Archive for the 'Boll' Category

FortiOS v5.4 CheatSheet

Das Tech Team der BOLL Engineering darf bereits seit mehr als 14 Jahren Erfahrung im Troubleshooten der Fortinet Produkte, vornehmlich der Fortigates sammeln. Über alle Mitglieder gesehen kommen fast 50 Jahre Forti-Erfahrung zusammen.

Zusätzlich sind alle sechs Mitglieder des Teams NSE7 oder NSE8 zertifiziert!

Scheint fast so, als ob sich hier ein kleines Bündelchen an Wissen und Knowhow angesammelt hat.

Für uns ist das Grund genug, dieses Wissen ein wenig zusammen zu fassen und mit Euch zu teilen.

Ladet Euch doch unser praktisches FortiOS v5.4 CheatSheet herunter. Hier sind die wichtigsten CLI Befehle zum Troubleshooten der Fortigates unter v5.4 zusammen gefasst.

All members of the BOLL system engineering team have many years of experience in troubleshooting the Fortinet products – especially the Fortigates. Overall there are almost 50 years of experience in the team. Additionally all of the six team memerbs are NSE-7 or NSE-8 certified.

So it seems that there is a good deal of knowhow and competence at BOLL.
That’s reason enough to summarize all the important CLI commands that are so helpful in our daily work of troubleshooting.
And to share this stuff with you.

Please download our FortiOS v5.4 Cheatsheet!

Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo

WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom  Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht. Dies hat uns motiviert den FortiExtender 40D mit aktuellen Schweizer 3G/4G Mobile Abos zu testen. Die FortiExtender haben den entscheidenden Vorteil dass sie dort positioniert werden können wo der 3G/4G Empfang ideal ist. Ähnlich wie die FortiAP’s (Wifi Access Points) werden die FortiExtender per Ethernet Kabel mit der FortiGate verbunden und können über PoE mit Strom versorgt werden. Im Gegensatz zu 3G/4G Router von Dritthersteller ist die WAN IP bei diesem Setup direkt auf der Fortigate Firewall auf einem virtuellen Interface was diverse Vorteile mit sich bringt.

FotiExtender40D-3G4G
FortiGate mit FEX 40D-INTL

Unsere aktuellsten Tests haben wir mit folgenden Releases durchgeführt:

FortiOS: 5.4.4
FortiExtender: 3.0.1 (build0084)
Spätere Releases wie 3.0.2 oder 3.1 haben wir mit den unten aufgeführten Mobile Abos nicht zum laufen gebracht. Entsprechende Support Cases sind bei Fortinet eröffnet worden.

Folgende SIM Karten, respektive Schweizer Mobile Abos haben wir getestet. Wir wollten dafür möglichst unlimitierte Abos testen um ein realistisches Szenario im Geschäftsumfeld zu testen.

 

Continue reading ‚Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo‘

Swisscom BCON: FortiCloud Zugriff nicht möglich

Es ist soweit. Swisscom hat den neuen Business Connect Anschluss, den Smart Business Connect lanciert.

Selbstverständlich gibt es auch bei diesem Anschluss wieder Neuerungen für die Kunden.

Continue reading ‚Swisscom BCON: FortiCloud Zugriff nicht möglich‘

FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

Continue reading ‚FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible‘

UDP Idle-timer für VoIP anpassen

Manche VoIP Provider verlangen auf den Firewalls, die den SIP Traffic routen, eine Anpassung des UDP Idle-timers.

Theoretisch gibt es im UDP (User Datagram Protocol) keine Sessions, da es sich um ein verbindungsloses Protokoll handelt. Der Absender eines UDP Pakets versendet dieses, ohne eine Rückmeldung über dessen Verbleib zu erhalten. Der Empfänger des Pakets wird dem Absender – im Gegensatz zu TCP – keine Empfangsbestätigung zukommen lassen. Continue reading ‚UDP Idle-timer für VoIP anpassen‘

Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren

Administratoren von Landes- und Sprachgrenzen überschreitenden Infrastrukturen kennen das Problem, dass die Sprachen von Webseiten je nach Standort und Sprache des Benutzers dessen Präferenzen angepasst werden müssen.

Je nach System gestaltet sich dies sehr einfach. Beispielsweise könnte auf einem Webserver mit PHP Integration die Sprache des Systems ausgelesen und die Sprache der Seite auf die jeweilige Sprache angepasst werden. In sicherheitsrelevanten Umgebungen wie der FortiGate oder anderen Firewalls gestaltet sich diese Herausforderung ein bisschen schwierig. Aufgrund der fehlenden serverseitigen Scriptsprachen Integration kann keine solche Lösung integriert werden.

Was schlussendlich als sinnvolle Lösungen übrig bleiben, sind folgende Ansätze:

Continue reading ‚Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren‘

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run „execute disk format 16“. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

FortiOS 5.4.1: Vorsicht bei Einsatz von FortiSwitches!

FortiOS 5.4.1 ist endlich da! Viele Partner sowie Kunden welche schon mit den FortiSwitches arbeiten, sind höchstwahrscheinlich auch bereits mit V5.4.0 unterwegs und warten daher wahrscheinlich schon lange und sehnsüchtig auf diesen ersten Patch Release.

Doch es scheint definitiv etwas Vorsicht geboten zu sein vor dem Upgrade. Das Switch Management hat unter der Haube beim neuen Patch grundlegende Änderungen erfahren.
Genaue Details dazu was alles neu ist, werden am besten dem fortios-v5.4.1-managed-fortiswitch-upgrade-guide.pdf“ Dokument entnommen. Zu finden ist das Dokument leider etwas versteckt unter den Firmware Downloads beim aktuellen FortiSwitch Patch V 3.4.2 im Fortinet Support Portal.

Wichtigster Punkt dürfte sicherlich folgende „Randbemerkung“ auf Seite 11 sein:

All FortiSwitch devices must be running FortiSwitchOS 3.4.2 or later and must be upgraded prior to upgrading the FortiGate unit to FortiOS 5.4.1.

Die Switch Firmware sollte somit zeitgleich mit dem FortiOS Update geladen werden und die Firmware auf den Switches zuerst aktualisiert werden.
Wir dies nicht beachtet, so sind nach dem Update die FortiSwitches offline und können keine Verbindung mehr zum FortiGate Controller aufbauen!

Besten Dank and unseren Partner und Trainer Peter Bruderer für’s zurückmelden dieser Erkenntnis!

WatchGuard Feature: FQDN in Firewall Policies

Mit dem Fireware Release 11.10 ist es möglich, FQDN Objekte in Firewall Policies (im From oder To) zu verwenden. Dieses Feature kann dazu genutzt werden, Policies für einzelne Domains zu erstellen und entsprechende Einstellungen nur für diese Domäne anzuwenden. Zudem kann man diese FQDN Objekte in Policies für Updates von Microsoft, AntiViren Programmen oder weiteren CDN Netzwerken nutzen, um zum Beispiel die Bandbreite zu limitieren.

Nebst der Angabe eines einzelnen Hostnamen sind auch Wildcard Einträge erlaubt:

WatchGuard_Feature_FQDN_1

Continue reading ‚WatchGuard Feature: FQDN in Firewall Policies‘

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

Workaround:

Those wishing not to upgrade the firmware can modify the affected firewall services to explicitly set the protocol-number to 0.  For example:

config firewall service custom

edit „ALL“

set protocol-number 0

next

Das Bulletin ist hier zu finden: https://support.fortinet.com/Information/Bulletin.aspx (Login benötigt)

—————————————————————————————————————————-

Ursprünglicher Artikel:

Wir haben vermehrt festgestellt, dass nach nicht supporteten FortiOS Upgrades auf 5.2.2 der Service ALL nicht mehr ANY als Service beinhaltet, sondern nur noch IP/6, was dem TCP Protokoll entspricht. Damit gehen zum Beispiel ICMP oder auch UDP Pakete nicht mehr durch diese Firewall Policy, welche vor dem Upgrade alles durchgelassen hat.

ALL_Service

Bestätigen können wir dieses Problem aktuell für folgende Upgrades, welche von Fortinet aber nicht supported sind.

5.0.5 –> 5.2.2
5.0.6 –> 5.2.2
5.0.7 –> 5.2.2

Zusätzlich haben wir das Problem bei folgenden „supporteten“ Upgardes gesehen:

5.0.10 –> 5.2.2
5.0.11 –> 5.2.2

Als Lösung kann man im ALL Service die Protocol Number wieder auf 0 setzen.

ALL_Service_korrigiert

Offiziell supported ist der Upgrade ab 5.0.8 direkt auf 5.2.2. Bei den Upgrades von 5.0.8 und 5.0.9 haben wir das Problem bis jetzt nicht gesehen.

Trotz dieser Situation empfehlen wir im Normalfall, immer den supporteten Upgrade Pfad, wie in den Release Notes angegeben ist, zu befolgen. Für den Upgrade gibt es nebst den Release Notes auf ein eigenes Dokument für den unterstützten Upgrade.

Supported Upgrade Path für 5.2.2:
http://docs.fortinet.com/d/upgrade-paths-to-fortios-5.2.0

Für Neugeräte empfehlen wir, direkt den gewünschten Release per TFTP raufzuladen. Weiter ist auch möglich, per WebGUI direkt auf den gewünschten Release upzudaten ohne den Supported Upgrade Path zu beachten, dann aber die FortiGate per CLI  auf die Standardeinstellungen zurückzusetzen: exec factoryreset.