Author Archive for sy

Page 2 of 6

Fortinet Visio Stencils

Fortinet stellt Ihren Partner und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Sie können die Schablone von unserem Doc-Server herunterladen

Update FGT/FS vom März 2018:
https://doc.boll.ch/virtual/1355/visio.zip

Version Stand vom März 2017:
https://doc.boll.ch/virtual/1286/Fortinet_Visio_Stencil_R7_03_2017.zip

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

 

IPs used by Fortigate

Eventuell kennt Ihr bereits folgenden CLI Befehl:

FG-test (root) # diag ip address list
IP=192.168.86.147->194.191.86.147/255.255.255.192 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=root
IP=192.168.1.99->192.168.1.99/255.255.255.0 index=11 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm
IP=169.254.1.1->169.254.1.1/255.255.255.255 index=22 devname=test
IP=10.10.10.1->10.10.10.1/255.255.255.0 index=23 devname=tunnel
IP=192.168.20.1->192.168.20.1/255.255.255.0 index=25 devname=Test
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=26 devname=transp
IP=10.11.11.11->10.11.11.11/255.255.255.0 index=28 devname=transp.b
IP=169.254.1.2->169.254.1.2/255.255.255.255 index=29 devname=testdfsdfsf
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=30 devname=glo

Mit diesem Kommnado bekommt man eine Liste von allen IP Adressen, welche auf den Fortigate Interfaces konfiguriert sind – egal ob es ein physisches, ein virtuelles oder ein Tunnel Interface ist. Zusätzlich sieht man hier den dazugehörigen Interface Namen und die Index Nummer. Die Index Nummer wird von einer Reihe anderer CLI Befehle genutzt, z.B. „diag sys session list“ oder „diag ip rtcache list“.

Aber es gibt noch weitere IP Adressen, welche der Fortigate „gehören“, auf welche die Fortigate also bei einem ARP request antwortet. Und das sind typischerweise die IPs, welche in den Virtual IP- und IP Pool-Objekten konfiguriert sind.

Und hier ist das CLI Kommando, welches diese IPs auflistet:

FG100-test (root) # diagnose firewall iplist list
list iplist info:(vf=root)
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.10-10.10.10.10
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.11-10.10.10.11
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.12-10.10.10.12
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.8-10.10.10.8
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.9-10.10.10.9

Einträge mit „type=1“ sind IP Pools. Wenn die Checkbox „arp reply“ hier nicht ausgewählt ist, so erscheint der Eintrag auch nicht in dieser Liste. Einträge mit „type=2“ sind Virtual IPs, sowohl Port Forwarding als auch Static NAT.

Und nicht vergessen: auch wenn die konfigurierten Virtual IPs und IP Pools nicht verwendet werden (also in der Konfiguration „not referenced“ sind) – die Fortigate antwortet dennoch auf entsprechende ARP requests…

Maximale Anzahl FortiAPs pro Fortigate

Die Frage, wie viele FortiAPs über den Wireless Controller der Fortigate verwaltet werden können, hängt in erster Linie vom Fortigate Modell ab und wird in der Produktematrix beantwortet. Hier ist die Rede von „Max FortiAPs (Total/Tunnel)“ und dementsprechend werden pro Modell immer zwei Werte angegeben, so z.B. 32/16 für alle Modelle zwischen der FGT60D und FGT92D, oder 64/32 für die FGT100D.

Auf den ersten Blick interpretiert man die Zahlen am Beispiel der FGT92D so: im Tunnel Mode können maximal 16 FAPs angehängt, in anderen (also im Local Bridge) Mode, können dann noch weitere 16 FAPs angehängt werden. Oder man hängt 8 Tunnel Mode FAPs an und dann noch 24 Local Bridge FAPs an. Aber ganz so einfach ist es nicht. Was passiert z.B. wenn auf einem AP mehrere Tunnel Mode SSIDs und Local Bridge SSIDs angehängt werden?

Versuchen wir ein wenig Licht ins Dunkle zu bringen. Schauen wir zunächst mal auf eine FGT92D ohne jegliche FAPs:

ap-1-factory-default

Obwohl die maximale Anzahl für dieses Modell mit 32 angegeben ist, werden im WebUI nur 16 als maximale Anzahl angezeigt. Continue reading ‚Maximale Anzahl FortiAPs pro Fortigate‘

ShellShock – Welche unserer Hersteller sind betroffen?

Am 24. September ist eine neue Schwachstelle von bash bekannt geworden. „Neu“ ist dabei nur bedingt richtig – diese Schwachstelle existiert seit Jahrzehnten… Hier ein paar Links mit weiteren Infos.

Welche unserer Hersteller sind von dieser Schwachstelle betroffen.

Continue reading ‚ShellShock – Welche unserer Hersteller sind betroffen?‘

Konfiguration TwoFactor Authentication über AD-Credentials und dem FortiMobileToken für MUVPN

Wir haben einen neuen KnowledgeBase Artikel geschrieben, der eine Konfigurationsanleitung für eine TwoFactor Authentifizierung (über AD-Credentials und dem FortiMobileToken) für ein MUVPN beinhaltet.

nw-skizze

Insbesondere werden nebst der Fortigate ein Anwendungsbeispiel für den FortiAuthenticator aufgezeigt.

Unsere Partner können das Dokument direkt von unserem Dokumenteserver herunterladen. Alle anderen bitte einfach kurz melden, dann schicken wir es direkt per Mail.

Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Continue reading ‚Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!‘

Neues SSLVPN-Tunnel Verhalten (starting with FortiOS v5.0.2)

Für alle, die sich wundern, warum auch ohne „ssl.root –> internal“-Firewall Policy Traffic über den SSLVPN Tunnel geschickt werden kann:

Beginnend mit FortiOS v5.0 wurden zwei neue CLI Schalter eingeführt (, die aber scheinbar erst ab v5.0.2 so richtig funktionieren…):

config vpn ssl settings
  set auto-tunnel-policy {enable | disable}
  set auto-tunnel-static-route {enable | disable}
end

auto-tunnel-policy:           Enable automatic creation of policies for SSLVPN
auto-tunnel-static-route: Enable automatic creation of static routes for SSLVPN

Per default sind beide Schalter eingeschaltet. D.h., per default entfällt das „lästige“ Einrichten der statischen Route für den SSLVPN IP-Addresspool und die zusätzlichen Firewall Policies für den SSLVPN Tunnel („ssl.root –> internal“). Das ist zwar sehr praktisch, aber sobald man eine etwas komplexere Situation hat (mehrere Usergruppen pro SSLVPN-Tunnel etc.), muss man wieder auf die alten Settings zurück.

New Autodoc Version available

AutodocLogo_200

Gestern haben wir endlich die neue Autodoc Version released, die auch FortiOS v5.0 und Watchguard XTM 11.7.4 unterstützt. Damit werden nun auch die aktuellen Fortigate-Konfigurationen einfach & schnell per Knopfdruck dokumentiert.

Weitere Infos zu Autodoc gibt’s auf www.autodoc.com.

Fortigate und Swisscom TV – zum zweiten

Leider scheint es doch nicht ganz so einfach zu sein, Swisscom TV durch eine Fortigate zu leiten, wie wir es in unserem ersten Artikel „FortiGate und Swisscom TV“ vorgestellt hat. Wir haben verschiedentlich Feedback bekommen, dass das TV Signal trotz der angegebenen Settings nicht dauerhaft durchgekommen ist. In diesen Fällen funktionieren jedoch andere Konfigurationeinstellungen (getestet mit v5.0.3):

Continue reading ‚Fortigate und Swisscom TV – zum zweiten‘

aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte

Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere „Änderung“ zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.

Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:

FG # conf sys int 
FG (interface) # edit ssl.root 
FG (ssl.root) # set mtu-override en 
FG (ssl.root) # set mtu 900 
FG (ssl.root) # end
FG (interface) # end
FG #

Vielen Dank an den Fortinet Support, der das Problem nachgestellt und uns den Workaround zur Verfügung gestellt hat.