FortiGate:FAQ: Unterschied zwischen den Versionen
| Zeile 93: | Zeile 93: | ||
[[Datei:FortiGate-Virtual-FortiOS-60.pdf]] (FortiOS 6.0 Handbook - Virtual FortiOS) | [[Datei:FortiGate-Virtual-FortiOS-60.pdf]] (FortiOS 6.0 Handbook - Virtual FortiOS) | ||
[[Datei:FortiGate-Wireless-60.pdf]] (FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide) | [[Datei:FortiGate-Wireless-60.pdf]] (FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide) | ||
== Hardware == | |||
=== Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices? === | |||
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Über diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden: | |||
'''Variante Device Label''' | |||
Die "Hardware Revision" wird als "Label" auf der Rückseite eines FortiGate Devices aufgeführt in | |||
nachfolgender Form und als Strich-Code: | |||
PN: P15968-01 | |||
'''Variante FortiOS''' | |||
Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information: | |||
# get system status | grep Part-Number | |||
System Part-Number: P15968-01 | |||
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht eruiert werden sei es über ein "Label" noch über CLI. Wenn diese Informationen dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel: | |||
[[Fortinet:Support-Case]] | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet: | |||
Wenn eine neue "Hardware Revision" für diesen Device Release wird so kann diese über eine PN Nr. "P15968-01" verfügen jedoch | |||
als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt | |||
zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von: | |||
PN Nummer (Hardware Revision) + Hardware Generation | |||
Diese Information der "Hardware Revision" sowie "Hardware Generation" sind dann wichtig, wenn es sich um ein Cluster handelt. | |||
Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen | |||
damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt! | |||
=== Wo finde ich eine Übersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist? === | |||
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt: | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert: | |||
https://forum.fortinet.com/tm.aspx?m=100451#100451 | |||
Zusätzlich steht ein Dokument von Fortinet zur Verfügung die über die Hardware Schematic eines Fortinet Produktes wie zB | |||
CPU, RAM, Flash usw. Auskunft gibt: | |||
[[Fortinet:ProduktInfo#Fortinet_Hardware_Schematics]] | |||
'''LEGENDE''' | |||
FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet) | |||
I2 = Intel Core 2 Duo | |||
I3 = Intel Pentium III | |||
I4 = Intel Pentium 4 | |||
IA = Intel Atom | |||
IC = Intel Celeron (Covington) | |||
II3 = Intel Core i3 | |||
II5 = Intel Core i5 | |||
IM = Intel Mobile | |||
IX = Intel Xeon | |||
CP: Content Processor | |||
NP: Network Processor | |||
SoC: System on a Chip | |||
[[Datei:Fortinet-821.jpg]] | |||
[[Datei:Fortinet-822.jpg]] | |||
[[Datei:Fortinet-823.jpg]] | |||
[[Datei:Fortinet-1611.jpg]] | |||
[[Datei:Fortinet-824.jpg]] | |||
=== Was für FortiGate Devices stehen in der verschiedenen Verfügung und welche ist die Richtige? === | |||
Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB: | |||
- Über was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll? | |||
- Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Downstream/Upstream)? | |||
- Wie viele User werden durch den FortiGate Device geschützt? | |||
- Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw.) | |||
- Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)? | |||
- Werden spezielle Interfaces benötigt zB SFP+ | |||
- Wird ein spezieller Durchsatz in einem Bereich benötigt? | |||
- Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.? | |||
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenübergestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorien wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenübergestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen: | |||
[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]] | |||
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. des Weiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen: | |||
[[Fortinet:ProduktInfo#FortiGate]] | |||
des Weiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt: | |||
[[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]] | |||
Nachfolgend als Anhaltspunkt eine Übersicht der FortiGate Devices in den verschiedenen Kategorien wie "Entry Level, Midsize usw.": | |||
[[Datei:Fortinet-1392.jpg]] | |||
[[Datei:Fortinet-1393.jpg]] | |||
[[Datei:Fortinet-1394.jpg]] | |||
[[Datei:Fortinet-1396.jpg]] | |||
[[Datei:Fortinet-1397.jpg]] | |||
[[Datei:Fortinet-1610.jpg]] | |||
=== Wie kann ich auf einem FortiGate Device einen Hardwaretest ausführen (Troubleshooting/HQIP Testing)? === | |||
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am Ende der Seite. Nachfolgend der direkte Link für "HQIP Images": | |||
https://support.fortinet.com/Download/HQIPImages.aspx | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das | |||
entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben | |||
werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und | |||
Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht | |||
zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device | |||
den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation. | |||
Auf der FortiGate wird dieses HQIP Image wie beim "stagging" Prozess selber über TFTP hochgeladen. | |||
Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "stagging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Konsole muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert: | |||
Category > Session > Logging > All Session output | |||
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Skript ausgeführt wird: | |||
-> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden) | |||
-> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers. | |||
Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link | |||
um diesen runterzuladen: | |||
SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx | |||
-> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der | |||
Konfiguration der FortiGate durchzuführen! | |||
-> Führe über die Serielle Konsole nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen: | |||
# '''execute shutdown''' | |||
-> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate | |||
verbunden werden (Beispiel: FortiGate-60D) | |||
_____________________________ | |||
| RS232 Verbindung | | |||
Konsolen Port | | | |||
___________|___ | RS232 Anschluss | |||
| | ____|_______________ | |||
| FortiGate 60D | 192.168.1.100/24 | | | |||
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten | |||
| | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root | |||
WAN1 | | | |||
|_____________________| | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Auf dem Laptop müssen sämtliche Firewalls, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte | |||
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)! | |||
-> Öffne über Putty eine Serielle Verbindung (Konsole) und achte darauf das "putty" für Log aktiviert wurde. | |||
Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint: | |||
FortiGate-60D (10:49-11.12.2014) | |||
Ver:04000024 | |||
Serial number: FGT60D4615013788 | |||
CPU(00): 800MHz | |||
Total RAM: 2GB | |||
Initializing boot device... | |||
Initializing MAC... nplite#0 | |||
Please wait for OS to boot, or press any key to display configuration menu | |||
'''Unterbreche den Boot-Prozess durch "Press any key"''' | |||
[C]: Configure TFTP parameters. | |||
[R]: Review TFTP parameters. | |||
[T]: Initiate TFTP firmware transfer. | |||
[F]: Format boot device. | |||
[I]: System information. | |||
[B]: Boot with backup firmware and set as default. | |||
[Q]: Quit menu and continue to boot. | |||
[H]: Display this list of options. | |||
Enter C,R,T,F,I,B,Q,or H: T | |||
Please connect TFTP server to Ethernet port 'WAN1'. | |||
MAC: 08:5b:0e:d9:18:f0 | |||
Connect to tftp server 192.168.1.100 ... | |||
############################################################ | |||
Image Received. | |||
Checking image... OK | |||
'''ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern, sondern NUR Ausführen!''' | |||
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?'''R''' | |||
Reading boot image... 1829759 bytes. | |||
Initializing firewall... | |||
System is starting.. | |||
Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ... | |||
You are running HQIP test program. To start testing, login as "admin" without password, and type: | |||
diagnose hqip start | |||
'''Logge dich nun ein anhand der obigen Informationen!''' | |||
HQIP login: '''admin''' | |||
Password: | |||
Welcome ! | |||
HQIP # '''diagnose hqip start''' | |||
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen: | |||
1.BIOS Integrity Check | |||
2.System Configuration Check | |||
3.Memory test | |||
4.CPU test | |||
5.CPU/Memory Performance Test | |||
6.FortiASIC Test | |||
7.USB Test | |||
8.Boot Device Test | |||
9.Hard Disk Test | |||
10.Network Interface Controller Test | |||
11.NPU DDR Memory Test | |||
12.LED Test | |||
13.Reset Button Test | |||
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D): | |||
[[Datei:Fortinet-1632.jpg]] | |||
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerk Port gemäss Grafik oberhalb "überlistet"): | |||
[[Datei:hqip-output-v54.txt]] | |||
Um die Fortigate wieder in den originalen Zustand zu versetzen führe ein Login über die Serielle Konsole durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus: | |||
HQIP login: admin | |||
Password: | |||
Welcome ! | |||
HQIP # execute reboot | |||
This operation will reboot the system ! | |||
Do you want to continue? (y/n)y | |||
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB: | |||
System is started. | |||
The config file may contain errors, | |||
Please see details by the command 'diagnose debug config-error-log read' | |||
Führe ein Login durch und führe folgendes aus: | |||
# diagnose debug config-error-log read | |||
>>> "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61) | |||
Oftmals ist ein einfacher Neustart der Fortigate nötig um das Problem zu beheben: | |||
# execute reboot | |||
=== Für FortiGate Devices der "E" Serie sowie FG-300D/500D existiert kein HQIP Image wie kann ich dennoch einen Hardwaretest ausführen? === | |||
Bei der "E" Serie zB FG-51E sowie FG-300D und FG-500D kann von der "Support" Seite kein separates HQIP Image heruntergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf den erwähnten FortiGate Devices ein neues "diagnose" Kommando zur Verfügung das diesen "Hardware Tests" im Stil von "HQIP" durchführt: | |||
# diagnose hardware test [Parameter] | |||
Als "Parameter" kommen folgende Attribute in Frage: | |||
bios führt eine BIOS spezifische Überprüfung durch | |||
system führt ein System spezifische Überprüfung durch | |||
usb führt eine USB spezifische Überprüfung durch | |||
button führt eine button spezifische Überprüfung durch | |||
cpu führt eine CPU spezifische Überprüfung durch | |||
memory führt ein Memory spezifische Überprüfung durch | |||
network führt eine Netzwerkinterface spezifische Überprüfung durch | |||
disk führt eine disk spezifische Überprüfung durch | |||
led führt eine LED spezifische Überprüfung durch | |||
wifi führt eine Wireless spezifische Überprüfung durch | |||
suite runthe HQIP test suite | |||
setting die Testeinstellungen können auf diesen Weg geändert werden | |||
info zeigt die aktuellen Test Parameter an | |||
Um alle "test suite" durchzuführen kann folgendes ausgeführt werden: | |||
# diagnose hardware test suite all | |||
Nachfolgend ein "output" dieses Befehls basierend auf einer FG-50E: | |||
[[Datei:diagnose-hardware-test-suite-all.txt]] | |||
=== Ein FortiGate Device führt unter FortiOS 5.4 selbständig einen immer wiederkehrenden Neustart aus was kann ich tun? === | |||
Wenn eine FortiGate selbständig immer wieder einen Neustart ausführt kann die Ursache vielfältig sein. Grundsätzlich fragt man sich was getan werden kann um herauszufinden wieso dem so ist? Eine Möglichkeit ist die Hardware zu testen anhand HQIP dh. um festzustellen ob ein Hardware Defekt vorliegt. Weitere Informationen dazu wie ein HQIP Test durchgeführt wird siehe nachfolgende Artikel: | |||
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_auf_einem_FortiGate_Device_einen_Hardwartest_ausf.C3.BChren_.28Troubleshooting.2FHQIP_Testing.29.3F]] | |||
[[FortiGate-5.4-5.6:FAQ#F.C3.BCr_FortiGate_Devices_der_.22E.22_Serie_sowie_FG-300D.2F500D_existiert_kein_HQIP_Image_wie_kann_ich_dennoch_einen_Hardwartest_ausf.C3.BChren.3F]] | |||
Eine andere Möglichkeit ist ist die Folgende: | |||
1. Konfiguriere "putty" für logging dh. alle Informationen werden in ein Log aufgezeichnet (Category > Session > Logging > All session output) | |||
2. Erstelle eine Consolen Verbindung zur FortiGate (RS232 basierend resp. Seriell) | |||
3. Führe ein Login durch und gebe folgendes ein: | |||
'''Setze alle Debug Filter zurück''' | |||
# diagnose debug reset | |||
'''Setze einen Debug Filter für "kernel level"''' | |||
# diagnose debug kernel level 7 | |||
'''Aktiviere für den debug "output" den "timestamp"''' | |||
# diagnose debug console timestamp enable | |||
'''Aktiviere den Debug Modus mit dem gesetzten Debug Filter''' | |||
# diagnose debug enable | |||
Danach muss die Verbindung aufrechterhalten werden und gewartet werden bis der selbständige Neustart des Devices ausgeführt wird. Durch den "debug" wird unter normalen Umständen in der Konsole aufgezeichnet was dieser Neustart ausgelöst hat. Dieser Output muss nachträglich einem Fortinet TAC Mitarbeiter (Support Ticket) übermittelt werden für das weitere Vorgehen. Unter normalen Umständen dh. ohne Neustart wird für diesen "debug" kein Output aufgezeichnet. Dieses Vorgehen kann ebenfalls benutzt werden, wenn durch den Device ein "freeze" durchgeführt wird. | |||
=== Gibt es für FortiGate Device's eine Übersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist? === | |||
Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren: | |||
[[Datei:FG-100D Airflow.pdf]] | |||
[[Datei:FG-200D Airflow.pdf]] | |||
[[Datei:FG-300C Airflow.pdf]] | |||
[[Datei:FG-600C_800C Airflow.pdf]] | |||
[[Datei:FG-1000C Airflow.pdf]] | |||
[[Datei:FG-1500D Airflow.pdf]] | |||
[[Datei:Fg-3700D Airflow.pdf]] | |||
Weitere Informationen betreffend Hardware Airflow für Fortinet Produkte finde man über folgenden Link: | |||
[[Fortinet:ProduktInfo#Fortinet_Hardware_Airflow]] | |||
