FortiGate:FAQ: Unterschied zwischen den Versionen

• Release Notes 6.0
• Release Notes 6.2
• Release Notes 6.4

• Security Fabric - Upgrade Guide - FortiOS Version 6.0.0
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.1
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.2
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.3
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.4

• FortiOS 6.0 FortiOS Log Reference
• FortiOS 6.2 FortiOS Log Reference
• FortiOS 6.4 FortiOS Log Reference
• FortiOS 6.0 FortiOS CLI Reference
• FortiOS 6.0 Supported RFC
• Fortinet Security Best Practices Version 1
• FortiOS 6.0 Feature/Platform Matrix
• Custom IPS Application Control Signatur Syntax Version 4.0

• FortiOS 6.0.0 Maximum Values Tabelle
• FortiOS 6.0.1 Maximum Values Tabelle
• FortiOS 6.0.2 Maximum Values Tabelle
• FortiOS 6.0.3 Maximum Values Tabelle

• FortiOS IPS Engine Support
• Managed FortiAnalyzer Compatibility Matrix
• Managed FortiManager Compatibility Matrix

• FortiOS 6.0 Handbook - What's New
• FortiOS 6.0 Handbook - Komplettes Handbuch
• FortiOS 6.0 Handbook - Authentication
• FortiOS 6.0 Handbook - Bestpraxis Guide
• FortiOS 6.0 Handbook - Carrier
• FortiOS 6.0 Handbook - FortiView
• FortiOS 6.0 Handbook - Firewall
• FortiOS 6.0 Handbook - High Availability
• FortiOS 6.0 Handbook - Hardening your FortiGate
• FortiOS 6.0 Handbook - Hardware Acceleration
• FortiOS 6.0 Handbook - Getting Started
• FortiOS 6.0 Handbook - IPsec VPN
• FortiOS 6.0 Handbook - Parallel Path Processing Life of a Packet
• FortiOS 6.0 Handbook - Server Load Balancing
• FortiOS 6.0 Handbook - Logging and Reporting
• FortiOS 6.0 Handbook - Managing Devices
• FortiOS 6.0 Handbook - Managing FortiSwitch from FortiGate
• FortiOS 6.0 Handbook - Networking in FortiOS
• FortiOS 6.0 Handbook - Communication Ports and Protocols
• FortiOS 6.0 Handbook - Sandbox Inspection
• FortiOS 6.0 Handbook - Security Farbric
• FortiOS 6.0 Handbook - Security Profiles
• FortiOS 6.0 Handbook - VoIP Solutions: SIP
• FortiOS 6.0 Handbook - SSL VPN
• FortiOS 6.0 Handbook - System Administration
• FortiOS 6.0 Handbook - Traffic Shaping
• FortiOS 6.0 Handbook - Transparent Mode
• FortiOS 6.0 Handbook - Troubleshooting
• FortiOS 6.0 Handbook - Virtual Domains VDoms
• FortiOS 6.0 Handbook - Virtual FortiOS
• FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide

• FortiOS 6.2 Handbook - What's New
• FortiOS 6.2 Cookbook
• FortiOS 6.2 Handbook - Hardware Acceleration
• FortiOS 6.2 Handbook - Bestpraxis Guide

• FortiOS 6.4 Handbook - What's New
• FortiOS 6.4 Handbook - Hardware Acceleration
• FortiOS 6.4 Handbook - Bestpraxis Guide
• FortiOS 6.4 Handbook - Parallel Path Processing (Life of a Packet)

Die "Hardware Revision" wird als "Label" auf der Rückseite eines FortiGate Devices aufgeführt in nachfolgender Form und als Strich-Code:

PN: P15968-01

# get system status | grep Part-Number
System Part-Number: P15968-01

Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert:

https://forum.fortinet.com/tm.aspx?m=100451#100451

Zusätzlich steht ein Dokument von Fortinet zur Verfügung die über die Hardware Schematic eines Fortinet Produktes wie zBsp CPU, RAM, Flash usw. Auskunft gibt:

Datei:Fortinet-Hardware-Schematics.pdf

Damit man zu diesem Link gelangt muss sich anhand eines Support Accounts eingeloggen und um das damit entsprechende Image herunterladen zu können, muss die entsprechende Serien-Nummer des Devices eingegeben werden. Dies muss durchgeführt werden da jedes Device sich anhand der Revision und Generation identifiziert um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu nutzen um auf einem baugleichen Device den Test durchzuführen, da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.

 # get hardware [cpu | memory | nic | npu | status]

# get hardware cpu
  Processor       : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb 
          
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis

# get hardware memory
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:       1455488 kB
  MemShared:           0 kB
  Buffers:          2872 kB
  Cached:         151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:           0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:       1455488 kB
  SwapTotal:           0 kB
  SwapFree:            0 kB

  # get hardware cpu
  Processor       : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb 
     
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis

  # get hardware memory
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:       1455488 kB
  MemShared:           0 kB
  Buffers:          2872 kB
  Cached:         151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:           0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:       1455488 kB
  SwapTotal:           0 kB
  SwapFree:            0 kB

NOTE Weitere Befehle um detaillierte Informationen über die Memory Nutzung zu erhalten können dem nachfolgenden Artikel entnommen werden: Artikel Benutzung Memory anzeigen lassen

 # get hardware nic
 The following NICs are available:
      dmz
      internal1
      internal2
      internal3
      internal4
      internal5
      internal6
      internal7
      wan1
      wan2
     

NOTE Um detaillierte Informationen über ein spezifisches Interface zu erhalten benütze folgenden Befehl:

 # get hardware nic [Name des Interfaces zB "dmz "]
   Driver Name     :Fortinet NP4Lite Driver
   Version         :1.0.0
   Admin           :up
   Current_HWaddr   08:5b:0e:47:db:57
   Permanent_HWaddr 08:5b:0e:47:db:57
   Status          :up
   Speed           :100
   Duplex          :Half
   Host Rx Pkts    :480560
   Host Rx Bytes   :104351252
   Host Tx Pkts    :468353
   Host Tx Bytes   :83937534
   Rx Pkts         :480558
   Rx Bytes        :111078750
   Tx Pkts         :468351
   Tx Bytes        :80501362
   rx_buffer_len   :2048
   Hidden          :No
   cmd_in_list     : 0
   promiscuous     : 1
   enabled 802.1x  : 0
   authorized      : 0
   mac bypass      : 0

 # get hardware npu 
  legacy    legacy
  np1       np1
  np2       np2
  np4       np4

Dieser Output wird nur angezeigt wenn das entsprechende Device, auf welchem dieser Befehl ausgeführt wird auch einen "NPU" (Networking Processing Unit) enthält. Wenn es sich um ein Device mit integriertem NPU handelt dh. SoC, wird kein Output geliefert.

Label

Status

• Die FortiGate bootet
• Wenn die FortiGate über eine Reset-Taste verfügt, bedeutet grün blinkend auch, dass die Reset-Taste verwendet wurde.

• Die FortiGate hat einen kritischen Alarm.
• Die STA LED wird auch rot leuchten.

Ein Failover ist eingetreten. Dies bedeutet in der Regel, dass eine der FotiGates in einem HA-Cluster ausgefallen ist oder dass die HA-Heartbeat Kommunikation zwischen den FortiGates im HA-Cluster ausgefallen ist oder diese unterbrochen wurde.

• Kein HA Cluster ist konfiguriert
• Das HA LED ist nicht auf allen FortiGate Geräten vorhanden.

Das Wireless Interface sendet und empfängt Daten.

Das Wireless Interface ist down

Port Typ

Status

Ethernet Port
Link / Aktivität

Keine Verbindung aktiv

Ethernet Port
Speed

Nicht verbunden oder mit 10 Mbps verbunden.

• Bei FortiGate Modellen mit nach vorne gerichteten Interfaces, befinden sich diese LEDs rechts des entsprechenden Port.
• Bei FortiGate Modellen mit den Interfaces an der Rückseite des Geräts, befinden sich diese LEDs in der unteren Reihe.

fg-lab # config firewall policy
fg-lab (policy) # show
config firewall policy
     edit 1
	set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe
	set srcintf "internal"
	set dstintf "wan1"
	set srcaddr "all"
	set dstaddr "all"
	set action accept
	set schedule "always"
	set service "ALL"
	set nat enable
	next
     end
fg-lab (policy) # delete 1
fg-lab (policy) # end

Alternativ kann mit dem Befehl purge das ganze Regelwerk auf einmal gelöscht werden:

fg-lab # config firewall policy
fg-lab (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (policy) # end

fg-lab # config system dhcp server
fg-lab (server) # show
config system dhcp server
     edit 1
	set dns-service default
	set default-gateway 192.168.1.99
	set netmask 255.255.255.0
	set interface "internal"
	config ip-range
	    edit 1
	        set start-ip 192.168.1.110
                set end-ip 192.168.1.210
	    next
	    end
     next
     edit 2
	set dns-service default
	set default-gateway 10.253.255.254
	set netmask 255.255.255.192
	set interface "wqtn-sw.0"
	config ip-range
	    edit 1
	        set start-ip 10.253.255.193
	        set end-ip 10.253.255.253
	    next
	end
	set timezone-option default
     next
end
fg-lab (server) # delete 1
fg-lab (server) # end

Alternativ kann auch mit dem Befehl purge jeder DHCP Server aufeinmal gelöscht werden:

fg-lab # config system dhcp server
fg-lab (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (server) # end

fg-lab # config system interface
fg-lab (interface) # edit internal
fg-lab (internal) # show
config system interface
     edit "internal"
	set vdom "root"
	set ip 192.168.1.99 255.255.255.0
	set allowaccess ping https ssh http fgfm capwap
	set type switch
	set device-identification enable
	set role lan
	set snmp-index 7
     next
end
fg-lab (internal) # set ip 0.0.0.0 0.0.0.0
fg-lab (internal) # next

fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
     edit "lan"
	set physical-switch "sw0"
	config port
	    edit "lan1"
	    next
	    edit "lan2"
	    next
	    edit "lan3"
	    next
	    edit "lan4"
	    next
	    edit "lan5"
	    next
	end
     next
end
fg-lab (port) # delete lan1
fg-lab (port) # delete lan2
fg-lab (port) # delete lan3
fg-lab (port) # delete lan4
fg-lab (port) # delete lan5
WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later.
Do you want to continue? (y/n)y
fg-lab (port) # end

Bei einem FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:

fg-lab # config system switch-interface
fg-lab (switch-interface) # show
config system switch-interface
     edit "internal"
	set vdom "root"
			set member "wifi" "lan"
     next
end
fg-lab (switch-interface) # delete internal

fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
     edit "lan"
         set physical-switch "sw0"
     next
end
fg-lab (virtual-switch) # delete lan

1. Unter Dashboard -> Main auf den Hauptbildschirm gehen
2. Mit der Maus ganz nach unten rechts in die Ecke fahren, bis das kleine Zahnrad erscheint.
3. Zahnrad anklicken und auf Add Widget klicken.

1. Die Tempratur Anzeige findet man unter dem Titel System bei Sensor Information
2. Danach mit Close wird das Widget im Main Dashboard hinzugefügt.

1. Im Main Daschboard kann jetzt das Widget Sensor Information gefunden werden
2. Es wird der allgemeine Tempratur Status angezeigt und der Status des Lüfters (Fan Speed).
3. Um detailierte Angaben zu bekommen, auf den Status klicken

1. Jetzt kann auf Show sensor details geklickt werden

1. Es erscheint eine Liste mit allen Tempratur anzeigen, welche vorhanden sind.
2. Es kann oben rechts zwischen Grad Celsius oder Farenheit eingestellt werden.

# execute sensor list

Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:

# config global
# execute sensor list

Es werden die Sensoren und Messwerte von jedem Komponenten aufgeführt. Dabei wird der aktuelle Wert, der Schwellwert und der Alarumstatus angezeigt.

• Flag = 0 : Die Komponenten arbeiten korrekt.
• Flag = 1 : Die Komponenten arbeiten nicht richtig.

# execute sensor list
 1 +3.3V             alarm=0  value=3.3018  	threshold_status=0
 2 +5V               alarm=0  value=5.048  	threshold_status=0
 3 +12V              alarm=0  value=12.136  	threshold_status=0
 4 CPU VCCP          alarm=0  value=1.0295  	threshold_status=0
 5 CPU VTT           alarm=0  value=1.0491  	threshold_status=0
 6 CPU PVSA          alarm=0  value=0.9413  	threshold_status=0
 7 P1V8              alarm=0  value=1.7743  	threshold_status=0
 8 P1V5              alarm=0  value=1.4901  	threshold_status=0
 9 PCH +1.05V        alarm=0  value=1.024  	threshold_status=0
10 VCC 2V5           alarm=0  value=2.464  	threshold_status=0
11 MAIN 12V          alarm=0  value=11.904  	threshold_status=0
12 VCC 1V15          alarm=0  value=1.136  	threshold_status=0
13 DDR3 VTT          alarm=0  value=0.72  	threshold_status=0
14 RPS 12V           alarm=1  value=0  		threshold_status=0x7
15 NCT +3.3V         alarm=0  value=3.264  	threshold_status=0
16 NCT VBAT          alarm=0  value=3.264  	threshold_status=0
17 NCT +3.3VSB       alarm=0  value=3.216  	threshold_status=0
18 NCT VTT           alarm=0  value=1.04  	threshold_status=0
19 DTS CPU           alarm=0  value=63  	threshold_status=0
20 CPU Core 0        alarm=0  value=63  	threshold_status=0
21 CPU Core 1        alarm=0  value=63  	threshold_status=0
22 TD1               alarm=0  value=51  	threshold_status=0
23 TD2               alarm=0  value=39  	threshold_status=0
24 FAN_TMP_3         alarm=0  value=51  	threshold_status=0
25 LM75 U72          alarm=0  value=46  	threshold_status=0
26 LM75 U65          alarm=0  value=46  	threshold_status=0
27 LM75 U62          alarm=0  value=49  	threshold_status=0
28 FAN1              alarm=0  value=6500  	threshold_status=0
29 FAN2              alarm=0  value=6400  	threshold_status=0
30 FAN3              alarm=0  value=6300  	threshold_status=0

# execute sensor details

Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:

# config global
# execute sensor details

Mit diesem Befehl werden noch weitere Informationen, wie der niedrigste und höchste Schwellenwert der Sensoren angezeigt:

• upper_critical = höchster kritischer Wert
• upper_non_critical = höchster nicht kritischer Wert
• upper_non_recoverable = höchster nicht wieder herstellbarer Wert
• lower_non_critical = tiefster nicht kritischer Wert
• lower_critical = tiefster kritischer Wert
• lower_non_recoverable = tiefster nicht wieder herstellbarer Wert

# execute sensor detail 
 1 +3.3V             alarm=0  value=3.3018  threshold_status=0
    type=2/1
    upper_non_recoverable=3.6906
    upper_critical=3.6258
    upper_non_critical=3.5124
    lower_non_critical=3.0912
    lower_critical=2.994
    lower_non_recoverable=2.9292
 2 +5V               alarm=0  value=5.048  threshold_status=0
    type=2/1
    upper_non_recoverable=5.587
    upper_critical=5.489
    upper_non_critical=5.342
    lower_non_critical=4.6805
    lower_critical=4.5335
    lower_non_recoverable=4.4355
 3 +12V              alarm=0  value=12.136  threshold_status=0
    type=2/1
    upper_non_recoverable=14.083
    upper_critical=13.729
    upper_non_critical=13.434
    lower_non_critical=10.602
    lower_critical=10.366
    lower_non_recoverable=10.012
 4 CPU VCCP          alarm=0  value=1.0295  threshold_status=0
    type=2/1
    upper_non_recoverable=1.6959
    upper_critical=1.6665
    upper_non_critical=1.6175
    lower_non_critical=0.2259
    lower_critical=0.2161
    lower_non_recoverable=0.2063
 5 CPU VTT           alarm=0  value=1.0491  threshold_status=0
    type=2/1
    upper_non_recoverable=1.1765
    upper_critical=1.1569
    upper_non_critical=1.1275
    lower_non_critical=0.9315
    lower_critical=0.9021
    lower_non_recoverable=0.8825
 6 CPU PVSA          alarm=0  value=0.9413  threshold_status=0
    type=2/1
    upper_non_recoverable=1.0883
    upper_critical=1.0687
    upper_non_critical=1.0981
    lower_non_critical=0.8237
    lower_critical=0.7943
    lower_non_recoverable=0.7747
 7 P1V8              alarm=0  value=1.7743  threshold_status=0
    type=2/1
    upper_non_recoverable=2.0095
    upper_critical=1.9703
    upper_non_critical=1.9115
    lower_non_critical=1.6959
    lower_critical=1.6371
    lower_non_recoverable=1.6077
 8 P1V5              alarm=0  value=1.4901  threshold_status=0
    type=2/1
    upper_non_recoverable=1.6763
    upper_critical=1.6469
    upper_non_critical=1.5979
    lower_non_critical=1.4117
    lower_critical=1.3627
    lower_non_recoverable=1.3333
 9 PCH +1.05V        alarm=0  value=1.024  threshold_status=0
    type=2/1
    upper_non_recoverable=1.168
    upper_critical=1.152
    upper_non_critical=1.12
    lower_non_critical=0.944
    lower_critical=0.912
    lower_non_recoverable=0.896
10 VCC 2V5           alarm=0  value=2.464  threshold_status=0
    type=2/1
    upper_non_recoverable=2.88
    upper_critical=2.816
    upper_non_critical=2.784
    lower_non_critical=2.24
    lower_critical=2.208
    lower_non_recoverable=2.144
11 MAIN 12V          alarm=0  value=11.904  threshold_status=0
    type=2/1
    upper_non_recoverable=13.824
    upper_critical=13.632
    upper_non_critical=13.248
    lower_non_critical=10.944
    lower_critical=10.56
    lower_non_recoverable=10.368
12 VCC 1V15          alarm=0  value=1.136  threshold_status=0
    type=2/1
    upper_non_recoverable=1.232
    upper_critical=1.2
    upper_non_critical=1.168
    lower_non_critical=1.04
    lower_critical=1.008
    lower_non_recoverable=0.992
13 DDR3 VTT          alarm=0  value=0.72  threshold_status=0
    type=2/1
    upper_non_recoverable=0.848
    upper_critical=0.832
    upper_non_critical=0.8
    lower_non_critical=0.704
    lower_critical=0.688
    lower_non_recoverable=0.672
14 RPS 12V           alarm=1  value=0  threshold_status=0x7
    type=2/1
    upper_non_recoverable=13.824
    upper_critical=13.632
    upper_non_critical=13.248
    lower_non_critical=10.944
    lower_critical=10.56
    lower_non_recoverable=10.368
15 NCT +3.3V         alarm=0  value=3.264  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
16 NCT VBAT          alarm=0  value=3.264  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
17 NCT +3.3VSB       alarm=0  value=3.216  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
18 NCT VTT           alarm=0  value=1.04  threshold_status=0
    type=2/1
    upper_non_recoverable=1.168
    upper_critical=1.152
    upper_non_critical=1.12
    lower_non_critical=0.944
    lower_critical=0.912
    lower_non_recoverable=0.896
19 DTS CPU           alarm=0  value=64  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
20 CPU Core 0        alarm=0  value=65  threshold_status=0
    type=1/1
    upper_non_recoverable=92
    upper_critical=91
    upper_non_critical=86
21 CPU Core 1        alarm=0  value=64  threshold_status=0
    type=1/1
    upper_non_recoverable=92
    upper_critical=91
    upper_non_critical=86
22 TD1               alarm=0  value=52  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
23 TD2               alarm=0  value=39  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
24 FAN_TMP_3         alarm=0  value=51  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
25 LM75 U72          alarm=0  value=46  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
26 LM75 U65          alarm=0  value=46  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
27 LM75 U62          alarm=0  value=50  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
28 FAN1              alarm=0  value=5700  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100
29 FAN2              alarm=0  value=5800  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100
30 FAN3              alarm=0  value=5600  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100

Falls die FortiGate über keinen Temperatursensor verfügt, wird in der CLI beim eingeben des Befehls eine Fehlermeldung erscheinen:

 
# execute sensor list
command parse error before 'sensor'
Command fail. Return code -61

# execute erase-disk [SYSTEM | Internal]

Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit, läuft der Test für 7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2". Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:

"User interrupt! Restoring data back to disk....".

# diagnose disktest device ?
1    /dev/sda, size 3864MB, boot device
2    /dev/sdb, size 7728MB

# diagnose disktest device 2
Current Test Device: /dev/sdb

# diagnose disktest [block | time | size]

Die Optionen haben folgende Bedeutung:
     
block       Die Blocksize für jede Lese- sowie Schreiboperation.
timeDie     Limite der Testzeit für jeden Zyklus. Standard: "keine Limite".
sizeDie     Limite der Testgrösse für jeden Zyklus. Standard: "keine Limite".

# diagnose disktest run

Round 1 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  15.0   8.6
 76.0      200(2.59%):  ..................................................  15.1   8.9
150.2      400(5.18%):  ..................................................  15.0   9.0
224.3      600(7.76%):  ..................................................  15.0   8.9
298.8      800(10.35%): ..................................................  15.1   8.9
372.9     1000(12.94%): ..................................................  15.1   9.0
446.9     1200(15.53%): ..................................................  15.1   9.0
520.7     1400(18.12%): ..................................................  15.2   9.0
594.4     1600(20.70%): ..................................................  15.1   9.0
668.4     1800(23.29%): ..................................................  15.2   9.0
742.1     2000(25.88%): ..................................................  15.3   9.0
815.8     2200(28.47%): ..................................................  15.3   9.0
889.5     2400(31.06%): ..................................................  15.3   8.9
963.1     2600(33.64%): ..................................................  15.4   9.0
1036.7    2800(36.23%): ..................................................  15.3   9.0
1110.3    3000(38.82%): ..................................................  15.3   9.0
1183.9    3200(41.41%): ..................................................  15.3   9.0
1257.6    3400(44.00%): ..................................................  15.3   9.0
1331.2    3600(46.58%): ..................................................  15.3   9.0
1404.7    3800(49.17%): ..................................................  15.3   9.0
1478.3    4000(51.76%): ..................................................  15.3   9.0
1551.9    4200(54.35%): ..................................................  15.2   8.9
1625.8    4400(56.94%): ..................................................  14.5   8.6
1702.5    4600(59.52%): ..................................................  15.0   8.8
1777.3    4800(62.11%): ..................................................  15.2   8.9
1851.6    5000(64.70%): ..................................................  15.1   8.9
1925.9    5200(67.29%): ..................................................  15.1   8.9
2000.3    5400(69.88%): ..................................................  15.1   8.9
2074.7    5600(72.46%): ..................................................  15.1   8.9
2148.9    5800(75.05%): ..................................................  15.2   8.9
2223.2    6000(77.64%): ..................................................  15.2   8.8
2297.5    6200(80.23%): ..................................................  15.1   8.9
2371.9    6400(82.82%): ..................................................  15.2   8.9
2446.2    6600(85.40%): ..................................................  15.1   8.9
2520.5    6800(87.99%): ..................................................  15.3   8.9
2594.6    7000(90.58%): ..................................................  14.6   8.6
2671.4    7200(93.17%): ..................................................  15.1   8.4
2748.0    7400(95.76%): ..................................................  15.3   5.4
2851.2    7600(98.34%): ................................
Test Result: Passed
Tested size: 7728MB (100.00% Coverage of whole disk)
Time used: 2901.5 sec
Read Speed:  15.2MB/s
Write Speed:   8.7MB/s
Round 1 Finished!

Round 2 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  14.7   8.4
 77.9      200(2.59%):  .............User interrupt! Restoring data back to disk...

Test Result: Interrupted
Tested size: 256MB (3.31% Coverage of whole disk)
Time used:  99.3 sec
Read Speed:  14.7MB/s
Write Speed:   8.4MB/s
Round 2 Finished!

Referenz: DESCRIPTION FORTISANDBOX CLOUD

Über das WebGui der FortiGate kann im Dashboard die aktuelle Quote angezeigt werden: (Beispiel hier einer FortiGate 60F):

# execute usb-disk format
This operation will ERASE all data in USB disk!
Do you want to continue? (y/n)'''y'''

Format USB disk /dev/sdc1 ...
Create file system on /dev/sdc1 ...

            
format [Laufwerks Name zBsp "F"]: /FS:FAT /V:[Name des USB-Sticks/Laufwerk zBsp "FortiGate"]
legen Sie eine neue Diskette in Laufwerk D: ein,
und drücken Sie die EINGABETASTE.
Der Typ des Dateisystems ist EXFAT.
Das neue Dateisystem ist FAT.
Überprüfung von 1009.4 MB
Die Dateizuordnungstabelle (FAT) wird initialisiert...
Formatieren beendet.
     1009.1 MB Speicherplatz auf dem Datenträger insgesamt.
     1009.1 MB sind verfügbar.

        16'384 Bytes in jeder Zuordnungseinheit
        64'585 Zuordnungseinheiten auf dem Datenträger verfügbar
            
     16 Bits in jedem FAT-Datensatz.
            
Volumeseriennummer : 4E6E-9DDF

1. Menu System > Settings > USB Auto-Install
   
2. Detect configuration Name der Konfig.-Datei im .conf Format angeben.
3. Detect firmware Name der Image Datei im .out Format angeben.

# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]  
# set default-config-file [File Name]
# set default-image-file [File Name]
# end

Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB-Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB-Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB-Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!

Nach der Installation des "images" auf dem USB-Stick, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtions-File auf dem USB-Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB-Stick ausgeführt. Ist die Konfiguration auf dem USB-Stick gleich wie jene auf der aktiven Partition wird keine Änderung durchgeführt und der Neustart regulär fortgesetzt!

1. Menu System > Settings > USB Auto-Install
   
2. Detect configuration Name der Konfig Datei im .conf Format angeben.
3. Detect firmware Name der Image Datei im .out Format angeben.

# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]  
# set default-config-file [File Name]
# set default-image-file [File Name]
# end

Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!

Nach der Installation des "images" auf dem USB Sticks, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtionsfileauf dem USB Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB Stick ausgeführt. Ist die Konfiguration auf dem USB Stick gleich wie jene auf der aktiven Partition wird keine Aenderung durchgeführt und der Neustart regulär fortgesetzt!

LINDY USB RS232 Converter w/ COM Port Retention RS-232 Port
Transfer Rate: up to 230 kBit/s
Chipset: FTDI
Hersteller Artikel-Nr.: 42686
ALSO Artikel-Nr.: 2909413
EAN-Code: 4002888426862
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=2909413

LINDY USB Type C Serial Converter
Hersteller Artikel-Nr.: 43248
ALSO Artikel.Nr.: 3023950
EAN-Code: 4002888432481
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=3023950
Treiber:Datei:PL2303 Prolific DriverInstaller v1190.zip

# config system console
# set login disable
# end

# config system console
# set fortiexplorer disable
# end

# config system global
# set gui-display-hostname [enable | disable] 
# end

Das Resultat:

fgt200-master # diagnose sys cmdb refcnt show system.interface.name port1
entry used by complex system.ha:monitor
entry used by table system.dhcp.server:id '3'
entry used by child table srcintf:name 'port1' of table firewall.policy:policyid '1'

Variabel:

Beschreibung:

$USERFORM

Die Management Zugriffs Methode (ssh, jsconsole usw.) und die IPv4-Adresse des Administrators, der das Element konfiguriert hat.

$USERNAME

Der Accountname des Administrators, der das Element konfiguriert hat.

$SerialNum

Die Serienummer des FortiGate Gerätes

# config system global
# set hostname $SerialNum
# end

get hardware nic internal5 | grep Current_HWaddr
Current_HWaddr        90:6c:ac:a9:d7:47

# get system session list | grep -n tcp

5:tcp     3187   198.18.1.18:54740 146.4.73.70:54740 40.67.254.36:443 -               
7:tcp     3544   198.18.1.208:54324 146.4.73.70:54324 40.67.254.36:443 -               
10:tcp     3597   198.18.0.1:1065  -                198.18.0.12:514  -               
13:tcp     3587   198.18.1.10:64704 146.4.73.70:64704 172.217.168.74:443 -               
24:tcp     3593   198.18.1.63:46340 146.4.73.70:46340 52.5.144.164:443 -               
27:tcp     9      198.18.0.200:53041 146.4.73.66:53041 172.16.0.1:8013  -               
28:tcp     8      198.18.1.143:300 146.4.73.70:811  10.3.0.1:111     -               
36:tcp     3597   198.18.1.166:50320 146.4.73.70:50320 54.156.181.70:443 -               
51:tcp     3      198.18.0.200:53028 146.4.73.66:53028 172.16.0.1:8013  -               
52:tcp     2      198.18.1.178:46020 146.4.73.70:46020 192.168.1.176:389 -               
53:tcp     3573   198.18.0.200:52815 146.4.73.66:52815 185.60.216.53:443 -               
55:tcp     2469   198.18.1.142:57170 146.4.73.70:57170 40.67.254.36:443 -               
56:tcp     3596   198.18.0.1:1415  -                198.18.0.12:514  -               
73:tcp     8      198.18.0.21:65394 146.4.73.66:65394 52.5.76.173:8347 -               
74:tcp     3      198.18.0.11:38838 217.193.240.162:38838 96.45.33.86:443  -               
76:tcp     7      198.18.0.1:14681 -                198.18.0.101:8000 -               
81:tcp     3590   198.18.1.63:48378 146.4.73.70:48378 54.84.191.209:443 -               
86:tcp     9      198.18.200.45:29948 146.4.73.68:29948 194.115.91.54:25 -               
91:tcp     3595   198.18.1.163:55696 146.4.73.70:55696 192.146.155.80:443 -               
92:tcp     3600   198.18.0.200:52835 -                198.18.0.1:22    -               
102:tcp     8      198.18.0.9:34137 146.4.73.66:34137 198.18.6.10:139  -               
105:tcp     5      198.18.0.200:53029 146.4.73.66:53029 172.16.0.1:8013  -               
107:tcp     3490   198.18.0.200:52729 146.4.73.66:52729 40.67.251.132:443 -               
118:tcp     3599   198.18.1.163:54718 146.4.73.70:54718 192.146.155.82:443 -               
119:tcp     0      198.18.1.163:53038 146.4.73.70:53038 192.146.155.81:443 -               
120:tcp     3513   198.18.1.18:56352 146.4.73.70:56352 40.79.67.176:443 -               
126:tcp     3586   172.16.99.4:55785 146.4.73.71:55785 13.224.96.67:443 -               
129:tcp     3599   172.16.99.4:57452 146.4.73.71:57452 172.217.168.46:443 -               
144:tcp     3572   198.18.1.10:49867 146.4.73.70:49867 54.186.97.86:443 -               
148:tcp     6      198.18.0.200:53034 146.4.73.66:53034 172.16.0.1:8013  -               
150:tcp     3599   198.18.1.163:42980 146.4.73.70:42980 192.146.155.76:443 -               
151:tcp     3598   198.18.0.1:24004 -                198.18.0.11:541  -               
152:tcp     3595   198.18.0.1:1073  -                198.18.0.12:514  -               
167:tcp     1      198.18.0.200:53017 146.4.73.66:53017 172.16.0.1:8013  -               
169:tcp     3589   146.4.73.66:9421 -                154.45.1.53:514  -               
173:tcp     3599   198.18.1.209:37791 146.4.73.70:37791 3.135.144.181:443 -               
175:tcp     3583   198.18.1.224:57385 146.4.73.70:57385 13.59.223.49:443 -               
176:tcp     3585   198.18.1.2:44996 146.4.73.70:44996 3.212.241.156:443 -               
177:tcp     3595   198.18.0.1:1074  -                198.18.0.12:514  -            

show | grep ldap-group1
    edit "ldap-group1"
        set groups "ldap-group1"

show | grep -f ldap-group1
config user group
    edit "ldap-group1"
        set member "pc40-LDAP"
    next
end
config firewall policy
    edit 2
        set srcintf "port31"
        set dstintf "port32"
        set srcaddr "all"
        set action accept
        set identity-based enable
        set nat enable
        config identity-based-policy
        edit 1
            set schedule "always"
            set groups "ldap-group1"
            set dstaddr "all"
            set service "ALL"
        next
        end
    next
end

config dlp sensor
edit "default"
set comment "Default sensor."
config filter
edit 1
set proto smtp pop3 imap http-post
set filter-by regexp
set regexp "('?s:(\\d{10}.*))"
set action block
next
end
next
end

Mit der im WebGui verfügbaren CLI Console funktioniert diese Methode nicht!

Ich gebe in der CLI einfach das Fragezeichen ? ein. Es wird automatisch das Hilfemenu angezeigt:

#
config      Configure object
get         Get dynamic and system information
show        Show configuration
diagnose    Diagnose facility
execute     Execute static commands
alias       Execute alias commands
exit        Exit the CLI

Ich drücke zuerst ctrl+v und sehe danach in der CLI das Fragezeichen ohne dass das Hilfemenu aufgerufen wird:

# ?

support.fortinet.com -> DOWNLOAD -> FIRMWARE IMAGES

Vorsicht wenn eine FortiGate welche einen SoC3 verbaut hat und man auf die Version 6.2.2 upgraden will. Es muss beachtet werden, dass die Authentifizierung mit dem Mobile Token für das SSL-VPN nicht mehr funktioniert.

1. Im Header Rechts auf den Admin User das Menu öffnen
2. Configuration anwählen
3. Backup anwählen

Das Backup kann mittels "Backup to" auf den lokalen PC, oder falls ein USB Stick an der FortiGate eingesteckt ist auch diesen als Speicherziel wählen. Die Option Encryption ist dafür da, dass man das Backup File verschlüsselt abspeichern kann. Das Passwort, welches man definieren muss, darf nicht verloren gehen. Wenn das Passwort nicht mehr bekannt ist, gibt es keine Möglichkeit dieses Backupfile wieder in die FortiGate einzulesen. Auch über ein Support Ticket wird dies unmöglich sein. Wenn man das Backup verschlüsselt ablegt, ist es nicht mehr möglich die Konfiguration im Texteditor zu lesen oder zu bearbeiten.

Es kann definiert werden, wohin das Backup File abgespeichert werden soll. Es wird eine Datei mit der Endung .conf abgelegt. Diese Datei kann im Texteditor bearbeitet werden. Somit können gewisse Änderungen direkt im Backupfile vorgenommen werden. Man kann dies dann wieder als .conf Datei abspeichern und sie in die FortiGate einlesen.

Über die CLI gibt es noch weitere Orte auf welche das Backup abgespeichert werden kann. Zum Beispiel ist es möglich, das Backup auf einen FTP oder TFTP Server zu speichern.
Der grundlegende Befehlt um eine Backup durchzuführen ist execute backup config <Location>
Wenn man ein ? nach config eingibt, werden alle möglichen Speicherorte angezeigt:

# execute backup config ?
flash                 Backup config file to flash.
ftp                   Backup config file to ftp server.
management-station    Backup config file to management station.
tftp                  Backup config file to TFTP server.
usb                   Backup config file to USB disk.
usb-mode              Backup config file for USB mode.

Um ein Backup auf einen FTP Server zu speichern kann wie folgt vorgegangen werden:

execute backup config ftp <File_Name> <FTP_Server_IP> [<Port>] [<Usermame>] [<Passwort>]

• FortiOS - Release Notes Version 6.0.0
• FortiOS - Release Notes Version 6.0.1
• FortiOS - Release Notes Version 6.0.2
• FortiOS - Release Notes Version 6.0.3
• FortiOS - Release Notes Version 6.0.4
• FortiOS - Release Notes Version 6.0.5
• FortiOS - Release Notes Version 6.0.6
• FortiOS - Release Notes Version 6.0.7
• FortiOS - Release Notes Version 6.0.8
• FortiOS - Release Notes Version 6.0.9
• FortiOS - Release Notes Version 6.0.10
• FortiOS - Release Notes Version 6.0.11 --> Link Release Notes 6.0.11

• FortiOS - Release Notes Version 6.2.0
• FortiOS - Release Notes Version 6.2.1
• FortiOS - Release Notes Version 6.2.2
• FortiOS - Release Notes Version 6.2.3
• FortiOS - Release Notes Version 6.2.4
• FortiOS - Release Notes Version 6.2.5 --> Link Release Notes 6.2.5

• FortiOS - Release Notes Version 6.4.0 --> Link Release Notes 6.4.0
• FortiOS - Release Notes Version 6.4.1 --> Link Release Notes 6.4.1
• FortiOS - Release Notes Version 6.4.2 --> Link Release Notes 6.4.2

Die aktuellen Release Notes, welche auch immer gepflegt werden, findet man auf der https://docs.fortinet.com Seite:

• https://docs.fortinet.com/product/fortigate/6.4

Unterstützt mein FortiGate Gerät eine bestimmte FortiOS Version?

In den folgenden Tabellen kann entnommen werden, ob wann ein bestimmtes FortiGate Gerät nicht mehr mit einer FortiOS GA Version funktioniert. Bevor man eine neue GA Version auf ein FortiGate Gerät installiert, sollte man in den Release Notes schauen, ob die entsprechende Version auch für dieses Gerät vorhanden ist. Alle folgenden Angaben kommen von der Fortinet Support Seite und sind ohne Gewähr.

      https://support.fortinet.com/Information/ProductLifeCycle.aspx

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version 5.4 nicht:

Der Zugang zum Fortinet-Kundendienst für Support zu 5.2 ist für diese Hardware-Modelle bis zum Erreichen des Hardware-End-of-Support-Datums möglich.

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version 6.0 nicht:

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version 6.2 nicht:

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version 6.4 nicht:

Wann geht eine FortiOS Version "End of Support" - wo wird dies ausgewiesen, resp. wo kann ich dies nachschauen?

Um zu wissen ob auf der vorhandenen OS-Version der FortiGate noch Support-Anspruch besteht / noch unterstützt wird, kann dies am einfachsten auf dem Partner-Portal, welches immer geupdated wird, überprüft werden. Im Partner-Portal ist dies hier zu finden:

https://support.fortinet.com/Information/ProductLifeCycle.aspx

So wird zum Beispiel das FortiOS 6.0 im September 2023 "End of Support" gehen.

Der Life Cycle vom FortiOS ist wie folgt definiert:

Die GA-Phase dauert 36 Monate, danach geht das FortiOS automatisch in den Status "End of Engineering Support". Nach weiteren 18 Monaten geht das FortiOS "End of Support". Sobald das FortiOS in diesem Stadium ist, gibt es seitens Fortinet keinen technischen Support. Dies bedeutet, dass Tickets erst bearbeitet werden, wenn die FortiGate auf einen aktuellen Software Stand angehoben wurde. Der ganze Life Cycle einer FortiOS Generation dauert entspechend 54 Monate.

       Mehr zum TAC Support     : Fortinet:Support-Case#Was_wird_vom_Technischen_Fortinet_Support_.28TAC.29_nicht_unterst.C3.BCtzt.3F

In der nachstehenden Tabelle sind die Daten welche der offiziellen Fortinet Supportseite entnommen wurden:

(1) Das v4.0MR3 End of Support Date für Hardware, welche FortiOS Version 5.0 unterstützt, ist 2014-03-19. (Zusätzlich, und nach eigenem Ermessen, wird Fortinet den Kunden bei der Umstellung auf 5.0 in begrenztem Umfang beratend zur Seite stehen. Der beratende Support beschränkt sich auf technischen Support, Konfigurationshilfe, allgemeine Fragen und die Einreichung von Fehlerberichten.

Quelle: https://support.fortinet.com/Information/ProductLifeCycle.aspx

Wie wird eine FortiGate von Grund auf mit einem entsprechenden FortiOS installiert (staging)?

Wenn ein FortiGate Device von Fortinet ausgeliefert wird, kann dieses Device auf irgend einem FortiOS basieren! Grundsätzlich werden immer die neusten FortiOS Versionen durch Fortinet vorinstalliert. Wenn es sich um ein neu lanciertes Modell eines FortiGate Devices handelt, basiert dies oft auf einem sogenannten "Branche Release". Ein "Branche Release" ist eine Vorabversion eines "GA" Releases (General Availibility). Aus diesem Grund empfehlen wird bei jedem FortiGate Device ein "staging" mit einem FortiOS nach Wahl durchzuführen. Dabei spielt es keine Rolle welches FortiOS oder welche Konfiguration auf der FortiGate existiert oder vorhanden ist, da durch ein "staging" die FortiGate von Grundauf neu installiert wird und sämtliche Konfiguration und das bestehende FortiOS dabei verloren gehen. Somit sollte jedes FortiGate Device nach diesem Vorgehen aufgesetzt werden. Zwingende Voraussetzung für ein "staging" ist eine korrekte Verbindung von der entsprechenden Workstation zum "Consolen Port" (RS232) des FortiGate Devices. Dies bedeutet:

8 bits 
no parity 
1 stop bit 
9600 baud (the FortiGate-300 uses 115,000 baud) 
Flow Control = None 

Die heutigen Laptop/Workstation verfügen in den seltensten Fällen einen "RS-232" Port. Dies bedeutet dass mit einem entsprechenden Device, zBsp "USB Konverter" gearbeitet werden muss. Wir empfehlen den "EX-1301-2" USB Konverter welcher sich durch eine hohe Kompatibilität auszeichnet. Weitere detaillierte Informationen betreffend "Konsolen Port" resp. RS-232 Console findet man im folgenden Artikel:

       FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_.28Konverter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Konsolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F

Beim "staging" Prozess überträgt das BIOS des FortiGate Devices das entsprechende FortiOS welches von einem TFTP Server auf die FortiGate um dies nachträglich zu installieren. Aus diesem Grund muss auf der entsprechende Workstation, welche mit dem FortiGate Device verbunden ist ein TFTP Server installiert werden. Wir empfehlen folgenden TFTP Server welcher kostenlos erhältlich ist:

       http://www.solarwinds.com/downloads/    (Abschnitt: Free Trial Downloads > TFTP Server & SFTP/SCP Server > DOWNLOAD FREE Tool > Free TFTP Server > DOWNLOAD NOW)
       https://www.solarwinds.com/free-tools/free-tftp-server (Direkter Link)

Für den "Solarwinds TFTP Server" muss eine Standard-Installation durchgeführt werden. Nach der Installation steht im Startmenü "SolarWinds TFTP Server" zur Verfügung und unter dem Menu-Punkt "TFTP Server". Starte den TFTP Server anhand dieses Menu-Eintrages. Danach wähle:

       File > Configure > Start

Der TFTP Server wird gestartet und dies wird auch unter der Position "Status" als "Started" angezeigt. Nun bestätige durch "OK" das "Configure" Fenster und sobald dies geschieht "initial" wird der TFTP Server gestoppt. Der Grund hierfür ist der folgender: Beim ersten Start des TFTP Servers wird das "TFTP Server Root Directory" angelegt und der Server stoppt. Standardmässig befindet sich das "TFTP Server Root Directory unter folgendem Verzeichnis "C:\TFTP-Root". Kontrolliere kurz ob dieses Verzeichnis angelegt wurde und starte den TFTP Server mehrmals und kontrolliere dessen Status:

       File > Configure > Start [Kontrolliere den Status "Started"]

Nun muss in das "TFTP Server Root Direktory" das entsprechende FortiOS Image kopiert werden. Benenne dieses Image um in "image.out". Als nächsten Schritt konfiguriere die Netzwerkkarte der entsprechende Workstation welche mit dem FortiGate Device über "Consolen Port" verbunden ist mit folgender IPv4-Adresse / Subnet Maske und deaktiviere sämtlichen anderen Netzwerkkarten wie zBsp jenes für das WLAN:

       192.168.1.100
       255.255.255.0
       
       NOTE Die IPv4-Adresse des TFTP Servers resp. der Netzwerkkarte der entsprechenden Workstation kann für die verschiedenen
            Modelle des FortiGate Devices variieren. Beim "staging" Prozess kann diese jedoch eruiert werden!

Die Konfiguration der Netzwerkkarte benötigt keinen "Default Gateway" und auch keinen DNS Server. Achte darauf, dass auf der entsprechenden Workstation sämtliche Firewall, Endpoint Security usw. deaktiviert wurden damit die Anfrage des FortiGate Devices für die Übertragung des FortiOS Image zum TFTP Server zugelassen wird. Aus diesen Ausführung ergibt sich folgende Konstellation:

                      _____________________________

       Consolen Port |                             |
          ___________|___                          | RS-232 Anschluss

             WAN1 |                     |                            --> Fireweall, Endpoint Security deaktiviert!

       NOTE Als Verbindung von WAN1 zur Netzwerkkarte der entsprechenden Workstation benutze ein normales RJ-45 Kabel. Der entsprechende
            Netzwerk-Port in unserem Beispiel ("WAN1") ist abhängig des FortiGate Devices. Der entsprechend zu nutzende Port wird während
            dem "staging" Prozess aufgelistet!

Nun muss das FortiGate Device neu gestartet werden (execute restart) oder ein "power-on" ausgeführt werden. Sobald die FortiGate startet muss auf folgende Meldung geachtet werden um den Start-Prozess abzubrechen und so in dass BIOS der FortiGate zu gelangen:

Konfiguration über die CLI:

Please wait for OS to boot, or press any key to display configuration menu.. FortiGate-50E (12:55-08.13.2015) Ver:05000011 Serial number: FGT50E3U15000635 CPU(00): 1600MHz Total RAM: 2GB Initializing boot device... Initializing MAC... egiga1 Please wait for OS to boot, or press any key to display configuration menu..

Wenn der Start-Prozess mit "press any key...." abgebrochen wurde wird folgendes Menü angzeigt:

Konfiguration über die CLI:

[C]: Configure TFTP parameters. [R]: Review TFTP parameters. [T]: Initiate TFTP firmware transfer. [F]: Format boot device. [I]: System information. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot. [H]: Display this list of options.

Nun kann für den TFTP "staging" Prozess anhand "[R]: Review TFTP parameters." die vorgegebenen Konfiguration eingesehen werden. Möchte man diese Konfiguration verändern kann dies anhand "[C]: Configure TFTP parameters." durchgeführt werden. Dabei ist zu beachten das diese Veränderung "persistens" ist und zukünftig für jeden "staging" Prozess betreffend TFTP Parameter für dieses FortiGate Device gilt:

Konfiguration über die CLI:

Enter C,R,T,F,I,B,Q,or H: R Image download port: WAN1 DHCP status: Disabled Local VLAN ID: <NULL> Local IP address: 192.168.1.188 Local subnet mask: 255.255.255.0 Local gateway: 192.168.1.254 TFTP server IP address: 192.168.1.100 Firmware file name: image.out

Führe folgende Kontrolle betreffend der Konfiguration des "staging" Prozesses durch:

• Ist das RJ-45 Kabel am korrekten Netzwerk-Port der FortiGate angeschlossen (Beispiel: WAN1)
• Wurde die korrekte IPv4-Adresse, wie auch die Subent Maske auf der Netzwerkkarte der entsprechenden Workstation konfiguriert
• Ist der TFTP Server gestartet und befindet sich im "TFTP Server Root Directory" (C:\TFTP-Root) das entsprechende Image des FortiOS als File "image.out"

Als nächsten Schritt muss der "boot device" neu formatiert werden. Dabei wird die Boot-Partition gelöscht und neu angelegt. Sämtliche vorhandenen Daten/Informainen gehen dabei verloren. Wähle die Position "[F]: Format boot device.":

Konfiguration über die CLI:

Enter C,R,T,F,I,B,Q,or H: F It will erase data in boot device. Continue? [yes/no]: yes Formatting............................ Done.

Nun, um den "staging" Prozess zu starten führe den Punkt "[T]: Initiate TFTP firmware transfer." aus:

Konfiguration über die CLI:

Enter C,R,T,F,I,B,Q,or H: T

Nun wird der "staging" Prozess durchgeführt. Achte dabei auf den "TFTP Server" resp. dessen Console in welcher der Transfer des Files bestätigt wird! Auf dem FortiGate Device wird eine korrekte Übertragung folgendermassen angezeigt:

Konfiguration über die CLI:

Please connect TFTP server to Ethernet port 'WAN1'. MAC: 90:6c:ac:13:80:10 Connect to tftp server 192.168.1.100 ... ############################################################# Image Received. Checking image... OK Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? D Wenn "D" für "default" ausgeführt wird, so wird das FortiOS in die Partition installiert und diese "active" gesetzt und somit beim nächsten Neustart des Devices verwendet. Wird "B" für "backup" gewählt, so wird die Partition nicht "active" gesetzt und beim nächsten Neustart nicht genutzt. Wenn "R" für "run" ausgeführt wird, so wird das FortiOS in den Memory Bereich installiert. Dies bedeutet dass nach einem Neustart des Devices diese Installation nicht mehr zur Verfügung da durch den ausgeführten Neustart der Memory Bereich gelöscht wird! Für ein "staging" speziell wenn der "boot device" Formatiert wird ist immer "D" zu wählen für "default". Programming the boot device now. .................................... ............................................................. ............................................................. ............................................................... ... Booting OS... Reading boot image... 2800640 bytes. Initializing firewall... System is starting... FGT50E3U15000635 login:

Das FortiOS ist nun grundsätzlich installiert. Als nächsten Schritt sollte die "disk" eines FortiGate Devices formatiert werden. Bei kleineren FortiGate Devices steht die "disk" für ein "Logging" nicht mehr zur Verfügung. Dennoch sollte die "disk" Formatiert werden da ein FortiOS für viele Funktionen diese "disk" benutzen wird, wie zBsp DHCP Lease File, Caching Informationen usw. Steht die "disk" nicht zur Verfügung, da diese nicht formatiert wurde, werden diese Informationen in den Memory-Bereich geschrieben was das Memory zusätzlich belastet oder stehen teilweise gänzlich nicht zur Verfügung. Um sich Initial nach einem "staging" auf einem FortiGate Device einzuloggen müssen folgende Login-Informationen verwendet werden:

Konfiguration über die CLI:

User: admin Password: [Kein Passwort]

Nun kann die "disk" mittels folgendem Befehl formatiert werden:

Konfiguration über die CLI:

# execute formatdisk Log disk is /dev/sdb4 Formatting this storage will erase all data on it, including Logs, quarantine files; WanOpt caches; and requires the unit to reboot. Do you want to continue (y/n) y

Nach dem Formatieren der "disk" wird ein Neustart ausgeführt! Dieser Befehl "execute formatlogdisk" kann auf neueren FortiGate Modellen, wie zBsp einer FG-50E nicht ausgeführt werden. Der Grund ist der wie folgt: Diese FortiGate Modelle verfügen zwar über eine "disk" jedoch die "disk" wird als Subsystem im Flash-Bereich angelegt (MTD; Memory Technology Device). Die "MTD" Technology ist Bestandteil des Linux Kernels resp. des FortiOS Kernels. Um festzustellen ob das FortiGate Modell über eine "MTD" Implementation verfügt kann folgender Befehl eruiert werden:

Konfiguration über die CLI:

# fnsysctl df -h Filesystem Size Used Available Use% Mounted on rootfs 123.9M 53.6M 70.2M 43% / /dev/root 123.9M 53.6M 70.2M 43% / none 1.5G 1.5M 1.4G 0% /tmp none 1.5G 0 1.5G 0% /dev/shm none 1.5G 16.9M 1.4G 1% /dev/cmdb /dev/mtd5 18.0M 6.6M 11.3M 37% /data /dev/mtd7 30.0M 2.3M 27.6M 8% /data2

Bei den Verzeichnissen "/data" sowie "/data2" welche als "/dev/mtd*" indiziert werden und somit als "MTD" Subsysteme gelten, handelt es sich effektiv um die "disk". Diese "disk" resp. das "MTD Subsystem" wird anhand eines Files, welches in den Flash-Bereich kopiert wird angelegt. Dabei muss berücksichtigt werden, dass alle Informationen der "disk" verloren gehen. Somit FortiGate Modelle, welche anhand dieser "MTD Subsystem" Technology verfügen resp. anhand dieser eine "disk" dargestellt wird können Informationen nicht "persistent" speichern dh. nach einem Neustart gehen alle Informationen verloren! Für ein "MTD" Subsystem wird auf einer FortiGate-50E 128 MB alloziert. Als nächster Schritt im "staging" Prozess sollten die Interface's auf dem internal Switch aufgebrochen werden. Um dies durchzuführen muss zwischen folgenden Möglichkeiten unterschieden werden:

• Das FortiGate Device verfügt über einen internen Hardware "Switch Controller"!
• Das FortiGate Device verfügt über keinen internen Software "Switch Controller"!
• Auf dem FortiGate Device kann kein "Interface Mode" durchgeführt werden!

       https://fortinet.also.ch/wiki/index.php?title=FortiGate-6.0:FAQ#Wie_wird_ein_virtueller_Switch_komplett_gel.C3.B6scht.3F

Durch das Aufbrechen des internen Swichtes gehen sämtliche Konfigurationen auf den Interfaces für den "internen" Switch verloren Dies beutet dass nach dem ausgeführten Neustart auf den Interfaces für den internen Switch einzeln verfügbar sind keine IP Adressen mehr konfiguriert sind. Um auf einen Zugriff über das Mgmt. Interfaces der FortiGate zu gewährleisten muss folgendes auf einem entsprechenden Interface ausgeführt werden:

Verifiziere die einzelnen Interface Namen

Konfiguration über die CLI:

# show system interface

Konfiguriere ein entsprechendes Interface

Konfiguration über die CLI:

# config system interface # edit [Name des Interface zB "internal1"] # set ip [IPv4 Adresse plus Subnet Maske zB "192.168.1.99 255.255.255.0] # set allowaccess [http | https | ssh | telnet | ping] # end

Wenn "http" sowie "https" aktiviert werden wird standardmässig ein "redirect" auf "https" durchgeführt. Möchte man dies unterbinden kann folgendes zusätzlich ausgeführt werden:

Konfiguration über die CLI:

# config system global # set admin-https-redirect [enable | disable] # end

Der "staging" Prozess ist nun abgeschlossen und due FortiGate kann in Betrieb genommen werden!

Hier kann eine Anleitung heruntergeladen werden:

• Datei:FortiGate-Guide-Staggen SwitchAufloesen-Version-1.0.pdf

Wie kann ich einen FortiOS Rollback durchführen?

Auf der FortiGate bestehen zwei Partitionen auf der Festplatte, auf welcher die Konfiguration und das FortiOS Image geschrieben wird. Es ist immer eine Partion mit dem aktuellen FortiOS und der aktuellen Konfiguration aktiv. Wenn ein Upgrade auf eine neue FortiOS Version durchgeführt wird, wird die Konfiguration auf die passive Partition geschrieben und auf dieser das neue FortiOS installiert. Nach der Installation wird dann diese Partition aktiv geschalten und die andere passiv.

Durch dieses Verhalten ist es möglich, dass wir nach einem missglückten OS-Update wieder ein Schritt zurück gehen können indem wir mit der passiven Partition die FortiGate neu starten. So initiert die FortiGate nach einem Reboot wieder mit der vorherigen OS-Version und deren Konfiguration.

Wichtig zu wissen ist, dass man immer nur ein Schritt zurück gehen kann. Daher empfiehlt es sich nach jedem Update-Schritt das Verhalten der FortiGate zu überprüft.

Als Erstes müssen wir schauen, welche Partition momentan gerade aktiv ist. Dies kann mit diagnose sys flash list überprüft werden. Danach müssen wir definieren, mit welcher Partition wir beim nächsten Mal starten wollen (primäre oder sekondäre)

Konfiguration über die CLI:

# diagnose sys flash list Partition Image TotalSize(KB) Used(KB) Use% Active 1 FGT60E-6.02-FW-build1010-191008 253920 83060 33% No 2 FGT60E-6.02-FW-build1066-191218 253920 82168 32% Yes 3 ETDB-77.00885 3021708 130964 4% No Image build at Dec 18 2019 22:30:39 for b1066 Wir sehen in diesem Beispiel, dass die Partition 2 (secondary) aktiv ist. Auf dieser ist das FortiOS Build 1066 (FortiOS 6.2.3) installiert. Auf der Partition 1 (primär) ist das FortiOS Build 1010 (FortiOS 6.2.2) installiert. Mit dem Befehl execute set-next reboot [primary|secondary] kann ich definieren mit welcher Partition beim nächsten Reboot gestartet werden soll. In unserem Beispiel wollen wir den Fallback auf das FortiOS 6.2.2. Dies bedeutet, dass wir die primäre Partition auswählen müssen: # execute set-next-reboot primary Default image is changed to image# 1. Wir können dies jetzt auch mit diagnose sys flash list überprüfen: # diagnose sys flash list Partition Image TotalSize(KB) Used(KB) Use% Active 1 FGT60E-6.02-FW-build1010-191008 253920 82168 32% Yes 2 FGT60E-6.02-FW-build1066-191218 253920 82168 32% No 3 ETDB-77.00885 3021708 130964 4% No Image build at Dec 18 2019 22:30:39 for b1066 Mit execute reboot kann die FortiGate neu gestartet werden und startet nun künftig mit der primären Partition, deren Konfig und der entsprechenden FortiOS Version 6.2.2.

Datei:HowTo FortiOS rollback.pdf

3G/4G Modem

DNS

Wie konfiguriere ich auf einer FortiGate die System DNS Server?

Dem DNS Server auf einer FortiGate kommt eine wichtige Funktion zu. Die FortiGate nutzt die DNS Server für unzählige Funktionen und müssen entsprechend einwandfrei funktionieren. Die DNS Server-Einstellung ist eine globale Einstellung. Dies bedeutet, dass wenn mit VDOM gearbeitet wird der System DNS Server für alle gleich ist. Konfiguriert werden die System-DNS-Einstellungen im Menu DNS:

Konfiguration über das WebGui:

Über das Menu Network > DNS

Über die CLI werden die System DNS Server wie folgt konfiguriert:

# config system dns
# set primary [IPv4 Adresse des DNS 1 Serves]
# set secondary [IPv4 Adresse des DNS 2 Servers]
# set ip6-primary :: [IPv6 Adresse des DNS1 Server]
# set ip6-secondary :: [IPv6 Adresse des DNS2 Server]
# set domain [Lokale Domaine]
# set source-ip [Source IP die benützt werden soll für die DNS Anfrage]
# end

Über die CLI kann die Speicherdauer, wie lange der DNS-Eintrag im Cache gespeichert werden soll, konfiguriert werden. Weiter kann auch konfiguriert werden wie viele DNS Einträge im Cache maximal gespeichert werden sollen.

# config system dns
# set dns-cache-limit [Maximum Einträge die im Cache verbleiben; Standard 5000]
# set dns-cache-ttl [Maximum Zeit in der die DNS Cache vebleibt; Standard 1800]
# end

Die Anweisung "cache-notfound-response" ist ein Log relevanter Eintrag. Wird dieser aktiviert, und sind die relevanten Log's aktiviert, so wird im Log, sofern die Anfrage im "local cache" nicht gefunden wird ein "NOTFOUND" ausgegeben. Defaultmässig ist diese Option deaktiviert.

# config system dns
# set cache-notfound-response [enable | disable]
# end

Bei FortiGate Geräten mit mehreren CPUs können die DNS-Prozessnummer von 1 bis zur Anzahl der CPUs eingestellt werden. Die Standard-DNS-Prozessnummer ist 1.

# config system global
# set dnsproxy-worker-count <integer>
# end

Wie konfiguriere ich auf der FortiGate "DNS over TLS"?

Seit dem FortiOS 6.2 wurde diese Option DNS over TLS (DoT) hinzugefügt.

Wie funktioniert DoT?

Der noch recht junge Standard "DNS over TLS" (RFC 7858) soll drei Probleme von DNS und DNSSEC lösen:

• Schützen der Privatsphäre von Anwender und gegen abhören schützen
• Einschleusen von manipulierten DNS-Informationen unterbinden
• Verhindern von Denial-of-Service-Attacken via DNS

Die Funktion von DoT ist ziemlich einfach. Klassisch ruft der Client die DNS Informationen beim Resolver über eine ungesicherte UDP Kommunikation auf. Bei DoT wird dies über eine TCP Verbindung in der Security Schicht aufgerufen, welche authentifiziert und verschlüsselt ist. So bezieht der Client eine DNSSEC validierte Information des Namensservers. So kann ausgeschlossen werden dass Drittpersonen mitlesen. Die Namensauflösung des Resovers erfolgt dann im Klartext. Dies ist aber nicht gravierend, da der Urheber der Anfrage nicht ersichtlich ist. Es soll aber bereits Pläne geben welche die Kommunikation zwischen DNS-Resolver und dem zuständigen DNS-Server via DoT auch gesichert wird. DoT kommuniziert mit dem TCP Port 853. Ein Client der DoT fähig ist versucht die DNS-Anfrage zuerst über dieses Protokoll. Falls der Dienst nicht verfügbar ist, wird in der Regel über UDP53 die Anfrage getätigt (dies ist jedoch abhängig wie die Sicherheitseinstellungen des Systems sind). Auf der FortiGate ist es so eingestellt, dass wenn die DoT Anfrage nicht funktioniert normal über UDP53 die Anfrage unverschlüsselt abgesetzt wird. Dies ist problematisch da der Port 853 an vielen Orten (Perimeter Firewalls, Hotels oder öffentliche Hot Spots) noch blockiert wird. Des Weiteren bringt TCP, zusätzlich in Kombination mit TLS, einiges an Verwaltungs-Overhead mit sich, der die für zügiges surfen elementare Namensauflösung bremst.

Wie konfiguriere ich DoT auf der FortiGate?

Um "DNS over TLS" zu aktivieren kann im WebGUI über das Menu: Network > DNS der entsprechende Status konfiguriert werden:

• disable DNS over TLS ist deaktiviert
• enable DNS over TLS soll für DNS-Abfragen verwenden werden, sofern TLS verfügbar ist
• force Nur TLS für DNS-Abfragen verwenden. Greift nicht auf unverschlüsselte DNS-Abfragen zurück, wenn TLS nicht verfügbar ist

Konfiguration über die CLI:

# config system dns # set dns-over-tls [disable|enable|force] # set ssl-certificate "Fortinet_Factory" # end

Wie kann ich auf einer FortiGate das DNS Cache löschen?

Das DNS Cache einer FortiGate kann über CLI mit folgendem Befehl gelöscht werden:

diagnose test application dnsproxy 1

Die Option "1" steht für "Clear DNS cache". Unter "dnsproxy" stehen noch folgende weitere Optionen zu Verfügung:

    
diagnsoe test application dnsproxy ?         
1.  Clear DNS cache
2.  Show stats
3.  Dump DNS setting
4.  Reload FQDN
5.  Requery FQDN
6.  Dump FQDN
7.  Dump DNS cache
8.  Dump DNS DB
9.  Reload DNS DB
10. Dump secure DNS policy/profile
11. Dump Botnet domain
12. Reload Secure DNS setting
13. Show Hostname cache
14. Clear Hostname cache
15. Show SDNS rating cache
16. Clear SDNS rating cache
17. DNS debug bit mask
99. Restart dnsproxy worker

DNS Database

Wie kann ich auf einer FortiGate einen Split-DNS Server einrichten?

Ein Split-DNS Server ist ein DNS-Server der auf Anfrage einer bestimmten Source/Environement (internal und/oder external) die entsprechende Antwort liefert. Nehmen wir an wir hätten einen DMZ WebServer mit der IP Adresse 192.168.1.1 (FQDN www.mydomain.ch). Dieser FQDN ist auf dem external DNS Server (authoritativ) registriert. Wenn kein Split-DNS-Server konfiguriert ist und ein User im "internal LAN" diesen Server, im Browser versucht zu öffenen (www.mydomain.ch), so wird diese Anfrage an den DNS Server gesendet (konfigurierter Public-DNS-Server der FortiGate). Dieser Request wird vom DNS Server (sofern für www.mydomain.ch nicht authoritativ) an den Root-Server gesendet. Dies geschieht nur sofern die Anfrage nicht bereits schon im Cache des DNS-Servers vorhanden ist, welcher den autoritativen DNS-Server für www.mydomain.ch anfragen. Die Antwort, welche zurückgegeben wird ist die "public IP" (Virtual IP). Nun kann es zu Problemen kommen wenn der User sich im internen LAN befindet und vom DNS die Public IP (Virtual IP) erhält um www.mydomin.ch aufzurufen. Auch die DNS-Auflösung benötigt Zeit und verlangsamt den Zugriff zusätzlich. Um nun die zwei Welten (intern & extern) abzubilden kann ein Split-DNS-Server konfiguriert werden. Mit einer FortiGate kann dies mittels «DNS Database» umgesetzt werden. Standardmässig ist dieses Feature auf der FortiGate NICHT ERSICHTLICH und muss erst unter folgendem Abschnitt konfiguriert werden:

Konfiguration über das WebGui:

Über das Menu :System -> Feature Visibility muss das Feature DNS Database eingeschaltet werden:

Konfiguration über die CLI:

# config system settings # set gui-dns-database enable # end

Sobald die Funktion aktiviert ist, erscheint unter "Network" -> "DNS Servers" der entsprechende Punkt. In unserem Beispiel sind wir davon ausgegangen, dass unser DMZ Server folgende Infos betreffend DNS hat:

Nehmen wir an im internen LAN würde es ebenfalls die Domaine "mydomain.ch" geben. Ziel wäre es, dass wenn die User im "internen LAN" www.mydomain.ch im Browser eingeben der DNS Server anstelle der Public IP 212.59.153.115 die interne Adresse des WebServers im DMZ (192.168.1.1) zurückgibt, da die Anfrage vom "INTERNEN" LAN kommt und nicht von extern. Um so eine Konfiguration durchzuführen muss folgendes angepasst werden:

Konfiguration über das WebGui:

Über das Menu Network -> DNS-Servers bei "DNS Database" auf "Create New" eine neue DNS-Zone für MyDomain.ch erfassen:

Der zu konfigurierende DNS Server muss als MASTER Server konfiguriert werden, jedoch NICHT als Authoritativ!

Der DNS Server ist konfiguriert - nun muss für die entsprechende Zone ein "A" Record für www.mydomain.ch erfasst werden!

Es ist zu empfehlen für den Host ebenfalls einen "PTR-Record" zu erstellen!

Um die Einträge für einen DNS Server auf einer FortiGate aufzulisten resp. die DNS Database zu "dumpen" kann folgender Befehl verwendet werden: # diagnose test application dnsproxy 8

Konfiguration über die CLI:

# config system dns-database # edit MYDOMAIN.CH # set domain mydomain.ch # set type master # set view shadow # set ttl 86400 # set primary-name dns # set contact hostmaster@mydomain.ch # set authoritative disable # config dns-entry # edit 1 # set hostname www.mydomain.ch # set type A # set ip 192.168.1.1 # set status enable # end # end

Diese Art der Konfiguration ist ein Hybrid d. h. KEIN echter Split-DNS Server, da der Authoritative DNS Server im Internet steht und nicht auf der FortiGate konfiguriert ist. Um jedoch zu gewährleisten, dass unser neu konfigurierte DNS Server NICHT authoritativ ist und das NICHT gefundene DNS Einträge extern abgefragt werden, muss die View auf shadow gesetzt werden!

# config system dns-server
# edit wan1
# set mode recursive
# set dnsfilter-profile "[Profile_Name]" -> "default"
# end

Konfiguration DNS Dienst - Internes Interface

Damit auf dem "internen" Interface der DNS Server - den wir erstellt haben - erreichbar ist, muss folgende Konfiguration durchgeführt werden::

Konfiguration über die CLI:

# config system dns-server # edit internal # set mode recursive # end

Nun fehlt nur noch der letzte Schritt -> User über DHCP der entsprechende DNS Server zugeweisen:

Konfiguration DHCP Server internal Interface:

Über das Menu Network -> Interfaces das interne Interface wählen. (in unserem Fall internal) Rechtsklick und das internal Interface editieren Bei der Option DHCP Server den DNS Server auf same as Interface IP setzen. same as Interface IP bedeutet, dass die IP Adresse des internal Interfaces propagiert wird (192.168.1.99) mit OK wird die Konfiguration aktiv.

Konfiguration über die CLI:

# config system dhcp server # edit 1 # set dns-service local # set default-gateway 192.168.1.99 # set netmask 255.255.255.0 # set interface "internal" # config ip-range # edit 1 # set start-ip 192.168.1.110 # set end-ip 192.168.1.210 # next # end # set timezone-option default # next # end

Die Konfiguration ist abgeschlossen. Wenn nun ein User im "Internal" LAN ein DNS Request absetzt (DNS Server dem User zugewiesen über DHCP 192.168.1.99) schaut die FortiGate im internen DNS Server nach und, sofern ein Eintrag gefunden wird diesen ausgeliefert. Ist kein entsprechender Eintrag vorhanden wird die Anfrage über das "WAN" Interface an die externen DNS Server weitergeleitet (definierte System DNS Server).

Wie kann ich auf der Fortigate für den DNS Server und eine bestimmten Zone ein "Zonen Transfer" aktivieren?

Wenn auf einer FortiGate ein DNS Server konfiguriert wird, ob mit oder ohne Split-DNS Server, stellt sich die Frage ob die entsprechende Zone, zum Beispiel "mydomain.ch", automatisch ein Update erhält, wenn der "authoritative" DNS Server für "mydomain.ch" ein Update für einen Eintrag durchführt.

Konfiguration über die CLI:

# config system dns-database # edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"] # set allow-transfer [Gebe die IPv4 Adresse des "authoritativen" Servers an für "mydomain.ch"] # end

Wie auf einer FortiGate ein DNS Server eingerichtet wird kann dem folgenden Artikel entnommen werden:

FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_einen_Split-DNS_Server_einrichten.3F

Des Weiteren ist bei der Komunikation zwischen "authoritativen" und/oder "none-authoritativen" Servern darauf zu achten, mit welcher IP die Komunikation durchgeführt wird. Dies bedeutet, dass im Normalfall der "non-authoritative" Server (in unserem Beispiel die FortiGate) ebenfalls im "authoritativen" Server eingetragen wird. Kommuniziert die FortiGate nicht die gewünschte "Source IP Adresse" zum authoritativen Server, kann diese mit folgender Konfiguration entsprechend manuell gesetzt werden:

Konfiguration über die CLI:

# config system dns-database # edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"] # set source-ip [IPv4 Adresse die als Source konfiguriert werden soll] # end

Kann ich auf einer FortiGate eine bestimmte DNS Anfrage umschreiben / verändern?

Wenn in einer bestimmten Umgebung eine DNS Anfrage anderst beantwortet werden soll als in einer anderen Umgebung, so spricht man von einem Split DNS Server. Dies bedeutet, dass dieser Anfragen von bestimmten Source Adressen anders beantwortet als von anderen Source Adressen. Dies wird dann genutzt wenn "interne" Informationen und "externe" kollidieren.

Beispiel:
Wenn ein User als Mail Server "mail.mydomain.ch" konfiguriert hat, so wird dieser Mail Server ausserhalb des "Office" als "Public IP" aufgelöst, z.B. "212.59.153.125". Benutzt der User den Mail Server im "Office", und im Office existiert "kein" interner DNS Server, so wird "mail.mydomain.ch" abermals als "Public IP" aufgelöst. Der Nachteil ist, obwohl sich der User und Mail Server im gleichen Segment befinden, wird der Traffic von "mail.mydomain.ch" zur Firewall gesendet, da dieser mit der Public IP aufgelöst wird. Der Grund ist Routing bedingt, d. h. "212.59.153.125" befindet sich nicht im internen Netz, also wird der Traffic über den default Gateway des Users zur Firewall gesendet. Die richtige Lösung für dieses Problem ist ein "Split DNS" Server. Dies bedeutet, dass wenn ein interner DNS Server vorhanden ist ein "Forwarder" für "mydomain.ch" konfiguriert wird und für "mail.mydomain.ch" die IP Adresse zBsp "192.168.1.100" konfiguriert, welche die interne Adresse von "mail.mydomian.ch" darstellt. Ist kein interner DNS Server vorhanden kann die "Split DNS" Server Funktion auf einer FortiGate benutzt werden. Weitere Informationen können nachstehendem Artikel entnommen werden:

FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_einen_Split-DNS_Server_einrichten.3F

Kann / möchte man aus irgendwelchen Gründen KEIN "Split DNS" Server konfigurieren, so kann die Funktion "dnstranslation" angewendet werden. Diese Funktion steht im Zusammenhang mit dem "Session-Helper". Um eine "dnstranslation" zu implementieren gehe folgendermassen vor:

 
# show system session-helper
................
edit 13
set name dns-udp
set port 53
set protocol 17
................ 

        
# config system session-helper
# edit [Wähle einen Integer zB 20]
# set name dns-udp
# set port 53
# set protocol 17
# end

Allgemein:Assigned-Internet-Protocol-Numbers-RFC

        
# config firewall dnstranslation
# edit [Gebe einen Integer an zB "1"]
# set dst [IPv4 Internal Adresse von mail.mydomain.ch "192.168.1.100"]
# set netmask [Netmask für mail.mydomain.ch "255.255.255.255"]
# set src [IPv4 Public Adresse von mail.mydomain.ch "212.59.153.125"]
# end

In diesem Sinne kann jede DNS Anfrage, welche über die FortiGate geht umgeschrieben werden. Natürlich ist diese Funktion nicht "nur" auf Public DNS Server beschränkt, sondern nur auf Port 53 DNS (UDP). Dies bedeutet, dass diese Funktion "dnstranslation" ebenfalls für temporäre Umleitungen im internen Bereich benutzt werden kann. Diese Funktion kann, oder sollte jedoch kein Split DNS Server ersetzen da die verschiedenen Einträge auf der FortiGate nicht ersichtlich sind.

DDNS

Wie kann ich DDNS debuggen?

Konfiguration über die CLI:

# diagnose debug application ddnscd -1 # diagnose debug enable Um das Debug zu beenden: # diagnose debug disable # diagnose debug reset Beispiel: 1592256317: Start to update FortiGuardDDNS (sekinfw.float-zone.com) 1592256317: next wait timeout 10 seconds [111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory.cer, root ca Fortinet_CA, idx 0 (default) [111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory_Backup.cer, root ca Fortinet_CA_Backup, idx 1 [721] ssl_ctx_create_new_ex: SSL CTX is created [748] ssl_new: SSL object is created fgt_ddns_connect()-725: SSL connecting [621] __ssl_info_callback: before SSL initialization [621] __ssl_info_callback: SSLv3/TLS write client hello __ddns_ssl_connect()-651: ssl_res=1 [621] __ssl_info_callback: SSLv3/TLS write client hello [621] __ssl_info_callback: SSLv3/TLS read server hello [621] __ssl_info_callback: SSLv3/TLS read server certificate [645] __ssl_info_callback: Current cert idx 0, SSL verion 'TLS 1.2' [656] __ssl_info_callback: Got server cert chain, num 2 [664] __ssl_info_callback: Server root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=support/emailAddress=support@fortinet.com [667] __ssl_info_callback: Client root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=fortinet-ca2/emailAddress=support@fortinet.com [596] __ssl_switch_cert: Update with next cert, idx 1 [621] __ssl_info_callback: SSLv3/TLS read server key exchange [621] __ssl_info_callback: SSLv3/TLS read server certificate request [621] __ssl_info_callback: SSLv3/TLS read server done [621] __ssl_info_callback: SSLv3/TLS write client certificate [621] __ssl_info_callback: SSLv3/TLS write client key exchange [621] __ssl_info_callback: SSLv3/TLS write certificate verify [621] __ssl_info_callback: SSLv3/TLS write change cipher spec [621] __ssl_info_callback: SSLv3/TLS write finished __ddns_ssl_connect()-651: ssl_res=1 [621] __ssl_info_callback: SSLv3/TLS write finished [621] __ssl_info_callback: SSLv3/TLS read server session ticket [621] __ssl_info_callback: SSLv3/TLS read change cipher spec [621] __ssl_info_callback: SSLv3/TLS read finished __ddns_ssl_connect()-651: ssl_res=0 fgd_ddns_fcp_exchange()-860: Sending FCPC=Protocol=3.4|SerialNumber=FGT61FTK19000538|Firmware=FGT61F-FW-6.02-1066|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=Automatic fgt_unpack_fcpr()-567: Unpacked obj: Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15 fgd_ddns_fcp_exchange()-891: Recvd FCPR=Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15 [201] __ssl_data_ctx_free: Done [1012] ssl_free: Done [193] __ssl_cert_ctx_free: Done [1022] ssl_ctx_free: Done [1003] ssl_disconnect: Shutdown fgd_ddns_extract_fcpr_rcode()-416: code=1 fgd_ddns_extract_fcpr_bound_ip()-446: Bound ip=198.18.254.15 1592256318: Succeed to update FortiGuardDDNS (sekinfw.float-zone.com ==> 198.18.254.15)

DHCP

Wie kann ich eine Vendor DHCP Option auf einem WAN Interface konfigurieren?

]]

Wenn ich die FortiGate an eine VDSL Leitung von der Swisscom anschliesse, bekommt die FortiGate die IP Adressen automatisch per DHCP auf das WAN Interface zugewiesen. Damit dies korrekt funktioniert ist es notwendig, dass man die DHCP Client Option Vendor ID der Swisscom auf dem WAN Interface konfiguriert. Seit FortiOS 6.4.0 ist dies möglich:

Konfiguration über die CLI:

# config system interface # edit "[INTERFACE]" --> Interface Name # set mode dhcp # config client-options # edit 1 # set code [integer] --> DHCP Client Optionen 0-255 default Wert ist 0 # set type [hex | string | ip | fqdn] --> DHCP Client Option Typ default Wert ist hex # set value [Wert für DHCP Client Option] --> Wert für DHCP Client Option # end # end Für das Swisscom VDSL Setup mit DHCP Client Option 60 (Vendor ID) muss der String "100008,0001,fortigate" konfiguriert werden: # config system interface # edit "wan1" # set mode dhcp # config client-options # edit 1 # set code 60 # set type string # set value "100008,0001,fortigate" # end # end

Vielen Dank an Daniel von IQantum GmbH

ARP

Wie kann ich im FortiOS einer FortiGate "ARP"-Einträge auflisten, hinzufügen oder löschen?

Um eine Liste der ARP-Einträge auf der FortiGate zu erhalten nutzt man den get system arp Befehl auf der CLI:

Konfiguration über die CLI:

# get system arp Address Age(min) Hardware Addr Interface 10.60.60.10 0 48:8d:36:61:84:28 internal 10.60.60.100 0 1c:1b:0d:6a:27:80 internal 10.60.60.11 0 00:19:fd:4c:97:9b internal 10.60.100.10 0 70:4c:a5:89:01:48 dmz 10.60.60.101 0 1c:1b:0d:68:ff:94 internal 10.60.61.100 1 38:ca:da:b5:a1:db luz0002-prod 10.60.61.103 0 64:5d:86:fd:97:79 luz0002-prod 192.168.50.2 0 7c:b7:33:3b:a1:18 wan1

Die Position "Age(min)" im hier gezeigtem "output" zeigt die Zeit in Minuten welche verstrichen ist seit kein Traffic mehr für den entsprechenden "ARP" Eintrag stattgefunden hat. Wenn für einen entsprechenden "ARP" Eintrag kein Traffic stattgefunden hat während einer vordefinierte Zeit, so wir dieser "ARP" Eintrag auf "age out" gesetzt.

Eine weitere Möglichkeit "ARP" Einträge mit entsprechenden Details aufzulisten ist folgender Befehl: diagnose ip arp list

Konfiguration über die CLI:

# diagnose ip arp list index=22 ifname=internal 10.60.60.10 48:8d:36:61:84:28 state=00000002 use=27 confirm=740 update=740 ref=3 index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000002 use=373 confirm=2004 update=2004 ref=8 index=22 ifname=internal 10.60.60.11 00:19:fd:4c:97:9b state=00000008 use=1 confirm=2847 update=204 ref=4 index=7 ifname=dmz 10.60.100.10 70:4c:a5:89:01:48 state=00000002 use=2 confirm=671 update=671 ref=2 index=22 ifname=internal 10.60.60.101 1c:1b:0d:68:ff:94 state=00000002 use=457 confirm=87 update=87 ref=7 index=20 ifname=luz0002-prod 10.60.61.100 38:ca:da:b5:a1:db state=00000004 use=39878 confirm=39878 update=618 ref=1 index=20 ifname=luz0002-prod 10.60.61.103 64:5d:86:fd:97:79 state=00000002 use=2 confirm=2607 update=2607 ref=2 index=5 ifname=wan1 192.168.50.2 7c:b7:33:3b:a1:18 state=00000002 use=4 confirm=119 update=1416 ref=48

Wenn sehr viele "ARP" Einträge auf verschiedenen Interface's exisiteren, und man einen spezifischen Eintrag sucht sollte im Zusammenhang mit dem "diagnose" Kommando "grep" benutzt werden:

Konfiguration über die CLI:

# diagnose ip arp list | grep 10.60.60.100 index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000004 use=2968 confirm=6101 update=594 ref=9

Weitere Informationen dazu wie "grep" benutzt wird siehe nachfolgenden Artikel:

       FortiGate:FAQ#Kann_ich_in_der_CLI_meinen_Output_nach_bestimmten_W.C3.B6rter_filtern.3F

Anhand dieses Kommando "diagnose" lässt sich ein "ARP" Eintrag "temporär" hinzufügen oder löschen. Das hinzufügen eines "ARP" Eintrages anhand des "diagnose" Kommandos ist nicht "persistent". Dies bedeutet wenn ein Neustart der FortiGate ausgeführt wird geht diese Konfiguration verloren:

Konfiguration über die CLI:

Füge einen "ARP" Eintrag "temporär" hinzu # diagnose ip arp add [Interface Name zBsp "internal"] [IPv4 Adresse für den ARP Eintrag] [MAC Adresse für den ARP Eintrag XX:XX:XX:XX:XX:XX] Lösche einen "ARP" Eintrag # diagnose ip arp delete [Interface Name zB "internal"] [IPv4 Adresse für den ARP Eintrag]

Möchte man einen permanenten "ARP" Eintrag konfigurieren, welcher auch nach einem Neustart der FortiGate aktiv bleibt, muss diese Konfiguration anhand der "arp-table" durchgeführt werden. Dies wird wie folgt konfiguriert:

Konfiguration über die CLI:

# config system arp-table # edit [Gebe einen entsprechenden Integer an zBsp "1"] # set interface [Name des Interfaces zBsp "wan1"] # set ip [IPv4 Adresse für den ARP Eintrag] # set mac [MAC Adresse für den ARP Eintrag zBsp für "wan1"] # end

Um die entsprechende MAC Adresse eines Interfaces zu eruieren, können folgende Behehle ausgeführt werden:

# diagnose hardware deviceinfo nic
The following NICs are available:
       dmz
       internal1
       internal2
       internal3
       internal4
       internal5
       internal6
       internal7
       wan1
       wan2

# diagnose hardware deviceinfo nic wan1
Driver Name     :Fortinet NP4Lite Driver
Version         :1.0.0
Admin           :up
Current_HWaddr   08:5b:0e:47:db:58
Permanent_HWaddr 08:5b:0e:47:db:58
Status          :up
Speed           :100
Duplex          :Half
Host Rx Pkts    :11371
Host Rx Bytes   :835610
Host Tx Pkts    :16174
Host Tx Bytes   :2043274
Rx Pkts         :11370
Rx Bytes        :994717
Tx Pkts         :16168
Tx Bytes        :1883038
rx_buffer_len   :2048
Hidden          :No
cmd_in_list     : 0
promiscuous     : 1
enabled 802.1x  : 0
authorized      : 0
mac bypass      : 0

Wenn die "ARP" Informationen auf den neusten Stand gebracht werden sollen so muss ein "flush" ausgeführt werden. Dies bedeutet: Alle "dynamischen" ARP Einträge werden gelöscht und neu durch "who-as" gelernt. Somit wird gewährleistet, dass nicht mehr verbundene Devices aus der "ARP" Tabelle gelöscht werden. Um ein "flush" durchzuführen gebe auf der CLI folgendes ein:

Konfiguration über die CLI:

# execute clear system arp table

Wenn dies durchgeführt wird kann über das "sniffer" Kommando das "neu lernen" der "ARP" Einträge mitverfolgt werden:

Konfiguration über die CLI:

# diagnose sniffer packet any arp interfaces=[any] filters=[arp] 0.682098 arp who-has 198.18.3.3 tell 198.18.3.1 0.682251 arp reply 198.18.3.3 is-at 8:5b:e:5d:f7:c

Was ist der Unterschied zwischen den Funktionen "system arp-table" und "proxy-arp?

Wenn im FortiOS auf dem externen Interface, zBsp "wan1" ein public IP Range konfiguriert wird, sei es über statische und/oder dynamischer Konfiguration, und zu diesem konfigurierten public IP Range eine neuer public IP Range dazu konfiguriert werden soll, hat man verschiedenen Möglichkeiten dies vorzunehmen. Eine Möglichkeit ist, den neuen public IP Range auf dem externen Interface als "Secondary Interface" zu konfigurieren. Dadurch wird der neue public IP Range auf dem Secondary Interface zur MAC Adresse des Interface hinzugefügt auf dem die "Secondary Interface" Konfiguration durchgeführt wird. Eine andere Möglichkeit ist ein VIP Objekt zu erstellen. Durch die Erstellung eines VIP Objekts wird durch die Option "arp-reply enable" auf Layer 4 ein entsprechender ARP Eintrag anhand der MAC Adresse durchgeführt, das Interface das im VIP Objekt konfiguriert wird. Da dieser ARP Eintrag auf Layer 4 durch "arp-reply enable" konfiguriert wird, ist dieser ARP Eintrag auf Layer 3 anhand des Kommandos "get system arp" nicht ersichtlich. Wiederum eine andere Möglichkeit ist ein statischer ARP Eintrag mittels "system arp-table" zu erstellen. Alle diese Möglichkeiten haben das Ziel anhand der MAC Adressen den zusätzlichen public IP Range auf das entsprechende Interface zu binden. Wenn jedoch der neue public IP Range nicht auf dem externen Interface verwendet wird, sondern zBsp lediglich auf dem "dmz" Interface für eine Public IP Adressierung der Server, muss dem externen Interface mitgeteilt werden, dass dieses "dmz" Interface für diesen neuen IP Range zuständig ist. Dies da dieser public IP Range auf das externe Interface, zBsp "wan1" geroutet wird. Wird dies mit einem statischen ARP Eintrag in der "system arp-table" auf dem externen Interface durchgeführt, wird der Traffic nicht auf das "dmz" Interface weitergeleitet da das FortiOS davon ausgeht, dass sich der neue public IP Range auf dem externen Interface, zBsp "wan1" befindet. In so einem Fall wird ein "system proxy-arp" erstellt dh., es wird dem FortiOS durch einen "system proxy-arp" Konfiguration mitgeteilt, dass die Zuständigkeit einer oder mehrer public IP/s sich nicht mehr auf dem externe Interface befindet, wie zBsp "wan1" sondern auf dem "dmz" Interface. Dies bedeutet: Das FortiOS nimmt den/die neue/n public IP Range/s auf dem externen Interface an und leitet diesen an das Interface gemäss der Konfiguration "system proxy-arp" weiter. Diese Art der Implementierung wird auch "IP Adresse zu MAC Adress Translation" genannt! Um einen "system proxy-arp" zu konfigurieren muss über CLI folgendes durchgeführt werden:

# config system proxy-arp
# set interface [Namen des Externes Interface zB "wan1"]
# set ip [Public IPv4 Adresse des Servers im DMZ]
# set end-ip [Public IPv4 End Adresse des Servers im DMZ]
# end

Im FortiOS kann anhand der Option "end-ip" die End Adresse des Public IP Ranges definiert werden. Diese steht im Zusammenhang mit der Option "ip" dh., es wird nur die Iption "ip" benutzt und so gilt nur diese Konfiguration einer IPv4 Adresse. Wird "end-ip" definiert gilt die Option "ip" als Start Adresse des IPv4 Adress Definition.

Routing

Wie funktioniert das Routing auf einer FortiGate?

Beim Routing entscheidet die FortiGate, welche im NAT-Modus betrieben wird, wohin die Pakete gesendet werden sollen, die empfangen oder durch die FortiGate selber erzeugt werden.

Alle Netzwerkgeräte, die ein Routing durchführen, besitzen eine Routingtabelle. Eine Routingtabelle enthält eine Reihe von Regeln. Jede Regel gibt den nächsten Hop an, der das endgültige Ziel des Pakets sein kann, oder auch an einen nächsten Hop geht. Jeder Routing-Hop im gerouteten Pfad erfordert eine Routingtabellensuche (Routing Lookup), um das Paket weiterzuleiten, bis dies das endgültige Ziel erreichen kann.

Beim Routing von Paketen findet die FortiGate zunächst eine passende Route in ihrer Routing-Liste, basierend auf der Zieladresse des Pakets. Bei dieser Übereinstimmung wertet die FortiGate die gesamte Routingtabelle aus, um die spezifischste Übereinstimmung zu finden, bevor eine Route ausgewählt wird. Wenn die FortiGate mehrere Übereinstimmungen findet, verwendet sie verschiedene Routenattribute, um die beste Route zu ermitteln.

Die richtige Routing-Konfiguration ist wichtig. Wenn Routen falsch konfiguriert sind, erreichen die Pakete ihr Ziel nicht und gehen verloren.

Standardmässig sind viele Aspekte auf FortiGate "stateful". So entscheidet die FortiGate viele Dinge zu Beginn einer Session, also dann, wenn sie das erste Paket erhält.

Für jede Session führt die FortiGate zwei Routing-Lookups durch:

• Für das erste vom Absender gesendete Paket
• Für das erste Antwortpaket, das vom Responder kommt

Nach diesen beiden Lookups schreibt die FortiGate die Routinginformationen in ihre Session-Tabelle. Alle folgenden Pakete werden gemäss Session-Tabelle, und nicht nach der Routingtabelle weitergeleitet. So werden alle Pakete, welche zur gleichen Session gehören dem gleichen Pfad zugewiesen, auch nach einer Änderung der statischen Routen. Es gibt jedoch eine Ausnahme dieser Regel. Wenn es eine Änderung in der Routingtabelle gibt, entfernt die FortiGate die Routeninformationen für die Session Tabelle, und dann führt sie eine zusätzliche Routingtabellen des Lookups durch, um diese Informationen wiederherzustellen.

Eine Methode der manuell konfigurierten Routen ist die statische Route. Wenn man eine statische Route konfiguriert, wird der FortiGate mitgeteilt: "Wenn du ein Paket siehst, dessen Ziel innerhalb eines bestimmten Bereichs liegt, sende dies über ein bestimmtes Netzwerkinterface an einen bestimmten Router". Man kann auch die Distanz und die Priorität so konfigurieren, dass die FortiGate die beste Route zu jedem Ziel ermitteln kann, welche mehreren Routen entspricht.

In einfachen Heimnetzwerken ruft beispielsweise DHCP automatisch eine statische Route ab und konfiguriert diese selbstständig. Das Modem des ISPs sendet dann den gesamten ausgehenden Datenverkehr über dessen Internet-Router, welcher die Pakete an ihr Ziel weiterleitet. Dies wird typischerweise als Standard-Route bezeichnet, da der gesamte Traffic, der nicht mit anderen Routen übereinstimmt, standardmässig über diese Route geleitet wird. Hier ein Beispiel einer Standardroute:

Das Ziel-Subnetzwert von 0.0.0.0.0.0/0.0.0.0.0 passt zu allen Adressen innerhalb eines Subnetzes. Da die meisten FortiGates als Perimeter-Gerät des Netzwerkes fungieren, verfügen über mindestens eine dieser Standardrouten. Damit wird sichergestellt, dass der Internettraffic an den ISP weitergeleitet wird.

Subnetze welche auf der FortiGate über eine direkt Layer 2 Konnektivität verfügen benötigen keine statische Route.

Jede Route in einer Routingtabelle hat folgende Attribute:

• Network
• Gateway IP
• Interfaces
• Distance
• Metric
• Priority

Distanz:
Die Distanz, resp. die administrative Distanz ist eine Zahl, die von Routern verwendet wird, um zu bestimmen, welche Route für ein bestimmtes Ziel bevorzugt wird. Wenn es zwei Routen zum gleichen Ziel gibt, wird jene mit der geringeren Distanz als besser angesehen und für die Routenführung verwendet. Die Routen mit grösseren Entfernungen sind inaktiv und werden nicht in die Routingtabelle aufgenommen.

Standardmässig haben Routen, die über das RIP-Protokoll gelernt wurden, einen höheren Distanzwert als Routen, die über das OSPF-Protokoll gelernt wurden. Dabei gilt das OSPF-Protokoll als genauer als das RIP.

Die folgenden Werte sind die Distanzen auf einer FortiGate:
0 - direkt angeschlossen
5 - DHCP-Gateway
20 - externe BGP (EBGP) Routen
200 - interne BGP (IBGP) Routen
110 - OSPF-Routen
120 - RIP-Routen
10 - statische Routen

Metric:
Das Metric Attribut wird verwendet, um die beste Route zu einem Ziel zu bestimmen, wenn es um Routen geht, welche durch ein dynamisches Routing-Protokoll gelernt wurden. Wenn zwei Routen den gleichen Abstand haben, wird der metrische Wert verwendet um das Band zu brechen. Für das Routing wird die Route mit der niedrigsten Metric gewählt.

Wie der Metric-Wert gemessen wird, hängt vom Routing-Protokoll ab. Zum Beispiel verwendet RIP die Hop Count, d.h. die Anzahl der Router, die das Paket durchlaufen muss, um das Ziel zu erreichen. OSPF verwendet Kosten, die sich danach richten, wie viel Bandbreite eine Verbindung zu Verfügung hat.

Priorität:
Wenn mehrere statische Routen den gleichen Distanzwert haben, sind beide in der Routingtabelle aktiv. Welche Route wird also verwendet, um passende Pakete zu routen? In diesem Szenario verwendet die FortiGate den Prioritätswert als Tiebreaker, um die beste Route zu ermitteln. Routen mit geringerer Priorität werden stets bevorzugt.

Das Prioritätsattribut gilt nur für statische Routen und wird unter den erweiterten Optionen auf der Benutzeroberfläche konfiguriert. Standardmässig haben alle statischen Routen eine Priorität von 0.

Was bedeutet der Begriff "ECMP" beim Routing?

Im Normallfall wird die Beste Route anhand von Routenattributen ermittelt, welche durch das Routing zu Verfügung gestellt werden. (Metric, Distanz, Priorität ..) Was passiert also, wenn zwei oder mehrere Routen zur gleichen Destination die gleichen Werte für alle Attribute besitzen? Wenn mehrere Routen zum gleichen Ziel die gleiche Distanz, Metric und Priorität haben, gelten sie alle als der beste Kandidat. Wenn die Routen statisch, OSPF oder BGP sind, gleicht die FortiGate die Last des Traffics über alle Routen aus. Dies wird als Equal Cost Multi-Path (ECMP) bezeichnet.

ECMP kann den Ausgleichstraffic mit einer dieser vier Methoden behandeln:

• Source IP (default)
• Source-Destination IP
• Weighted
• Usage (spillover)

Wenn eine der ECMP-Routen ausfällt, und aus der Routingtabelle entfernt wird, wird der Traffic über die restlichen Routen geleitet. Es ist keine spezielle Konfiguration für die Ausfallsicherung der Route erforderlich.

Die FortiGate verwendet source-ip-based als Standard-ECMP-Methode. In der CLI kann die gewünschte Methode konfiguriert werden:

# config system settings
# set v4-ecmp-mode source-ip-based 
# end

# config system settings
# set v4-ecmp-mode source-dest-ip-based 
# end

# config system settings
# set v4-ecmp-mode weight-based
# end

# config system interface
# edit [INTERFACE_NAME]
# set weight [Wert definieren zwischen 0 und 255]
# end

# config router static
# edit [ROUTEN-ID]
# set weight [Wert definieren zwischen 0 und 255]
# end

# config system settings
# set v4-ecmp-mode usage-based
# end

# config system interface
# edit [INTERFACE_NAME]
# set spillover-threshold [Wert zwischen 0 und 16776000 definieren]

BEISPIEL:
In diesem Szenario hat die FortiGate zwei gleichwertige Kandidatenrouten für das Subnetz 192.168.4.0/24 mit Port1 bzw. Port2. Unter Verwendung der standardmässig Sourcebasierten ECMP-Methode kann die FortiGate einen der beiden Wege nutzen, um Datentraffic für das Subnetz 192.168.4.0/24 von Benutzer A und Benutzer B zu liefern. Wenn Port1 die Verbindung verliert, verwendet die FortiGate automatisch Port2, um den gesamten Datentraffic für das Subnetz 192.168.4.0/24 zu liefern.

ECMP ermöglicht es uns, mehrere Links für dasselbe Ziel zu verwalten und ein integriertes Failover bereitzustellen. Dies kann für alle Netzwerkressourcen bereitgestellt werden welche eine hohe Bandbreitenanforderungen haben und unternehmenskritisch sind. Die Verwendung von ECMP für diese Ressourcen ermöglicht es uns, die verfügbare Bandbreite mehrerer Links zu aggregieren und den Lastausgleichstraffic über diese Links zu verteilen.

Wenn wir ECMP verwenden, müssen wir über die richtigen Firewallregeln verfügen, damit der Datentraffic alle am ECMP beteiligten Interfaces verlassen kann. Während wir ECMP verwenden können, um mehrere Internet-(WAN)-Verbindungen auf der FortiGate zu verwalten, kann es effizienter sein, die softwaredefinierte WAN-Funktion (SD-WAN) zu verwenden, um dies zu erreichen. Wir können ECMP weiterhin für interne Ressourcen verwenden.

# get router info routing-table all

S       192.168.4.0/24 [10/0] via 192.168.1.254, port1,   [5/0]
        192.168.4.0/24 [10/0] via 192.168.2.254, port1,   [5/0]
C       192.168.1.0/24 is directly connected, port1
C       192.168.2.0/24 is directly connected, port2
C       192.168.3.0/24 is directly connected, port3

Wie funktioniert das "Reverse Path Forwarding" auf der FortiGate (Antispoofing)?

