FortiGate:FAQ

• Release Notes 6.0
• Release Notes 6.2
• Release Notes 6.4

• Security Fabric - Upgrade Guide - FortiOS Version 6.0.0
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.1
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.2
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.3
• Security Fabric - Upgrade Guide - FortiOS Version 6.0.4

• FortiOS 6.0 FortiOS Log Reference
• FortiOS 6.2 FortiOS Log Reference
• FortiOS 6.4 FortiOS Log Reference
• FortiOS 6.0 FortiOS CLI Reference
• FortiOS 6.0 Supported RFC
• Fortinet Security Best Practices Version 1
• FortiOS 6.0 Feature/Platform Matrix
• Custom IPS Application Control Signatur Syntax Version 4.0

• FortiOS 6.0.0 Maximum Values Tabelle
• FortiOS 6.0.1 Maximum Values Tabelle
• FortiOS 6.0.2 Maximum Values Tabelle
• FortiOS 6.0.3 Maximum Values Tabelle

• FortiOS IPS Engine Support
• Managed FortiAnalyzer Compatibility Matrix
• Managed FortiManager Compatibility Matrix

• FortiOS 6.0 Handbook - What's New
• FortiOS 6.0 Handbook - Komplettes Handbuch
• FortiOS 6.0 Handbook - Authentication
• FortiOS 6.0 Handbook - Bestpraxis Guide
• FortiOS 6.0 Handbook - Carrier
• FortiOS 6.0 Handbook - FortiView
• FortiOS 6.0 Handbook - Firewall
• FortiOS 6.0 Handbook - High Availability
• FortiOS 6.0 Handbook - Hardening your FortiGate
• FortiOS 6.0 Handbook - Hardware Acceleration
• FortiOS 6.0 Handbook - Getting Started
• FortiOS 6.0 Handbook - IPsec VPN
• FortiOS 6.0 Handbook - Parallel Path Processing Life of a Packet
• FortiOS 6.0 Handbook - Server Load Balancing
• FortiOS 6.0 Handbook - Logging and Reporting
• FortiOS 6.0 Handbook - Managing Devices
• FortiOS 6.0 Handbook - Managing FortiSwitch from FortiGate
• FortiOS 6.0 Handbook - Networking in FortiOS
• FortiOS 6.0 Handbook - Communication Ports and Protocols
• FortiOS 6.0 Handbook - Sandbox Inspection
• FortiOS 6.0 Handbook - Security Farbric
• FortiOS 6.0 Handbook - Security Profiles
• FortiOS 6.0 Handbook - VoIP Solutions: SIP
• FortiOS 6.0 Handbook - SSL VPN
• FortiOS 6.0 Handbook - System Administration
• FortiOS 6.0 Handbook - Traffic Shaping
• FortiOS 6.0 Handbook - Transparent Mode
• FortiOS 6.0 Handbook - Troubleshooting
• FortiOS 6.0 Handbook - Virtual Domains VDoms
• FortiOS 6.0 Handbook - Virtual FortiOS
• FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide

• FortiOS 6.2 Handbook - What's New
• FortiOS 6.2 Cookbook
• FortiOS 6.2 Handbook - Hardware Acceleration
• FortiOS 6.2 Handbook - Bestpraxis Guide

• FortiOS 6.4 Handbook - What's New
• FortiOS 6.4 Handbook - Hardware Acceleration
• FortiOS 6.4 Handbook - Bestpraxis Guide
• FortiOS 6.4 Handbook - Parallel Path Processing (Life of a Packet)

Die "Hardware Revision" wird als "Label" auf der Rückseite eines FortiGate Devices aufgeführt in nachfolgender Form und als Strich-Code:

PN: P15968-01

# get system status | grep Part-Number
System Part-Number: P15968-01

Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert:

https://forum.fortinet.com/tm.aspx?m=100451#100451

Zusätzlich steht ein Dokument von Fortinet zur Verfügung die über die Hardware Schematic eines Fortinet Produktes wie zBsp CPU, RAM, Flash usw. Auskunft gibt:

Datei:Fortinet-Hardware-Schematics.pdf

Damit man zu diesem Link gelangt muss sich anhand eines Support Accounts eingeloggen und um das damit entsprechende Image herunterladen zu können, muss die entsprechende Serien-Nummer des Devices eingegeben werden. Dies muss durchgeführt werden da jedes Device sich anhand der Revision und Generation identifiziert um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu nutzen um auf einem baugleichen Device den Test durchzuführen, da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.

 # get hardware [cpu | memory | nic | npu | status]

# get hardware cpu
  Processor       : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb 
          
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis

# get hardware memory
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:       1455488 kB
  MemShared:           0 kB
  Buffers:          2872 kB
  Cached:         151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:           0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:       1455488 kB
  SwapTotal:           0 kB
  SwapFree:            0 kB

  # get hardware cpu
  Processor       : ARMid(wb) rev 1 (v4l)
  model name      : FortiSOC2
  BogoMIPS        : 799.53
  Features        : swp half thumb 
     
  Hardware        : FSoC2_ASIC
  Revision        : 0000
  Serial          : 0000000000000000
  Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
  Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
  Seperated TLB: Associativity 0
  0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
  SysP:En WB:En DC: En Align:En
  0x00000000 SB: Dis DB:Dis RS:Dis

  # get hardware memory
  total:    used:    free:  shared: buffers:  cached: shm:
  Mem:  1928364032 437944320 1490419712        0  2940928 154861568 140664832
  Swap:        0        0        0
  MemTotal:      1883168 kB
  MemFree:       1455488 kB
  MemShared:           0 kB
  Buffers:          2872 kB
  Cached:         151232 kB
  SwapCached:          0 kB
  Active:          74368 kB
  Inactive:        79864 kB
  HighTotal:           0 kB
  HighFree:            0 kB
  LowTotal:      1883168 kB
  LowFree:       1455488 kB
  SwapTotal:           0 kB
  SwapFree:            0 kB

NOTE Weitere Befehle um detaillierte Informationen über die Memory Nutzung zu erhalten können dem nachfolgenden Artikel entnommen werden: Artikel Benutzung Memory anzeigen lassen

 # get hardware nic
 The following NICs are available:
      dmz
      internal1
      internal2
      internal3
      internal4
      internal5
      internal6
      internal7
      wan1
      wan2
     

NOTE Um detaillierte Informationen über ein spezifisches Interface zu erhalten benütze folgenden Befehl:

 # get hardware nic [Name des Interfaces zB "dmz "]
   Driver Name     :Fortinet NP4Lite Driver
   Version         :1.0.0
   Admin           :up
   Current_HWaddr   08:5b:0e:47:db:57
   Permanent_HWaddr 08:5b:0e:47:db:57
   Status          :up
   Speed           :100
   Duplex          :Half
   Host Rx Pkts    :480560
   Host Rx Bytes   :104351252
   Host Tx Pkts    :468353
   Host Tx Bytes   :83937534
   Rx Pkts         :480558
   Rx Bytes        :111078750
   Tx Pkts         :468351
   Tx Bytes        :80501362
   rx_buffer_len   :2048
   Hidden          :No
   cmd_in_list     : 0
   promiscuous     : 1
   enabled 802.1x  : 0
   authorized      : 0
   mac bypass      : 0

 # get hardware npu 
  legacy    legacy
  np1       np1
  np2       np2
  np4       np4

Dieser Output wird nur angezeigt wenn das entsprechende Device, auf welchem dieser Befehl ausgeführt wird auch einen "NPU" (Networking Processing Unit) enthält. Wenn es sich um ein Device mit integriertem NPU handelt dh. SoC, wird kein Output geliefert.

Label

Status

• Die FortiGate bootet
• Wenn die FortiGate über eine Reset-Taste verfügt, bedeutet grün blinkend auch, dass die Reset-Taste verwendet wurde.

• Die FortiGate hat einen kritischen Alarm.
• Die STA LED wird auch rot leuchten.

Ein Failover ist eingetreten. Dies bedeutet in der Regel, dass eine der FotiGates in einem HA-Cluster ausgefallen ist oder dass die HA-Heartbeat Kommunikation zwischen den FortiGates im HA-Cluster ausgefallen ist oder diese unterbrochen wurde.

• Kein HA Cluster ist konfiguriert
• Das HA LED ist nicht auf allen FortiGate Geräten vorhanden.

Das Wireless Interface sendet und empfängt Daten.

Das Wireless Interface ist down

Port Typ

Status

Ethernet Port
Link / Aktivität

Keine Verbindung aktiv

Ethernet Port
Speed

Nicht verbunden oder mit 10 Mbps verbunden.

• Bei FortiGate Modellen mit nach vorne gerichteten Interfaces, befinden sich diese LEDs rechts des entsprechenden Port.
• Bei FortiGate Modellen mit den Interfaces an der Rückseite des Geräts, befinden sich diese LEDs in der unteren Reihe.

fg-lab # config firewall policy
fg-lab (policy) # show
config firewall policy
     edit 1
	set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe
	set srcintf "internal"
	set dstintf "wan1"
	set srcaddr "all"
	set dstaddr "all"
	set action accept
	set schedule "always"
	set service "ALL"
	set nat enable
	next
     end
fg-lab (policy) # delete 1
fg-lab (policy) # end

Alternativ kann mit dem Befehl purge das ganze Regelwerk auf einmal gelöscht werden:

fg-lab # config firewall policy
fg-lab (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (policy) # end

fg-lab # config system dhcp server
fg-lab (server) # show
config system dhcp server
     edit 1
	set dns-service default
	set default-gateway 192.168.1.99
	set netmask 255.255.255.0
	set interface "internal"
	config ip-range
	    edit 1
	        set start-ip 192.168.1.110
                set end-ip 192.168.1.210
	    next
	    end
     next
     edit 2
	set dns-service default
	set default-gateway 10.253.255.254
	set netmask 255.255.255.192
	set interface "wqtn-sw.0"
	config ip-range
	    edit 1
	        set start-ip 10.253.255.193
	        set end-ip 10.253.255.253
	    next
	end
	set timezone-option default
     next
end
fg-lab (server) # delete 1
fg-lab (server) # end

Alternativ kann auch mit dem Befehl purge jeder DHCP Server aufeinmal gelöscht werden:

fg-lab # config system dhcp server
fg-lab (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (server) # end

fg-lab # config system interface
fg-lab (interface) # edit internal
fg-lab (internal) # show
config system interface
     edit "internal"
	set vdom "root"
	set ip 192.168.1.99 255.255.255.0
	set allowaccess ping https ssh http fgfm capwap
	set type switch
	set device-identification enable
	set role lan
	set snmp-index 7
     next
end
fg-lab (internal) # set ip 0.0.0.0 0.0.0.0
fg-lab (internal) # next

fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
     edit "lan"
	set physical-switch "sw0"
	config port
	    edit "lan1"
	    next
	    edit "lan2"
	    next
	    edit "lan3"
	    next
	    edit "lan4"
	    next
	    edit "lan5"
	    next
	end
     next
end
fg-lab (port) # delete lan1
fg-lab (port) # delete lan2
fg-lab (port) # delete lan3
fg-lab (port) # delete lan4
fg-lab (port) # delete lan5
WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later.
Do you want to continue? (y/n)y
fg-lab (port) # end

Bei einem FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:

fg-lab # config system switch-interface
fg-lab (switch-interface) # show
config system switch-interface
     edit "internal"
	set vdom "root"
			set member "wifi" "lan"
     next
end
fg-lab (switch-interface) # delete internal

fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
     edit "lan"
         set physical-switch "sw0"
     next
end
fg-lab (virtual-switch) # delete lan

1. Unter Dashboard -> Main auf den Hauptbildschirm gehen
2. Mit der Maus ganz nach unten rechts in die Ecke fahren, bis das kleine Zahnrad erscheint.
3. Zahnrad anklicken und auf Add Widget klicken.

1. Die Tempratur Anzeige findet man unter dem Titel System bei Sensor Information
2. Danach mit Close wird das Widget im Main Dashboard hinzugefügt.

1. Im Main Daschboard kann jetzt das Widget Sensor Information gefunden werden
2. Es wird der allgemeine Tempratur Status angezeigt und der Status des Lüfters (Fan Speed).
3. Um detailierte Angaben zu bekommen, auf den Status klicken

1. Jetzt kann auf Show sensor details geklickt werden

1. Es erscheint eine Liste mit allen Tempratur anzeigen, welche vorhanden sind.
2. Es kann oben rechts zwischen Grad Celsius oder Farenheit eingestellt werden.

# execute sensor list

Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:

# config global
# execute sensor list

Es werden die Sensoren und Messwerte von jedem Komponenten aufgeführt. Dabei wird der aktuelle Wert, der Schwellwert und der Alarumstatus angezeigt.

• Flag = 0 : Die Komponenten arbeiten korrekt.
• Flag = 1 : Die Komponenten arbeiten nicht richtig.

# execute sensor list
 1 +3.3V             alarm=0  value=3.3018  	threshold_status=0
 2 +5V               alarm=0  value=5.048  	threshold_status=0
 3 +12V              alarm=0  value=12.136  	threshold_status=0
 4 CPU VCCP          alarm=0  value=1.0295  	threshold_status=0
 5 CPU VTT           alarm=0  value=1.0491  	threshold_status=0
 6 CPU PVSA          alarm=0  value=0.9413  	threshold_status=0
 7 P1V8              alarm=0  value=1.7743  	threshold_status=0
 8 P1V5              alarm=0  value=1.4901  	threshold_status=0
 9 PCH +1.05V        alarm=0  value=1.024  	threshold_status=0
10 VCC 2V5           alarm=0  value=2.464  	threshold_status=0
11 MAIN 12V          alarm=0  value=11.904  	threshold_status=0
12 VCC 1V15          alarm=0  value=1.136  	threshold_status=0
13 DDR3 VTT          alarm=0  value=0.72  	threshold_status=0
14 RPS 12V           alarm=1  value=0  		threshold_status=0x7
15 NCT +3.3V         alarm=0  value=3.264  	threshold_status=0
16 NCT VBAT          alarm=0  value=3.264  	threshold_status=0
17 NCT +3.3VSB       alarm=0  value=3.216  	threshold_status=0
18 NCT VTT           alarm=0  value=1.04  	threshold_status=0
19 DTS CPU           alarm=0  value=63  	threshold_status=0
20 CPU Core 0        alarm=0  value=63  	threshold_status=0
21 CPU Core 1        alarm=0  value=63  	threshold_status=0
22 TD1               alarm=0  value=51  	threshold_status=0
23 TD2               alarm=0  value=39  	threshold_status=0
24 FAN_TMP_3         alarm=0  value=51  	threshold_status=0
25 LM75 U72          alarm=0  value=46  	threshold_status=0
26 LM75 U65          alarm=0  value=46  	threshold_status=0
27 LM75 U62          alarm=0  value=49  	threshold_status=0
28 FAN1              alarm=0  value=6500  	threshold_status=0
29 FAN2              alarm=0  value=6400  	threshold_status=0
30 FAN3              alarm=0  value=6300  	threshold_status=0

# execute sensor details

Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:

# config global
# execute sensor details

Mit diesem Befehl werden noch weitere Informationen, wie der niedrigste und höchste Schwellenwert der Sensoren angezeigt:

• upper_critical = höchster kritischer Wert
• upper_non_critical = höchster nicht kritischer Wert
• upper_non_recoverable = höchster nicht wieder herstellbarer Wert
• lower_non_critical = tiefster nicht kritischer Wert
• lower_critical = tiefster kritischer Wert
• lower_non_recoverable = tiefster nicht wieder herstellbarer Wert

# execute sensor detail 
 1 +3.3V             alarm=0  value=3.3018  threshold_status=0
    type=2/1
    upper_non_recoverable=3.6906
    upper_critical=3.6258
    upper_non_critical=3.5124
    lower_non_critical=3.0912
    lower_critical=2.994
    lower_non_recoverable=2.9292
 2 +5V               alarm=0  value=5.048  threshold_status=0
    type=2/1
    upper_non_recoverable=5.587
    upper_critical=5.489
    upper_non_critical=5.342
    lower_non_critical=4.6805
    lower_critical=4.5335
    lower_non_recoverable=4.4355
 3 +12V              alarm=0  value=12.136  threshold_status=0
    type=2/1
    upper_non_recoverable=14.083
    upper_critical=13.729
    upper_non_critical=13.434
    lower_non_critical=10.602
    lower_critical=10.366
    lower_non_recoverable=10.012
 4 CPU VCCP          alarm=0  value=1.0295  threshold_status=0
    type=2/1
    upper_non_recoverable=1.6959
    upper_critical=1.6665
    upper_non_critical=1.6175
    lower_non_critical=0.2259
    lower_critical=0.2161
    lower_non_recoverable=0.2063
 5 CPU VTT           alarm=0  value=1.0491  threshold_status=0
    type=2/1
    upper_non_recoverable=1.1765
    upper_critical=1.1569
    upper_non_critical=1.1275
    lower_non_critical=0.9315
    lower_critical=0.9021
    lower_non_recoverable=0.8825
 6 CPU PVSA          alarm=0  value=0.9413  threshold_status=0
    type=2/1
    upper_non_recoverable=1.0883
    upper_critical=1.0687
    upper_non_critical=1.0981
    lower_non_critical=0.8237
    lower_critical=0.7943
    lower_non_recoverable=0.7747
 7 P1V8              alarm=0  value=1.7743  threshold_status=0
    type=2/1
    upper_non_recoverable=2.0095
    upper_critical=1.9703
    upper_non_critical=1.9115
    lower_non_critical=1.6959
    lower_critical=1.6371
    lower_non_recoverable=1.6077
 8 P1V5              alarm=0  value=1.4901  threshold_status=0
    type=2/1
    upper_non_recoverable=1.6763
    upper_critical=1.6469
    upper_non_critical=1.5979
    lower_non_critical=1.4117
    lower_critical=1.3627
    lower_non_recoverable=1.3333
 9 PCH +1.05V        alarm=0  value=1.024  threshold_status=0
    type=2/1
    upper_non_recoverable=1.168
    upper_critical=1.152
    upper_non_critical=1.12
    lower_non_critical=0.944
    lower_critical=0.912
    lower_non_recoverable=0.896
10 VCC 2V5           alarm=0  value=2.464  threshold_status=0
    type=2/1
    upper_non_recoverable=2.88
    upper_critical=2.816
    upper_non_critical=2.784
    lower_non_critical=2.24
    lower_critical=2.208
    lower_non_recoverable=2.144
11 MAIN 12V          alarm=0  value=11.904  threshold_status=0
    type=2/1
    upper_non_recoverable=13.824
    upper_critical=13.632
    upper_non_critical=13.248
    lower_non_critical=10.944
    lower_critical=10.56
    lower_non_recoverable=10.368
12 VCC 1V15          alarm=0  value=1.136  threshold_status=0
    type=2/1
    upper_non_recoverable=1.232
    upper_critical=1.2
    upper_non_critical=1.168
    lower_non_critical=1.04
    lower_critical=1.008
    lower_non_recoverable=0.992
13 DDR3 VTT          alarm=0  value=0.72  threshold_status=0
    type=2/1
    upper_non_recoverable=0.848
    upper_critical=0.832
    upper_non_critical=0.8
    lower_non_critical=0.704
    lower_critical=0.688
    lower_non_recoverable=0.672
14 RPS 12V           alarm=1  value=0  threshold_status=0x7
    type=2/1
    upper_non_recoverable=13.824
    upper_critical=13.632
    upper_non_critical=13.248
    lower_non_critical=10.944
    lower_critical=10.56
    lower_non_recoverable=10.368
15 NCT +3.3V         alarm=0  value=3.264  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
16 NCT VBAT          alarm=0  value=3.264  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
17 NCT +3.3VSB       alarm=0  value=3.216  threshold_status=0
    type=2/1
    upper_non_recoverable=3.696
    upper_critical=3.648
    upper_non_critical=3.552
    lower_non_critical=3.12
    lower_critical=2.976
    lower_non_recoverable=2.928
18 NCT VTT           alarm=0  value=1.04  threshold_status=0
    type=2/1
    upper_non_recoverable=1.168
    upper_critical=1.152
    upper_non_critical=1.12
    lower_non_critical=0.944
    lower_critical=0.912
    lower_non_recoverable=0.896
19 DTS CPU           alarm=0  value=64  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
20 CPU Core 0        alarm=0  value=65  threshold_status=0
    type=1/1
    upper_non_recoverable=92
    upper_critical=91
    upper_non_critical=86
21 CPU Core 1        alarm=0  value=64  threshold_status=0
    type=1/1
    upper_non_recoverable=92
    upper_critical=91
    upper_non_critical=86
22 TD1               alarm=0  value=52  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
23 TD2               alarm=0  value=39  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
24 FAN_TMP_3         alarm=0  value=51  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
25 LM75 U72          alarm=0  value=46  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
26 LM75 U65          alarm=0  value=46  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
27 LM75 U62          alarm=0  value=50  threshold_status=0
    type=1/1
    upper_non_recoverable=110
    upper_critical=105
    upper_non_critical=100
28 FAN1              alarm=0  value=5700  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100
29 FAN2              alarm=0  value=5800  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100
30 FAN3              alarm=0  value=5600  threshold_status=0
    type=4/1
    upper_non_recoverable=23000
    upper_critical=22000
    upper_non_critical=21000
    lower_non_critical=300
    lower_critical=200
    lower_non_recoverable=100

Falls die FortiGate über keinen Temperatursensor verfügt, wird in der CLI beim eingeben des Befehls eine Fehlermeldung erscheinen:

 
# execute sensor list
command parse error before 'sensor'
Command fail. Return code -61

# execute erase-disk [SYSTEM | Internal]

Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit, läuft der Test für 7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2". Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:

"User interrupt! Restoring data back to disk....".