=== Wie kann ich unter FortiOS 5.4 die verschiedenen Hardware Informationen eines FortiGate Devices anzeigen lassen? === | |||
Um die detaillierten Hardware Informationen auf einem FortiGate Device aufzulisten steht der folgende Befehl zur Verfügung: | |||
# get hardware [cpu | memory | nic | npu | status] | |||
Somit kann anhand der Optionen folgendes ausgeführt werden: | |||
# get hardware cpu | |||
Processor : ARMid(wb) rev 1 (v4l) | |||
model name : FortiSOC2 | |||
BogoMIPS : 799.53 | |||
Features : swp half thumb | |||
Hardware : FSoC2_ASIC | |||
Revision : 0000 | |||
Serial : 0000000000000000 | |||
Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1 | |||
Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32 | |||
Seperated TLB: Associativity 0 | |||
0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis | |||
SysP:En WB:En DC: En Align:En | |||
0x00000000 SB: Dis DB:Dis RS:Dis | |||
# get hardware memory | |||
total: used: free: shared: buffers: cached: shm: | |||
Mem: 1928364032 437944320 1490419712 0 2940928 154861568 140664832 | |||
Swap: 0 0 0 | |||
MemTotal: 1883168 kB | |||
MemFree: 1455488 kB | |||
MemShared: 0 kB | |||
Buffers: 2872 kB | |||
Cached: 151232 kB | |||
SwapCached: 0 kB | |||
Active: 74368 kB | |||
Inactive: 79864 kB | |||
HighTotal: 0 kB | |||
HighFree: 0 kB | |||
LowTotal: 1883168 kB | |||
LowFree: 1455488 kB | |||
SwapTotal: 0 kB | |||
SwapFree: 0 kB | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Weitere Befehle um detaillierte Informationen über die Memory Benutzung zu erhalten siehe nachfolgenden Artikel: | |||
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Memory_Benutzung_eines_FortiGate_Devices_anzeigen_lassen.3F]] | |||
# get hardware nic | |||
The following NICs are available: | |||
dmz | |||
internal1 | |||
internal2 | |||
internal3 | |||
internal4 | |||
internal5 | |||
internal6 | |||
internal7 | |||
wan1 | |||
wan2 | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Um detaillierte Informationen über ein spezifisches Interface zu erhalten benütze folgenden Befehl: | |||
# get hardware nic [Name des Interfaces zB "dmz "] | |||
Driver Name :Fortinet NP4Lite Driver | |||
Version :1.0.0 | |||
Admin :up | |||
Current_HWaddr 08:5b:0e:47:db:57 | |||
Permanent_HWaddr 08:5b:0e:47:db:57 | |||
Status :up | |||
Speed :100 | |||
Duplex :Half | |||
Host Rx Pkts :480560 | |||
Host Rx Bytes :104351252 | |||
Host Tx Pkts :468353 | |||
Host Tx Bytes :83937534 | |||
Rx Pkts :480558 | |||
Rx Bytes :111078750 | |||
Tx Pkts :468351 | |||
Tx Bytes :80501362 | |||
rx_buffer_len :2048 | |||
Hidden :No | |||
cmd_in_list : 0 | |||
promiscuous : 1 | |||
enabled 802.1x : 0 | |||
authorized : 0 | |||
mac bypass : 0 | |||
# get hardware npu | |||
legacy legacy | |||
np1 np1 | |||
np2 np2 | |||
np4 np4 | |||
<span style="color:#ba0c2f">'''NOTE'''</span> Dieser Output wird nur angezeigt sofern der entsprechende Device auf dem dieser Befehl ausgeführt wird auch einen | |||
"NPU" (Networking Processing Unit) enthält. Wenn es sich um einen Device mit integrierten NPU handelt dh. SoC | |||
wird kein Output geliefert. | |||
=== Was bedeuten die verschiedenen LED's Stati über die ein FortiGate Device am FrontPanel verfügt? === | |||
Ein FortiGate Device verfügt am FrontPanel über verschiedene LED's dh. zB High Availability, Power, Status usw. Diese können verschiedenen Stati anzeigen. Die Bedeutung der verschiedenen LED's sind im nachfolgenden Dokument anhand einer FG-30E, FG-60C sowie FG-100D beschrieben: | |||
[[Datei:FortiGate_LED_Specs.pdf]] | |||
== Konsolen Port == | == Konsolen Port == | ||
Version vom 9. April 2018, 08:28 Uhr
FortiGate-6.0:FAQ
Diese FAQ's sind für Fortinet Systeme basierend auf FortiOS 6.0. Sofern nichts Anderes vermerkt, stand zu Test-Zwecken eine Fortigate 60E zur Verfügung!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiGate Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiGate:
http://docs.fortinet.com/fortigate/admin-guides
FortiOS 6.0
Datei:FortiOS-Release-Notes-Version-6.0.0.pdf (FortiOS - Release Notes Version 6.0.0) Datei:Security-Fabric-Upgrade-Guide-6.0.0.pdf (Security Fabric - Upgrade Guide - FortiOS Version 6.0.0) Datei:FortiOS-FortiAPS-IPS-AV-compatibility.pdf (FortiOS IPS Engine Support) Datei:FortiGate-Whats-New-60.pdf (FortiOS 6.0 Handbook - What's New) Datei:FortiOS-Log-Reference-60.pdf (FortiOS 6.0 FortiOS Log Reference) Datei:FortiGate-CLI-Ref-60.pdf (FortiOS 6.0 FortiOS CLI Reference) Datei:Supported-RFCs-60.pdf (FortiOS 6.0 Supported RFC) Datei:Fortinet-Recommended-SecurityBestPractices.pdf (Fortinet Security Best Practices Version 1)
Datei:FortiOS-Compatibility-FAZ.pdf (Managed FortiAnalyzer Compatibility Matrix) Datei:FortiOS-Compatibility-FMG.pdf (Managed FortiManager Compatibility Matrix)
Datei:FortiGate-Handbook-60.pdf (FortiOS 6.0 Handbook - Komplettes Handbuch) Datei:FortiGate-Authentication-60.pdf (FortiOS 6.0 Handbook - Authentication) Datei:FortiGate-BestPractices-60.pdf (FortiOS 6.0 Handbook - Bestpraxis Guide) Datei:FortiGate-Carrier-60.pdf (FortiOS 6.0 Handbook - Carrier) Datei:FortiGate-FortiView-60.pdf (FortiOS 6.0 Handbook - FortiView) Datei:FortiGate-Firewall-60.pdf (FortiOS 6.0 Handbook - Firewall) Datei:FortiGate-HA-60.pdf (FortiOS 6.0 Handbook - High Availability) Datei:FortiGate-Hardening-60.pdf (FortiOS 6.0 Handbook - Hardening your FortiGate) Datei:FortiGate-Hardware-accel-60.pdf (FortiOS 6.0 Handbook - Hardware Acceleration) Datei:FortiGate-getting-started-60.pdf (FortiOS 6.0 Handbook - Getting Started) Datei:FortiGate-IPSec-VPN-60.pdf (FortiOS 6.0 Handbook - IPsec VPN) Datei:FortiGate-Life-of-a-Packet.60.pdf (FortiOS 6.0 Handbook - Parallel Path Processing (Life of a Packet) Datei:FortiGate-Load-Balancing-60.pdf (FortiOS 6.0 Handbook - Server Load Balancing) Datei:FortiGate-Logging-and-Reporting-60.pdf (FortiOS 6.0 Handbook - Logging and Reporting) Datei:FortiGate-Managing-Devices-60.pdf (FortiOS 6.0 Handbook - Managing Devices) Datei:FortiGate-Managing-Switch-60.pdf (FortiOS 6.0 Handbook - Managing FortiSwitch from FortiGate) Datei:FortiGate-Network-60.pdf (FortiOS 6.0 Handbook - Networking in FortiOS) Datei:FortiGate-Open-Ports-60.pdf (FortiOS 6.0 Handbook - Communication Ports and Protocols) Datei:FortiGate-Sandbox-Inspection-60.pdf (FortiOS 6.0 Handbook - Sandbox Inspection) Datei:FortiGate-Security-Fabric-60.pdf (FortiOS 6.0 Handbook - Security Farbric) Datei:FortiGate-Security-Profiles-60.pdf (FortiOS 6.0 Handbook - Security Profiles) Datei:FortiGate-SIP-60.pdf (FortiOS 6.0 Handbook - VoIP Solutions: SIP) Datei:FortiGate-SSL-VPN-60.pdf (FortiOS 6.0 Handbook - SSL VPN) Datei:FortiGate-System-Administration-60.pdf (FortiOS 6.0 Handbook - System Administration) Datei:FortiGate-Traffic-Shaping-60.pdf (FortiOS 6.0 Handbook - Traffic Shaping) Datei:FortiGate-Transparent-Mode-60.pdf (FortiOS 6.0 Handbook - Transparent Mode) Datei:FortiGate-Troubleshooting-60.pdf (FortiOS 6.0 Handbook - Troubleshooting) Datei:FortiGate-VDOMS-60.pdf (FortiOS 6.0 Handbook - Virtual Domains (VDoms)) Datei:FortiGate-Virtual-FortiOS-60.pdf (FortiOS 6.0 Handbook - Virtual FortiOS) Datei:FortiGate-Wireless-60.pdf (FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide)
Hardware
Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices?
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Über diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:
Variante Device Label
Die "Hardware Revision" wird als "Label" auf der Rückseite eines FortiGate Devices aufgeführt in
nachfolgender Form und als Strich-Code:
PN: P15968-01
Variante FortiOS
Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information:
# get system status | grep Part-Number
System Part-Number: P15968-01
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht eruiert werden sei es über ein "Label" noch über CLI. Wenn diese Informationen dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:
Fortinet:Support-Case NOTE Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet: Wenn eine neue "Hardware Revision" für diesen Device Release wird so kann diese über eine PN Nr. "P15968-01" verfügen jedoch als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von: PN Nummer (Hardware Revision) + Hardware Generation Diese Information der "Hardware Revision" sowie "Hardware Generation" sind dann wichtig, wenn es sich um ein Cluster handelt. Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!
Wo finde ich eine Übersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist?
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:
NOTE Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert: https://forum.fortinet.com/tm.aspx?m=100451#100451 Zusätzlich steht ein Dokument von Fortinet zur Verfügung die über die Hardware Schematic eines Fortinet Produktes wie zB CPU, RAM, Flash usw. Auskunft gibt: Fortinet:ProduktInfo#Fortinet_Hardware_Schematics
LEGENDE
FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
I2 = Intel Core 2 Duo
I3 = Intel Pentium III
I4 = Intel Pentium 4
IA = Intel Atom
IC = Intel Celeron (Covington)
II3 = Intel Core i3
II5 = Intel Core i5
IM = Intel Mobile
IX = Intel Xeon
CP: Content Processor
NP: Network Processor
SoC: System on a Chip
Was für FortiGate Devices stehen in der verschiedenen Verfügung und welche ist die Richtige?
Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB:
- Über was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll?
- Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Downstream/Upstream)?
- Wie viele User werden durch den FortiGate Device geschützt?
- Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw.)
- Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)?
- Werden spezielle Interfaces benötigt zB SFP+
- Wird ein spezieller Durchsatz in einem Bereich benötigt?
- Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.?
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenübergestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorien wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenübergestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:
Fortinet:ProduktInfo#Fortinet_Produkt-Matrix
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. des Weiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:
Fortinet:ProduktInfo#FortiGate
des Weiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:
Fortinet:ProduktInfo#Fortinet_Produkt-Guide
Nachfolgend als Anhaltspunkt eine Übersicht der FortiGate Devices in den verschiedenen Kategorien wie "Entry Level, Midsize usw.":
Wie kann ich auf einem FortiGate Device einen Hardwaretest ausführen (Troubleshooting/HQIP Testing)?
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am Ende der Seite. Nachfolgend der direkte Link für "HQIP Images":
https://support.fortinet.com/Download/HQIPImages.aspx NOTE Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.
Auf der FortiGate wird dieses HQIP Image wie beim "stagging" Prozess selber über TFTP hochgeladen. Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "stagging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Konsole muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:
Category > Session > Logging > All Session output
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Skript ausgeführt wird:
-> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden)
-> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers.
Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
um diesen runterzuladen:
SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx
-> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
Konfiguration der FortiGate durchzuführen!
-> Führe über die Serielle Konsole nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:
# execute shutdown
-> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate
verbunden werden (Beispiel: FortiGate-60D)
_____________________________
| RS232 Verbindung |
Konsolen Port | |
___________|___ | RS232 Anschluss
| | ____|_______________
| FortiGate 60D | 192.168.1.100/24 | |
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
| | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
WAN1 | |
|_____________________|
NOTE Auf dem Laptop müssen sämtliche Firewalls, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
-> Öffne über Putty eine Serielle Verbindung (Konsole) und achte darauf das "putty" für Log aktiviert wurde.
Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
FortiGate-60D (10:49-11.12.2014)
Ver:04000024
Serial number: FGT60D4615013788
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu
Unterbreche den Boot-Prozess durch "Press any key"
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
Enter C,R,T,F,I,B,Q,or H: T
Please connect TFTP server to Ethernet port 'WAN1'.
MAC: 08:5b:0e:d9:18:f0
Connect to tftp server 192.168.1.100 ...
############################################################
Image Received.
Checking image... OK
ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern, sondern NUR Ausführen!
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?R
Reading boot image... 1829759 bytes.
Initializing firewall...
System is starting..
Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...
You are running HQIP test program. To start testing, login as "admin" without password, and type:
diagnose hqip start
Logge dich nun ein anhand der obigen Informationen!
HQIP login: admin
Password:
Welcome !
HQIP # diagnose hqip start
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:
1.BIOS Integrity Check
2.System Configuration Check
3.Memory test
4.CPU test
5.CPU/Memory Performance Test
6.FortiASIC Test
7.USB Test
8.Boot Device Test
9.Hard Disk Test
10.Network Interface Controller Test
11.NPU DDR Memory Test
12.LED Test
13.Reset Button Test
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerk Port gemäss Grafik oberhalb "überlistet"):
Datei:Hqip-output-v54.txt
Um die Fortigate wieder in den originalen Zustand zu versetzen führe ein Login über die Serielle Konsole durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:
HQIP login: admin
Password:
Welcome !
HQIP # execute reboot
This operation will reboot the system !
Do you want to continue? (y/n)y
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:
System is started.
The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'
Führe ein Login durch und führe folgendes aus:
# diagnose debug config-error-log read
>>> "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)
Oftmals ist ein einfacher Neustart der Fortigate nötig um das Problem zu beheben:
# execute reboot
Für FortiGate Devices der "E" Serie sowie FG-300D/500D existiert kein HQIP Image wie kann ich dennoch einen Hardwaretest ausführen?
Bei der "E" Serie zB FG-51E sowie FG-300D und FG-500D kann von der "Support" Seite kein separates HQIP Image heruntergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf den erwähnten FortiGate Devices ein neues "diagnose" Kommando zur Verfügung das diesen "Hardware Tests" im Stil von "HQIP" durchführt:
# diagnose hardware test [Parameter]
Als "Parameter" kommen folgende Attribute in Frage:
bios führt eine BIOS spezifische Überprüfung durch
system führt ein System spezifische Überprüfung durch
usb führt eine USB spezifische Überprüfung durch
button führt eine button spezifische Überprüfung durch
cpu führt eine CPU spezifische Überprüfung durch
memory führt ein Memory spezifische Überprüfung durch
network führt eine Netzwerkinterface spezifische Überprüfung durch
disk führt eine disk spezifische Überprüfung durch
led führt eine LED spezifische Überprüfung durch
wifi führt eine Wireless spezifische Überprüfung durch
suite runthe HQIP test suite
setting die Testeinstellungen können auf diesen Weg geändert werden
info zeigt die aktuellen Test Parameter an
Um alle "test suite" durchzuführen kann folgendes ausgeführt werden:
# diagnose hardware test suite all
Nachfolgend ein "output" dieses Befehls basierend auf einer FG-50E:
Datei:Diagnose-hardware-test-suite-all.txt
Ein FortiGate Device führt unter FortiOS 5.4 selbständig einen immer wiederkehrenden Neustart aus was kann ich tun?
Wenn eine FortiGate selbständig immer wieder einen Neustart ausführt kann die Ursache vielfältig sein. Grundsätzlich fragt man sich was getan werden kann um herauszufinden wieso dem so ist? Eine Möglichkeit ist die Hardware zu testen anhand HQIP dh. um festzustellen ob ein Hardware Defekt vorliegt. Weitere Informationen dazu wie ein HQIP Test durchgeführt wird siehe nachfolgende Artikel:
FortiGate-5.4-5.6:FAQ#Wie_kann_ich_auf_einem_FortiGate_Device_einen_Hardwartest_ausf.C3.BChren_.28Troubleshooting.2FHQIP_Testing.29.3F FortiGate-5.4-5.6:FAQ#F.C3.BCr_FortiGate_Devices_der_.22E.22_Serie_sowie_FG-300D.2F500D_existiert_kein_HQIP_Image_wie_kann_ich_dennoch_einen_Hardwartest_ausf.C3.BChren.3F
Eine andere Möglichkeit ist ist die Folgende:
1. Konfiguriere "putty" für logging dh. alle Informationen werden in ein Log aufgezeichnet (Category > Session > Logging > All session output)
2. Erstelle eine Consolen Verbindung zur FortiGate (RS232 basierend resp. Seriell)
3. Führe ein Login durch und gebe folgendes ein:
Setze alle Debug Filter zurück
# diagnose debug reset
Setze einen Debug Filter für "kernel level"
# diagnose debug kernel level 7
Aktiviere für den debug "output" den "timestamp"
# diagnose debug console timestamp enable
Aktiviere den Debug Modus mit dem gesetzten Debug Filter
# diagnose debug enable
Danach muss die Verbindung aufrechterhalten werden und gewartet werden bis der selbständige Neustart des Devices ausgeführt wird. Durch den "debug" wird unter normalen Umständen in der Konsole aufgezeichnet was dieser Neustart ausgelöst hat. Dieser Output muss nachträglich einem Fortinet TAC Mitarbeiter (Support Ticket) übermittelt werden für das weitere Vorgehen. Unter normalen Umständen dh. ohne Neustart wird für diesen "debug" kein Output aufgezeichnet. Dieses Vorgehen kann ebenfalls benutzt werden, wenn durch den Device ein "freeze" durchgeführt wird.
Gibt es für FortiGate Device's eine Übersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist?
Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren:
Datei:FG-100D Airflow.pdf Datei:FG-200D Airflow.pdf Datei:FG-300C Airflow.pdf Datei:FG-600C 800C Airflow.pdf Datei:FG-1000C Airflow.pdf Datei:FG-1500D Airflow.pdf Datei:Fg-3700D Airflow.pdf
Weitere Informationen betreffend Hardware Airflow für Fortinet Produkte finde man über folgenden Link:
Fortinet:ProduktInfo#Fortinet_Hardware_Airflow
Wie kann ich unter FortiOS 5.4 die verschiedenen Hardware Informationen eines FortiGate Devices anzeigen lassen?
Um die detaillierten Hardware Informationen auf einem FortiGate Device aufzulisten steht der folgende Befehl zur Verfügung:
# get hardware [cpu | memory | nic | npu | status]
Somit kann anhand der Optionen folgendes ausgeführt werden:
# get hardware cpu
Processor : ARMid(wb) rev 1 (v4l)
model name : FortiSOC2
BogoMIPS : 799.53
Features : swp half thumb
Hardware : FSoC2_ASIC
Revision : 0000
Serial : 0000000000000000
Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
Seperated TLB: Associativity 0
0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
SysP:En WB:En DC: En Align:En
0x00000000 SB: Dis DB:Dis RS:Dis
# get hardware memory
total: used: free: shared: buffers: cached: shm:
Mem: 1928364032 437944320 1490419712 0 2940928 154861568 140664832
Swap: 0 0 0
MemTotal: 1883168 kB
MemFree: 1455488 kB
MemShared: 0 kB
Buffers: 2872 kB
Cached: 151232 kB
SwapCached: 0 kB
Active: 74368 kB
Inactive: 79864 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 1883168 kB
LowFree: 1455488 kB
SwapTotal: 0 kB
SwapFree: 0 kB
NOTE Weitere Befehle um detaillierte Informationen über die Memory Benutzung zu erhalten siehe nachfolgenden Artikel:
FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Memory_Benutzung_eines_FortiGate_Devices_anzeigen_lassen.3F
# get hardware nic
The following NICs are available:
dmz
internal1
internal2
internal3
internal4
internal5
internal6
internal7
wan1
wan2
NOTE Um detaillierte Informationen über ein spezifisches Interface zu erhalten benütze folgenden Befehl:
# get hardware nic [Name des Interfaces zB "dmz "]
Driver Name :Fortinet NP4Lite Driver
Version :1.0.0
Admin :up
Current_HWaddr 08:5b:0e:47:db:57
Permanent_HWaddr 08:5b:0e:47:db:57
Status :up
Speed :100
Duplex :Half
Host Rx Pkts :480560
Host Rx Bytes :104351252
Host Tx Pkts :468353
Host Tx Bytes :83937534
Rx Pkts :480558
Rx Bytes :111078750
Tx Pkts :468351
Tx Bytes :80501362
rx_buffer_len :2048
Hidden :No
cmd_in_list : 0
promiscuous : 1
enabled 802.1x : 0
authorized : 0
mac bypass : 0
# get hardware npu
legacy legacy
np1 np1
np2 np2
np4 np4
NOTE Dieser Output wird nur angezeigt sofern der entsprechende Device auf dem dieser Befehl ausgeführt wird auch einen
"NPU" (Networking Processing Unit) enthält. Wenn es sich um einen Device mit integrierten NPU handelt dh. SoC
wird kein Output geliefert.
