FortiGate:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Zeile 437: Zeile 437:
               port11  N/A          N/A        N/A        N/A        N/A
               port11  N/A          N/A        N/A        N/A        N/A
           ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.
           ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.
== Hardware ==
=== Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices? ===
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Über diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:
{| class="wikitable"
|-
! Variante Device Label
! Variante FortiOS
|-
| style="width:550px" ;|
Die "Hardware Revision" wird als "Label" auf der Rückseite eines FortiGate Devices aufgeführt in nachfolgender Form und als Strich-Code:
'''PN: P15968-01'''
|Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information:
<pre>
# get system status | grep Part-Number
System Part-Number: P15968-01
</pre>
|-
|}
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht eruiert werden sei es über ein "Label" noch über CLI. Wenn diese Informationen benötigt wird, muss über ein Customer Care Ticket die entsprechende Information der "Hardware Generation" nachgefragt werden werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:
        [[Fortinet:Support-Case]]
Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet, wenn eine neue "Hardware Revision" für diesen Device Release wird so kann diese über eine PN Nr. "P15968-01" verfügen jedoch als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt zB "P15978-02". Somit kann anhand der PN Nummer '''keinen''' Rückschlüss gezogen werden, über die nötige Information von:         
      PN Nummer (Hardware Revision) + Hardware Generation
Diese Information der "Hardware Revision" sowie "Hardware Generation" sind dann wichtig, wenn es sich um ein Cluster handelt. Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!
=== Wo finde ich eine Übersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist? ===
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:
        <span style="color:#ba0c2f">'''NOTE'''</span> Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert:
           
            https://forum.fortinet.com/tm.aspx?m=100451#100451
           
            Zusätzlich steht ein Dokument von Fortinet zur Verfügung die über die Hardware Schematic eines Fortinet Produktes wie zB
            CPU, RAM, Flash usw. Auskunft gibt:
           
            [[Datei:Fortinet-Hardware-Schematics.pdf]]
        '''LEGENDE'''
        FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
        I2 = Intel Core 2 Duo
        I3 = Intel Pentium III
        I4 = Intel Pentium 4
        IA = Intel Atom
        IC = Intel Celeron (Covington)
        II3 = Intel Core i3
        II5 = Intel Core i5
        IM = Intel Mobile
        IX = Intel Xeon
       
        CP: Content Processor
        NP: Network Processor
        SoC: System on a Chip
        [[Datei:Fortinet-821.jpg]]
        [[Datei:Fortinet-822.jpg]]
        [[Datei:Fortinet-823.jpg]]
        [[Datei:Fortinet-1611.jpg]]
        [[Datei:Fortinet-824.jpg]]
=== Was für FortiGate Geräte stehen zur Verfügung und wie finde ich das richtige? ===
Wenn für einen Kunden ein FortiGate Device evaluiert werden soll stellt sich jeweils die Frage welches ist das richtige Gerät für diesen Kunden? Um dies zu eruieren sind folgende Punkte massgebend:
* Über was für eine Internet Anbindung verfügt der Kunde, an der die FortiGate installiert werden soll?
* Ist ein Ausbau/Wechsel der Internet Anbindung geplant? Falls ja, wie wird diese vergrössert? (Downstream/Upstream)?
* Wie viele User werden durch den FortiGate Device geschützt?
* Welche UTM Features sollen auf der FortiGate aktiviert werden? (Antivirus, WebFilter, IPS usw.)
* Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)?
* Werden spezielle Interfaces benötigt um Beispiel SFP+
* Wird ein spezieller Durchsatz in einem Bereich benötigt?
* Wie wird das "logging" durchgeführt? Soll auf Disk, FortiAnalyzer oder Syslogserver geloggt werden?
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung. In dieser werden die verschiedenen Devices gegenübergestellt. Dabei werden die verschiedenen "Durchsätze" in verschiedenen Kategorien wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:
        [[Datei:ProductMatrix.pdf]]
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. des Weiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:
        [[Fortinet:ProduktInfo#FortiGate]]
des Weiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:
        [[Datei:Fortinet-ProductGuide.pdf]]
Nachfolgend als Anhaltspunkt eine Übersicht der FortiGate Devices in den verschiedenen Kategorien wie "Entry Level, Midsize usw.":
{| class="wikitable"
|-
! FortiGate Entry Level Series: Comparison
|-
| [[Datei:Fortinet-1392-A.jpg]]
[[Datei:Fortinet-1392-B.jpg]]
|-
|}
{| class="wikitable"
|-
! FortiGate Mid Range Devices: Comparison
|-
| [[Datei:Fortinet-1393.jpg]]
[[Datei:Fortinet-1393-A.jpg]]
[[Datei:Fortinet-1393-B.jpg]]
|-
|}
{| class="wikitable"
|-
! FortiGate 1000 und 2000 Series: Comparison
|-
| [[Datei:Fortinet-1394.jpg]]
|-
|}
{| class="wikitable"
|-
! FortiGate 3000 Series: Comparison
|-
| [[Datei:Fortinet-1395.jpg]]
|-
|}
{| class="wikitable"
|-
! FortiGate 5000: Comparison
|-
| [[Datei:Fortinet-1396.jpg]]
|-
|}
Einen Detaillierten Überblick bekommt man auf der folgenden Seite:
      http://help.fortinet.com/fgt/60/6-0-0/max-values.html
=== Wie kann ich auf einem FortiGate Device einen Hardwaretest ausführen (Troubleshooting/HQIP Testing)? ===
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am Ende der Seite. Nachfolgend der direkte Link für "HQIP Images":
        https://support.fortinet.com/Download/HQIPImages.aspx
{| class="wikitable" style="width:850px"
|-
| style="background-color: #f8e7ea;" | <span style="color:#ba0c2f">'''NOTE:'''</span>
|Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das
entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben
werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und
Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht
zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device
den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.
|-
|}
Auf der FortiGate wird dieses HQIP Image wie beim "stagging" Prozess selber über TFTP hochgeladen.
Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "stagging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Konsole muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:
        Category > Session > Logging > All Session output
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Skript ausgeführt wird:
        -> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden)
         
        -> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers.
          Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
          um diesen runterzuladen:
         
          SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx
         
        -> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
          Konfiguration der FortiGate durchzuführen!
         
        -> Führe über die Serielle Konsole nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:
       
        # '''execute shutdown'''
               
        -> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate
          verbunden werden (Beispiel: FortiGate-60D)
       
                      _____________________________
                      |      RS232 Verbindung      |
        Konsolen Port |                            |
          ___________|___                          | RS232 Anschluss
          |              |                    ____|_______________
          | FortiGate 60D |  192.168.1.100/24 |                    |
          |_______________|              _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
                  |                    | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
              WAN1 |                    |     
                  |_____________________|   
       
          <span style="color:#ba0c2f">'''NOTE'''</span> Auf dem Laptop müssen sämtliche Firewalls, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
              muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
       
        -> Öffne über Putty eine Serielle Verbindung (Konsole) und achte darauf das "putty" für Log aktiviert wurde.
          Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
       
        FortiGate-60D (10:49-11.12.2014)
        Ver:04000024
        Serial number: FGT60D4615013788
        CPU(00): 800MHz
        Total RAM:  2GB
        Initializing boot device...
        Initializing MAC... nplite#0
        Please wait for OS to boot, or press any key to display configuration menu
       
        '''Unterbreche den Boot-Prozess durch "Press any key"'''
               
        [C]: Configure TFTP parameters.
        [R]: Review TFTP parameters.
        [T]: Initiate TFTP firmware transfer.
        [F]: Format boot device.
        [I]: System information.
        [B]: Boot with backup firmware and set as default.
        [Q]: Quit menu and continue to boot.
        [H]: Display this list of options.
       
        Enter C,R,T,F,I,B,Q,or H: T
       
        Please connect TFTP server to Ethernet port 'WAN1'.
       
        MAC: 08:5b:0e:d9:18:f0
       
        Connect to tftp server 192.168.1.100 ...
       
        ############################################################
        Image Received.
        Checking image... OK
       
        '''ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern, sondern NUR Ausführen!'''
       
        Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?'''R'''
        Reading boot image... 1829759 bytes.
        Initializing firewall...
       
        System is starting..
       
        Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...
       
        You are running HQIP test program. To start testing, login as "admin" without password, and type:
        diagnose hqip start
       
        '''Logge dich nun ein anhand der obigen Informationen!'''
       
        HQIP login: '''admin'''
        Password:
        Welcome !
       
        HQIP # '''diagnose hqip start'''
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:
        1.BIOS Integrity Check
        2.System Configuration Check
        3.Memory test
        4.CPU test
        5.CPU/Memory Performance Test
        6.FortiASIC Test
        7.USB Test
        8.Boot Device Test
        9.Hard Disk Test
        10.Network Interface Controller Test
        11.NPU DDR Memory Test
        12.LED Test
        13.Reset Button Test
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):
        [[Datei:Fortinet-1632.jpg]]
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerk Port gemäss Grafik oberhalb "überlistet"):
        [[Datei:hqip-output-v54.txt]]
Um die Fortigate wieder in den originalen Zustand zu versetzen führe ein Login über die Serielle Konsole durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:
        HQIP login: admin
        Password:
        Welcome !
       
        HQIP # execute reboot
        This operation will reboot the system !
        Do you want to continue? (y/n)y
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:
        System is started.
        The config file may contain errors,
        Please see details by the command 'diagnose debug config-error-log read'
Führe ein Login durch und führe folgendes aus:
        # diagnose debug config-error-log read
        >>>  "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)
Oftmals ist ein einfacher Neustart der Fortigate nötig um das Problem zu beheben:
        # execute reboot
=== Für FortiGate Devices der "E" Serie sowie FG-300D/500D existiert kein HQIP Image wie kann ich dennoch einen Hardwaretest ausführen? ===
Bei der "E" Serie zB FG-51E sowie FG-300D und FG-500D kann von der "Support" Seite kein separates HQIP Image heruntergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf den erwähnten FortiGate Devices ein neues "diagnose" Kommando zur Verfügung das diesen "Hardware Tests" im Stil von "HQIP" durchführt:
        # diagnose hardware test [Parameter]
Als "Parameter" kommen folgende Attribute in Frage:
        bios                    führt eine BIOS spezifische Überprüfung durch
        system                  führt ein System spezifische Überprüfung durch
        usb                    führt eine USB spezifische Überprüfung durch
        button                  führt eine button spezifische Überprüfung durch
        cpu                    führt eine CPU spezifische Überprüfung durch
        memory                  führt ein Memory spezifische Überprüfung durch
        network                führt eine Netzwerkinterface spezifische Überprüfung durch
        disk                    führt eine disk spezifische Überprüfung durch
        led                    führt eine LED spezifische Überprüfung durch
        wifi                    führt eine Wireless spezifische Überprüfung durch
        suite                  runthe HQIP test suite
        setting                die Testeinstellungen können auf diesen Weg geändert werden
        info                    zeigt die aktuellen Test Parameter an
Um alle "test suite" durchzuführen kann folgendes ausgeführt werden:
        # diagnose hardware test suite all
Nachfolgend ein "output" dieses Befehls basierend auf einer FG-50E:
        [[Datei:diagnose-hardware-test-suite-all.txt]]
=== Gibt eine Übersicht wie die Luftzirkulation (Airflow) in einer FortiGate funktioniert? ===
Im Nachfolgendem Dokument wird gezeigt wie die Luftzirkulation/Kühlung in den entsprechenden FortiGate Devices aufgebaut ist und wie diese funktioniert:
      [[Datei:Fortinet-Hardware-Airflow.pdf]]
=== Wie kann ich unter die verschiedenen Hardware Informationen eines FortiGate Devices anzeigen lassen? ===
Um die detaillierten Hardware Informationen auf einem FortiGate Device aufzulisten steht der folgende Befehl zur Verfügung:
{| class="wikitable"
|- style="background:#c4dc92"
| Konfiguration über CLI
|-
| style="width:850px" ;|
  # get hardware [cpu | memory | nic | npu | status]
|-
|}
Somit kann anhand der Optionen folgendes ausgeführt werden:
{| class="wikitable"
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware cpu'''
|-
| style="width:850px" ;|
# '''get hardware cpu'''
  Processor      : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb
         