# diagnose disktest device ?
1    /dev/sda, size 3864MB, boot device
2    /dev/sdb, size 7728MB

# diagnose disktest device 2
Current Test Device: /dev/sdb

# diagnose disktest [block | time | size]

Die Optionen haben folgende Bedeutung:
     
block       Die Blocksize für jede Lese- sowie Schreiboperation.
timeDie     Limite der Testzeit für jeden Zyklus. Standard: "keine Limite".
sizeDie     Limite der Testgrösse für jeden Zyklus. Standard: "keine Limite".

# diagnose disktest run

Round 1 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  15.0   8.6
 76.0      200(2.59%):  ..................................................  15.1   8.9
150.2      400(5.18%):  ..................................................  15.0   9.0
224.3      600(7.76%):  ..................................................  15.0   8.9
298.8      800(10.35%): ..................................................  15.1   8.9
372.9     1000(12.94%): ..................................................  15.1   9.0
446.9     1200(15.53%): ..................................................  15.1   9.0
520.7     1400(18.12%): ..................................................  15.2   9.0
594.4     1600(20.70%): ..................................................  15.1   9.0
668.4     1800(23.29%): ..................................................  15.2   9.0
742.1     2000(25.88%): ..................................................  15.3   9.0
815.8     2200(28.47%): ..................................................  15.3   9.0
889.5     2400(31.06%): ..................................................  15.3   8.9
963.1     2600(33.64%): ..................................................  15.4   9.0
1036.7    2800(36.23%): ..................................................  15.3   9.0
1110.3    3000(38.82%): ..................................................  15.3   9.0
1183.9    3200(41.41%): ..................................................  15.3   9.0
1257.6    3400(44.00%): ..................................................  15.3   9.0
1331.2    3600(46.58%): ..................................................  15.3   9.0
1404.7    3800(49.17%): ..................................................  15.3   9.0
1478.3    4000(51.76%): ..................................................  15.3   9.0
1551.9    4200(54.35%): ..................................................  15.2   8.9
1625.8    4400(56.94%): ..................................................  14.5   8.6
1702.5    4600(59.52%): ..................................................  15.0   8.8
1777.3    4800(62.11%): ..................................................  15.2   8.9
1851.6    5000(64.70%): ..................................................  15.1   8.9
1925.9    5200(67.29%): ..................................................  15.1   8.9
2000.3    5400(69.88%): ..................................................  15.1   8.9
2074.7    5600(72.46%): ..................................................  15.1   8.9
2148.9    5800(75.05%): ..................................................  15.2   8.9
2223.2    6000(77.64%): ..................................................  15.2   8.8
2297.5    6200(80.23%): ..................................................  15.1   8.9
2371.9    6400(82.82%): ..................................................  15.2   8.9
2446.2    6600(85.40%): ..................................................  15.1   8.9
2520.5    6800(87.99%): ..................................................  15.3   8.9
2594.6    7000(90.58%): ..................................................  14.6   8.6
2671.4    7200(93.17%): ..................................................  15.1   8.4
2748.0    7400(95.76%): ..................................................  15.3   5.4
2851.2    7600(98.34%): ................................
Test Result: Passed
Tested size: 7728MB (100.00% Coverage of whole disk)
Time used: 2901.5 sec
Read Speed:  15.2MB/s
Write Speed:   8.7MB/s
Round 1 Finished!

Round 2 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec)    Size(MB) Read(MB/s) Write(MB/s)
  0.00(0.00%):  ..................................................  14.7   8.4
 77.9      200(2.59%):  .............User interrupt! Restoring data back to disk...

Test Result: Interrupted
Tested size: 256MB (3.31% Coverage of whole disk)
Time used:  99.3 sec
Read Speed:  14.7MB/s
Write Speed:   8.4MB/s
Round 2 Finished!

config system fortiguard 
   set fortiguard-anycast disable 
   set protocol udp 
   set port 8888 
end 

Referenz: DESCRIPTION FORTISANDBOX CLOUD

Über das WebGui der FortiGate kann im Dashboard die aktuelle Quote angezeigt werden: (Beispiel hier einer FortiGate 60F):

# execute usb-disk format
This operation will ERASE all data in USB disk!
Do you want to continue? (y/n)'''y'''

Format USB disk /dev/sdc1 ...
Create file system on /dev/sdc1 ...

            
format [Laufwerks Name zBsp "F"]: /FS:FAT /V:[Name des USB-Sticks/Laufwerk zBsp "FortiGate"]
legen Sie eine neue Diskette in Laufwerk D: ein,
und drücken Sie die EINGABETASTE.
Der Typ des Dateisystems ist EXFAT.
Das neue Dateisystem ist FAT.
Überprüfung von 1009.4 MB
Die Dateizuordnungstabelle (FAT) wird initialisiert...
Formatieren beendet.
     1009.1 MB Speicherplatz auf dem Datenträger insgesamt.
     1009.1 MB sind verfügbar.

        16'384 Bytes in jeder Zuordnungseinheit
        64'585 Zuordnungseinheiten auf dem Datenträger verfügbar
            
     16 Bits in jedem FAT-Datensatz.
            
Volumeseriennummer : 4E6E-9DDF

1. Menu System > Settings > USB Auto-Install
   
2. Detect configuration Name der Konfig.-Datei im .conf Format angeben.
3. Detect firmware Name der Image Datei im .out Format angeben.

# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]  
# set default-config-file [File Name]
# set default-image-file [File Name]
# end

Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB-Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB-Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB-Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!

Nach der Installation des "images" auf dem USB-Stick, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtions-File auf dem USB-Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB-Stick ausgeführt. Ist die Konfiguration auf dem USB-Stick gleich wie jene auf der aktiven Partition wird keine Änderung durchgeführt und der Neustart regulär fortgesetzt!

1. Menu System > Settings > USB Auto-Install
   
2. Detect configuration Name der Konfig Datei im .conf Format angeben.
3. Detect firmware Name der Image Datei im .out Format angeben.

# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]  
# set default-config-file [File Name]
# set default-image-file [File Name]
# end

Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!

Nach der Installation des "images" auf dem USB Sticks, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtionsfileauf dem USB Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB Stick ausgeführt. Ist die Konfiguration auf dem USB Stick gleich wie jene auf der aktiven Partition wird keine Aenderung durchgeführt und der Neustart regulär fortgesetzt!

LINDY USB RS232 Converter w/ COM Port Retention RS-232 Port
Transfer Rate: up to 230 kBit/s
Chipset: FTDI
Hersteller Artikel-Nr.: 42686
ALSO Artikel-Nr.: 2909413
EAN-Code: 4002888426862
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=2909413

LINDY USB Type C Serial Converter
Hersteller Artikel-Nr.: 43248
ALSO Artikel.Nr.: 3023950
EAN-Code: 4002888432481
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=3023950
Treiber:Datei:PL2303 Prolific DriverInstaller v1190.zip

# config system console
# set login disable
# end

# config system console
# set fortiexplorer disable
# end

# config system global
# set gui-display-hostname [enable | disable] 
# end

Das Resultat:

fgt200-master # diagnose sys cmdb refcnt show system.interface.name port1
entry used by complex system.ha:monitor
entry used by table system.dhcp.server:id '3'
entry used by child table srcintf:name 'port1' of table firewall.policy:policyid '1'

Variabel:

Beschreibung:

$USERFORM

Die Management Zugriffs Methode (ssh, jsconsole usw.) und die IPv4-Adresse des Administrators, der das Element konfiguriert hat.

$USERNAME

Der Accountname des Administrators, der das Element konfiguriert hat.

$SerialNum

Die Serienummer des FortiGate Gerätes

# config system global
# set hostname $SerialNum
# end

get hardware nic internal5 | grep Current_HWaddr
Current_HWaddr        90:6c:ac:a9:d7:47

# get system session list | grep -n tcp

5:tcp     3187   198.18.1.18:54740 146.4.73.70:54740 40.67.254.36:443 -               
7:tcp     3544   198.18.1.208:54324 146.4.73.70:54324 40.67.254.36:443 -               
10:tcp     3597   198.18.0.1:1065  -                198.18.0.12:514  -               
13:tcp     3587   198.18.1.10:64704 146.4.73.70:64704 172.217.168.74:443 -               
24:tcp     3593   198.18.1.63:46340 146.4.73.70:46340 52.5.144.164:443 -               
27:tcp     9      198.18.0.200:53041 146.4.73.66:53041 172.16.0.1:8013  -               
28:tcp     8      198.18.1.143:300 146.4.73.70:811  10.3.0.1:111     -               
36:tcp     3597   198.18.1.166:50320 146.4.73.70:50320 54.156.181.70:443 -               
51:tcp     3      198.18.0.200:53028 146.4.73.66:53028 172.16.0.1:8013  -               
52:tcp     2      198.18.1.178:46020 146.4.73.70:46020 192.168.1.176:389 -               
53:tcp     3573   198.18.0.200:52815 146.4.73.66:52815 185.60.216.53:443 -               
55:tcp     2469   198.18.1.142:57170 146.4.73.70:57170 40.67.254.36:443 -               
56:tcp     3596   198.18.0.1:1415  -                198.18.0.12:514  -               
73:tcp     8      198.18.0.21:65394 146.4.73.66:65394 52.5.76.173:8347 -               
74:tcp     3      198.18.0.11:38838 217.193.240.162:38838 96.45.33.86:443  -               
76:tcp     7      198.18.0.1:14681 -                198.18.0.101:8000 -               
81:tcp     3590   198.18.1.63:48378 146.4.73.70:48378 54.84.191.209:443 -               
86:tcp     9      198.18.200.45:29948 146.4.73.68:29948 194.115.91.54:25 -               
91:tcp     3595   198.18.1.163:55696 146.4.73.70:55696 192.146.155.80:443 -               
92:tcp     3600   198.18.0.200:52835 -                198.18.0.1:22    -               
102:tcp     8      198.18.0.9:34137 146.4.73.66:34137 198.18.6.10:139  -               
105:tcp     5      198.18.0.200:53029 146.4.73.66:53029 172.16.0.1:8013  -               
107:tcp     3490   198.18.0.200:52729 146.4.73.66:52729 40.67.251.132:443 -               
118:tcp     3599   198.18.1.163:54718 146.4.73.70:54718 192.146.155.82:443 -               
119:tcp     0      198.18.1.163:53038 146.4.73.70:53038 192.146.155.81:443 -               
120:tcp     3513   198.18.1.18:56352 146.4.73.70:56352 40.79.67.176:443 -               
126:tcp     3586   172.16.99.4:55785 146.4.73.71:55785 13.224.96.67:443 -               
129:tcp     3599   172.16.99.4:57452 146.4.73.71:57452 172.217.168.46:443 -               
144:tcp     3572   198.18.1.10:49867 146.4.73.70:49867 54.186.97.86:443 -               
148:tcp     6      198.18.0.200:53034 146.4.73.66:53034 172.16.0.1:8013  -               
150:tcp     3599   198.18.1.163:42980 146.4.73.70:42980 192.146.155.76:443 -               
151:tcp     3598   198.18.0.1:24004 -                198.18.0.11:541  -               
152:tcp     3595   198.18.0.1:1073  -                198.18.0.12:514  -               
167:tcp     1      198.18.0.200:53017 146.4.73.66:53017 172.16.0.1:8013  -               
169:tcp     3589   146.4.73.66:9421 -                154.45.1.53:514  -               
173:tcp     3599   198.18.1.209:37791 146.4.73.70:37791 3.135.144.181:443 -               
175:tcp     3583   198.18.1.224:57385 146.4.73.70:57385 13.59.223.49:443 -               
176:tcp     3585   198.18.1.2:44996 146.4.73.70:44996 3.212.241.156:443 -               
177:tcp     3595   198.18.0.1:1074  -                198.18.0.12:514  -            

show | grep ldap-group1
    edit "ldap-group1"
        set groups "ldap-group1"

show | grep -f ldap-group1
config user group
    edit "ldap-group1"
        set member "pc40-LDAP"
    next
end
config firewall policy
    edit 2
        set srcintf "port31"
        set dstintf "port32"
        set srcaddr "all"
        set action accept
        set identity-based enable
        set nat enable
        config identity-based-policy
        edit 1
            set schedule "always"
            set groups "ldap-group1"
            set dstaddr "all"
            set service "ALL"
        next
        end
    next
end

config dlp sensor
edit "default"
set comment "Default sensor."
config filter
edit 1
set proto smtp pop3 imap http-post
set filter-by regexp
set regexp "('?s:(\\d{10}.*))"
set action block
next
end
next
end

Mit der im WebGui verfügbaren CLI Console funktioniert diese Methode nicht!

Ich gebe in der CLI einfach das Fragezeichen ? ein. Es wird automatisch das Hilfemenu angezeigt:

#
config      Configure object
get         Get dynamic and system information
show        Show configuration
diagnose    Diagnose facility
execute     Execute static commands
alias       Execute alias commands
exit        Exit the CLI

Ich drücke zuerst ctrl+v und sehe danach in der CLI das Fragezeichen ohne dass das Hilfemenu aufgerufen wird:

# ?

support.fortinet.com -> DOWNLOAD -> FIRMWARE IMAGES

Vorsicht wenn eine FortiGate welche einen SoC3 verbaut hat und man auf die Version 6.2.2 upgraden will. Es muss beachtet werden, dass die Authentifizierung mit dem Mobile Token für das SSL-VPN nicht mehr funktioniert.

1. Im Header Rechts auf den Admin User das Menu öffnen
2. Configuration anwählen
3. Backup anwählen

Das Backup kann mittels "Backup to" auf den lokalen PC, oder falls ein USB Stick an der FortiGate eingesteckt ist auch diesen als Speicherziel wählen. Die Option Encryption ist dafür da, dass man das Backup File verschlüsselt abspeichern kann. Das Passwort, welches man definieren muss, darf nicht verloren gehen. Wenn das Passwort nicht mehr bekannt ist, gibt es keine Möglichkeit dieses Backupfile wieder in die FortiGate einzulesen. Auch über ein Support Ticket wird dies unmöglich sein. Wenn man das Backup verschlüsselt ablegt, ist es nicht mehr möglich die Konfiguration im Texteditor zu lesen oder zu bearbeiten.

Es kann definiert werden, wohin das Backup File abgespeichert werden soll. Es wird eine Datei mit der Endung .conf abgelegt. Diese Datei kann im Texteditor bearbeitet werden. Somit können gewisse Änderungen direkt im Backupfile vorgenommen werden. Man kann dies dann wieder als .conf Datei abspeichern und sie in die FortiGate einlesen.

Über die CLI gibt es noch weitere Orte auf welche das Backup abgespeichert werden kann. Zum Beispiel ist es möglich, das Backup auf einen FTP oder TFTP Server zu speichern.
Der grundlegende Befehlt um eine Backup durchzuführen ist execute backup config <Location>
Wenn man ein ? nach config eingibt, werden alle möglichen Speicherorte angezeigt:

# execute backup config ?
flash                 Backup config file to flash.
ftp                   Backup config file to ftp server.
management-station    Backup config file to management station.
tftp                  Backup config file to TFTP server.
usb                   Backup config file to USB disk.
usb-mode              Backup config file for USB mode.

Um ein Backup auf einen FTP Server zu speichern kann wie folgt vorgegangen werden:

execute backup config ftp <File_Name> <FTP_Server_IP> [<Port>] [<Usermame>] [<Passwort>]

• FortiOS - Release Notes Version 6.0.0
• FortiOS - Release Notes Version 6.0.1
• FortiOS - Release Notes Version 6.0.2
• FortiOS - Release Notes Version 6.0.3
• FortiOS - Release Notes Version 6.0.4
• FortiOS - Release Notes Version 6.0.5
• FortiOS - Release Notes Version 6.0.6
• FortiOS - Release Notes Version 6.0.7
• FortiOS - Release Notes Version 6.0.8
• FortiOS - Release Notes Version 6.0.9
• FortiOS - Release Notes Version 6.0.10
• FortiOS - Release Notes Version 6.0.11 --> Link Release Notes 6.0.11

• FortiOS - Release Notes Version 6.2.0
• FortiOS - Release Notes Version 6.2.1
• FortiOS - Release Notes Version 6.2.2
• FortiOS - Release Notes Version 6.2.3
• FortiOS - Release Notes Version 6.2.4
• FortiOS - Release Notes Version 6.2.5 --> Link Release Notes 6.2.5

• FortiOS - Release Notes Version 6.4.0 --> Link Release Notes 6.4.0
• FortiOS - Release Notes Version 6.4.1 --> Link Release Notes 6.4.1
• FortiOS - Release Notes Version 6.4.2 --> Link Release Notes 6.4.2

FortiGate Modelle die 5.4 nicht unterstützen:

• 20C
• 40C
• 60C
• 60C-SFP
• 60C-POE
• 60D-3G4G-VZW*
• Rugged-100C
• 110C
• 111C
• 140D-POE-T1
• 200B
• 200B-LENC
• 200B-POE
• 300C
• 300C-LENC
• 310B
• 310B-DC
• 310B-LENC
• 311B
• 620B
• 620B-DC
• 620B-LENC
• 621B
• 1240B
• 1240B-DC
• 3016B
• 3040B
• 3040B-LENC
• 3140B
• 3140B-LENC
• 3810A
• 3810A-DC
• 3810A-E4
• 3810A-LENC
• 3950B
• 3950B-LENC
• 3951B
• 3951B-DC
• 5001A
• 5001A-DW
• 5001A-DW-LENC
• 5001A-SW
• 5001B
• 5101C
• 5101C-LENC

FortiGate-WIFI Modelle die 5.4 nicht unterstützen:

• 20C
• 40C
• 60C
• 60CM-3G4G-B
• 60CX-ADSL-A
• 60D-3G4G-VZW

FortiGate Modelle die 6.0 nicht unterstützen:

• 80C
• 80CM
• 91E
• 600C
• 800C
• 1000C
• 5001C
• 3600C
• 3240C

FortiGate-WIFI Modelle die 6.0 nicht unterstützen:

• 80CM
• 81CM

FortiGate Modelle die 6.2 nicht unterstützen:

• 30D
• 30D-POE
• 60D
• 60D-POE
• FG-70D
• 70D-POE
• 90D
• 90D-POE
• 94D-POE
• 98D-POE
• 200D
• 200D-POE
• 240D
• 240D-POE
• 280D-POE

FortiGate-WIFI Modelle die 6.2 nicht unterstützen:

• 30D
• 30D-POE
• 60D
• 60D-POE
• 90D
• 90D-POE
• 92D

FortiGate Rugged Modelle die 6.2 nicht unterstützen:

• 60D

FortiGate Modelle die 6.4 nicht unterstützen:

• 30E
• 30E-3G4G
• 50E
• 51E
• 52E
• 80D
• 92D
• 100D
• 140D
• 140D-POE

FortiGate-WIFI Modelle die 6.4 nicht unterstützen:

• 30E
• 30E-3G4G
• 50E
• 50E-2R
• 51E

FortiGate Rugged Modelle die 6.4 nicht unterstützen:

• 30D
• 35D

https://support.fortinet.com/Information/ProductLifeCycle.aspx

8 bits 
no parity 
1 stop bit 
9600 baud (the FortiGate-300 uses 115,000 baud) 
Flow Control = None 

Please wait for OS to boot, or press any key to display configuration menu..

