Archive for the 'Fortinet' Category

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

FortiClient nicht automatisch mit Windows starten

Anleitung, wie der FortiClient so angepasst werden kann, damit dieser nicht automatisch mit Windows startet.

1. FortiClient beenden

 

2. FortiShield Dienst beenden (cmd als Administrator ausführen).

3. Msconfig starten

4. FortiClient Service Scheduler deaktivieren

5. Services starten

6. FortiClient Dienst Starttyp auf «Manuell» stellen

7. PC rebooten

FortiGate „Cannot allocate memory“ Fehler beheben

Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler

2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)

auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.

Kurzfristig kann das Problem mit einem Reboot behoben werden. Nach einigen Tagen tritt der Fehler jedoch wieder auf. Die Änderungen an der Konfiguration werden nach dem Reboot übernommen, es gehen keine Konfigurationen verloren.

Das Problem wurde unterdessen mit folgenden FortiOS Versionen behoben: FortiOS 5.6.3 und FortiOS 5.4.8

Bei HA Clustern führt der Fehler zu einem „out-of-sync“ Zustand im Dashboard und bei der Ausgabe von „diag sys ha status“. Dieser Zustand kann durch einen Neustart beider Geräte behoben werden. Anschliessend muss der Cluster ebenfalls auf eine der beiden genannten Versionen oder höher aktualisiert werden.

Achtung: Bitte auch hier immer den Upgrade Pfad beachten. Weitere Informationen dazu sind hier zu finden.

VXLAN: L2 Traffic zwischen Standorten übertragen

Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.

Damit auf einfache Weise Datenpakete über das VXLAN gesendet werden können, wird auf dem FortiGate ein neues virtuelles Interface als Tunnelendpunkt angelegt. Diese „Tunnel End Point“ Interfaces werden VTEP (VXLAN Tunnel End Point) genannt. Wenn der VXLAN Tunnel über ein IPSec aufgebaut wird, gibt es kein zusätzliches Interface, da auf dem IPSec Interface die Encapsulation direkt auf VXLAN umgeschaltet wird. Ein zusätzliches logisches Interface wird daher nicht benötigt.

Über IPSec und ohne die Verwendung von VXLAN können zwei unabhängige Subnetze mit den selben Netzwerken an beiden Standorten verwendet werden. Jedoch können diese Netzwerke nicht als einzelnes durchgehendes Netz betrachtet werden, da beide pro Standort unabhängig verwendet werden. Adressen welche an Standort A verwendet werden, können an Standort B ebenfalls noch einmal verwendet werden. Ermöglicht wird dies durch das NAT, welches die Adressen für die Gegenseite in einen anderen Adressbereich verlegt. So kann der Adressbereich doppelt verwendet werden, ohne dass dies die Gegenseite stört. Die Kommunikation von einem Host an Standort A zu einem Host an Standort B erfolgt dabei nicht über die effektive Adresse des anderen Clients sondern über die per NAT maskierte Adresse, welche von der Firewall jeweils umgeschrieben wird. Continue reading ‚VXLAN: L2 Traffic zwischen Standorten übertragen‘

FortiGate Routing mit Distanz 255

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.

Die Fortigate Cluster ID und allfällige Probleme mit dem ISP

Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.

Folgendes Bild veranschaulicht das Prinzip: Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘

Update: Boll USB <-> RJ45 Serial Konsolen Kabel. Auch als USB-C Variante verfügbar!

Unser Boll Serial Konsolen Kabel gibt es ab sofort auch als USB-C Variante. Administratoren mit modernen USB-C Notebooks benötigen somit keinen Adapter mehr. Einfach direkt einstecken. Den Artikel finden sie in unserem Partner Shop in der Kategorie Boll Accessoires. Oder einfach in der  Suchmaske mit dem Artikelnamen ‚UCON90C‘ eingeben. Für weitere Infos siehe Original Betrag weiter unten

Continue reading ‚Update: Boll USB < -> RJ45 Serial Konsolen Kabel. Auch als USB-C Variante verfügbar!‘

FortiOS v5.6 CheatSheet

The BOLL Tech Team has updated the FortiOS CheatSheet to v5.6:

Happy troubleshooting!

WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?

Auf den Fortigates ist es recht einfach, ein automatisches WAN-Failover zu konfigurieren, wenn man zwei ISP-Leitungen auf der Fortigate anbinden kann.

Durch die entsprechende Konfiguration der Distances und Priorities der Default Routen zu den beiden ISPs kann das Routing automatisch vom Haupt-ISP zum Backup-ISP wechseln, sobald die Anbindung zum Haupt-ISP aus irgendeinem Grund nicht mehr funktioniert. Wie das WAN-Failover konfiguriert wird, ist bestimmt geläufig. Der Vollständigkeit halber haben wir das im Anhang weiter unten noch einmal aufgeführt.

Über das so konfigurierte Failover werden Sessions automatisch auf den zweiten WAN-Link umgeleitet (oder genauer gesagt: über den zweiten WAN-Link neu aufgebaut), sobald der Haupt WAN Link nicht mehr zur Verfügung steht.

Doch was passiert, wenn der Haupt WAN-Link wieder zurück kommt? Eigentlich ganz einfach – neue Sessions werden automatisch wieder über die Haupt-Leitung ins Internet geroutet. Dieses passiert ebenfalls automatisch, ohne dass man manuell eingreifen muss.

Das Problem ist aber, dass das nur für „neue“ Sessions passiert – nicht aber für bestehende Sessions. Und das bekommen z.B. viele VoIP Nutzer leidvoll zu spüren. Diese bemerken nämlich, dass die VoIP Session auch lange nachdem die Hauptleitung wieder zurück kommt, immer noch über die Backup-Leitung läuft und dieses ohne manuelles Eingreifen (also das explizite Löschen der Session auf der Fortigate oder das Rebooten des internen Telefons) auch weiterhin tun wird.

Schauen wir uns das einmal genauer an.

Continue reading ‚WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?‘

FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

Continue reading ‚FortiOS aktualisieren: Tipps & Tricks‘