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware memory'''
|-
| style="width:850px" ;|
# '''get hardware memory'''
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:      1455488 kB
  MemShared:          0 kB
  Buffers:          2872 kB
  Cached:        151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:          0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:      1455488 kB
  SwapTotal:          0 kB
  SwapFree:            0 kB
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware cpu'''
|-
| style="width:850px" ;|
  # '''get hardware cpu'''
  Processor      : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb
     
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware memory'''
|-
| style="width:850px" ;|
  # '''get hardware memory'''
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:      1455488 kB
  MemShared:          0 kB
  Buffers:          2872 kB
  Cached:        151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:          0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:      1455488 kB
  SwapTotal:          0 kB
  SwapFree:            0 kB
<span style="color:#ba0c2f">'''NOTE'''</span> Weitere Befehle um detaillierte Informationen über die Memory Benutzung zu erhalten siehe nachfolgenden Artikel:
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Memory_Benutzung_eines_FortiGate_Devices_anzeigen_lassen.3F|Artikel Benutzung Memory anzeigen lassen]]
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware nic'''
|-
| style="width:850px" ;|
  # '''get hardware nic'''
  The following NICs are available:
      dmz
      internal1
      internal2
      internal3
      internal4
      internal5
      internal6
      internal7
      wan1
      wan2
     
<span style="color:#ba0c2f">'''NOTE'''</span> Um detaillierte Informationen über ein spezifisches Interface zu erhalten benütze folgenden Befehl:
  # '''get hardware nic''' [Name des Interfaces zB "dmz "]
    Driver Name    :Fortinet NP4Lite Driver
    Version        :1.0.0
    Admin          :up
    Current_HWaddr  08:5b:0e:47:db:57
    Permanent_HWaddr 08:5b:0e:47:db:57
    Status          :up
    Speed          :100
    Duplex          :Half
    Host Rx Pkts    :480560
    Host Rx Bytes  :104351252
    Host Tx Pkts    :468353
    Host Tx Bytes  :83937534
    Rx Pkts        :480558
    Rx Bytes        :111078750
    Tx Pkts        :468351
    Tx Bytes        :80501362
    rx_buffer_len  :2048
    Hidden          :No
    cmd_in_list    : 0
    promiscuous    : 1
    enabled 802.1x  : 0
    authorized      : 0
    mac bypass      : 0
|- style="background:#c4dc92"
| Konfiguration über CLI '''get hardware npu'''
|-
| style="width:850px" ;|
  # '''get hardware npu'''
  legacy    legacy
  np1      np1
  np2      np2
  np4      np4
Dieser Output wird nur angezeigt sofern der entsprechende Device auf dem dieser Befehl ausgeführt wird auch einen "NPU" (Networking Processing Unit) enthält. Wenn es sich um einen Device mit integrierten NPU handelt dh. SoC wird kein Output geliefert.
|}
=== Was bedeuten die verschiedenen LED's Stati über die ein FortiGate Device am FrontPanel verfügt? ===
Ein FortiGate Device verfügt am FrontPanel über verschiedene LED's dh. zB High Availability, Power, Status usw. Diese können verschiedenen Stati anzeigen. Die Bedeutung der verschiedenen LED's sind im nachfolgenden Dokument anhand einer FG-30E, FG-60C sowie FG-100D beschrieben:
        [[Datei:FortiGate_LED_Specs.pdf]]
=== Wie wird ein virtueller Switch komplett gelöscht? ===
Um einen virtuellen Switch komplett zu löschen, müssen sämtliche Einstellungen und Objekte, welche darauf referenzieren zurückgebaut werden. Deshalb ist es am Einfachsten, wenn man sich gerade am Anfang bei der Initialkonfiguration Gedanken macht, ob man diesen virtuellen Switch verwenden möchte oder nicht. Um von einer Fortigate mit Werkseinstellung den virtuellen Switch zu löschen, muss sich via RS232 auf die Firewall verbunden werden, um dann wie folgt vorzugehen:
{| class="wikitable"
|- style="background:#c4dc92"
|'''1. Sämtliche Firewall Policies mit Referenzen auf den Switch werden gelöscht:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config firewall policy
fg-lab (policy) # show
config firewall policy
    edit 1
set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
    end
fg-lab (policy) # delete 1
fg-lab (policy) # end
</pre>
Alternativ kann mit dem Befehl ''purge'' das ganze Regelwerk auf einmal gelöscht werden:
<pre>
fg-lab # config firewall policy
fg-lab (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (policy) # end
</pre>
|- style="background:#c4dc92"
|'''2. Alle DHCP Server mit Referenzen werden entfernt:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system dhcp server
fg-lab (server) # show
config system dhcp server
    edit 1
set dns-service default
set default-gateway 192.168.1.99
set netmask 255.255.255.0
set interface "internal"
config ip-range
    edit 1
        set start-ip 192.168.1.110
                set end-ip 192.168.1.210
    next
    end
    next
    edit 2
set dns-service default
set default-gateway 10.253.255.254
set netmask 255.255.255.192
set interface "wqtn-sw.0"
config ip-range
    edit 1
        set start-ip 10.253.255.193
        set end-ip 10.253.255.253
    next
end
set timezone-option default
    next
end
fg-lab (server) # delete 1
fg-lab (server) # end
</pre>
Alternativ kann auch mit dem Befehl ''purge'' jeder DHCP Server aufeinmal gelöscht werden:
<pre>
fg-lab # config system dhcp server
fg-lab (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (server) # end
</pre>
|- style="background:#c4dc92"
|'''3. Das Interface wird zurückgebaut:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system interface
fg-lab (interface) # edit internal
fg-lab (internal) # show
config system interface
    edit "internal"
set vdom "root"
set ip 192.168.1.99 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set type switch
set device-identification enable
set role lan
set snmp-index 7
    next
end
fg-lab (internal) # set ip 0.0.0.0 0.0.0.0
fg-lab (internal) # next
</pre>
|- style="background:#c4dc92"
|'''4. Nun kann der Switch zurückgebaut werden:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
    edit "lan"
set physical-switch "sw0"
config port
    edit "lan1"
    next
    edit "lan2"
    next
    edit "lan3"
    next
    edit "lan4"
    next
    edit "lan5"
    next
end
    next
end
fg-lab (port) # delete lan1
fg-lab (port) # delete lan2
fg-lab (port) # delete lan3
fg-lab (port) # delete lan4
fg-lab (port) # delete lan5
WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later.
Do you want to continue? (y/n)y
fg-lab (port) # end
</pre>
Bei einer FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:
<pre>
fg-lab # config system switch-interface
fg-lab (switch-interface) # show
config system switch-interface
    edit "internal"
set vdom "root"
set member "wifi" "lan"
    next
end
fg-lab (switch-interface) # delete internal
</pre>
|- style="background:#c4dc92"
|'''5. Jetzt kann der virtuelle Switch komplett gelöscht werden:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
    edit "lan"
        set physical-switch "sw0"
    next
end
fg-lab (virtual-switch) # delete lan
</pre>
|-
|}
Nun können sämtliche Ports auf der Firewall individuell verwendet werden.


== Konsolen Port ==
== Konsolen Port ==

Version vom 23. Juli 2018, 13:52 Uhr

FortiGate-6.0:FAQ

Vorowrt

Diese FAQ's sind für Fortinet Systeme basierend auf FortiOS 6.0. Sofern nichts Anderes vermerkt, stand zu Test-Zwecken eine Fortigate 60E zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Dokumentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiGate Devices: 

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet: 

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiGate: 

       http://docs.fortinet.com/fortigate/admin-guides
FortiOS 6.0 Release Notes
Security Fabric Upgrade Guide
Referenzen
Compatibility Matrix
FortiOS 6.0 Handbook Dokumente

Request of Proposal=

Hardware

Disk

Wie kann ich auf einer FortiGate die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen?

Es gibt die Möglichkeit die internal Disk und/oder den "System Boot Device" über "low level" zu formatieren. Dies kommt dann zum Zuge, wenn ein Device entsorgt wird oder dem Hersteller wegen eines RMA Falles zurückgesendet werden wird. So wird gewährleistet, dass sämtliche Daten auf der Disk gelöscht werden. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk" respektive des "System Boot Device's" mit zufälligen Daten 3mal überschrieben. Mit dieser Methode wird gesorgt, dass die vorhandenen Daten komplett gelöscht werden. Den Vorgang startet man über das folgende CLI Kommando

Konfiguration über CLI 
# execute erase-disk [SYSTEM | Internal]

Wenn ein Device aus Gründen der "Security Gründen" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann, obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht, bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an, der es ermöglicht bei einem RMA Austausch den Device selber zu entsorgen, anstelle diesen dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen sind im folgenden Artikel zu entnehmen: 

       Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F

Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen ob diese Fehler enthält?

Anhand des Befehls "diagnose disktest" kann auf einer FortiGate die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maintenance Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss die entsprechende Disk ausgewählt werden. Um die Disk's aufzulisten benutze folgenden Befehl:

NOTE:

Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit läuft der Test für 7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2". Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes: 

"User interrupt! Restoring data back to disk....".

Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst gewählt werden. Daraus ergiebt sich folgendes Vorgehen:

Liste die vorhandenen Device's auf: 
# diagnose disktest device ?
1    /dev/sda, size 3864MB, boot device
2    /dev/sdb, size 7728MB
Selektieren die gewünschte Disk zB /dev/sdb dh. "2": 
# diagnose disktest device 2
Current Test Device: /dev/sdb
Setze für den Test verschiedene Optionen: 
# diagnose disktest [block | time | size]

Die Optionen haben folgende Bedeutung:
     
block       Die Blocksize für jede Lese- sowie Schreiboperation.
timeDie     Limite der Testzeit für jeden Zyklus. Standard "keine Limite".
sizeDie     Limite der Testgrösse für jeden Zyklus. Standard "keine Limite".
Wenn der gewünschte Device gesetzt/gewählt wurde/ist sowie sofern notwendig die Optionen konfiguriert wurden führe den Test aus: 
# diagnose disktest run

Round 1 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  15.0   8.6
 76.0      200(2.59%):  ..................................................  15.1   8.9
150.2      400(5.18%):  ..................................................  15.0   9.0
224.3      600(7.76%):  ..................................................  15.0   8.9
298.8      800(10.35%): ..................................................  15.1   8.9
372.9     1000(12.94%): ..................................................  15.1   9.0
446.9     1200(15.53%): ..................................................  15.1   9.0
520.7     1400(18.12%): ..................................................  15.2   9.0
594.4     1600(20.70%): ..................................................  15.1   9.0
668.4     1800(23.29%): ..................................................  15.2   9.0
742.1     2000(25.88%): ..................................................  15.3   9.0
815.8     2200(28.47%): ..................................................  15.3   9.0
889.5     2400(31.06%): ..................................................  15.3   8.9
963.1     2600(33.64%): ..................................................  15.4   9.0
1036.7    2800(36.23%): ..................................................  15.3   9.0
1110.3    3000(38.82%): ..................................................  15.3   9.0
1183.9    3200(41.41%): ..................................................  15.3   9.0
1257.6    3400(44.00%): ..................................................  15.3   9.0
1331.2    3600(46.58%): ..................................................  15.3   9.0
1404.7    3800(49.17%): ..................................................  15.3   9.0
1478.3    4000(51.76%): ..................................................  15.3   9.0
1551.9    4200(54.35%): ..................................................  15.2   8.9
1625.8    4400(56.94%): ..................................................  14.5   8.6
1702.5    4600(59.52%): ..................................................  15.0   8.8
1777.3    4800(62.11%): ..................................................  15.2   8.9
1851.6    5000(64.70%): ..................................................  15.1   8.9
1925.9    5200(67.29%): ..................................................  15.1   8.9
2000.3    5400(69.88%): ..................................................  15.1   8.9
2074.7    5600(72.46%): ..................................................  15.1   8.9
2148.9    5800(75.05%): ..................................................  15.2   8.9
2223.2    6000(77.64%): ..................................................  15.2   8.8
2297.5    6200(80.23%): ..................................................  15.1   8.9
2371.9    6400(82.82%): ..................................................  15.2   8.9
2446.2    6600(85.40%): ..................................................  15.1   8.9
2520.5    6800(87.99%): ..................................................  15.3   8.9
2594.6    7000(90.58%): ..................................................  14.6   8.6
2671.4    7200(93.17%): ..................................................  15.1   8.4
2748.0    7400(95.76%): ..................................................  15.3   5.4
2851.2    7600(98.34%): ................................
Test Result: Passed
Tested size: 7728MB (100.00% Coverage of whole disk)
Time used: 2901.5 sec
Read Speed:  15.2MB/s
Write Speed:   8.7MB/s
Round 1 Finished!

Round 2 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  14.7   8.4
 77.9      200(2.59%):  .............User interrupt! Restoring data back to disk...

Test Result: Interrupted
Tested size: 256MB (3.31% Coverage of whole disk)
Time used:  99.3 sec
Read Speed:  14.7MB/s
Write Speed:   8.4MB/s
Round 2 Finished!

Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt?

Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test Manuell ausführt siehe nachfolgenden Artikel: 

       FortiGate-5.4-5.6:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F

Wie erwähnt wurde für ein "unclean shutdown" (zB Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start Prozess dies erkannt wird und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" das auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt das ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint: 

       System is starting...
       Starting system maintenance...
       scanning /dev/sda2... (100%)

In vorhergehenden Versionen des FortiOS dh. zB 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet ab FortiOS Version 5.2.3 wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde: 

       Fortinet-1609.jpg

Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt so wird ein Neustart des Devices ausgeführt und dieser "filesystem check" beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem Einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!

PowerSupply

Kann man für FortiGate's seperate Spare und/oder Redundante PowerSupply (RPS) beziehen?

Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für die grösseren Devices stehen zusätzlich für die Redundanz ebenfalls "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatible sind zu den seperaten "RPS Devices" siehe nachfolgender Artikel: 

       Fortinet:ProduktInfo#FortiRPS

Nachfolgende Tabelle zeigt für welchen FortiGate Device welches sperate zu beziehende "PowerSupply" bestellt werden kann: 

       Fortinet-1081.jpg
       Fortinet-1082.jpg
       Fortinet-1885.jpg
       Fortinet-1886.jpg

       Regulatory Doc   Datei:Regulatory-Compliance-Document SP-FG600C-PS Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document SP-FG60C-PDC Rev 1.01.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document SP-FG80-PDC Rev 1.pdf

Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply": 

       ALSO Art Nr.    Hersteller SKU          Beschreibung
       2694237         SP-FG20C-PA-EU          AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D
       2707193         SP-FG30E-PA-EU          AC power adaptor with EU power plug for FG-50E, FG-51E, FWF-50E, FWF-51E, FG-30E, FWF-30E
       2691555         SP-FG80-PDC             AC power adaptor - AC power adaptor for FG/FWF-80C/CM
       2690832         SP-FG60C-PDC            AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D
       2692305         SP-FG600C-PS            AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C
       2698983         SP-FG1240B-PS           AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B

Ebenso stehen für die FortiAP sowie FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachfolgender Artikel: 

       FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F 
       FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F

Power Supply

SFP Ports

Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte wie Cisco oder Huawai einsetzen?

Dies ist möglich jedoch ausgiebig vorgängig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren: 

       Copper GigaBit 10/100/1000
       
       GLC-T=746320861579     Cisco Catalyst GigaEthernet SFP Modul 1000Base T
       02314171               Huawayi Electrical Transceiver SFP Module 1000Base T
       
       NOTE Durch Fortinet werden ebenfalls nicht eigenen Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver 
            über Fortinet bestellt, wird ein Transceiver zB von Huaway geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+ 
            Module von Fortinet sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel:
            
            FortiGate-5.4-5.6:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F

Welche FortiGate Device's unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert?

Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden: 

       NOTE NIL = Not Included!
       
       Fortinet-1085.jpg
       Fortinet-1086.jpg
       Fortinet-2075.jpg
       Fortinet-1888.jpg

Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden jedoch gibt es keine Gewährleistung das diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel: 

       FortiGate-5.4-5.6:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F)
       
       NOTE Desweiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt
            werden (speziell Seite 2 "3rd Party Transceivers Support"):
            
            Datei:Tech Note-Transceivers FAQs-201407-R3.pdf

Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung: 

       Transceiver LX, Long Range; all FortiGate models with SFP interfaces                                              ALSO SKU 2690418     (Hersteller SKU FG-TRAN-LX)
       Transceiver SX, Short Range; all FortiGate models with SFP interfaces                                             ALSO SKU 2690421     (Hersteller SKU FG-TRAN-SX)
       Transceiver Base-T (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000)                      ALSO SKU 2690420     (Hersteller SKU FG-TRAN-GC)
       
       10-Gig transceiver, short range SFP+; all FortiGate models with SFP+ interfaces                                   ALSO SKU 2697310     (Hersteller SKU FG-TRAN-SFP+SR)
       10-Gig transceiver, short range XFP; all FortiGate models with XFP interfaces                                     ALSO SKU 2690412     (Hersteller SKU FG-TRAN-XFPSR)
       10-Gig transceiver, SFP+, Long Range; all FortiGate models with SFP+ interfaces                                   ALSO SKU 2690413     (Hersteller SKU FG-TRAN-SFP+LR)
       10-Gig transceiver, XFP, Long Range; all FortiGate models with XFP interfaces                                     ALSO SKU 2690414     (Hersteller SKU FG-TRAN-XFPLR)
       
       40-Gig transceiver, QSFP+, short range; all FortiGate models with QSFP+ interfaces                                ALSO SKU 2694715     (Hersteller SKU FG-TRAN-QSFP+SR)
       40-Gig transceiver, QSFP+, long range; all FortiGate models with QSFP+ interfaces                                 ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR)
       
       100-Gig transceiver, CFP2, short Range; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber)     ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10)
       100-Gig transceiver, CFP2, long Range; all FortiGate models with CFP2 interfaces (only singlemode)                ALSO SKU 2707368     (Hersteller SKU FG-TRAN-CFP2-LR4)

Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung: 

       10-Gig transceiver, SFP+, 10m direct attach cable; all FortiGate models with SFP+ and SFP/SFP+ interfaces         ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)

Eine detaillierte Beschreibung der Tranceivereigenschaften befindet sich im folgenden Dokument: 

       Datei:FortiTransceivers-Datasheet.pdf

Was sind die genauen Spezifikationen der SFP's Module die von Fortinet für die FortiGate Devices geliefert werden?

Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird und welche SFP/SFP+ Module offiziell für die FortiGate's zur Verfügung stehen: 

       FortiGate-5.4-5.6:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F

In der nachfolgenden Tabelle werden die technischen Spezifikationen aufgelistet der SFP Module die von Fortinet für die FortiGate Devices geliefert werden: 

       Fortinet-1087.jpg

       NOTE Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" und über diesen sind weitere Informationen verfügbar:
            
            http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1

       Transceivers
       Fortinet-1129.jpg
       Breackout Cables
       Fortinet-1887.jpg

Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver: 

       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SX Rev 1.03.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-LR4 Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-SR10 Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-GC Rev 1.02.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-GC Rev 2.0.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-LX Rev 2.0.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-QSFP+-LR Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-QSFP+-SR Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SFF Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-LR Rev 2.0.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-SR Rev 2.0.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-SX Rev 1.02.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-XFPLR Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-XFPSR Rev 1.00.pdf

Wie kann ich ein SFP Module/Tranceiver für einen FortiGate Device überprüfen?

Bis anhin war es nicht möglich über einen FortiGate Device dh. über das FortiOS ein SFP Module/Tranceiver zu überprüfen dh. zB ob dieser korrekt erkannt wurde. Neu unter FortiOS 5.4 ist dies anhand des nachfolgenden Kommandos möglich für Devices der FortiGate D-Serie sowie FGT-1000D oder grösser und für SFP und QSFP Module/Transceiver. Handelt es sich um ein SFP/QSFP Fiber Module/Tranceiver kann ebenfalls die Temperatur, Spannung sowie Optical Power abgefragt werden. Somit wird ein Fremdprodukt als SFP/QSFP Module/Transceiver eingesetzt, sollten die kurz anhand des nachfolgenden Kommandos überprüft werden: 

       # get system interface transceiver
       Interface port9: SFP/SFP+
         Vendor Name: Axcen Photonics
         Part No.   : AXXE-5886-05B1
         Serial No. : AX14170008967
       Interface port10: SFP or QSFP transceiver is not detected.
       Interface port11: SFP/SFP+
         Vendor Name: FIBERXON INC.
         Part No.   : FTM-8012C-SL
         Serial No. : A8660061719307
                                             Optical    Optical    Optical
       SFP/SFP+      Temperature  Voltage    Tx Bias    Tx Power   Rx Power
       Interface     (Celsius)    (Volts)    (mA)       (dBm)      (dBm)
       ------------  -----------  ---------  ---------  ---------  --------
              port9   34.1         3.31       6.35       -1.9      -40.0 --
             port11   N/A          N/A        N/A        N/A        N/A
         ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.

Konsolen Port

Was für ein Kabel wird für den Konsolen Anschluss (RS-232) benötigt?

