Nach langem Warten auf die neue FortiGate 60D haben wir nun auch bereits vorab eine der ersten FortiWifi 60D im Land in unsere Hände bekommen.
Hier ein kleiner Überblick darüber, was sich neues in der kleinen Schachtel verbirgt.
Fortinet bietet eine Liste mit Supported Upgrade Steps für FortiOS an. Damit entfällt die mühsame Recherche in Release Notes für einen Upgrade über mehrere Maintennce Releases weg.
Die Liste ist unter folgendem Link zu finden:
http://docs.fortinet.com/fgt/FortiOS-Upgradepath.pdf
Wer schon versucht hat, Swisscom TV durch eine FortiGate zu leiten, hat sich bis anhin die Zähne ausgebissen. Eine Firewall sollte grundsätzlich IGMPv3 und Multicast unterstützen, dies die Aussage in diversen Foren. Mit FortiOS 5.0 scheint nun Swisscom TV sauber durch die FortiGate zu gehen mit entsprechender Konfiguration. Diese wollen wir natürlich nicht vorenthalten.
Multicast
Multicast ist eine Punkt zu Gruppe Verbindung. Dabei werden spezielle Multicast Adressen verwendet. Diese müssen in der FortiGate konfiguriert und mit einer Multicast Firewall Policy erlaubt werden. Für Multicast Pakete wird der Adress-Bereiche 224.0.0.0 bis 239.255.255.255 verwendet. Aktuell braucht es für diese Konfiguration keine öffentliche IP.
Einschalten des Multicast Routing
config router multicast
set multicast-routing enable
end
Konfigurieren der Multicast Adressen
config firewall multicast-address
edit “Swisscom_Multicast1″
set end-ip 224.255.255.255
set start-ip 224.0.0.0
next
edit “Swisscom_Multicast2″
set end-ip239.255.255.255
set start-ip 239.0.0.0
next
end
Konfigurieren der IP Adresse der Swisscom TV Box
Dies ist nicht zwingend notwendig, ist aber für das Erstellen der Multicast Firewall Policy von Vorteil, damit der Multicast Verkehr nur an die Swisscom Box geleitet wird.
config firewall address
edit Swisscom_Box
set address 192.168.1.11
end
Erstellen der Firewall Policy
Damit der Multicast Verkehr an die Box weitergeleitet wird, braucht es noch eine Firewall Policy, welche folgendermassen erstellt wird.
config firewalll multicast-policy
show
edit 1 (hier die nächste freie Nummer aus dem show Befehl verwenden)
set srcintf wan1
set dstintf internal
set srcaddr all
set dstaddr “Swisscom_Multicast1″ “Swisscom_Multicast2″
end
edit 2
set srcintf internal
set dstintf wan1
set srcaddr “Swisscom_Box
set dstaddr “Swisscom_Multicast1″ “Swisscom_Multicast2″
end
Dank
Geht an Sebastian Begert, Ascanius für die entscheidenden Hinweise zur Konfiguration.
Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere “Änderung” zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.
Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:
FG # conf sys int FG (interface) # edit ssl.root FG (ssl.root) # set mtu-override en FG (ssl.root) # set mtu 900 FG (ssl.root) # end FG (interface) # end FG #
Vielen Dank an den Fortinet Support, der das Problem nachgestellt und uns den Workaround zur Verfügung gestellt hat.
Hallo Forti-Techies,
kürzlich haben wir ja einen Post veröffentlich, in dem beschrieben wird, wie man ohne grosse Probleme die Konfiguration eines Fortigate Modells auf ein anderes Fortigate Modell bringt (Link zum Blogeintrag). Das ist immer sehr hilfreich, wenn eine Fortigate durch eine neuere, meist grössere Fortigate ersetzt wird und man nicht die gesamte Konfiguration neu erstellen möchte. Und prinzipiell ist das ja recht einfach: die Headerzeilen des Backups müssen angepasst werden, und natürlich die Interfacenamen.
Worauf aber zwingend auch zu achten ist, ist die Firmware-Version!
Es funktioniert leider nicht, ein v4.3-Backup zu nehmen und dieses in eine v5.0-Maschine einzuspielen. Ok, um genau zu sein: der Restore der v4.3 Konfig in ein v5.0-Gerät funktioniert schon, wenn die Headerzeilen/Interfacenamen entsprechend angepasst sind. Aber die Konfiguration verhält sich leider nicht wie erwartet. So wird z.B. der v4.3-Service “all” bein Einlesen einfach übernommen und auch im WebUI angezeigt – aber leider gibt es diesen Service in v5.0 gar nicht… Und ohne Upgrade-Procedure wird dieser Service natürlich auch nicht auf den neuen v5.0-Service “ALL” angepasst.
Wenn z.B. eine FGT50B v4.3 mit einer FG60C v5.0 ersetzt werden soll, ist das folgende Vorgehen sinnvoll:
- Backup der FGT50B v4.3 erstellen und dieses entsprechend dem früheren Blogeintrag für die FG60C anpassen.
- Die FG60C auf denselben Firmwarestand bringen, welcher auf der FG50B lief.
- Nun die angepasste Konfig auf der FG60C restoren.
- Und jetzt erst die FG60C auf v5.0 upgarden.
Hallo Forti-Techies,
regelmässig hören wir von sehr verärgerten Fortinet-Kunden, die behaupten, dass die Fortigate keinen Traffic mehr zulässt, sobald die Fortiguard Webfilter Lizenz ausläuft (oder die Fortigate mal gerade nicht in der Lage ist, den Lizenzstatus über das Fortiguard Network abzufragen.
Dabei ist es doch einfach nur eine Konfigurationsfrage, was in so einer Situation passiert.
Im Webfilter Profile gibt es unter dem Advanced Filter die nachfolgende Checkbox.
Mit dieser Option wird geregelt, was in so einer Situation passiert. Ok, per default werden sämtliche Webseiten vorsichtshalber geblockt. Wenn die Fortigate die Kategorie nicht herausfinden kann, arbeitet sie lieber konservativ, lässt also die Webseite (bzw. alle Webseiten) nicht zu. Es könnte ja eine Webseite der Kategorie Malware sein. Und das ist genau der Punkt, über die viele Kunden stolpern. Sobald man die Option aktiviert, werden alle Webseiten im Zweifelsfall zugelassen (und ja, auch die Webseiten, die man sonst lieber nicht sehen möchte/sollte).
Für Schulen und andere Einrichtungen, wo z.B. minderjährige Kinder Internetaccess bekommen, ist es sicherlich sinnvoll, bei den Default-Settings zu bleiben. Für alle anderen Kunden sollte aber abgeklärt werden, wie das Verhalten in so einer Situation aussehen soll.
FortiAP Modelle werden jeweils mit unterschiedlichen Power Optionen (PoE Support, PoE Injector und externes Power Supply) ausgeliefert. Die folgende Übersicht zeigt welche Optionen mit der Hardware mitgeliefert werden und welche optional erhältlich sind:
Generell können Thin Access Points über drei verschiedene Wege mit Strom versorgt werden:
- Power über einen PoE Switch. Somit entfällt der Einsatz eines Power Supply. PoE Standard beachten!
- Power über ein externes Power Supply
- Power über einen PoE Injector (Einspeisen von PoE Power auf das Ethernet Kabel zwischen einem None-PoE Switch und einem AP)
In der neusten Fireware Version XTM 11.6.3 führt Watchguard die neue Funktion RapidDeploy ein. Dank dieser Funktion können Watchguard Firewalls im Auslieferungszustand an einen Internet Anschluss gehängt werden. Sobald die Box mit dem Internet verbunden ist, holt sie sich automatisch die vorbereitete Konfiguration von den Watchguard Deployment Servern ab, konfiguriert sich und läuft ab dann mit entsprechender Konfig. Das Vorbereiten und Verschicken von Firewall an verschiedene Standorte wird so massiv vereinfacht.
Mehr dazu im folgenden Video:
Zudem sind weitere Details unter folgendem Link zu finden:
Hallo Forti Techies,
seit letztem Freitag ist die FortiOS v5.0 auf dem FTP Server zum Download erhältlich. In den Release Notes und dem What’s New-Dokument sind eine Unmenge an neuen Features gelistet. Schwerpunkte bilden das BYOD, Wireless, User Authentication aber auch viele andere Themen.
Kurz gesagt – es sind eine Fülle an neuen Features rausgekommen und ich persönlich freue mich schon darauf, diese alle zu entdecken 
.
Wir wollen mit diesem Blogeintrag aber nicht noch einmal die Liste der neuen Features aufzählen, sondern informell über kleinere Bugs informieren, über welche wir oder Kunden von uns gestolpert sind.
Fortinet hat wieder neue Visio Schablonen für die Erstellung von Netzwerkplänen und Präsentationen erstellt.
Sie können die Schablone von unserem Doc-Server herunterladen: