FortiGate:KonfigExample
Zur Navigation springen
Zur Suche springen
FortiGate:KonfigExample
24 X 7 PROMOTION bis 31. März 2016 Weitere Informationen finden Sie hier!
Vorwort
Dieser Artikel beschreibt, wie die in diesem Artikel zur Verfügung stehenden Konfigurations Beispiele, installiert werden. Diese Beispiele sollen einen Eindruck verschaffen "was" mit einer FortiGate Konfiguration möglich ist und das eine ausgearbeitete Konfigurationen als Template für zukünftige Konfigurationen herangezogen werden können. Wenn die hier zur Verfügung gestellten Konfigurationen angewendet werden ist es wichtig diese zu studieren und diese zu verstehen. Diese Konfiguration einfach in einer Produktionsumgebung -ohne diese zu verstehen- anzuwenden ist kein gangbarer Weg. Wir helfen gernen Fragen betreffend diesen Konfigurationen zu beantworten lehnen jedoch jede Verantwortung betreffend Einsatz in einer Produktionsumgebung ab!
NOTE Alle Konfigurationen wurden auf Basis einer FortiGate 60D durchgeführt. Diese auf grössere Devices zu portieren ist zwar möglich,
setzt jedoch das entsprechende Wissen Vorraus dies durchzuführen. Ebenfalls sind die Beispiele basierend auf einem bestimmten
FortiOS Release und sind somit nur Kompatibel zu den erwähnten FortiOS Versionen.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Staging/Setup
How to Staging/Setup "Konfigurations Example"?
Um das Staging/Setup in diesem Artikel durchzuführen muss das entsprechende FortiOS benutzt werden das entsprechend dem Konfigurationsfile angegeben wird! Dies gilt seitens dem FortiGate Device als absolute Vorraussetzung. Seitens dem Vorgang selber wird folgendes Vorrausgesetzt:
_____________________________
| RS232 Verbindung |
Consolen Port | |
___________|___ | RS232 Anschluss
| | ____|_______________
| FortiGate 60D | 192.168.1.100/24 | |
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
| | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
WAN1 | |
|_____________________|
NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
1. Oeffne über Putty eine Serielle Verbindung (Console). Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
Please wait for OS to boot, or press any key to display configuration menu.
Führe nun folgendes durch:
NOTE Durch diesen Vorgang gehen sätmliche Daten/Konfiguration auf der FortiGate 60D Unwiederruflich verloren!
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
MBRecord is empty.
Please wait for OS to boot, or press any key to display configuration menu.
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
Enter C,R,T,F,I,B,Q,or H:F
It will erase data in boot device. Continue? [yes/no]:yes
Formatting...MBRecord is empty.
...... Done.
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
Enter C,R,T,F,I,B,Q,or H:R
Image download port: WAN1
DHCP status: Disabled
Local VLAN ID: <NULL>
Local IP address: 192.168.1.1
Local subnet mask: 255.255.255.0
Local gateway: 192.168.1.254
TFTP server IP address: 192.168.1.100
Firmware file name: image.out
Enter C,R,T,F,I,B,Q,or H:T
Please connect TFTP server to Ethernet port 'WAN1'.
MAC: 08:5b:0e:4f:7d:14
Connect to tftp server 192.168.1.100 ...
########################################################
Image Received.
Checking image... OK
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?D
Programming the boot device now.
The system must reformat the boot device to install this firmware.
The default and backup firmware will be lost.
Continue:[Y/N]?Y
..................................................................................................................................
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
Resizing shared data partition...done
Formatting shared data partition ... done!
FGT60D4613062521 login:
2. Logge dich nun auf der FortiGate 60D ein (Ueber Console) mit dem User "admin" (kein Passwort) und formatiere die Disk:
FGT60D4613062521 login: admin
Password:
Welcome !
FGT60D4613062521 # execute formatlogdisk
Log disk is /dev/sdb1.
Formatting this storage will erase all data on it, including
logs, quarantine files;
WanOpt caches;
and require the unit to reboot.