Eine Fortigate Firewall kann über den Konsolenport, SSH oder HTTPS administriert werden. Für das initiale Setup oder bei Störungssuche ist der Konsolenport die beste Wahl. Der Konsolenport auf einer Fortigate kommt in Form einer RS232 Schnittstelle daher. Problematisch ist, dass heutigen Workstations und/oder Laptops nicht mehr mit einem RS232 Anschluss hergestellt werden. Als Workaround gibt es Adapterkabel von USB auf RS232. Folgende Adapter bietet ALSO in ihrem Sortiment:

USB Stecker Typ A
LINDY USB RS232 Converter w/ COM Port Retention RS-232 Port
Transfer Rate: up to 230 kBit/s
Chipset: FTDI
Hersteller Artikel-Nr.: 42686
ALSO Artikel-Nr.: 2909413
EAN-Code: 4002888426862
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=2909413

USB Stecker Typ C
LINDY USB Type C Serial Converter
Hersteller Artikel-Nr.: 43248
ALSO Artikel.Nr.: 3023950
EAN-Code: 4002888432481
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=3023950
Treiber:Datei:PL2303 Prolific DriverInstaller v1190.zip


Bei beiden Adaptern wird kein RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender ALSO-Nr. bezogen werden: 2692654

Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfiguriert wird inklusive der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt: 

       Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf

Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Konsolen Port siehe nachfolgenden Artikel: 

       FortiGate-6.0:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F

Wie sieht die PIN-Belegung der Seriellen Konsolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus?

Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Konsole der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail. In den meisten Fällen haben die Devices eine RJ45 Schnittstelle als Konsolen Port. Ältere Modelle können auch einen RS-232 DB9 Port haben. Es gibt auch Modelle mit einem AUX Port. Gemeinsam haben alle, dass sie die gleiche Pin-Belegung benutzen:

Pin Belegung RJ45
Fortinet-1083-A.jpg
Pin Belegung RS232
Fortinet-1083-B.jpg

Kann ich auf einer FortiGate den Seriellen Konsolen Port (RS-232) deaktivieren?

Wenn man zum Beispiel verhindern möchte, dass in einem Datacenter usw. über den Seriellen Konsole Port unerlaubt zugegriffen wird, kann dieser mit folgenden Befehl deaktiviert werden:

Konfiguration über CLI 
# config system console
# set login disable
# end

Es wird nur der "Konsolen Port" deaktiviert und der "USB" Port muss sofern gewünscht separat deaktiviert werden:

Konfiguration über CLI 
# config system console
# set fortiexplorer disable
# end

Web Gui

Wie kann ich den Hostname auf der Webgui Login Page sichtbar machen?

Wenn man sich über das WebGUI auf die Fortigate verbindet, wird Default mässig auf der Anmeldemaske der Hostname der Firewall nicht angezeigt.

Um den Hostname auf der Anmeldemaske zu aktivieren, muss dies über die CLI folgendermassen aktiviert werden:

Konfiguration über CLI 
# config system global
# set gui-display-hostname [enable | disable] 
# end
Fortinet-1614.jpg

Firmware

Wann geht das FortiOS 6.0 end of Support?

Das FortiOS 6.0 wird im September 2023 end of Support gehen.

Der Life Cycle vom FortiOS ist wie folgt definiert:

Fortinet-1866.jpg

Die GA-Phase dauert 36 Monate, danach geht das FortiOS in den Status End of Engineering Support. Nach weiteren 18 Monaten geht das FortiOS End of Support. Sobald das FortiOS in diesem Stadium ist, gibt es keinen technischen Support mehr von Seite Fortinet her. Das heisst, Tickets werden erst bearbeitet, wenn die FortiGate auf einen aktuellen Software Stand gebracht wurde. Der ganze Life Cycle von einer FortiOS Generation dauert also 54 Monate. 

       Mehr zum TAC Support     : Fortinet:Support-Case#Was_wird_vom_Technischen_Fortinet_Support_.28TAC.29_nicht_unterst.C3.BCtzt.3F

Auf der folgenden Tabelle sind die Daten welche von der offiziellen Fortinet Supportseite entnommen wurden:

Software Version Release Date (GA) End of Engineering Support Date (EOES) End of Support Date (EOS)
3.3 02.10.2006 - 02.10.2009
3.4 29.12.2006 - 29.12.2009
3.5 03.07.2007 - 07.03.2010
3.6 04.02.2008 - 04.02.2011
3.7 08.07.2008 - 18.07.2011
4.0 24.02.2009 - 24.02.2012
4.1 24.08.2009 - 24.08.2012
4.2 01.04.2010 - 01.04.2013
4.3 19.03.2011 - 19.03.2014(1)
5.0 01.11.2012 01.11.2015 01.05.2017
5.2 13.06.2014 13.06.2017 13.12.2018
5.4 21.12.2015 21.12.2018 21.6.2020
5.6 2017-03-30 2020-03-30 30.9.2021
6.0 29.03.2018 29.03.2021 29.09.2022

(1) Das v4.0MR3 End of Support Date für Hardware, die FortiOS Version 5.0 unterstützt, ist 2014-03-19. (Zusätzlich und nach eigenem Ermessen wird Fortinet den Kunden bei der Umstellung auf 5.0 in begrenztem Umfang beratend zur Seite stehen. Der beratende Support beschränkt sich auf technischen Support, Konfigurationshilfe, Fragen und die Einreichung von Fehlerberichten.

Wie wird eine FortiGate von Grundauf mit einem entsprechenden FortiOS installiert (staging)?

Wenn ein FortiGate Device von Fortinet ausgeliefert wird, kann dieser FortiGate Device auf irgend einem FortiOS basieren! Grundsätzlich werden immer die neusten FortiOS Versionen durch Fortinet vorinstalliert. Wenn es sich um ein neu lanciertes Modell eines FortiGate Devices handelt, basieren diese oft auf einem sogenannten "Branche Release". Ein "Branche Release" ist eine Vorabversion eine "GA" Releases (General Availibility). Aus diesem Grund Empfehlen wird bei jedem FortiGate Device ein "staging" durchzuführen mit dem FortiOS der Wahl. Dabei spielt es keine Rolle welcher FortiOS auf dem FortiGate Device existiert oder welche Konfiguration usw. vorhanden ist, denn durch ein "staging" wird der FortiGate Device von Grundauf neu installiert und sämtliche Konfiguration sowie das bestehende FortiOS gehen dabei verloren. Somit sollte jeder FortiGate Device in diesem Sinne aufgesetzt werden. Absolute Voraussetzung für ein "staging" ist eine korrekte Verbindung von der entsprechenden Workstation zum "Consolen Port" (RS232) des FortiGate Devices. Dies bedeutet:

Parameter für RS232 Verbindung 
8 bits 
no parity 
1 stop bit 
9600 baud (the FortiGate-300 uses 115,000 baud) 
Flow Control = None

Die heutigen Laptop/Workstation verfügen in den seltensten Fällen einen "RS-232" Port somit muss mit einem entsprechenden Device zB "USB Konverter" gearbeitet werden. Wir empfehlen den "EX-1301-2" USB Konverter der sich durch eine hohe Kompatibilität auszeichnet. Weitere detaillierte Informationen betreffend "Konsolen Port" resp. RS-232 Console findet man im folgenden Artikel: 

       FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_.28Konverter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Konsolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F

Beim "staging" Prozess überträgt das Bios des FortiGate Devices das entsprechende FortiOS von einem TFTP Server auf den FortiGate Device um diesen nachträglich zu installieren. Aus diesem Grund muss auf der entsprechende Workstation die verbunden ist mit dem FortiGate Device ein TFTP Server installiert werden. Wir empfehlen folgenden TFTP Server der frei erhältlich ist: 

       http://www.solarwinds.com/downloads/    (Abschnitt: Free Trial Downloads > TFTP Server & SFTP/SCP Server > DOWNLOAD FREE Tool > Free TFTP Server > DOWNLOAD NOW)
       https://www.solarwinds.com/free-tools/free-tftp-server (Direkter Link)

Für den "Solarwinds TFTP Server" muss eine Standard Installation durchgeführt werden. Nach der Installation steht im Startmenü "SolarWinds TFTP Server" zur Verfügung und innerhalb dieses Menüs "TFTP Server". Starte den TFTP Server anhand dieses Menüeintrages. Danach wähle: 

       File > Configure > Start

Der TFTP Server wird gestartet und dies wird auch unter der Position "Status" als "Started" angezeigt. Nun bestätige durch "OK" das "Configure" Fenster und sobald dies geschieht "initial" wird der TFTP Server gestoppt. Der Grund dafür ist der Folgende: Beim ersten Start des TFTP Servers wird das "TFTP Server Root Directory" angelegt und der Server gestoppt. Per Standard befindet sich das "TFTP Server Root Directory unter folgenden Verzeichnis "C:\TFTP-Root". Kontrolliere kurz ob dieses Verzeichnis angelegt wurde sowie starte den TFTP Server abermals und kontrolliere dessen Status: 

       File > Configure > Start [Kontrolliere den Status "Started"]

Nun muss in das "TFTP Server Root Direktory" das entsprechende FortiOS Image kopiert werden. Benenne dieses FortiOS Image um in "image.out". Als nächsten Schritt konfiguriere die Netzwerkkarte der entsprechende Workstation die mit dem FortiGate Device über "Consolen Port" verbunden ist mit folgender IPv4 Adresse und Subnet Maske sowie deaktiviere sämtlichen anderen Netzwerkkarten wie zB für WLAN: 

       192.168.1.100
       255.255.255.0
       
       NOTE Die IPv4 Adresse des TFTP Servers resp. der Netzwerkkarte der entsprechenden Workstation kann für die verschiedenen
            Modelle des FortiGate Devices varieren. Bei "staging" Prozess kann diese jedoch eruiert werden!

Die Konfiguration der Netzwerkkarte benötigt keinen "Default Gateway" sowie DNS Server. Achte darauf, dass auf der entsprechenden Workstation sämtliche Firewall, Endpoint Security usw. deaktiviert wurden damit die Anfrage des FortiGate Devices für die Uebertragung des FortiOS Image zum TFTP Server erlaubt wird. Aus diesen Ausführung ergiebt sich folgende Konstellation: 

                      _____________________________
                     |       RS232 Verbindung      |
       Consolen Port |                             |
          ___________|___                          | RS-232 Anschluss
         |               |                     ____|_______________
         | FortiGate 50E |   192.168.1.100/24 |                    |
         |_______________|               _____| LapTop/Workstation | --> SolarWindsTFTP Server Status "Started" 
                  |                     | NIC |____________________| --> FortiOS als "image.out" im C:\TFTP-Root
             WAN1 |                     |                            --> Fireweall, Endpoint Security deaktiviert!
                  |_____________________|
       
       NOTE Als Verbindung von WAN1 zur Netzwerkkarte der entsprechenden Workstation benütze ein normales RJ-45 Kabel. Der entsprechende
            Netzwerk Port in unserem Beispiel "WAN1" ist abhängig vom FortiGate Device. Der entsprechende zu benützende Port wird während
            dem "staging" Prozess aufgelistet!

Nun muss der FortiGate Device neu gestartet werden (execute restart) oder ein "power-on" ausgeführt werden. Sobald der FortiGate Device startet muss auf folgende Meldung geachtet werden um den Start Prozess abzubrechen und um in das Bios des FortiGate Devices zu gelangen:

Konfiguration über CLI 
Please wait for OS to boot, or press any key to display configuration menu..

FortiGate-50E (12:55-08.13.2015)
Ver:05000011
Serial number: FGT50E3U15000635
CPU(00): 1600MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... egiga1
Please wait for OS to boot, or press any key to display configuration menu..

Wenn der Start Prozess mit "press any key...." abgebrochen wurde wird folgendes Menü angzeigt:

Konfiguration über CLI 
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.

