MS-SecurityUpdate verursacht SSLVPN-Probleme….

Published on January 13, 2012 in Bugs and Fortinet. 0 Comments Tags: , , , , , . by sy

Am 10. Januar 2012 hat MS ein SecurityUpdate veröffentlicht (http://technet.microsoft.com/en-us/security/bulletin/ms12-006 – KB2585542 ), welches ein Problem beim SSL 3.0 und TLS 1.0 beheben soll.

Dummerweise macht das SSLVPN von Fortinet (im Browser Mode) Probleme, wenn dieses Update installiert ist. Wird das SSLVPN-Portal aufgerufen, wird das Zertifikat der Fortigate zwar noch geprüft, danach kann die Webseite jedoch nicht mehr aufgerufen werden. Momentan ist unsere einzige Lösung, dieses MS-Update wieder zu deinstallieren.

Die aktuelle Aussage von Fortinet dazu:
We know about this issue and engineering is working on fixed version.
It could be released next week, but can’t guarantee it.

You can follow this Microsoft article to disable mentioned patch:
http://support.microsoft.com/kb/2643584 or use another browser for accessing VPN portal.

Mittlerweile gibt es nun auch ein offizielles Statement in Form eines Customer Support Bulletin (CSB-120117-1 ) von Fortinet. Dieses ist im Supportaccount zu finden. Die generelle Aussage zum Workaround ist zwar immer noch, dass das Microsoft Security Updates de-installiert werden soll – aber es gibt auch ein Hinweis auf einen Spezial-Build vom FortiOS, welches aber nur auf Anfrage beim Support herausgegeben wird.

FortiAP “Smoke Detector”

Published on January 11, 2012 in Fortinet. 0 Comments by sy

Bei Forinet dreht sich das Produkte-Karussell mal wieder unaufhörlich. Nach dem die FG300C und 600C für das mittlere Segment angekündigt wurden, wurden kurz darauf der Verkaufsstart der FG40C und FG20C bekannt gegeben. Infos zu den Modellen findet Ihr natürlich auf der Fortinet Webseite.

Was wir Euch hier vorstellen wollen, ist ein Produkt von Fortinet, welches noch nicht auf deren Webseite zu finden ist: der neue FortiAP221B “Smoke Detector”.

Continue reading ‘FortiAP “Smoke Detector”’

“Reset Buttons” auf der FG60C, FG40C und FG20C

Published on January 9, 2012 in Uncategorized. 0 Comments by sy

Das kleine unscheinbare Löchlein auf der Rückseite der FG60C (bzw. auf der FG40C und FG20C) hat beim Gebrauch eine Riesen-Wirkung: einmal kurz mit einer Büroklammer im laufenden Betrieb reingedrückt und schwuppdiwupp ist die ganze, schöne Konfiguration weg (und wieder ein Grund mehr, immer ein aktuelles Backup parat zu haben).

 

 

 

 

 

 

 

Das Gerät bootet dabei einfach durch und ist danach wieder in den Default Settings. So, als wenn man “execute factoryreset” im CLI eingegeben hätte.

Aber Achtung: die Config ist zwar weg, die Inhalte auf der Festplatte bleiben aber bestehen.

Neuer KB-Artikel für die Fortigates:“TFTP Firmware Upload Prozess”

Published on December 16, 2011 in Firmware / Software, Fortinet and HowTo. 0 Comments Tags: , , , , . by mp

Auf doc.boll.ch wurde folgender Artikel publiziert:

doc.boll.ch –> Fortinet TFTP Prozess

Dieser Artikel beschreibt wie man Firmware für FortiGate Geräte herunterlädt und von einem lokalen TFTP Server mit dem CLI installiert. Ein TFTP Reset braucht man in der Regel bei vergessenem Passwort, zum Überspielen der Firmware im Flash Image oder auch zum kompletten Reset und Neuafsetzen einer FortiGate.

Neuer KB-Artikel für die Fortigates: “Explicit Proxy Authentication mit NTLM/FSSO”

Published on September 7, 2011 in Fortinet and HowTo. 0 Comments by sy

Aufgrund mehrerer Anfragen haben wir wieder einen neuen Knowledge Base Artikel geschrieben und diesen auf unserem doc.boll.ch Server veröffentlicht. Es geht diesmal darum, wie Benutzer auf der Fortigate authentifiziert werden können, wenn diese Benutzer über einen Terminal Server arbeiten. Das Problem hierbei ist ja, dass alle Benutzer von der gleichen IP-Adresse kommen und die Fortigate diese dann nicht mehr auseinanderhalten kann.

Die Lösung für das Problem ist der “explicit Proxy” der Fortigate. Hierüber kann eine sessionbasierte Authentifizierung erfolgen. Und damit der User sich nicht für jede Session neu authentifzieren muss, wird der “explicit Proxy” im KB Artikel über NTLM mit dem FSSO (Fortinet Single Sign On, früher “FSAE”) und damit mit der AD verbunden.

http://doc.boll.ch/virtual/982/KB_-_Fortigate_-_Explicit-Proxy-Authentication-with-NTLM.pdf

Viel Spass beim Lesen!

 

FortiAP – Tips&Tricks vom letzen Technical Bulletin

Published on September 6, 2011 in Fortinet. 0 Comments by sy

Im Fortinet Technical Bulletin vom September sind ein paar kleine und feine Tips zum Arbeiten mit dem FortiAP220B beschrieben. Für alle, die das Bulletin nicht gelesen haben, hier noch mal die wichtigsten Infos:

Factory Reset des FortiAPs

  • per Factory Default Button (hilfreich, wenn man kein Admin Passwort mehr hat):

Die FortiAPs haben auf der Unterseite einen “versteckten” Factory Default Button. Diesen einfach für ein paar Sekunden drücken und schon ist das Gerät resetted. Continue reading ‘FortiAP – Tips&Tricks vom letzen Technical Bulletin’

ELFIQ Kurzanleitung

Published on July 14, 2011 in Elfiq. 0 Comments by sy

Wir haben für unseren neuen Link Loadbalancer von ELFIQ eine deutschsprachige Kurzanleitung geschrieben. Sie beinhaltet die wichtigsten Facts zur  ersten Installation und der Grundkonfiguration. Wie werden mehrere WAN-Links angeschlossen, wie wird aus- aber auch eingehendes Traffic-Loadbalancing konfiguriert? Und was ist mit dem DNS zu beachten? Alles drin! Einfach von unserem DocServer downloaden (Reseller-Account ist notwendig!)

FortiOS v4.3.1 – Achtung beim Update….

Published on July 14, 2011 in Fortinet. 1 Comment by sy

Nach dem Update einer Fortigate auf v4.3.1 kann es vorkommen, das einige IPSec-VPNs (Interface Mode) nicht mehr funktionieren. Das liegt meistens daran, dass beim Update fälschlicherweise das “mode-cfg”-Flag gesetzt wird. In den Release Notes ist dieses sogar vermerkt:

Description: Option “mode-cfg” was turn on by default and thus can cause phase1 mismatch during tunnel initialization when interface mode IPSec Phase1 was configured via Web UI.
Bug ID: 146113
Workaround: Use the CLI command “config vpn ipsec phase1-interface>set mode-cfg disable” to disable it.
Status: To be fixed in a future release.

Gut, dass die Beschreibung des Workarounds gleich dabei ist. Hier noch mal alle notwendigen CLI Befehle:

config vpn ipsec phase1-interface
  edit <name-der-phase1>
    set mode-cfg disable
end

Hope that helps.

Exinda Takes WAN Optimization to the Next Level with its ExOS 6.1 Operating System

Published on July 6, 2011 in Exinda, Firmware / Software and News. 0 Comments Tags: , . by mp

Exinda, a global provider of WAN optimization and application performance management solutions featuring Unified Performance Management, today announced the commercial launch of ExOS 6.1, the latest generation ExOS operating system for its complete family of Wide Area Network (WAN) Optimization appliances. The ExOS 6.1 release builds on Exinda’s leadership in offering Unified Performance Solutions that incorporate full visibility, control and optimization of each of the users and applications on the network, with a single WAN Optimization appliance.

The ExOS 6.1 release includes several key features and enhancements including the Exinda Edge Cache™, increased Optimization Scalability, and support for IPv6. These features address network issues including the increase in rich media such as video traffic on the WAN, the growing number and complexity of users and devices, and the rising demand for a better user experience.

Read more:
http://www.marketwire.com/press-release/exinda-takes-wan-optimization-to-the-next-level-with-its-exos-61-operating-system-1534815.htm

FortiLeaks???

Published on June 16, 2011 in Fortinet. 0 Comments by sy

Aus anonymen Quellen sind uns folgende Screenshots in die Hände gefallen.

Guess what this is…. ;-)

Continue reading ‘FortiLeaks???’