FortiGate-50E (12:55-08.13.2015)
Ver:05000011
Serial number: FGT50E3U15000635
CPU(00): 1600MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... egiga1
Please wait for OS to boot, or press any key to display configuration menu..

[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.

Enter C,R,T,F,I,B,Q,or H: R
 
Image download port:    WAN1
DHCP status:            Disabled
Local VLAN ID:          <NULL>
Local IP address:       192.168.1.188
Local subnet mask:      255.255.255.0
Local gateway:          192.168.1.254
TFTP server IP address: 192.168.1.100
Firmware file name:     image.out

Enter C,R,T,F,I,B,Q,or H: F
It will erase data in boot device. Continue? [yes/no]: yes
Formatting............................ Done.

Enter C,R,T,F,I,B,Q,or H: T

Please connect TFTP server to Ethernet port 'WAN1'.

MAC: 90:6c:ac:13:80:10

Connect to tftp server 192.168.1.100 ...

#############################################################
Image Received.
Checking image... OK
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? D
       
Wenn "D" für "default" ausgeführt wird, so wird das FortiOS in die Partition installiert und diese "active" gesetzt und somit beim nächsten Neustart des Devices verwendet. Wird "B" für "backup" gewählt, so wird die Partition nicht "active" gesetzt und beim nächsten Neustart nicht genutzt. Wenn "R" für "run" ausgeführt wird, so wird das FortiOS in den Memory Bereich installiert. Dies bedeutet dass nach einem Neustart des Devices diese Installation nicht mehr zur Verfügung da durch den ausgeführten Neustart der Memory Bereich gelöscht wird! Für ein "staging" speziell wenn der "boot device" Formatiert wird ist immer "D" zu wählen für "default".
        
Programming the boot device now.
....................................
.............................................................
.............................................................
...............................................................
...

Booting OS...

Reading boot image... 2800640 bytes.
Initializing firewall...

System is starting...

FGT50E3U15000635 login: 

User: admin
Password: [Kein Passwort]

# execute formatdisk
Log disk is /dev/sdb4
Formatting this storage will erase all data on it, including
  Logs, quarantine files;
  WanOpt caches;
and requires the unit to reboot.
Do you want to continue (y/n) y

# fnsysctl df -h
Filesystem                 Size       Used  Available Use% Mounted on
rootfs                   123.9M      53.6M      70.2M  43% /
/dev/root                123.9M      53.6M      70.2M  43% /
none                       1.5G       1.5M       1.4G   0% /tmp
none                       1.5G          0       1.5G   0% /dev/shm
none                       1.5G      16.9M       1.4G   1% /dev/cmdb
/dev/mtd5                 18.0M       6.6M      11.3M  37% /data
/dev/mtd7                 30.0M       2.3M      27.6M   8% /data2

# show system interface

# config system interface
# edit [Name des Interface zB "internal1"]
# set ip [IPv4 Adresse plus Subnet Maske zB "192.168.1.99 255.255.255.0]
# set allowaccess [http | https | ssh | telnet | ping]
# end

# config system global
# set admin-https-redirect [enable | disable]
# end

# diagnose sys flash list
Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FGT60E-6.02-FW-build1010-191008                  253920     83060   33%  No
2          FGT60E-6.02-FW-build1066-191218                  253920     82168   32%  Yes
3          ETDB-77.00885                                   3021708    130964    4%  No
Image build at Dec 18 2019 22:30:39 for b1066

Wir sehen in diesem Beispiel, dass die Partition 2 (secondary) aktiv ist. Auf dieser ist das FortiOS Build 1066 (FortiOS 6.2.3) installiert. Auf der Partition 1 (primär) ist das FortiOS Build 1010 (FortiOS 6.2.2) installiert.

Mit dem Befehl execute set-next reboot [primary|secondary] kann ich definieren mit welcher Partition beim nächsten Reboot gestartet werden soll.

In unserem Beispiel wollen wir den Fallback auf das FortiOS 6.2.2. Dies bedeutet, dass wir die primäre Partition auswählen müssen:

# execute set-next-reboot primary
Default image is changed to image# 1.

Wir können dies jetzt auch mit diagnose sys flash list überprüfen:

# diagnose sys flash list
Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FGT60E-6.02-FW-build1010-191008                  253920     82168   32%  Yes
2          FGT60E-6.02-FW-build1066-191218                  253920     82168   32%  No
3          ETDB-77.00885                                   3021708    130964    4%  No
Image build at Dec 18 2019 22:30:39 for b1066

Mit execute reboot kann die FortiGate neu gestartet werden und startet nun künftig mit der primären Partition, deren Konfig und der entsprechenden FortiOS Version 6.2.2.

Über das Menu Network > DNS

# config system dns
# set primary [IPv4 Adresse des DNS 1 Serves]
# set secondary [IPv4 Adresse des DNS 2 Servers]
# set ip6-primary :: [IPv6 Adresse des DNS1 Server]
# set ip6-secondary :: [IPv6 Adresse des DNS2 Server]
# set domain [Lokale Domaine]
# set source-ip [Source IP die benützt werden soll für die DNS Anfrage]
# end

# config system dns
# set dns-cache-limit [Maximum Einträge die im Cache verbleiben; Standard 5000]
# set dns-cache-ttl [Maximum Zeit in der die DNS Cache vebleibt; Standard 1800]
# end

# config system dns
# set cache-notfound-response [enable | disable]
# end

# config system global
# set dnsproxy-worker-count <integer>
# end

# config system dns
# set dns-over-tls [disable|enable|force]  
# set ssl-certificate "Fortinet_Factory"
# end

    
diagnsoe test application dnsproxy ?         
1.  Clear DNS cache
2.  Show stats
3.  Dump DNS setting
4.  Reload FQDN
5.  Requery FQDN
6.  Dump FQDN
7.  Dump DNS cache
8.  Dump DNS DB
9.  Reload DNS DB
10. Dump secure DNS policy/profile
11. Dump Botnet domain
12. Reload Secure DNS setting
13. Show Hostname cache
14. Clear Hostname cache
15. Show SDNS rating cache
16. Clear SDNS rating cache
17. DNS debug bit mask
99. Restart dnsproxy worker

Über das Menu :System -> Feature Visibility muss das Feature DNS Database eingeschaltet werden:

# config system settings
# set gui-dns-database enable
# end

Der zu konfigurierende DNS Server muss als MASTER Server konfiguriert werden, jedoch NICHT als Authoritativ!

Der DNS Server ist konfiguriert - nun muss für die entsprechende Zone ein "A" Record für www.mydomain.ch erfasst werden!

Es ist zu empfehlen für den Host ebenfalls einen "PTR-Record" zu erstellen!

Um die Einträge für einen DNS Server auf einer FortiGate aufzulisten resp. die DNS Database zu "dumpen" kann folgender Befehl verwendet werden:

# diagnose test application dnsproxy 8

# config system dns-database
# edit MYDOMAIN.CH
# set domain mydomain.ch
# set type master
# set view shadow
# set ttl 86400
# set primary-name dns
# set contact hostmaster@mydomain.ch
# set authoritative disable
# config dns-entry
# edit 1
# set hostname www.mydomain.ch
# set type A
# set ip 192.168.1.1
# set status enable
# end
# end

Um die Konfiguration abzuschliessen muss der externe Port (WAN) auf "Recursive" gesetzt werden, das heisst, dass der externe Port "Recursive" Anfragen absetzt:

Es kann noch ein DNS-Filter Profil direkt angehängt werden.

# config system dns-server
# edit wan1
# set mode recursive
# set dnsfilter-profile "[Profile_Name]" -> "default"
# end

Damit auf dem "internen" Interface der DNS Server - den wir erstellt haben - erreichbar ist, muss folgende Konfiguration durchgeführt werden::

# config system dns-server
# edit internal
# set mode recursive
# end

1. Über das Menu Network -> Interfaces das interne Interface wählen. (in unserem Fall internal)
2. Rechtsklick und das internal Interface editieren
3. Bei der Option DHCP Server den DNS Server auf same as Interface IP setzen.
4. same as Interface IP bedeutet, dass die IP Adresse des internal Interfaces propagiert wird (192.168.1.99)
5. mit OK wird die Konfiguration aktiv.

# config system dhcp server
# edit 1
# set dns-service local
# set default-gateway 192.168.1.99
# set netmask 255.255.255.0
# set interface "internal"
# config ip-range
# edit 1
# set start-ip 192.168.1.110
# set end-ip 192.168.1.210
# next
# end
# set timezone-option default
# next
# end

# config system dns-database 
# edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"] 
# set allow-transfer [Gebe die IPv4 Adresse des "authoritativen" Servers an für "mydomain.ch"] 
# end

# config system dns-database
# edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"] 
# set source-ip [IPv4 Adresse die als Source konfiguriert werden soll]
# end

• Mail Server FQDN: mail.mydomain.ch
• Mail Server Public IP: 212.59.153.125
• Mail Server Internal IP: 192.168.1.100

Kontrolliere als Erstes ob für DNS (UDP) ein DNS Session-Helper existiert:

 
# show system session-helper
................
edit 13
set name dns-udp
set port 53
set protocol 17
................ 

Ist der Session-Helper für DNS (UDP) nicht vorhanden, so konfiguriere diesen wie folgt:

        
# config system session-helper
# edit [Wähle einen Integer zB 20]
# set name dns-udp
# set port 53
# set protocol 17
# end

NOTE Weitere Informationen über die Option "protocol" können folgendem Artikel entnommen werden:

Allgemein:Assigned-Internet-Protocol-Numbers-RFC

Als nächstes konfigurieren wir die "dnstranslation" gemäss unserem Beispiel:

        
# config firewall dnstranslation
# edit [Gebe einen Integer an zB "1"]
# set dst [IPv4 Internal Adresse von mail.mydomain.ch "192.168.1.100"]
# set netmask [Netmask für mail.mydomain.ch "255.255.255.255"]
# set src [IPv4 Public Adresse von mail.mydomain.ch "212.59.153.125"]
# end

Die Anfrage an den Public DNS Server, wie auch dessen Antwort werden wie folgt auf der FortiGate abgearbeitet:

NOTE wie hier in diesem Beispiel gezeigt, kann die Funktion anhand "nslookup" getestet, und somit verifiziert werden ob die "dnstranslation" korrekt funktioniert!

# diagnose debug application ddnscd -1
# diagnose debug enable

Um das Debug zu beenden:

# diagnose debug disable
# diagnose debug reset

Beispiel:

1592256317: Start to update FortiGuardDDNS (sekinfw.float-zone.com)
1592256317: next wait timeout 10 seconds
[111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory.cer, root ca Fortinet_CA, idx 0 (default)
[111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory_Backup.cer, root ca Fortinet_CA_Backup, idx 1 
[721] ssl_ctx_create_new_ex: SSL CTX is created
[748] ssl_new: SSL object is created
fgt_ddns_connect()-725: SSL connecting
[621] __ssl_info_callback: before SSL initialization
[621] __ssl_info_callback: SSLv3/TLS write client hello
__ddns_ssl_connect()-651: ssl_res=1 
[621] __ssl_info_callback: SSLv3/TLS write client hello
[621] __ssl_info_callback: SSLv3/TLS read server hello
[621] __ssl_info_callback: SSLv3/TLS read server certificate
[645] __ssl_info_callback: Current cert idx 0, SSL verion 'TLS 1.2'
[656] __ssl_info_callback: Got server cert chain, num 2
[664] __ssl_info_callback: Server root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=support/emailAddress=support@fortinet.com
[667] __ssl_info_callback: Client root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=fortinet-ca2/emailAddress=support@fortinet.com
[596] __ssl_switch_cert: Update with next cert, idx 1
[621] __ssl_info_callback: SSLv3/TLS read server key exchange
[621] __ssl_info_callback: SSLv3/TLS read server certificate request
[621] __ssl_info_callback: SSLv3/TLS read server done
[621] __ssl_info_callback: SSLv3/TLS write client certificate
[621] __ssl_info_callback: SSLv3/TLS write client key exchange
[621] __ssl_info_callback: SSLv3/TLS write certificate verify
[621] __ssl_info_callback: SSLv3/TLS write change cipher spec
[621] __ssl_info_callback: SSLv3/TLS write finished
__ddns_ssl_connect()-651: ssl_res=1 
[621] __ssl_info_callback: SSLv3/TLS write finished
[621] __ssl_info_callback: SSLv3/TLS read server session ticket
[621] __ssl_info_callback: SSLv3/TLS read change cipher spec
[621] __ssl_info_callback: SSLv3/TLS read finished
__ddns_ssl_connect()-651: ssl_res=0 
fgd_ddns_fcp_exchange()-860: Sending FCPC=Protocol=3.4|SerialNumber=FGT61FTK19000538|Firmware=FGT61F-FW-6.02-1066|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=Automatic
fgt_unpack_fcpr()-567: Unpacked obj: Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15
fgd_ddns_fcp_exchange()-891: Recvd FCPR=Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15
[201] __ssl_data_ctx_free: Done
[1012] ssl_free: Done
[193] __ssl_cert_ctx_free: Done
[1022] ssl_ctx_free: Done
[1003] ssl_disconnect: Shutdown
fgd_ddns_extract_fcpr_rcode()-416: code=1
fgd_ddns_extract_fcpr_bound_ip()-446: Bound ip=198.18.254.15
1592256318: Succeed to update FortiGuardDDNS (sekinfw.float-zone.com ==> 198.18.254.15)

# config system interface
# edit "[INTERFACE]" --> Interface Name
# set mode dhcp
# config client-options
# edit 1
# set code [integer] --> DHCP Client Optionen 0-255 default Wert ist 0
# set type [hex | string | ip | fqdn] --> DHCP Client Option Typ default Wert ist hex
# set value [Wert für DHCP Client Option] --> Wert für DHCP Client Option
# end
# end

Für das Swisscom VDSL Setup mit DHCP Client Option 60 (Vendor ID) muss der String "100008,0001,fortigate" konfiguriert werden:

# config system interface
# edit "wan1"
# set mode dhcp
# config client-options
# edit 1
# set code 60
# set type string
# set value "100008,0001,fortigate"
# end
# end

 # get system arp
Address           Age(min)   Hardware Addr      Interface
10.60.60.10       0          48:8d:36:61:84:28 internal
10.60.60.100      0          1c:1b:0d:6a:27:80 internal
10.60.60.11       0          00:19:fd:4c:97:9b internal
10.60.100.10      0          70:4c:a5:89:01:48 dmz
10.60.60.101      0          1c:1b:0d:68:ff:94 internal
10.60.61.100      1          38:ca:da:b5:a1:db luz0002-prod
10.60.61.103      0          64:5d:86:fd:97:79 luz0002-prod
192.168.50.2      0          7c:b7:33:3b:a1:18 wan1

# diagnose ip arp list
index=22 ifname=internal 10.60.60.10 48:8d:36:61:84:28 state=00000002 use=27 confirm=740 update=740 ref=3
index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000002 use=373 confirm=2004 update=2004 ref=8
index=22 ifname=internal 10.60.60.11 00:19:fd:4c:97:9b state=00000008 use=1 confirm=2847 update=204 ref=4
index=7 ifname=dmz 10.60.100.10 70:4c:a5:89:01:48 state=00000002 use=2 confirm=671 update=671 ref=2
index=22 ifname=internal 10.60.60.101 1c:1b:0d:68:ff:94 state=00000002 use=457 confirm=87 update=87 ref=7
index=20 ifname=luz0002-prod 10.60.61.100 38:ca:da:b5:a1:db state=00000004 use=39878 confirm=39878 update=618 ref=1
index=20 ifname=luz0002-prod 10.60.61.103 64:5d:86:fd:97:79 state=00000002 use=2 confirm=2607 update=2607 ref=2
index=5 ifname=wan1 192.168.50.2 7c:b7:33:3b:a1:18 state=00000002 use=4 confirm=119 update=1416 ref=48

# diagnose ip arp list | grep 10.60.60.100
index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000004 use=2968 confirm=6101 update=594 ref=9

Füge einen "ARP" Eintrag "temporär" hinzu

# diagnose ip arp add [Interface Name zBsp "internal"] [IPv4 Adresse für den ARP Eintrag] [MAC Adresse für den ARP Eintrag XX:XX:XX:XX:XX:XX]

Lösche einen "ARP" Eintrag

# diagnose ip arp delete [Interface Name zB "internal"] [IPv4 Adresse für den ARP Eintrag]

# config system arp-table 
# edit [Gebe einen entsprechenden Integer an zBsp "1"]
# set interface [Name des Interfaces zBsp "wan1"]
# set ip [IPv4 Adresse für den ARP Eintrag]
# set mac [MAC Adresse für den ARP Eintrag zBsp für "wan1"]
# end

# diagnose hardware deviceinfo nic
The following NICs are available:
       dmz
       internal1
       internal2
       internal3
       internal4
       internal5
       internal6
       internal7
       wan1
       wan2

# diagnose hardware deviceinfo nic wan1
Driver Name     :Fortinet NP4Lite Driver
Version         :1.0.0
Admin           :up
Current_HWaddr   08:5b:0e:47:db:58
Permanent_HWaddr 08:5b:0e:47:db:58
Status          :up
Speed           :100
Duplex          :Half
Host Rx Pkts    :11371
Host Rx Bytes   :835610
Host Tx Pkts    :16174
Host Tx Bytes   :2043274
Rx Pkts         :11370
Rx Bytes        :994717
Tx Pkts         :16168
Tx Bytes        :1883038
rx_buffer_len   :2048
Hidden          :No
cmd_in_list     : 0
promiscuous     : 1
enabled 802.1x  : 0
authorized      : 0
mac bypass      : 0

# execute clear system arp table

# diagnose sniffer packet any arp
interfaces=[any]
filters=[arp]
0.682098 arp who-has 198.18.3.3 tell 198.18.3.1
0.682251 arp reply 198.18.3.3 is-at 8:5b:e:5d:f7:c

# config system proxy-arp
# set interface [Namen des Externes Interface zB "wan1"]
# set ip [Public IPv4 Adresse des Servers im DMZ]
# set end-ip [Public IPv4 End Adresse des Servers im DMZ]
# end

Source IP Based:

Session können je nach Source IP Adresse, Source und Destination IP Adressen Routen oder Gewichtung des Interfaces, oder Interface Sitzungen können je nach Quell-IP-Adresse, Quell- und Ziel-IP-Adresse, Routen- oder Interfacegewicht oder Interfacevolumenschwellwert auf gleiche Routen verteilt werden.

Source-Destination IP Based:

Die Source-Destination-IP-Methode funktioniert ähnlich, berücksichtigt aber auch die Destination IP. Es wird also erwartet, dass die Session von einer bestimmten Source zu einer bestimmten Destination den gleichen Pfad verwenden.

Weight Based: (Gewichtung)

Wenn die ECMP Methode auf weighted konfiguriert ist, verteilt die FortiGate die Sessions mit verschiedenen Destination IPs, indem sie einen Zufallswert erzeugt um die zu wählende Route zu bestimmen. Die Wahrscheinlichkeit eine Route über eine andere auszuwählen basiert auf dem Weight Wert jeder Route oder Interface. Es ist wahrscheinlicher, dass höhere Weights gewählt werden.

Spillover (Usage Based)

Es gibt eine zusätzliche Methode namens usage-based (oder spillover). Beim nutzungsabhängigen Lastausgleich verwendet die FortiGate eine primäre Route, bis ein Schwellenwert des Verkehrsaufkommens erreicht ist; danach verwendet es die nächste verfügbare Route.

Wenn eine der ECMP-Routen ausfällt, und aus der Routingtabelle entfernt wird, wird der Traffic über die restlichen Routen geleitet.
Es ist keine spezielle Konfiguration für die Ausfallsicherung der Route erforderlich.