Nun kann für den TFTP "staging" Prozess anhand "[R]: Review TFTP parameters." die vorgegebenen Konfiguration eingesehen werden. Möchte man diese Konfiguration verändern kann dies anhand "[C]: Configure TFTP parameters." durchgeführt werden. Dabei ist zu beachten das diese Veränderung "persistens" ist und zukünftig für jeden "staging" Prozess betreffend TFTP Parameter für diesen FortiGate Device gilt:

Konfiguration über CLI 
Enter C,R,T,F,I,B,Q,or H: R
 
Image download port:    WAN1
DHCP status:            Disabled
Local VLAN ID:          <NULL>
Local IP address:       192.168.1.188
Local subnet mask:      255.255.255.0
Local gateway:          192.168.1.254
TFTP server IP address: 192.168.1.100
Firmware file name:     image.out

Führe folgende Kontrolle durch betreffend der Konfiguration des "staging" Prozesses:

  • Ist das RJ-45 Kabel am korrekten Netzwerk Port der FortiGate angeschlossen (Beispiel: WAN1)
  • Wurde die korrekte IPv4 Adresse sowie Subent Maske auf der Netzwerkkarte der entsprechenden Workstation konfiguriert
  • Ist der TFTP Server gestartet und befindet sich im "TFTP Server Root Directory" (C:\TFTP-Root) das entsprechende Image des FortiOS als File "image.out"

Als nächsten Schritt muss der "boot device" neu formatiert werden. Dabei wird die Boot Partition gelöscht und neu angelegt. Sämtliche vorhandenen Daten/Informainen gehen dabei verloren. Wähle die Postion "[F]: Format boot device.":

Konfiguration über CLI 
Enter C,R,T,F,I,B,Q,or H: F
It will erase data in boot device. Continue? [yes/no]: yes
Formatting............................ Done.

Nun um den "staging" Prozess zu starten führe die Position "[T]: Initiate TFTP firmware transfer." aus:

Konfiguration über CLI 
Enter C,R,T,F,I,B,Q,or H: T

Nun wird der "staging" Prozess durchgeführt. Achte dabei auf den "TFTP Server" resp. dessen Console in der ein Transfer des Files bestätigt wird! Auf dem FortiGate Device wird eine korrekte Uebertragung folgendermassen angezeigt:

Konfiguration über CLI 
Please connect TFTP server to Ethernet port 'WAN1'.

MAC: 90:6c:ac:13:80:10

Connect to tftp server 192.168.1.100 ...

#############################################################
Image Received.
Checking image... OK
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? D
       
Wenn "D" für "default" ausgeführt wird so wird das FortiOS in die Partition installiert und diese "active" gesetzt und somit beim nächsten Neustart des Devices benutzt. Wird "B" für "backup" gwählt wird die Partition nicht "active" gesetzt und somit beim nächsten Neustart nicht benutzt. Wenn "R" für "run" ausgeführt wird so wird das FortiOS in den Memory Bereich installiert dh. nach einem Neustart des Devices steht diese Installation nicht mehr zur Verfügung da durch den ausgeführten Neustart der Memory Bereich gelöscht wird! Für ein "staging" speziell wenn der "boot device" Formatiert wird ist immer "D" zu wählen für "default".
        
Programming the boot device now.
....................................
.............................................................
.............................................................
...............................................................
...

Booting OS...

Reading boot image... 2800640 bytes.
Initializing firewall...

System is starting...

FGT50E3U15000635 login:

Das FortiOS ist nun grundsätzlich installiert. Als nächsten Schritt sollte die "disk" eines FortiGate Devices formatiert werden. Bei kleineren FortiGate Devices steht die "disk" für ein "Logging" nicht mehr zur Verfügung. Dennoch sollte die "disk" Formatiert werden da ein FortiOS für viele Funktionen diese "disk" benutzt wird zB DHCP Lease File, Caching Informationen usw. Steht die "disk" nicht zur Verfügung da diese nicht Formatiert wurde, werden diese Informationen in den Memory Bereich geschrieben was das Memory zusätzlich belastet oder stehen teilweise gänzlich nicht zur Verfügung. Um sich Initial nach einem "staging" auf einem FortiGate Device einzuloggen benütze folgende Login Informationen:

Konfiguration über CLI 
User: admin
Password: [Kein Passwort]

Nun kann die "disk" formatiert werden mit folgenden Befehl:

Konfiguration über CLI 
# execute formatdisk
Log disk is /dev/sdb4
Formatting this storage will erase all data on it, including
  Logs, quarantine files;
  WanOpt caches;
and requires the unit to reboot.
Do you want to continue (y/n) y

Nach dem Formatieren der "disk" wird ein Neustart ausgeführt! Dieser Befehl "execute formatlogdisk" kann auf neueren FortiGate Modellen wie zB eine FG-50E nicht ausgeführt werden. Der Grund ist der Folgende: Diese FortiGate Modelle verfügen zwar über eine "disk" jedoch die "disk" wird als Subsystem im Flash Bereich angelegt (MTD; Memory Technology Device). Die "MTD" Technology ist Bestandteil des Linux Kernels resp. des FortiOS Kernels. Um festzustellen ob das FortiGate Modell über eine "MTD" Implementation verfügt kann folgender Befehl ausgeführt werden:

Konfiguration über CLI 
# fnsysctl df -h
Filesystem                 Size       Used  Available Use% Mounted on
rootfs                   123.9M      53.6M      70.2M  43% /
/dev/root                123.9M      53.6M      70.2M  43% /
none                       1.5G       1.5M       1.4G   0% /tmp
none                       1.5G          0       1.5G   0% /dev/shm
none                       1.5G      16.9M       1.4G   1% /dev/cmdb
/dev/mtd5                 18.0M       6.6M      11.3M  37% /data
/dev/mtd7                 30.0M       2.3M      27.6M   8% /data2

Bei den Verzeichnissen "/data" sowie "/data2" die als "/dev/mtd*" indiziert werden und somit als "MTD" Subsysteme gelten, handelt es sich effektiv um die "disk". Diese "disk" resp. das "MTD Subsystem" wird anhand eines Files das in den Flash Bereich kopiert wird angelegt. Dabei muss berücksichtigt werden, dass alle Informationen der "disk" verloren gehen. Somit FortiGate Modelle die anhand dieser "MTD Subsystem" Technology verfügen resp. anhand dieser eine "disk" dargestellt wird können Informationen nicht "persistent" speichern dh. nach einem Neustart gehen alle Informationen verloren! Für ein "MTD" Subsystem wird auf einer FortiGate-50E 128 MB alloziert. Als nächster Schritt im "staging" Prozess sollten die Interface's auf dem internal Switch aufgebrochen werden. Um dies durchzuführen muss unterschieden werden zwischen folgenden Möglichkeiten

  • Der FortiGate Device verfügt über einen internene Hardware "Switch Controller"!
  • Der FortiGate Device verfügt über keinen internene Software "Switch Controller"!
  • Auf dem FortiGate Device kann kein "Interface Mode" durchgeführt werden!
       https://fortinet.also.ch/wiki/index.php?title=FortiGate-6.0:FAQ#Wie_wird_ein_virtueller_Switch_komplett_gel.C3.B6scht.3F

Durch das Aufbrechen des internen Swichtes gehen sämtliche Konfigurationen auf den Interfaces für den "internen" Switch verloren dh. nach dem ausgeführten Neustart sind auf den Interfaces für den internen Switch die nun einzeln verfügbar sind keine IP Adressen mehr konfiguriert. Um auf einen Zugriff über Mgmt. Interfaces des FortiGate Devices zu gewährleisten muss folgendes auf einem entsprechenden Interface ausgeführt werden:

Verifiziere die einzelnen Interface Namen

Konfiguration über CLI 
# show system interface

Konfiguriere ein entsprechendes Interface

Konfiguration über CLI 
# config system interface
# edit [Name des Interface zB "internal1"]
# set ip [IPv4 Adresse plus Subnet Maske zB "192.168.1.99 255.255.255.0]
# set allowaccess [http | https | ssh | telnet | ping]
# end

Wenn "http" sowie "https" aktiviert werden wird per Standard ein "redirect" auf "https" durchgeführt. Möchte man dies verhindern kann folgendes zusätzlich ausgeführt werden:

Konfiguration über CLI 
# config system global
# set admin-https-redirect [enable | disable]
# end

Der "staging" Prozess ist abgeschlossen und der FortiGate Device kann in Betrieb genommen werden!

Wireless-Controller

Wo finde ich Informationen betreffend FortiGate Wireless Controller und Forti Access Points?

Nachfolgender Artikel gibt Auskunft über die verschiedenen Konfigurationen und Betrieb von Forti Access Points im Zusammenhang mit dem FortiGate Wireless Controller: 

       FortiAP:FAQ

Wie konfiguriere ich einen Remote Access Point mit Split Tunnel?

Vorbemerkungen:
Ziel dieser Anleitung ist es, mit einem FortiAP-24D a eine gesicherte Remoteverbindung von einem Aussenstandort an einen Hauptstandort zu erstellen.Es handelt sich hier um ein typisches Szenario, welches eingesetzt werden soll, um kleine Aussenstandorte oder HomeOffice Mitarbeiter anzubinden. Die Dokumentation wurde mit einem AP24d erstellt. Es eignen sich aber grundsätzlich auch folgende Access Points um ein solches Szenario zu etablieren:

  • FAP-11C
  • FAP-14C
  • FAP-21D
  • FAP-24D
  • FAP-25D
  • FAP-28C

Ausgangslage:

Zielarchitektur Verwendete Geräte

Fortinet-2225.png

  • Fortigate 60E Beta3
  • FortiAP-24D

Vorbedingungen:

  • Die Firewall im Main Office ist korrekt konfiguriert, so dass Clients im LAN über den WAN Anschluss ins Internet kommen.
  • Die Firewall im Main Office wird direkt und ohne weitere Router mit einer public IP vom Provider von der WAN Seite verbunden.
  • Der FortiAP befindet sich auf Werkseinstellungen, kriegt via DHCP am WAN Port eine IP, einen validen Default Gatway, einen gültigen DNS Server.
  • Der FortiAP ist in der Lage über den am Ort vorhandenen Internetanschluss mindestens über die Ports 53TCP/UDP,443TCP,5246/UDP,5247/UDP ins Internet zu kommunizieren.

Konfigurationsschritte
1. Einschalten von CAPWAP auf WAN Interface

Fortinet-2226.png

Die Verwaltung der Access Points über die Fortigate geschieht mit dem Protokoll CAPWAP. Damit die Fortigate Firewall Access Points über das WAN Interface verwalten kann, muss auf diesem Interface CAPWAP aktiviert werden.

2. Erstellen der SSID

Fortinet-2227.png

Unter Wifi & Switch Controller > SSID > + Create New wird eine neue SSID erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Damit später das SplitTunneling funktioneirt ist es insbesondere sehr wichtig, dass der Defaultgateway der IP der Fortigate auf diesem Interface entspricht. Die anderen Parameter wie Name, SSID, Security Mode, IP Range etc. können nach gutdünken angepasst werden.

Nachdem diese SSID konfiguriert wurde, muss ein zusätzlicher Parameter wie folgt auf dem CLI konfiguriert werden: 

# config wireless-controller vap
# edit [Name of SSID Profil]
# set split-tunneling enable
# end

3. Erstellen FortiAP Profil

Fortinet-2229.png

Unter Wifi & Switch Controller > FortiAP Profiles > + Create New wird eine neue FortiAP Profil erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Inbesondere wichtig ist hier, dass der korrekte AP Typ (AP-24d in diesem Fall) gewählt wird, und dass die zuvor erstellte SSID gewählt wird.