Do you want to continue? (y/n)y
Performing format on the requested disk(s) and rebooting, please wait...
Formatting the disk...
- unmounting /data2 : ok
- unmounting /data : ok
- unmounting /var/log : ok
- unmounting /var/storage/FLASH1-47D0E53F74D9537B : ok
Formatting /dev/sdb1 ... done
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
FGT60D4613062521 login:
3. Logge dich nun erneut auf der FortiGate 60D ein (Ueber Console) und aktiviere den "Interface Mode". Dies bedeutet: Damit dies
durchgeführt werden kann muessen Abhängigkeiten zum "Internal Switch" aufgelöst werden. Diese Abhängigkeiten bestehen auf
folgenden Komponenten:
NOTE Ab Januar 2015 werden FG-60D mit einem sogenannten "Switch Controller" ausgeliefert (Analog 100D/140D). Dies bedeutet der Interface
Mode steht bei einem solchen Gerät über CLI nicht mehr zur Verfügung da die Interfaces über Web Mgmt. Interface einzeln in den
Interface Modes gesetzt/konfiguriert werden können. Die Vorraussetzungen das dies durchgeführt werden kann dh. das zuerst deren
Abhängikeiten aufgelöst werden müssen gelten ebenfalls in einem solchen Fall. Weitere Informationen zu diesem Thema siehe nachfolgender
Artikel der ebenfalls zeigt wie die Konfiguration zum Interface Mode durchgeführt werden muss:
FortiGate-5.0-5.2:FAQ#Wieso_kann_ich_auf_einer_FortiGate_mit_.22Hardware_Switch.22_.28zB_60D.2F100D.2F140D.2F240D.29_den_Internal_Switch_nicht_in_einzelne_Ports_aufbrechen.3F
- Firewall Policy
- DHCP Server
FGT60D4613062521 login: admin
Password:
Welcome !
FGT60D4613062521 # config firewall policy
FGT60D4613062521 (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
FGT60D4613062521 (policy) # end
FGT60D4613062521 # config system dhcp server
FGT60D4613062521 (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
FGT60D4613062521 (server) # end
FGT60D4613062521 # config system global
FGT60D4613062521 (global) # set internal-switch-mode interface
FGT60D4613062521 (global) # end
Changing switch mode will reboot the system!
Do you want to continue? (y/n)y
FGT60D4613062521 #
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
FGT60D4613062521 login:
4. Kontrolliere kurz über Console ob nun die Disk vorhanden ist und ob die FortiGate sich im "Interface Mode" befindet. Danach
führe den "factoryreset2" durch (nicht "factoryreset") um sicher zu gehen, dass die gesamte Konfiguration betreffend Profile
etc. zurück gestellt wird:
FGT60D4613062521 login: admin
Password:
Welcome !
FGT60D4613062521 # get system status
Version: FortiGate-60D v5.0,build0292,140801 (GA Patch 9)
Virus-DB: 16.00560(2012-10-19 08:31)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00345(2013-05-23 00:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FGT60D4613062521
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000022
System Part-Number: P14482-03
Log hard disk: Available
Internal Switch mode: interface
Hostname: FGT60D4613062521
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 292
Release Version Information: GA Patch 9
System time: Fri Sep 5 01:17:47 2014
FGT60D4613062521 # get system interface
== [ dmz ]
name: dmz mode: static ip: 10.10.10.1 255.255.255.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ wan1 ]
name: wan1 mode: dhcp ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ wan2 ]
name: wan2 mode: dhcp ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ modem ]
name: modem mode: pppoe ip: 0.0.0.0 0.0.0.0 netbios-forward: disable type: physical sflow-sampler: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ ssl.root ]
name: ssl.root ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: tunnel sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable
== [ internal1 ]
name: internal1 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal2 ]
name: internal2 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal3 ]
name: internal3 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal4 ]
name: internal4 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal5 ]
name: internal5 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal6 ]
name: internal6 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
== [ internal7 ]
name: internal7 mode: static ip: 0.0.0.0 0.0.0.0 status: up netbios-forward: disable type: physical sflow-sampler: disable explicit-web-proxy: disable explicit-ftp-proxy: disable mtu-override: disable wccp: disable drop-overlapped-fragment: disable drop-fragment: disable
FGT60D4613062521 # execute factoryreset2
This operation will reset the system to factory default except system.global.vdom-admin/VDOMs/system.interface/system.settings/router.static!
Do you want to continue? (y/n)y
System is resetting to factory default...
The system is going down NOW !!
FGT60D4613062521 #
Please stand by while rebooting the system.
Restarting system.
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
System will reboot to make some changes effective.
License is bad!
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
FGT60D4613062521 login:
5. Die FortiGate ist nun in den Grundzügen bereit. Als nächstes kann die Konfiguration vorbereitet und nachträglich geladen
werden. Dazu siehe Abschnitt Konfigurations Beispiele:
Konfigurations Example
Typische KMU Konfiguration
Das File "myconfig.conf" das im Zip File "myconfig-kmu.zip" beinhaltet ist, enthält die gesamte Konfiguration in allen Zügen mit deren eigenen Namen und IP's etc. Nachfolgend eine Kurzübersicht die zeigen soll was die Konfig in Ihren Grundzügen enthält (Network Topology):
FortiOS 5.0.12 Production
Datei:Myconfig-kmu.zip Basierend auf FortiGate 60D FortiOS 5.0.12
Datei:Revision-myconfig-kmu.txt Revision Control / Zeigt Aenderungen der verschienene Versionen von "myconfig-kum.zip"
Datei:X86-ManualDistribution.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10
Datei:X86-ActiveDirectory.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10
Datei:X64-ManualDistribution.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10
Datei:X64-ActiveDirectory.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10
Datei:FortiClient 5.0.10.143 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10
FortiOS 5.2.4 Production
Datei:Myconfig-kum-5.2.zip Basierend auf FortiGate 60D FortiOS 5.2.4
Datei:Revision-myconfig-kmu-5.2.txt Revision Control / Zeigt Aenderungen der verschienene Versionen von "myconfig-kum-5.2.zip"
Datei:X86-ManualDistribution-5.2.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5
Datei:X86-ActiveDirectory-5.2.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.5
Datei:X64-ManualDistribution-5.2.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5
Datei:X64-ActiveDirectory-5.2.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.5
Datei:FortiClient 5.2.3.370 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.3
Datei:FortiClient 5.2.4.377 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.4
Datei:FortiClient 5.2.5.383 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5
Datei:X86-ManualDistribution-5.4.0.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0
Datei:X86-ActiveDirectory-5.4.0.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.0
Datei:X64-ManualDistribution-5.4.0.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0
Datei:X64-ActiveDirectory-5.4.0.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.0
Datei:FortiClient 5.4.0.493 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10/11 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0
NOTE Beim Download der FortiClient Package's 5.2 kann es vorkommen das der lokale Antivirus Scanner anschlägt dh. es wird eine Adware
gemeldet "MultiPlug.Gen4". Dies ist eine "False Positive". Desweiteren ist zu berücksichtigen das die FortiClient Version 5.4.0 "kein"
Support/Unterstützung bietet für Windows Vista sei es 64bit oder 32bit! "El Capitano" dh. MacOSx 10.11 wird erst ab FortiClient 5.4.0
unterstützt (Weitere Informationen siehe Release Notes das jeweils in den .zip Files enthalten ist).
NOTE Im Zip File "myconfig-kmu.zip" sowie "revision-myconfig-kmu-5.2.txt" sind weitere txt Files enthalten die aufzeigen welche
Modifikationen innerhalb der Konfiguration auf Kommandozeile durchgeführt wurden!
__________
| ISP | Pub DNS 1: 8.8.8.8
| Router | Pub DNS 2: 8.8.4.4
| Bridge | NTP Server: ch.pool.ntp.org
|__________|
| FortiClient SSL VPN: IP Pool 198.18.0.0/25
| IPSec FortiClient Client2Site: IP Pool 198.18.1.128/25
| IPSec IOS Device Client2Site: IP Pool 198.18.4.0/25
| IPSec L2TP Device Client2Site: IP Pool 198.18.4.128/25
| IPSec Cisco Native Client Client2Site: IP Pool 198.18.5.0/25
|
| WAN1 (PPPoE Fix IP 1.1.1.1/32; Mgmt. Access FMG)
_________|_________ _______ SSID: only4internal WPA2-Private (DHCP 198.18.2.1/25)
| | DMZ (FAP 198.18.3.1/24) | | SSID: only4guest Captive Portal (DHCP 198.18.2.129/25)
| FortiGate 60D |-------------------------- | FAP |
|___________________| |_______|
|
| internal1 (LAN 198.18.0.1/24)
|
___________________|___________________
| |
| Internal DNS: 198.18.0.91/32 |
| Host Exchange: 198.18.0.92/32 |
| Host VoIP: 198.18.0.94/32 |
|_______________________________________|
NOTE Das Logging und Management wurde so konfiguriert, dass ein FortiManager zuständig ist für das Management
und ein FortiAnalayzer für das Logging. Ist kein FortiManager resp. FortiAnalyzer vorhanden kann die
Konfig des FortiManagers deaktiviert werden sowie das Loggging auf Memory gesetzt werden. Wir empfehlen
auf keinen basierend auf dieser Konfig die Disk als Log Device zu aktivieren. Um den FortiManager sowie
FortiAnalyzer zu deaktivieren und Memory Logging zu aktivieren führe folgendes aus:
# config system interface
# edit wan1
# unset allowaccess
# end
# config system central-management
# unset fmg
# end
# config antivirus quarantine
# unset destination
# end
# config log settings
# set gui-location memory
# end
# config log fortianalyzer setting
# set status disable
# end
# config log memory setting
# set status enable
# end
Um nun die Konfiguration anzupassen öffne das "myconfig.conf" File zB mit "WordPad" und durch "Ctrl + H" (Suchen und Ersetzen) ändern Sie die gewünschte Konfiguration. Beachte dabei, dass bei jedem Vorgang des "Suchen und Ersetzen" der Cursor sich zuoberst im Dokument befindet, damit das gesamte Dokument durch "Suchen und Ersetzen" bearbeitet wird:
NOTE Beim "Suchen und Ersetzen" betreffend Namen ist Vorsicht geboten! Bedeutet: Der neue Name "darf" nicht
länger als 9 Zeichen sein (Beispiel = mydomain1 = 9 Zeichen)!
Key Funktion Wert Suchen Wert Ersetzen
************ *********** *************
Passwort/Shared Key only4mydomain1! ?
Firewall Name mydomain1-sg0e0 ?
Domain mydomain1.ch ?
mydomain1.local ?
mydomain1 ?
Pub DNS Server 1 8.8.8.8 ?
Pub DNS Server 1 8.8.4.4 ?
NTP Server ch.pool.ntp.org ?
Net/Interface WAN 1.1.1.1-32 ?
(Fix IP ISP) 1.1.1.1 ?
1.1.1.1 255.255.255.255 ?
Net/Interface LAN 198.18.0.1 255.255.255.0 ?
(Internal) 198.18.0.1 255.255.255.255 ?
198.18.0.1-32 ?
198.18.0.0-24 ?
198.18.0.0 255.255.255.0 ?
Net/Interface FAP 198.18.3.1 255.255.255.0 ?
(DMZ) 198.18.3.1 255.255.255.255 ?
198.18.3.1-32 ?
198.18.3.0-24 ?
198.18.3.0 255.255.255.0 ?
198.18.3.1 ?
set start-ip 198.18.3.2 ?
set end-ip 198.18.3.254 ?
Net/Interface SSID only4internal ?
198.18.2.1 255.255.255.128 ?
set default-gateway 198.18.2.1 ?
set start-ip 198.18.2.2 ?
set end-ip 198.18.2.126 ?