Source IP Based:

# config system settings
# set v4-ecmp-mode source-ip-based 
# end

Source-Destination IP Based:

# config system settings
# set v4-ecmp-mode source-dest-ip-based 
# end

Weight Based: (Gewichtung)

# config system settings
# set v4-ecmp-mode weight-based
# end

Auf den Interfaces muss die Gewichtung konfiguriert werden:

# config system interface
# edit [INTERFACE_NAME]
# set weight [Wert definieren zwischen 0 und 255]
# end

Gewichtung muss pro Route definiert werden:

# config router static
# edit [ROUTEN-ID]
# set weight [Wert definieren zwischen 0 und 255]
# end

Spillover (Usage Based)

# config system settings
# set v4-ecmp-mode usage-based
# end

Für Spillover-ECMP müssen die Spillover-Schwellenwerte per Interface konfiguriert werden:

# config system interface
# edit [INTERFACE_NAME]
# set spillover-threshold [Wert zwischen 0 und 16776000 definieren]

In diesem Szenario wird der eingehende Internetverkehr, welcher bei wan1 ankommt akzeptiert, da die Standardroute eine gültige Route zurück zur Source ist.

Es gibt jedoch zwei Interfaces welche eingehenden Datentraffic nicht weiterleiten: port1 und wan2. Port1 wird den Datentraffic nicht weiterleiten, da das Subnetz für Benutzer C 192.168.4.0/24 ist. Es gibt keine aktive Route für dieses Subnetz via Port1. So wird der Datentraffic von 192.168.4.0.0/24 zu Port1 eingestellt, weil dieser bei der RPF-Prüfung fehlgeschlagen ist.

Das andere Interface, welches den Datentraffic nicht weiterleitet, ist wan2. Während wan2 physisch mit dem Internet verbunden ist, sind die einzigen IP-Adressen, welche als Sourcen oder Destinationen für wan2 gelten jene im Subnetz 198.18.2.0/24. So wird der eingehende Datentraffic einer anderen Source nicht durch die RPF-Prüfung geleitet und umgehend gelöscht.

# get router info routing-table all

S*      0.0.0.0/0        [10/0] via 198.18.1.254, wan1
C       198.18.1.0/24    is directly connected, wan1
C       198.18.2.0/24    is directly connected, wan2
C       192.168.3.0/24   is directly connected, port1

Das erste Problem wird behoben indem eine statische Route zu 10.0.4.0.0/24 über Port1 hinzugefügt wird. Wenn die FortiGate nun die RPF-Prüfung für die Pakete von Benutzer C ausführt, findet diese eine aktive Route zu diesem Subnetz über Port1 und das Paket wird akzeptiert.

Das zweite Problem wird ebenfalls gelöst indem eine statische Route hinzugefügt wird. In diesem Fall ist es eine Standardroute für wan2. Diese zweite Standardroute muss die gleiche Distanz aufweisen wie jende für wan1. Damit wird sichergestellt, dass beide Routen in der Routingtabelle aktiv sind. Beide können unterschiedliche Prioritäten haben, aber sie müssen die gleiche A haben, um aktiv zu sein.

In diesem Beispiel wurden zwei Routen mit gleicher Distanz, aber unterschiedlicher Priorität konfiguriert. Eine Route ist also die bessere (jene mit der niedrigsten Priorität), aber beide sind aktiv. Die beste Route wird für den ausgehenden Traffic verwendet, aber beide können eingehende Traffic empfangen, ohne die RPF-Prüfung zu durchlaufen.

# get router info routing-table all

S*      0.0.0.0/0        [10/0] via 198.18.1.254, wan1
                         [10/0] via 198.18.2.254, wan2, [5/0]
S       192.168.4.0/24   [10/0] via 10.0.3.254, port1	
C       198.18.1.0/24    is directly connected, wan1
C       198.18.2.0/24    is directly connected, wan2
C       192.168.3.0/24   is directly connected, port1

Defaultmässig ist die FortiGate im Loose Mode
Per Interfaces:

# config system interface
# edit [INTERFACE_NAME]
# set src-check disable
# end

Global in den System Settings:

# config system setting
# set strict-src-check disable 
# end

Per Interfaces:

# config system interface
# edit [INTERFACE_NAME]
# set src-check enable
# end

Global in den System Settings:

# config system setting
# set strict-src-check enable 
# end

In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Quell-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Lose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist.

Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden.

Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil dieser zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset).

In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Source-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Loose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist.
Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden.
Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil er zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset).

Was passiert aber im gleichen Szenario, wenn Strict RPF verwendet wird?
Das stricte RPF löscht das SYN-Paket. Auch wenn die wan1-Standardroute eine aktive Route für das Subnetz 10.0.4.0/24 ist, ist sie nicht die beste Route. Die beste Route wäre über das Interface port1, da diese einen niedrigeren Distanzwert hat.

Beachte, dass die Default Distanz für direkt verbundene Routen 0 ist, was niedriger ist als die Distanz der Standardroute von 10.

Obwohl das stricte RPF sicherer ist, kann dies bei Verwendung des dynamischen Routings zu Fehlalarmen führen. Dynamische Routen können sich schnell ändern, und sie können die FortiGate veranlassen, legitimierte Pakete jedes Mal zu verwerfen sobald sich die bevorzugte Route ändert. Im Allgemeinen wird empfohlen loose RPF in Kombination mit Firewallregeln zu verwenden. So kann gefälschter Datenverkehr blockiert werden anstelle strict RPF zu diesem Zweckzu verwenden.

Ein FortiOS resp. eine FortiGate im "Transparent Mode" aggiert wie eine Bridge und leitet den Traffic im Layer-2 weiter. Dies bedeutet dass Ethernet-Packetebasierend deren "MAC Adressen" abgearbeitet werden und "nicht" anhand deren IP's.
Es findet deshalb kein "Routing" statt und Routen sind, ausser für das Mgmt. Interface der "Transparent" Firewall, resp. vdom nicht konfigurierbar!

Dieses Diagramm zeigt auf dass verschiede "Routing Tabellen" existieren welche für die verschieden eingesetzten Routing Technologien wie Policy Route, Cache, Statische Route usw. entscheidend sind. Die Informationen dieser "Routing Tabellen" spielen somit eine entscheidende Rolle ob ein Routing selektiert wird oder nicht!

Diagramm:

Routing-Tabelle im WebGui für FortiOS Versionen 5.6/6.0/6.2:

Über das WebGui kann ich nur die aktive Routing-Tabelle anschauen:

Gehe auf Monitor -> Routing Monitor

Routing-Tabelle im WebGui ab FortiOS Version 6.4:
]]

Menu Dashboard -> Network und dann beim Widget Static & Dynamic Routing auf die Grafik klicken

Nun sieht man die Routing-Tabelle im Diagramm und in aufgelisteter Form.

Um auf der CLI nur die "aktiven" Routing-Einträge aufzulisten kann folgender Befehl ausgeführt werden:

# get router info routing-table all 

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

S*      0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1
S       172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S       172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S       172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S       172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S       172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C       198.18.0.0/27 is directly connected, port1
S       198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0
S       198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0
C       198.18.0.128/30 is directly connected, sg0e0-cisco0
C       198.18.0.136/30 is directly connected, sg0e0-hp0
C       198.18.0.140/30 is directly connected, sg0e0-dmz0
S       198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S       198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S       198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S       198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0
S       198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C       198.18.4.0/24 is directly connected, sg0-e-link-lan
S       198.18.10.0/25 [10/0] is directly connected, ssl.root
S       198.18.11.0/25 [10/0] is directly connected, ssl.root
S       198.18.13.0/25 [10/0] is directly connected, ssl.root
S       198.18.13.128/25 [10/0] is directly connected, ssl.root
C       217.193.240.160/29 is directly connected, vdom-wan1

Konfiguration über CLI: get router info routing-table database

# get router info routing-table database 

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       > - selected route, * - FIB route, p - stale info

S    *> 0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1
S    *> 172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S    *> 172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C    *> 198.18.0.0/27 is directly connected, port1
S    *> 198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0
C    *> 198.18.0.128/30 is directly connected, sg0e0-cisco0
C    *> 198.18.0.136/30 is directly connected, sg0e0-hp0
C    *> 198.18.0.140/30 is directly connected, sg0e0-dmz0
S    *> 198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S    *> 198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0
S    *> 198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C    *> 198.18.4.0/24 is directly connected, sg0-e-link-lan
S    *> 198.18.10.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.11.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.13.0/25 [10/0] is directly connected, ssl.root
S    *> 198.18.13.128/25 [10/0] is directly connected, ssl.root
C    *> 217.193.240.160/29 is directly connected, vdom-wan1

Konfiguration über CLI: diagnose ip rtcache list

# diagnose ip rtcache list

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
0.0.0.0@0->198.18.0.1@64(root) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=1 expire=0 err=00000000 used=819 br=0 pmtu=16436

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
193.193.135.65@5(wan1)->193.193.135.95@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=220 expire=0 err=00000000 used=5 br=0 pmtu=1492

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
193.193.135.65@5(wan1)->193.193.135.66@64(root) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=3 lastused=0 expire=0 err=00000000 used=348 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=8 expire=0 err=00000000 used=952 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
0.0.0.0@66(fortinet4intern)->255.255.255.255@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=1 lastused=282 expire=0 err=00000000 used=0 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=2109 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=8022 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=1 lastused=4 expire=0 err=00000000 used=59 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
198.18.2.2@66(fortinet4intern)->198.18.2.127@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=135 expire=0 err=00000000 used=61 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.2.1@0->198.18.2.2@66(fortinet4intern) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=48 expire=0 err=00000000 used=22 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=3 expire=0 err=00000000 used=491 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.2@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=13 expire=0 err=00000000 used=572 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.2.2@66(fortinet4intern)->198.18.2.1@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=10 lastused=0 expire=0 err=00000000 used=20 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.2@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=13 expire=0 err=00000000 used=660 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.0.1@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=1 expire=-2395 err=00000000 used=440 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.3@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=4 expire=0 err=00000000 used=1 br=0 pmtu=1500

Konfiguration über CLI: execute router restart

# execute router restart

Im Menu Netzwork -> Static Routes

1. Destinations Netzwerk konfigurieren
2. Interface auf Blackhole wählen
3. Administrative Distance muss höher als die eigentliche Route sein. Wir empfehlen den Wert 254 zu nehmen.
4. Kommentare schaffen Klarheit
5. Status enable um die Route aktiv zu schalten
6. mit OK die Route einrichten.

config router static
edit [ID] -> Route ID angeben z.B 1
set dst 172.16.16.0 255.255.255.0
set distance 254
set comment "Blackhole Route 172.16.16.0/24"
set blackhole enable
end

1. Gehe ins Menu Monitor -> Routing Monitor

get router info routing-table all

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

S*      0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S       172.16.16.0/24 [10/0] is directly connected, vpn_to_sideB
C       192.168.2.0/24 is directly connected, internal
C       198.18.0.0/27 is directly connected, wan1

1. Gehe ins Menu Monitor -> Routing Monitor

get router info routing-table all

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

S*      0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S       172.16.16.0/24 [254/0] is a summary, Null
C       192.168.2.0/24 is directly connected, internal
C       198.18.0.0/27 is directly connected, wan1

Wenn ich die ganze Routing Tabelle anschaue (auch mit den inaktiven Routen) sehe ich beide Routen auf die Adresse 172.16.16.0/24. Die Route welche mit einem * markiert wird, ist die aktive Route.

get router info routing-table database
Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       > - selected route, * - FIB route, p - stale info

S    *> 0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S       172.16.16.0/24 [10/0] is directly connected, vpn_to_sideB inactive  --> Die Route auf das Tunnel Interface ist inaktiv
S    *> 172.16.16.0/24 [254/0] is a summary, Null                           --> Die Route auf das Null Device (Blackhole) ist aktiv  
C    *> 192.168.2.0/24 is directly connected, internal
C    *> 198.18.0.0/27 is directly connected, wan1

Grundsätzlich kann man auf jeder FortiGate die privaten IP Ranges auf eine Blackhole-Route konfigurieren. Mit diesen drei Routen kann so jeglicher Traffic, welcher in das Public WAN (INTERNET) geroutet wird, direkt abgefangen werden.

Für folgende private Netze kann also eine Blackhole Route defaultmässig eingerichtet werden:

Private Netze Gemäss RFC1918:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Siehe auch : https://tools.ietf.org/html/rfc1918

config router static
edit 100
set dst 10.0.0.0/8
set distance 254
set comment "Blackhole 10.0.0.0/8 - RFC1918"
set blackhole enable
next
edit 101
set dst 172.16.0.0/12
set distance 254
set comment "Blackhole 172.16.0.0/12 -RFC1918"
set blackhole enable
next
edit 102
set dst 168.168.0.0/16
set distance 254
set comment "Blackhole 192.168.0.0/16-RFC1918"
set blackhole enable
next
end

Wenn ein Class D (Verwendung für Multicast-Anwendungen) oder Class E Netz (reserviert für zukünftige Zwecke) in eine Blackhole-Route konfiguriert werden soll, wird dies von der FortiGate nicht unterstützt.

Weitere Infos über die Netzklassen : https://de.wikipedia.org/wiki/Netzklasse

Beispiel in der CLI:

config router static 
edit 0
new entry '0' added
set blackhole enable 
set distance 254
set dst 224.0.0.0/3
ip address must be a class A, B, or C ip
value parse error before '224.0.0.0/3'
Command fail. Return code -8

Um sämtlichen eingehenden Traffic auf die FortiGate weiter zu leiten, muss auf dem Swisscom Router die DMZ Funktion aktiviert werden. Als Destination wird die FortiGate ausgewählt.

Menu:Policy & Objects -> Addresses -> Create New+ -> Category Multicast Address

config firewall multicast-address
    edit "mc-swisscom_224.0.0.0-224.255.255.255"
        set start-ip 224.0.0.0
        set end-ip 224.255.255.255
        set color 26
    next
    edit "mc-swisscom_239.0.0.0-239.255.255.255"
        set start-ip 239.0.0.0
        set end-ip 239.255.255.255
        set color 26
    next
end

id=20085 trace_id=10 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [S], seq 3291199818, ack 0, win 65535"
id=20085 trace_id=10 func=init_ip_session_common line=5666 msg="allocate a new session-000015a7"
id=20085 trace_id=10 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-80.78.133.251 via tun1"
id=20085 trace_id=10 func=fw_forward_handler line=771 msg="Allowed by Policy-14: SNAT"
id=20085 trace_id=10 func=ids_receive line=289 msg="send to ips"
id=20085 trace_id=10 func=__ip_session_run_tuple line=3286 msg="SNAT 172.22.4.99->192.168.1.1:47287"
id=20085 trace_id=10 func=ipsecdev_hard_start_xmit line=777 msg="enter IPsec interface-tun1"
id=20085 trace_id=10 func=esp_output4 line=904 msg="IPsec encrypt/auth"
id=20085 trace_id=11 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034"
id=20085 trace_id=11 func=resolve_ip_tuple_fast line=5581 msg="Find an existing session, id-000015a7, original direction"
id=20085 trace_id=11 func=ids_receive line=289 msg="send to ips"
id=20085 trace_id=11 func=ip_session_core_in line=6275 msg="outgoing dev changed:44->42 dir=original, drop"
id=20085 trace_id=12 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034"
id=20085 trace_id=12 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-192.168.1.1 via tun1"
id=20085 trace_id=12 func=fw_forward_dirty_handler line=385 msg="no session matched"

# config system settings
# show full-configuration | grep aux
# set auxiliary-session disable

# config system settings
# set auxiliary-session enable
# end

Menu: System > Settings -> Email Service (6.2)

1. Um einen eigenen E-Mail Server zu konfigurieren, muss Use custom settings eingeschaltet werden.
2. Im Feld SMTP Server FQDN Adresse des Mailservers angeben.
3. Unter "Port" kann kann der Mail-Port angepasst werden, falls er vom Default Wert abweicht.
4. wenn notwendig kann Authentication aktivieret werden und Username mit Passwort für den Mailserver angeben.
5. Security Mode wählen
   1. None = SMTP default Port TCP 25
   2. SMTPS = SSL/TLS default TCP 465
   3. START TLS (SMTP und TLS default Port TCP 587)
6. Default Reply to Wird die Emai-Adresse angegeben, welche als Absender fungiert.

# config system email-server
# set type custom
# set reply-to [Absender Email Adresse]
# set server [FQDN SMTP Server]
# set port [Gebe einen entsprechenden Port an zBsp "25"]
# set source-ip [Optional gebe eine Source IPv4 Adresse an für den Absender der SMTP Nachricht]
# set source-ip6 [Optional gebe eine Source IPv6 Adresse an für den Absender der SMTP Nachricht]
# set authentication [enable | disable]
# set username [Username für die Authentifizierung]
# set password [Passwort für die Authentifizierung]
# set validate-server [enable| disable]
# set security [none | smtps | starttls]
# end

1. Use custom settings deaktivieren
2. Default Reply To wird die Absender Email Adresse angegeben.

# config system email-server
# set reply-to [Absender Email Adresse]
# set server "notification.fortinet.net"
# set port 465
# set Security smtps
# end

# config system global
# set two-factor-ftk-expiry [Zeit in Sekunden]    -> FortiToken Session Timeout 
# set two-factor-ftm-expiry [Zeit in Sekunden]    -> FortiToken Mobile Session Timeout 
# set two-factor-sms-expiry [Zeit in Sekunden]    -> SMS Session Timeout
# set two-factor-fac-expiry [Zeit in Sekunden]    -> FortiAuthenticator Token Session Timeout
# set two-factor-email-expiry [Zeit in Sekunden]  -> Email Session Timeout
# end

# config system global
# set remoteauthtimeout [1-300s]
# end

Die remoteauthtimout Einstellung zeigt nicht nur an, wie lange SSL-VPN auf die Bereitstellung des Token wartet, sondern auch auf andere Remote-Authentifizierungen, wie zum Beispiel die Authentifizierung von LDAP, RADIUS usw.

Das bedeutet, dass wenn der Timer erhöht wird, die FortiGate beinträchtig werden kann. Der Server ist nicht erreichbar, wenn der erhöhte Timer zu lange benötigt, um die FortiGate zu erreichen.

Über das Menue User Account Policies -> Tokens können die Timeouts konfiguriert werden:

1. Im Feld FortiToken der Menue-Punkt TOTP authentication window kann der Wert für die FortiToken Timeouts konfiguriert werden. Default ist 1 Minute eingestellt. Möglich ist 1 Minute - 60 Minuten.
2. Unter Email/SMS kann der Token Timeout in Sekunden (10-3600) angepasst werden.

# config system sms-server
# edit [Name des Service/Provider zB "swisscom"]
# set mail-server [FQDN des Mail Server für SMS Versandt zB "sms.ip-plus.net"]
# end

# execute fortiguard-message add xxxx-xxxx-xxxx-xxxx-xxxx ---> Den Aktivierungs Code der SMS Lizenz gemäss erhaltenem Dokument einfügen. 
# execute fortiguard-message update 

# execute fortiguard-message info
Controller server status: registered
Expiry date: 20200102
SMS max allowed: 4
SMS used: 4
Last update: Wed Apr 17 10:31:02 2019

Current message server: 208.91.113.184:443
Message server status: unknown

# diagnose sys top [refresh_time_sec] [number_of_lines]

Wenn man die "top" 20 Prozesse (Standard) auflisten möchte, kann der # diagnose sys top Befehl ohne die Optionen von "refresh_time_sec" sowie "number_of_lines" benutzt werden:

# diagnose sys top
Run Time:  0 days, 2 hours and 1 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 636F
       ipsengine      358      S <     0.1     5.0
       extenderd      178      S       0.1     0.4
          lnkmtd      161      S       0.1     0.3
          newcli      554      R <     0.1     0.3
       ipsengine      356      S <     0.0     5.0
       ipsengine      357      S <     0.0     5.0
       ipsengine      359      S <     0.0     5.0
       ipshelper      355      S <     0.0     4.2
       scanunitd      352      S <     0.0     2.1
       scanunitd      525      S <     0.0     2.0
       scanunitd      526      S <     0.0     2.0
       scanunitd      523      S <     0.0     1.9
       scanunitd      524      S <     0.0     1.9
         cmdbsvr      100      S       0.0     1.7
       forticron      136      S       0.0     1.4
         pyfcgid      495      S       0.0     1.2
          cw_acd      168      S       0.0     1.2
          httpsd      212      S       0.0     1.0
          httpsd      210      S       0.0     1.0
          httpsd      127      S       0.0     0.9

Um den Befehl respektive die Funktion zu beenden benütze "Ctrl + C".

Beschreibung:

Datei:Fortinet-307.jpg

# diagnsoe sys top 5 10
Run Time:  0 days, 2 hours and 7 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 651F
         miglogd      196      S       0.3     0.9
       ipsengine      356      S <     0.1     5.0
       ipsengine      357      S <     0.1     5.0
          cw_acd      168      S       0.1     1.2
         miglogd      195      S       0.1     0.9
         src-vis      152      S       0.1     0.6
          lnkmtd      161      S       0.1     0.3
          newcli      568      R <     0.1     0.3
          proxyd      144      S       0.1     0.3
       ipsengine      359      S <     0.0     5.0

# diagnose sys top-summary -h
Usage: top-summary [options]

Options:
  -n LINES, --num=LINES
                        Number of top processes to show (20 by default)
  -i INTERVAL, --interval=INTERVAL
                        Update interval, in seconds (1 by default)
  -s SORT, --sort=SORT  Sort mode: [cpu_percent (default)|mem|fds|pid]
  -d, --dump            Dump stats to the files
  -h, --help            show this help message and exit

Anhand dieser Optionen kann folgender Befehl abgesetzt werden um mit "-s mem" die Prozesse nach Memory-Nutzung zu sortieren und alle 60 Sekunden "-i 60" einen Refresh durchzuführen, sowie mit "-n 10" die Top 10 Prozesse aufzulisten:
diagnose sys top-summary '-s mem -i 60 -n 10'

# diagnose sys top-summary '-s mem -i 60 -n 10'
   CPU [||||||||||                              ]  25.0%
   Mem [||||||||||||||||||||||||||              ]  65.0%  1227M/1866M
   Processes: 10 (running=1 sleeping=135)

   PID      RSS   CPU% ^MEM%   FDS     TIME+  NAME
 * 130     420M    0.0 22.5   423  02:32.11  ipsmonitor [x6]
   352      39M    0.0  2.1    53  00:31.92  scanunitd [x5]
   100      32M    0.0  1.7    14  00:07.14  cmdbsvr
   136      26M    0.0  1.4    26  00:09.10  forticron
   495      24M    0.0  1.3    12  00:00.56  pyfcgid [x4]
   168      23M    0.0  1.2    31  05:45.90  cw_acd
   127      20M    0.0  1.1    41  00:26.25  httpsd [x11]
   125      17M    0.0  0.9    65  00:12.11  miglogd [x3]
   167      13M    0.0  0.7    22  00:00.98  fgfmd
   591      12M    0.0  0.7    12  00:00.66  newcli [x2]

Die Angabe "-s mem" indiziert die Spalte "MEM%" das heisst die Prozesse sollen nach "CPU%" Auslastung sortiert werden anstelle von "-s mem" die Angabe "-s cpu" benützt werden!

# diagnose sys process pidof httpsd
127
210
212
214
225
228
248
295
323
326
475

Als Erstes müssen wir wissen, welcher Prozess welche Prozess-Nummer erhalten hat. Dies wird mit dem Befehl diagnose sys top ermittelt:

# diagnose sys top
Run Time:  0 days, 7 hours and 50 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 2012T, 681F
       ipshelper      314      S <     0.0     3.9
         cmdbsvr      124      S       0.0     3.3
       ipsengine      315      S <     0.0     3.0
          httpsd      379      S       0.0     3.0
         miglogd      144      S       0.0     2.4
         pyfcgid      284      S       0.0     2.3
          httpsd      209      S       0.0     2.2
          httpsd      380      S       0.0     2.0
         reportd      163      S       0.0     2.0
          httpsd      317      S       0.0     1.8
         pyfcgid      286      S       0.0     1.8
       forticron      155      S       0.0     1.7
          httpsd      656      S       0.0     1.6
          cw_acd      180      S       0.0     1.4
          httpsd     1338      S       0.0     1.4
         miglogd      196      S       0.0     1.4

# diagnose sys process dump 315 | grep Cpu
Cpus_allowed: 1                          <---- 0001  (binär umgerechnet).
Cpus_allowed_list: 0                     <----  CPU Nummer 0

# diagnose sys process dump 196 | grep Cpu
Cpus_allowed: 2                       <----- 0010 (binär umgerechnet).
Cpus_allowed_list: 1                  <-----  CPU Nummer 1

Hier ist ein Link um dezimale Zahlen in binäre Zahlen umzurechnen:

• https://www.matheretter.de/rechner/zahlenkonverter

1. System -> Settings

1. ganz nach unten zu Debug Logs scrollen
2. Download anwählen und Datei herunterladen

# execute tac report

1. Network -> Interfaces -> auf das entsprechende Interface gehen.
2. Unter der Position "Role" die gewünschte Rolle auswählen

# config system interface
# edit [Name des entsprechenden Interface zB "internal"]
# set role [lan | wan | dmz | undefined]
# end

Undefined Role:

Alle Optionen im WebGui sind sichtbar und können konfiguriert werden.

WAN Role:

• Das Interface dient zur Verbindung zum Internet
• Das Interface ist standardmässig auf DHCP konfiguriert
• Die folgenden Funktionen und Optionen sind in der DMZ "Role" nicht verfügbar:
  • Geräte-Identifikation
  • One-Arm Sniffer
  • Dedizierung für Extension/FortiAP Modus
  • DHCP-Server
  • Security Mode und Admission Control

LAN Role

• Das Interface wird für Verbindungen mit dem lokalen Netzwerk mit Endpoints verwendet
• Die folgenden Funktionen und Optionen sind ausgeblendet (nur 5.4.0):
  • Secondäre IP Adresse

DMZ Role

• Interface wird für Verbindungen zu Servernetzwerken/Server benutzt.
• Die folgenden Funktionen und Optionen sind ausgeblendet
  • Secondäre IP Adresse (nur FortiOS 5.4.0)
  • DHCP Server

# get hardware nic <INTERFACE_NAME>

Beispiel:

# get hardware nic port1
Description     :FortiASIC NP6 Adapter
Driver Name     :FortiASIC Unified NPU Driver
Name            :np6_0
PCI Slot        :0000:01:00.0
irq             :16
Board           :FGT300d
SN              :FGT************
Major ID        :5
Minor ID        :0
lif id          :0
lif oid         :130
netdev oid      :130
netdev flags    :1303
Current_HWaddr   00:09:0f:09:00:02
Permanent_HWaddr 90:6c:ac:17:b0:ac
phy name        :port1
bank_id         :1
phy_addr        :0x00
lane            :0
flags           :220
sw_port         :0
sw_np_port      :0
vid_phy[6]      :[0x02][0x00][0x00][0x00][0x00][0x00]
vid_fwd[6]      :[0x00][0x00][0x00][0x00][0x00][0x00]
oid_fwd[6]      :[0x00][0x00][0x00][0x00][0x00][0x00]
========== Link Status ==========
Admin           :up
netdev status   :up
autonego_setting:1
link_setting    :1
link_speed      :1000
link_duplex     :0
Speed           :1000
Duplex          :Full
link_status     :Up
rx_link_status  :1
int_phy_link    :0
local_fault     :0
local_warning   :0
remote_fault    :0
============ Counters ===========
Rx_CRC_Errors   :0
Rx_Frame_Too_Longs:0
rx_undersize    :0
Rx Pkts         :3130045
Rx Bytes        :752876757
Tx Pkts         :3430304
Tx Bytes        :2363052814
Host Rx Pkts    :3130032
Host Rx Bytes   :691819956
Host Rx dropped :0
Host Tx Pkts    :3430304
Host Tx Bytes   :2348345744
Host Tx dropped :0

# fnsysctl ifconfig <INTERFACE_NAME>

Beispiel:

# fnsysctl ifconfig port1
port1   Link encap:Ethernet  HWaddr 00:09:0F:09:00:02
        inet addr:198.18.0.1  Bcast:198.18.0.31  Mask:255.255.255.224
        UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
        RX packets:3131156 errors:0 dropped:0 overruns:0 frame:0
        TX packets:3431342 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000 
        RX bytes:753144031 (718.3 MB)  TX bytes:2363678516 (2.2 GB) 

Über das Menu Network -> Interfaces ->

1. Interface Name definieren
2. Alias bei Bedarf definieren (dieser Name wird in den Polices angezeigt)
3. den Typ auf VLAN einstellen
4. Das physikalische Interface auswählen, bei welchen das VLAN angebunden werden soll
5. VLAN ID definieren und konfigurieren
6. Netzwerk Konfigurationen vornehmen wie bei einem physikalischen Interface

Die VLAN Interfaces sieht man beim physikalischen Interface wenn man auf das + klickt.

config system interface
    edit "vl_1500_userlan"
        set vdom "root"
        set ip 172.16.18.2 255.255.255.0
        set alias "vl1500-ulan_frontend"
        set device-identification enable
        set role lan
        set interface "internal7"
        set vlanid 1500
    next
end

config system interface
edit int_vl1200
set secondary-IP enable
set interface "internal"
set vlanid 1200
config secondaryip 
edit 1 
set ip 172.16.17.1 255.255.255.0   
next
end
next
end

Um auf dem WebGui die sekundäre IP zu konfigurieren muss einmal das Feature aktiviert worden sein. Danach ist es möglich auf allen Interfaces diese Option über das WebGui zu benutzen.

1. Menu Network -> Interfaces -> das entsprechende vlan Interface editieren
2. Die Option Secondary IP address aktivieren
3. Mit kann eine neue sekundäre IP Adresse auf das VLAN konfiguriert werden.

Eine Änderung des MTU-Wertes kann den Internetzugang für eine kurze Zeit beeinträchtigen, da nach der Anpassung des Wertes ein Reboot der Hardware vorgenommen werden muss. Es wird empfohlen die MTU-Änderung in einem Wartungsfenster vorzunehmen oder den Kunden zu informieren, dass es zu einem Unterbruch kommt!

config system interface
     edit [INTERFACE]
          set mtu-override [enable|disable]
          set mtu [MTU_WERT]
     end
end

Beispiel:

config system interface
     edit internal1
          set mtu-ovveride enable
          set mtu 1492
     end
end

Wenn die FortiGate im transparent Modus ist muss noch folgendes beachtet werden:
Wird auf einem Interface der MTU-Wert angepasst, muss auf allen Interface der MTU-Wert auf der FortiGate angepasst werden!

Über das Menu Network --> Interfaces --> [Interface auswählen] in die Interface Konfiguration navigieren.

Ganz nach unten scrollen, dann kann man im Menupunkt Miscellaneos unter Status die Aktion anwählen:

• Enabled --> Interface aktivieren
• Disabled --> Interface deaktivieren
  

Im "Comments"-Feld kann ein Kommentar eingefügt werden.

In der Gesamtübersicht der Interfaces erkennt man die deaktivierten Interfaces anhand dessen dass diese hellgrau geschrieben sind:

config system interface
     edit [INTERFACE_NAME]
          set status [up|down]
          set description "[BESCHREIBUNG]"
     next
end

Beispiel:

config system interface
     edit internal7
          set status [up|down]
          set description "Administrativ down 26.05.2020 - mru"
     next
end

Den Interface Status kann ich folgendermassen überprüfen:

config system interface
edit internal7
                                                                                                        
(internal7) # get | grep status
cli-conn-status     : 0
status              : down <-- Interface Status 

Wichtig ist, das eine Link Aggregation nur Interfaces benutzen kann, welche am gleichen NP angeschlossen sind oder durch eine ISF (Interne Switch Fabric) verbunden sind. Wie die Interfaces auf einer FortiGate verteilt sind, kann den Schematics entnommen werden.

Datei:Fortinet-Hardware-Schematics.pdf <-- Die Schematics dürfen nicht mit Endkunden geteilt werden!!

1. Type auf RSA setzen.
2. Bit Anzahl im Feld Number of bits in a generated key: angeben.
3. Um den Key zu generieren den Button Generate anwählen

1. mit dem Maus-Cursor willkürlich und zufällig durch das Fenster bewegen, bis der grüne Balken gefüllt ist.

1. im Feld Key passphrase sollte man den privaten Schlüssel durch ein Passwort schützen.
2. Den öffentlichen und privaten Schlüssel lokal abspeichern (Save public key und save privat key)

# config system admin
# edit [Administrator]
# set ssh-public-key1 "ssh-rsa [PublicKey Term]"
# end

nach SSH-RSA muss der öffentliche Schlüssel in einer Linie hereinkopiert werden.
Dabei ist darauf zu achten dass folgendes nicht mit kopiert wird:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20200327"
---- END SSH2 PUBLIC KEY ----

Achtet darauf, dass der Public Key in einer Zeile, welche mit Anführungs-Zeichen beginnt und mit dem Schlusszeichen endet:

"ssh-rsa PublicKey in einer Linie"

Beispiel:

# config system admin
# edit admin
# set ssh-public-key1 "ssh-rsa AAAAB3NzaC....E2MSyQ=="
# end

1. unter dem Menu "Session" den Hostname und den Port (Default 22) angeben
2. Connection type wird SSH angewählt.

1. Über das Menu Connection -> SSH -> Auth muss bei Private key file for authentication: der Standort des privaten Keys angegeben werden.

Ergebniss:
Wenn man sich jetzt über das Putty mit der FortiGate verbindet, muss man den Username angeben. Danach wird man automatisch ohne Passworteingabe auf der FortiGate authentifiziert.

Schlüsselpaar generieren:
Folgendermassen kann man in der Konsole ein Schlüsselpaar generieren:

ssh-keygen -t rsa -b 4096

Unter Linux oder Mac OS X kann man sich folgendermassen auf die FortiGate über SSH verbinden:

ssh -i .ssh/key_rsa username@host

.ssh/key_rsa' bezieht sich auf den Pfad in welchem der private Schlüssel gespeichert wurde.

Beispiel:

ssh -i .ssh/key_rsa admin@10.60.60.2 

Um das Passwort für den standard Administrator "admin" zurück zu setzen muss ein Zugriff via einen seriellen Console-Port (RS-232) sicher gestellt werden:

8 bits 
no parity 
1 stop bit 
9600 baud
Flow Control = none 

Nach dem man mit der FortiGate über den Konsolen-Port verbunden ist, muss die FortiGate neu gestartet werden. Dies muss über einen Hardware-Reboot (Strom ausschalten, Strom einschalten) geschehen. Wenn auf der CLI die Loging Aufforderung kommt muss man sich relativ schnell mit dem User ‘’’maintainer’’’ und dem Passwort bcpb[Serie Nummer der FortiGate] identifizieren. Es ist darauf zu achten, dass die Serienummer in GROSSBUCHSTABEN geschrieben wird.

Tipp: bcpb[SERIENUMMER] in ein Textfile schreiben und kopieren, damit das Passwort mittels copy/ paste eigegeben werden kann.

User     = 	maintainer
Password = 	bcpbFGT60E4613015338
Welcome!

Nun kann das Passwort des standard Administrators "admin" neu konfiguriert werden:

# config system admin
# edit admin
# set password [neues Passwort]
# end

# config system global
# set admin-maintainer [enable | disable]
# end

Wenn der admin-maintainer deaktiviert wird, gibt es keine Möglichkeit mehr, dass Passwort zu resetten. Auch der technische Support von Fortinet hat keine Möglichkeit mehr, dass Passwort zurückzusetzen!

config system global
set pre-login-banner [enable | disable] --> enable für einschalten.
end

Bevor ich jetzt auf das Anmeldefenster komme wird die vordefinierte Warnmeldung angezeigt:

Der User muss akzeptieren, dass er auf das Anmeldefenster kommt.

config system global
set post-login-banner [enable | disable] --> enable für einschalten.
end

Nach dem Einloggen wird dem User eine Warnmeldung angezeigt, bei welcher der User bestätigen muss.

1. System -> Replacement Messages
2. Extendet View anwählen
3. die beiden Templates sind unter dem Titel "Administrator" abgelegt.
   1. Post-login Disclaimer Message : Meldung nach dem einloggen auf die FortiGate
   2. Pre-login Disclaimer Message : Meldung vor dem Logging-Fenster

1. Das gewünschte Template klicken um es zu editieren.
2. In der linken Hälfte sieht man das Ergebnis, auf der rechten Seite kann der Text formatiert werden.
3. Mit dem "Restore Default" Button kann wieder das default Template hergestellt werden.
4. Mit "Save" kann die Änderung bestätigt werden.

1. User & Device -> User Groups
2. Für eine lokale Gruppe auf der FortiGate den Type "Firewall" auswählen
3. Gruppenname definieren
4. Members auf das + und die gewünschten User hinzufügen
5. mit OK die Gruppe anlegen

1. In die gewünschte Policy gehen
2. Die Usergruppe muss in der Policy bei den Source unter User ausgewählt werden
3. Der Rest der Policy wie gewohnt konfigurieren.

Die User können mit folgendem Syntax der Gruppe "USER" "NEXT-USER" .... "END-USER" hinzugefügt werden.

config user group
    edit "gr-Wartung"
        set member "user1" "user2"
    next
end

Bei einer Firewall Policy wird die Usergruppe mittels folgendem Befehl set Groups <GRUPPEN_NAME> hinzugefügt

config firewall policy
    edit <POLICY_ID>
        set name "O_Wartung->Internet"
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "net-192.168.1.0-24"
        set dstaddr "net-0.0.0.0-00"
        set action accept
        set schedule "always"
        set service "HTTP" "HTTPS"
        set logtraffic all
        set groups "gr-Wartung"
        set nat enable
    next
end

Über den Menupunkt Monitor -> Firewall User Monitor können die momentan eingeloggten User eingesehen werden:

Um einen User zu deauthorizieren, muss der entsprechende User mittels Rechtsklick angewählt werden und dann der Button Deauthenticate selektiert werden.

1. User & Device -> User Definition
2. Local User auswählen um den User auf der FortiGate zu erfassen
3. Next

1. Username definieren
2. Passwort für den User definieren
3. Next

1. optional kann eine Email-Adresse angegeben werden
2. SMS Schalthebel aktivieren
3. "Contry Dial Code" auf das gewünschte Land setzen
4. Phone Number wird die Mobile Telefonnummer ohne Null voraus angegeben. Die Mobile Nummer muss im folgenden Format konfiguriert werden: [Ländercode][Mobilenummer ohne Null voraus] -> z.B. 079 123 45 67 wird so hinterlegt : 41791234567
5. Next

Hinweis: Der Parameter set two-factor sms muss über die CLI konfiguriert werden.

1. Wenn eine Usergruppe vorhanden ist, kann diese über den Schalter "User Group" ausgewählt werden, so wird der User direkt dieser Gruppe hinzugefügt
2. Submit um den User fertig einzurichten

Jetzt muss der User bei der entsprechenden Regel in die Source eingefügt werden.

1. Policy Source auf User gehen und den User oder die Gruppe auswählen
2. Die Policy wie gewohnt einrichten (Destination Services NAT usw...)

Den User konfigurieren:

config user local
    edit "user1"
        set type Password
        set two-factor sms
        set sms-phone "41791234567"
        set password "password"
    next
end

Der set two-factor sms Parameter ist wichtig, damit dem User mitgeteilt wird, dass die SMS Zweifaktor-Authentifizierung aktiviert wird. Leider ist diese Option im WebGui beim User erst ersichtlich, wenn sie auf der CLI einmal konfiguriert wurde.

Bei der Policy muss der User in der Source angegeben werden, damit die Authentifizierung gezogen wird. In dieser Regel sind "ANY Services" konfiguriert. Für einen produktiven und sicheren Betrieb empfiehlt sich nur die Services freizuschalten, welche auch benötigt werden. Weiter empfiehlt es sich das entsprechende UTM Features zu aktivieren um sich optimal abzusichern.

config firewall policy
    edit <POLICY-ID>
        set name "O_UserAuthent->Internet"
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "net-192.168.1.0-24"
        set dstaddr "net-0.0.0.0-00"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set users "user1"
        set nat enable
    next
end

Wenn wir jetzt eine Anfrage über den Webbrowser in das Internet vornehmen wird ein Loging Fenster im Browser erscheinen:

Nachdem sich der user1 mit seinem Passwort authentifiziert hat, kommt noch die SMS abfrage. Der User hat jetzt 60 Sekunden Zeit den SMS-Code einzutippen. Nach dieser Zeit ist der ausgelieferte Code erneut ungültig.

