Author Archive for sy

Page 2 of 6

Konfiguration TwoFactor Authentication über AD-Credentials und dem FortiMobileToken für MUVPN

Wir haben einen neuen KnowledgeBase Artikel geschrieben, der eine Konfigurationsanleitung für eine TwoFactor Authentifizierung (über AD-Credentials und dem FortiMobileToken) für ein MUVPN beinhaltet.

nw-skizze

Insbesondere werden nebst der Fortigate ein Anwendungsbeispiel für den FortiAuthenticator aufgezeigt.

Unsere Partner können das Dokument direkt von unserem Dokumenteserver herunterladen. Alle anderen bitte einfach kurz melden, dann schicken wir es direkt per Mail.

Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Continue reading ‚Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!‘

Neues SSLVPN-Tunnel Verhalten (starting with FortiOS v5.0.2)

Für alle, die sich wundern, warum auch ohne „ssl.root –> internal“-Firewall Policy Traffic über den SSLVPN Tunnel geschickt werden kann:

Beginnend mit FortiOS v5.0 wurden zwei neue CLI Schalter eingeführt (, die aber scheinbar erst ab v5.0.2 so richtig funktionieren…):

config vpn ssl settings
  set auto-tunnel-policy {enable | disable}
  set auto-tunnel-static-route {enable | disable}
end

auto-tunnel-policy:           Enable automatic creation of policies for SSLVPN
auto-tunnel-static-route: Enable automatic creation of static routes for SSLVPN

Per default sind beide Schalter eingeschaltet. D.h., per default entfällt das „lästige“ Einrichten der statischen Route für den SSLVPN IP-Addresspool und die zusätzlichen Firewall Policies für den SSLVPN Tunnel („ssl.root –> internal“). Das ist zwar sehr praktisch, aber sobald man eine etwas komplexere Situation hat (mehrere Usergruppen pro SSLVPN-Tunnel etc.), muss man wieder auf die alten Settings zurück.

New Autodoc Version available

AutodocLogo_200

Gestern haben wir endlich die neue Autodoc Version released, die auch FortiOS v5.0 und Watchguard XTM 11.7.4 unterstützt. Damit werden nun auch die aktuellen Fortigate-Konfigurationen einfach & schnell per Knopfdruck dokumentiert.

Weitere Infos zu Autodoc gibt’s auf www.autodoc.com.

Fortigate und Swisscom TV – zum zweiten

Leider scheint es doch nicht ganz so einfach zu sein, Swisscom TV durch eine Fortigate zu leiten, wie wir es in unserem ersten Artikel „FortiGate und Swisscom TV“ vorgestellt hat. Wir haben verschiedentlich Feedback bekommen, dass das TV Signal trotz der angegebenen Settings nicht dauerhaft durchgekommen ist. In diesen Fällen funktionieren jedoch andere Konfigurationeinstellungen (getestet mit v5.0.3):

Continue reading ‚Fortigate und Swisscom TV – zum zweiten‘

aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte

Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere „Änderung“ zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.

Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:

FG # conf sys int 
FG (interface) # edit ssl.root 
FG (ssl.root) # set mtu-override en 
FG (ssl.root) # set mtu 900 
FG (ssl.root) # end
FG (interface) # end
FG #

Vielen Dank an den Fortinet Support, der das Problem nachgestellt und uns den Workaround zur Verfügung gestellt hat.

Config Files übernehmen FortiOS v4.3 –> v5.0

Hallo Forti-Techies,

kürzlich haben wir ja einen Post veröffentlich, in dem beschrieben wird, wie man ohne grosse Probleme die Konfiguration eines Fortigate Modells auf ein anderes Fortigate Modell bringt (Link zum Blogeintrag). Das ist immer sehr hilfreich, wenn eine Fortigate durch eine neuere, meist grössere Fortigate ersetzt wird und man nicht die gesamte Konfiguration neu erstellen möchte. Und prinzipiell ist das ja recht einfach: die Headerzeilen des Backups müssen angepasst werden, und natürlich die Interfacenamen.

Worauf aber zwingend auch zu achten ist, ist die Firmware-Version!

Es funktioniert leider nicht, ein v4.3-Backup zu nehmen und dieses in eine v5.0-Maschine einzuspielen. Ok, um genau zu sein: der Restore der v4.3 Konfig in ein v5.0-Gerät funktioniert schon, wenn die Headerzeilen/Interfacenamen entsprechend angepasst sind. Aber die Konfiguration verhält sich leider nicht wie erwartet. So wird z.B. der v4.3-Service „all“ bein Einlesen einfach übernommen und auch im WebUI angezeigt – aber leider gibt es diesen Service in v5.0 gar nicht… Und ohne Upgrade-Procedure wird dieser Service natürlich auch nicht auf den neuen v5.0-Service „ALL“ angepasst. Um dieses Problem zu umgehen, kann man in der vorbereiteten Konfig den Service ANY vorgängig suchen und durch den Service ALL ersetzen.

Wenn z.B. eine FGT50B v4.3 mit einer FG60C v5.0 ersetzt werden soll, ist das folgende Vorgehen sinnvoll:

  • Backup der FGT50B v4.3 erstellen und dieses entsprechend dem früheren Blogeintrag für die FG60C anpassen.
  • Die FG60C auf denselben Firmwarestand bringen, welcher auf der FG50B lief.
  • Nun die angepasste Konfig auf der FG60C restoren.
  • Und jetzt erst die FG60C auf v5.0 upgarden.

Was passiert wenn die FortiGuard Webfilter Lizenz ausläuft (oder der Lizenzstatus nicht abgefragt werden kann)?

fortinetHallo Forti-Techies,

regelmässig hören wir von sehr verärgerten Fortinet-Kunden, die behaupten, dass die Fortigate keinen Traffic mehr zulässt, sobald die Fortiguard Webfilter Lizenz ausläuft (oder die Fortigate mal gerade nicht in der Lage ist, den Lizenzstatus über das Fortiguard Network abzufragen.

Dabei ist es doch einfach nur eine Konfigurationsfrage, was in so einer Situation passiert.

Im Webfilter Profile gibt es unter dem Advanced Filter die nachfolgende Checkbox.

webfilter

Mit dieser Option wird geregelt, was in so einer Situation passiert. Ok, per default werden sämtliche Webseiten vorsichtshalber geblockt. Wenn die Fortigate die Kategorie nicht herausfinden kann, arbeitet sie lieber konservativ, lässt also die Webseite (bzw. alle Webseiten) nicht zu. Es könnte ja eine Webseite der Kategorie Malware sein. Und das ist genau der Punkt, über die viele Kunden stolpern. Sobald man die Option aktiviert, werden alle Webseiten im Zweifelsfall zugelassen (und ja, auch die Webseiten, die man sonst lieber nicht sehen möchte/sollte).

Für Schulen und andere Einrichtungen, wo z.B. minderjährige Kinder Internetaccess bekommen, ist es sicherlich sinnvoll, bei den Default-Settings zu bleiben. Für alle anderen Kunden sollte aber abgeklärt werden, wie das Verhalten in so einer Situation aussehen soll.

FortiOS v5.0 – Bug Liste

Hallo Forti Techies,

seit letztem Freitag ist die FortiOS v5.0 auf dem FTP Server zum Download erhältlich. In den Release Notes und dem What’s New-Dokument sind eine Unmenge an neuen Features gelistet. Schwerpunkte bilden das BYOD, Wireless, User Authentication aber auch viele andere Themen.

Kurz gesagt – es sind eine Fülle an neuen Features rausgekommen und ich persönlich freue mich schon darauf, diese alle zu entdecken ;-).

Wir wollen mit diesem Blogeintrag aber nicht noch einmal die Liste der neuen Features aufzählen, sondern informell über kleinere Bugs informieren, über welche wir oder Kunden von uns gestolpert sind.

Continue reading ‚FortiOS v5.0 – Bug Liste‘

Exploring FortiOS v5.0 – „local breakout“

Hallo FortiTechies,

FortiOS v5.0 ist schon lange ein Gespächsthema und mit beta 6 rücken wir dem ersten GA Release immer näher. Aktuell spricht man von Ende Oktober…

Die Anfragen unserer Kunden aber auch die eigene Neugier bringen uns immer wieder dazu, neue Funktionen mit FortiOS v5.0 auszuprobieren. Vielleicht ist das ja auch für Euch interessant, deswegen versuchen wir in der nächsten Zeit ein paar Blog-Artikel zu diesen Funktionen zu schreiben.

Beginnen wir doch mal mit einem heissen Thema: „FortiAPs und der WirelessController“. Continue reading ‚Exploring FortiOS v5.0 – „local breakout“‘