198.18.2.0-25 ?
198.18.2.0 255.255.255.128 ?
Net/Interface SSID only4guest ?
198.18.2.129 255.255.255.128 ?
set default-gateway 198.18.2.129 ?
set start-ip 198.18.2.130 ?
set end-ip 198.18.2.254 ?
198.18.2.128-25 ?
198.18.2.128 255.255.255.128 ?
Internal DNS 1 198.18.0.91 ?
Host Exchange 198.18.0.92 ?
Host VoiP 198.18.0.94 ?
Net IP Pool VPN 198.18.1.0-25 ?
(SSL FortiClient) 198.18.1.0 255.255.255.128 ?
Net IP Pool VPN 198.18.1.128-25 ?
(IPSec FortiClient) 198.18.1.128 255.255.255.128 ?
set ipv4-start-ip 198.18.1.129 ?
set ipv4-end-ip 198.18.1.254 ?
Net IP Pool VPN 198.18.4.0-25 ?
(IPSec IOS Device) 198.18.4.0 255.255.255.128 ?
set ipv4-start-ip 198.18.4.1 ?
set ipv4-end-ip 198.18.4.126 ?
Net IP Pool VPN 198.18.4.128-25 ?
(IPSec L2TP Device) 198.18.4.128 255.255.255.128 ?
set set sip 198.18.4.129 ?
set set eip 198.18.4.254 ?
Net IP Pool VPN 198.18.5.0-25 ?
(Cisco Native Client) 198.18.5.0 255.255.255.128 ?
set ipv4-start-ip 198.18.5.1 ?
set ipv4-end-ip 198.18.5.126 ?
FAZ Pup IP 4.4.4.4 ?
FMG Pup IP/Serial set fmg "3.3.3.3" ?
3.3.3.3 255.255.255.255 ?
"wan1" Interface ISP set username "0412661111@dsl.ch" ?
(mode pppoe) set password only4mydomain1! ?
set defaultgw enable ?
set mtu-override enable ?
set mtu 1492 ?
VDom Konfiguration Transparent <-> NAT
Das File "myconfig.conf" das im Zip File "myconfig-vdom.zip" beinhaltet ist, enthält die gesamte Konfiguration in allen Zügen mit deren eigenen Namen und IP's etc. Nachfolgend eine Kurzübersicht die zeigen soll was die Konfig in Ihren Grundzügen enthält (Network Topology):
NOTE Dieses Konfigurationsbeispiel enthält eine Topology die eingesetzt werden kann wenn mehrere Public IP's zur Verfügung
stehen (Voraussetzung). Dies bedeutet: Wenn eine Transparent Firewall "vor" die NAT Firewall gesetzt wird entfällt die
Teilung des Public IP Ranges (Subnetierung). Diese Art der Konfiguration wird Hauptsächlich eingesetzt wenn mehrer Kunden
eine ISP Linie teilen oder wenn eine produktive Umgebung sowie eine test Umgebung eine ISP Linie teilen und somit Komplett
Selbstständig agieren könnne.