Pakete werden manchmal aus Routing- oder/und Sicherheitsgründen gelöscht. Reverse Path Forwarding (RPF) ist ein Mechanismus der FortiGate welcher das Netzwerk vor IP-Spoofing-Angriffen schützt. Dabei wird überprüft, ob es eine Route zurück zur Destination des Paketes gibt. Diese Prüfung wird auf dem ersten Paket einer neuen Session durchgeführt. Ebenso wird diese Prüfung nach einer Routenänderung auf dem nächsten Paket in der ursprünglichen Richtung ausgeführt.

Es gibt zwei RPF-Methoden:

• Loose
• Strict

Veranschauungsbeispiel:

# get router info routing-table all

S*      0.0.0.0/0        [10/0] via 198.18.1.254, wan1
C       198.18.1.0/24    is directly connected, wan1
C       198.18.2.0/24    is directly connected, wan2
C       192.168.3.0/24   is directly connected, port1

So fixen wir das Problem:

# get router info routing-table all

S*      0.0.0.0/0        [10/0] via 198.18.1.254, wan1
                         [10/0] via 198.18.2.254, wan2, [5/0]
S       192.168.4.0/24   [10/0] via 10.0.3.254, port1	
C       198.18.1.0/24    is directly connected, wan1
C       198.18.2.0/24    is directly connected, wan2
C       192.168.3.0/24   is directly connected, port1

Das RPF kann entweder stricte oder loose durchgesetzt werden.

Im loose Modus wird das Paket akzeptiert solange ein aktiver Weg zur Source-IP über das eingehende Interface besteht. Es muss nicht die beste, sondern lediglich eine aktive Route sein.

Im Strict Modus überprüft die FortiGate ob der beste Weg zur Source-IP-Adresse über das eingehende Interface führt. Die Route muss entgegen dem "loose Modus" nicht nur aktiv sein, sondern auch die beste.

Die RPF-Prüfung kann auf zwei Arten deaktiviert werden. Wenn man das asymmetrische Routing aktiviert, wird die RPF-Prüfung systemweit deaktiviert. Dies reduziert jedoch die Sicherheit des gesamten Netzwerks erheblich. Funktionen wie Antivirus und IPS werden wirkungslos. Wenn man also die RPF-Prüfung deaktivieren muss, kann man dies auf der Interface-Ebene mit folgenden Befehlen vornehmen:

# config system interface
# edit [INTERFACE_NAME]
# set src-check disable
# end

# config system setting
# set strict-src-check disable 
# end

# config system interface
# edit [INTERFACE_NAME]
# set src-check enable
# end

# config system setting
# set strict-src-check enable 
# end

Beispiel 1

In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Quell-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Lose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist. Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden. Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil dieser zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset).

Beispiel 2

In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Source-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Loose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist. Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden. Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil er zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset). Was passiert aber im gleichen Szenario, wenn Strict RPF verwendet wird? Das stricte RPF löscht das SYN-Paket. Auch wenn die wan1-Standardroute eine aktive Route für das Subnetz 10.0.4.0/24 ist, ist sie nicht die beste Route. Die beste Route wäre über das Interface port1, da diese einen niedrigeren Distanzwert hat. Beachte, dass die Default Distanz für direkt verbundene Routen 0 ist, was niedriger ist als die Distanz der Standardroute von 10. Obwohl das stricte RPF sicherer ist, kann dies bei Verwendung des dynamischen Routings zu Fehlalarmen führen. Dynamische Routen können sich schnell ändern, und sie können die FortiGate veranlassen, legitimierte Pakete jedes Mal zu verwerfen sobald sich die bevorzugte Route ändert. Im Allgemeinen wird empfohlen loose RPF in Kombination mit Firewallregeln zu verwenden. So kann gefälschter Datenverkehr blockiert werden anstelle strict RPF zu diesem Zweckzu verwenden.

Wie wird auf einer FortiGate das Routing abgearbeitet?

Dieser Artikel beschreibt wie die FortiGate das Routing abarbeitet und selektiert was heisst, welches Routing zuerst greift (wie zum Beispiel Cache, Policy Routen usw.). Wenn verschiedene Routings verwendet werden zum Beispiel Policy Route (Layer 4), Distanz (Layer 3) ist es wichtig zu wissen, wie diese Routings abgearbeitet werden. In der folgenden Liste kann entnommen werden, wie die FortiGate das Routing generell abarbeitet (Abarbeitung von oben nach unten)

• 0) Routing Cache
• 1) Policy Route
• 2) Longest Match
• 3) Distance
• 4) Priority
• 5) Metric (Dynamisches Routing)
• 6) ECMP (Equal Cost Multiple Path)

Ein FortiOS resp. eine FortiGate im "Transparent Mode" aggiert wie eine Bridge und leitet den Traffic im Layer-2 weiter. Dies bedeutet dass Ethernet-Packetebasierend deren "MAC Adressen" abgearbeitet werden und "nicht" anhand deren IP's. Es findet deshalb kein "Routing" statt und Routen sind, ausser für das Mgmt. Interface der "Transparent" Firewall, resp. vdom nicht konfigurierbar!

Wie der "cache" eines Routing eingesehen und auf den neusten Stand gebracht werden kann kann nachfolgendem Artikel entnommen werden: Routing Cache anzeigen

Nachfolgendes Diagramm zeigt wie ein "lookup" in Zusammenhang mit den verschiedenen "Routing Tabellen" durchgeführt wird:

Routing Flow Diagramm:

Dieses Diagramm zeigt auf dass verschiede "Routing Tabellen" existieren welche für die verschieden eingesetzten Routing Technologien wie Policy Route, Cache, Statische Route usw. entscheidend sind. Die Informationen dieser "Routing Tabellen" spielen somit eine entscheidende Rolle ob ein Routing selektiert wird oder nicht! Diagramm:

Wie kann ich auf einer FortiGate die Routing-Tabelle ansehen?

Wenn ich ab dem FortiOS 5.4 die Routing-Tabelle auf einer FortiGate ansehen möchte, so muss folgendes beachtet werden. Es besteht die Möglichkeit die aktiven Routen in der Routing-Tabelle anzuschauen (nur Routen die momentan aktiv sind). Es gibt auch ein Befehl, mit welchem ich alle Routen sehen kann, welche in der Routing-Tabelle eingetragen sind (aktive, und auch inaktive Routen).

Über das WebGui kann ich nur die aktive Routing-Tabelle anschauen:

Konfiguration über das WebGui:

Routing-Tabelle im WebGui für FortiOS Versionen 5.6/6.0/6.2: Über das WebGui kann ich nur die aktive Routing-Tabelle anschauen: Gehe auf Monitor -> Routing Monitor Routing-Tabelle im WebGui ab FortiOS Version 6.4: ]] Menu Dashboard -> Network und dann beim Widget Static & Dynamic Routing auf die Grafik klicken Nun sieht man die Routing-Tabelle im Diagramm und in aufgelisteter Form.

In der CLI ist die FortiOS Version nicht relevant, da ist der Syntax bei allen gleich:

Konfiguration über die CLI:

Um auf der CLI nur die "aktiven" Routing-Einträge aufzulisten kann folgender Befehl ausgeführt werden: # get router info routing-table all Routing table for VRF=0 Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* 0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1 S 172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 S 172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 S 172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 S 172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 S 172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 C 198.18.0.0/27 is directly connected, port1 S 198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0 S 198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0 C 198.18.0.128/30 is directly connected, sg0e0-cisco0 C 198.18.0.136/30 is directly connected, sg0e0-hp0 C 198.18.0.140/30 is directly connected, sg0e0-dmz0 S 198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0 S 198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0 S 198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0 S 198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0 S 198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0 C 198.18.4.0/24 is directly connected, sg0-e-link-lan S 198.18.10.0/25 [10/0] is directly connected, ssl.root S 198.18.11.0/25 [10/0] is directly connected, ssl.root S 198.18.13.0/25 [10/0] is directly connected, ssl.root S 198.18.13.128/25 [10/0] is directly connected, ssl.root C 217.193.240.160/29 is directly connected, vdom-wan1

Wenn ich die gesamte Routing-Tabelle sehen möchte (aktive und inaktive Routen) kann ich die Routing Datenbank wie folgt abfragen:
(Routen welche mit * markiert sind, sind aktive Routen)

# get router info routing-table database 

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       > - selected route, * - FIB route, p - stale info

S    *> 0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1
S    *> 172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C    *> 198.18.0.0/27 is directly connected, port1
S    *> 198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0
C    *> 198.18.0.128/30 is directly connected, sg0e0-cisco0
C    *> 198.18.0.136/30 is directly connected, sg0e0-hp0
C    *> 198.18.0.140/30 is directly connected, sg0e0-dmz0
S    *> 198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0
S    *> 198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C    *> 198.18.4.0/24 is directly connected, sg0-e-link-lan
S    *> 198.18.10.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.11.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.13.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.13.128/25 [10/0] is directly connected, ssl.root
C    *> 217.193.240.160/29 is directly connected, vdom-wan1

Folgende Optionen stehen weiter für das Commande get router info routing-table zur Verfügung:

Wie kann ich auf einer FortiGate den Routing "cache" auflisten und aktualisieren?

Auf der FortiGate wird ein Cache angelegt. Dies bedeutet, dass wenn ein Routing Eintrag erstellt wird (wie zum Beispiel eine statische Route konfiguriert wird), so wird beim ersten Nutzen der Route im Hintergrund automatisch ein Eintrag im Cache angelegt. Dadurch muss die FortiGate nicht jedes Mal die Routing Tabelle konsultieren, sondern erhält bei einer nächsten Anfrage die Routinginformationen schneller und direkter aus dem Cache. Wenn ich sehen will, welche Routen im Cache sind kann ich folgenden Befehl verwenden:

# diagnose ip rtcache list

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
0.0.0.0@0->198.18.0.1@64(root) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=1 expire=0 err=00000000 used=819 br=0 pmtu=16436

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
193.193.135.65@5(wan1)->193.193.135.95@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=220 expire=0 err=00000000 used=5 br=0 pmtu=1492

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
193.193.135.65@5(wan1)->193.193.135.66@64(root) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=3 lastused=0 expire=0 err=00000000 used=348 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=8 expire=0 err=00000000 used=952 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
0.0.0.0@66(fortinet4intern)->255.255.255.255@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=1 lastused=282 expire=0 err=00000000 used=0 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=2109 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=8022 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=1 lastused=4 expire=0 err=00000000 used=59 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
198.18.2.2@66(fortinet4intern)->198.18.2.127@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=135 expire=0 err=00000000 used=61 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.2.1@0->198.18.2.2@66(fortinet4intern) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=48 expire=0 err=00000000 used=22 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=3 expire=0 err=00000000 used=491 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.2@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=13 expire=0 err=00000000 used=572 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.2.2@66(fortinet4intern)->198.18.2.1@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=10 lastused=0 expire=0 err=00000000 used=20 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.2@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=13 expire=0 err=00000000 used=660 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.0.1@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=1 expire=-2395 err=00000000 used=440 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.3@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=4 expire=0 err=00000000 used=1 br=0 pmtu=1500

Der Cache selbst kann nicht direkt verändert oder manipuliert werden. Es ist auch nicht möglich einzelne Einträge aus dem Cache zu löschen. Will man den Cache aktualisieren oder löschen so kann dies indirekt über das refreshen der Routing Tabelle vorgenommen werden. Mit diesem Kommando execute router restart werden im Cache, wie auchim Kernel die Routing Informationen auf den neuesten Stand gebracht:

# execute router restart

Aus diesem Grund wird empfohlen nach jeder Routing Änderungen diesen Befehl abzusetzen um gewährleisten zu können, dass alle Routing Informationen aller Routing Tabellen auf den neusten Stand gebracht wurden.

Was ist eine Blackhole-Route?

Eine Blackhole-Route ist eine Route, die den gesammten, an sie gesendeten Datentraffic unterbindet. Dies funktioniert sehr ähnlich wie /dev/null in der Linux-Programmierung. Blackhole-Routen werden verwendet, um Pakete zu entsorgen, anstelle auf verdächtige Anfragen zu reagieren. Dies bietet zusätzliche Sicherheit, da der Absender keine Informationen aus dem Destination-Netzwerk erhält.

Blackhole-Routen können auch den Traffic in einem Subnetz einschränken. Wenn einige Subnetzadressen nicht verwendet werden, kann der Traffic zu diesen Adressen (Traffic, welcher gültig oder bösartig sein kann) an ein Blackhole-Route geleitet werden. So kann zusätzliche Sicherheit gewährleisten werden oder den Traffic zum Subnetz zu reduziert werden.

Zum Beispiel bei einer IPSec Side-to-Side Verbindung wird, wenn das Tunnelinterface aktiv ist (und somit der VPN Tunnel up), ein Routing Eintrag erstellt. Wenn dieser Tunnel und somit auch das Tunnelinterface down geht, wird die nächste zutreffende Route für die Session genutzt. Meist ist dies die Default Route zum Standard Gateway. Dies bedeutet, dasss der Traffic welcher für die remote Lokation des Tunnels gedacht ist, ins Internet geroutet wird. Kommt jetzt das Tunnelinterface wieder hoch, bleibt die Session aber über den Standard Gateway aktiv. Dieser Zustand bleibt solange bestehen bis diese Session nicht mehr aktiv ist oder manuell beendet wird. Ein "Refreshing" der Routing Tabelle mit dem Befehl "execute router restart" löst dieses Problem nicht, weil durch dieses Kommando eine Session nicht beendet wird. Die einzige Möglichkeit wäre, die Session manuell zu löschen. Jetzt kommt die Blackhole-Route ins Spiel. Die Blackhole-Route wird das Netz an ein Nulldevice routen. Eine Blackhole-Route muss mit einer grösseren Distanz konfiguriert werden, als die anderen Routen. Empfohlen wird die Distanz 254 zu wählen.

Konfiguration über das WebGui:

Im Menu Netzwork -> Static Routes Destinations Netzwerk konfigurieren Interface auf Blackhole wählen Administrative Distance muss höher als die eigentliche Route sein. Wir empfehlen den Wert 254 zu nehmen. Kommentare schaffen Klarheit Status enable um die Route aktiv zu schalten mit OK die Route einrichten.

Konfiguration über die CLI:

config router static edit [ID] -> Route ID angeben z.B 1 set dst 172.16.16.0 255.255.255.0 set distance 254 set comment "Blackhole Route 172.16.16.0/24" set blackhole enable end

Statische Route 172.16.16.0/24 auf Tunnel Interface aktiv:

Wir haben ein VPN-Tunnel welcher das Netz 172.16.16.0/24 auf das Tunnel Interface vpn_to_sideB routet. Wenn wir die Routingtabelle anschauen, sehen wir dass dieses Netz 172.16.16.0/24 auf das Interface vpn_to_sideB mit der Distanz 10 geroutet wird.

Konfiguration über das WebGui:

Gehe ins Menu Monitor -> Routing Monitor

Konfiguration über die CLI:

get router info routing-table all Routing table for VRF=0 Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* 0.0.0.0/0 [1/0] via 198.18.0.1, wan1 S 172.16.16.0/24 [10/0] is directly connected, vpn_to_sideB C 192.168.2.0/24 is directly connected, internal C 198.18.0.0/27 is directly connected, wan1

Statische Route 172.16.16.0/24 auf Tunnel Interface aktiv:

Jetzt wird der VPN-Tunnel unterbrochen und das Tunnel Interface vpn_to_sideB wird inaktiv. Wenn wir jetzt keine default Route hätten, würde das Netz 172.16.16.0/24 auf den default Gateway (198.18.0.1) geroutet. Da wir jetzt aber die Blackhole-Route für die 172.16.16.0/24, mit der Distanz 254 konfiguriert haben, sehen wir in der Routingtabelle, dass der ganze Traffic zum Destinations Netz 172.16.16.0/24 auf das Blackhole Interface routet wird:

Konfiguration über das WebGui:

Gehe ins Menu Monitor -> Routing Monitor

Konfiguration über die CLI:

get router info routing-table all Routing table for VRF=0 Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* 0.0.0.0/0 [1/0] via 198.18.0.1, wan1 S 172.16.16.0/24 [254/0] is a summary, Null C 192.168.2.0/24 is directly connected, internal C 198.18.0.0/27 is directly connected, wan1 Wenn ich die ganze Routing Tabelle anschaue (auch mit den inaktiven Routen) sehe ich beide Routen auf die Adresse 172.16.16.0/24. Die Route welche mit einem * markiert wird, ist die aktive Route. get router info routing-table database Routing table for VRF=0 Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area > - selected route, * - FIB route, p - stale info S *> 0.0.0.0/0 [1/0] via 198.18.0.1, wan1 S 172.16.16.0/24 [10/0] is directly connected, vpn_to_sideB inactive --> Die Route auf das Tunnel Interface ist inaktiv S *> 172.16.16.0/24 [254/0] is a summary, Null --> Die Route auf das Null Device (Blackhole) ist aktiv C *> 192.168.2.0/24 is directly connected, internal C *> 198.18.0.0/27 is directly connected, wan1

Grundsätzlich kann man auf jeder FortiGate die privaten IP Ranges auf eine Blackhole-Route konfigurieren. Mit diesen drei Routen kann so jeglicher Traffic, welcher in das Public WAN (INTERNET) geroutet wird, direkt abgefangen werden. Für folgende private Netze kann also eine Blackhole Route defaultmässig eingerichtet werden: Private Netze Gemäss RFC1918: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Siehe auch : https://tools.ietf.org/html/rfc1918

Konfiguration über die CLI:

config router static edit 1 set dst 10.0.0.0/8 set distance 254 set comment "Blackhole 10.0.0.0/8 - RFC1918" set blackhole enable next edit 2 set dst 172.16.0.0/12 set distance 254 set comment "Blackhole 172.16.0.0/12 -RFC1918" set blackhole enable next edit 3 set dst 168.168.0.0/16 set distance 254 set comment "Blackhole 192.168.0.0/16-RFC1918" set blackhole enable next end

Weitere Informationen betreffend privatem IP Adress-Bereich siehe auch: https://de.wikipedia.org/wiki/Private_IP-Adresse

Wenn ein Class D (Verwendung für Multicast-Anwendungen) oder Class E Netz (reserviert für zukünftige Zwecke) in eine Blackhole-Route konfiguriert werden soll, wird dies von der FortiGate nicht unterstützt. Weitere Infos über die Netzklassen : https://de.wikipedia.org/wiki/Netzklasse Beispiel in der CLI: config router static edit 0 new entry '0' added set blackhole enable set distance 254 set dst 224.0.0.0/3 ip address must be a class A, B, or C ip value parse error before '224.0.0.0/3' Command fail. Return code -8

Wie kann ich das Swisscom TV über die FortiGate betreiben?

ARTIKEL NOCH IN BEARBEITUNG und nicht VOLLSTÄNDIG

Um das Swisscom TV über die FortiGate zu routen müssen Multicast Routen eingerichtet werden. Wir gehen in diesem Fall von folgendem Szenario aus: Wir haben einen Swisscom Router, eine FortiGate und die Swisscom TV Box. Wir wollen die FortiGate zwischen dem Router und der TV-Box dazwischen als Perimeter Firewall schalten. Dafür müssen wir auf dem Swisscom Router die "DMZ" Funktion aktiveren und sämtlichen eingehenden Traffic auf die FortiGate weiterleiten. Zwischen der FortiGate und dem Swisscom Router konfigurieren wir ein Transit Netz. Jetzt haben wir sämtlichen Traffic (ausser die Telefone welche direkt am Router angehängt sind) auf der FortiGate. Jetzt können auf der FortiGate die Multicast Policies konfiguriert werden und das Swisscom TV läuft. In dieser Anleitung zeige ich ein praktisches Beispiel wie man das konfigurieren könnte:

Als erstes auf dem Swisscom Router folgende Konfigurationen vornehmen:

DMZ Funktion einschalten und auf die FortiGate weiterleiten.

Bild	Beschreibung
	Um sämtlichen eingehenden Traffic auf die FortiGate weiter zu leiten, muss auf dem Swisscom Router die DMZ Funktion aktiviert werden. Als Destination wird die FortiGate ausgewählt.

Wir nutzen auf der FortiGate auf dem internal Interface (LAN) den DHCP Dienst. Damit die Swisscom TV Box immer die selbe IP Adresse bekommt, konfigurieren wir eine MAC Reservierung:

config system dhcp server
edit 1
config reserved-address
edit 1
set ip 10.60.60.10
set mac 48:8d:XX:XX:XX:XX
set description "swisscom TV Box"
next
end
next
end

Auf der FortiGate erfassen wir ein Adressen Objekt für die Swisscom TV Box (in unserem Fall 10.60.60.10/32)

config firewall address
edit "h_swisscomTV-10.60.60.10-32"
set comment "Swisscom TV Device"
set color 3
set subnet 10.60.60.10 255.255.255.255
next
end

Nun muss auf der FortiGate das Multicast Routing ausgeschaltet oder überprüft werden dass dieses ausgeschaltet ist:

config router multicast
set multicast-routing disable
end

Die Multicast Weiterleitung konfigurieren:

config system settings
set multicast-forward enable
end

Wir wollen verhindern, dass die FortiGate bei den weitergeleiteten Multicast Paketen den TTL Wert nicht erhöht:

config system settings
set mutlicast-ttl-notchange enable
end

Im nächsten Schritt müssen zwei Multicast Regeln konfiguriert werden. Damit wir im WebGui die Option sehen, muss diese eventuell noch aktiviert werden:

Policy&Objects -> Mutlicast Polciy -> Create New+

Datei:Fortinet-1991.jpg

Jetzt müssen wir zwei Multicast Adress-Objekte für 224.0.0.0 - 224.255.255.255 und 239.0.0.0 - 239.255.255.255 erstellen.

Konfiguration über das WebGui:	Konfiguration über die CLI:
Menu:Policy & Objects -> Addresses -> Create New+ -> Category Multicast Address	config firewall multicast-address edit "mc-swisscom_224.0.0.0-224.255.255.255" set start-ip 224.0.0.0 set end-ip 224.255.255.255 set color 26 next edit "mc-swisscom_239.0.0.0-239.255.255.255" set start-ip 239.0.0.0 set end-ip 239.255.255.255 set color 26 next end

Regel 1: von 0.0.0.0/0 zu den Multicast Adressen SNAT in dieser Regel nicht aktivieren.

Regel 2: Von der Swisscom TV Box zu den Multicast Adressen
SNAT muss in dieser Regel aktiviert werden

Nun sollte das Swisscom TV über die FortiGate funktionieren.

SD-WAN

Dieser Artikel beschreibt, wie Sie eine Hilfssitzung mit ECMP oder SD-WAN aktivieren können.

Wie kann ich für ECMP oder SD-WAN Hilfesession (Auxiliary-session) auf der FortiGate aktivieren?

]]

Wenn wir ECMP oder SD-WAN benutzen, sind mehrere Interfaces für den eingehenden oder ausgehenden Traffic definiert. Dies bedeutet, dass der Traffic eingehend oder ausgehend auf einem anderen Interface stattfinden kann. Wenn der Datentraffic wieder von der FortiGate ausgeht, versucht er einer bestehenden TCP Session zu entsprechen. Diese TCP-Session wird aber fehlschlagen, da sich das Interface für den eingehenden Datentraffic geändert hat. Default mässig wird nur eine Session zur Abwicklung des Datentraffics verwendet. Jede Änderung auf dem eingehenden Interface (Orginal/Antwort) führt zu einer dirty Session und wird verworfen. Aktiviert man die auxiliary-session Funkion wird eine Multisession aktivert. Dies bedeutet dass eine Hauptsession und Hilfssesions (verschiedene eingehende Interfaces) gibt um den Traffic zu handeln.

Konfiguration über die CLI:

id=20085 trace_id=10 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [S], seq 3291199818, ack 0, win 65535" id=20085 trace_id=10 func=init_ip_session_common line=5666 msg="allocate a new session-000015a7" id=20085 trace_id=10 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-80.78.133.251 via tun1" id=20085 trace_id=10 func=fw_forward_handler line=771 msg="Allowed by Policy-14: SNAT" id=20085 trace_id=10 func=ids_receive line=289 msg="send to ips" id=20085 trace_id=10 func=__ip_session_run_tuple line=3286 msg="SNAT 172.22.4.99->192.168.1.1:47287" id=20085 trace_id=10 func=ipsecdev_hard_start_xmit line=777 msg="enter IPsec interface-tun1" id=20085 trace_id=10 func=esp_output4 line=904 msg="IPsec encrypt/auth" id=20085 trace_id=11 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034" id=20085 trace_id=11 func=resolve_ip_tuple_fast line=5581 msg="Find an existing session, id-000015a7, original direction" id=20085 trace_id=11 func=ids_receive line=289 msg="send to ips" id=20085 trace_id=11 func=ip_session_core_in line=6275 msg="outgoing dev changed:44->42 dir=original, drop" id=20085 trace_id=12 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034" id=20085 trace_id=12 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-192.168.1.1 via tun1" id=20085 trace_id=12 func=fw_forward_dirty_handler line=385 msg="no session matched"

Default mässig ist die Funktion deaktiviert. Dies können wir auch über die CLI wie folgt ermitteln:

Konfiguration über die CLI:

# config system settings # show full-configuration | grep aux # set auxiliary-session disable

Die Funktion kann wie folgt eingeschaltet werden:

Konfiguration über die CLI:

# config system settings # set auxiliary-session enable # end

Welche OIDs gibt es im Zusammenhang mit dem Link Monitor um den SD-WAN Status abzufragen?

Folgende OIDs gibt es welche den Status vom Link Monitor angeben:

Kann eine FG-90D in die die neue SD-WAN Orchestration eingebunden werden?

SD-WAN Orchestration kann mit der FG90D aktuell nicht genutzt werden, da dieses Modell aktuell noch nicht unterstützt wird:

https://docs.fortinet.com/document/fortimanager/6.4.1/sd-wan-orchestrator-release-notes/798783/supported-fortigate-models

Policy Routing

Email Service

Wie kann auf einer FortiGate den "Email-Service" konfigurieren?

Im FortiOS bezeichnet die "Email Service" Funktion die Konfiguration eines SMTP Servers. Ein Email Server auf der FortiGate wird für verschiedene Funktionen benötigt:

• Alert Email
• Two-Factor Authentifizierung
• Wireless Guest-Provisioning

Der "Email-Service" wird über das Web-GUI folgendermassen konfiguriert:

Konfiguration über das WebGui:

Menu: System > Settings -> Email Service (6.2) Um einen eigenen E-Mail Server zu konfigurieren, muss Use custom settings eingeschaltet werden. Im Feld SMTP Server FQDN Adresse des Mailservers angeben. Unter "Port" kann kann der Mail-Port angepasst werden, falls er vom Default Wert abweicht. wenn notwendig kann Authentication aktivieret werden und Username mit Passwort für den Mailserver angeben. Security Mode wählen None = SMTP default Port TCP 25 SMTPS = SSL/TLS default TCP 465 START TLS (SMTP und TLS default Port TCP 587) Default Reply to Wird die Emai-Adresse angegeben, welche als Absender fungiert.

Konfiguration über die CLI:

# config system email-server # set type custom # set reply-to [Absender Email Adresse] # set server [FQDN SMTP Server] # set port [Gebe einen entsprechenden Port an zBsp "25"] # set source-ip [Optional gebe eine Source IPv4 Adresse an für den Absender der SMTP Nachricht] # set source-ip6 [Optional gebe eine Source IPv6 Adresse an für den Absender der SMTP Nachricht] # set authentication [enable | disable] # set username [Username für die Authentifizierung] # set password [Passwort für die Authentifizierung] # set validate-server [enable| disable] # set security [none | smtps | starttls] # end

Es ist auch möglich von Fortinet den SMTP Server zu benutzen:

Konfiguration über das WebGui:

Use custom settings deaktivieren Default Reply To wird die Absender Email Adresse angegeben.

Konfiguration über die CLI:

# config system email-server # set reply-to [Absender Email Adresse] # set server "notification.fortinet.net" # set port 465 # set Security smtps # end

Zwei Faktor Authentifizierung

Wie kann ich die Timeouts für die 2FA Dienste auf der FortiGate anpassen?

Wenn das SSL-VPN mit Zwei-Faktor-Authentifizierungen(2FA) wie E-Mail, SMS, FortiToken konfiguriert ist, kann unter Umständen ein längerer Token-Ablauf des Timers erforderlich sein, als jener der Standardeinstellung von 60 Sekunden. Die Ablaufzeiten können wie folgt konfiguriert werden:

Konfiguration über die CLI:

# config system global # set two-factor-ftk-expiry [Zeit in Sekunden] -> FortiToken Session Timeout # set two-factor-ftm-expiry [Zeit in Sekunden] -> FortiToken Mobile Session Timeout # set two-factor-sms-expiry [Zeit in Sekunden] -> SMS Session Timeout # set two-factor-fac-expiry [Zeit in Sekunden] -> FortiAuthenticator Token Session Timeout # set two-factor-email-expiry [Zeit in Sekunden] -> Email Session Timeout # end

Während diese Timer für die Token selbst gelten (und die Token-Codes so lange gültig bleiben, wie sie konfiguriert sind), muss beim SSL-VPN jedoch nicht für die gesamte Dauer der Gültigkeit der Token akzeptieren. Um sicherzustellen, dass SSL-VPN die Token akzeptiert, muss ein weiterer Zeitgeber konfiguriert werden:

Konfiguration über die CLI:

# config system global # set remoteauthtimeout [1-300s] # end

Die maximal konfigurierbare Zeitüberschreitung hierfür beträgt 5 Minuten. Das SSL-VPN wartet maximal 5 Minuten auf die Bereitstellung eines gültigen Token-Codes, bevor die Verbindung beendet wird, auch wenn der Token-Code länger gültig ist.

Die remoteauthtimout Einstellung zeigt nicht nur an, wie lange SSL-VPN auf die Bereitstellung des Token wartet, sondern auch auf andere Remote-Authentifizierungen, wie zum Beispiel die Authentifizierung von LDAP, RADIUS usw. Das bedeutet, dass wenn der Timer erhöht wird, die FortiGate beinträchtig werden kann. Der Server ist nicht erreichbar, wenn der erhöhte Timer zu lange benötigt, um die FortiGate zu erreichen.

FortiGate und FortiAuthentikator:

Was auch beachtet werden muss ist, dass wenn mit einem FortiAuthenticator gearbeitet wird, dieser auch einen Timer für die Token hat. Die FortiGate verwendet die RADIUS-Authentifizierung für die SSL-VPN-Benutzerauthentifizierung. Der FortiAuthenticator wird als RADIUS-Server verwendet. Um die Sicherheitsstufen zu verstärken, ist FortiAuthenticator so konfiguriert, dass für eine erfolgreiche Authentifizierung eine Zwei-Faktor-Authentifizierung (2FA) erforderlich ist. Der FortiAuthenticator verfügt über mehrere Optionen, um 2FA von einem Benutzer zu verlangen. Diese können Hardware FortiToken, FortiToken Mobile, Mail oder SMS-Dienste sein. Bei den letzteren beiden kann es zu Zeitüberschreitungen kommen. Standardmässig erwartet FortiAuthenticator den Token-Code nach 60 Sekunden. Dieser Wert kann angepasst werden. Es reicht jedoch nicht aus, nur das Timeout im FortiAuthenticator zu ändern, da die FortiGate auch einen eigenen Timeout-Wert hat. Man muss diesen Wert also auch ändern, wenn man die Zeit zwischen der Eingabe von Benutzername/Passwort und Token-Code erhöhen möchten. Die Timer sind auf der FotiGate wie oben erklärt, anpassbar.

Auf dem FortiAuthentikator kann das unter folgendem Menue konfiguriert werden:

Konfiguration im FortiAuthenticator 6.x:

Über das Menue User Account Policies -> Tokens können die Timeouts konfiguriert werden: Im Feld FortiToken der Menue-Punkt TOTP authentication window kann der Wert für die FortiToken Timeouts konfiguriert werden. Default ist 1 Minute eingestellt. Möglich ist 1 Minute - 60 Minuten. Unter Email/SMS kann der Token Timeout in Sekunden (10-3600) angepasst werden.

Wie kann ich auf einer FortiGate einen SMS Service / Provider konfigurieren?

Wenn auf einer FortiGate eine Two-Factor Authentication konfiguriert wird, so soll basierend auf ODA (On-Demand Authentication) muss ein entsprechender SMS Service resp. Provider konfiguriert werden. Per Standard steht auf einer FortiGate ein FortiGuard SMS Provider zur Verfügung jedoch ist dieser FortiGuard SMS Provider nicht in FortiCare und/oder FortiGuard enthalten. Bei diesem FortiGuard SMS Provider handelt es sich um den Amerikanischen SMS Provider Clickatell.