Local-In-Firewall Regeln können nur in der CLI erstellt oder bearbeitet werden. Die vorhandenen Local-In-Policies werden im WebGui angezeigt. Damit man die automatisch angelegten LocalIn Firewallregeln sieht muss man das Feature freischalten:

1. Menu System -> Feature Visibiltiy -> Local In Policy aktivieren.
2. Danach kann man unter Policy & Objects das Menu Local In Policy finden.

# config system settings
# set gui-local-in-policy enable
# end

Wir konfigurieren auf dem Interface (internal) die Services PING(icmp 8), HTTPS (tcp443), SSH(tcp22) und FMG-Access(tcp541).

Sobald wir diese Management Methoden konfiguriert haben und die Interface Konfiguration verlassen, sehen wir, dass in den LocalIn auf dem Interface internal die entsprechenden Ports geöffnet sind:

Der HTTPS wird als TCP4443 (Admin Port) im Tap Authentication angezeigt und ist auf diesem Screenshot nicht ersichtlich!

Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!

# config firewall [local-in-policy | local-in-policy6] 
# edit [Policy ID definieren]
# set intf [Source Interface]
# set srcaddr [Source IP Adresse]
# set dstaddr [Destinations IP Adresse]
# set action [accept | deny]
# set service [Service Name]
# set schedule [Gültigkeit der Policy]
# set comments "[Fakultativer Kommentar]"
# end

Falls ich das HA-Management Interface als dediziertes Management Interface benutzen will, muss ich dies in der entsprechenden Local-In Policy mit dem Befehl set ha-mgmt-intf-only enable konfigurieren.

# config firewall local-in-policy 
# edit 1
# set intf internal7
# set srcaddr net-10.10.250.0-24
# set dstaddr all
# set action deny
# set service SMB
# set schedule alsways
# set comments "Block SMB from internal 7"
# end

# config firewall local-in-Policy
# edit [Policy_ID]
# set status [enable | disable] -> aktivieren oder deaktivieren
# end

Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!

Parameter

Beschreibung

proto=6

Gibt an um welches Protokoll es sich handelt, zBsp 6 = TCP. Weitere Informationen zu den Protokoll-Nummern siehe auch nachfolgender Artikel:

Allgemein:Assigned-Internet-Protocol-Numbers-RFC

proto_state=02

Die erste Stelle des "proto_state" gibt an ob diese Session Clientseitig eine "proxy_based" Inspection ist. Wenn es sich um keine "proxy_based" Inspection handelt wird eine "0" gesetzt. Unterschied Proxy und Flow Inspektion

Die zweite Stelle gibt Server Seitig den "state" an. (in unserem Beispiel "2")
Gültigen "states" sind:

Proto_state Feld für TCP Weil eine FortiGate eine "stateful firewall" ist überwacht das FortiOS ebenfalls die "reply session". Aus diesem Grund verfügt der "proto_state=OR" dh. Orginal "direction" und Reply "direction":

Proto_state Feld für SCTP Ab FortiOS 4.2 unterstützt ein FortiGate Device resp. FortiOS ebenfalls "stateful firewalling" für SCTP:

Proto_state Feld für UDP Obwohl UDP ein "sessionless" Protokoll darstellt überwacht ein FortiOS für UDP 2 Stati:

State Value UDP Reply not seen 0 UDP Reply seen 1

Proto_state Feld für ICMP (proto 1) Für ICMP existiert kein Status und ein FortiOS zeigt für ICMP immer "proto_state=00"

expire=21

Diese Position gibt an wie lange die Session noch gültig ist bis diese gelöscht wird, resp. abgelaufen ist (TTL = time to live).

origin-shaper=
reply-shaper=
per_ip_shaper=

Gibt an ob ein Traffic Shaper benutzt wird. Wenn ein Traffic Shaper benutzt wird werden Informationen zur Priorität und Bandbreite ausgegeben. Beispiel:

origin-shaper=OutShapper prio=2 guarantee 12800Bps max 128000Bps traffic 92Bps
reply-shaper=InShaper prio=4 guarantee 2560Bps max 25600Bps traffic 125Bps
per_ip_shaper=PerIPShaper

state=may dirty none app ntf

Der "state" indiziert die "session flags". Dazu nachfolgende Liste der meistgebrauchten "session flags":

Grundsätzlich wird jedes "erste" Packet über die Firewall Policy kontrolliert. Wenn dieses Packet über die Firewall Policy die "Erlaubnis" erhält wird eine "session" erstellt, welche als "may_dirty" (flag)bezeichnet wird. Wenn eine Änderung in der Firewall Policy durchgeführt wird, so werden "alle" existierenden "sessions" von "may_dirty" auf "dirty" gesetzt. Dadurch werden sämtliche Packete ab diesem Zeitpunkt nicht mehr über den NPU gesendet sondern zum CPU. Der CPU kontrolliert abermals das Packet in der Firewall Policy und wenn dieses zugelassen wird, werden diese "sessions" auf "may_dirty" gesetzt. Wenn dieses Packet in der Firewall Policy nicht erlaubt wird werden diese Packete verworfen und mit einem Flag "block" versehen. Danach verbleibt die "session" im Memory bis diese den TTL resp. "expire" erreicht. So kann die FortiGate über die "flags" "dirty" und/oder "may_dirty" erkennen/evaluieren ob nach einer Modifikation der Firewall Policy diese weiterhin erlaubt werden (may_dirty) resp. die entsprechende "session" geblockt werden (block).

policy_id=0

Gibt an welche Firewall Policy-ID benutzt wurde. Die Firewall Policy-ID 0 indiziert eine "Local-In Policy".

statistic

Steht für den Packet Counter welcher auch über die Firewall Policy der FortiGate ersichtlich ist.
Beispiel:

statistic (bytes/packets/err): org=3408/38/0 reply=3888/31/0 tuples=2

hook=out dir=org
hook=in dir=reply

Gibt an wie die Packete für "out" und "in" verarbeiet werden dh., wenn zBsp NAT (Network Address Translation) benutzt wird, so werden die Positionen "act=snat" sowie "act=dnat" aufgeführt. Aus den nachfolgenden Informationen kann eruiert werden wie NAT durchgeführt wurde. Nachfolgend ein Beispiel mit NAT:

hook=post dir=org act=snat 100.1.10:50194 -> 216.58.216.110:80(10.200.1.1:50194)
hook=pre dir=reply act=dnat 216.58.216.110:80 -> 10.200.1.1:50194(10.0.1.10:50194)

npu_state=00000000

Zeigt ob eine Session über "hardware acceleration" beschleunigt wurde. Wenn dies der Fall ist resp. möglich wäre, wird "npu info:" aufgeführt mit den entsprechenden "counters" für die "hardware acceleration" aus denen man entnehmen kann ob die Session über die Hardware-Beschleunigung abgearbeitet wurde.

Beispiel:

npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0

no_ofld_reason

Zeigt den Grund wieso eine Session nicht über "hardware acceleration" beschleunigt wird.

Beispiel:

no_ofld_reason: redir-to-av redir-to-ips non-npu-intf

user=
group=
authed

Wenn eine Session für eine Verbindung im Zusammenhang mit Authentifizierung erstellt wird, so wird der "user=" erstellt und in der Gruppenzugehörigkeit "group=" das "authed" Flag gesetzt

config system global 
set tcp-halfclose-timer 30 [ default 120 s ] 
set tcp-halfopen-timer 30 [ default 60 s ] 
set tcp-timewait-timer 0 [ default 120 s ] 
set udp-idle-timer 60 [ default 120 s ] 
end 

config system session-ttl 
set default 300 [ default 5000 ] 
end

config port 
edit 0 
set protocol 17 
set timeout 10 
set end-port 53 
set start-port 53 
end 
end 

In die entsprechende Policy gehen und dann den Inspektions-Modus auf Proxy einstellen.
Folgende UTM-Features sind im Proxy-Modus unterstützt:

• AntiVirus
• Web Filter
• DNS Filter
• Application Control
• IPS
• Email Filter
• DLP Sensor
• ICAP
• WAF - Web Applikation Firewall

config firewall policy
edit [Policy-ID] --> Policy ID eingeben zBsp edit 2
set inspection-mode proxy
next
end

Defaultmässig ist in der Policy der Flow Inspektionsmodus aktiviert. Falls man von Proxy auf Flow zurückstellen will kann dies in der entsprechenden Policy vorgenommen werden.
Folgend UTM-Features sind im Flow-Modus unterstützt:

• AntiVirus
• Web Filter
• DNS Filter
• Application Control
• IPS

config firewall policy
edit [Policy-ID] --> Policy ID eingeben zBsp edit 2
set inspection-mode flow
next
end

Im Menu "Settings" kann der NGFW Modus definiert werden.

config system settings
set ngfw-mode [profile-based | policy-based]
end

Den Hinweis "ingress" sowie "engress" ist folgendermassen zu verstehen: "ingress" umschreibt den Vorgang was mit einem Packet durchgeführt wird wenn es über ein Interface dem FortiOS übermittelt wird (TCP/IP Stack). "Engress" umschreibt was mit einem Packet durchgeführt wird wenn ein Packet durch das FortiOS über ein Interface versendet wird!

Über das Menu Policy & Objects -> Virtual IPs -> kann ein neues VIP Objekt erstellt werden

Wir konfigurieren ein VIP Objekt welches den smtp Port auf die IP Adresse 172.16.1.100 in der DMZ weiterleitet. Dabei wird der Client die IP Adresse 198.18.0.2 ansprechen und wird dann über das VIP Objekt auf 172.16.1.100 genattet.

1. beim Namen einen aussagekräftigen Namen wählen - dieser wird dann im Policyset eingesehen werden.
2. Beim Kommentar empfehle ich die Orginal und die genatete Adresse, inklusive den anzusprechenden Port zu erwähnen. So kann bei allfälligen Störungssuchen im Objekt gleich erkannt werden, was es genau beinhaltet.
3. Das Interface muss zwingend auf den Term gewählt werden, auf welchem die orginale IP Adresse terminiert. In unserem Fall terminiert die IP Adresse 198.18.0.2 auf dem Interface wan1. Wenn das Interface auf ANY konfiguriert wird, wird auf jedem Interface für die IP Adresse 198.18.0.2 ein ARP Eintrag erstellt. Bei SD-WAN, PolicyRouting oder VPN Konfigurationen kann dies zu asynchronem Routing führen.
4. im External IP address/range Feld wird die orginale IP Adresse eingetragen (in unserem Fall 198.18.0.2)
5. im Mapped IP address/range Feld wird die zu erreichende IP Adresse eingetragen (in unserem Fall 172.16.1.100)
6. Damit explizit nur der Port TCP 25 genattet wird, muss die Option Port Forwarding aktiviert werden. Jetzt kann das Protokoll angegeben werden. Wir wollen den Port 25 weiterleiten. Daher kann beim "External service port" der Wert 25 eingetragen werden. Wir wollten den Port auf 25 lassen daher wird beim "Map to port" auch 25 eingetragen. Wenn ich ein PAT einrichten will muss ich den entsprechenden Port eintragen.
7. Mit OK wird das VIP Objekt erstellt und kann in der Policy von nun an verwendet werden.

Um eine neue Regel zu erstellen geht man über Policy & Objects -> IPv4 Policy ->

1. Der Name muss einmalig sein. Der Name wird im Log, und auch auf dem FortiAnalyzer angezeigt. Dies kann bei der Störungs-Eingrenzung sehr hilfreich sein. Daher wird empfohlen jeweils einen aussagekräftigen Namen zu wählen.
2. Beim Incoming Interface muss das Interface gewählt werden, auf welchem die orginal IP Adresse terminiert. In unserem Fall terminiert 198.18.0.2 auf dem wan1 Interface.
3. Beim Outgoing Interface wird das Interface ausgewählt hinter welchem die genatete Adresse sich befinden. Bei uns liegt die 172.16.1.100 hinter dem dmz Interface.
4. Bei Source kann das Objekt ALL oder das angelegte 0.0.0.0-0 Objekt ausgewählt werden. Es kann natürlich auch bei den Source Einschränkungen geben, dann einfach die entsprechenden IP Objekte erfassen und diese als Source auswählen.
5. Bei der Destination wird jetzt das angelegte VIP Objekt ausgewählt. In unserem Fall wäre das dnat-198.18.0.2-tcp25
6. Die NAT Option deaktivieren. Wenn diese aktiviert bleibt, wird die Source IP Adresse des DMZ Interfaces genommen also ein Snat durchgeführt.
7. Die UTM Features können bei Bedarf aktiviert werden.
8. Damit der ganze Traffic geloggt wird, empfehle ich die Option "Log Allowed Traffic" auf "All Sessions" konfigurieren.

Konfigurieren des VIP Objektes:

# config firewall vip
# edit "dnat-198.18.0.2-tcp25"
# set comment "Destinations Nat 198.18.0.2-172.16.1.100 TCP25"
# set extip 198.18.0.2
# set extintf "wan1"
# set portforward enable
# set color 21
# set mappedip "172.16.1.100" 
# set extport 25
# set mappedport 25
# next
# end

Konfigurieren des IP Adress-Objekt für 0.0.0.0/0:

# config firewall address
# edit net-all-0.0.0.0-0
# set comment "alle Netze 0.0.0.0"
# set color 0
# next
# end

Konfigurieren der Policy über die CLI:

# config firewall policy
# edit 1
# set name "I_internet->MailSrv-tcp25"
# set srcintf "wan1" 
# set dstintf "dmz" 
# set srcaddr "net-all-0.0.0.0-0" 
# set dstaddr "dnat-198.18.0.2-tcp25" 
# set action accept
# set schedule "always"
# set service "SMTP" 
# set logtraffic all
# end

config firewall vip
edit [VIP-OBJEKT-NAME]
set arp-reply disable
end

Beispiel:

config firewall vip
edit dst-nat_198.18.250.2-10.10.20.2-http
set arp-reply disable
end

# config firewall vip
# edit <vip-name>
# set type server-load-balance
# set server-type https
# set ssl-algorithm custom
# config ssl-cipher-suites
# edit 1
# set cipher ?

Es erscheint eine Liste: (hier gekürzt, ganze Liste in der Tabelle unten)

# TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256    Cipher suite TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256. 
  .
  .
  .
# TLS-RSA-WITH-DES-CBC-SHA                       Cipher suite TLS-RSA-WITH-DES-CBC-SHA.

# config vpn ssl web portal
# edit "full-access"
# config bookmark-group
# edit "gui-bookmarks"
# config bookmarks
# edit "%username% mit VPN SSO"
# set apptype smb
# set folder "192.168.1.2/data/users/%username%"
# set sso auto
# end
# end
# end

Es ist darauf zu achten, dass die Variable %username% in Kleinbuchstaben geschrieben wird. Weiter ist es wichtig, dass für die Trennung der Verzeichnisse Slash / und nicht Backslash \ verwendet werden.

• Fortigate 60E Beta3

1. Definiere hier einen Namen für das Portal
2. Deaktiviere den Schieberegeler
3. Aktiviere den Schieberegler bei "Enable Web Mode"
4. Erstelle unter "Predefined Bookmarks" ein Bookmark vom Typ HTTP/HTTPS mit einem aussagekräftigen Namen. Als Location wähle die URL der Applikation, mit welcher das Bookmark aufgerufen werden können soll.

Mit einem Klick auf Ok wird dieses Portal abgespeichert.

1. Listen on Interface: Hier wählen wir das WAN Innterface
2. Listen on Port: Hier muss ein freier Port gewählt werden, welcher auf diesem Interface noch nicht anderweitig durch ein VIP Objekt, NAT oder einen sonstigen lokalen Service in Verwendung ist.
3. Wenn das Portal überall vom Internet zugänglich sein soll, wähle hier Allow access from any host
4. Definiere unter Authentication / Portal Mapping dass das soeben erstellte Portal unter dem Default Realm zugänglich sein soll. Hier können ausserdem Einschränkungen gemacht werden, für welche Benutzer/Gruppen dieses Portal zur Verfügung stehen soll.

Mit einem Apply werden die gewählten Einstellungen gespeichert.

1. Type: Overload
2. External IP Range: Hier wählen wir eine IP welche gemäss IPSec-Phase-2-Konfiguration sich im Bereich der lokalen, zugelassenen Addressen befindet.

Mittels Apply wird abgespeichert.

1. Incoming Interface: Wähle hier das entsprechende SSL VPN Tunnel Interface
2. Outgoing Interface: Wähle hier das Interface des IPSec Tunnels
3. Source: Wähle hier mindestens ein Netzwerk + ein Benutzerobjekt welches erlaubt werden soll
4. Destination: Wähle hier all, oder schränke den IP-Bereich auf den zu erreichenden Webserver ein
5. NAT: Schalte hier das NAT ein
6. IP Pool Configuration: Wähle hier Use Dynamic IP Pool und wähle hier das IP-Pool Objekt, welches im vorherigen Schritt erstellt wurde.
7. Aktiviere den Regler bei Enable this Policy

Mittels OK wird die Firewall Regel gespeichert.

Beispiel basiert auf einer FortiGate-300E FortiOS v6.2.3, build1066,191218 (GA)

Wenn wir den folgenden Output anschauen, können wir sehen, dass der gesammte Speicherverbrauch zum Zeitpunkt der Datenerfassung bei etwa 85% liegt:

Memory: 8172056k total, 7010740k used (85.8%), 950196k free (11.6%), 211120k freeable (2.6%) 

Der Speicher an dieser Stelle ist hauptsächlich für den aktiven Prozess reserviert (5,4 von 8 GB).

# diagnose hardware sysinfo Memory

MemTotal:        8172056 kB
MemFree:          951164 kB
Buffers:            2204 kB
Cached:           594892 kB
SwapCached:            0 kB
Active:          5561348 kB

MemTotal: 8172056 kB 7980 MB 
MemFree: 949948 kB 927 MB 
Cached: 594636 kB 580 MB 
Active: 5564144 kB 5433 MB <--- guacd Prozess und andere Userland Prozesse wie UTM Features 
Inactive: 273572 kB 267 MB 
Shmem: 337036 kB 329 MB 
Slab: 423044 kB 413 MB 

Wenn wir uns die aktiven Prozesse ansehen, wird der meiste Speicher durch die Menge der laufenden guacd-Prozesse verbraucht.

# diagnose sys top
Run Time:  23 days, 21 hours and 51 minutes
28U, 0N, 20S, 36I, 0WA, 0HI, 16SI, 0ST; 7980T, 881F
         sslvpnd    23061      R      93.0     5.3
           guacd    30982      R      47.0     0.9
           guacd    30909      R      45.0     1.1
         sslvpnd    23060      R      28.0     5.3
         sslvpnd    23062      R      21.0     5.3
       ipsengine    16797      S <     5.0     2.1
       ipsengine    16795      S <     4.0     2.2
       ipsengine    16796      S <     3.0     2.1
           guacd    30006      S       1.0     1.1
           guacd    30139      S       1.0     1.1
         miglogd      245      S       1.0     0.5
           guacd    30884      S       1.0     0.4
          httpsd    30908      S       1.0     0.3
           authd      255      S       1.0     0.2
       ipshelper    16794      S <     0.0     3.0
           guacd    30315      S       0.0     1.1
           guacd    30127      S       0.0     1.1
           guacd    30115      S       0.0     1.1
         updated      204      S       0.0     1.1
           guacd    30023      S       0.0     1.1
           guacd    30724      S       0.0     1.1
           guacd    30078      S       0.0     1.1
           guacd    30298      S       0.0     1.1
           guacd    30260      S       0.0     1.1
           guacd    30672      S       0.0     1.1
           guacd    30218      S       0.0     1.1
           guacd    30179      S       0.0     1.1
           guacd    30039      S       0.0     1.1
           guacd    30568      S       0.0     1.1
           guacd    30177      S       0.0     1.1
           guacd    30351      S       0.0     1.1
           guacd    30380      S       0.0     1.1
           guacd    30355      S       0.0     1.1
           guacd    30331      S       0.0     1.1
           guacd    30128      S       0.0     1.0
           guacd    30259      S       0.0     1.0
           guacd    30300      S       0.0     1.0
           guacd    30229      S       0.0     1.0
           guacd    30040      S       0.0     1.0
           guacd    30936      S       0.0     1.0
           guacd    30545      S       0.0     1.0
           guacd    30053      S       0.0     1.0
           guacd    30444      S       0.0     1.0
           guacd    30592      S       0.0     1.0
           guacd    30940      S       0.0     1.0
... 