Datei:Myconfig-vdom.zip Basierend auf FortiGate 60D FortiOS 5.0.12
Datei:X86-ManualDistribution.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10 Datei:X86-ActiveDirectory.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10 Datei:X64-ManualDistribution.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10 Datei:X64-ActiveDirectory.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.0.10 Datei:FortiClient 5.0.10.143 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.0.10 Datei:X86-ManualDistribution-5.2.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5 Datei:X86-ActiveDirectory-5.2.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.5 Datei:X64-ManualDistribution-5.2.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5 Datei:X64-ActiveDirectory-5.2.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.2.5 Datei:FortiClient 5.2.3.370 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.3 Datei:FortiClient 5.2.4.377 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.4 Datei:FortiClient 5.2.5.383 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.5 Datei:X86-ManualDistribution-5.4.0.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0 Datei:X86-ActiveDirectory-5.4.0.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.0 Datei:X64-ManualDistribution-5.4.0.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0 Datei:X64-ActiveDirectory-5.4.0.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Active Directory Group Policy (Online Updates Deaktiviert) 5.4.0 Datei:FortiClient 5.4.0.493 macosx.dmg.zip FortiClient Mac OS X v10.8/9/10/11 VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.0 NOTE Beim Download der FortiClient Package's 5.2 kann es vorkommen das der lokale Antivirus Scanner anschlägt dh. es wird eine Adware gemeldet "MultiPlug.Gen4". Dies ist eine "False Positive". Desweiteren ist zu berücksichtigen das die FortiClient Version 5.4.0 "kein" Support/Unterstützung bietet für Windows Vista sei es 64bit oder 32bit! "El Capitano" dh. MacOSx 10.11 wird erst ab FortiClient 5.4.0 unterstützt (Weitere Informationen siehe Release Notes das jeweils in den .zip Files enthalten ist).
___________
| ISP | Pub DNS 1: 8.8.8.8
| Router | Pub DNS 2: 8.8.4.4
| RouteMode | NTP Server: ch.pool.ntp.org
|___________|
| 1.1.1.1/29 (Default Gateway)
|
| wan1
_________|_________
| |
| vdom Transparent |
|___________________|
Inter-VDom-Link (wan-to-root0) | | Inter-VDom-Link (wan-to-cst10)
| |
IPSec Client2Site: IP Pool 198.18.1.0/25 ____________| |____________ IPSec Client2Site: IP Pool 198.18.11.0/25
SSL VPN Web/Tunnel: IP Pool 198.18.1.128/25 | | SSL VPN Web/Tunnel: IP Pool 198.18.11.128/25
| |
Inter-VDom-Link (wan-to-root1) 1.1.1.2/29 | | 1.1.1.3/29 Inter-VDom-Link (wan-to-cst11)
_________|_______ ________|________
| VDom root | | VDom vdom-cst1 |
| NAT | | NAT |
|_________________| |_________________|
dmz 198.18.3.1/24 | | 198.18.0.1/24 198.18.10.1/24 | | 198.18.13.1/24 internal3
_________| | internal1 internal2 | |_________
| | | |
________|_______ | | ________|_______
SSID: only4internal | | | | | | SSID: cst14internal
WPA2-Private DHCP 198.18.2.1/25 | FortiAP's | | | | FortiAP's | WPA2-Private DHCP 198.18.12.1/25
|________________| | | |________________|
SSID: only4guest | | SSID: cst14guest
Captive Portal DHCP 198.18.2.129/25 | | Captive Portal DHCP 198.18.12.129/25
____________________|________________ _________________|__________________
| | | |
| Internal DNS: 198.18.0.91/32 | | Internal DNS: 198.18.10.91/32 |
| Host Exchange: 198.18.0.92/32 | | Host Exchange: 198.18.10.92/32 |
| Host VoIP: 198.18.0.94/32 | | Host VoIP: 198.18.10.94/32 |
|_____________________________________| |____________________________________|
NOTE Das Logging und Management wurde so konfiguriert, dass ein FortiManager zuständig ist für das Management
und ein FortiAnalayzer für das Logging. Ist kein FortiManager resp. FortiAnalyzer vorhanden kann die
Konfig des FortiManagers deaktiviert werden sowie das Loggging auf Memory gesetzt werden. Wir empfehlen
auf keinen basierend auf dieser Konfig die Disk als Log Device zu aktivieren. Um den FortiManager sowie
FortiAnalyzer zu deaktivieren und Memory Logging zu aktivieren führe folgendes aus:
# config vdom
# edit root
# config system interface
# edit wan-to-root1
# unset allowaccess
# end
# end
# config global
# config system central-management
# unset fmg
# end
# end
# config vdom
# edit root
# config antivirus quarantine
# unset destination
# end
# end
# config global
# config log fortianalyzer setting
# set status disable
# end
# config vdom
# edit root
# config log settings
# set gui-location memory
# end
# config log memory setting
# set status enable
# end
# end
Um nun die Konfiguration anzupassen öffne das "myconfig.conf" File zB mit "WordPad" und durch "Ctrl + H" (Suchen und Ersetzen) ändern Sie die gewünschte Konfiguration. Beachte dabei, dass bei jedem Vorgang des "Suchen und Ersetzen" der Cursor sich zuoberst im Dokument befindet, damit das gesamte Dokument durch "Suchen und Ersetzen" bearbeitet wird:
NOTE Beim "Suchen und Ersetzen" betreffend Namen ist Vorsicht geboten! Bedeutet: Der neue Name "darf" nicht
länger als 9 Zeichen sein (Beispiel = mydomain1 = 9 Zeichen)!
VDOM root
Key Funktion Wert Suchen Wert Ersetzen
************ *********** *************
Passwort/Shared Key only4mydomain1! ?
Firewall Name mydomain1-sg0e0 ?
Domain mydomain1.ch ?
mydomain1.local ?
mydomain1 ?
Pub DNS Server 1 8.8.8.8 ?
Pub DNS Server 1 8.8.4.4 ?
NTP Server ch.pool.ntp.org ?
Net/Interface WAN 1.1.1.2-32 ?
(Fix IP ISP) 1.1.1.2 ?
1.1.1.2 255.255.255.255 ?
Net/Interface LAN 198.18.0.1 255.255.255.0 ?
(Internal) 198.18.0.1 255.255.255.255 ?
198.18.0.1-32 ?
198.18.0.0-24 ?
198.18.0.0 255.255.255.0 ?
Net/Interface FAP 198.18.3.1 255.255.255.0 ?
(DMZ) 198.18.3.1 255.255.255.255 ?
198.18.3.1-32 ?
198.18.3.0-24 ?
198.18.3.0 255.255.255.0 ?
198.18.3.1 ?
set start-ip 198.18.3.2 ?
set end-ip 198.18.3.254 ?
Net/Interface SSID only4internal ?
198.18.2.1 255.255.255.128 ?
set default-gateway 198.18.2.1 ?
set start-ip 198.18.2.2 ?
set end-ip 198.18.2.126 ?
198.18.2.0-25 ?
198.18.2.0 255.255.255.128 ?
Net/Interface SSID only4guest ?
198.18.2.129 255.255.255.128 ?
set default-gateway 198.18.2.129 ?
set start-ip 198.18.2.130 ?
set end-ip 198.18.2.254 ?
198.18.2.128-25 ?
198.18.2.128 255.255.255.128 ?
Internal DNS 1 198.18.0.91 ?
Host Exchange 198.18.0.92 ?
Host VoiP 198.18.0.94 ?
Net IP Pool VPN 198.18.1.0-25 ?
(SSL) 198.18.1.0 255.255.255.128 ?
Net IP Pool VPN 198.18.1.128-25 ?
(IPSec) 198.18.1.128 255.255.255.128 ?
set ipv4-start-ip 198.18.1.129 ?
set ipv4-end-ip 198.18.1.254 ?
FAZ Pup IP 4.4.4.4 ?
FMG Pup IP/Serial set fmg "3.3.3.3" ?
3.3.3.3 255.255.255.255 ?
VDOM vdom-cst1
Key Funktion Wert Suchen Wert Ersetzen
************ *********** *************
Passwort/Shared Key only4cst1! ?
Firewall Name cst1-sg0e0 ?
Domain cst1.ch ?
cst1.local ?
cst1 ?
Net/Interface WAN 1.1.1.3-32 ?
(Fix IP ISP) 1.1.1.3 ?
1.1.1.3 255.255.255.255 ?
Net/Interface LAN 198.18.10.1 255.255.255.0 ?
(Internal) 198.18.10.1 255.255.255.255 ?
198.18.10.1-32 ?
198.18.10.0-24 ?
198.18.10.0 255.255.255.0 ?
Net/Interface FAP 198.18.13.1 255.255.255.0 ?
