Author Archive for vla

FortiGate Logs per CLI ausgeben

Von Zeit zu Zeit ist es notwendig, die Logs einer FortiGates per CLI auszulesen. Dies kann beispielsweise dann von Nöten sein, wenn die FortiGate nur per CLI erreichbar ist oder der Inhalt eines Logs von einem Script ausgewertet werden soll. Continue reading ‚FortiGate Logs per CLI ausgeben‘

Offene Ports an der FortiGate

Die FortiGate ist ein genialer Kommunikationsspezialist in vielfacher Hinsicht. Gleichzeitig ist es aber auch ein Türsteher und Wächter erster Güte. Von Zeit zu Zeit stellt sich nun die Frage, welcher dieser Qualitäten der Vorrang eingeräumt werden soll. Natürlich mögen wir alle die eierlegende Woll-Milch-Sau, auch wenn wir uns oft darüber amüsieren. Jedoch sind in gewissen Situationen Qualitäten gefragt, welche eine eierlegende Woll-Milch-Sau nicht bieten kann. Die FortiGate schon.
Continue reading ‚Offene Ports an der FortiGate‘

FortiGate „Cannot allocate memory“ Fehler beheben

Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler

2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)

auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.
Continue reading ‚FortiGate „Cannot allocate memory“ Fehler beheben‘

VXLAN: L2 Traffic zwischen Standorten übertragen

Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.
Continue reading ‚VXLAN: L2 Traffic zwischen Standorten übertragen‘

FortiGate Routing mit Distanz 255

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.

FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

Continue reading ‚FortiOS aktualisieren: Tipps & Tricks‘

Swisscom BCON: FortiCloud Zugriff nicht möglich

Es ist soweit. Swisscom hat den neuen Business Connect Anschluss, den Smart Business Connect lanciert.

Selbstverständlich gibt es auch bei diesem Anschluss wieder Neuerungen für die Kunden.

Continue reading ‚Swisscom BCON: FortiCloud Zugriff nicht möglich‘

UDP Idle-timer für VoIP anpassen

Manche VoIP Provider verlangen auf den Firewalls, die den SIP Traffic routen, eine Anpassung des UDP Idle-timers.

Theoretisch gibt es im UDP (User Datagram Protocol) keine Sessions, da es sich um ein verbindungsloses Protokoll handelt. Der Absender eines UDP Pakets versendet dieses, ohne eine Rückmeldung über dessen Verbleib zu erhalten. Der Empfänger des Pakets wird dem Absender – im Gegensatz zu TCP – keine Empfangsbestätigung zukommen lassen. Continue reading ‚UDP Idle-timer für VoIP anpassen‘

Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren

Administratoren von Landes- und Sprachgrenzen überschreitenden Infrastrukturen kennen das Problem, dass die Sprachen von Webseiten je nach Standort und Sprache des Benutzers dessen Präferenzen angepasst werden müssen.

Je nach System gestaltet sich dies sehr einfach. Beispielsweise könnte auf einem Webserver mit PHP Integration die Sprache des Systems ausgelesen und die Sprache der Seite auf die jeweilige Sprache angepasst werden. In sicherheitsrelevanten Umgebungen wie der FortiGate oder anderen Firewalls gestaltet sich diese Herausforderung ein bisschen schwierig. Aufgrund der fehlenden serverseitigen Scriptsprachen Integration kann keine solche Lösung integriert werden.

Was schlussendlich als sinnvolle Lösungen übrig bleiben, sind folgende Ansätze:

Continue reading ‚Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren‘