Jeder Prozess weist standardmässig etwa 30 - 90 MB zu und unter Last bis gar zu 150 MB oder mehr. Wenn der Prozess unter Last steht wird grob geschätzt jedem Benutzer im SSL-VPN Webmodus etwa 100 MB Speicher zugewiesen. Diese Nutzung hängt vom Datentraffic, den zu verarbeiteten Protokolltypen, der Bildschirmauflösung des Clients und so weiter ab.

Wenn man sich diese guacd-Prozesse genauer ansieht, stellt man fest, dass jeder einzelne Prozess etwa 30 - 120 MB zur Verfügung stellt. Die obere Ausgabe zeigt, dass jeder Prozess ca. 1 % zuweist, so dass dies etwa 80 MB beträgt.

Die Anzahl von maximalen SSL-VPN Benutzer kann abhängig von der gesamten Memory Kapazität von der Fortigate variieren. Mann kann in etwa folgendes berechnen: Wenn jeder Kunde nur minimale Ressourcen von 50MB verwenden würde, und das System würde keinen weiteren Speicher zuweisen, dann gibt es immer noch eine Begrenzung der Gesammtzahl der SSL-VPN-Clients auf der FortiGate mit insgesamt 8000 MB Memory.

Wichtig zu wissen:
Es handelst sich hier nicht um ein Speicherleck, sondern dieses Verhalten wird so erwartet. Die guacd-Prozesse benötigen lediglich Ressourcen, um den Datentraffic zu parsen und in HTML5 zu konvertieren. Daher sollte der Web-Modus wirklich nur als Workaround benutzt werden und wann immer möglich mit dem Tunnel Modus gearbeitet werden.

Hinweis:
Es ist geplant, diese Designeinschränkung in zukünftigen FortiOS Versionen zu verbessern. (Stand 25.3.2020)
Referenz: https://kb.fortinet.com/kb/documentLink.do?externalID=FD48014

Netzplan

Authentication

Pre-shared Key definieren

Phase 1 Proposal

Alogrithms: AES256-SHA256 DH-Group 14

Phase 2 Proposal

Alogrithms: AES256-SHA512 / PFS-DH-Group 14

1. Gehe auf das Menu VPN -> IPsec Tunnel->
2. Name des Tunnels eingeben. Dieser Name wird zugleich der Name des vpn Subinterfaces sein, welches sich dann beim ausgehenden Interface bildet. Daher sollte der Name gut gewählt werden, damit die Übersicht gewährleistet wird. Achtung!!! Der Name kann nachträglich nicht mehr angepasst werden.
3. Um den VPN Wizard zu beenden bei Template Type auf Custom wählen
4. mit Next zum nächsten Schritt

Network:

1. RemoteGateway auswählen (Static IP Address , Dialup User oder Dynamic DNS) Für unser Beispiel brauchen wir Static IP Address.
2. Die IP Adresse des Remote VPN Gateways angeben, über welchen wir die VPN Verbindung aufbauen wollen. In unserem Fall 198.18.0.5.
3. Das ausgehende Interface wählen, auf welchem der Tunnel zum Default Gateway zeigt (meistens ein WAN Interface).
4. NAT Traversal (NAT-Optionen wählen)
5. DPD konfigurieren

Authentication

1. Wahlweise kann mit einem Preshared Key oder Zertifikaten gearbeitet werden. Bei Zertifikaten ist zu beachten, dass diese gültig, und das Datum noch nicht abgelaufen ist. In unserem Beispiel benutzen wir die Methode Pr-Shared Key.
2. Pre-Shared Key definieren und mit der Remote Seite abgleichen. Es muss auf beiden Seiten exakt der gleiche komplexe Schlüssel verwendet werden.
3. IKE Methode wählen. Die FortiGate unterstützt die Methode IKEv1 und IKEv2. Für unser Beispiel wählen wir IKEv2

Phase 1 Proposal

1. Encryption wählen. Wir wählen AES256
2. Authentication wählen. Wir benutzen AES256
3. Für die temporäre Verschlüsselung mittels der effektiven Key ausgetauscht werden soll, benutzen wir die Diffie-Hellmann Group Methode. Für unser Beispiel wählen wir die DH-Group 14.
4. Die Key Lifetime, welche in Sekunden angegeben ist, belassen wir so. Achtung!!! Wenn auf einem Gerät eines Drittanbieters ein VPN aufgebaut wird, muss dieser Parameter oft angepasst werden:

Phase 2 konfigurieren

1. Es können mehrere Selektoren pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateway die Selektoren identisch sind. Definiere einen Namen pro Selektor und konfiguriere das Lokale- und das Remote-Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir Local Address 192.168.2.0/24 und Remote Address 172.16.16.0/24
2. über Advanced kann man die Phase 2 Proposal per Selektor definiert werden
3. Encryption wählen. Wir nutzen AES256
4. Authentication definieren. Wir wählen SHA512
5. Enable Replay Detection einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn encrypted paket deaktiviert ist, werden die Pakete von der FortiGate verworfen
6. Perfect Forward Secrecy einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkey abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Key-Life der Phase 2 abläuft, wobei jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden.

Phase 2 konfigurieren

1. Es können mehrere Selektoren pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateways die Selektoren identisch sind. Definiere einen Namen per Selektor und konfiguriere das Lokale- und das Remote-Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir Local Address 192.168.2.0/24 und Remote Address 172.16.16.0/24
2. über Advanced kann man die Phase 2 Proposal pro Selektor definieren
3. Encryption wählen. Wir benutzen AES256
4. Authentication definieren. Wir wählen SHA512
5. Enable Replay Detection einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn "encrypted paket" disabled sind, werden sie von der FortiGate verworfen.
6. Perfect Forward Secrecy einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkeys abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Key-Life der Phase 2 abläuft, wodurch jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden.

Damit die FortiGate die Remote Netze für den VPN Tunnel kennt, muss eine Route auf das Tunnel Interface eingerichtet werden. Die Route kann folgendermassen konfiguriert werden:

1. Menu Network -> Static Routes ->
2. Bei Destination muss 'Subnet gewählt werden
3. Das Remote-Netz (in unserem Fall 172.16.16.0/24) eingeben
4. Interface ist das Tunnel Interface (dieses Interface wird automatisch angelegt, sobald der IPSec Tunnel konfiguriert wird). In unserem Fall heisst das Interface vpn_to_SiteB
5. Administrative Distanz kann auf 10 blassen werden
6. Kommentare schaffen Klarheit
7. mit OK wird die statische Route eingerichtet

Jetzt muss noch die Blackhole Route eingerichtet werden. Was eine Blackhole Route ist, kann hier entnommen werden:

Was ist eine Blackhole-Route?

1. Remote Netz eintragen
2. Interface Blackhole auswählen
3. die Distanz muss höher sein, als die der regulären Route. Wir empfehlen den Wert 254
4. Kommentare schaffen Klarheit
5. mit OK wird die Route eingerichtet

Nun sollten beide Routen in der Übersicht zu sehen sein:

Damit der Traffic durch den VPN-Tunnel fliesst, muss mindestens in eine Richtung eine Firewall Regel konfiguriert werden. Dabei wird das Tunnel Interface und das Interface für den lokalen Traffic untereinander freigeschalten:

1. Menu Policy & Objects -> IPv4 Policy ->
2. Für eingehenden Traffic von der Remote Seite zur lokalen Seite muss als Source das VPN Interface gewählt werden und als Destination das interne Interface
3. Source Adresse ist das Remote Netz der Seite B
4. Destination Netz ist das zu erreichende Netz auf der lokalen Seite
5. bei Bedarf können die Services eingeschränkt werden
6. NAT-Option deaktivieren
7. UTM Feature bei Bedarf aktivieren
8. mit OK wird die Regel erstellt

Damit der Traffic von beiden Seiten her funktioniert, muss noch eine zweite Policy eingerichtet werden. Diese kann analog der ersten Policy eingerichtet werden. Einfach das Source- und Destination-Interfaces und Adressobjekte tauschen. Alternativ kann auch die neu eingerichtete Policy mittels Rechtsklick angewählt werden und im Dropdown Menu Clone Reverse gewählt werden.

In der Policy muss jetzt dennoch was kleines konfiguriert werden:

1. Feld für den Policy Namen definieren
2. Die Policy muss aktiviert werden
3. mit OK wird die Reverse Policy eingerichtet

Es wird empfohlen die Policies für Site-to-Site VPN im Regelwerk oben anzuordnen.

# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set auto-negotiate enable
# end

# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set keepalive enable
# end

Violett: Bestehende Konfiguration
Rot: Wird neu konfiguriert

Als Erstes die User anlegen. Diese können als lokale User eingerichtet werden (in unserem Beispiel machen wir dies so). Es ist auch möglich Radius oder LDAP User zu konfigurieren.

# config user local
# edit "user1"                    -> Username definieren
# set type password
# set passwd "user1"              -> Passwort definieren 
# end

Die User einer Usergruppe zuweisen. Diese Usergruppe wird beim SSL-VPN Portal dann genutzt.

# config user group
# edit "gr-user-ssl-vpn"
# set member "user1"
# end

Für die Konfiguration des SSL-VPN Portals brauchen wir noch einen IP Pool. Dieser IP Pool wird den Clients zugewiesen. Es muss darauf geachtet werden, dass der definierte IP-Pool auf der Remote Seite (Site 2) nicht benutzt wird. Der Pool fängt mit der IP Adresse 10.10.10.2 an.

# config firewall address
# edit "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set type iprange
# set color 18
# set start-ip 10.10.10.2
# set end-ip 10.10.10.254
# end

Es muss ein Dummy SSL-VPN Portal eingerichtet werden, um das Handling abdecken zu können wenn kein gültiger User kommt. Wir stellen ein Portal her in welchem es möglich ist nur den FortiClient herunterzuladen.

Menu SSL-VPN Portals -> Create New -> konfigurieren wie im Screenshot abgebildet. (Tunnel Mode: off, Enable Web Mode: off, Enable FortiClient Download: on)

# config vpn ssl web portal
# edit "dummy-portal"
# end
# end

Jetzt wird das eigentliche SSL-VPN Portal konfiguriert. HIerzu wird der Tunnel-Mode gewählt. Das bedeutet, dass nur mit dem FortiClient die Verbindung aufgebaut werden kann.

SSL-VPN-Portals -> tunnel-access editieren oder ein neues Portal definieren (Create New).

1. Tunnel Mode auf "on" stellen.
2. Enable Split Tunneling einschalten. Damit wird nur der Traffic über den VPN Tunnel geroutet, welcher auf der Remote Seite anzutreffen ist. Wenn Split Tunneling nicht eingeschaltet wird, wird sämtlicher Traffic (0.0.0.0/0) durch den Tunnel geroutet. Bei Routing Adressen wird das IP Netzwerk angegeben, welches erreicht werden muss. Wir müssen jetzt das Server LAN Netz von Site 1, sowie den IP-Range der DMZ von der Site 2 (172.16.16.0/24) auswählen.
3. Source IP Pool definiert des IP Adress Ranges welcher dem VPN-Client zugewiesen wird
4. Den Web Mode schalten wir auf off, den brauchen wir für dieses Setup nicht
5. Mit OK geht es weiter

# config firewall address
# edit "net-vpn-172.16.16.0-24"
# set color 10
# set allow-routing enable
# set subnet 172.16.16.0 255.255.255.0
# end

SSL VPN Settings konfigurieren

# config vpn ssl settings
# set tunnel-ip-pools "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set port 443
# set source-interface "wan1"
# set source-address "all"
# set default-portal "dummy-portal"
# config authentication-rule
# edit 1
# set groups "gr-user-ssl-vpn"
# set portal "tunnel-access"
# next
# end
# end

SSL-VPN Settings

1. Listen on Interface: hier wird eingestellt auf welchem Interface das SSL-VPN Portal terminiert. Meist ist dies das WAN1 oder WAN2 Interface.
2. Listen on Port: Hier wird der Port angegeben über welchen das Portal erreichbar ist. Es ist darauf zu achten, wenn der Administrationsport der Firewall auf 443 eingestellt ist, hier ein alternativ Port gewählt wird. Die bessere Lösung wäre den Administrationsport für HTTPS auf einen anderen Wert zu setzen.
3. Tunnel Mode Client Settings: Adress Range wird auf Specify custom IP ranges gesetz. Der IP Range ist das Adressobjekt welches wir vorab eingerichtet haben (10.10.10.2-10.10.10.254). Bei Bedarf kann noch ein DNS Server konfiguriert werden, ansonsten wird der Default DNS Server des Clients benutzt.
4. Allow Endpoint Registration: Diesen Schalter, stellen wir auf off. Wenn er eingeschaltet wird, registriert sich der Client auf der FortiGate. Ab 10 registrierte Geräte wird eine Lizenz benötigt.
5. die Portalzuweisungen vornehmen (siehe unten)

1. Authentication/Portal Mapping: Hier können wir die Portale den Gruppen zuweisen. Create New wird ein neues Mapping eingerichtet. Wir brauchen für die Gruppe gr-user-ssl-vpn das Portal tunnel-access. Alle anderen User/Gruppen gehen in das dummy-portal.
   1. Die Gruppe gr-user-ssl-vpn weisen wir dem tunnel-access Portal zu
   2. All Other User/Groupes werden dem dummy-portal zugewiesen
2. mitels apply wird das SSL-VPN Setting abgeschlossen

Im Site to Site IPSEC Tunnel muss noch eine zweite Encryption Domäne hinzugefügt werden. Wir wollen das Netz 10.10.10.0/24 auch durch den Tunnel routen:

1. VPN -> IPsec Tunnels -> den entsprechenden VPN Tunnel editieren und einen weiteren Phase 2 Selector hinzufügen.
2. Locale Address: Den Adressenpool des SSL-VPN Portal (10.10.10.0/24)
3. Remote Address: Das Netzwerk von der Server-DMZ (172.16.16.0/24)
4. bei Bedarf unter Advanced noch die Encryption- und Athentication-Parameter anpassen
5. mittels OK bestätigen und den neuen Selector anzufügen

Adressen Objekt definieren für Splittunnel:

# config vpn ipsec phase2-interface
# edit "Site1_to_Site2"                                             -> Name des Tunnels
# edit "site1-sslvpn-site2"                                         -> Name des Selektors definieren
# set phase1name "Site1_to_Site2"
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305   -> Gewünschte Verschlüsslungsalgorithmen konfigurieren 
# set dhgrp 14
# set src-subnet 10.10.10.0 255.255.255.0                           -> Source Netzwerk: SSL-VPN IP-Pool 
# set dst-subnet 172.16.16.0 255.255.255.0                          -> Destinations Netzwerk (DMZ ServerLan)
# end

Konfiguration der Policy für den Zugriff vom Client auf das SSL-VPN weiter zur Remote Seite des IPSEC Tunnels:

Policy & Objects -> IPv4Policy -> Create New

1. Incoming Interface: Interface des SSL-VPN Portals
2. Outgoing Interface: Interface des IPSEC Site to Site Tunnels
3. Source: IP-Pool Adressenrange vom SSL-VPN Portal (10.10.10.2/24) und die SSL-VPN Gruppe (gr-user-ssl-vpn)
4. Destination: IP Adressrange des DMZ ServerLan (172.16.16.0/24)
5. Services: die benötigten Ports freischalten (in userem Beispiel ist ANY gewählt)
6. NAT: deaktiviert lassen
7. Security Profiles: die gewünschten UTM-Features anwählen
8. Logging Options: Log Allowed Traffic aktivieren und All Sessions anwählen
9. Enable this policy: Darauf achten, dass der Schalter aktiv ist
10. mit OK wird die Policy erstellt und kann dann in der Übersicht nach oben geschoben werden

Die Zerfikatsmeldung kann ignoriert werden.

Übersicht des Policysets (es ist darauf zu achten, dass die VPN Regeln oberhalb der regulären Regeln sind):

Im bestehenden IPSEC Tunnel zur Site 1 muss noch ein zweiter Phase 2 Selektor für das SSL-VPN Netz erstellt werden.

IPsec Tunnels -> den entsprechenden Tunnel editieren

1. einen neuen Phase 2 Selector eröffnen (locales Netz 172.16.16.0/24, Remote Netz 10.10.10.0/24)
2. Mit OK den zweiten Selector bestätigen

# config vpn ipsec phase2-interface
# edit "site2-site1-sslvpn"                                         -> Name des Tunnels
# set phase1name "site2-site1"                                      -> Name des Selektors definieren
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305   -> Gewünschte Verschlüsslungsalgorithmen konfigurieren 
# set dhgrp 14                                   
# set src-subnet 172.16.16.0 255.255.255.0                          -> Source Netzwerk (DMZ ServerLan)
# set dst-subnet 10.10.10.0 255.255.255.0                           -> SSL-VPN IP-Pool 
# next
# end

Jetzt muss das SSL-VPN Netz noch zurück in den Tunnel geroutet werden.

Network -> Static Routes -> Create New

1. Das Netz des SSL-VPNs IP-Pool eintragen. (in unserem Fall 10.10.10.0/24)
2. Interface: Das Site to Site VPN Interface auswählen
3. Kommentare schaffen Klarheit!
4. Mit OK wird die Route konfiguriert:

# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set device "site2-site1"         -> IPSEC Interface vom Tunnel Site 1 <-> Site 2 eintragen
# set comment "sslvpn site1"
# end

Die Blackhole-Route nicht vergessen einzurichten:

Network -> Static Routes -> Create New

1. Das Netz des SSL-VPN IP-Pool eintragen. (in unserem Fall 10.10.10.0/24)
2. Interface: Das Interface Blackhole auswählen
3. Die administrative Distance hier muss höher sein, als die administrative Distance der regulären Route. Wir empfehlen den Wert 254 zu konfigurieren.
4. Kommentare schaffen Klarheit!
5. Mit OK wird die Route konfiguriert

# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set distance 254                 -> Distanz muss hier höher sein, als in der regulären Route!
# set comment "Blackhole Route"
# set blackhole enable
# end

Wenn die Routen konfiguriert sind, können diese kontrolliert werden. Bitte noch einmal prüfen ob die Distance der Blackhole Route höher als die reguläre Route ist:

Jetzt kann der zweite Selektor des IPSEC Tunnels hochgefahren werden.

Monitor -> IPsec Monitor -> auf dem entsprechenden Tunnel in der Phase 2 des Selectors mit Rechtsklick auf Bring Up klicken

Wenn alles grün ist, ist der Tunnel up and running

Damit der Traffic an den Server weitergeleitet wird, muss noch eine Policy eingerichtet werden:

Policy & Objects -> IPv4 Policy -> Create New

1. Incoming Interface: Das IPSEC Interface auswählen
2. Outgoing Interface: Das Interface hinter welchem das Netz 172.16.16.0/24 angebunden ist
3. Source: Das IP-Pool Netz des SSL-VPN (10.10.10.0/24)
4. Destination: Das Netz welches erreicht werden soll (172.16.16.0/24)
5. Services: in diesem Beispiel ist "all" angeben. Um eine optimale Sicherheit zu gewährleisten, macht es Sinn hier Einschränkungen mit den benötigten Ports vorzunehmen
6. NAT: deaktiviert lassen
7. Security Profile können nach Bedarf konfiguriert werden
8. Logging Options: Log Allowed Traffic einschalten und All Sessions anwählen
9. Enable this Policy: einschalten
10. Mit OK wird die Policy zu unterst im Regelset angefügt. Die Regel sollte zu den anderen VPN Regeln nach oben geschoben werden

Adressobjekte:

# config firewall address
# edit "net-172.16.16.0-24"
# set color 2
# set subnet 172.16.16.0 255.255.255.0
# next
# edit "vpn-remote-10.10.10.0-24"
# set color 10
# set subnet 10.10.10.0 255.255.255.0
# end

Policy konfigurieren:

# config firewall policy                  
# edit [intiger]                          
# set name "I_sslVPN-Site1_Site2"         
# set srcintf "site2-site1"               -> Source Interface ist das IPSEC-VPN Interface
# set dstintf "internal1"                 -> Destinations Interface ist das DMZ ServerLan Interface
# set srcaddr "vpn-remote-10.10.10.0-24"  -> Source IP: SSL-VPN IP-Pool 
# set dstaddr "net-172.16.16.0-24"        -> Destination IP: Netzwerk des DMZ ServerLan
# set action accept
# set status enable
# set schedule "always"
# set service "ALL"
# set logtraffic all
# end

Die VPN Regeln zusammen bündeln:

Eine neue Verbindung im FortiClient einrichten:

Reiter SSL-VPN anwählen

1. Verbindungsname eingeben
2. Beschreibung für eigene Übersicht bei Bedarf eingeben
3. Bei Remote Gateway die Public IP Adresse der Site 1 (212.1.1.1) eingeben
4. Standartmässig ist der Port auf 443 konfiguriert, falls im SSL-VPN Portal ein anderer Port definiert wurde ist dieser hier entsprechend anzupassen
5. Mit anwenden wird der Zugang konfiguriert

Zum Verbinden den entsprechenden Tunnel anwählen und die Benutzer Daten (Username und Passwort) eingeben. Mit verbinden baut man den Tunnel auf.

Wenn die Anmeldung erfolgreich durchgeführt werden konnte, wird der Tunnel aufgebaut. Wir sehen die IP Adresse, welche von der Site 1 dem Client zugewiesen wurde (10.10.10.2)

Auf der Site 2 können wir jetzt sehen, dass der Traffic von der IP Adresse 10.10.10.1 auf 172.16.16.20 mit der Policy ID 3 gematcht hat. Wir sehen die Adresse 10.10.10.2 welche aus dem SSL-VPN IP-Pool zugewiesen wurde

1. Firewall
1.1. Modell der Firewall (Fortigate 100E, Sophos XG 115 Rev.3 etc.)
1.2. Maximal zu erwartender Durchsatz gemäss Datenblatt *
1.3. Gewählte MTU auf dem WAN-Interface

2. ISP
2.1. Name des ISP
2.2. Garantierter Upload des ISP
2.3. Garantierter Download des ISP

1. Firewall
1.1. Modell der Firewall (Fortigate 100E, Sophos XG 115 Rev.3 etc.)
1.2. Maximal zu erwartender Durchsatz gemäss Datenblatt (*)
1.3. Gewählte MTU auf dem WAN-Interface

2. ISP
2.1. Name des ISP
2.2. Garantierter Upload des ISP
2.3. Garantierter Download des ISP

3. Parameter zwischen den Standorten
3.1. Gemessener Durchsatz zwischen der Seite A und Seite B ohne IPSec Tunnel.(#)
3.2. Hops zwischen Firewall Seite A und Firewall Seite B (zu messen mit einem Traceroute zwischen den Firewalls)
3.3. Ping-Zeiten zwischen den beiden Standorten

Datei:Iperf-howto.pdf

IPerf Anleitung

Netzplan

Authentication

Pre-shared Key definieren

IKE Version

Version 1 (UTM unterstützt IKE Version 2 nicht)

Phase 1 Proposal

Alogrithms: AES256-SHA256 DH-Group 5

Phase 1 Key Lifetime

86400 Sekunden

Phase 2 Proposal

Alogrithms: AES256-SHA512 / PFS-DH-Group 5

Phase 2 Key Lifetime

43200 Sekunden

Konfigurieren des VPN-Tunnels:

Netzwerkeinstellungen:

1. VPN-Tunnel Name definieren (mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet)
2. Bei Remote Gateway den Typ auf Static IP Address stellen
3. Im Feld IP Address wird die Public IP Adresse der Sophos UTM Firewall eingetragen (194.XX.XX.111)
4. Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet
5. NAT Traversal je nach Situation aktivieren oder nicht aktivieren

Authentication konfigurieren:

1. Method Auf Pr-shared Key einstellen.
2. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der SOPHOS-UTM dann auch benötigt)
3. Wir müssen die IKE Version 1 auswählen, da die Sophos UTM Modelle den Standard IKE Version 2 nicht unterstützten.

Phase 1 Parameter konfigurieren:

1. Encryption auf AES256 und Authentication auf SHA256 konfigurieren
2. Alle anderen Encryption und authentication Parameter entfernen
3. Die Diffie-Hellmann Group wird auf 5 eingestellt
4. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen (dies muss unbedingt auf der Gegenseite gleich definiert werden)

Phase 2 Selektoren konfigurieren:

Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt.
In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.111.0/24 konfiguriert.

1. Name in diesem Feld kann ein Name für den Selektor definiert werden (Überblick bewahren)
2. Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren
3. Remote Address Das Netz welches wir hinter der Sophos UTM Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.111.0/24 konfigurieren
4. Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden
5. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen (auf das X klicken)
6. Perfect Forward Secrecy (PFS) aktivieren
7. Die Difie-Hellman Group auf 14 einstellen
8. Key Lifetime auf Second stellen und dann 43200 Sekunden einstellen (dies muss unbedingt auf der Gegenseite gleich definiert werden)

Konfigurieren der Routen:
Auf der FortiGate müssen die Netze der Remote Seite in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu in folgendem Artikel: Was ist eine Blackhole Route?

Die Routen werden wie folgt konfiguriert: Menu: Network -> static Routes ->

Konfigurieren der Policies:
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (gw-sophos) und dem internen Interface (Port1).

Menu : Policy & Objects -> IPv4 Policy ->

VPN Phase 1 konfigurieren:

config vpn ipsec phase1-interface
    edit "[VPN_NAME]"
        set interface "[WAN-INTERFACE]"
        set peertype any
        set net-device disable
        set proposal aes256-sha256
        set comments "VPN zu Sophos UTM"
        set dhgrp 5
        set nattraversal disable
        set remote-gw [PUBLIC_IP_SOPHOS-UTM]
        set psksecret [PRESHARED-KEY]
    next
end

VPN Phase 2 konfigurieren:

config vpn ipsec phase2-interface
    edit "p2_[VPN_NAME]"
        set phase1name "[VPN_NAME]"
        set proposal aes256-sha256
        set dhgrp 5
        set keepalive enable
        set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE]
        set dst-subnet [REMOTE NETZWERK NETZMASKE]
    next
end

Routen konfigurieren:

config router static
    edit 2
        set dst [REMOTE NETZWERK NETZMASKE]
        set device "[VPN_NAME]"
        set comment "Route Remote Netz ALSO DE - UTM Sophos "
    next
    edit 3
        set dst [REMOTE NETZWERK NETZMASKE]
        set comment "Blackhole [REMOTE NETZWERK NETZMASKE]"
        set distance 254
        set blackhole enable
    next   
end 

Adress Objekte für Policies konfigurieren:

config firewall address
    edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set color 10
        set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
    next
    edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set color 10
        set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
    next
end

Policy konfigurieren:

config firewall policy
    edit 1
        set name "O_vpn-sophosUTM"
        set srcintf "[INTERNES_INTERFACE]"
        set dstintf "[VPN_NAME]"
        set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 2
        set name "I__vpn-sophosUTM"
        set srcintf "[VPN_NAME]"
        set dstintf "[INTERNES_INTERFACE]"
        set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

Auf der Sophos UTM Firewall wird ein VPN wie folgt aufgebaut:

1. Connections: Hier wird der lokale Teil konfiguriert. Das lokale Netzwerk, das Interface welches als Listener definiert wird (meistens ein WAN Interface)
2. Remote Gateway: In diesem Abschnitt werden die Remote VPN Gateway Parameter konfiguriert. In unserem Fall ist dies die pulblic IP-Adresse der FortiGate und das Remote Netzwerk welches wir hinter der FortiGate erreichen wollen.
3. Policy: werden die Verschlüsselungs-Parameter konfiguriert.

Neuen Tunnel erstellen:

1. Unter dem Menü Site-to-Site VPN auf IPsec gehen
2. Um den neuen Tunnel zu erstellen New IPsec Connection... anwählen

Remote Gateway:

1. Name im Feld Name?? definieren
2. Gateway type -> wie der Tunnel aufgebaut werden soll (Sophos UTM als Initator oder als Responder) konfigurieren. Wir haben beide Varianten ausprobiert. Es funktioniert sogar ohne dass auf der FortiGate etwas verändert werden muss.
3. Authentcation type haben wir mit einem Preshared Key konfiguriert. Dieser muss natürlich auf der FortiGate deckungsgleich eingegeben werden.
4. VPN ID type soll auf IP address gelassen werden (die FortiGate interpretiert die IP Adresse der Sophos UTM als ID)
5. Im Feld Remote networks werden die Netze auf der Gegenseite definiert, welche aus dem Sophos Netzwerk erreicht werden sollen. ACHTUNG: die Sophos unterstützt 0.0.0.0/0 nicht (was auch gut so ist). Mittels dem Icon kann ein neues Remote Netzwerk erstellt werden.
6. Alles abspeichern und dann kann das erstellte Remote Gateway Profil unter Connections ausgewählt werden.

Policy:

1. Unter new IPsec Policy kann eine neue VPN Policy konfiguriert werden
2. Name In diesem Feld wird tatsächlich der Name der Policy angegeben (Policy hat auf der Sophos eine andere Bedeutung als dies auf der FortiGate der Fall ist)
3. Die entsprechenden Phase 1 und Phase 2 Parameter deckungsgleich analog jener der FortiGate definieren. Achtung: die FortiGate und die Sophos UTM haben nicht dieselben default Life Time in den entsprechenden Phasen. Diese sind undbedingt aufeinander abzustimmen.
4. Mit dem Button Save wird die neue Policy mit den definierten Name erstellt und kann dann im Menü 'Connections ausgewählt werden.

Connections:

1. Im Menü Connections jetzt die angelegten Profile auswählen:
   1. Remote Gateway das vorher konfigurierte Profil aus Remote Gateway anwählen
   2. unter Policy die VPN Policy auswählen, welche vorher definiert wurde
2. Local interface Hier wird definiert auf welchem Interface der VPN-Tunnel auf der Sophos terminiert (in unserem Fall External)
3. Lokale Netzwerke auswählen welche für das VPN vorgesehen sind
4. die Option Automatic firewall rules aktivieren, damit die Sophos beim speichern automatisch die Firewall-Regeln gemäss VPN-Definition im Regelwerk erstellt wird
5. Mit Save den IPSec-Tunnel erstellen und dann testen

VPN Monitor - FortiGate:

VPN Monitor - Sophos UTM:

Netzplan

Authentication

Pre-shared Key definieren

IKE Version

Version 2

Phase 1 Proposal

Algorithmus: AES256-SHA256 DH-Group 5

Phase 1 Key Lifetime

86400 Sekunden

Phase 2 Proposal

Algorithmus: AES256-SHA512 / PFS-DH-Group 5

Phase 2 Key Lifetime

43200 Sekunden

Konfigurieren des VPN Tunnels:

Netzwerkeinstellungen:

1. VPN Tunnel Name definieren. (Mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet.)
2. Bei Remote Gateway den Typ auf Static IP Address stellen.
3. Im Feld IP Address wird die Public IP Adresse der Sophos XG Firewall eingetragen (194.XX.XX.112)
4. Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet.
5. NAT Traversal je nach Situation aktivieren oder nicht aktivieren.

Authentication konfigurieren:

1. Method Auf Pr-shared Key einstellen.
2. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Sophos XG dann auch benötigt)
3. Wir benutzen die IKE Version 2

Phase 1 Parameter konfigurieren:

1. Encryption auf AES256 und Authentication auf SHA256 konfigurieren.
2. Alle anderen Encryption und Authentications Parameter entfernen.
3. Die Diffie-Hellmann Group wird auf 5 eingestellt.
4. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen. (Dies muss unbedingt mit der Gegenseite gleich definiert werden)

Phase 2 Selektoren konfigurieren:

Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt.
In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.12.0/24 konfiguriert.

1. Name in diesem Feld kann ein Name für den Selektor definiert werden (Übersicht wahren)
2. Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren.
3. Remote Address Das Netz welches wir hinter der Sophos XG Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.12.0/24 konfigurieren.
4. Unter dem Menupunkt Advanced können die Phase 2 Proposal konfiguriert werden.
5. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen. (Auf das X klicken)
6. Perfect Forward Secrecy (PFS) aktivieren
7. Die Difie-Hellman Group auf 14 einstellen.
8. Key Lifetime auf Second stellen und dann 43200 Sekunden einstellen (Dies muss unbedingt mit der Gegenseite gleich definiert werden)

Konfigurieren der Routen:
Auf der FortiGate müssen die Netze der Remote Seite in den IPSec Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die Default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route?

Die Routen werden folgendermassen konfiguriert: Menu: Network -> Static Routes ->

Konfigurieren der Policies:
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bi-direktional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem vpn Tunnel Interface (gw-sophos) und dem internen Interface (port1).

Menu : Policy & Objects -> IPv4 Policy ->

VPN Phase 1 konfigurieren:

config vpn ipsec phase1-interface
    edit "[VPN_NAME]"
        set interface "[WAN-INTERFACE]"
        set peertype any
        set net-device disable
        set proposal aes256-sha256
        set comments "VPN zu Sophos XG"
        set dhgrp 5
        set nattraversal disable
        set remote-gw [PUBLIC_IP_SOPHOS-XG]
        set psksecret [PRESHARED-KEY]
    next
end

VPN Phase 2 konfigurieren:

config vpn ipsec phase2-interface
    edit "p2_[VPN_NAME]"
        set phase1name "[VPN_NAME]"
        set proposal aes256-sha256
        set dhgrp 5
        set keepalive enable
        set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE]
        set dst-subnet [REMOTE NETZWERK NETZMASKE]
    next
end

Routen konfigurieren:

config router static
    edit 2
        set dst [REMOTE NETZWERK NETZMASKE]
        set device "[VPN_NAME]"
        set comment "Route Remote Netz ALSO DE - XG Sophos "
    next
    edit 3
        set dst [REMOTE NETZWERK NETZMASKE]
        set comment "Blackhole [REMOTE NETZWERK NETZMASKE]"
        set distance 254
        set blackhole enable
    next   
end 

Adress Objekte für Policies konfigurieren:

config firewall address
    edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set color 10
        set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
    next
    edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set color 10
        set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
    next
end

Policy konfigurieren:

config firewall policy
    edit 1
        set name "O_vpn-sophosXG-DE"
        set srcintf "[INTERNES_INTERFACE]"
        set dstintf "[VPN_NAME]"
        set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 2
        set name "I__vpn-sophosXG-DE"
        set srcintf "[VPN_NAME]"
        set dstintf "[INTERNES_INTERFACE]"
        set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
        set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

Ein neuer VPN wird im Menu Configure-> VPN -> IPsec connections erstellt.

Authentication konfigurieren:

Netzwerkeinstellungen:

1. in den Gateway settings werden die Netzwerkparameter konfiguriert.

Local gateway: (Netzwerk Optionen Sophos XG Firewall)

1. Local gateway das ausgehende Interface (WAN) auswählen. In unserem Beispiel ist dies der Port2 mit der IP Adresse 194.XX.XX.112
2. Local subnet Hier wird das Netzwerk definiert, welches mit der Remoteseite kommunizieren soll. In unserem Beispiel das Netz 192.168.12.0/24

Remote gateway (Netzwerk Optionen der FortiGate- Remoteseite)

1. Gateway address wird die Public IP Adresse der FortiGate eingetragen. In unserem Fall 146.XX.XX.66
2. Remote subnet beduetet, welches Netz/Netze auf hinter der FortiGate angesprochen werden sollen. Unser Beispiel: 198.18.0.0/24

Phase 1 Parameter konfigurieren:

1. im Menu IPsec policies werden die Phase1 und Phase2 Parameter definiert:
2. Im Feld Name den Policy Namen der P1/P2 Parameter definieren.
3. Key echchange benutzen wir die IKEv2 Version (IKE Version 2)
4. Phase 1 die Key life Parameter mit der FortiGate abgleichen : 86400sec
5. DH Group haben wir auf 5 (DH1536) gesetzt
6. Encryption und Authentication Algorithmen wie auf der FortiGate definieren (AES256-SHA256)
7. weiter zur Phase2 scrollen

Phase 2 Selektoren konfigurieren:

1. PS group (DH group) definieren 5 (DH1536). Dabei darauf achten, dass im Feld Key life der selbe Wert eingetrgen wird, wie auf der FortiGate (43200sec)
2. Encryption und Authentication Parameter wie auf der FortiGate konfigurieren(AES256 - SHA256)
3. DPD aktivieren
4. mit Save bestätigen.

Netzplan

Authentication

Pre-shared Key definieren

IKE Version

Version 2

Phase 1 Proposal

Alogrithms: AES256-SHA256 DH-Group 15

Phase 1 Key Lifetime

86400 Sekunden

Phase 2 Proposal

Alogrithms: AES256-SHA512 / PFS-DH-Group 15

Phase 2 Key Lifetime

3600 Sekunden

Konfigurieren des VPN-Tunnels:

Netzwerkeinstellungen:

1. Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet)
2. Bei Remote Gateway den Typ auf Static IP Address stellen
3. Im Feld IP Address wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151)
4. Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet
5. NAT Traversal ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist.

Authentication konfigurieren:

1. Method Auf Pr-shared Key einstellen
2. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt)
3. In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen

Phase 1 Parameter konfigurieren:

1. Encryption auf AES256 und Authentication auf SHA256 konfigurieren
2. Alle anderen Encryption- und Authentications-Parameter entfernen
3. Die Diffie-Hellmann Group wird auf 14 eingestellt
4. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen

Phase 2 Selektoren konfigurieren:

In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert:

1. Name in diesem Feld kann ein Name für den Selektor definiert werden
2. Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren
3. Remote Address Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren
4. Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden
5. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen
6. Perfect Forward Secrecy (PFS) aktivieren
7. Die Difie-Hellman Group auf 14 stellen
8. Key Lifetime auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate)

Konfigurieren der Routen:
Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route?

Die Routen werden wie folgt konfiguriert: Menu: Network -> Static Routes ->

Blackhole Route mit Distanz 254:

Konfigurieren der Policies:
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2).

Menu : Policy & Objects -> IPv4 Policy ->

Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) Dabei kann die Clone Reverse Funktion benutzt werden.

Komplettes Regelsetup:

VPN Phase 1 konfigurieren:

config vpn ipsec phase1-interface
edit "vpn_to_CP_151"
        set interface "wan1"
        set ike-version 2
        set peertype any
        set net-device disable
        set proposal aes256-sha256
        set dhgrp 14
        set remote-gw 198.18.0.151
        set psksecret "Hier_einen_komplexen_Key_eingeben"
    next
end

VPN Phase 2 konfigurieren:

config vpn ipsec phase2-interface
    edit "p2-vpn_to_lab-0062-10.10.162.0-24"
        set phase1name "vpn_to_lab-0062"
        set proposal aes256-sha256
        set dhgrp 14
        set auto-negotiate enable
        set src-subnet 10.10.161.0 255.255.255.0
        set dst-subnet 10.10.162.0 255.255.255.0
    next
end

Routen konfigurieren:

config router static
    edit 2
        set dst 10.10.151.0 255.255.255.0
        set device "vpn_to_CP_151"
    next
    edit 3
        set dst 10.10.151.0 255.255.255.0
        set distance 254
        set comment "blackhole Route - CP Remote Netz"
        set blackhole enable
    next
end

Adress Objekte für Policies konfigurieren:

config firewall address
    edit "net_remoteVPN-10.10.151.0-24"
        set comment "Remote Netz -VPN Checkpoint"
        set color 10
        set subnet 10.10.151.0 255.255.255.0
    next
    edit "net_ul-10.10.161.0-24"
        set color 3
        set subnet 10.10.161.0 255.255.255.0
    next

end

Policy konfigurieren:

config firewall policy
    edit 5
        set name "I_vpn_CP_151->10.0.161.0-24"
        set srcintf "vpn_to_CP_151"
        set dstintf "internal2"
        set srcaddr "net_remoteVPN-10.10.151.0-24"
        set dstaddr "net_ul-10.10.161.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 6
        set name "O_vpn_10.10.161.0-24->CP_151"
        set srcintf "internal2"
        set dstintf "vpn_to_CP_151"
        set srcaddr "net_ul-10.10.161.0-24"
        set dstaddr "net_remoteVPN-10.10.151.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

Konfigurieren des VPN-Tunnels:
Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden:

VPN -> VPN Sites ->

Netzwerk-Parameter:

1. Auf das TAB Remote Site gehen
2. Site name: Hier wird der Name des VPN-Tunnels definiert
3. Bei Conection type auf Host Name or IP address setzen
4. IP address anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153)
5. Behind static NAT ist die NAT Traversal-Einstellung