Verfügt der Access Point zusätzlich über LAN Ports, so kann definiert werden, welches Netz an diesen LAN Ports ausgegeben werden soll. Es kann entweder das Netz am Remotestandort ausgegeben werden (Bridge to WAN) oder auch mittels NAT gearbeitet werden. Wird gewünscht dass hier das selbe Netz wie bei der SSID verwendet werden kann, so muss dies ebenfalls mittels Bridge to SSID und wahl des entsprechenden Netzes hinterlegt werden.

Nachdem das FortiAP Profile konfiguriert wurde, können über das CLI zusätzlich die Netze konfiguriert werden, welche eben nicht über den VPN Tunnel gehen sollen, sondern welche lokal ausgekoppelt werden sollen. Im obenstehenden Beispiel wäre dies das Netz 192.168.1.0/24 welches sich hinter dem Swisscom Router befindet. Somit hat ein Gerät hinter dem FortiAP folgende Kommunikationsmöglichkeiten:

  • Zugriff via CAPWAP-Tunnel auf interne Ressourcen des Hauptstandortes
  • Zugriff via CAPWAP-Tunnel über den Hauptstandort auf Ressourcen aus dem Internet
  • Zugriff auf Ressourcen aus dem lokalen Netz am Aussenstandort


# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Use a integer example "1"]
# set dest-ip [IPv4 address as 192.168.1.0/24]
# end

Wird gewünscht, dass nur gewisse Netze an den Hauptstandort geroutet werden sollen, und alles andere (inklusive Internetverkehr) lokal ausgekoppelt werden soll, so muss mit einer umgekehrten Maskierung gearbeitet werden, und hier in der Konfiguration alle Netze angegeben werden, welche nicht durch den Tunnel sollen.

Der hier konfigurierte CAPWAP Tunnel wird ausserdem standardmässig nicht mit DTLS verschlüsselt. Dies muss ebenfalls im CLI konfiguriert werden: 

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy dtls-enabled
# end

Der durch die DTLS Verschlüsselung anfallende Overhead beträgt je nach AccessPoint ca. 20%.

4. Vorprovisionieren des AP

Fortinet-2230.png

Unter Wifi & Switch Controller > Managed FortiAPs > + Create New kann nun der zu verbindende Accesspoint vorkonfiguriert werden. Wichtig hierbei ist die korrekte Seriennummer, sowie das entsprechende vorgängig erstellte FortiAP Profil. Hat sich der Access Point bereits bei der Fortigate gemeldet, so sieht man dies anhand der IP unter der Kategorie Managed AP Status.

5. Erstellen der Firewall Policy
Damit der Datenverkehr zwischen dem AP und dem Internet sowie zwischen dem AP und den internen Ressourcen gewährleistet werden kann, benötigt es auch entsprechende Firewall Regeln:
Fortinet-2228.png

6. Definieren der Management IP auf dem AP
Damit der AP nun den Weg zu seinem Controller findet, wenn er das erste Mal am Remote Standort eingesteckt wird, müssen wir ihm die IP hierfür konfigurieren. Dies geschieht auf dem Accesspoint direkt. Ein nicht konfigurierter Accesspoint hat standardmässig die IP 192.168.1.2 auf dem WAN Port. Auf diese kann man sich mittels Telnet verbinden, um die entsprechende Konfiguration vorzunehmen. Ein zugriff auf den Access Point ist allenfalls auch via USB und FortiExplorer möglich. (Siehe FortiExplorer Handbuch) 

	C:\Users\huberch>telnet 192.168.1.2
	FAP24D3X15001883 # login: admin
	FAP24D3X15001883 # cfg -a AC_IPADDR_1=172.20.120.142
	FAP24D3X15001883 # cfg -c
	FAP24D3X15001883 # exit

7. Verbinden
Nachdem der Access Point mit dem Internet verbunden wurde, wird er innerhalb von 3-5 Minuten eine Verbindung zu seinem Fortigate Controller aufnehmen. Dies kann im GUI überprüft werden:
Fortinet-2231.png

Quellen und weiterführende Informationen:

Inspection Modes

Wofür werden die Inspection Modes gebraucht?

Jede Fortigate Firewall hat zwei mögliche Betriebsmodis, mit welchen der Datenverkehr inspiziert werden kann:

Flow-Based Proxy-Based
Beschreibung

Prüft den Datenverkehr on-the-flow. Hier wird hauptsächlich Flow-Based-Pattern-Matching verwendet, um Sicherheitsbedrohungen innerhalb des Datenflusses zu identifizieren.

Puffert den Datenverkehr und überprüft den Datenverkehr anhand der Informationen aus den vollständigen Paketen. Die Entscheidung über das weitere Vorgehen mit einem Datenstrom wird somit immer anhand vollständiger Datenpakete vorgenommen. In diesem Betriebsmodi schreibt die Firewall die Paketheader vor dem Weiterleiten neu.

Vor/Nachteile

+ Der Datenverkehr wird ohne Verzögerung ausgeliefert
+ Zeitsensitive Applikationen funktionieren mit diesem Modus besser

- Es stehen nur gewisse Security-Profile-Typen zur Verfügung
- Die Funktionalität der zur Verfügung stehenden Funktionen innerhalb der Security Profiles sind eingeschränkt
- Der Level of Security ist etwas tiefer.

+ Entscheidungen im Proxy-Mode fallen detaillierter aus.
+ Es stehen mehr Profil-Typen zur Verfügung
+ Es sind weniger False-Positives zu verzeichnen

- Der Performancebedarf fällt höher aus
- Für die Clients können Latenzen oder TimeOuts entstehen

Eine bewusste Konfikguration zwischen Flow- und Proxy-Modus ist hilfreich, wenn sichergestellt werden soll, dass ausschliesslich der Flow-Inspektionsmodus verwendet werden soll. Die konkreten Funktionsunterschiede zwischen dem Proxy- und Flowbased Inspectionmode können der Fortinet Hilfe entnommen werden:

Wie kann der Inspection Mode einer Firewall geändert werden?

Unter FortiOS 6.0 wird der Inspection Mode pro Firewall oder auf einer mit VDOMs konfigurierten Firewall pro VDOM global angepasst werden.

Im GUI ist diese Konfiguration unter System > Settings > Inspection Mode zu finden.

Fortigate-2238.png

Im CLI kann dieser Konfigurationspunkte wie folgt geändert werden: 

	fg-lab # config system settings
	fg-lab (settings) # show
	config system settings
		set inspection-mode flow
		...

Das Überschreiben dieser globalen Einstellung von Flow nach Proxy führt dazu, dass in jedem Security Profile auf der gesamten Appliance/VDOM der Inspection Mode ebenfalls auf die hier gestellte Einstellung gestellt wird. Das Überschreiben dieser Option von Proxy nach Flow führt jedoch nicht dazu, dass diese Einstellung in jedem Security Profil überschrieben wird.

Central NAT Table

Wie wird ein DNAT konfiguriert, wenn die Central NAT Table verwendet wird ?

Wenn die Central NAT Table eingesetzt wird, so werden sämtliche NAT Funktionalitäten aus der Firewall Policy verbannt. Somit können in der Firewall Policy auch nicht mehr die üblichen VIP Objekte verwendet werden. Im Falle der aktiven Central NAT Table, wird das NAT über folgende zwei Menüpunkte gesteuert:

  • Im Fall von DNAT: Policy & Objects > DNAT & Virtual IPs
  • Im Fall von SNAT: Policy & Objects > Central SNAT

Für ein funktionierendes DNAT, kann unter DNAT & Virtual IPs ein gewöhnliches Objekt analog zu einem VIP Objekt konfiguriert werden. In untenstehendem Beispiel möchten wir gerne den Port 80 TCP vom Internet an einen internen Webserver weiterrouten.

Fortinet-2239.png

Dieses NAT wird sofort nach seiner Erstellung aktiv. Da auf der Firewall jedoch noch eine Firewallregel fehlt, welche den Traffic hierfür erlauben würde, funktioniert nur mit dem NAT noch nichts. Im zweiten Schritt erstellen wir nun die Firewall Regel. Da hier kein VIP Objekt mehr angewählt werden kann, wird als Destination Host die interne IP gewählt. Die DNAT konfiguration vom vorherigen Schritt sorgt in diesem Fall für die Transformation der IP unabhängig von der Firewallregel.

Fortinet-2240.png

IPSec VPN

Wie kann eine L2TP over IPSec Verbindung erstellt werden?

In den meisten Fällen ist eine Client2Side Verbindung mit anderen Technologien wie beispielsweise dem FortiClient oder dem Cisco VPN Client aus Performance- und Sicherheitsgründen zu bevorzugen. Bei einer C2S Verbindung via SSL oder IPSec besteht ausserdem die Möglichkeit, Split Tunneling zu konfigurieren. Bei einem L2TP VPN muss immer der gesamte Datenverkehr über den Tunnel geleitet werden. Der Aufbau einer C2S Verbindung mit einer Fortigate ist jedoch dann sinnvoll, wenn es sich bei den Clientbetriebssystemen um ein Windows Betriebssystem handelt, auf welchem zwingend keine Software von Drittherstellern installiert werden darf. Eine L2TP IPSec Verbindung kann unter Windows nämlich mit den Bordmitteln etabliert werden.

Unter FortiOS 6.0 kann ein L2TP over IPSec Client2Side Tunnel nur teilweise im GUI konfiguriert werden. Da gewisse Konfigurationsschritte im CLI vorgenommen werden müssen, basiert die folgende Anleitung komplett auf CLI-Befehlen.

L2TP over IPSec basiert immer auf einer Benutzerauthentifizierung. Aus diesem Grund benötigen wir einen lokalen oder einen Remotebenutzer, welchem wir die entsprechenden Rechte zuweisen können. 

	config user local
		edit "mytestuser"
			set type password
			set email-to "mytestuser@test.com"
			set passwd meinpasswort
		next

Dieser Benutzer wiederum wird einer Gruppe zugewiesen, welche später für den L2TP Zugriff berechtigt wird. 

	config user group
		edit "l2tpgroup"
			set member "mytestuser"
		next
	end

Nun benötigt es einige L2TP-spezifische Einstellungen (nicht im GUI konfigurierbar). Mit SIP und EIP definieren wir den IP-Range der IP Adressen, welche für die L2TP Clients zur Verfügung stehen sollen. Ausserdem definieren wir hier die Benutzergruppe, welcher Zugriff via L2TP gewährt werden soll. 

	config vpn l2tp
		set sip 10.20.100.1
		set eip 10.20.100.254
		set status enable
		set usrgrp "l2tpgroup"
	end

Da wir später in der Firewallpolicy mit diesen Source IP Adressen eine Firewallregel erstellen müssen, kreieren wir als nächstes gerade ein entsprechendes Addressobjekt. 

	config firewall address
		edit "net_vpn_10.20.100.0/24"
			set subnet 10.20.100.0 255.255.255.0
		next
	end

Nun kann die Phase1 des IPSec Tunnels erstellt werden. Wichtig ist hier, dass diese vom Typ dynamic ist, als Peertype jede IP Adresse zulässt und die Proposals mit denen aus dem Beispiel übereinstimmen. 

	config vpn ipsec phase1
		edit "l2tp-p1"
			set type dynamic
			set interface "wan1"
			set peertype any
			set proposal 3des-sha1 aes256-md5
			set dhgrp 2
			set psksecret meinepsk
			set dpd-retryinterval 60
		next
	end

