Author Archive for sy

CheatSheet – FortiOS v6.0

This week we start with the update of the cheatsheet for version 6.0.

The Tech-Team of BOLL Engineering wishes you happy troubleshooting!

Basic Stuff: MTU-Grösse mit ping testen

Die MTU ist immer wieder ein Thema beim Troubleshooten von Netzwerkproblemen. Oft herrscht jedoch Unklarheit darüber wie man die genaue MTU zwischen zwei Endpunkten herausfinden kann.

Natürlich ist der „ping“-Befehl hier das Mittel der Wahl, aber mit welcher Ping-Grösse habe ich welche MTU? Continue reading ‚Basic Stuff: MTU-Grösse mit ping testen‘

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

Die Fortigate Cluster ID und allfällige Probleme mit dem ISP

Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.

Folgendes Bild veranschaulicht das Prinzip: Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘

FortiOS v5.6 CheatSheet

The BOLL Tech Team has updated the FortiOS CheatSheet to v5.6:

Happy troubleshooting!

FortiOS v5.4 CheatSheet

Das Tech Team der BOLL Engineering darf bereits seit mehr als 14 Jahren Erfahrung im Troubleshooten der Fortinet Produkte, vornehmlich der Fortigates sammeln. Über alle Mitglieder gesehen kommen fast 50 Jahre Forti-Erfahrung zusammen.

Zusätzlich sind alle sechs Mitglieder des Teams NSE7 oder NSE8 zertifiziert!

Scheint fast so, als ob sich hier ein kleines Bündelchen an Wissen und Knowhow angesammelt hat.

Für uns ist das Grund genug, dieses Wissen ein wenig zusammen zu fassen und mit Euch zu teilen.

Ladet Euch doch unser praktisches FortiOS v5.4 CheatSheet herunter. Hier sind die wichtigsten CLI Befehle zum Troubleshooten der Fortigates unter v5.4 zusammen gefasst.

All members of the BOLL system engineering team have many years of experience in troubleshooting the Fortinet products – especially the Fortigates. Overall there are almost 50 years of experience in the team. Additionally all of the six team memerbs are NSE-7 or NSE-8 certified.

So it seems that there is a good deal of knowhow and competence at BOLL.
That’s reason enough to summarize all the important CLI commands that are so helpful in our daily work of troubleshooting.
And to share this stuff with you.

Please download our FortiOS v5.4 Cheatsheet!

WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?

Auf den Fortigates ist es recht einfach, ein automatisches WAN-Failover zu konfigurieren, wenn man zwei ISP-Leitungen auf der Fortigate anbinden kann.

Durch die entsprechende Konfiguration der Distances und Priorities der Default Routen zu den beiden ISPs kann das Routing automatisch vom Haupt-ISP zum Backup-ISP wechseln, sobald die Anbindung zum Haupt-ISP aus irgendeinem Grund nicht mehr funktioniert. Wie das WAN-Failover konfiguriert wird, ist bestimmt geläufig. Der Vollständigkeit halber haben wir das im Anhang weiter unten noch einmal aufgeführt.

Über das so konfigurierte Failover werden Sessions automatisch auf den zweiten WAN-Link umgeleitet (oder genauer gesagt: über den zweiten WAN-Link neu aufgebaut), sobald der Haupt WAN Link nicht mehr zur Verfügung steht.

Doch was passiert, wenn der Haupt WAN-Link wieder zurück kommt? Eigentlich ganz einfach – neue Sessions werden automatisch wieder über die Haupt-Leitung ins Internet geroutet. Dieses passiert ebenfalls automatisch, ohne dass man manuell eingreifen muss.

Das Problem ist aber, dass das nur für „neue“ Sessions passiert – nicht aber für bestehende Sessions. Und das bekommen z.B. viele VoIP Nutzer leidvoll zu spüren. Diese bemerken nämlich, dass die VoIP Session auch lange nachdem die Hauptleitung wieder zurück kommt, immer noch über die Backup-Leitung läuft und dieses ohne manuelles Eingreifen (also das explizite Löschen der Session auf der Fortigate oder das Rebooten des internen Telefons) auch weiterhin tun wird.

Schauen wir uns das einmal genauer an.

Continue reading ‚WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?‘

„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?

Kürzlich wurden wir von einem Reseller zu unserer Meinung zu folgendem Heise-Artikel gefragt: Sicherheitsforscher an AV-Hersteller: „Finger weg von HTTPS“.

Der Artikel klingt zugegebenermassen wirklich nicht gerade vertrauenserweckend. Die Fortigates sind im Artikel namentlich nicht benannt. Und eine Konfigurationsmöglichkeit haben wir auf der Fortigate hierfür auch nicht gefunden. So stellt sich natürlich die Frage, wie die Fortigate sich bei der SSL Interception genau verhält. Ist es „fahrlässig“ die SSL Interception („deep inspection“) der Fortigate zu aktivieren? Führt diese Konfiguration zu „dramatischen Sicherheitsproblemen“?

Continue reading ‚„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?‘

Traffic Shaping auf der Fortigate v5.4

Viele Supportanfragen hinsichtlich des Traffic Shapings auf der Fortigate haben uns dazu bewogen einen eigenen Blogartikel hierfür zu schreiben.

Die grössten Irrtümer

Traffic Shaper werden genutzt, um eine gewisse Bandbreite zu garantieren, darüber hinaus dem Traffic eine Priorität zuzuordnen und eine maximale Bandbreite zu setzen.

Aber Vorsicht:

Continue reading ‚Traffic Shaping auf der Fortigate v5.4‘

Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie

Stellt man von der herkömmlichen Telefonie auf SIP um, wird man seitens der eigenen Firewall, welche den Internetanschluss sichert, meist vor einige Probleme gestellt. SIP birgt für die Firewall zwei grundsätzliche Probleme:

Zum einen übermittelt SIP die interne (meist private) IP des SIP-Telefons oder der PBX im Payload. Beim Source NAT an der Firewall wird aber nur die IP im IP-Header genattet, die IP im Payload bleibt unberührt. Der Empfänger sucht sich jetzt aber die IP aus dem Payload heraus und möchte darauf antworten. Da das aber immer noch die private IP ist, funktioniert das nicht wirklich. Ursache dieses Problems, dass SIP ursprünglich unter IPv6 entwickelt wurde und somit von Network Address Translation (NAT) noch recht wenig gehört hat.

Das zweite Problem ist, dass SIP für die Sprach-Übertragung typischerweise zwei RTP-Kanäle (für eingehende und ausgehende Sprach-Übertragung) öffnet und das auf zwei wahlfreien Ports. Will man die Firewall nicht auf allen Ports öffnen, so haben die RTP Kanäle es schwer zur Destination zu gelangen. Somit würde ein Anruf zwar über SIP (udp/5060) signalisiert werden, aber bei der Gegenseite kommt nicht an, was man sagt.

Continue reading ‚Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie‘