This week we start with the update of the cheatsheet for version 6.0.
The Tech-Team of BOLL Engineering wishes you happy troubleshooting!
Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.
Der Header der Seite wird angezeigt, mehr allerdings nicht:
Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.
Continue reading ‚FortiGate GUI „Addresses“ Seite wird nicht angezeigt‘
Die MTU ist immer wieder ein Thema beim Troubleshooten von Netzwerkproblemen. Oft herrscht jedoch Unklarheit darüber wie man die genaue MTU zwischen zwei Endpunkten herausfinden kann.
Natürlich ist der „ping“-Befehl hier das Mittel der Wahl, aber mit welcher Ping-Grösse habe ich welche MTU? Continue reading ‚Basic Stuff: MTU-Grösse mit ping testen‘
In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.
Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:
Trade-Up Programm:
Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:
Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘
Anleitung, wie der FortiClient so angepasst werden kann, damit dieser nicht automatisch mit Windows startet.
1. FortiClient beenden
2. FortiShield Dienst beenden (cmd als Administrator ausführen).
3. Msconfig starten
4. FortiClient Service Scheduler deaktivieren
5. Services starten
6. FortiClient Dienst Starttyp auf «Manuell» stellen
7. PC rebooten
Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler
2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)
auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.
Kurzfristig kann das Problem mit einem Reboot behoben werden. Nach einigen Tagen tritt der Fehler jedoch wieder auf. Die Änderungen an der Konfiguration werden nach dem Reboot übernommen, es gehen keine Konfigurationen verloren.
Das Problem wurde unterdessen mit folgenden FortiOS Versionen behoben: FortiOS 5.6.3 und FortiOS 5.4.8
Bei HA Clustern führt der Fehler zu einem „out-of-sync“ Zustand im Dashboard und bei der Ausgabe von „diag sys ha status“. Dieser Zustand kann durch einen Neustart beider Geräte behoben werden. Anschliessend muss der Cluster ebenfalls auf eine der beiden genannten Versionen oder höher aktualisiert werden.
Achtung: Bitte auch hier immer den Upgrade Pfad beachten. Weitere Informationen dazu sind hier zu finden.
Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.
Damit auf einfache Weise Datenpakete über das VXLAN gesendet werden können, wird auf dem FortiGate ein neues virtuelles Interface als Tunnelendpunkt angelegt. Diese „Tunnel End Point“ Interfaces werden VTEP (VXLAN Tunnel End Point) genannt. Wenn der VXLAN Tunnel über ein IPSec aufgebaut wird, gibt es kein zusätzliches Interface, da auf dem IPSec Interface die Encapsulation direkt auf VXLAN umgeschaltet wird. Ein zusätzliches logisches Interface wird daher nicht benötigt.
Über IPSec und ohne die Verwendung von VXLAN können zwei unabhängige Subnetze mit den selben Netzwerken an beiden Standorten verwendet werden. Jedoch können diese Netzwerke nicht als einzelnes durchgehendes Netz betrachtet werden, da beide pro Standort unabhängig verwendet werden. Adressen welche an Standort A verwendet werden, können an Standort B ebenfalls noch einmal verwendet werden. Ermöglicht wird dies durch das NAT, welches die Adressen für die Gegenseite in einen anderen Adressbereich verlegt. So kann der Adressbereich doppelt verwendet werden, ohne dass dies die Gegenseite stört. Die Kommunikation von einem Host an Standort A zu einem Host an Standort B erfolgt dabei nicht über die effektive Adresse des anderen Clients sondern über die per NAT maskierte Adresse, welche von der Firewall jeweils umgeschrieben wird. Continue reading ‚VXLAN: L2 Traffic zwischen Standorten übertragen‘
Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.
Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.
Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.
Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.
Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.
Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.
Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.
Folgendes Bild veranschaulicht das Prinzip:
Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘
Unser Boll Serial Konsolen Kabel gibt es ab sofort auch als USB-C Variante. Administratoren mit modernen USB-C Notebooks benötigen somit keinen Adapter mehr. Einfach direkt einstecken. Den Artikel finden sie in unserem Partner Shop in der Kategorie Boll Accessoires. Oder einfach in der Suchmaske mit dem Artikelnamen ‚UCON90C‘ eingeben. Für weitere Infos siehe Original Betrag weiter unten