Auf dieser Phase1 kann anschliessend die Konfiguration für Phase2 aufgebaut werden. Als Quickmode Selector kann 0.0.0.0/0 gewählt werden (im CLI per Default so). Auch hier muss darauf geachtet werden, dass PFS deaktiviert wird, und dass als Encapsulation Mode der Tunnel Mode gewählt wird. 

	config vpn ipsec phase2
		edit "l2tp-p2"
			set phase1name "l2tp-p1"
			set proposal 3des-sha1 aes192-sha1 aes256-md5
			set pfs disable
			set encapsulation transport-mode
			set keylifeseconds 86400
		next
	end

Bei einem L2TP over IPSec Tunnel handelt es sich um einen policybasierten IPSec Tunnel. Diese Art von Tunnel bedarf etwas spezielle Firewallregel je für ein- und ausgehenden Traffic. Die ausgehende Firewallregel hat wie folgt auszusehen. Wichtig hierbei ist, dass die Action auf ipsec gestellt wird, und anschliessend das entsprechende IPSEC Tunnel Interface gewählt wird. 

	config firewall policy
		edit 3
			set name "2l2tp"
			set srcintf "lan1"
			set dstintf "wan1"
			set srcaddr "net_int_192.168.2.0/24"
			set dstaddr "net_vpn_10.20.100.0/24"
			set action ipsec
			set schedule "always"
			set service "ALL"
			set inbound enable
			set vpntunnel "l2tp-p1"
		next
		edit 6
			set name "l2tpincoming"
			set srcintf "wan1"
			set dstintf "lan1"
			set srcaddr "net_vpn_10.20.100.0/24"
			set dstaddr "net_int_192.168.2.0/24"
			set action accept
			set schedule "always"
			set service "ALL"
		next
	end

Somit wurde auf Seiten der Fortigate die Konfiguration für das L2TP over IPSec VPN fertiggestellt.

Ein Windows-10 Client wird wie folgt konfiguriert, damit er eine Verbindung via L2TP aufbauen kann:

Fortinet-2248.png

Fortinet-2249.png

SSL-VPN

Wie muss SSL-VPN Bookmark konfiguriert werden, wenn der Zielserver nur über einen IPSec Tunnel verfügbar ist?

Vorbemerkungen:
Ziel dieser Anleitung ist, eine Intranet Webseite die nur über einen IPSec Tunnel erreichbar ist, über ein Bookmark auf einem SSL-VPN Portal auf einer Fortigate abzubilden.

Ausgangslage:

Zielarchitektur Verwendete Geräte

Fortinet-2232.png

  • Fortigate 60E Beta3

Annahmen:
Die folgende Anleitung basiert auf folgenden Voraussetzungen:

  • Die Fortigate Firewall ist vollständig konfiguriert, hat Zugriff aufs Internet, LAN->WAN Kommunikation ist bereits etabliert.
  • Der IPSec Tunnel zwischen der Fortigate und dem Drittprodukt, hinter welchem sich der zu publizierende Webserver (In diesem Fall 172.16.1.10) befindet, wurde bereits erfolgreich etabliert, so dass eine Kommunikation zwischen den lokalen Clients (192.168.10.0/24) und den Remote Clients (172.16.1.0/24) möglich ist.

1. Erstellung SSL VPN Portal
Um das SSL VPN Portal zu erstellen, gehe auf der Weboberfläche unter VPN > SSL-VPN Portals und erstelle mit Create New ein neues SSL VPN Portal:

Fortinet-2233.png

  1. Definiere hier einen Namen für das Portal
  2. Deaktiviere den Schiebregeler
  3. Aktiviere den Schiebregler bei "Enable Web Mode"
  4. Erstelle unter Predefined Bookmarks ein Bookmark vom Typ HTTP/HTTPS mit einem Aussagekräftigen Namen. Als Location wähle die URL der Applikation, mit welcher das Bookmark aufgerufen werden können soll.

Mit einem Klick auf Ok wird dieses Portal abgespeichert.

2. Konfiguration der SSL VPN Einstellungen
Im nächsten Schritt wird definiert auf welchem Interface und auf welchem Port das User Portal überhaupt erreichbar sein sollen. Wir definieren welche Gruppen und Benutzer auf das Portal zugriff haben sollen, und wir verknüpfen das in Schritt 1 erstellte Portal mit dem Default Portal. Wähle dazu den MenüpunktVPN > SSL-VPN Settings:

Fortinet-2234.png

  1. Listen on Interface: Hier wählen wir das WAN Innterface
  2. Listen on Port: Hier muss ein freier Port gewählt werden, der auf diersem Interface noch nicht anderweitig durch ein VIP Objekt, NAT oder einen sonstigen lokalen Service in Verwendung ist.
  3. Wenn das Portal überall vom Internet zugänglich sein soll, wähle hier Allow access from any host
  4. Defniere unter Authentication / Portal Mapping Dass das soeben erstellte Portal unter dem Default Realm zugänglich sein soll. Hier können ausserdem einschränkungen gemacht werden, für welche Benutzer/Gruppen dieses Portal zur Verfügung stehen soll.

Mit einem Apply werden die gewählten Einstellungen appliziert.

Somit haben wir die nötigen Einstellungen für das SSL VPN Portal vorgenommen.


3. Erstellung des IP Pools
Damit nun das SSL VPN Portal in der Lage ist, mit diesem Webserver zu kommunizieren benötigt es eine Firewall Regel, welche der Firewall dies erlaubt. Für diese Firewallregel benötigen wir einen IP Pool, damit die Source IP des Requests der Firewall dem entsprechend angepasst wird. Diesen IP-Pool erstellen wir unter Policies & Objects > IP Pools > Create new

Fortinet-2236.png

  1. Type: Overload
  2. External IP Range: Hier wählen wir eine IP welche gemäss IPSec-Phase-2-Konfiguration sich im Bereich der lokalen, erlaubten Addressen befindet.

Mittels Apply wird abgespeichert.

4. Firewall Regel
Zum Schluss wird noch die Firewall Regel erstellt, welche benötigt wird, damit eine Kommunikation zwischen dem Portal und dem Webserver erlaubt wird: Policy & Objects > IPv4 Policy > Create new

Fortinet-2235.png

  1. Incoming Interfac: Wähle hier das entsprechende SSL VPN Tunnel Interface
  2. Outgoing Interface: Wähle hier das Interface des IPSec Tunnels
  3. Source: Wähle hier mindestens ein Netzwerk+ ein Benutzerobjekt welches erlaubt werden soll
  4. Destination: Wähle hier all, oder schränke den IP-Bereich auf den zu erreichenden Webserver ein.
  5. NAT: Schalte hier das NAT ein
  6. IP Pool Configuration: Wähle hier Use Dynamic IP Pool und wähle hier das IP-Pool Objekt, welches im vorherigen Schritt erstellt wurde.
  7. Aktiviere den Regler bei Enable this Policy

Mittels OK wird die Firewall Regel gespeichert.

Ergebnis
Ein Berechtigter Benutzer ist nun in der Lage über die externe IP der Firewall auf das Userportal zuzugreifen. Auf diesem User Portal hat er ein Bookmark, welches wiederum auf einen Webserver zeigt, der nur via IPSec zugänglich ist. Mit einem Klick auf das Bookmark kann der User nun auf diesen Webserver zugreifen:

Fortinet-2237.png

FortiClient

Wie kann ich ohne den EMS Server ein vordefiniertes Softwarepaket für den VPN Client erstellen?

Seit FortiOS 5.4 gibt es von Fortinet das FortiClient Configuration Tool. Mit diesem Tool können benutzerdefinierte Softwarepakete erstellt werden. So kann beispielsweise eine komplette Konfiguration im XML Format mitgegeben werden, einzelne Komponenten der Installation entfernt werden oder den Installer als paketierfähiges *.MSI Paket in den Varianten 32 oder 64Bit heruntergeladen werden. Ausserdem ist es möglich, den FortiClient einem Rebranding zu unterziehen (Austausch der Logos und Grafiken).

Die aktuellste Version des FortiClient Configuration Tool kann jeweils über das Fortinet Developer Portal heruntergeladen werden. Das Configuration Tool ist als Standalone Software lauffähig, existiert für Windows und Mac und muss auf Windows nicht installiert werden.

Weitere Informationen:

High Availability

Wie wird ein HA-Failover Cluster erstellt?

Dieser Artikel beschreibt, wie ein HA Failover Cluster mit Fortigate Firewalls unter FortiOS 6.01 erstellt werden kann. Ziel ist untenstehendes Szenario:

Fortinet-2251.png

Vorbedingungen:
Eine HA Konfiguration setzt einige Vorbedingungen für beide Geräte voraus. Ein HA-Cluster kann nur erstellt werden wenn folgende Eigenschaften bei beiden Maschinen identisch sind:

  • Gerätetyp (z.b: 2x Fortigate 200D)
  • Revision
  • Firmware
  • FortiGuard Lizenzen
  • Operating Mode (Transparent oder NAT)
  • Festplattenkapazität

Wenn eines der beiden Geräte einen tieferen Lizenzstatus hat (Weniger Funktionen lizenziert, oder kürzere Laufzeit) dann wird der gesamte Cluster automatisch auf diersen tieferen Lizenzstatus heruntergesetzt.


1. Konfiguration des Hostnamen auf dem Master

Fortinet-2252.png

Bitte konfiguriere den Devicenamen auf dem Gerät, welches später die Rolle des Masters übernehmen soll. Diese Einstellung ist zu finden unter System > Settings > Hostname

2. Aktivieren der HA Funktion auf dem Master

Fortinet-2254.png

Anschliessend kann die HA-Funktion auf dem Master unter System > HA aktiviert werden.

  • Als Mode wird Active-Passive gewählt.
  • Die Device Priorität bestimmt anschliessend darüber, welches der beiden Geräte als Master selektiert wird. Das Gerät mit der höheren Priorität wird vom Cluster zum Master selektiert.
  • Unter Group Name muss für den Cluster einen Gruppennamen und ein Passwort gewählt werden. Dieser Gruppennamen muss innerhalb der eigenen Umgebung einmalig sein, respektive über die Heartbeat Interfaces darf keine andere Gruppe mit einem identischen Namen existieren.
  • Session Pickup bestimmt, ob in einem Failover Fall bereits etablierte Sessions von der Slave Firewall akzeptiert werden, oder ob im Failoverfall jede Session neu aufgebaut werden muss.
  • Unter Monitor Interfaces werden die Interfaces selektiert, anhand von welchen ein Failover erfolgt, wenn eines dieser Interfaces auf dem Master nicht mehr verfügbar ist. Ergo sollten hier nur die Interfaces gewählt werden, welche garantiert immer UP sind.
  • Unter Heartbeat Interfaces muss mindestens ein Interface gewählt werden, über welches der Cluster die Statusinformationen austauscht. Empfohlen werden hier aus Redundanzgründen zwei dedizierte Interfaces. Es können hier theoretisch Interfaces verwendet werden, welche auch sonst verwendet werden. Es wird jedoch empfohlen für den Heartbeat zwei dedizierte, voneinander unabhängige Interfaces zu verwenden. Werden dedizierte Interfaces verwendet, so müssen diese nicht vorgängig mit einer IP vorkonfiguriert werden.
  • Unter Heartbeat Interface Priority kann definert werden, welchem der beiden Interface der Vorzug gewählt werden soll. Wird zum beispiel ein produktives und ein dediziertes Interface für den Heartbeat verwendet, so empfiehlt es sich, das dedizierte Interface mit einer höheren Priorität zu versehen.

3. Aktivieren der HA Funktion auf dem Slave

Fortinet-2253.png

Nun kann die HA-Funktion auf dem Slave ebenfalls System > HA aktiviert werden.

  • Als Mode wird ebenfalls Active-Passive gewählt.
  • Die Device Priorität soll tiefer gewählt werden, als diejenige des Master.
  • Unter Group Name und Password wird die selbe Gruppe und das selbe Passwort wie auf dem Master hinterlegt.
  • Konfiguriere Session Pickup analog Master.
  • Konfiguriere Monitor Interfaces analog Master.
  • Konfiguriere Heartbeat Interfaces analog Master.
  • Bestätige und schliesse ab.

Sobald sich die beiden Clustermember nun über ein Heartbeat Interfaces sehen, beginnen sie den Cluster zu bilden. der Slave wird neu gestartet und allenfalls mit der Konfiguration des Masters überschrieben. Nach einem Reboot sollte unter System > HA eine Übersicht über den Clusterstatus zu sehen sein:

Fortinet-2255.png

Auch auf der Konsole kann der Status angeschaut werden:

Konfiguration über CLI 
fgt200-master # get system ha status
HA Health Status: OK
Model: FortiGate-200D
Mode: HA A-P
Group: 0
Debug: 0
Cluster Uptime: 0 days 00:07:01
Cluster state change time: 2018-07-17 16:34:31
Master selected using:
<2018/07/17 16:34:31> FG200D3916811639 is selected as the master because it has the largest value of override priority.
<2018/07/17 16:28:53> FG200D3916811639 is selected as the master because it's the only member in the cluster.
ses_pickup: enable, ses_pickup_delay=disable
override: enable
Configuration Status:
FG200D3916811639(updated 1 seconds ago): in-sync
FG200D3916811425(updated 1 seconds ago): in-sync
System Usage stats:
FG200D3916811639(updated 1 seconds ago):
	sessions=22, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=13%
FG200D3916811425(updated 1 seconds ago):
	sessions=19, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=12%
HBDEV stats:
FG200D3916811639(updated 1 seconds ago):
	port15: physical/1000auto, up, rx-bytes/packets/dropped/errors=1551614/2217/0/0, tx=1647198/2222/0/0
	port16: physical/1000auto, up, rx-bytes/packets/dropped/errors=1524874/2093/0/0, tx=1536540/2054/0/0
FG200D3916811425(updated 1 seconds ago):
	port15: physical/1000auto, up, rx-bytes/packets/dropped/errors=1649104/2225/0/0, tx=1561984/2232/0/0
	port16: physical/1000auto, up, rx-bytes/packets/dropped/errors=1537302/2055/0/0, tx=1532880/2104/0/0
MONDEV stats:
FG200D3916811639(updated 1 seconds ago):
	port1: physical/1000auto, up, rx-bytes/packets/dropped/errors=266700/1415/0/0, tx=1429610/1381/0/0
	wan1: physical/1000auto, up, rx-bytes/packets/dropped/errors=108967/614/0/0, tx=50166/420/0/0
FG200D3916811425(updated 1 seconds ago):
	port1: physical/1000auto, up, rx-bytes/packets/dropped/errors=356552/1565/0/0, tx=1684592/1618/0/0
	wan1: physical/1000auto, up, rx-bytes/packets/dropped/errors=122941/623/0/0, tx=37058/345/0/0
Master: fgt200-master   , FG200D3916811639, cluster index = 0
Slave : fgt200-slave    , FG200D3916811425, cluster index = 1
number of vcluster: 1
vcluster 1: work 169.254.0.1
Master: FG200D3916811639, operating cluster index = 0
Slave : FG200D3916811425, operating cluster index = 1

Achtung hierbei: 

Status: OK

heisst nicht zwingend, dass der Cluster wirklich OK ist. Eine genauere Analyse des Outputs ist erforderlich. So kann der Clustermember auch Status: OK haben, wenn nur ein Clustermember online ist. Dies würde beispielsweise mit folgendem Output vermerkt: 

Master selected using:
<2018/07/17 16:12:40> FG200D3916811639 is selected as the master because it's the only member in the cluster.


Anpassen des Failover Verhaltens
Wird obenstehendes Szenario realisiert, so wird nach der Bildung des Clusters, der Member mit der Priorität=128 zum Master erkoren. Fällt der Master aus, übernimmt der Slave. Nachdem der ursprüngliche Master wieder verfügbar wird, wird jedoch der Master-Status nicht wieder an die Unit mit der Prio 128 zurückgegeben. Dieses Verhalten kann jedoch forciert werden, indem in der ha-Konfig im CLI override eingeschaltet wird:

Konfiguration über CLI 
fg20-master# config system ha
fg20-master (ha) # set override enable
fg20-master (ha) # end

Führen des HA-Links über eine öffentliche Infrastruktur
Der HA-Traffic wird standardmässig nicht verschlüsselt. Muss der HA-Traffic über eine öffentliche Infrastruktur geführt werden, so empfiehlt es sich, die Authentifizierung sowie die Verschlüsselung dieses Traffics einzuschalten. Dies muss auf dem Master sowie auch auf dem Slave konfiguriert werden.

Konfiguration über CLI 
fg20-master# config system ha
fg20-master (ha) # set authentication enable
fg20-master (ha) # set encryption enable
fg20-master (ha) # end
Konfiguration über CLI 
fg20-slave # config system ha
fg20-slave (ha) # set authentication enable
fg20-slave (ha) # set encryption enable
fg20-slave (ha) # end

Anschliessend empiehlt es sich, beide Clustermember neu zustarten, damit die HA Verbindung neu ausgehandelt wird.

Handling der Management Interfaces
Bei grösseren Umgebungen existiert gemäss Best-Practices oftmals ein Management Netzwerk. Es empfiehlt sich, beide Cluster Nodes mit einem Management Port in diesem Management Netzwerk zu platzieren. Somit kann im Notfall auch via dieses Netzwerk auf beide Cluster Nodes zugegriffen werden. Damit dies funktioniert, muss zuerst auf dem Master in der HA Konfiguration definiert werden, welches Interface als Management Interface gewählt wird. Hierbei kann nicht das auf gewissen Appliances zur Verfügung stehende MGMT Interface gewählt werden. Diesem Management Interface kann ausserdem ein dedizierter, anderer DefaultGateway mitgegeben werden:

Konfiguration über CLI 
fgt200-master (ha) # show
config system ha
    set ha-mgmt-status enable
    config ha-mgmt-interfaces
        edit 1
            set interface "port14"
            set gateway 192.168.11.1
        next
    end
end

Anschliessend kann der gewählte Port auf beiden Units unterschiedlich konfiguriert werden.
Auf dem Master:

Konfiguration über CLI 
config system interface
    edit "port14"
        set ip 192.168.11.10 255.255.255.0
        set allowaccess https ssh snmp fgfm ftm
    next
end

Auf dem Slave:

Konfiguration über CLI 
config system interface
    edit "port14"
        set ip 192.168.11.11 255.255.255.0
        set allowaccess https ssh snmp fgfm ftm
    next
end

Log

Wie muss eine Fortigate konfiguriert werden, damit sie zu Analysezwecken auf ein Kiwi Syslog loggt?

Einleitung:
Die folgende Anleitung kann dann zum Zug kommen, wenn von einer Fortigate Firewall auf einen Syslogserver geloggt werden muss, ohne dass auf FortiCloud zurückgegriffen werden kann (Wenn beispielsweise kein Internetzugriff existiert). Kiwi Syslog ist ein kostenfreier Basic-Syslogserver, der unter Windows installiert werden kann.

Konfiguration Fortigate:
Damit die Fortigate Firewall möglichst viel Logs auf den Syslogserver schreiben kann, müssen einige Einstellungen getätigt werden:

Konfiguration über CLI 
config log memory setting
	set status enable
end

config log null-device setting
	set status enable
end

config log gui-display
	set resolve-hosts enable
	set resolve-apps enable
end

config log setting
	set fwpolicy-implicit-log enable
	set local-in-allow enable
	set local-in-deny-unicast enable
	set local-in-deny-broadcast enable
	set local-out enable
	set log-invalid-packet enable
end

Mit folgender Einstellung wird der Firewall mitgeteilt, wo der Syslogserver steht, dem die Logs gesendet werden sollen:

Konfiguration über CLI 
config log syslogd setting
	set status enable
	set server "ip-des-syslog-servers"
end

Die Firewall sendet nun der hier konfigurierten IP die Syslogs via 514 UDP.

Damit allenfalls auch erlaubter Traffic geloggt wird, muss das Logging pro gewünschte Firewallregel eingeschaltet werden:

Konfiguration über CLI 
config firewall policy
	edit 1
	set logtraffic all
end


Konfiguration Kiwi Syslog Server
Der Installer für den Kiwi Syslogserver kann hier oder hier: Datei:Kiwi-Syslog-Server-9.6.3-Freeware.zip heruntergeladen werden.

Nach der Installation des Tools muss folgender Parameter unter dem Menüpunkt Setup angepasst werden, und die IP des lokalen Adapters angewählt werden, auf dem die Logs empfangen werden:

Fortinet-2246.png

Sobald diese Einstellung gespeichert wurde, kommen die Logs im Kiwi Syslog Programm an.

Fortinet-2247.png

Zertifikate

Wie kann unter Windows 10 ein SelfSign Zertifikat erstellt werden, welches auf die Firewall geladen werden kann?

Unter Windows 10 kann ein entsprechendes Zertifikat mit der Powershell erstellt werden Folgender Parameter werden dazu benötigt: 

	PS C:\temp> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -DnsName "meineseite.local" 
	-FriendlyName "MySiteCert" -NotAfter (Get-Date).AddYears(10)
	
	PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My
	Thumbprint                                Subject
	----------                                -------
	9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478  CN=meineseite.local

Um dieses Zertifikat anschliessend auch als File vom Windows Zertifikatsspeicher in ein passwortgeschütztes *.pfx-File exportieren zu können, muss erst das Passwort in einer Variable abgelegt werden ,bevor dann mittels CMDlet das Zertifikat exportiert werden kann: 

	PS C:\temp> $CertPwd = ConvertTo-SecureString -String "test" -Force -AsPlainText
	PS C:\temp> Export-PfxCertificate -cert cert:\localMachine\my\9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478
	-FilePath C:\temp\test.pfx -Password $CertPwd

	Verzeichnis: C:\temp
	Mode                LastWriteTime         Length Name
	----                -------------         ------ ----
	-a----       27.06.2018     16:43           2749 test.pfx

Das Zertifikat wird anschliessend wie folgt importiert:

Fortinet-2250.png

Wie kann unter Windows 10 ein CA erstellt werden, welche auf die Firewall geladen werden kann?

  1. Herunterladen des Tools XCA Datei:Setup xca-1.4.1.zip
  2. Installieren von XCA auf einem Windows PC
  3. Generieren einer CA mit XCA gemäss folgender Anleitung: Datei:Xca howto.pdf (Quelle: barracuda.com)
  4. Exportieren der CA im *.pem Format
  5. Importieren des Zertifikates auf der Fortigate Firewall unter System > Certificates > Import > CA Certificate > Type=File
Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiGate:FAQ&oldid=20118