(DMZ) 198.18.13.1 255.255.255.255 ?
198.18.13.1-32 ?
198.18.13.0-24 ?
198.18.13.0 255.255.255.0 ?
198.18.13.1 ?
set start-ip 198.18.13.2 ?
set end-ip 198.18.13.254 ?
Net/Interface SSID cst14internal ?
198.18.12.1 255.255.255.128 ?
set default-gateway 198.18.12.1 ?
set start-ip 198.18.12.2 ?
set end-ip 198.18.12.126 ?
198.18.12.0-25 ?
198.18.12.0 255.255.255.128 ?
Net/Interface SSID cst14guest ?
198.18.12.129 255.255.255.128 ?
set default-gateway 198.18.12.129 ?
set start-ip 198.18.12.130 ?
set end-ip 198.18.12.254 ?
198.18.12.128-25 ?
198.18.12.128 255.255.255.128 ?
Internal DNS 1 198.18.10.91 ?
Host Exchange 198.18.10.92 ?
Host VoiP 198.18.10.94 ?
Net IP Pool VPN 198.18.11.0-25 ?
(SSL) 198.18.11.0 255.255.255.128 ?
Net IP Pool VPN 198.18.11.128-25 ?
(IPSec) 198.18.11.128 255.255.255.128 ?
set ipv4-start-ip 198.18.11.129 ?
set ipv4-end-ip 198.18.11.254 ?
Installation
How to Installation "Konfigurations Example"?
Wenn das entsprechende Konfigurations Example bereit ist kann dieses geladen werden. Dazu gilt der Abschnitt Staging/Setup als Grundvorraussetzung:
1. Verbinde das Netzwerk Kabel des Laptop an Port1 der FortiGate. Ueber Console logge dich ein und führe folgendes durch:
FGT60D4613062521 login: admin
Password:
Welcome !
FGT60D4613062521 # config system interface
FGT60D4613062521 (interface) # edit internal1
FGT60D4613062521 (internal1) # set ip 192.168.1.1/24
FGT60D4613062521 (internal1) # set allowaccess ping
FGT60D4613062521 (internal1) # end
FGT60D4613062521 #
Nun kann über den Laptop der Port1 resp. "internal" über Ping angesprochen werden! Vergewissere dich das der TFTP Server auf der
Workstation/Laptop gestartet ist. Kopiere nun das modifizierte "myconfig.conf" in das Root Verzeichnis des TFTP Servers (C:\TFTP-Root)
und führe folgendes aus um einen Restore zu durchzuführen:
FGT60D4613062521 # execute ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100): 56 data bytes
64 bytes from 192.168.1.100: icmp_seq=0 ttl=128 time=10.1 ms
64 bytes from 192.168.1.100: icmp_seq=1 ttl=128 time=0.4 ms
--- 192.168.1.100 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.4/5.2/10.1 ms
FGT60D4613062521 # execute restore config tftp myconfig.conf 192.168.1.100
This operation will overwrite the current settings!
Do you want to continue? (y/n)y
Please wait...
Connect to tftp server 192.168.1.100 ...
Get config file from tftp server OK.
File check OK.
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D4613062521
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Reading boot image... 1262734 bytes.
Initializing firewall...
System is starting...
mydomain1-sg0e0 login:
NOTE Der Transfer sowie der Neustart sollten auf der Console mitverfolgt werden denn
bei allfälligen Fehlern in der Konfig werden diese angzeigt!
2. Aendere nun die Netzwerk Karte der Workstation zu der IP die auf der FortiGate konfiguriert wurde. Um dies auf der FortiGate über
Console zu verifizieren geben folgendes ein:
mydomain1-sg0e0 login: admin
Password: [Neu gesetztes Passwort]
Welcome !
mydomain1-sg0e0 # show system interface
Sobald die Netzwerk Karte der Workstation auf das Segment des Interface's "internal1" konfiguriert wurde (kein DHCP) kann mit der
entsprechenden IP eingeloggt werden:
https://[IP Internal1 Interface]:8443