FortiGate:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiGate-6.0:FAQ

Diese FAQ's sind für Fortinet Systeme basierend auf FortiOS 6.0. Sofern nichts Anderes vermerkt, stand zu Test-Zwecken eine Fortigate 60E zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Hardware

Wie wird ein virtueller Switch komplett gelöscht?

Um einen virtuellen Switch komplett zu löschen, müssen sämtliche Einstellungen und Objekte, welche darauf referenzieren zurückgebaut werden. Deshalb ist es am Einfachsten, wenn man sich gerade am Anfang bei der Initialkonfiguration Gedanken macht, ob man diesen virtuellen Switch verwenden möchte oder nicht. Um von einer Fortigate mit Werkseinstellung den virtuellen Switch zu löschen, muss sich via RS232 auf die Firewall verbunden werden, um dann wie folgt vorzugehen:

1. Sämtliche Firewall Policies mit Referenzen auf den Switch werden gelöscht:

	fg-lab # config firewall policy
	fg-lab (policy) # show
	config firewall policy
		edit 1
			set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe
			set srcintf "internal"
			set dstintf "wan1"
			set srcaddr "all"
			set dstaddr "all"
			set action accept
			set schedule "always"
			set service "ALL"
			set nat enable
		next
	end
	fg-lab (policy) # delete 1
	fg-lab (policy) # end


2. Alle DHCP Server mit Referenzen werden entfernt:

	fg-lab # config system dhcp server
	fg-lab (server) # show
	config system dhcp server
		edit 1
			set dns-service default
			set default-gateway 192.168.1.99
			set netmask 255.255.255.0
			set interface "internal"
			config ip-range
				edit 1
					set start-ip 192.168.1.110
					set end-ip 192.168.1.210
				next
			end
		next
		edit 2
			set dns-service default
			set default-gateway 10.253.255.254
			set netmask 255.255.255.192
			set interface "wqtn-sw.0"
			config ip-range
				edit 1
					set start-ip 10.253.255.193
					set end-ip 10.253.255.253
				next
			end
			set timezone-option default
		next
	end

	fg-lab (server) # delete 1
	fg-lab (server) # end

3. Das Interface wird zurückgebaut:

	fg-lab # config system interface
	fg-lab (interface) # edit internal
	fg-lab (internal) # show
	config system interface
		edit "internal"
			set vdom "root"
			set ip 192.168.1.99 255.255.255.0
			set allowaccess ping https ssh http fgfm capwap
			set type switch
			set device-identification enable
			set role lan
			set snmp-index 7
		next
	end
	fg-lab (internal) # set ip 0.0.0.0 0.0.0.0
	fg-lab (internal) # next

4. Nun kann der Switch zurückgebaut werden:

	fg-lab # config system virtual-switch
	fg-lab (virtual-switch) # show
	config system virtual-switch
		edit "lan"
			set physical-switch "sw0"
			config port
				edit "lan1"
				next
				edit "lan2"
				next
				edit "lan3"
				next
				edit "lan4"
				next
				edit "lan5"
				next
			end
		next
	end
	fg-lab (port) # delete lan1
	fg-lab (port) # delete lan2
	fg-lab (port) # delete lan3
	fg-lab (port) # delete lan4
	fg-lab (port) # delete lan5
	WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later.
	Do you want to continue? (y/n)y
	fg-lab (port) # end


Bei einer FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:

	fg-lab # config system switch-interface
	fg-lab (switch-interface) # show
	config system switch-interface
		edit "internal"
			set vdom "root"
			set member "wifi" "lan"
		next
	end
	fg-lab (switch-interface) # delete internal

Anschliessend kann der virtuelle Switch komplett gelöscht werden:

	fg-lab # config system virtual-switch

	fg-lab (virtual-switch) # show
	config system virtual-switch
		edit "lan"
			set physical-switch "sw0"
		next
	end
	fg-lab (virtual-switch) # delete lan

Nun können sämtliche Ports auf der Firewall individuell verwendet werden.

Wireless-Controller

Wo finde ich Informationen betreffend FortiGate Wireless Controller und Forti Access Points?

Nachfolgender Artikel gibt Auskunft über die verschiedenen Konfigurationen und Betrieb von Forti Access Points im Zusammenhang mit dem FortiGate Wireless Controller:

       FortiAP:FAQ

Wie konfiguriere ich einen Remote Access Point mit Split Tunnel?

Vorbemerkungen:
Ziel dieser Anleitung ist es, mit einem FortiAP-24D a eine gesicherte Remoteverbindung von einem Aussenstandort an einen Hauptstandort zu erstellen.Es handelt sich hier um ein typisches Szenario, welches eingesetzt werden soll, um kleine Aussenstandorte oder HomeOffice Mitarbeiter anzubinden. Die Dokumentation wurde mit einem AP24d erstellt. Es eignen sich aber grundsätzlich auch folgende Access Points um ein solches Szenario zu etablieren:

  • FAP-11C
  • FAP-14C
  • FAP-21D
  • FAP-24D
  • FAP-25D
  • FAP-28C

Ausgangslage:

Zielarchitektur Verwendete Geräte

Fortinet-2225.png

  • Fortigate 60E Beta3
  • FortiAP-24D

Vorbedingungen:

  • Die Firewall im Main Office ist korrekt konfiguriert, so dass Clients im LAN über den WAN Anschluss ins Internet kommen.
  • Die Firewall im Main Office wird direkt und ohne weitere Router mit einer public IP vom Provider von der WAN Seite verbunden.
  • Der FortiAP befindet sich auf Werkseinstellungen, kriegt via DHCP am WAN Port eine IP, einen validen Default Gatway, einen gültigen DNS Server.
  • Der FortiAP ist in der Lage über den am Ort vorhandenen Internetanschluss mindestens über die Ports 53TCP/UDP,443TCP,5246/UDP,5247/UDP ins Internet zu kommunizieren.

Konfigurationsschritte
1. Einschalten von CAPWAP auf WAN Interface

Fortinet-2226.png

Die Verwaltung der Access Points über die Fortigate geschieht mit dem Protokoll CAPWAP. Damit die Fortigate Firewall Access Points über das WAN Interface verwalten kann, muss auf diesem Interface CAPWAP aktiviert werden.

2. Erstellen der SSID

Fortinet-2227.png

Unter Wifi & Switch Controller > SSID > + Create New wird eine neue SSID erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Damit später das SplitTunneling funktioneirt ist es insbesondere sehr wichtig, dass der Defaultgateway der IP der Fortigate auf diesem Interface entspricht. Die anderen Parameter wie Name, SSID, Security Mode, IP Range etc. können nach gutdünken angepasst werden.

Nachdem diese SSID konfiguriert wurde, muss ein zusätzlicher Parameter wie folgt auf dem CLI konfiguriert werden:

# config wireless-controller vap
# edit [Name of SSID Profil]
# set split-tunneling enable
# end

3. Erstellen FortiAP Profil

Fortinet-2229.png

Unter Wifi & Switch Controller > FortiAP Profiles > + Create New wird eine neue FortiAP Profil erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Inbesondere wichtig ist hier, dass der korrekte AP Typ (AP-24d in diesem Fall) gewählt wird, und dass die zuvor erstellte SSID gewählt wird.

Verfügt der Access Point zusätzlich über LAN Ports, so kann definiert werden, welches Netz an diesen LAN Ports ausgegeben werden soll. Es kann entweder das Netz am Remotestandort ausgegeben werden (Bridge to WAN) oder auch mittels NAT gearbeitet werden. Wird gewünscht dass hier das selbe Netz wie bei der SSID verwendet werden kann, so muss dies ebenfalls mittels Bridge to SSID und wahl des entsprechenden Netzes hinterlegt werden.

Nachdem das FortiAP Profile konfiguriert wurde, können über das CLI zusätzlich die Netze konfiguriert werden, welche eben nicht über den VPN Tunnel gehen sollen, sondern welche lokal ausgekoppelt werden sollen. Im obenstehenden Beispiel wäre dies das Netz 192.168.1.0/24 welches sich hinter dem Swisscom Router befindet. Somit hat ein Gerät hinter dem FortiAP folgende Kommunikationsmöglichkeiten:

  • Zugriff via CAPWAP-Tunnel auf interne Ressourcen des Hauptstandortes
  • Zugriff via CAPWAP-Tunnel über den Hauptstandort auf Ressourcen aus dem Internet
  • Zugriff auf Ressourcen aus dem lokalen Netz am Aussenstandort


# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Use a integer example "1"]
# set dest-ip [IPv4 address as 192.168.1.0/24]
# end

Wird gewünscht, dass nur gewisse Netze an den Hauptstandort geroutet werden sollen, und alles andere (inklusive Internetverkehr) lokal ausgekoppelt werden soll, so muss mit einer umgekehrten Maskierung gearbeitet werden, und hier in der Konfiguration alle Netze angegeben werden, welche nicht durch den Tunnel sollen.

Der hier konfigurierte CAPWAP Tunnel wird ausserdem standardmässig nicht mit DTLS verschlüsselt. Dies muss ebenfalls im CLI konfiguriert werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy dtls-enabled
# end

Der durch die DTLS Verschlüsselung anfallende Overhead beträgt je nach AccessPoint ca. 20%.

4. Vorprovisionieren des AP

Fortinet-2230.png

Unter Wifi & Switch Controller > Managed FortiAPs > + Create New kann nun der zu verbindende Accesspoint vorkonfiguriert werden. Wichtig hierbei ist die korrekte Seriennummer, sowie das entsprechende vorgängig erstellte FortiAP Profil. Hat sich der Access Point bereits bei der Fortigate gemeldet, so sieht man dies anhand der IP unter der Kategorie Managed AP Status.

5. Erstellen der Firewall Policy
Damit der Datenverkehr zwischen dem AP und dem Internet sowie zwischen dem AP und den internen Ressourcen gewährleistet werden kann, benötigt es auch entsprechende Firewall Regeln:
Fortinet-2228.png

6. Definieren der Management IP auf dem AP
Damit der AP nun den Weg zu seinem Controller findet, wenn er das erste Mal am Remote Standort eingesteckt wird, müssen wir ihm die IP hierfür konfigurieren. Dies geschieht auf dem Accesspoint direkt. Ein nicht konfigurierter Accesspoint hat standardmässig die IP 192.168.1.2 auf dem WAN Port. Auf diese kann man sich mittels Telnet verbinden, um die entsprechende Konfiguration vorzunehmen. Ein zugriff auf den Access Point ist allenfalls auch via USB und FortiExplorer möglich. (Siehe FortiExplorer Handbuch)

	C:\Users\huberch>telnet 192.168.1.2
	FAP24D3X15001883 # login: admin
	FAP24D3X15001883 # cfg -a AC_IPADDR_1=172.20.120.142
	FAP24D3X15001883 # cfg -c
	FAP24D3X15001883 # exit

7. Verbinden
Nachdem der Access Point mit dem Internet verbunden wurde, wird er innerhalb von 3-5 Minuten eine Verbindung zu seinem Fortigate Controller aufnehmen. Dies kann im GUI überprüft werden:
Fortinet-2231.png

Quellen und weiterführende Informationen:

SSL Portal