Anstelle des FortiGuard SMS Services kann auch ein lokaler SMS Provider gewählt werden. Dabei muss beachtet werden, dass der SMS Provider einen SMS Versandt über EMail unterstützt. Grund ist, dass die FortiGate kein SMS Versand über HTTP/S GET und POST unterstützt. Ein paar SMS-Provider welche wir empfehlen:

• Swisscom (@sms.ip-plus.net)
• F24 (Dolphin) (https://www.f24.com/tochtergesellschaften/f24-schweiz-ag/)
• Truesenses (http://www.truesenses.com/)

Da der SMS Versand über den Email Service durchgeführt wird, gilt die Konfiguration eines Email Service als Voraussetzung für die Konfiguration eines SMS Service. Wie der Email Service zu konfigurieren ist siehe nachfolgender Artikel: Email Service auf der FortiGate konfigurieren. Danach sind die Voraussetzungen gegeben einen SMS Service respektive Provider auf der FortiGate zu konfigurieren. Die Konfiguration kann über CLI durchgeführt werden:

Konfiguration über die CLI:

# config system sms-server # edit [Name des Service/Provider zB "swisscom"] # set mail-server [FQDN des Mail Server für SMS Versandt zB "sms.ip-plus.net"] # end

Wird ein User lokal erfasst und dieser mittels SMS eine Two-Factor Authentifizierung aktiviert werden muss für, diesen User eine entsprechende Mobile Nummer definiert werden. Wird über einen Service auf der FortiGate eine Two-Factor Authentifizierung ausgelöst so wird im Hintergrund über den definierten SMS Service/Provider der für die Mobiel Nummer konfiguriert wurde ein Email generiert in folgender Form: [Land][Vorwahl][Mobile Nummer]@[FQDN des Mail Server für SMS Versandt]

Siehe auch: Wie konfiguriere ich einen User mit SMS Zweifaktor Authentifizierung?

Wie kann ich den Lizenzkey für den FortiGuard SMS Service auf der FortiGate einlesen?

Auf der FortiGate kann ich Two Factor Authentifizierung einrichten. Es gibt die Möglichkeit von Fortinet selber einen SMS Dienst zu erwerben. Die SMS werden von der FortiGuard her ausgelöst. Diese Lizenz enthält jeweils 100 SMS. Der Artikel welcher hierfür erworben werden kann:

SMS-ELIC-100 FortiSMS - License for 100 SMS text messages

Der Lizenz Key kann über folgenden Befehl auf die FortiGate eingelesen werden:

Konfiguration über die CLI:

# execute fortiguard-message add xxxx-xxxx-xxxx-xxxx-xxxx ---> Den Aktivierungs Code der SMS Lizenz gemäss erhaltenem Dokument einfügen. # execute fortiguard-message update

Das Guthaben kann wie folgt über die CLI abgefragt werden: execute fortiguard-message info

Konfiguration über die CLI:

# execute fortiguard-message info Controller server status: registered Expiry date: 20200102 SMS max allowed: 4 SMS used: 4 Last update: Wed Apr 17 10:31:02 2019 Current message server: 208.91.113.184:443 Message server status: unknown

FortiView

Wo ist die Ansicht "All-Session" im FortiOS 6.4.0?

]]

Im FortiOS 6.4.0 fällt einem sicher sehr schnell auf, dass die Option All-Session in der FortiView nicht mehr vorhanden ist.
Es handelt sich hier um einen Bug im FortiOS 6.4.0. Wir haben es dem TAC gemeldet und diese haben es an das Developpentteam weitergeleitet.
Der Bug wird unter der Nummer 615524 behandelt.

In der Zwischenzeit kann man unter den Top Policies by Session im Drilldown-Menu zu den Sessions gelangen:

Konfiguration über das WebGui:

Der Bug ist im FortiOS 6.4.1 behoben worden
Nun findet man die Session-Ansicht in der FortiView:

Konfiguration über das WebGui:

Prozesse

Wie kann ich auf einer FortiGate die Prozesse auflisten?

Auf einer FortiGate existieren unzählige von Prozesse und Dienste welche zuständige sind um die verschiedenen Aufgaben einer Firewall durchzuführen. Um die Prozesse aufzulisten kann folgendes Kommando benutzt werden:

Konfiguration über die CLI:

# diagnose sys top [refresh_time_sec] [number_of_lines]

Wenn man die "top" 20 Prozesse (Standard) auflisten möchte, kann der # diagnose sys top Befehl ohne die Optionen von "refresh_time_sec" sowie "number_of_lines" benutzt werden: # diagnose sys top Run Time: 0 days, 2 hours and 1 minutes 0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 636F ipsengine 358 S < 0.1 5.0 extenderd 178 S 0.1 0.4 lnkmtd 161 S 0.1 0.3 newcli 554 R < 0.1 0.3 ipsengine 356 S < 0.0 5.0 ipsengine 357 S < 0.0 5.0 ipsengine 359 S < 0.0 5.0 ipshelper 355 S < 0.0 4.2 scanunitd 352 S < 0.0 2.1 scanunitd 525 S < 0.0 2.0 scanunitd 526 S < 0.0 2.0 scanunitd 523 S < 0.0 1.9 scanunitd 524 S < 0.0 1.9 cmdbsvr 100 S 0.0 1.7 forticron 136 S 0.0 1.4 pyfcgid 495 S 0.0 1.2 cw_acd 168 S 0.0 1.2 httpsd 212 S 0.0 1.0 httpsd 210 S 0.0 1.0 httpsd 127 S 0.0 0.9 Um den Befehl respektive die Funktion zu beenden benütze "Ctrl + C". Beschreibung: Datei:Fortinet-307.jpg

Die in der zweiten Ausgabezeile angezeigten Codes haben folgende Bedeutung:
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 636F

• U ist der Prozentsatz der User-Space-Anwendungen, welche die CPU verwenden. Im Beispiel bedeutet 0U 0 % der User-Space-Anwendungen, die CPU verwenden.

• S ist % der Systemprozesse (oder Kernelprozesse), welche die CPU verwenden. Im Beispiel bedeutet 0S, dass 0 % der Systemprozesse die CPU verwenden.

• I ist % die ungenutzte CPU. Im Beispiel bedeutet 98I, dass die CPU zu 100% im Leerlauf ist.

• T ist der gesamte FortiOS-Systemspeicher in Mb. In dem Beispiel bedeutet 1866T, dass 1866 Mb des Systemspeichers vorhanden ist.

• F ist der freie Speicher in Mb. Im Beispiel bedeutet 636F, dass 636 Mb freier Speicher vorhanden sind.

• KF ist die Summe der verwendeten Shared-Memory-Seiten. Wenn zum Beispiel 32KF stehen würde, bedeutet dies, das System 32 Seiten des gemeinsamen Speichers verwendet werden.

Jede zusätzliche Zeile der Befehlsausgabe zeigt Informationen für jeden der auf der FortiGate laufenden Prozesse an. Die dritte Zeile der Ausgabe lautet in diesem Beispiel:
ipsengine 358 S < 0.1 5.0

• ipsengine ist der Name des Prozesses. Andere Prozessnamen können newcli, sshd, cmdbsrv, httpsd, scanunitd und miglogd enthalten.
• 358 ist die Prozess-ID. Die Prozess-ID kann eine beliebige Zahl sein.
• S ist der Zustand in welchem sich der Prozess befindet. Es gibt folgende Prozesszustände:
  • S = Sleeping
  • R = Running
  • D = Do not disturb
  • Z = Zombie

R und S Status Informationen eines Prozesses sind normal.
Das ein Prozess in den Status D wechselt kann für kurze Zeit vorkommen. Bleibt der Status jedoch für längere Zeit im Status D ist dies ein Indiz dass dieser Prozess nicht korrekt arbeitet.
Ein Status Z für einen Prozess ist klar ein Indiz das dieser Prozess nicht korrekt läuft. Ein Prozess im Status Z kann nicht mit "kill" beendet werden dh., um diesen Prozess zu beenden ist ein Neustart des Devices notwendig! Um eine FortiGate neu zu starten benutze : execute reboot

• 0.1 ist die Menge von der CPU, welche der Prozess verwendet. Der CPU-Verbrauch kann von 0.0 (für einen Prozess der schläft), bis zu höheren Werten reichen wenn ein Prozess viel CPU-Zeit benötigt.
• 5.0 ist die Menge an Memory, welche der Prozess verwendet. Der Speicherverbrauch kann von 0.1 bis 5.5 und höher gehen.

Während der diagnose sys top Befehl ausgeführt wird, kann mit folgenden Tasten eingewirkt werden:

• Taste q zum beenden.
• Taste c um die Prozesse nach Benutzung der CPU zu sortieren.
• Taste m um die Prozesse nach Benutzung des Memories zu sortieren.

Wenn Prozesse untersucht/beobachtet werden sollen kann anhand "refresh_time_sec" und "number_of_lines" der Befehl erweitert werden. Das folgenden Beispiel zeigt, wie der Befehl ausgeführt wird mit einer "refresh_time_sec" von 5 Sekunden und "number_of_lines" von 10. Dies heisst, es werden nur die Top 10 Prozesse/Dienste aufgelistet:

Konfiguration über die CLI:

# diagnsoe sys top 5 10 Run Time: 0 days, 2 hours and 7 minutes 0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 651F miglogd 196 S 0.3 0.9 ipsengine 356 S < 0.1 5.0 ipsengine 357 S < 0.1 5.0 cw_acd 168 S 0.1 1.2 miglogd 195 S 0.1 0.9 src-vis 152 S 0.1 0.6 lnkmtd 161 S 0.1 0.3 newcli 568 R < 0.1 0.3 proxyd 144 S 0.1 0.3 ipsengine 359 S < 0.0 5.0

Wie kann ich auf der FortiGate die Prozesse nach Memorie-Auslastung auflisten?

Eine weitere Möglichkeit die Prozesse aufzulisten ist:

Konfiguration über die CLI:

# diagnose sys top-summary -h Usage: top-summary [options] Options: -n LINES, --num=LINES Number of top processes to show (20 by default) -i INTERVAL, --interval=INTERVAL Update interval, in seconds (1 by default) -s SORT, --sort=SORT Sort mode: [cpu_percent (default)|mem|fds|pid] -d, --dump Dump stats to the files -h, --help show this help message and exit Anhand dieser Optionen kann folgender Befehl abgesetzt werden um mit "-s mem" die Prozesse nach Memory-Nutzung zu sortieren und alle 60 Sekunden "-i 60" einen Refresh durchzuführen, sowie mit "-n 10" die Top 10 Prozesse aufzulisten: diagnose sys top-summary '-s mem -i 60 -n 10' # diagnose sys top-summary '-s mem -i 60 -n 10' CPU [|||||||||| ] 25.0% Mem [|||||||||||||||||||||||||| ] 65.0% 1227M/1866M Processes: 10 (running=1 sleeping=135) PID RSS CPU% ^MEM% FDS TIME+ NAME * 130 420M 0.0 22.5 423 02:32.11 ipsmonitor [x6] 352 39M 0.0 2.1 53 00:31.92 scanunitd [x5] 100 32M 0.0 1.7 14 00:07.14 cmdbsvr 136 26M 0.0 1.4 26 00:09.10 forticron 495 24M 0.0 1.3 12 00:00.56 pyfcgid [x4] 168 23M 0.0 1.2 31 05:45.90 cw_acd 127 20M 0.0 1.1 41 00:26.25 httpsd [x11] 125 17M 0.0 0.9 65 00:12.11 miglogd [x3] 167 13M 0.0 0.7 22 00:00.98 fgfmd 591 12M 0.0 0.7 12 00:00.66 newcli [x2] Die Angabe "-s mem" indiziert die Spalte "MEM%" das heisst die Prozesse sollen nach "CPU%" Auslastung sortiert werden anstelle von "-s mem" die Angabe "-s cpu" benützt werden!

Welche Prozesse existieren auf einer FortiGate und welche Aufgaben haben diese?

Auf der FortiGate existieren unzählige Prozesse welche für verschiedene Aufgaben zuständig sind. Diese könne zBsp anhand "diagnose sys top 5 99" eingesehen werden. Viele Prozesse existieren nur dann, wenn eine entsprechende Konfiguration durchgeführt wird. Andere existieren nur dann, wenn ein bestimmtes FortiGate Modell benutzt wird wie zBsp PoE (Power over Ethernet). Wiederum andere existieren und sind mit dem Stauts "idle" versehen da die Funktion deaktiviert wurde wie zBsp Wirless Controller "cw_acd". Nachfolgend eine Auflistung der bekannten Prozess und einer Kurzbeschreibung dieser:

Referenz der Prozesse aus: https://kb.fortinet.com/kb/documentLink.do?externalID=FD40822

Wie finde ich die PID von einem bestimmten Prozess heraus?

Die PID ist die Prozess Nummer (Prozess ID). Um einen Prozess zu stoppen muss diese angegeben werden. Damit man die Prozessnummer(n) herausfindet kann dies mit folgendem Befehl durchgeführt werden:

diagnose sys process pidof [ProzessName]

Wenn ich zum Beispiel die Prozessnummern für httpsd haben möchte gebe ich folgendes ein:

Konfiguration über die CLI:

# diagnose sys process pidof httpsd 127 210 212 214 225 228 248 295 323 326 475

Wie kann ich auf der FortiGate einen laufenden Prozess stoppen?

Folgender Befehl kann verwendet werden um einen laufende Prozesse zu stoppen:
diagnose sys kill [Signal] [Prozess-ID]
Beschreibung:

• Signal kann eine beliebige Zahl sein. Es empfiehlt sich die 11 zu nehmen, weil dieses Signal eine Ausgabe an das Crashlog sendet, welches vom Fortinet-Support zur Fehlerbehebung verwendet werden kann.
• Prozess-ID ist die Prozess-ID, die vom Befehl diagnose sys top aufgelistet wird. (Siehe Artikel Wie kann ich auf einer FortiGate die Prozesse auflisten?)

Mit diagnose sys kill 11 956 wird der Prozess mit der ID 956 gestoppt.

Wie kann ich herausfinden, welcher Prozess auf welchem CPU Core läuft?

]]

# diagnose sys top
Run Time:  0 days, 7 hours and 50 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 2012T, 681F
       ipshelper      314      S <     0.0     3.9
         cmdbsvr      124      S       0.0     3.3
       ipsengine      315      S <     0.0     3.0
          httpsd      379      S       0.0     3.0
         miglogd      144      S       0.0     2.4
         pyfcgid      284      S       0.0     2.3
          httpsd      209      S       0.0     2.2
          httpsd      380      S       0.0     2.0
         reportd      163      S       0.0     2.0
          httpsd      317      S       0.0     1.8
         pyfcgid      286      S       0.0     1.8
       forticron      155      S       0.0     1.7
          httpsd      656      S       0.0     1.6
          cw_acd      180      S       0.0     1.4
          httpsd     1338      S       0.0     1.4
         miglogd      196      S       0.0     1.4

Wir ermitteln jetzt auf welchem CPU-Kern der Prozess ipsengine läuft. Wir haben herausgefunden, dass die Prozessnummer für ipsengine die 315 ist. Mit dem Befehl diagnose sys process dump [PROZESS_ID] | grep Cpu kann der Kern ermittelt werden:

# diagnose sys process dump 315 | grep Cpu
Cpus_allowed: 1                          <---- 0001  (binär umgerechnet).
Cpus_allowed_list: 0                     <----  CPU Nummer 0

Bei einem zweiten Beispiel wollen wir vom Prozess miglogd wissen, auf welchem Kern dieser läuft. Hier ist die ProzessID die 196

# diagnose sys process dump 196 | grep Cpu
Cpus_allowed: 2                       <----- 0010 (binär umgerechnet).
Cpus_allowed_list: 1                  <-----  CPU Nummer 1

Hier ist ein Link um dezimale Zahlen in binäre Zahlen umzurechnen: https://www.matheretter.de/rechner/zahlenkonverter

System

Wie generiere ich einen TAC Report für den technischen Support von Fortinet?

Damit der technische Support von Fortinet effizient arbeiten kann, ist es von grossem Nutzen bei einem Störungsfall den TAC Report beim Supportticket hochzuladen. In den meisten Fällen wird dieser Report sowieso eingefordert und man gewinnt Zeit indem man diesen Report gleich von Anfang an mitsendet. Wen man den Report ausführt wird ein vordefiniertes Skript eine Reihe von Diagnose-Befehlen durchführen. Diese ermöglichen eine Momentaufnahme des aktuellen Zustands der FortiGate festzuhalten. Diese Ausgaben der Befehle können dann in eine Log Datei geschrieben, und so dem technischen Support von Fortinet zur Verfügung gestellt werden.

Im TAC Report werden folgende Daten generiert und abgelegt:

• Seriennummer des Gerätes
• Benutzte Firmwareversion
• Status der FortiGuard-Updates
• Memorie und CPU Auslastung
• Globale Konfiguration
• Hardware Features
• Interface Fehler
• Traffic Statistiken
• HA-Diagnostik
• Prozess Crash Logs

Der TAC Report kann folgendermassen generiert und heruntergeladen werden:

Konfiguration über das WebGui:

System -> Settings ganz nach unten zu Debug Logs scrollen Download anwählen und Datei herunterladen

Konfiguration über die CLI:

# execute tac report

      Datei:HowTo FortiOS TAC-Report.pdf

Zertifikate

Wie kann unter Windows 10 ein SelfSign Zertifikat erstellt werden, welches auf die Firewall geladen werden kann?

Unter Windows 10 kann ein entsprechendes Zertifikat mit Powershell erstellt werden. Folgende Parameter werden dazu benötigt:

	PS C:\temp> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -DnsName "meineseite.local" 
	-FriendlyName "MySiteCert" -NotAfter (Get-Date).AddYears(10)
	
	PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My
	Thumbprint                                Subject
	----------                                -------
	9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478  CN=meineseite.local

Um dieses Zertifikat anschliessend auch als File vom Windows Zertifikatsspeicher in ein passwortgeschütztes *.pfx-File exportieren zu können, muss erst das Passwort in einer Variablen abgelegt werden, bevor dann mittels CMDlet das Zertifikat exportiert werden kann:

	PS C:\temp> $CertPwd = ConvertTo-SecureString -String "test" -Force -AsPlainText
	PS C:\temp> Export-PfxCertificate -cert cert:\localMachine\my\9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478
	-FilePath C:\temp\test.pfx -Password $CertPwd

	Verzeichnis: C:\temp
	Mode                LastWriteTime         Length Name
	----                -------------         ------ ----
	-a----       27.06.2018     16:43           2749 test.pfx

Das Zertifikat wird anschliessend wie folgt importiert:

Wie kann unter Windows 10 ein CA erstellt werden, welches auf die Firewall geladen werden kann?

1. Herunterladen des Tools XCA Datei:Setup xca-1.4.1.zip
2. Installieren von XCA auf einem Windows PC
3. Generieren einer CA mit XCA gemäss folgender Anleitung: Datei:Xca howto.pdf (Quelle: barracuda.com)
4. Exportieren der CA im *.pem Format
5. Importieren des Zertifikates auf der Fortigate Firewall unter System > Certificates > Import > CA Certificate > Type=File

Interface

Was bedeutet die Funktion "Role" innerhalb einer Interface Konfiguration?

Wenn man ab dem FortiOS 5.4 im Interface die verschiedenen Konfigurationspositionen näher anschaut, fällt einem die Position "Role" auf:

Konfiguration über das WebGui:

Network -> Interfaces -> auf das entsprechende Interface gehen. Unter der Position "Role" die gewünschte Rolle auswählen

Konfiguration über die CLI:

# config system interface # edit [Name des entsprechenden Interface zB "internal"] # set role [lan | wan | dmz | undefined] # end

Nun stellt sich die Frage wobei es sich bei diesem Konfigurationspunkt handelt. Nach Auskunft von Fortinet handelt es sich hierbei um ein neues Feature unter FortiOS 5.4 das Fehlkonfigurationen auf früheren FortiOS verhindern soll. Dies wiederum bedeutet: Durch das hinzufügen einer bestimmten "Role" zu einem Interface stehen diesem bestimmte Konfigurationen nicht mehr zur Verfügung. Dadurch wird verhindert das zBsp auf einem "DMZ" Interface eine DHCP Server Konfiguration durchgeführt wird. Dabei ist wichtig zu wissen welche Konfigurationspunkte durch welche "Role" auf einem Interface entfernt werden. Nachfolgend eine Übersicht der zur Verfügung stehenden "Role" für ein Interface:

Wir empfehlen grundsätzlich diese "Role" nicht zu benutzen und für ein Interface die Einstellung "undefined" zu benutzen wodurch alle Funktionen resp. Konfigurationen für ein Interface zur Verfügung stehen. Nach Auskunft von Fortinet sind diese "Role" im FortiOS nicht konfigurierbar dh. diese sind "hardcoded" implementiert und können nicht verändert werden. Es stehen auf der CLI keine Befehle zur Verfügung um diese "Role" zu verändern oder abzufragen um allenfalls herauszufinden zu können welche Funktionen für eine bestimmte "Role" entfernt wurde oder zur Verfügung steht.

Wie kann ich die Interface Statistik auf einer FortiGate anschauen?

Um die Interface Statistik anzuschauen kann über die CLI folgender Befehl eingegeben werden:

Konfiguration über die CLI:

# get hardware nic <INTERFACE_NAME> Beispiel: # get hardware nic port1 Description :FortiASIC NP6 Adapter Driver Name :FortiASIC Unified NPU Driver Name :np6_0 PCI Slot :0000:01:00.0 irq :16 Board :FGT300d SN :FGT************ Major ID :5 Minor ID :0 lif id :0 lif oid :130 netdev oid :130 netdev flags :1303 Current_HWaddr 00:09:0f:09:00:02 Permanent_HWaddr 90:6c:ac:17:b0:ac phy name :port1 bank_id :1 phy_addr :0x00 lane :0 flags :220 sw_port :0 sw_np_port :0 vid_phy[6]  :[0x02][0x00][0x00][0x00][0x00][0x00] vid_fwd[6]  :[0x00][0x00][0x00][0x00][0x00][0x00] oid_fwd[6]  :[0x00][0x00][0x00][0x00][0x00][0x00] ========== Link Status ========== Admin :up netdev status :up autonego_setting:1 link_setting :1 link_speed :1000 link_duplex :0 Speed :1000 Duplex :Full link_status :Up rx_link_status :1 int_phy_link :0 local_fault :0 local_warning :0 remote_fault :0 ============ Counters =========== Rx_CRC_Errors :0 Rx_Frame_Too_Longs:0 rx_undersize :0 Rx Pkts :3130045 Rx Bytes :752876757 Tx Pkts :3430304 Tx Bytes :2363052814 Host Rx Pkts :3130032 Host Rx Bytes :691819956 Host Rx dropped :0 Host Tx Pkts :3430304 Host Tx Bytes :2348345744 Host Tx dropped :0

Konfiguration über die CLI:

# fnsysctl ifconfig <INTERFACE_NAME> Beispiel: # fnsysctl ifconfig port1 port1 Link encap:Ethernet HWaddr 00:09:0F:09:00:02 inet addr:198.18.0.1 Bcast:198.18.0.31 Mask:255.255.255.224 UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:3131156 errors:0 dropped:0 overruns:0 frame:0 TX packets:3431342 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:753144031 (718.3 MB) TX bytes:2363678516 (2.2 GB)

Wie konfiguriere ich ein VLAN-Interface auf der FortiGate?

Ein VLAN-Interface kann auf der FortiGate relativ einfach konfiguriert werden.

Konfiguration über das WebGui:

Über das Menu Network -> Interfaces -> Interface Name definieren Alias bei Bedarf definieren (dieser Name wird in den Polices angezeigt) den Typ auf VLAN einstellen Das physikalische Interface auswählen, bei welchen das VLAN angebunden werden soll VLAN ID definieren und konfigurieren Netzwerk Konfigurationen vornehmen wie bei einem physikalischen Interface Die VLAN Interfaces sieht man beim physikalischen Interface wenn man auf das + klickt.

Konfiguration über die CLI:

config system interface edit "vl_1500_userlan" set vdom "root" set ip 172.16.18.2 255.255.255.0 set alias "vl1500-ulan_frontend" set device-identification enable set role lan set interface "internal7" set vlanid 1500 next end

Wie kann ich auf einem VLAN Interface eine sekundäre IP Adresse konfigurieren?

Bei einem VLAN Interface kann die sekundäre IP Adresse nicht einfach mit dem Befehl config secondaryip konfiguriert werden. Bevor man diesen Befehl nutzen kann, muss noch das entsprechende Feature auf dem Interface aktiviert werden. Dies wird mit dem Befehl secondary-IP {enable | disable} erreicht.

Konfiguration über die CLI:

config system interface edit int_vl1200 set secondary-IP enable set interface "internal" set vlanid 1200 config secondaryip edit 1 set ip 172.16.17.1 255.255.255.0 next end next end

Konfiguration über das WebGui:

Um auf dem WebGui die sekundäre IP zu konfigurieren muss einmal das Feature aktiviert worden sein. Danach ist es möglich auf allen Interfaces diese Option über das WebGui zu benutzen. Menu Network -> Interfaces -> das entsprechende vlan Interface editieren Die Option Secondary IP address aktivieren Mit kann eine neue sekundäre IP Adresse auf das VLAN konfiguriert werden.

Wie kann ich den MTU Wert auf einem Interface anpassen?

]]

Der Maximum Transmission Unit (MTU) Wert definiert die grösste, hardwareabhängige Paketgrösse gemessen in Byte, welche ein Netzwerk übertragen kann. Wenn ein Paket grösser als der MTU Wert ist, werden die Pakete vom Sender aus in kleinere Pakete aufgeteilt. Der Standard MTU Wert auf einem FortiGate Interface ist 1500. Es kann vorkommen, dass man diesen Wert auf dem Interface anpassen muss, weil gewisse Paket Grössen nicht mehr durch kommen. Dieses Phänomen tritt häufig bei DSL Verbindungen auf, über welche noch ein IPSec VPN Tunnel gehen. Dies zeigt sich dann anhand des Phänomens, dass der Tunnel up ist, die ICMP Pakete durch gehen (ich kriege eine Antwort über den PING vom Remote System), aber die Daten selber nicht durch den Tunnel gehen.

Die MTU-Grösse der von der FortiGate übertragenen Pakete kann angepasst werden um die Netzwerkleistung zu verbessern. Idealerweise sollte die MTU der Pakete mit der kleinsten MTU aller Netzwerke zwischen der FortiGate und dem Ziel identisch sein. Falls die von der FortiGate gesendeten Pakete grösser sind als die kleinste MTU, werden diese zerlegt / fragmentiert, was die Übertragung verlangsamt. Man kann leicht experimentieren, indem die MTU verringert wird um eine MTU Grösse für eine optimale Netzwerkleistung zu finden.

• 68 bis 1500 Bytes für den statischen Modus
• 576 bis 1500 Bytes für den DHCP-Modus
• 576 bis 1492 Bytes für den PPPoE-Modus

Grössere Frame-Grössen (falls vom FortiGate-Modell unterstützt), bis zu 9216 Byte für NP2-, NP4- und NP6-beschleunigte Interfaces sind möglich. Diese Option ist nur für physische Interfaces verfügbar. Virtuelle Interface (vlan) welche einem physischen Interface zugeordnet sind, erben die MTU-Grösse des physischen Interfaces.

Die Interfaces gewisser FortiGate-Modelle unterstützen Frames, welche grösser als die herkömmlichen 1500 Byte sind. Jumbo-Frames werden bei FortiGate-Modellen, welche ab SOC2 (oder höher) oder NP4lite (ausser die FortiGate 30D) und bei Modellen der FortiGate 100D-Serie unterstützt. Wenn grössere Frames über eine Route gesendet werden, müssen alle Netzwerk-Devices auf diesem Weg die Framegrösse unterstützen. Falls dies nicht der Fall ist, werden die grösseren Frames nicht erkannt und dann verworfen.

Wenn man Datentraffic mit der Standardgrösse und grösseren Frames auf demselben Interfaces hat, kann das Routing allein diese nicht auf verschiedene Wege routen, die nur auf der Frame-Grösse basieren. Man kann jedoch VLANs verwenden, um sicherzustellen, dass der Datenverkehr mit grösseren Frames über Netzwerkgeräte geroutet wird, welche die grössere Grösse unterstütz. VLANs erben die MTU-Grösse von dem übergeordneten Interface. Das VLAN muss so konfiguriert werden, dass es beide Enden des Pfads, sowie alle Switches und Router entlang des Weges umfasst.

Die MTU-Paketgrösse kann konfiguriert werden. Wenn man eine MTU-Grösse wählt, welche grösser ist als jene die vom FortiGate-Modell unterstützt wird, kommt eine Fehlermeldung ("Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt"). In dieser Situation soll man versuchen eine kleinere MTU-Grösse zu konfigureren, bis der Wert unterstützt wird und die Pakete nicht mehr fragmentiert werden müssen.

Eine Änderung des MTU-Wertes kann den Internetzugang für eine kurze Zeit beeinträchtigen, da nach der Anpassung des Wertes ein Reboot der Hardware vorgenommen werden muss. Es wird empfohlen die MTU-Änderung in einem Wartungsfenster vorzunehmen oder den Kunden zu informieren, dass es zu einem Unterbruch kommt!

MTU Standardwerte: DHCP-Verbindung: 1500 PPPoE-Verbindung: 1492 Wird eine eigene VPN-Verbindung (via IPSec) aufgebaut, so muss nach dem ermitteln der "optimalen" MTU noch -100 gerechnet werden um den für das VPN korrekte MTU-Wert zu erlangen.

Die optimale MTU kann via CLI mit folgendem Befehl ermittelt werden: ping <<Zielhost>> -f -l 1492

Erscheint die Fehlermeldung "Paket müsste fragmentiert werden", ist der Wert noch zu hoch und muss weiter reduziert werden bis der Ping ohne Fehlermeldung durch geht.

Folgendermassen kann ich auf den Interfaces die MTU Werte anpassen:

Konfiguration über die CLI:

config system interface edit [INTERFACE] set mtu-override [enable|disable] set mtu [MTU_WERT] end end Beispiel: config system interface edit internal1 set mtu-ovveride enable set mtu 1492 end end

Wenn die FortiGate im transparent Modus ist muss noch folgendes beachtet werden: Wird auf einem Interface der MTU-Wert angepasst, muss auf allen Interface der MTU-Wert auf der FortiGate angepasst werden!

Auch interessant:

• Mehr Informationen über die MTU: https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm
• VPN Interface : Wie kann ich auf einem VPN Interface die MTU Werte anpassen?

Wie kann ich auf der FortiGate ein Interface deaktivieren/aktivieren?

Es empfiehlt sich, jene Interfaces, welche auf der FortiGate nicht verwendet werden, administrativ herunter zu fahren und diese zu deaktivieren.

Dies kann via WebGui oder über die CLI vorgenommen werden. Am besten schreibt man einen Kommentar, wann und von wem das Interface deaktiviert wurde um die Transparenz zu erhöhen.

Im WebGui werden Interfaces, welche deaktiviert wurden grau dargestellt.

Konfiguration über das WebGui:

Über das Menu Network --> Interfaces --> [Interface auswählen] in die Interface Konfiguration navigieren. Ganz nach unten scrollen, dann kann man im Menupunkt Miscellaneos unter Status die Aktion anwählen: Enabled --> Interface aktivieren Disabled --> Interface deaktivieren Im "Comments"-Feld kann ein Kommentar eingefügt werden. In der Gesamtübersicht der Interfaces erkennt man die deaktivierten Interfaces anhand dessen dass diese hellgrau geschrieben sind:

Konfiguration über die CLI:

config system interface edit [INTERFACE_NAME] set status [up|down] set description "[BESCHREIBUNG]" next end Beispiel: config system interface edit internal7 set status [up|down] set description "Administrativ down 26.05.2020 - mru" next end Den Interface Status kann ich folgendermassen überprüfen: config system interface edit internal7 (internal7) # get | grep status cli-conn-status  : 0 status  : down <-- Interface Status

Switch Mode

Sniffer Mode / CTAP

Switch Controller

Administrator

Wie richte ich auf der FortiGate ein SSH Login mittels privatem Schlüssel ein?

]]

Damit ich mich als Administrator auf der FortiGate nicht immer mit dem Passwort authentifizieren muss, ist es möglich mich mittels einem privaten Schlüssel zu authentifizieren.

Dafür müssen zwei Schlüssel generiert werden. Zum Einen ein privater, und zum Andern ein öffentlicher Schlüssel. Ein gutes Tool um so ein Schlüsselpaar zu generieren ist der Putty Key Generator. Dieser ist unter folgendem Link abrufbar: https://www.puttygen.com/

Wenn der Puttygenerator gestartet wurde, kann das Paar ganz einfach generiert werden:

Konfiguration im PuTTy Key Generator:

Type auf RSA setzen. Bit Anzahl im Feld Number of bits in a generated key: angeben. Um den Key zu generieren den Button Generate anwählen mit dem Maus-Cursor willkürlich und zufällig durch das Fenster bewegen, bis der grüne Balken gefüllt ist. im Feld Key passphrase sollte man den privaten Schlüssel durch ein Passwort schützen. Den öffentlichen und privaten Schlüssel lokal abspeichern (Save public key und save privat key)

Nun muss der Public Key auf die FortiGate impotiert werden.

Konfiguration über die CLI:

# config system admin # edit [Administrator] # set ssh-public-key1 "ssh-rsa [PublicKey Term]" # end nach SSH-RSA muss der öffentliche Schlüssel in einer Linie hereinkopiert werden. Dabei ist darauf zu achten dass folgendes nicht mit kopiert wird: ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20200327" ---- END SSH2 PUBLIC KEY ---- Achtet darauf, dass der Public Key in einer Zeile, welche mit Anführungs-Zeichen beginnt und mit dem Schlusszeichen endet: "ssh-rsa PublicKey in einer Linie" Beispiel: # config system admin # edit admin # set ssh-public-key1 "ssh-rsa AAAAB3NzaC....E2MSyQ==" # end

Nun muss noch der SSH Client mit dem privaten Key konfiguriert werden. Wir empfehlen hierzu das Tool "PuTTy" (https://www.putty.org/) zu verwenden.

Konfiguration im PuTTy:

unter dem Menu "Session" den Hostname und den Port (Default 22) angeben Connection type wird SSH angewählt. Über das Menu Connection -> SSH -> Auth muss bei Private key file for authentication: der Standort des privaten Keys angegeben werden. Ergebniss: Wenn man sich jetzt über das Putty mit der FortiGate verbindet, muss man den Username angeben. Danach wird man automatisch ohne Passworteingabe auf der FortiGate authentifiziert.

Konfiguration für Linux oder Mac OS X:

Schlüsselpaar generieren: Folgendermassen kann man in der Konsole ein Schlüsselpaar generieren: ssh-keygen -t rsa -b 4096 Unter Linux oder Mac OS X kann man sich folgendermassen auf die FortiGate über SSH verbinden: ssh -i .ssh/key_rsa username@host .ssh/key_rsa' bezieht sich auf den Pfad in welchem der private Schlüssel gespeichert wurde. Beispiel: ssh -i .ssh/key_rsa admin@10.60.60.2

Wie kann ich für den Administrator "admin" das Passwort zurücksetzen wenn ich dieses vergessen habe?

Um ein Passwort des standard Administrators "admin" neu zu setzen wenn dies nicht mehr bekannt ist, gelten folgende Voraussetzungen:

• Seriennummer des Devices muss bekannt sein (Rückseite des Gerätes) zBsp FGT60E4613015338
• Das FortiGate Device muss neu gestartet werden (Strom aus/ein)
• Der Zugriff muss lokal über den Konsolen-Port erfolgen (RS-232)

Konfiguration über die CLI:

Um das Passwort für den standard Administrator "admin" zurück zu setzen muss ein Zugriff via einen seriellen Console-Port (RS-232) sicher gestellt werden: 8 bits no parity 1 stop bit 9600 baud Flow Control = none

Nach dem man mit der FortiGate über den Konsolen-Port verbunden ist, muss die FortiGate neu gestartet werden. Dies muss über einen Hardware-Reboot (Strom ausschalten, Strom einschalten) geschehen. Wenn auf der CLI die Loging Aufforderung kommt muss man sich relativ schnell mit dem User ‘’’maintainer’’’ und dem Passwort bcpb[Serie Nummer der FortiGate] identifizieren. Es ist darauf zu achten, dass die Serienummer in GROSSBUCHSTABEN geschrieben wird. Tipp: bcpb[SERIENUMMER] in ein Textfile schreiben und kopieren, damit das Passwort mittels copy/ paste eigegeben werden kann. User = maintainer Password = bcpbFGT60E4613015338 Welcome!

Nun kann das Passwort des standard Administrators "admin" neu konfiguriert werden: # config system admin # edit admin # set password [neues Passwort] # end

Dieser Vorgang wird nach 2 Minuten deaktiviert. Dies bedeutet dass nach einem "power on" innerhalb 2 Minuten eingeloggt werden muss da das Login anhand des Users "maintainer" nach 2 Minuten deaktiviert wird. Dieser Vorgang wird auf jedem Fortinet Device benutzt um das Passwort des standard Administrators "admin" wiederherzustellen. Es gibt keine andere Möglichkeit dieses Passwort via Remote Zugriff, zBsp SSH, wiederherzustellen! Diese Funktion für den User "maintainer" resp. dessen Login kann unter der globalen Konfiguration im FortiOS deaktiviert werden. Wird dies durchgeführt gibt es keine Möglichkeit mehr das Passwort des standard Administrators zurück zu setzen:

Es ist möglich den Maintainer Zugriff für das Gerät zu deaktivieren:

Konfiguration über die CLI:

# config system global # set admin-maintainer [enable | disable] # end

Wenn der admin-maintainer deaktiviert wird, gibt es keine Möglichkeit mehr, dass Passwort zu resetten. Auch der technische Support von Fortinet hat keine Möglichkeit mehr, dass Passwort zurückzusetzen!

Wie kann ich einen Login Disclaimer auf der FortiGate konfigurieren?

Der Loging Disclaimer ist standartmässig auf der FortiGate nicht aktiv. Möchte ich, dass beim einloggen auf die FortiGate eine Warnmeldung erscheint, muss ich dies über die CLI konfigurieren.
Es gibt zwei Varianten:

1. Eine Warnmeldung bevor das Loging-Prompt erscheint (WebGui oder CLI):

Konfiguration über die CLI:

config system global set pre-login-banner [enable | disable] --> enable für einschalten. end Bevor ich jetzt auf das Anmeldefenster komme wird die vordefinierte Warnmeldung angezeigt: Der User muss akzeptieren, dass er auf das Anmeldefenster kommt.

2. Eine Warnmeldung nachdem ich mich auf die FortiGate eingeloggt habe:

Konfiguration über die CLI:

config system global set post-login-banner [enable | disable] --> enable für einschalten. end Nach dem Einloggen wird dem User eine Warnmeldung angezeigt, bei welcher der User bestätigen muss.

Die Templates können auch nach eigenen Wünschen angepasst werden:

Konfiguration über das WebGui:

System -> Replacement Messages Extendet View anwählen die beiden Templates sind unter dem Titel "Administrator" abgelegt. Post-login Disclaimer Message : Meldung nach dem einloggen auf die FortiGate Pre-login Disclaimer Message : Meldung vor dem Logging-Fenster

Das gewünschte Template klicken um es zu editieren. In der linken Hälfte sieht man das Ergebnis, auf der rechten Seite kann der Text formatiert werden. Mit dem "Restore Default" Button kann wieder das default Template hergestellt werden. Mit "Save" kann die Änderung bestätigt werden.

User / Gruppe

Wie konfiguriere ich eine Usergruppe?

Konfiguration über das WebGui:

User & Device -> User Groups Für eine lokale Gruppe auf der FortiGate den Type "Firewall" auswählen Gruppenname definieren Members auf das + und die gewünschten User hinzufügen mit OK die Gruppe anlegen

In die gewünschte Policy gehen Die Usergruppe muss in der Policy bei den Source unter User ausgewählt werden Der Rest der Policy wie gewohnt konfigurieren.

Konfiguration über die CLI:

Die User können mit folgendem Syntax der Gruppe "USER" "NEXT-USER" .... "END-USER" hinzugefügt werden. config user group edit "gr-Wartung" set member "user1" "user2" next end Bei einer Firewall Policy wird die Usergruppe mittels folgendem Befehl set Groups <GRUPPEN_NAME> hinzugefügt config firewall policy edit <POLICY_ID> set name "O_Wartung->Internet" set srcintf "internal" set dstintf "wan1" set srcaddr "net-192.168.1.0-24" set dstaddr "net-0.0.0.0-00" set action accept set schedule "always" set service "HTTP" "HTTPS" set logtraffic all set groups "gr-Wartung" set nat enable next end

Im Monitor können authentifizierte User angeschaut werden:

Konfiguration über das WebGui:

Über den Menupunkt Monitor -> Firewall User Monitor können die momentan eingeloggten User eingesehen werden: Um einen User zu deauthorizieren, muss der entsprechende User mittels Rechtsklick angewählt werden und dann der Button Deauthenticate selektiert werden.

Wie eröffne ich einen User für die Zweifaktor Authentifizierung über SMS?

]]

Damit es eine optimale Sicherheit bei der User-Authentifizierung gibt, ist die Möglichkeit einen Token anzubinden eine sehr gute Lösung. Dabei gibt der User sein Passwort ein und bekommt noch einen zweiten Faktor zugesendet. Es gibt dabei die Variante, welche dem User eine Textnachricht auf sein Mobile Gerät sendet. Der User muss diesen Zusatz mit eingeben um eine erfolgreiche Authentifizierung zu erlangen. Auf der FortiGate wird die SMS Authentifizierung beim User konfiguriert. Wir haben die Möglichkeit den kostenpflichtigen FortiGuard SMS Dienst von Fortinet zu nutzen.

FortiGate:FAQ#Wie_kann_ich_den_Lizenzkey_f.C3.BCr_den_FortiGuard_SMS_Service_auf_der_FortiGate_einlesen.3F

Konfiguration über das WebGui:

User & Device -> User Definition Local User auswählen um den User auf der FortiGate zu erfassen Next Username definieren Passwort für den User definieren Next optional kann eine Email-Adresse angegeben werden SMS Schalthebel aktivieren "Contry Dial Code" auf das gewünschte Land setzen Phone Number wird die Mobile Telefonnummer ohne Null voraus angegeben. Die Mobile Nummer muss im folgenden Format konfiguriert werden: [Ländercode][Mobilenummer ohne Null voraus] -> z.B. 079 123 45 67 wird so hinterlegt : 41791234567 Next Hinweis: Der Parameter set two-factor sms muss über die CLI konfiguriert werden. Wenn eine Usergruppe vorhanden ist, kann diese über den Schalter "User Group" ausgewählt werden, so wird der User direkt dieser Gruppe hinzugefügt Submit um den User fertig einzurichten Jetzt muss der User bei der entsprechenden Regel in die Source eingefügt werden. Policy Source auf User gehen und den User oder die Gruppe auswählen Die Policy wie gewohnt einrichten (Destination Services NAT usw...)

Konfiguration über die CLI:

Den User konfigurieren: config user local edit "user1" set type Password set two-factor sms set sms-phone "41791234567" set password "password" next end Der set two-factor sms Parameter ist wichtig, damit dem User mitgeteilt wird, dass die SMS Zweifaktor-Authentifizierung aktiviert wird. Leider ist diese Option im WebGui beim User erst ersichtlich, wenn sie auf der CLI einmal konfiguriert wurde. Bei der Policy muss der User in der Source angegeben werden, damit die Authentifizierung gezogen wird. In dieser Regel sind "ANY Services" konfiguriert. Für einen produktiven und sicheren Betrieb empfiehlt sich nur die Services freizuschalten, welche auch benötigt werden. Weiter empfiehlt es sich das entsprechende UTM Features zu aktivieren um sich optimal abzusichern. config firewall policy edit <POLICY-ID> set name "O_UserAuthent->Internet" set srcintf "internal" set dstintf "wan1" set srcaddr "net-192.168.1.0-24" set dstaddr "net-0.0.0.0-00" set action accept set schedule "always" set service "ALL" set logtraffic all set users "user1" set nat enable next end

Resultat:

Wenn wir jetzt eine Anfrage über den Webbrowser in das Internet vornehmen wird ein Loging Fenster im Browser erscheinen: Nachdem sich der user1 mit seinem Passwort authentifiziert hat, kommt noch die SMS abfrage. Der User hat jetzt 60 Sekunden Zeit den SMS-Code einzutippen. Nach dieser Zeit ist der ausgelieferte Code erneut ungültig.

Firewall Regeln

Was ist eine Local-In Policy?

Policies steuern den Traffic durch die FortiGate. Die FortiGate stellt auch die Möglichkeit, den internen Traffic (Management-Traffic) zu kontrollieren. Jedes Interface enthält eine Konfiguration für den erlaubten Zugriff, um den Managementzugriff für bestimmte Protokolle zu ermöglichen. Lokale Firewall Regeln werden automatisch eingerichtet, um den Zugriff für alle Benutzer zu ermöglichen. Lokale Firewall-Regeln gehen noch einen Schritt weiter, indem sie den Benutzerzugriff aktivieren oder einschränken.
Man kann lokale Firewall-Regeln für den administrativen Zugriff, das Routing, die zentrale Verwaltung durch den FortiManager, oder weitere Zwecke benutzen:

• SNMP
• Syslog
• Alert Email
• FortiManager Remote IP
• FortiGuard Services
• FortiAnalyzer Logtransfer
• NTP
• DNS
• AutorisierungS Anfragen wie RADIUS
• FSSO

Konfiguration über das WebGui:

Local-In-Firewall Regeln können nur in der CLI erstellt oder bearbeitet werden. Die vorhandenen Local-In-Policies werden im WebGui angezeigt. Damit man die automatisch angelegten LocalIn Firewallregeln sieht muss man das Feature freischalten: Menu System -> Feature Visibiltiy -> Local In Policy aktivieren. Danach kann man unter Policy & Objects das Menu Local In Policy finden.

Konfiguration über die CLI:

# config system settings # set gui-local-in-policy enable # end

Um das ganze zu veranschaulichen ein kleines Beispiel:

Konfiguration über das WebGui:

Wir konfigurieren auf dem Interface (internal) die Services PING(icmp 8), HTTPS (tcp443), SSH(tcp22) und FMG-Access(tcp541). Sobald wir diese Management Methoden konfiguriert haben und die Interface Konfiguration verlassen, sehen wir, dass in den LocalIn auf dem Interface internal die entsprechenden Ports geöffnet sind: Der HTTPS wird als TCP4443 (Admin Port) im Tap Authentication angezeigt und ist auf diesem Screenshot nicht ersichtlich!

Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!

Wie kann ich eine manuelle Local-In Policy konfigurieren?

Manuell angelegte Local In Policy sind von der Hyrarchie her prioritär der automatisch angelegten Local In Policies. Es ist jedoch nicht möglich, die automatischen Local In Policies zu manipulieren. Durch eine manuelle Local In Policy kann sie aber übersteuert werden.
Manuelle Local In Policies können nur über die CLI konfiguriert werden. Dies funktioniert wie folgt:

Konfiguration über die CLI:

# config firewall [local-in-policy | local-in-policy6] # edit [Policy ID definieren] # set intf [Source Interface] # set srcaddr [Source IP Adresse] # set dstaddr [Destinations IP Adresse] # set action [accept | deny] # set service [Service Name] # set schedule [Gültigkeit der Policy] # set comments "[Fakultativer Kommentar]" # end Falls ich das HA-Management Interface als dediziertes Management Interface benutzen will, muss ich dies in der entsprechenden Local-In Policy mit dem Befehl set ha-mgmt-intf-only enable konfigurieren.

Es ist darauf zu achten, dass die Objekte welche benutzt werden, im Vorfeld konfiguriert worden sind (Beispiel Source und Destinations Netze / Host)
In diesem Beispiel soll der SMB Traffic vom Interface internal7 mit dem Source Netz 10.10.250.0/24 auf sämtliche Netze blockiert werden:

Konfiguration über die CLI:

# config firewall local-in-policy # edit 1 # set intf internal7 # set srcaddr net-10.10.250.0-24 # set dstaddr all # set action deny # set service SMB # set schedule alsways # set comments "Block SMB from internal 7" # end

Um die Local In Policy zu deaktivieren, oder wieder zu aktivieren muss dies in der Policy selber konfiguriert werden:
Die Local-In Policy aktiviert man mit: set status enable
Die Local-In Policy deaktiviert man mit:set status disable

Konfiguration über die CLI:

# config firewall local-in-Policy # edit [Policy_ID] # set status [enable | disable] -> aktivieren oder deaktivieren # end

Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!

Policy Rule

Session

Was für Informationen werden in der Session Liste angezeigt?

Mit dem Befehl diagnose sys session list werden auf der FortiGate alle Session, inklusive den dazugehörigen Informationen angezeigt.

Im "output" ist jede einzelne aktive "Session" mit deren Details aufgeführt. Als Beispiel nachfolgender Output einer Session:

Im Output wird jede aktive Session mit den dazugehörigen Details angezeigt.

Beispiel:

session info: proto=6 proto_state=02 duration=11 expire=21 timeout=3600 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/
state=local nds 
statistic(bytes/packets/allow_err): org=120/2/0 reply=176/2/1 tuples=2
orgin->sink: org out->post, reply pre->in dev=0->7/7->0 gwy=0.0.0.0/0.0.0.0
hook=out dir=org act=noop 198.18.0.1:21164->198.18.0.90:514(0.0.0.0:0)
hook=in dir=reply act=noop 198.18.0.90:514->198.18.0.1:21164(0.0.0.0:0)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=0 auth_info=0 chk_client_info=0 vd=0
serial=002606e7 tos=ff/ff ips_view=0 app_list=0 app=0
dd_type=0 dd_mode=0
npu_state=00000000

Die Bedeutung der vielen Positionen wird in der folgenden Tabelle erklärt:

origin-shaper=OutShapper prio=2 guarantee 12800Bps max 128000Bps traffic 92Bps
reply-shaper=InShaper prio=4 guarantee 2560Bps max 25600Bps traffic 125Bps
per_ip_shaper=PerIPShaper

statistic (bytes/packets/err): org=3408/38/0 reply=3888/31/0 tuples=2

hook=post dir=org act=snat 100.1.10:50194 -> 216.58.216.110:80(10.200.1.1:50194)
hook=pre dir=reply act=dnat 216.58.216.110:80 -> 10.200.1.1:50194(10.0.1.10:50194)

npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0

no_ofld_reason: redir-to-av redir-to-ips non-npu-intf

Referenz: http://kb.fortinet.com/kb/documentLink.do?externalID=FD30042

Was bedeutet das Flag dirty in der Session Liste?

Wenn die FortiGate das erste Paket für eine neue Session (Beispielsweise ein SYN-Paket) empfängt, bewertet das Gerät, ob der Datentraffic auf der Grundlage der Firewalregeln zugelassen oder nicht zugelassen werden soll. Solange es keine Änderungen an den Firewalregeln und andere Bedingungen gibt, wird diese Bewertung nur für das erste Paket der Session durchgeführt.

Wenn der Verkehr durch eine Firewallregel zugelassen wird, erstellt die FortiGate eine Session und kennzeichnet diese als may_dirty. Wird nachher eine Firewalregeln oder eine Bedingung geändert welche eine Zustandsänderung auslöst, werden alle bestehenden Sessionen mit dem may_dirty-Flag als dirty gekennzeichnet.

Dies signalisiert der FortiGate, dass das nächste Paket der Session neu bewertet werden muss. Wenn die Session immer noch erlaubt/gültig ist und der zu erlaubenden Firewallregel entspricht, wird das Dirty-Flag entfernt und das Flag may_dirty beibehalten.

Wenn die Session blockiert wird, wird sie als blockiert gekennzeichnet und verbleibt in der Sessionstabelle, bis diese Session abläuft. Jedes Paket, das einer Session mit dem Block-Flag entspricht, wird gelöscht.

Nachfolgend sind die Bedingungen aufgeführt, die dazu führen, daß eine Session als 'dirty' markiert wird, wenn:

1. Jegliche Änderungen an einer Firewallregel.
2. Änderungen am Routing.
3. Sämtliche netzwerkbezogenen Konfigurationsänderungen.

Wie kann ich die Session Timer auf der FortiGate anpassen um System Ressourcen einzusparen?

Jeder Traffic, welcher durch die FortiGate fliesst wird einer Firewall Session zugeordnet. Diese Session wird auf der FortiGate erstellt und gepflegt. Je weniger Sessions die FortiGate verwalten muss, desto weniger CPU Ressourcen werden für die Behandlung der Sessions benötigt. Es gibt verschiedene Möglichkeiten die Anzahl an gleichzeitigen Sessions zu reduzieren:

Wenn der Trafficflow gestoppt wird, bleibt die dazugehörige Session in der FortiGate bis ein bestimmter Timer abläuft. Dieses Verhalten gilt für TCP und UDP Sessions (es sind verschiedene Timer daran beteiligt). Die Reduzierung des Timers würde helfen, die Session früher wieder loszuwerden. TCP gebundene Session im half-open, half-close, oder in etablierte Sessions können also früher wieder freigegeben werden.

Dies kann man global wie folgt konfigurieren:

Konfiguration über die CLI:

config system global set tcp-halfclose-timer 30 [ default 120 s ] set tcp-halfopen-timer 30 [ default 60 s ] set tcp-timewait-timer 0 [ default 120 s ] set udp-idle-timer 60 [ default 120 s ] end config system session-ttl set default 300 [ default 5000 ] end

Es gibt Protokolle welche eher viele Session generieren, da sie auf kurzen Transaktionen basieren. Zum Beispiel DNS ist ein solches Protokoll. In diesem Fall wird empfohlen den Timer für das Protokoll auf einen geeigneten, aber kurzen Wert zu ändern.

Konfiguration über die CLI:

config port edit 0 set protocol 17 set timeout 10 set end-port 53 set start-port 53 end end

Inspection Modes

Was genau bedeuten die beiden Inspektionsmodi auf der FortiGate? (Proxy vs. Flow)

Jede Fortigate Firewall hat zwei mögliche Betriebsmodi, mit welchen der Datenverkehr inspiziert werden kann:

Eine bewusste Konfikguration zwischen Flow- und Proxy-Modus ist hilfreich, wenn sichergestellt werden soll, dass ausschliesslich der Flow-Inspektionsmodus verwendet werden soll. Die konkreten Funktionsunterschiede zwischen dem Proxy- und Flowbased Inspectionmode können der Fortinet-Hilfe entnommen werden:

• http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-getting-started/7-inspection-mode/flow-vs-proxy-inspection-mode.htm

Wie kann der Inspection Mode einer FortiGate bis FortiOS 6.0 geändert werden?

Ab FortiOS 6.0 wird der Inspection Mode pro Firewall oder auf einer mit VDOMs konfigurierten Firewall pro VDOM global angepasst.

Im GUI ist diese Konfiguration unter System > Settings > Inspection Mode zu finden.

In der CLI kann dieser Konfigurationspunkt wie folgt angepasst werden:

	fg-lab # config system settings
	fg-lab (settings) # show
	config system settings
		set inspection-mode flow
		...

Das Überschreiben dieser globalen Einstellung von Flow nach Proxy führt dazu, dass in jedem Security Profile auf der gesamten Appliance/VDOM der Inspection Mode ebenfalls auf die hier ausgeführte Einstellung umgestellt wird. Das überschreiben dieser Option von Proxy nach Flow führt jedoch nicht dazu, dass diese Einstellung in jedem Security Profil überschrieben wird.

Wie kann der Inspection Mode einer FortiGate ab FortiOS 6.2 geändert werden?

]]

Im Gegensatz zu den Versionen 5.4 - 6.0 wird der Inspektionsmodus nicht mehr als globaler Parameter definiert, sondern über die Policy gesteuert. Die FortiGate wird in der Version 6.2 immer im Flow-Modus sein. Soll mit der proxybasierten Inspektion gearbeitet werden, so muss diese in der jeweiligen Policy konfiguriert werden.

Proxymodus

Konfiguration über das WebGui:

In die entsprechende Policy gehen und dann den Inspektions-Modus auf Proxy einstellen. Folgende UTM-Features sind im Proxy-Modus unterstützt: AntiVirus Web Filter DNS Filter Application Control IPS Email Filter DLP Sensor ICAP WAF - Web Applikation Firewall

Konfiguration über die CLI:

config firewall policy edit [Policy-ID] --> Policy ID eingeben zBsp edit 2 set inspection-mode proxy next end

Flow Modus

Konfiguration über das WebGui:

Defaultmässig ist in der Policy der Flow Inspektionsmodus aktiviert. Falls man von Proxy auf Flow zurückstellen will kann dies in der entsprechenden Policy vorgenommen werden. Folgend UTM-Features sind im Flow-Modus unterstützt: AntiVirus Web Filter DNS Filter Application Control IPS

Konfiguration über die CLI:

config firewall policy edit [Policy-ID] --> Policy ID eingeben zBsp edit 2 set inspection-mode flow next end

Flow Modus - NGFW

Was hingegen noch immer global eingestellt wird ist der NGFW Modus. Standartmässig ist dieser auf Profile-based eingestellt. Dies bedeutet, dass UTM Profile erstellt werden und diese auf den Policies angewendet werden. Der Policy-based Modus bedeutet, dass Applikation und Webfilter direkt in der Policy definiert werden. Dies erfordert dass ein einzelnes SSL/SSH Inspektionsprofil auf allen Policies angewendet wird. Antivirus ist immer Profil basierend, unabhängig welcher NGFW Modus konfiguriert ist.

Konfiguration über das WebGui:

Im Menu "Settings" kann der NGFW Modus definiert werden.

Konfiguration über die CLI:

config system settings set ngfw-mode [profile-based | policy-based] end

Wie wird auf einer FortiGate ein Datenpaket abgearbeitet (Life of a packet) ?

Dieser Abschnitt beschreibt die Schritte, die ein Paket durchläuft, ab Eintritt auf die FortiGate, bis dies die FortiGate wieder verlässt. Dieses Szenario zeigt alle Schritte, die ein Paket durchläuft, wenn ein FortiGate keine Netzwerkprozessoren (wie zBsp den NP6) enthält.

Den Hinweis "ingress" sowie "engress" ist folgendermassen zu verstehen: "ingress" umschreibt den Vorgang was mit einem Packet durchgeführt wird wenn es über ein Interface dem FortiOS übermittelt wird (TCP/IP Stack). "Engress" umschreibt was mit einem Packet durchgeführt wird wenn ein Packet durch das FortiOS über ein Interface versendet wird!

Nach dem ersten Paket überspringen die nachfolgenden Pakete in einer ausgelagerten Routing-Sitzung die UTM/NGFW und Kernel-Prozessoren und werden einfach durch den NP6-Prozessor auf die Egress-Schnittstelle weitergeleitet. Auch Sicherheitsmaßnahmen wie DoS-Richtlinien, ACL etc. werden durch den NP6-Prozessor beschleunigt.

Die vorhergehenden Übersichten zeigen innerhalb "UTM/NGFW" keine Details betreffend "inspection" Mode, resp. wie ein Packet im "proxy-mode" oder im "flow-mode" abgearbeitet wird. Dabei ist zu berücksichtigen, dass nicht jedes UTM Feature zB "Web Application Firewall" im "flow-mode" benutzt werden kann sondern nur im "proxy-mode". Weitere Informationen welches Feature von welchem Inspection Mode unterstützt zeigt nachfolgende Aufstellung:

Nachfolgend eine Uebersicht was innerhalb der "UTM/NGFW" Funktion betreffend dieser zwei zur Verfügung stehenden "inspection" Mode durchgeführt wird:

NAT

Wie funktioniert das Destinations NAT auf einer FortiGate?

VIPs sind DNAT-Objekte. Bei jeder Session, welche mit einem VIP übereinstimmt wird die Destination IP Adresse übersetzt (genattet). Üblicherweise wird eine öffentliche IP Adresse auf eine private IP Adresse zu einem Serverdienst übersetzt. Ein VIP-Objekt wird in der Policy im Destinationsobjekt Feld ausgewählt.

Standardmässig ist der VIP auf statisches NAT konfiguriert. Dies bedeutet, dass für ein- und ausgehende Verbindungen ein one-to-one Mapping gilt. Wenn also eine Policy für ausgehenden Traffic konfiguriert wird, und das VIP-Objekt dann auf dem ausgehenden Interface ausgewählt wird, so wird die IP Adresse genattet. Dieses verhalten kann aber durch die IP-Pool Konfiguration übersteuert werden.

VIPs sollten auf dem externen Facing (Ingress) Interface routfähig sein. Das FortiOS reagiert auf ARP-Anfragen von VIP und IP-Pool Objekten. Dies bedeutet, wenn beim VIP-Objekt das Interface ANY konfiguriert wird, wird entsprechend auf jedem Interface für das VIP-Objekt ein ARP Eintrag angelegt. Dies wiederum kann unter gewissen umständen zu asynchronen Routings führen.

Beispiel

Der User initiert einen Request auf die IP Adresse 198.18.1.2. Auf der FortiGate ist ein VIP-Objekt konfiguriert, welches die Anfragen, welche auf die Adresse 198.18.1.2 kommen auf die IP Adresse 172.16.1.100 nattet. Der Request wird also von der FortiGate auf den Server in der DMZ (172.16.1.100) weitergeleitet. Über die Policies kann noch geregelt werden, welchen Services der Zugriff auf den Zielserver gewährt werden soll (172.16.1.100). Ich empfehle jeweils nur die benötigten Services im VIP-Objekt zu konfigurieren. Der Grund ist, dass gemäss Flow Diagramm zuerst das Destinations-NAT vollzogen wird und erst dann die Firewall Policies abgehandelt werden. Dies bedeutet, wenn ich alle Services im VIP-Objekt konfiguriere, diese potentiell auf das Zielsystem bereits durchgeschalten sind. Wenn man sich bei den Policies "verkonfiguriert" generiert man sozusagen einen "Bypass".

Flow Diagramm:

Quelle : https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-life-of-packet-54/lop-packet-flow-ingress-egress.htm

Wie richte ich ein Destinations NAT mit einem VIP Objekt ein?

Konfiguration über das WebGui:

Über das Menu Policy & Objects -> Virtual IPs -> kann ein neues VIP Objekt erstellt werden

Wir konfigurieren ein VIP Objekt welches den smtp Port auf die IP Adresse 172.16.1.100 in der DMZ weiterleitet. Dabei wird der Client die IP Adresse 198.18.0.2 ansprechen und wird dann über das VIP Objekt auf 172.16.1.100 genattet. beim Namen einen aussagekräftigen Namen wählen - dieser wird dann im Policyset eingesehen werden. Beim Kommentar empfehle ich die Orginal und die genatete Adresse, inklusive den anzusprechenden Port zu erwähnen. So kann bei allfälligen Störungssuchen im Objekt gleich erkannt werden, was es genau beinhaltet. Das Interface muss zwingend auf den Term gewählt werden, auf welchem die orginale IP Adresse terminiert. In unserem Fall terminiert die IP Adresse 198.18.0.2 auf dem Interface wan1. Wenn das Interface auf ANY konfiguriert wird, wird auf jedem Interface für die IP Adresse 198.18.0.2 ein ARP Eintrag erstellt. Bei SD-WAN, PolicyRouting oder VPN Konfigurationen kann dies zu asynchronem Routing führen. im External IP address/range Feld wird die orginale IP Adresse eingetragen (in unserem Fall 198.18.0.2) im Mapped IP address/range Feld wird die zu erreichende IP Adresse eingetragen (in unserem Fall 172.16.1.100) Damit explizit nur der Port TCP 25 genattet wird, muss die Option Port Forwarding aktiviert werden. Jetzt kann das Protokoll angegeben werden. Wir wollen den Port 25 weiterleiten. Daher kann beim "External service port" der Wert 25 eingetragen werden. Wir wollten den Port auf 25 lassen daher wird beim "Map to port" auch 25 eingetragen. Wenn ich ein PAT einrichten will muss ich den entsprechenden Port eintragen. Mit OK wird das VIP Objekt erstellt und kann in der Policy von nun an verwendet werden.

Um eine neue Regel zu erstellen geht man über Policy & Objects -> IPv4 Policy -> Der Name muss einmalig sein. Der Name wird im Log, und auch auf dem FortiAnalyzer angezeigt. Dies kann bei der Störungs-Eingrenzung sehr hilfreich sein. Daher wird empfohlen jeweils einen aussagekräftigen Namen zu wählen. Beim Incoming Interface muss das Interface gewählt werden, auf welchem die orginal IP Adresse terminiert. In unserem Fall terminiert 198.18.0.2 auf dem wan1 Interface. Beim Outgoing Interface wird das Interface ausgewählt hinter welchem die genatete Adresse sich befinden. Bei uns liegt die 172.16.1.100 hinter dem dmz Interface. Bei Source kann das Objekt ALL oder das angelegte 0.0.0.0-0 Objekt ausgewählt werden. Es kann natürlich auch bei den Source Einschränkungen geben, dann einfach die entsprechenden IP Objekte erfassen und diese als Source auswählen. Bei der Destination wird jetzt das angelegte VIP Objekt ausgewählt. In unserem Fall wäre das dnat-198.18.0.2-tcp25 Die NAT Option deaktivieren. Wenn diese aktiviert bleibt, wird die Source IP Adresse des DMZ Interfaces genommen also ein Snat durchgeführt. Die UTM Features können bei Bedarf aktiviert werden. Damit der ganze Traffic geloggt wird, empfehle ich die Option "Log Allowed Traffic" auf "All Sessions" konfigurieren.

Konfiguration über die CLI:

Konfigurieren des VIP Objektes: # config firewall vip # edit "dnat-198.18.0.2-tcp25" # set comment "Destinations Nat 198.18.0.2-172.16.1.100 TCP25" # set extip 198.18.0.2 # set extintf "wan1" # set portforward enable # set color 21 # set mappedip "172.16.1.100" # set extport 25 # set mappedport 25 # next # end Konfigurieren des IP Adress-Objekt für 0.0.0.0/0: # config firewall address # edit net-all-0.0.0.0-0 # set comment "alle Netze 0.0.0.0" # set color 0 # next # end Konfigurieren der Policy über die CLI: # config firewall policy # edit 1 # set name "I_internet->MailSrv-tcp25" # set srcintf "wan1" # set dstintf "dmz" # set srcaddr "net-all-0.0.0.0-0" # set dstaddr "dnat-198.18.0.2-tcp25" # set action accept # set schedule "always" # set service "SMTP" # set logtraffic all # end

Wie wird ein DNAT konfiguriert, wenn die Central NAT Table verwendet wird ?

Wenn die Central NAT Table eingesetzt wird, so werden sämtliche NAT Funktionalitäten aus der Firewall Policy verbannt. Somit können in der Firewall Policy auch nicht mehr die üblichen VIP Objekte verwendet werden. Im Falle der aktiven Central NAT Table, wird das NAT über folgende zwei Menüpunkte gesteuert:

• Im Fall von DNAT: Policy & Objects > DNAT & Virtual IPs
• Im Fall von SNAT: Policy & Objects > Central SNAT

Für ein funktionierendes DNAT, kann unter DNAT & Virtual IPs ein gewöhnliches Objekt, analog zu einem VIP Objekt konfiguriert werden. In untenstehendem Beispiel möchten wir gerne den Port 80 TCP vom Internet an einen internen Webserver weiterrouten.

Dieses NAT wird sofort nach seiner Erstellung aktiv. Da auf der Firewall jedoch noch eine Firewallregel fehlt, welche den Traffic hierfür erlauben würde, funktioniert mit lediglich einem NAT noch nichts. Im zweiten Schritt erstellen wir nun die Firewall Regel. Da hier kein VIP Objekt mehr angewählt werden kann, wird als Destination Host die interne IP gewählt. Die DNAT-Konfiguration vom vorherigen Schritt sorgt in diesem Fall für die Transformation der IP - unabhängig von der Firewallregel.

Wieso soll ich ein VIP Objekt auf ein Interface konfigurieren?

Auf der FortiGate Firewall können Adressobjekte und virtuelle IPs (VIPs) mit einem Interface eingerichtet werden. Für Adressobjekte hat dies keine technische Relevanz - die Adressobjekte erscheinen einfach nur dann in der Policy, wenn das entsprechende Interface ausgewählt ist. Bei virtuellen IPs hat diese Einstellung jedoch eine Relevanz dafür, wie Verbindungen genattet werden. Das kann problematisch sein.

In allgemeinen Situationen hat man nur eine ISP-Verbindung, auf der ein Ziel NAT (DNAT) für eingehende Verbindungen eingerichtet werden soll. Das ist kein Problem, man kann das untrust Interface im virtuellen IP-Objekt auswählen. Wenn man zwei ISP-Verbindungen hat, zBsp eine gute (ISP1) und eine günstigere (ISP2), MÜSSEN die Interfaces im virtuellen IP-Objekt ausgewählt werden, wenn man auf eine fix IP-Adresse von ISP1 verweisst. Andernfalls wird diese auf allen ausgehenden Verbindungen verwendet, die dann mit dem ISP2 nicht funktionieren würden.

Fall 1:

Fall 2:
Das folgende Beispiel zeigt ein virtuelles IP-Objekt mit einer statischen IP-Adresse von 80.154.108.233 und einem falsch konfigurierten Interface von "Any". Bei ausgehenden Verbindungen zu ISP1 gibt es keine Probleme (Label 1 auf dem Screenshot). Aber nachdem eine Policyroute eingerichtet wurde, um den http-Verkehr an ISP2 weiterzuleiten, wird die gleiche Source-NAT-IP verwendet, die offensichtlich nicht funktioniert hat (Label 2). Nachdem das Interface im virtuellen IP-Objekt auf "wan1" gesetzt wurde, werden ausgehende Verbindungen zu ISP2 korrekt an das ausgehende Interface genattet, während ausgehende Verbindungen zu ISP1 weiterhin an die virtuelle IP-Adresse genattet werden (Label 3).

Wie kann ich die ARP Antwort auf einer virtuellen IP (VIP) deaktivieren?

Im Normallfall werden auf einer FortiGate erstellte VIP-Objekte auf ARP Anfragen antworten, damit angeschlossene Layer 2 Geräte die MAC-Adresse des Interface mit der virtuellen IP mitgeteilt werden.

Konfiguration über die CLI:

config firewall vip edit [VIP-OBJEKT-NAME] set arp-reply disable end Beispiel: config firewall vip edit dst-nat_198.18.250.2-10.10.20.2-http set arp-reply disable end

Cluster Mode

Radius

Active Directory / LDAP

Virtual Servers

Wie kann ich herausfinden, welche Cipher Suite die FortiGate unterstützt?

Folgendermassen kann herausgefunden werden, welche Cipher die FortiGate unterstützt:

Konfiguration über die CLI:

# config firewall vip # edit <vip-name> # set type server-load-balance # set server-type https # set ssl-algorithm custom # config ssl-cipher-suites # edit 1 # set cipher ? Es erscheint eine Liste: (hier gekürzt, ganze Liste in der Tabelle unten) # TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256 Cipher suite TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256. . . . # TLS-RSA-WITH-DES-CBC-SHA Cipher suite TLS-RSA-WITH-DES-CBC-SHA.

Folgende Cipher sind in der FortiOS Version 6.0.3 unterstützt:

Load Balancing

SSL-VPN

Was versteht man beim SSL-VPN unter einem Split-Tunnel?

Über die Option Split-Tunneling kann auf dem Client gesteuert werden, wie der Traffic ausserhalb des lokalen Netzwerkes gesteuert wird. Einfach gesagt, wohin geht der Internet-Traffic und der Traffic der Remote-Seite, welche ich erreichen will.

Wenn die Split-Tunnel Option nicht aktiviert ist, bedeutet dies, dass sämtlicher Traffic, welcher nicht im lokalen Netzwerk ist, über den VPN-Tunnel zur FortiGate geht. Dies gewährleistet, dass wenn man mit dem Office verbunden ist, sämtlicher Traffic analysiert und entsprechend verarbeitet werden kann. Der Firewall-Regel können UTM Features hinzugefügt werden, um eine höhere Sicherheit des gesamten Traffics zu gewährleisten. Damit auf dem Client das Internet funktioniert, muss zwingend auf der FortiGate eine Policy für das Internet erstellt werden. Schematisch sieht das so aus:

Wenn die Split-Tunnel Option eingeschalten ist, wird nur jener Traffic in den VPN-Tunnel gesendet, welcher geroutet wird. So wird der Internet Traffic über die Leitung des Clients direkt abgehandelt und die Netze, welche auf der Remote-Seite sind, werden über den VPN-Tunnel erreicht. Schematisch sieht dies so aus:

Wie kann ich beim SSL-VPN ein Bookmarker konfigurieren, welcher ein Verzeichnis mit dem Username enthält?

Es kann sein, dass ich einen Bookmaker im SSL-VPN zur Verfügung stellen möchte, welcher zum Beispiel auf ein persönliches Laufwerk des Users referenziert. Dies ist möglich, sofern das Verzeichnis gleich heisst wie der Username. Damit dies funktioniert muss ich eine Variable benutzen. Folgendermassen kann ich ein SMB/CIFS Laufwerk erreichen, welches einen Folder besitzt der auf den Username referenziert:

Bookmaker : <IP-Destination>/<verzeichnis>

Konfiguration über das WebGui:

Konfiguration über die CLI:

# config vpn ssl web portal # edit "full-access" # config bookmark-group # edit "gui-bookmarks" # config bookmarks # edit "%username% mit VPN SSO" # set apptype smb # set folder "192.168.1.2/data/users/%username%" # set sso auto # end # end # end

Es ist darauf zu achten, dass die Variable %username% in Kleinbuchstaben geschrieben wird. Weiter ist es wichtig, dass für die Trennung der Verzeichnisse Slash / und nicht Backslash \ verwendet werden.

Ergebnis:

Vielen Dank an Andi von Fortinet Schweiz für das testen

Wie kann ich beim SSL-VPN ein Bookmarker konfigurieren, dass dieser ein Zielsystem im Internet erreicht?

Wenn ich beim SSL-VPN Webportal Bookmarker konfiguriere, habe ich dich Möglichkeit, ein System in meinem Netz verfügbar zu machen. Jetzt möchte ich ein System über das Portal im Internet erreichen. Wie muss ich da vorgehen?

Damit ich das System im Internet erreiche, brauche ich eine neue Firewall Regel:

Wie muss SSL-VPN Bookmark konfiguriert werden, wenn der Zielserver nur über einen IPSec-Tunnel verfügbar ist?

Vorbemerkungen:
Ziel dieser Anleitung ist, eine Intranet Webseite, welche nur über einen IPSec Tunnel erreichbar sein soll, via ein Bookmark auf einem SSL-VPN Portal auf der Fortigate abzubilden.

Ausgangslage:

Annahmen:
Die folgende Anleitung basiert auf folgenden Voraussetzungen:

• Die Fortigate Firewall ist vollständig konfiguriert, hat Zugriff aufs Internet, LAN -> WAN Kommunikation ist bereits etabliert.
• Der IPSec Tunnel zwischen der Fortigate und dem Drittprodukt, hinter welchem sich der zu publizierende Webserver (in diesem Fall 172.16.1.10) befindet, wurde bereits erfolgreich etabliert, so dass eine Kommunikation zwischen den lokalen Clients (192.168.10.0/24) und den Remote Clients (172.16.1.0/24) möglich ist.

1. Erstellung SSL VPN Portal
Um das SSL VPN Portal zu erstellen, gehe auf der Weboberfläche unter VPN -> SSL-VPN Portals und erstelle mit Create New ein neues SSL VPN Portal:

2. Konfiguration der SSL VPN Einstellungen
Im nächsten Schritt wird definiert auf welchem Interface und auf welchem Port das User Portal überhaupt erreichbar sein sollen. Wir definieren welche Gruppen und Benutzer auf das Portal Zugriff haben sollen, und wir verknüpfen das in Schritt 1 erstellte Portal mit dem Default Portal. Wähle dazu den Menüpunkt VPN -> SSL-VPN Settings:

Somit haben wir die nötigen Einstellungen für das SSL VPN Portal vorgenommen.

3. Erstellung des IP Pools
Damit nun das SSL VPN Portal in der Lage ist, mit diesem Webserver zu kommunizieren benötigt es eine Firewall Regel, welche dies der Firewall erlaubt. Für diese Firewallregel benötigen wir einen IP Pool, damit die Source IP des Requests der Firewall dementsprechend angepasst wird. Diesen IP-Pool erstellen wir unter Policies & Objects -> IP Pools -> Create new

4. Firewall Regel
Zum Schluss wird noch die Firewall Regel erstellt, welche benötigt wird, damit eine Kommunikation zwischen dem Portal und dem Webserver erlaubt wird: Policy & Objects -> IPv4 Policy -> Create new

Ergebnis
Ein Berechtigter Benutzer ist nun in der Lage über die externe IP der Firewall auf das Userportal zuzugreifen. Auf diesem User Portal hat er ein Bookmark, welches wiederum auf einen Webserver zeigt, der nur via IPSec zugänglich ist. Mit einem Klick auf das Bookmark kann der User nun auf diesen Webserver zugreifen:

Wieso wird beim SSL-VPN im Webmodus viel Memory und CPU Leistung verbraucht?

Wir schauen uns an wieso im SSL-VPN Webmodus viele CPU Zyklen oder eine hohe Memory-Auslastung anfällt:

Bei der Verwendung von SSL-VPN im Web-Modus wird erwartet, dass viele CPU- und Speicherressourcen zugeteilt werden. Der SSL-VPN-Webmodus wurde als kurzfristige Ausweichlösung für den Fall konzipiert, dass der SSL-VPN-Tunnelmodus nicht verwendet werden kann.

Eine hohe Ressourcenzuweisung erfolgt aufgrund des "guacd"-Prozesses, welcher die konfigurierten Protokolle (zum Beispiel RDP oder HTTPS) in einen HTML5-Stream parsen muss, um sie dem Client zu präsentieren. Dieser Prozess der Konvertierung anderer Protokolle in Bilder ist sehr ressourcenintensiv in Bezug auf CPU und Memory.

Die Leistung des guacd-Prozesses kann man mit verschiedenen Befehlen beobachten:

• diagnose sys top
• diagnose sys top-summary

Mit diesen Befehlen, welche eine Auflistung aktiver Prozesse zeigen, erkennt man, dass die guacd-Prozesse sehr viel CPU oder Memory verbrauchen.

Schauen wir uns dass in einem Beispiel an:

Konfiguration über die CLI:

Beispiel basiert auf einer FortiGate-300E FortiOS v6.2.3, build1066,191218 (GA) Wenn wir den folgenden Output anschauen, können wir sehen, dass der gesammte Speicherverbrauch zum Zeitpunkt der Datenerfassung bei etwa 85% liegt: Memory: 8172056k total, 7010740k used (85.8%), 950196k free (11.6%), 211120k freeable (2.6%) Der Speicher an dieser Stelle ist hauptsächlich für den aktiven Prozess reserviert (5,4 von 8 GB). # diagnose hardware sysinfo Memory MemTotal: 8172056 kB MemFree: 951164 kB Buffers: 2204 kB Cached: 594892 kB SwapCached: 0 kB Active: 5561348 kB MemTotal: 8172056 kB 7980 MB MemFree: 949948 kB 927 MB Cached: 594636 kB 580 MB Active: 5564144 kB 5433 MB <--- guacd Prozess und andere Userland Prozesse wie UTM Features Inactive: 273572 kB 267 MB Shmem: 337036 kB 329 MB Slab: 423044 kB 413 MB Wenn wir uns die aktiven Prozesse ansehen, wird der meiste Speicher durch die Menge der laufenden guacd-Prozesse verbraucht. # diagnose sys top Run Time: 23 days, 21 hours and 51 minutes 28U, 0N, 20S, 36I, 0WA, 0HI, 16SI, 0ST; 7980T, 881F sslvpnd 23061 R 93.0 5.3 guacd 30982 R 47.0 0.9 guacd 30909 R 45.0 1.1 sslvpnd 23060 R 28.0 5.3 sslvpnd 23062 R 21.0 5.3 ipsengine 16797 S < 5.0 2.1 ipsengine 16795 S < 4.0 2.2 ipsengine 16796 S < 3.0 2.1 guacd 30006 S 1.0 1.1 guacd 30139 S 1.0 1.1 miglogd 245 S 1.0 0.5 guacd 30884 S 1.0 0.4 httpsd 30908 S 1.0 0.3 authd 255 S 1.0 0.2 ipshelper 16794 S < 0.0 3.0 guacd 30315 S 0.0 1.1 guacd 30127 S 0.0 1.1 guacd 30115 S 0.0 1.1 updated 204 S 0.0 1.1 guacd 30023 S 0.0 1.1 guacd 30724 S 0.0 1.1 guacd 30078 S 0.0 1.1 guacd 30298 S 0.0 1.1 guacd 30260 S 0.0 1.1 guacd 30672 S 0.0 1.1 guacd 30218 S 0.0 1.1 guacd 30179 S 0.0 1.1 guacd 30039 S 0.0 1.1 guacd 30568 S 0.0 1.1 guacd 30177 S 0.0 1.1 guacd 30351 S 0.0 1.1 guacd 30380 S 0.0 1.1 guacd 30355 S 0.0 1.1 guacd 30331 S 0.0 1.1 guacd 30128 S 0.0 1.0 guacd 30259 S 0.0 1.0 guacd 30300 S 0.0 1.0 guacd 30229 S 0.0 1.0 guacd 30040 S 0.0 1.0 guacd 30936 S 0.0 1.0 guacd 30545 S 0.0 1.0 guacd 30053 S 0.0 1.0 guacd 30444 S 0.0 1.0 guacd 30592 S 0.0 1.0 guacd 30940 S 0.0 1.0 ... Jeder Prozess weist standardmässig etwa 30 - 90 MB zu und unter Last bis gar zu 150 MB oder mehr. Wenn der Prozess unter Last steht wird grob geschätzt jedem Benutzer im SSL-VPN Webmodus etwa 100 MB Speicher zugewiesen. Diese Nutzung hängt vom Datentraffic, den zu verarbeiteten Protokolltypen, der Bildschirmauflösung des Clients und so weiter ab. Wenn man sich diese guacd-Prozesse genauer ansieht, stellt man fest, dass jeder einzelne Prozess etwa 30 - 120 MB zur Verfügung stellt. Die obere Ausgabe zeigt, dass jeder Prozess ca. 1 % zuweist, so dass dies etwa 80 MB beträgt. Die Anzahl von maximalen SSL-VPN Benutzer kann abhängig von der gesamten Memory Kapazität von der Fortigate variieren. Mann kann in etwa folgendes berechnen: Wenn jeder Kunde nur minimale Ressourcen von 50MB verwenden würde, und das System würde keinen weiteren Speicher zuweisen, dann gibt es immer noch eine Begrenzung der Gesammtzahl der SSL-VPN-Clients auf der FortiGate mit insgesamt 8000 MB Memory.

Wichtig zu wissen: Es handelst sich hier nicht um ein Speicherleck, sondern dieses Verhalten wird so erwartet. Die guacd-Prozesse benötigen lediglich Ressourcen, um den Datentraffic zu parsen und in HTML5 zu konvertieren. Daher sollte der Web-Modus wirklich nur als Workaround benutzt werden und wann immer möglich mit dem Tunnel Modus gearbeitet werden.

Der SSL-VPN-Webmodus wurde als Ausweichlösung für den Fall konzipiert, wenn man den Tunnelmodus nicht verwenden kann (z.Bsp Zugang von einem öffentlichen WiFi oder Hotels usw.)

Aufgrund der erforderlichen Ressourcen sollte er nicht in grossem Umfang eingesetzt werden, sondern eher dazu dienen, Clients kurzfristig schnell zum laufen zu bringen. Auf lange Sicht sollten diese SSL-Clients so konfiguriert werden, dass sie den SSL-VPN-Tunnelmodus verwenden. Man kann den WebModus zum Beispiel dafür benutzen, dass der FortiClient über den SSL-VPN-Webmodus heruntergeladen wird:

Lösungen zur Vermeidung einer hohen CPU- oder Memoryauslastung:

• Tunnel Modus verwenden
• Im Webmodus Anzahl User so weit wie möglich begrenzen!

Aufgrund der erforderlichen Ressourcen wird diese Funktion nicht in grossem Umfang oder langfristig genutzt. Langfristig sind diese SSL-Clients so konfiguriert, dass sie den SSL-VPN-Tunnelmodus verwenden. Beispielsweise können Remote-Benutzer den FortiClient über den SSL-VPN-Webmodus herunterladen und sich dann über den SSL-VPN-Tunnelmodus verbinden.

Hinweis: Es ist geplant, diese Designeinschränkung in zukünftigen FortiOS Versionen zu verbessern. (Stand 25.3.2020) Referenz: https://kb.fortinet.com/kb/documentLink.do?externalID=FD48014

IPSec VPN

Wie konfiguriere ich eine Site-to-Site IPSec VPN Verbindung von Grundauf?

ARTIKEL NOCH IN BEARBEITUNG und nicht VOLLSTÄNDIG

Ausgangslage

Wir wollen ein Site to Site VPN aufbauen von der Seite A zur Seite B. Nachfolgenden der Netzplan und die Parameter um den VPN Tunnel zu bilden:

	Seite A	Seite B
Netzplan
Lokal Netzwerk	192.168.2.0/24	172.16.16.0/24
Public IP	198.18.0.4	198.18.0.5
Authentication	Pre-shared Key definieren
Phase 1 Proposal	Alogrithms: AES256-SHA256 DH-Group 14
Phase 2 Proposal	Alogrithms: AES256-SHA512 / PFS-DH-Group 14

Schritt 1 - IPSec Tunnel konfigurieren

Konfiguration über das WebGui:

Gehe auf das Menu VPN->IPsec Tunnel-> Tunnel Name eingeben. Dieser Name wird zugleich der Name des vpn Subinterfaces sein, welches sich dann beim Ausgehenden Interface bildet. Daher sollte der Name gut gewählt werden, damit die Übersichtlichkeit gewährleistet wird. Achtung der Name kann nachträglich nicht mehr editiert werden. Um den VPN Wizard zu beenden bei Template Type auf Custom wählen mit Next zum nächsten Schritt Network: RemoteGateway auswählen (Static IP Address , Dialup User oder Dynamic DNS) Für unser Beispiel brauchen wir Static IP Address. Die IP Adresse von dem Remote VPN Gateway angeben, über welche wir die VPN Verbindung aufbauen wollen. In unserem Fall 198.18.0.5. Das ausgehende Interface wählen, auf welchem der Tunnel zum Default Gateway zeigt. (meistens ein WAN Interface.) NAT Traversal (Natoptionen wählen) DPD konfigurieren Authentication Wahlweise kann mit einem Preshared Key oder Zertifikaten gearbeitet werden. Bei Zertifikaten ist zu beachten, dass diese Gültig sind und das Datum noch nicht abgelaufen ist. In unserem Beispiel benutzen wir die Methode Pr-shared Key. Preshared-Key definieren und mit der Remote Seite abgleichen. Es muss auf beiden Seiten exakt der gleiche komplexe Schlüssel verwendet werden. IKE Methode wählen. Die FortiGate unterstützt die Methode IKEv1 und IKEv2. Für unser Beispiel wählen wir die Methode IKEv2 Phase 1 Proposal Encryption wählen. Wir wählen AES256 Authentication wählen. Wir benutzen AES256 Für die temporäre Verschlüsselung um den effektiven Key zu tauschen, benutzen wir die Diffie-Hellmann Group Methode. Für unser Beispiel wählen wir die DH-Group 14. Die Key Lifetime in Sekunden belassen wir so. Achtung wen auf einen Drittanbieter Gerät ein VPN aufgebaut wird, muss dieser Parameter oft angepasst werden. Phase 2 konfigurieren Es können mehrere Selektoren Pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateway die Selektoren identisch sein müssen. Definiere einen Namen per Selektor und konfiguriere das Lokale und das Remote Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir Local Address 192.168.2.0/24 und Remote Address 172.16.16.0/24 über Advanced kann man die Phase 2 Proposal per Selektor definieren. Encryption wählen. Wir benutzen AES256. Authentication definieren. Wir wählen SHA512. Enable Replay Detection einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn verschlüsselte Pakete ausser Betrieb sind, werden sie von der FortiGate verworfen. Perfect Forward Secrecy einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkeys abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Keylife der Phase 2 abläuft, wodurch jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden. Phase 2 konfigurieren Es können mehrere Selektoren Pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateway die Selektoren identisch sein müssen. Definiere einen Namen per Selektor und konfiguriere das Lokale und das Remote Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir Local Address 192.168.2.0/24 und Remote Address 172.16.16.0/24 über Advanced kann man die Phase 2 Proposal per Selektor definieren. Encryption wählen. Wir benutzen AES256. Authentication definieren. Wir wählen SHA512. Enable Replay Detection einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn verschlüsselte Pakete ausser Betrieb sind, werden sie von der FortiGate verworfen. Perfect Forward Secrecy einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkeys abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Keylife der Phase 2 abläuft, wodurch jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden.

Schritt 2 - Routen konfigurieren

Konfiguration über das WebGui:

Damit die FortiGate die Remote Netze für den VPN Tunnel kennt, muss eine Route auf das Tunnel Interface eingerichtet werden. Die Route kann folgendermassen konfiguriert werden: Menu Network -> Static Routes -> Bei Destination muss 'Subnet gewählt werden. Das remote Netz (in userem Fall 172.16.16.0/24) eingeben Interface ist das Tunnel Interface (dieses Interface wird automatisch angelegt, wenn der IPSec Tunnel konfiguriert wird.) In unserem Fall heisst das Interface vpn_to_SiteB Administrative Distanz kann auf 10 bleiben. Kommentare schaffen Klarheit mit OK wird die statische Route eingerichtet. Jetzt muss noch die Blackhole Route eingerichtet werden. Was eine Blackhole Route ist, kann hier entnommen werden: Was ist eine Blackhole-Route? Remote Netz eintragen Interface Blackhole auswählen die Distanz muss höher sein, als die der regulären Route. Wir empfehlen den Wert 254. Kommentare schaffen Klarheit mit OK wird die Route eingerichtet. Nun sollten beide Routen in der Übersicht ersichtlich sein.

Schritt 3 - Policy Einrichten

Konfiguration über das WebGui:

Damit der Traffic durch den VPN Tunnel fliesst, muss mindestens in eine Richtung eine Firewall Regel konfiguriert werden. Dabei wird das Tunnel Interface und das Interface für den Lokalen Traffic untereinander freigeschalten: Menu Policy & Objects -> IPv4 Policy -> Für eingehenden Traffic von der Remote Seite zur Lokalen Seite muss als Source das VPN Interface gewählt werden und als Destination das interne Interface. Source Adresse ist das Remote Netz der Seite B Destinations Netz ist das zu erreichende Netz auf der lokalen Seite bei bedarf können die Services eingeschränkt werden NAT Option deaktivieren UTM Feature bei Bedarf aktivieren mit OK wird die Regel erstellt Damit der Traffic von beiden Seiten her funktioniert, muss ich noch eine zweite Policy einrichten. Diese kann analog der ersten Policy eingerichtet werden, einfach die Source und Destinations Interfaces und Adressobjekte tauschen. Alternativ kann auch die neu eingerichtete Policy mit rechtsklick angeklickt werden und im Dropdown Menu Clone Reverse gewählt werden. In der Policy muss jetzt dennoch was kleines konfiguriert werden: Feld für den Policy Namen definieren Die Policy muss aktiviert werden mit OK wird die Reverse Policy eingerichtet. Es wird empfohlen die Policies für Site to Site VPN im Regelwerk oben anzuordnen.

IPSEC Phase 2 - Was bedeutet die Option Auto-Negotiate?

Ausgangslage:
Ein IPSec-VPN erzeugt eine verschlüsselte Sicherheitsassoziation (SA) zwischen zwei Peers. Dies geschieht in zwei Phasen. Standardmässig wird die SA der Phase 2 erst dann ausgehandelt, wenn ein Peer versucht Daten zu senden.

Funktion:
Wenn die auto-negotiate Funktion aktiviert ist, wird die Verhandlung der SA der Phase 2 automatisch eingeleitet. Dabei wird dieser Vorgang alle fünf Sekunden wiederholt, bis die SA eingerichtet ist. Die Auto-Negotiate-Funktion erkennt, ob der Tunnel jemals abreisst und versucht die SA wieder herzustellen. Die Keepalive-Funktion ist jedoch eine bessere Möglichkeit den VPN aufrechtzuerhalten.

Wann soll ich die Auto-Negotiate Funktion verwenden?
Man kann die auto-negotiate Funktion aktivieren, wenn auf einer Seite des VPN ein Einwahl-Peer ist. In dieser Konfiguration kann nur der Einwahl-Peer den Tunnel aufbauen, da der andere Peer die Gateway-Adresse der Einwahl-Peer nicht kennen kann. Die Aktivierung von Auto-Negotiate beim Einwahl-Peer stellt sicher, dass der VPN-Tunnel für Benutzer hinter dem anderen Peer zur Einleitung von Datentraffic verfügbar ist.

So konfiguriere ich die Auto-Negotiate Funktion:

# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set auto-negotiate enable
# end

IPSEC Phase 2 - Was bedeutet die Option Keepalive?

Ausgangslage:
Die Sicherheitsassoziation (SA) der Phase 2 hat eine fixe Dauer. Wenn im VPN Traffic stattfindet, während die SA kurz vor dem Ablauf steht, wird eine neue SA ausgehandelt. So wechselt das VPN ohne Unterbruch zu einer neuen SA. Wenn es kein Traffic gibt, läuft die SA aus, und der VPN-Tunnel wird unterbrochen.

Funktion:
Die Keepalive-Option stellt sicher, dass eine neue SA ausgehandelt wird, auch wenn kein Datentraffic vorhanden ist, so dass der VPN-Tunnel aufrecht erhalten bleibt.

So konfiguriere ich die Keepalive Option in der Phase 2:

# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set keepalive enable
# end

Kann ich sowohl Auto-Negotiate als auch Keepalive verwenden?
Ja. Auto-Negotiate und Keepalive funktionieren sehr gut zusammen. Auto-Negotiate startet das VPN und Keepalive sorgt dafür dass der VPN-Tunnel aufrecht erhalten bleibt.

Wie kann eine L2TP over IPSec Verbindung erstellt werden?

In den meisten Fällen ist eine Client2Side Verbindung mit anderen Technologien, wie beispielsweise dem FortiClient oder dem Cisco VPN Client, aus Performance- und Sicherheitsgründen zu bevorzugen. Bei einer C2S Verbindung via SSL oder IPSec besteht ausserdem die Möglichkeit, Split Tunneling zu konfigurieren. Bei einem L2TP VPN muss immer der gesamte Datenverkehr über den Tunnel gelenkt werden. Der Aufbau einer C2S Verbindung mit einer Fortigate ist jedoch dann sinnvoll, wenn es sich bei den Clientbetriebssystemen um ein Windows Betriebssystem handelt, auf welchem zwingend keine Software von Drittherstellern installiert werden darf. Eine L2TP IPSec Verbindung kann unter Windows nämlich mit den Ressourcen hergestellt werden.

Unter FortiOS 6.0 kann ein L2TP over IPSec Client2Side Tunnel nur teilweise im GUI konfiguriert werden. Da gewisse Konfigurationsschritte in der CLI vorgenommen werden müssen, basiert die folgende Anleitung vollumfänglich auf CLI-Befehlen.

L2TP over IPSec basiert immer auf einer Benutzerauthentifizierung. Aus diesem Grund benötigen wir einen lokalen oder einen Remotebenutzer, welchem wir die entsprechenden Rechte zuweisen können.

	config user local
		edit "mytestuser"
			set type password
			set email-to "mytestuser@test.com"
			set passwd meinpasswort
		next

Dieser Benutzer wiederum wird einer Gruppe zugewiesen, welche später für den L2TP Zugriff berechtigt wird.

	config user group
		edit "l2tpgroup"
			set member "mytestuser"
		next
	end

Nun benötigt es einige L2TP-spezifische Einstellungen (nicht im GUI konfigurierbar). Mit SIP und EIP definieren wir den IP-Range der IP Adressen, welche für die L2TP Clients zur Verfügung stehen sollen. Ausserdem definieren wir hier die Benutzergruppe, welcher Zugriff via L2TP gewährt werden soll.

	config vpn l2tp
		set sip 10.20.100.1
		set eip 10.20.100.254
		set status enable
		set usrgrp "l2tpgroup"
	end

Da wir später in der Firewallpolicy mit diesen Source IP Adressen eine Firewallregel erstellen müssen, kreieren wir als nächstes gerade ein entsprechendes Adressobjekt.

	config firewall address
		edit "net_vpn_10.20.100.0/24"
			set subnet 10.20.100.0 255.255.255.0
		next
	end

Nun kann die Phase1 des IPSec Tunnels erstellt werden. Wichtig ist hier, dass diese vom Typ "dynamic" ist, als Peertype jede IP Adresse zulässt und die Proposals mit denen aus dem Beispiel übereinstimmen.

	config vpn ipsec phase1
		edit "l2tp-p1"
			set type dynamic
			set interface "wan1"
			set peertype any
			set proposal 3des-sha1 aes256-md5
			set dhgrp 2
			set psksecret meinepsk
			set dpd-retryinterval 60
		next
	end

Auf dieser Phase1 kann anschliessend die Konfiguration für Phase2 aufgebaut werden. Als Quickmode Selector kann 0.0.0.0/0 gewählt werden (in der CLI per Default so). Auch hier muss darauf geachtet werden, dass PFS deaktiviert wird, und dass als Encapsulation Mode der "Tunnel Mode" gewählt wird.

	config vpn ipsec phase2
		edit "l2tp-p2"
			set phase1name "l2tp-p1"
			set proposal 3des-sha1 aes192-sha1 aes256-md5
			set pfs disable
			set encapsulation transport-mode
			set keylifeseconds 86400
		next
	end

Bei einem L2TP over IPSec Tunnel handelt es sich um einen policybasierten IPSec Tunnel. Diese Art von Tunnel bedarf etwas spezielle Firewallregel je für ein- und ausgehenden Traffic. Die ausgehende Firewallregel hat wie unten veranschaulicht auszusehen. Wichtig hierbei ist, dass die Action auf "ipsec" gestellt wird, und anschliessend das entsprechende IPSEC Tunnel Interface gewählt wird.

	config firewall policy
		edit 3
			set name "2l2tp"
			set srcintf "lan1"
			set dstintf "wan1"
			set srcaddr "net_int_192.168.2.0/24"
			set dstaddr "net_vpn_10.20.100.0/24"
			set action ipsec
			set schedule "always"
			set service "ALL"
			set inbound enable
			set vpntunnel "l2tp-p1"
		next
		edit 6
			set name "l2tpincoming"
			set srcintf "wan1"
			set dstintf "lan1"
			set srcaddr "net_vpn_10.20.100.0/24"
			set dstaddr "net_int_192.168.2.0/24"
			set action accept
			set schedule "always"
			set service "ALL"
		next
	end

Somit wurde auf Seiten der Fortigate die Konfiguration für das L2TP over IPSec VPN fertiggestellt.

Ein Windows-10 Client wird wie folgt konfiguriert, damit er eine Verbindung via L2TP aufbauen kann:

Wie konfiguriere ich ein SSL-VPN Portal, welches über ein Site-to-Site VPN ein ServerLAN auf der Remote Seite erreichen soll?

Problemstellung:

Es besteht eine Site to Site VPN Verbindung zwischen der Site 1 zur Site 2. Wir haben auf der Site 2 einen Server mit der IP Adresse 172.16.16.20. Nun soll es möglich sein, über eine SSL-VPN Verbindung auf der Site 1 auch auf den Server 172.16.16.20 zuzugreiffen. Das heisst, wir müssen auf der Site 1 ein SSL-VPN konfigurieren und danach dafür sorgen, dass der Traffic weiter, durch den bestehenden S2S Tunnel auf den Server 172.16.16.20 geroutet wird. Das unten dokumentierte Szenario basiert auf dem Umstand, dass auf der Site 1 und Site 2 jeweils eine Fortigate Firewall im Einsatz ist. Ein Teil der untenstehenden Anleitung kann jedoch auch dann übernommen werden, wenn auf Site 2 eine Firewall eines Drittherstellers zum Einsatz kommt, oder wenn sich Site 2 in einer Public Cloud wie Azure oder AWS befindet. Die generischen, herstellerneutralen Schritte, um ein solches Szenario zu konfigurieren sind immer wie folgt:

1. Firewall Site 2: Ändern sie die IPs des SSL-VPN-Pool auf einen IP-Range, damit der IP-Pool der Site 2 nicht mit dem Pool von Site 1 kollidiert.
2. Firewall Site 1: Konfigurieren Sie in der SSL VPN Client2Site Konfiguration die Split Networks so, dass das entsprechende Netz von Site 2 (172.16.16.0/24) über den SSL VPN Tunnel geroutet wird.
3. Firewall Site 1 und Site 2: Konfigurieren Sie die IPSec Einstellung des entsprechenden Tunnels so, dass sich das SSL-VPN-Client2Site Netz von Site 1 (10.10.10.1/24)) auf beiden Seiten entweder in der Local oder in den Remote Networks befindet. Somit werden diese IPs über den IPSec Tunnel überhaupt erst zugelassen.
4. Firewall Site 2: Erstellen Sie eine statische Route damit das SSL VPN C2S Netz von Site 1 via IPSec Tunnel an Site 1 übermittelt wird.
5. Firewall Site 1 + 2: Passen Sie die entsprechenden Firewallregeln an, damit eine Kommunikation möglich ist.

Lösungsansatz:

Die untenstehende Anleitung basiert auf folgedem Netzwerkschema:

Konfiguration über das WebGui: Die Konfiguration basiert auf dem FortiOS 6.0.2:

# config user local
# edit "user1"                    -> Username definieren
# set type password
# set passwd "user1"              -> Passwort definieren 
# end

# config user group
# edit "gr-user-ssl-vpn"
# set member "user1"
# end

# config firewall address
# edit "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set type iprange
# set color 18
# set start-ip 10.10.10.2
# set end-ip 10.10.10.254
# end

# config vpn ssl web portal
# edit "dummy-portal"
# end
# end

# config firewall address
# edit "net-vpn-172.16.16.0-24"
# set color 10
# set allow-routing enable
# set subnet 172.16.16.0 255.255.255.0
# end

# config vpn ssl settings
# set tunnel-ip-pools "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set port 443
# set source-interface "wan1"
# set source-address "all"
# set default-portal "dummy-portal"
# config authentication-rule
# edit 1
# set groups "gr-user-ssl-vpn"
# set portal "tunnel-access"
# next
# end
# end

# config vpn ipsec phase2-interface
# edit "Site1_to_Site2"                                             -> Name des Tunnels
# edit "site1-sslvpn-site2"                                         -> Name des Selektors definieren
# set phase1name "Site1_to_Site2"
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305   -> Gewünschte Verschlüsslungsalgorithmen konfigurieren 
# set dhgrp 14
# set src-subnet 10.10.10.0 255.255.255.0                           -> Source Netzwerk: SSL-VPN IP-Pool 
# set dst-subnet 172.16.16.0 255.255.255.0                          -> Destinations Netzwerk (DMZ ServerLan)
# end

# config vpn ipsec phase2-interface
# edit "site2-site1-sslvpn"                                         -> Name des Tunnels
# set phase1name "site2-site1"                                      -> Name des Selektors definieren
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305   -> Gewünschte Verschlüsslungsalgorithmen konfigurieren 
# set dhgrp 14                                   
# set src-subnet 172.16.16.0 255.255.255.0                          -> Source Netzwerk (DMZ ServerLan)
# set dst-subnet 10.10.10.0 255.255.255.0                           -> SSL-VPN IP-Pool 
# next
# end

# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set device "site2-site1"         -> IPSEC Interface vom Tunnel Site 1 <-> Site 2 eintragen
# set comment "sslvpn site1"
# end

# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set distance 254                 -> Distanz muss hier höher sein, als in der regulären Route!
# set comment "Blackhole Route"
# set blackhole enable
# end

# config firewall address
# edit "net-172.16.16.0-24"
# set color 2
# set subnet 172.16.16.0 255.255.255.0
# next
# edit "vpn-remote-10.10.10.0-24"
# set color 10
# set subnet 10.10.10.0 255.255.255.0
# end

# config firewall policy                  
# edit [intiger]                          
# set name "I_sslVPN-Site1_Site2"         
# set srcintf "site2-site1"               -> Source Interface ist das IPSEC-VPN Interface
# set dstintf "internal1"                 -> Destinations Interface ist das DMZ ServerLan Interface
# set srcaddr "vpn-remote-10.10.10.0-24"  -> Source IP: SSL-VPN IP-Pool 
# set dstaddr "net-172.16.16.0-24"        -> Destination IP: Netzwerk des DMZ ServerLan
# set action accept
# set status enable
# set schedule "always"
# set service "ALL"
# set logtraffic all
# end

Wenn die Anmeldung erfolgreich durchgeführt werden konnte, wird der Tunnel aufgebaut. Wir sehen die IP Adresse, welche von der Site 1 dem Client zugewiesen wurde (10.10.10.2)

Welche Faktoren sind bei einer VPN Geschwindigkeitsmessung relevant?

Wenn zwischen zwei Standorten ein IPSec Tunnel erstellt wird, so ist der Datendurchsatz zwischen den zwei Standorten von unterschiedlichen Faktoren abhängig. Häufig anzutreffen ist inzwischen der Umstand, dass an beiden Standorten eine synchrone Gigabit Internetverbindung vorhanden ist, und dass nun die Erwartungshaltung besteht, dass zwischen diesen beiden Standorten eine VPN-Verbindung mit annähernd Gigabit Geschwindigkeit möglich sein wird. In diesem Szenario spielt es jedoch auch eine grosse Rolle, ob der Provider (oder die mehreren Provider) dieses Gigabit auch durch seinen Backbone gewährleistet, was meistens nicht der Fall ist.

Der folgende Artikel hilft, den maximal technisch möglichen Durchsatz zwischen zwei Standorten zu ermitteln.

Folgende Faktoren sind relevant um zu bestimmen, welcher Durchsatz maximal überhaupt möglich ist:

* Die Durchsätze können den Datenblättern entnommen werden:
1. Datenblatt Fortinet Verwende den Wert IPsec VPN Throughput
2. Datenblatt Sophos Verwende den Durchsatz VPN AES Realworld (Mbps) multiple tunnels/cores

# Gemessener Durchsatz zwischen den zwei Standorten
Eine gültige Messung zwischen den Standorten hilft festzustellen welcher Durchsatz der Provider durch seinen Backbone gewährleistet. Dieser Durchsatzwert kann natürlich je nach Tageszeit und allgemeiner Netzbelastung erheblich variieren. Eine Messung zu dessen Erhebung kann wie folgt vorgenommen werden:
1. Laden Sie auf https://speed.hetzner.de/ eines der zur verfügungstehenden Testfiles herunter.
2. Kopieren Sie dieses Testfile auf einen Webserver an einem der beiden Standorte
3. Publizieren Sie diesen Webserver via DNAT über die Firewall ins Internet (Anleitung hierzu: Sophos, Fortinet)
4. Laden Sie die Datei vom gegenüberliegenden Standort über das Internet (und nicht über den IPSec Tunnel) herunter, und messen sie den erreichten Durchsatz.

Maximal zu erwartender Durchsatz insgesamt:

• Der maximale, technisch mögliche Durchsatz durch einen VPN Tunnel ergibt sich aus dem kleinsten Wert der oben erhobenen Durchsatzwerte in den Punkten 1.2, 2.2, 2.3 und 3.1.
• Die erhobenen Messwerte in den Punkten 3.2 und 3.3 haben keinen direkten Einfluss auf den maximal möglichen Durchsatz, sind jedoch relevant wenn es um Messgrössen wie Delay oder Jitter geht.

Wie kann ich eine gültige VPN Performancemessung erstellen?

Nachdem im Artikel Welche Faktoren sind bei einer VPN Geschwindigkeitsmessung relevant der maximal erreichbare technische Durchsatz ermittelt wurde, möchte man nun dazu übergehen zu messen, ob dieser Durchsatz in der Praxis auch erreicht werden kann. Dabei gibt es ein paar Richtlinien zu beachten. Das altbekannte Sprichwort Wer misst, misst Mist! ist in diesem Fall leider oftmals allgegenwärtig.

Tools, welche beispielsweise via SMB eine Datei auf einen Fileshare kopieren, und dann den erreichten Durchsatz messen, messen nicht unbedingt den VPN Durchsatz, sondern unter Umständen viel eher:

1. Die Festplattengeschwindigkeit des Zielsystems
2. Die Geschwindigkeit des SMB Protokolls
3. Die Geschwindigkeit der onRead Antivirenüberprüfung des Zielsystems
4. Die Geschwindigkeit des DNS-Resolvers

Um solche Messfehler zu vermeiden, müssen folgende Richtlinien bei einer Messung unbedingt beachtet werden:

• Eine Messung findet zwischen zwei Messsystemen statt, auf welchen zum Zeitpunkt der Messung kein anderer Traffic und keine anderen Tasks verarbeitet wird.
• Der gesammte VPN Tunnel wird zum Zeitpunkt der Messung nicht von irgendwelchen anderen Systemen in Anspruch genommen.
• Die beiden Internetleitungen werden zum Zeitpunkt der Messung nicht von irgendwelchen anderen Systemen belegt.
• Die beiden Messsysteme befinden sich auf beiden Seiten direkt hinter der Firewall.
• Als Messtool wird IPerf3 eingesetzt. Das Tool kann von der Iperf Projektseite inklusive Bedienungsanleitung heruntergeladen werden.

Messaufbau

Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Sophos UTM Firewall?

Ausgangslage:

In diesem Artikel wird beschrieben, wie ein Site-to-Site VPN zwischen einer FortiGate und einer Sophos UTM Firewall konfiguriert werden kann. Dieses Setup wurde unter folgenden Bedingungen aufgebaut und durchgetestet:

	Seite FortiGate	Seite Sophos UTM
Netzplan
Hardware	FortiGate 300D	Sophos UTM/SG
Software	6.4.2 build1723	V9.703-3
Lokal Netzwerk	198.18.0.0/24	192.168.111.0/24
Public IP	146.XX.XX.66	194.XX.XX.111
Authentication	Pre-shared Key definieren
IKE Version	Version 1 (UTM unterstützt IKE Version 2 nicht)
Phase 1 Proposal	Alogrithms: AES256-SHA256 DH-Group 5
Phase 1 Key Lifetime	86400 Sekunden
Phase 2 Proposal	Alogrithms: AES256-SHA512 / PFS-DH-Group 5
Phase 2 Key Lifetime	43200 Sekunden

Konfiguration FortiGate 300D:

Konfiguration über das WebGUI:

Konfigurieren des VPN-Tunnels: Netzwerkeinstellungen: VPN-Tunnel Name definieren (mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet) Bei Remote Gateway den Typ auf Static IP Address stellen Im Feld IP Address wird die Public IP Adresse der Sophos UTM Firewall eingetragen (194.XX.XX.111) Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet NAT Traversal je nach Situation aktivieren oder nicht aktivieren Authentication konfigurieren: Method Auf Pr-shared Key einstellen. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der SOPHOS-UTM dann auch benötigt) Wir müssen die IKE Version 1 auswählen, da die Sophos UTM Modelle den Standard IKE Version 2 nicht unterstützten. Phase 1 Parameter konfigurieren: Encryption auf AES256 und Authentication auf SHA256 konfigurieren Alle anderen Encryption und authentication Parameter entfernen Die Diffie-Hellmann Group wird auf 5 eingestellt Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen (dies muss unbedingt auf der Gegenseite gleich definiert werden) Phase 2 Selektoren konfigurieren: Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt. In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.111.0/24 konfiguriert. Name in diesem Feld kann ein Name für den Selektor definiert werden (Überblick bewahren) Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren Remote Address Das Netz welches wir hinter der Sophos UTM Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.111.0/24 konfigurieren Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen (auf das X klicken) Perfect Forward Secrecy (PFS) aktivieren Die Difie-Hellman Group auf 14 einstellen Key Lifetime auf Second stellen und dann 43200 Sekunden einstellen (dies muss unbedingt auf der Gegenseite gleich definiert werden)

Konfigurieren der Routen: Auf der FortiGate müssen die Netze der Remote Seite in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu in folgendem Artikel: Was ist eine Blackhole Route? Die Routen werden wie folgt konfiguriert: Menu: Network -> static Routes ->

Konfigurieren der Policies: Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (gw-sophos) und dem internen Interface (Port1). Menu : Policy & Objects -> IPv4 Policy ->

Konfiguration über die CLI:

VPN Phase 1 konfigurieren: config vpn ipsec phase1-interface edit "[VPN_NAME]" set interface "[WAN-INTERFACE]" set peertype any set net-device disable set proposal aes256-sha256 set comments "VPN zu Sophos UTM" set dhgrp 5 set nattraversal disable set remote-gw [PUBLIC_IP_SOPHOS-UTM] set psksecret [PRESHARED-KEY] next end VPN Phase 2 konfigurieren: config vpn ipsec phase2-interface edit "p2_[VPN_NAME]" set phase1name "[VPN_NAME]" set proposal aes256-sha256 set dhgrp 5 set keepalive enable set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE] set dst-subnet [REMOTE NETZWERK NETZMASKE] next end Routen konfigurieren: config router static edit 2 set dst [REMOTE NETZWERK NETZMASKE] set device "[VPN_NAME]" set comment "Route Remote Netz ALSO DE - UTM Sophos " next edit 3 set dst [REMOTE NETZWERK NETZMASKE] set comment "Blackhole [REMOTE NETZWERK NETZMASKE]" set distance 254 set blackhole enable next end Adress Objekte für Policies konfigurieren: config firewall address edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set color 10 set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE] next edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set color 10 set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE] next end Policy konfigurieren: config firewall policy edit 1 set name "O_vpn-sophosUTM" set srcintf "[INTERNES_INTERFACE]" set dstintf "[VPN_NAME]" set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 2 set name "I__vpn-sophosUTM" set srcintf "[VPN_NAME]" set dstintf "[INTERNES_INTERFACE]" set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set action accept set schedule "always" set service "ALL" set logtraffic all next end

Konfiguration auf der Sophos UTM:

Konfiguration über das WebGUI:

Auf der Sophos UTM Firewall wird ein VPN wie folgt aufgebaut: Connections: Hier wird der lokale Teil konfiguriert. Das lokale Netzwerk, das Interface welches als Listener definiert wird (meistens ein WAN Interface) Remote Gateway: In diesem Abschnitt werden die Remote VPN Gateway Parameter konfiguriert. In unserem Fall ist dies die pulblic IP-Adresse der FortiGate und das Remote Netzwerk welches wir hinter der FortiGate erreichen wollen. Policy: werden die Verschlüsselungs-Parameter konfiguriert.

Neuen Tunnel erstellen: Unter dem Menü Site-to-Site VPN auf IPsec gehen Um den neuen Tunnel zu erstellen New IPsec Connection... anwählen

Remote Gateway: Name im Feld Name?? definieren Gateway type -> wie der Tunnel aufgebaut werden soll (Sophos UTM als Initator oder als Responder) konfigurieren. Wir haben beide Varianten ausprobiert. Es funktioniert sogar ohne dass auf der FortiGate etwas verändert werden muss. Authentcation type haben wir mit einem Preshared Key konfiguriert. Dieser muss natürlich auf der FortiGate deckungsgleich eingegeben werden. VPN ID type soll auf IP address gelassen werden (die FortiGate interpretiert die IP Adresse der Sophos UTM als ID) Im Feld Remote networks werden die Netze auf der Gegenseite definiert, welche aus dem Sophos Netzwerk erreicht werden sollen. ACHTUNG: die Sophos unterstützt 0.0.0.0/0 nicht (was auch gut so ist). Mittels dem Icon kann ein neues Remote Netzwerk erstellt werden. Alles abspeichern und dann kann das erstellte Remote Gateway Profil unter Connections ausgewählt werden.

Policy: Unter new IPsec Policy kann eine neue VPN Policy konfiguriert werden Name In diesem Feld wird tatsächlich der Name der Policy angegeben (Policy hat auf der Sophos eine andere Bedeutung als dies auf der FortiGate der Fall ist) Die entsprechenden Phase 1 und Phase 2 Parameter deckungsgleich analog jener der FortiGate definieren. Achtung: die FortiGate und die Sophos UTM haben nicht dieselben default Life Time in den entsprechenden Phasen. Diese sind undbedingt aufeinander abzustimmen. Mit dem Button Save wird die neue Policy mit den definierten Name erstellt und kann dann im Menü 'Connections ausgewählt werden.

Connections: Im Menü Connections jetzt die angelegten Profile auswählen: Remote Gateway das vorher konfigurierte Profil aus Remote Gateway anwählen unter Policy die VPN Policy auswählen, welche vorher definiert wurde Local interface Hier wird definiert auf welchem Interface der VPN-Tunnel auf der Sophos terminiert (in unserem Fall External) Lokale Netzwerke auswählen welche für das VPN vorgesehen sind die Option Automatic firewall rules aktivieren, damit die Sophos beim speichern automatisch die Firewall-Regeln gemäss VPN-Definition im Regelwerk erstellt wird Mit Save den IPSec-Tunnel erstellen und dann testen

Erfolgskontrolle:

VPN-Monitore:

VPN Monitor - FortiGate: VPN Monitor - Sophos UTM:

Anleitung als PDF:

• Datei:HowTo VPN FortiGate-SophosUTM.pdf

Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Sophos XG Firewall?

Artikel noch im Aufbau , bitte um Geduld

Ausgangslage:

	Seite FortiGate	Seite Sophos XG
Netzplan
Hardware	FortiGate 300D	Sophos XG 210
Software	6.4.2 build1723	V18.0.1 MR1
Lokal Netzwerk	198.18.0.0/24	192.168.111.0/24
Public IP	146.XX.XX.66	194.XX.XX.111
Authentication	Pre-shared Key definieren
IKE Version	Version 2
Phase 1 Proposal	Algorithmus: AES256-SHA256 DH-Group 5
Phase 1 Key Lifetime	86400 Sekunden
Phase 2 Proposal	Algorithmus: AES256-SHA512 / PFS-DH-Group 5
Phase 2 Key Lifetime	43200 Sekunden

Konfiguration FortiGate

Konfiguration über das WebGui:

Konfigurieren des VPN Tunnels: Netzwerkeinstellungen: VPN Tunnel Name definieren. (Mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet.) Bei Remote Gateway den Typ auf Static IP Address stellen. Im Feld IP Address wird die Public IP Adresse der Sophos XG Firewall eingetragen (194.XX.XX.112) Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet. NAT Traversal je nach Situation aktivieren oder nicht aktivieren. Authentication konfigurieren: Method Auf Pr-shared Key einstellen. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Sophos XG dann auch benötigt) Wir benutzen die IKE Version 2 Phase 1 Parameter konfigurieren: Encryption auf AES256 und Authentication auf SHA256 konfigurieren. Alle anderen Encryption und Authentications Parameter entfernen. Die Diffie-Hellmann Group wird auf 5 eingestellt. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen. (Dies muss unbedingt mit der Gegenseite gleich definiert werden) Phase 2 Selektoren konfigurieren: Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt. In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.12.0/24 konfiguriert. Name in diesem Feld kann ein Name für den Selektor definiert werden (Übersicht wahren) Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren. Remote Address Das Netz welches wir hinter der Sophos XG Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.12.0/24 konfigurieren. Unter dem Menupunkt Advanced können die Phase 2 Proposal konfiguriert werden. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen. (Auf das X klicken) Perfect Forward Secrecy (PFS) aktivieren Die Difie-Hellman Group auf 14 einstellen. Key Lifetime auf Second stellen und dann 43200 Sekunden einstellen (Dies muss unbedingt mit der Gegenseite gleich definiert werden)

Konfigurieren der Routen: Auf der FortiGate müssen die Netze der Remote Seite in den IPSec Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die Default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route? Die Routen werden folgendermassen konfiguriert: Menu: Network -> Static Routes ->

Konfigurieren der Policies: Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bi-direktional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem vpn Tunnel Interface (gw-sophos) und dem internen Interface (port1). Menu : Policy & Objects -> IPv4 Policy ->

Konfiguration über die CLI:

VPN Phase 1 konfigurieren: config vpn ipsec phase1-interface edit "[VPN_NAME]" set interface "[WAN-INTERFACE]" set peertype any set net-device disable set proposal aes256-sha256 set comments "VPN zu Sophos XG" set dhgrp 5 set nattraversal disable set remote-gw [PUBLIC_IP_SOPHOS-XG] set psksecret [PRESHARED-KEY] next end VPN Phase 2 konfigurieren: config vpn ipsec phase2-interface edit "p2_[VPN_NAME]" set phase1name "[VPN_NAME]" set proposal aes256-sha256 set dhgrp 5 set keepalive enable set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE] set dst-subnet [REMOTE NETZWERK NETZMASKE] next end Routen konfigurieren: config router static edit 2 set dst [REMOTE NETZWERK NETZMASKE] set device "[VPN_NAME]" set comment "Route Remote Netz ALSO DE - XG Sophos " next edit 3 set dst [REMOTE NETZWERK NETZMASKE] set comment "Blackhole [REMOTE NETZWERK NETZMASKE]" set distance 254 set blackhole enable next end Adress Objekte für Policies konfigurieren: config firewall address edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set color 10 set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE] next edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set color 10 set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE] next end Policy konfigurieren: config firewall policy edit 1 set name "O_vpn-sophosXG-DE" set srcintf "[INTERNES_INTERFACE]" set dstintf "[VPN_NAME]" set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 2 set name "I__vpn-sophosXG-DE" set srcintf "[VPN_NAME]" set dstintf "[INTERNES_INTERFACE]" set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]" set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]" set action accept set schedule "always" set service "ALL" set logtraffic all next end

Konfiguration Sophos XG

Konfiguration über das WebGui:

Ein neuer VPN wird im Menu Configure-> VPN -> IPsec connections erstellt. Authentication konfigurieren:

Netzwerkeinstellungen: in den Gateway settings werden die Netzwerkparameter konfiguriert. Local gateway: (Netzwerk Optionen Sophos XG Firewall) Local gateway das ausgehende Interface (WAN) auswählen. In unserem Beispiel ist dies der Port2 mit der IP Adresse 194.XX.XX.112 Local subnet Hier wird das Netzwerk definiert, welches mit der Remoteseite kommunizieren soll. In unserem Beispiel das Netz 192.168.12.0/24 Remote gateway (Netzwerk Optionen der FortiGate- Remoteseite) Gateway address wird die Public IP Adresse der FortiGate eingetragen. In unserem Fall 146.XX.XX.66 Remote subnet beduetet, welches Netz/Netze auf hinter der FortiGate angesprochen werden sollen. Unser Beispiel: 198.18.0.0/24

Phase 1 Parameter konfigurieren: im Menu IPsec policies werden die Phase1 und Phase2 Parameter definiert: Im Feld Name den Policy Namen der P1/P2 Parameter definieren. Key echchange benutzen wir die IKEv2 Version (IKE Version 2) Phase 1 die Key life Parameter mit der FortiGate abgleichen : 86400sec DH Group haben wir auf 5 (DH1536) gesetzt Encryption und Authentication Algorithmen wie auf der FortiGate definieren (AES256-SHA256) weiter zur Phase2 scrollen

Phase 2 Selektoren konfigurieren: PS group (DH group) definieren 5 (DH1536). Dabei darauf achten, dass im Feld Key life der selbe Wert eingetrgen wird, wie auf der FortiGate (43200sec) Encryption und Authentication Parameter wie auf der FortiGate konfigurieren(AES256 - SHA256) DPD aktivieren mit Save bestätigen.

Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Checkpoint Firewall?

Ausgangslage:

	Seite FortiGate	Seite Checkpoint
Netzplan
Hardware	FortiGate 60F	Checkpoint 1550
Software	6.4.2 build1723	R80.20.05 (992001134)
Lokal Netzwerk	10.10.161.0/24	10.10.151/24
Public IP	198.18.0.161	198.18.0.151
Authentication	Pre-shared Key definieren
IKE Version	Version 2
Phase 1 Proposal	Alogrithms: AES256-SHA256 DH-Group 15
Phase 1 Key Lifetime	86400 Sekunden
Phase 2 Proposal	Alogrithms: AES256-SHA512 / PFS-DH-Group 15
Phase 2 Key Lifetime	3600 Sekunden

Konfiguration FortiGate 60F:

Konfiguration über das WebGUI:

Konfigurieren des VPN-Tunnels: Netzwerkeinstellungen: Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet) Bei Remote Gateway den Typ auf Static IP Address stellen Im Feld IP Address wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151) Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet NAT Traversal ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist. Authentication konfigurieren: Method Auf Pr-shared Key einstellen Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt) In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen Phase 1 Parameter konfigurieren: Encryption auf AES256 und Authentication auf SHA256 konfigurieren Alle anderen Encryption- und Authentications-Parameter entfernen Die Diffie-Hellmann Group wird auf 14 eingestellt Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen Phase 2 Selektoren konfigurieren: In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert: Name in diesem Feld kann ein Name für den Selektor definiert werden Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren Remote Address Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen Perfect Forward Secrecy (PFS) aktivieren Die Difie-Hellman Group auf 14 stellen Key Lifetime auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate)

Konfigurieren der Routen: Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route? Die Routen werden wie folgt konfiguriert: Menu: Network -> Static Routes -> Blackhole Route mit Distanz 254:

Konfigurieren der Policies: Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2). Menu : Policy & Objects -> IPv4 Policy -> Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) Dabei kann die Clone Reverse Funktion benutzt werden. Komplettes Regelsetup:

Konfiguration via CLI:

VPN Phase 1 konfigurieren: config vpn ipsec phase1-interface edit "vpn_to_CP_151" set interface "wan1" set ike-version 2 set peertype any set net-device disable set proposal aes256-sha256 set dhgrp 14 set remote-gw 198.18.0.151 set psksecret "Hier_einen_komplexen_Key_eingeben" next end VPN Phase 2 konfigurieren: config vpn ipsec phase2-interface edit "p2-vpn_to_lab-0062-10.10.162.0-24" set phase1name "vpn_to_lab-0062" set proposal aes256-sha256 set dhgrp 14 set auto-negotiate enable set src-subnet 10.10.161.0 255.255.255.0 set dst-subnet 10.10.162.0 255.255.255.0 next end Routen konfigurieren: config router static edit 2 set dst 10.10.151.0 255.255.255.0 set device "vpn_to_CP_151" next edit 3 set dst 10.10.151.0 255.255.255.0 set distance 254 set comment "blackhole Route - CP Remote Netz" set blackhole enable next end Adress Objekte für Policies konfigurieren: config firewall address edit "net_remoteVPN-10.10.151.0-24" set comment "Remote Netz -VPN Checkpoint" set color 10 set subnet 10.10.151.0 255.255.255.0 next edit "net_ul-10.10.161.0-24" set color 3 set subnet 10.10.161.0 255.255.255.0 next end Policy konfigurieren: config firewall policy edit 5 set name "I_vpn_CP_151->10.0.161.0-24" set srcintf "vpn_to_CP_151" set dstintf "internal2" set srcaddr "net_remoteVPN-10.10.151.0-24" set dstaddr "net_ul-10.10.161.0-24" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 6 set name "O_vpn_10.10.161.0-24->CP_151" set srcintf "internal2" set dstintf "vpn_to_CP_151" set srcaddr "net_ul-10.10.161.0-24" set dstaddr "net_remoteVPN-10.10.151.0-24" set action accept set schedule "always" set service "ALL" set logtraffic all next end

Konfiguration Checkpoint 1550

Konfiguration über das WebGUI:

Konfigurieren des VPN-Tunnels: Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden: VPN -> VPN Sites -> Netzwerk-Parameter: Auf das TAB Remote Site gehen Site name: Hier wird der Name des VPN-Tunnels definiert Bei Conection type auf Host Name or IP address setzen IP address anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153) Behind static NAT ist die NAT Traversal-Einstellung Authentication konfigurieren: Pre-shared secret anwählen (entspricht der Option Pre-shared KEY auf der Fortigate) im Feld Password den selben Key eingeben, welcher bereits auf der FortiGate definiert wurde mittels confirm den Key nochmals eingeben Remote Site Encryption Domain konfigurieren Die Remote Site Encryption Domain entspricht dem lokalen Netz auf der FortiGate bei den Selektoren. Zuerst muss das Netz oder der Host definiert werden. Dafür auf den klicken. Es öffnet sich folgendes Fenster: den Type auf Network stellen Network address Die Netzadresse angeben (ohne Subnetzmaske), was in unserem Fall das Netzwerk auf der FortiGate 10.10.161.0 ist Subnetmask Die Subnetzmaske des Netzes angeben: 255.255.255.0 Object name Hier wird der Name definiert, wie das Objekt dann angewählt werden kann mit das Objekt erstellen Mit kann das Adress-Objekt zu der Encryption Domain hinzugefügt werden. Encryption für Phase 1 und Phase 2 konfigurieren: das TAB Encryption anwählen Encryption settings auf custom stellen IKE (Phase 1) Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren Authentication auf SHA256 konfigurieren - alle anderen Parameter ebenfalls deaktivieren Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit) Renegotiate every: wird auf 1440 Minuten gesetzt (auf der FortiGate ist 86400 Sekunden eingestellt, was 1440 Minuten entspricht) IPSec (Phase2) Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren Authentication auf SHA256 konfigurieren, alle anderen Parameter ebenfalls deaktivieren Enable Perfect Forward Secrecy (PFS) aktivieren Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit) Renegotiate every: wird auf 3600 Sekunden gesetzt (auf der FortiGate haben wir diesen Parameter auf 3600s konfiguriert) Advanced Optionen konfigurieren: TAB Advanced anwählen Bei den Settings die Option Remote Gateway is a Check Point Security Gateway deaktivieren unter Encryption method den Parameter auf IKEv2 stellen.

Konfigurieren eines Netzwerk Objektes: User & Objects anwählen Network Objects auswählen Im Editor-Fenster folgendes konfigurieren: Type auf Network einstellen Network address: Die Netzwerk-Adresse ohne Netzmaske eintragen Subnet mask: Die Subnetzmaske des Netzes eintragen Object name: Name des Adress-Objektes eintragen mit dem Button wird das Objekt erstellt Konfigurieren der Policy: Nun gilt es noch die Firewall Regeln zu konfigurieren: Menu Access Policy anwählen Policy auswählen unter dem Menu Incoming, Internal and VPN traffic mit wird eine neue VPN-Regel erstellt Source und Destination, wie auch die Services anwählen. Das Feld Match only for encrypted traffic auswählen, so wird sichergestellt, dass diese Regel für den verschlüsselten Traffic gilt. mit wird die Regel erstellt und aktiv das Selbe in grün noch für die Gegenrichtung falls dies vom Setup erforderlich ist