disable
       # end
       "Aktiviere Memory Log"
       
       FortiOS 5.0:                      
       # config log settings
       # set gui-location memory
       # end
       
       FortiOS 5.2/5.4:                      
       # config log gui-display
       # set location memory
       # end
       
       # config log memory setting
       # set status enable
       # end
       
       FortiOS 5.4:
       # config log null-device setting
       # set status enable
       # end

Um nun die Konfiguration anzupassen, öffne das "myconfig.conf" File der entsprechenden Version zB mit "WordPad" und durch "Ctrl + H" (Suchen und Ersetzen) ändere die gewünschte Konfiguration gemäss unteren Tabelle von Oben nach Unten. Beachte dabei Folgendes: Beim jedem Suchen und Ersetzen Vorgang muss der Cursor sich zuoberst im Dokument befinden, damit das gesamte Dokument durch "Suchen und Ersetzen" bearbeitet wird. Beim Suchen und Ersetzen betreffend dem Namen ist Vorsicht geboten! Dies bedeutet: Der neue Name für "mydomain1" darf nicht länger als 9 Zeichen sein ansonsten kommt es zu Problemen in der Konfiguration!

       Key Funktion                 Wert Suchen                             Wert Ersetzen
       ************                 ***********                             *************
       
       Passwort/Shared Key          only4mydomain1!                         ?
                                    
       Firewall Name                mydomain1-sg0e0                         ?
                                    
       Domain                       mydomain1.ch                            ?
                                    mydomain1.local                         ?
                                    mydomain1                               ?
                                    
       Pub DNS Server 1             8.8.8.8                                 ?
       Pub DNS Server 1             8.8.4.4                                 ?
                                    
       NTP Server                   ch.pool.ntp.org                         ?
                                    
       Net/Interface WAN            1.1.1.1-32                              ?
       (Fix IP ISP)                 1.1.1.1                                 ?
                                    1.1.1.1 255.255.255.255                 ?
                                    
       Net/Interface LAN            198.18.0.1 255.255.255.0                ?
       (Internal)                   198.18.0.1 255.255.255.255              ?
                                    198.18.0.1-32                           ?
                                    198.18.0.0-24                           ?				
                                    198.18.0.0 255.255.255.0                ?
                                    
       Net/Interface FAP            198.18.3.1 255.255.255.0                ?
       (DMZ)                        198.18.3.1 255.255.255.255              ?
                                    198.18.3.1-32                           ?
                                    198.18.3.0-24                           ?			
                                    198.18.3.0 255.255.255.0                ?
                                    198.18.3.1                              ?
                                    set start-ip 198.18.3.2                 ?
                                    set end-ip 198.18.3.254                 ?
                                    
       Net/Interface SSID           only4internal                           ?
                                    198.18.2.1 255.255.255.128              ?
                                    set default-gateway 198.18.2.1          ?
                                    set start-ip 198.18.2.2                 ?
                                    set end-ip 198.18.2.126                 ?
                                    198.18.2.0-25                           ?
                                    198.18.2.0 255.255.255.128              ?
                                    
       Net/Interface SSID           only4guest                              ?
                                    198.18.2.129 255.255.255.128            ?
                                    set default-gateway 198.18.2.129        ?
                                    set start-ip 198.18.2.130               ?
                                    set end-ip 198.18.2.254                 ?
                                    198.18.2.128-25                         ?
                                    198.18.2.128 255.255.255.128            ?
                                    
       Internal DNS 1               198.18.0.91                             ?
                                    
       Host Exchange                198.18.0.92                             ?
                                    
       Host VoiP                    198.18.0.94                             ?
                                    
       Net IP Pool VPN              198.18.1.0-25                           ?
       (SSL FortiClient)            198.18.1.0 255.255.255.128              ?
                                    
       Net IP Pool VPN              198.18.1.128-25                         ?
       (IPSec FortiClient)          198.18.1.128 255.255.255.128            ?
                                    set ipv4-start-ip 198.18.1.129          ?
                                    set ipv4-end-ip 198.18.1.254            ?
       
       Net IP Pool VPN              198.18.4.0-25                           ?
       (IPSec IOS Device)           198.18.4.0 255.255.255.128              ?
                                    set ipv4-start-ip 198.18.4.1            ?
                                    set ipv4-end-ip 198.18.4.126            ?
                                    
       Net IP Pool VPN              198.18.4.128-25                         ?
       (IPSec L2TP Device)          198.18.4.128 255.255.255.128            ?
                                    set set sip 198.18.4.129                ?
                                    set set eip 198.18.4.254                ?
                                    
       Net IP Pool VPN              198.18.5.0-25                           ?
       (Cisco Native Client)        198.18.5.0 255.255.255.128              ?
                                    set ipv4-start-ip 198.18.5.1            ?
                                    set ipv4-end-ip 198.18.5.126            ?
                                    
       FAZ Pup IP                   4.4.4.4                                 ?
                                    
       FMG Pup IP/Serial            set fmg "3.3.3.3"                       ?
                                    3.3.3.3 255.255.255.255                 ?
                                    
       "wan1" Interface ISP         set username "0412661111@dsl.ch"        ?
       (mode pppoe)                 set password only4mydomain1!            ?
                                    set defaultgw enable                    ?
                                    set mtu-override enable                 ?
                                    set mtu 1492                            ?

FortiOS 5.0.14 Production

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:Myconfig-kmu.zip                        Basierend auf FortiGate 60D FortiOS 5.0.14
       Datei:Revision-myconfig-kmu.txt               Revision Control / Zeigt Aenderungen der verschienene Versionen von "myconfig-kmu.zip"

FortiOS 5.2.12 Production

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:Myconfig-kmu-5.2.zip                    Basierend auf FortiGate 60D FortiOS 5.2.12
       Datei:Revision-myconfig-kmu-5.2.txt           Revision Control / Zeigt Aenderungen der verschienene Versionen von "myconfig-kmu-5.2.zip"

FortiOS 5.4.8 Production

Achtung.svg

Das FortiOS 5.4 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:Myconfig-kmu-5.4.zip                    Basierend auf FortiGate 60E FortiOS 5.4.8
       Datei:Revision-myconfig-kmu-5.4.txt           Revision Control / Zeigt Aenderungen der verschienene Versionen von "myconfig-kmu-5.4.zip"

FortiClient VPN only Installer

FortiClient 6.0 VPN-Only für Windows

       Datei:X86-ManualDistribution-6.0.zip          FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates deaktiviert) 6.0.10
       Datei:X86-ActiveDirectory-6.0.zip             FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates deaktiviert) 6.0.10
       Datei:X64-ManualDistribution-6.0.zip          FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates deaktiviert) 6.0.10
       Datei:X64-ActiveDirectory-6.0.zip             FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates deaktiviert) 6.0.10
       Datei:FortiClientConfigurationTool 6.0.8.zip        FortiClient Konfigurationstool 6.0.8
       Datei:FortiClientConfigurationTool 6.0.9.zip        FortiClient Konfigurationstool 6.0.9
       Datei:FortiClientConfigurationTool 6.0.10.zip       FortiClient Konfigurationstool 6.0.10

FortiClient 5.6 VPN-Only für Windows

Achtung.svg

Das FortiOS 5.6 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:X86-ManualDistribution-5.6.zip          FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates deaktiviert) 5.6.6
       Datei:X86-ActiveDirectory-5.6.zip             FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates deaktiviert) 5.6.6
       Datei:X64-ManualDistribution-5.6.zip          FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates deaktiviert) 5.6.6
       Datei:X64-ActiveDirectory-5.6.zip             FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates deaktiviert) 5.6.6

FortiClient 5.4 VPN-Only für Windows

Achtung.svg

Das FortiOS 5.4 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:X86-ManualDistribution-5.4.zip          FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.5
       Datei:X86-ActiveDirectory-5.4.zip             FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.5
       Datei:X64-ManualDistribution-5.4.zip          FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.5
       Datei:X64-ActiveDirectory-5.4.zip             FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.5

FortiClient 5.4 VPN-Only für MAC OSX

Achtung.svg

Das FortiOS 5.4 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:FortiClient 5.4.0.493 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10/11 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0
       Datei:FortiClient 5.4.1.514 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10/11 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.1
       Datei:FortiClient 5.4.2.523 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10/11/12 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.2
       Datei:FortiClient 5.4.3.529 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10/11/12 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.3
       Datei:FortiClient 5.4.4.536 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10/11/12 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.4

FortiClient 5.0 VPN-Only für Windows

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:X86-ManualDistribution.zip              FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10
       Datei:X86-ActiveDirectory.zip                 FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10
       Datei:X64-ManualDistribution.zip              FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10
       Datei:X64-ActiveDirectory.zip                 FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10

FortiClient 5.0 VPN-Only für MAC OSX

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx

       Datei:FortiClient 5.0.10.143 macosx.dmg.zip   FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10

FortiClient 5.2 VPN-Only für Windows

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx


       Datei:X86-ManualDistribution-5.2.zip          FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.6
       Datei:X86-ActiveDirectory-5.2.zip             FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.6
       Datei:X64-ManualDistribution-5.2.zip          FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.6
       Datei:X64-ActiveDirectory-5.2.zip             FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.6

FortiClient 5.2 VPN-Only für MAC OSX

Achtung.svg

Das FortiOS 5.0 und 5.2 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden.

Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx


       Datei:FortiClient 5.2.3.370 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.3
       Datei:FortiClient 5.2.4.377 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.4
       Datei:FortiClient 5.2.5.383 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5
       Datei:FortiClient 5.2.6.385 macosx.dmg.zip    FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.6

Installation

How to Installation "Konfigurations Example"?

Wenn das entsprechende Konfigurations Example bereit ist kann dieses geladen werden. Dazu gilt der Abschnitt Staging/Setup als Grundvorraussetzung:

       1. Verbinde das Netzwerk Kabel des Laptop an Port1 der FortiGate. Ueber Console logge dich ein und führe folgendes durch:
          
          FGT60D4613062521 login: admin
          Password: 
          Welcome !
          
          FGT60D4613062521 # config system interface
          
          FGT60D4613062521 (interface) # edit internal1
          
          FGT60D4613062521 (internal1) # set ip 192.168.1.1/24
          
          FGT60D4613062521 (internal1) # set allowaccess ping
          
          FGT60D4613062521 (internal1) # end
          
          FGT60D4613062521 #
          
          Nun kann über den Laptop der Port1 resp. "internal" über Ping angesprochen werden! Vergewissere dich das der TFTP Server auf der 
          Workstation/Laptop gestartet ist. Kopiere nun das modifizierte "myconfig.conf" in das Root Verzeichnis des TFTP Servers (C:\TFTP-Root) 
          und führe folgendes aus um einen Restore zu durchzuführen:
          
          FGT60D4613062521 # execute ping 192.168.1.100
          PING 192.168.1.100 (192.168.1.100): 56 data bytes
          64 bytes from 192.168.1.100: icmp_seq=0 ttl=128 time=10.1 ms
          64 bytes from 192.168.1.100: icmp_seq=1 ttl=128 time=0.4 ms
          
          --- 192.168.1.100 ping statistics ---
          2 packets transmitted, 2 packets received, 0% packet loss
          round-trip min/avg/max = 0.4/5.2/10.1 ms
          
          FGT60D4613062521 # execute restore config tftp myconfig.conf 192.168.1.100
          This operation will overwrite the current settings!
          Do you want to continue? (y/n)y
          
          Please wait...
          
          Connect to tftp server 192.168.1.100 ...
          
          Get config file from tftp server OK.
          File check OK.
          
          
          The system is going down NOW !!
          
          Please stand by while rebooting the system.
          Restarting system.
          
          
          FortiGate-60D (15:09-08.12.2013)
          Ver:04000022
          Serial number: FGT60D4613062521
          CPU(00): 800MHz
          Total RAM:  2GB
          Initializing boot device...
          Initializing MAC... nplite#0
          Please wait for OS to boot, or press any key to display configuration menu......
          
          Booting OS...
          Reading boot image... 1262734 bytes.
          Initializing firewall...
          
          System is starting...
          
          
          mydomain1-sg0e0 login: 
          
          NOTE Der Transfer sowie der Neustart sollten auf der Console mitverfolgt werden denn bei allfälligen 
               Fehlern in der Konfig werden diese angzeigt!
       2. Aendere nun die Netzwerk Karte des Client/Workstation zu der IP die auf der FortiGate konfiguriert wurde. Um dies auf der FortiGate über 
          Console zu verifizieren geben folgendes ein:
                    
          mydomain1-sg0e0 login: admin
          Password: [Neu gesetztes Passwort oder Standard Passwort der Konfiguration "only4mydomain1!"]
          Welcome !
          
          mydomain1-sg0e0 # show system interface
          
          Sobald die Netzwerk Karte der Workstation auf das Segment des Interface's "internal1" konfiguriert wurde (kein DHCP) kann mit der 
          entsprechenden IP eingeloggt werden:
          
          https://[IP Internal1 Interface]:8443 (KMU Konfiguration 5.2.x und 5.0.x)
          https://[IP Internal1 Interface]:4443 (KMU Konfiguration ab 5.4.8)