Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks

Published on November 20, 2018 in Autodoc, Boll, Firmware / Software and HowTo. 0 Comments Tags: , , . by rh

Autodoc is a software developed by Boll Engineering AG, which makes it possible to automatically generate detailed reports from firewall configuration files. The reports are clearly displayed on the screen and can be exported as PDF or HTML reports or printed out as PDF reports. In addition to the existing firewall manufacturers Watchguard, Fortinet and SonicWALL, we have recently added support for Palo Alto Networks.

Continue reading ‚Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks‘

CheatSheet – FortiOS v6.0

Published on September 17, 2018 in Fortinet. 0 Comments Tags: . by sy

This week we start with the update of the cheatsheet for version 6.0.

The Tech-Team of BOLL Engineering wishes you happy troubleshooting!

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Published on August 28, 2018 in Boll, Bugs, Firmware / Software and Fortinet. 0 Comments Tags: , , , , , . by mp

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

Continue reading ‚FortiGate GUI „Addresses“ Seite wird nicht angezeigt‘

Basic Stuff: MTU-Grösse mit ping testen

Published on August 13, 2018 in Boll and HowTo. 0 Comments Tags: , . by sy

Die MTU ist immer wieder ein Thema beim Troubleshooten von Netzwerkproblemen. Oft herrscht jedoch Unklarheit darüber wie man die genaue MTU zwischen zwei Endpunkten herausfinden kann.

Natürlich ist der „ping“-Befehl hier das Mittel der Wahl, aber mit welcher Ping-Grösse habe ich welche MTU? Continue reading ‚Basic Stuff: MTU-Grösse mit ping testen‘

Problem beim Service-Transfer von Trade-Up Geräten

Published on August 8, 2018 in Fortinet and HowTo. 0 Comments Tags: , , . by sy

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

FortiClient nicht automatisch mit Windows starten

Published on Juli 5, 2018 in Fortinet and HowTo. 0 Comments Tags: , , , , . by mp

Anleitung, wie der FortiClient so angepasst werden kann, damit dieser nicht automatisch mit Windows startet.

1. FortiClient beenden

 

2. FortiShield Dienst beenden (cmd als Administrator ausführen).

3. Msconfig starten

4. FortiClient Service Scheduler deaktivieren

5. Services starten

6. FortiClient Dienst Starttyp auf «Manuell» stellen

7. PC rebooten

FortiGate „Cannot allocate memory“ Fehler beheben

Published on März 6, 2018 in Boll and Fortinet. 1 Comment by vla

Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler

2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)

auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.

Kurzfristig kann das Problem mit einem Reboot behoben werden. Nach einigen Tagen tritt der Fehler jedoch wieder auf. Die Änderungen an der Konfiguration werden nach dem Reboot übernommen, es gehen keine Konfigurationen verloren.

Das Problem wurde unterdessen mit folgenden FortiOS Versionen behoben: FortiOS 5.6.3 und FortiOS 5.4.8

Bei HA Clustern führt der Fehler zu einem „out-of-sync“ Zustand im Dashboard und bei der Ausgabe von „diag sys ha status“. Dieser Zustand kann durch einen Neustart beider Geräte behoben werden. Anschliessend muss der Cluster ebenfalls auf eine der beiden genannten Versionen oder höher aktualisiert werden.

Achtung: Bitte auch hier immer den Upgrade Pfad beachten. Weitere Informationen dazu sind hier zu finden.

VXLAN: L2 Traffic zwischen Standorten übertragen

Published on Januar 9, 2018 in Fortinet and HowTo. 0 Comments by vla

Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.

Damit auf einfache Weise Datenpakete über das VXLAN gesendet werden können, wird auf dem FortiGate ein neues virtuelles Interface als Tunnelendpunkt angelegt. Diese „Tunnel End Point“ Interfaces werden VTEP (VXLAN Tunnel End Point) genannt. Wenn der VXLAN Tunnel über ein IPSec aufgebaut wird, gibt es kein zusätzliches Interface, da auf dem IPSec Interface die Encapsulation direkt auf VXLAN umgeschaltet wird. Ein zusätzliches logisches Interface wird daher nicht benötigt.

Über IPSec und ohne die Verwendung von VXLAN können zwei unabhängige Subnetze mit den selben Netzwerken an beiden Standorten verwendet werden. Jedoch können diese Netzwerke nicht als einzelnes durchgehendes Netz betrachtet werden, da beide pro Standort unabhängig verwendet werden. Adressen welche an Standort A verwendet werden, können an Standort B ebenfalls noch einmal verwendet werden. Ermöglicht wird dies durch das NAT, welches die Adressen für die Gegenseite in einen anderen Adressbereich verlegt. So kann der Adressbereich doppelt verwendet werden, ohne dass dies die Gegenseite stört. Die Kommunikation von einem Host an Standort A zu einem Host an Standort B erfolgt dabei nicht über die effektive Adresse des anderen Clients sondern über die per NAT maskierte Adresse, welche von der Firewall jeweils umgeschrieben wird. Continue reading ‚VXLAN: L2 Traffic zwischen Standorten übertragen‘

FortiGate Routing mit Distanz 255

Published on Dezember 18, 2017 in Fortinet. 0 Comments Tags: , , , . by vla

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.

Die Fortigate Cluster ID und allfällige Probleme mit dem ISP

Published on November 29, 2017 in Fortinet and HowTo. 0 Comments Tags: , , , . by sy

Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.

Folgendes Bild veranschaulicht das Prinzip: Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