Was bedeuten die verschiedenen LED's Stati über die ein FortiGate Device am FrontPanel verfügt?
Ein FortiGate Device verfügt am FrontPanel über verschiedene LED's dh. zB High Availability, Power, Status usw. Diese können verschiedenen Stati anzeigen. Die Bedeutung der verschiedenen LED's sind im nachfolgenden Dokument anhand einer FG-30E, FG-60C sowie FG-100D beschrieben:
Datei:FortiGate LED Specs.pdf
Konsolen Port
Was für ein Kabel (Konverter) benötige ich für den Konsolen Anschluss (Seriell RS-232) auf einer FortiGate?
Eine Fortinet kann über einen Konsolen Port, SSH, HTTP, HTTPS administriert werden. Für das initiale Setup oder bei Störungssuche ist der Konsolen Port unser bester Freund. Der Konsolen Port auf der Fortigate ist eine RS232 Schnittstelle. Problematisch ist, dass heutigen Workstations und/oder Laptops nicht mehr mit einem RS232 Anschluss hergestellt werden. Als Workaround kann auf einen Converter den RS232 simulieren. Meist werden dafür "USB to RS232 Converter" verwendet. Je nach Betriebssystem das man verwendet, kann dies jedoch zu kleineren oder grösseren Problem führen, bis man den Zugriff erfolgreich konfiguriert hat.
Der nachfolgende ALSO-Artikel bietet eine "sehr hohe" Kompatibilität zu verschiedenen Herstellern und hat den Vorteil, dass unter Windows 7/8 KEIN Treiber installiert werden muss (ab Windows 7 SP1). Wichtig bei der Installation ist nur das man das Gerät anschliesst und nachträglich einen Neustart ausführt. Ebenfalls wird der "FTDI Chip" basierende "USB to RS232 Converter" nur dann korrekt erkannt, wenn dieser beim Start des Laptops korrekt angeschlossen ist (Immer den gleichen Anschluss benützen am Laptop). Nach der erfolgreichen Erkennung des "USB to RS232 Converter" kann im Gerätemanager der Anschluss auf "Com1" umgestellt werden (per Standard ist Com3 gesetzt). Alle anderen Einstellungen sollten/können auf Standard belassen werden. Nachfolgend einige Informationen betreffend dieses "USB to RS232 Converter":
| USB to RS232 Converter |
|---|
| Datei:Fortinet-619.jpg |
Technische Daten
| Hersteller: | EXSYS (https://www.exsys.ch/index.php?page=product&info=393) |
|---|---|
| Produkte-Nr.: | EX-1301-2 |
| ALSO-Nr.: | 2170401 |
| Anschlüsse: | 1 x A-Stecker Upstream, 1 x 9 Pin D-SUB Seriell Stecker |
| Datenblatt: | Datei:EX-1301-2-Datenblatt.pdf |
| Handbuch: | Datei:EX-1301-2-Handbuch.pdf |
| Unterstützung: | Win98SE/ ME/ XP/ 200x/ Vista/ 7/ 8.x/ 10 (32&64-Bit) WinCE/ Linux/ Mac OS 10.x |
| Driver: | Datei:EX-1301-2.zip |
| Driver Link: | https://www.exsys.ch/index.php?page=product&info=393 |
| Beschreibung: | Das USB 1.1 zu RS-232 Kabel stellt eine Serielle RS-232 High Performance UART 16C550 Ausgang zur Verfügung. Er ist entwickelt worden um einen weiteren Seriellen Ausgang für PC, |
NOTE: Beim EX-1301-2 wird "kein" RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender ALSO-Nr. bezogen werden: 2692654
Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfiguriert wird inklusive der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:
Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf
Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Konsolen Port siehe nachfolgenden Artikel:
FortiGate-6.0:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F
Wie sieht die PIN-Belegung der Seriellen Konsolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus?
Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Konsole der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail. In den meisten Fällen haben die Devices eine RJ45 Schnittstelle als Konsolen Port. Ältere Modelle können auch einen RS-232 DB9 Port haben. Es gibt auch Modelle mit einem AUX Port. Gemeinsam haben alle, dass sie die gleiche Pin-Belegung benutzen:
| Pin Belegung RJ45 |
|---|
|
| Pin Belegung RS232 |
|---|
|
Kann ich auf einer FortiGate den Seriellen Konsolen Port (RS-232) deaktivieren?
Wenn man zum Beispiel verhindern möchte, dass in einem Datacenter usw. über den Seriellen Konsole Port unerlaubt zugegriffen wird, kann dieser mit folgenden Befehl deaktiviert werden:
| Konfiguration über CLI |
|---|
# config system console # set login disable # end |
Es wird nur der "Konsolen Port" deaktiviert und der "USB" Port muss sofern gewünscht separat deaktiviert werden:
| Konfiguration über CLI |
|---|
# config system console # set fortiexplorer disable # end |
Hardware
Wie wird ein virtueller Switch komplett gelöscht?
Um einen virtuellen Switch komplett zu löschen, müssen sämtliche Einstellungen und Objekte, welche darauf referenzieren zurückgebaut werden. Deshalb ist es am Einfachsten, wenn man sich gerade am Anfang bei der Initialkonfiguration Gedanken macht, ob man diesen virtuellen Switch verwenden möchte oder nicht. Um von einer Fortigate mit Werkseinstellung den virtuellen Switch zu löschen, muss sich via RS232 auf die Firewall verbunden werden, um dann wie folgt vorzugehen:
1. Sämtliche Firewall Policies mit Referenzen auf den Switch werden gelöscht:
fg-lab # config firewall policy fg-lab (policy) # show config firewall policy edit 1 set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe set srcintf "internal" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set nat enable next end fg-lab (policy) # delete 1 fg-lab (policy) # end
Alternativ kann mit dem Befehl purge das ganze Regelwerk auf einmal gelöscht werden:
fg-lab # config firewall policy
fg-lab (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (policy) # end
2. Alle DHCP Server mit Referenzen werden entfernt:
fg-lab # config system dhcp server fg-lab (server) # show config system dhcp server edit 1 set dns-service default set default-gateway 192.168.1.99 set netmask 255.255.255.0 set interface "internal" config ip-range edit 1 set start-ip 192.168.1.110 set end-ip 192.168.1.210 next end next edit 2 set dns-service default set default-gateway 10.253.255.254 set netmask 255.255.255.192 set interface "wqtn-sw.0" config ip-range edit 1 set start-ip 10.253.255.193 set end-ip 10.253.255.253 next end set timezone-option default next end fg-lab (server) # delete 1 fg-lab (server) # end
Alternativ kann auch mit dem Befehl purge jeder DHCP Server aufeinmal gelöscht werden
fg-lab # config system dhcp server
fg-lab (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (server) # end
3. Das Interface wird zurückgebaut:
fg-lab # config system interface fg-lab (interface) # edit internal fg-lab (internal) # show config system interface edit "internal" set vdom "root" set ip 192.168.1.99 255.255.255.0 set allowaccess ping https ssh http fgfm capwap set type switch set device-identification enable set role lan set snmp-index 7 next end fg-lab (internal) # set ip 0.0.0.0 0.0.0.0 fg-lab (internal) # next
4. Nun kann der Switch zurückgebaut werden:
fg-lab # config system virtual-switch fg-lab (virtual-switch) # show config system virtual-switch edit "lan" set physical-switch "sw0" config port edit "lan1" next edit "lan2" next edit "lan3" next edit "lan4" next edit "lan5" next end next end fg-lab (port) # delete lan1 fg-lab (port) # delete lan2 fg-lab (port) # delete lan3 fg-lab (port) # delete lan4 fg-lab (port) # delete lan5 WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later. Do you want to continue? (y/n)y fg-lab (port) # end
Bei einer FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:
fg-lab # config system switch-interface fg-lab (switch-interface) # show config system switch-interface edit "internal" set vdom "root" set member "wifi" "lan" next end fg-lab (switch-interface) # delete internal
Anschliessend kann der virtuelle Switch komplett gelöscht werden:
fg-lab # config system virtual-switch fg-lab (virtual-switch) # show config system virtual-switch edit "lan" set physical-switch "sw0" next end fg-lab (virtual-switch) # delete lan
Nun können sämtliche Ports auf der Firewall individuell verwendet werden.
Wireless-Controller
Wo finde ich Informationen betreffend FortiGate Wireless Controller und Forti Access Points?
Nachfolgender Artikel gibt Auskunft über die verschiedenen Konfigurationen und Betrieb von Forti Access Points im Zusammenhang mit dem FortiGate Wireless Controller:
FortiAP:FAQ
Wie konfiguriere ich einen Remote Access Point mit Split Tunnel?
Vorbemerkungen:
Ziel dieser Anleitung ist es, mit einem FortiAP-24D a eine gesicherte Remoteverbindung von einem Aussenstandort an einen Hauptstandort zu erstellen.Es handelt sich hier um ein typisches Szenario, welches eingesetzt werden soll, um kleine Aussenstandorte oder HomeOffice Mitarbeiter anzubinden. Die Dokumentation wurde mit einem AP24d erstellt. Es eignen sich aber grundsätzlich auch folgende Access Points um ein solches Szenario zu etablieren:
- FAP-11C
- FAP-14C
- FAP-21D
- FAP-24D
- FAP-25D
- FAP-28C
Ausgangslage:
| Zielarchitektur | Verwendete Geräte |
|
|
|
Vorbedingungen:
- Die Firewall im Main Office ist korrekt konfiguriert, so dass Clients im LAN über den WAN Anschluss ins Internet kommen.
- Die Firewall im Main Office wird direkt und ohne weitere Router mit einer public IP vom Provider von der WAN Seite verbunden.
- Der FortiAP befindet sich auf Werkseinstellungen, kriegt via DHCP am WAN Port eine IP, einen validen Default Gatway, einen gültigen DNS Server.
- Der FortiAP ist in der Lage über den am Ort vorhandenen Internetanschluss mindestens über die Ports 53TCP/UDP,443TCP,5246/UDP,5247/UDP ins Internet zu kommunizieren.
Konfigurationsschritte
1. Einschalten von CAPWAP auf WAN Interface
|
|
Die Verwaltung der Access Points über die Fortigate geschieht mit dem Protokoll CAPWAP. Damit die Fortigate Firewall Access Points über das WAN Interface verwalten kann, muss auf diesem Interface CAPWAP aktiviert werden. |
2. Erstellen der SSID
|
|
Unter Wifi & Switch Controller > SSID > + Create New wird eine neue SSID erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Damit später das SplitTunneling funktioneirt ist es insbesondere sehr wichtig, dass der Defaultgateway der IP der Fortigate auf diesem Interface entspricht. Die anderen Parameter wie Name, SSID, Security Mode, IP Range etc. können nach gutdünken angepasst werden. Nachdem diese SSID konfiguriert wurde, muss ein zusätzlicher Parameter wie folgt auf dem CLI konfiguriert werden: # config wireless-controller vap # edit [Name of SSID Profil] # set split-tunneling enable # end |
3. Erstellen FortiAP Profil
|
|
Unter Wifi & Switch Controller > FortiAP Profiles > + Create New wird eine neue FortiAP Profil erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Inbesondere wichtig ist hier, dass der korrekte AP Typ (AP-24d in diesem Fall) gewählt wird, und dass die zuvor erstellte SSID gewählt wird. Verfügt der Access Point zusätzlich über LAN Ports, so kann definiert werden, welches Netz an diesen LAN Ports ausgegeben werden soll. Es kann entweder das Netz am Remotestandort ausgegeben werden (Bridge to WAN) oder auch mittels NAT gearbeitet werden. Wird gewünscht dass hier das selbe Netz wie bei der SSID verwendet werden kann, so muss dies ebenfalls mittels Bridge to SSID und wahl des entsprechenden Netzes hinterlegt werden. Nachdem das FortiAP Profile konfiguriert wurde, können über das CLI zusätzlich die Netze konfiguriert werden, welche eben nicht über den VPN Tunnel gehen sollen, sondern welche lokal ausgekoppelt werden sollen. Im obenstehenden Beispiel wäre dies das Netz 192.168.1.0/24 welches sich hinter dem Swisscom Router befindet. Somit hat ein Gerät hinter dem FortiAP folgende Kommunikationsmöglichkeiten:
# config wireless-controller wtp-profile # set split-tunneling-acl-local-ap-subnet enable # config split-tunneling-acl # edit [Use a integer example "1"] # set dest-ip [IPv4 address as 192.168.1.0/24] # end Wird gewünscht, dass nur gewisse Netze an den Hauptstandort geroutet werden sollen, und alles andere (inklusive Internetverkehr) lokal ausgekoppelt werden soll, so muss mit einer umgekehrten Maskierung gearbeitet werden, und hier in der Konfiguration alle Netze angegeben werden, welche nicht durch den Tunnel sollen. Der hier konfigurierte CAPWAP Tunnel wird ausserdem standardmässig nicht mit DTLS verschlüsselt. Dies muss ebenfalls im CLI konfiguriert werden: # config wireless-controller wtp-profile # edit [Name des entsprechenden Profils] # set dtls-policy dtls-enabled # end Der durch die DTLS Verschlüsselung anfallende Overhead beträgt je nach AccessPoint ca. 20%. |
4. Vorprovisionieren des AP
|
|
Unter Wifi & Switch Controller > Managed FortiAPs > + Create New kann nun der zu verbindende Accesspoint vorkonfiguriert werden. Wichtig hierbei ist die korrekte Seriennummer, sowie das entsprechende vorgängig erstellte FortiAP Profil. Hat sich der Access Point bereits bei der Fortigate gemeldet, so sieht man dies anhand der IP unter der Kategorie Managed AP Status. |
5. Erstellen der Firewall Policy
Damit der Datenverkehr zwischen dem AP und dem Internet sowie zwischen dem AP und den internen Ressourcen gewährleistet werden kann, benötigt es auch entsprechende Firewall Regeln:
6. Definieren der Management IP auf dem AP
Damit der AP nun den Weg zu seinem Controller findet, wenn er das erste Mal am Remote Standort eingesteckt wird, müssen wir ihm die IP hierfür konfigurieren. Dies geschieht auf dem Accesspoint direkt. Ein nicht konfigurierter Accesspoint hat standardmässig die IP 192.168.1.2 auf dem WAN Port. Auf diese kann man sich mittels Telnet verbinden, um die entsprechende Konfiguration vorzunehmen. Ein zugriff auf den Access Point ist allenfalls auch via USB und FortiExplorer möglich. (Siehe FortiExplorer Handbuch)
C:\Users\huberch>telnet 192.168.1.2 FAP24D3X15001883 # login: admin FAP24D3X15001883 # cfg -a AC_IPADDR_1=172.20.120.142 FAP24D3X15001883 # cfg -c FAP24D3X15001883 # exit
7. Verbinden
Nachdem der Access Point mit dem Internet verbunden wurde, wird er innerhalb von 3-5 Minuten eine Verbindung zu seinem Fortigate Controller aufnehmen. Dies kann im GUI überprüft werden:
Quellen und weiterführende Informationen:
Inspection Modes
Wofür werden die Inspection Modes gebraucht?
Jede Fortigate Firewall hat zwei mögliche Betriebsmodis, mit welchen der Datenverkehr inspiziert werden kann:
| Flow-Based | Proxy-Based | |
| Beschreibung |
Prüft den Datenverkehr on-the-flow. Hier wird hauptsächlich Flow-Based-Pattern-Matching verwendet, um Sicherheitsbedrohungen innerhalb des Datenflusses zu identifizieren. |
Puffert den Datenverkehr und überprüft den Datenverkehr anhand der Informationen aus den vollständigen Paketen. Die Entscheidung über das weitere Vorgehen mit einem Datenstrom wird somit immer anhand vollständiger Datenpakete vorgenommen. In diesem Betriebsmodi schreibt die Firewall die Paketheader vor dem Weiterleiten neu. |
| Vor/Nachteile |
+ Der Datenverkehr wird ohne Verzögerung ausgeliefert |
+ Entscheidungen im Proxy-Mode fallen detaillierter aus. |
Eine bewusste Konfikguration zwischen Flow- und Proxy-Modus ist hilfreich, wenn sichergestellt werden soll, dass ausschliesslich der Flow-Inspektionsmodus verwendet werden soll. Die konkreten Funktionsunterschiede zwischen dem Proxy- und Flowbased Inspectionmode können der Fortinet Hilfe entnommen werden:
Wie kann der Inspection Mode einer Firewall geändert werden?
Unter FortiOS 6.0 wird der Inspection Mode pro Firewall oder auf einer mit VDOMs konfigurierten Firewall pro VDOM global angepasst werden.
Im GUI ist diese Konfiguration unter System > Settings > Inspection Mode zu finden.
Im CLI kann dieser Konfigurationspunkte wie folgt geändert werden:
fg-lab # config system settings fg-lab (settings) # show config system settings set inspection-mode flow ...
Das Überschreiben dieser globalen Einstellung von Flow nach Proxy führt dazu, dass in jedem Security Profile auf der gesamten Appliance/VDOM der Inspection Mode ebenfalls auf die hier gestellte Einstellung gestellt wird. Das Überschreiben dieser Option von Proxy nach Flow führt jedoch nicht dazu, dass diese Einstellung in jedem Security Profil überschrieben wird.
SSL-VPN
Wie muss SSL-VPN Bookmark konfiguriert werden, wenn der Zielserver nur über einen IPSec Tunnel verfügbar ist?
Vorbemerkungen:
Ziel dieser Anleitung ist, eine Intranet Webseite die nur über einen IPSec Tunnel erreichbar ist, über ein Bookmark auf einem SSL-VPN Portal auf einer Fortigate abzubilden.
Ausgangslage:
| Zielarchitektur | Verwendete Geräte |
|
|
|
Annahmen:
Die folgende Anleitung basiert auf folgenden Voraussetzungen:
- Die Fortigate Firewall ist vollständig konfiguriert, hat Zugriff aufs Internet, LAN->WAN Kommunikation ist bereits etabliert.
- Der IPSec Tunnel zwischen der Fortigate und dem Drittprodukt, hinter welchem sich der zu publizierende Webserver (In diesem Fall 172.16.1.10) befindet, wurde bereits erfolgreich etabliert, so dass eine Kommunikation zwischen den lokalen Clients (192.168.10.0/24) und den Remote Clients (172.16.1.0/24) möglich ist.
1. Erstellung SSL VPN Portal
Um das SSL VPN Portal zu erstellen, gehe auf der Weboberfläche unter VPN > SSL-VPN Portals und erstelle mit Create New ein neues SSL VPN Portal:
|
|
Mit einem Klick auf Ok wird dieses Portal abgespeichert. |
2. Konfiguration der SSL VPN Einstellungen
Im nächsten Schritt wird definiert auf welchem Interface und auf welchem Port das User Portal überhaupt erreichbar sein sollen. Wir definieren welche Gruppen und Benutzer auf das Portal zugriff haben sollen, und wir verknüpfen das in Schritt 1 erstellte Portal mit dem Default Portal. Wähle dazu den MenüpunktVPN > SSL-VPN Settings:
|
|
Mit einem Apply werden die gewählten Einstellungen appliziert. |
Somit haben wir die nötigen Einstellungen für das SSL VPN Portal vorgenommen.
3. Erstellung des IP Pools
Damit nun das SSL VPN Portal in der Lage ist, mit diesem Webserver zu kommunizieren benötigt es eine Firewall Regel, welche der Firewall dies erlaubt. Für diese Firewallregel benötigen wir einen IP Pool, damit die Source IP des Requests der Firewall dem entsprechend angepasst wird. Diesen IP-Pool erstellen wir unter Policies & Objects > IP Pools > Create new
|
|
Mittels Apply wird abgespeichert. |
4. Firewall Regel
Zum Schluss wird noch die Firewall Regel erstellt, welche benötigt wird, damit eine Kommunikation zwischen dem Portal und dem Webserver erlaubt wird: Policy & Objects > IPv4 Policy > Create new
|
|
Mittels OK wird die Firewall Regel gespeichert. |
Ergebnis
Ein Berechtigter Benutzer ist nun in der Lage über die externe IP der Firewall auf das Userportal zuzugreifen. Auf diesem User Portal hat er ein Bookmark, welches wiederum auf einen Webserver zeigt, der nur via IPSec zugänglich ist. Mit einem Klick auf das Bookmark kann der User nun auf diesen Webserver zugreifen:
