Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie

Stellt man von der herkömmlichen Telefonie auf SIP um, wird man seitens der eigenen Firewall, welche den Internetanschluss sichert, meist vor einige Probleme gestellt. SIP birgt für die Firewall zwei grundsätzliche Probleme:

Zum einen übermittelt SIP die interne (meist private) IP des SIP-Telefons oder der PBX im Payload. Beim Source NAT an der Firewall wird aber nur die IP im IP-Header genattet, die IP im Payload bleibt unberührt. Der Empfänger sucht sich jetzt aber die IP aus dem Payload heraus und möchte darauf antworten. Da das aber immer noch die private IP ist, funktioniert das nicht wirklich. Ursache dieses Problems, dass SIP ursprünglich unter IPv6 entwickelt wurde und somit von Network Address Translation (NAT) noch recht wenig gehört hat.

Das zweite Problem ist, dass SIP für die Sprach-Übertragung typischerweise zwei RTP-Kanäle (für eingehende und ausgehende Sprach-Übertragung) öffnet und das auf zwei wahlfreien Ports. Will man die Firewall nicht auf allen Ports öffnen, so haben die RTP Kanäle es schwer zur Destination zu gelangen. Somit würde ein Anruf zwar über SIP (udp/5060) signalisiert werden, aber bei der Gegenseite kommt nicht an, was man sagt.

Continue reading ‚Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie‘

Apple TV / Sonos / Streaming Geräte in FortiGate Wireless Netzen

In FortiGate Installationen mit LAN und Wireless Netzen kann es vorkommen, dass Streaming Geräte wie Apple TV oder Sonos Player im Wireless Netz oder LAN integriert werden, die Steuerung via Mobile Device, Software oder ähnlichem aus dem jeweils anderen Netz aber nicht möglich ist.

Das Problem liegt meistens darin, dass die Steuerung die Geräte mittels Multicast sucht. Ist die Steuerung aber im LAN und das Streaming Gerät im Wireless Netz oder umgekehrt, blockt die FortiGate diese Multicast Pakete. Damit dies funktioniert, müssen auf der FortiGate zwei Multicast Policies erstellt und das Multicast Routing erlaubt werden.

Als erstes wird via CLI das Multicast Routing erlaubt.

config system settings
     set multicast-forward enable
end

Danach wird ein Multicast Adressobjekt für das Streaming Gerät erstellt.
Für den Apple Dienst Bonjour / Apple TV ist dieses bereits definiert, für Sonos wurde ein neues erstellt.

Danach müssen Sie zwei Multicast Policies erstellen, damit der Multicast Verkehr zugelassen wird:

Mit dem Multicast Regeln werden die Streaming Geräte gefunden.
Allenfalls müssen zusätzliche Firewall Policies für reguläre Ports, je nach Anbieter, konfiguriert und geöffnet werden, damit auch die gesamte Steuerung funktioniert.

Boll USB <-> RJ45 Serial Konsolen Kabel ist da! Good News für Netzwerk & Security Administratoren

Es ist so weit. Unser Boll USB Konsolen Kabel ist ab sofort bestellbar!

Netzwerk & Security Administratoren kennen die Problematik. Um Zugriff auf eine serielle Konsole zu bekommen benötigt es ein Adapter, da kaum mehr ein Notebook einen alten DB9 (DE-9) Anschluss hat. Kein Hersteller liefert ein USB Konsolen Kabel direkt auf RJ45 Ports welche heute bei praktisch allen Netzwerk & Security Devices der Standard ist. Die nervigen Adapter und die teilweise mühsame Treiber Unterstützung hat uns bewogen ein eigenes Boll Konsolen Kabel entwickeln zu lassen. Folgende Bilder illustrieren das schön:

Konsolen Access früher:

Continue reading ‚Boll USB < -> RJ45 Serial Konsolen Kabel ist da! Good News für Netzwerk & Security Administratoren‘

Hypervisor von Fortinet: FortiHypervisor-90E

Mit dem FortiHypervisor-90E erweitert Fortinet ihre Hypervisor Produkte-Linie, heute bestehend aus FHV-500D und FHV-2500E, um ein kostengünstiges Einstiegsmodell.

Frontanschlüsse, LED’s, Logdisk, CPU, ASIC’s, Memory

Auf der Vorderseite stehen zwei USB 3.0 Anschlüsse für Backup und Log-Transfer, sowie ein serieller Konsolen Anschluss zur Verfügung. Neben den 16 Ethernet-Status LEDs, gibt es weitere für Power, Appliance Status (STA)/Alarm und Harddisk Zugriff. Der atypische Form-Faktor ist dem einfachen Austausch der Harddisk, welche im unteren Teil des Gehäuses verbaut wurde, geschuldet. Der Harddisk Schacht ist frontseitig mit einer Blende abgedeckt. Diese kann durch lösen von 2 Schrauben auf der Gehäuseunterseite entfernt werden.

Bild 1: Frontseite – FHV-90E

Continue reading ‚Hypervisor von Fortinet: FortiHypervisor-90E‘

Fortinet PowerPoint Product Guide

Fortinet stellt Ihren Partner und Kunden ein umfassendes PowerPoint Product Guide zur Verfügung mit diversen Tech Specs.

Sie können die Präsentation von unserem Doc-Server herunterladen:

Version Stand vom 1. September 2016:

http://doc.boll.ch/virtual/1222/Fortinet_ProductGuide_Jul2016_R64.pptx

 

Fortinet Visio Stencils

Fortinet stellt Ihren Partner und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Sie können die Schablone von unserem Doc-Server herunterladen

Version Stand vom März 2017:
https://doc.boll.ch/virtual/1286/Fortinet_Visio_Stencil_R7_03_2017.zip

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

 

Fortinet PowerPoint Icon Library

Fortinet stellt eine PowerPoint Icon Library für die Erstellung von Präsentationen zur Verfügung.

Sie können die Icon Library von unserem Doc-Server herunterladen:

 

März 2016
http://doc.boll.ch/virtual/1221/FTNT-IconLibrary-16-08-01.ppt

März 2016
http://doc.boll.ch/virtual/1186/FTNT-IconLibrary-16-03-01-Public.pptx

Dezember 2015
http://doc.boll.ch/virtual/1172/FTNT-IconLibrary-15-12-01-Public.pptx

September 2015
http://doc.boll.ch/virtual/1169/FTNT-IconLibrary-15-09-01-Public.pptx

August 2015
http://doc.boll.ch/virtual/1162/FTNT-IconLibrary-15-08-01-Public.pptx

Juli 2015
http://doc.boll.ch/virtual/1158/FTNT_IconLibrary_15_07_01_Public.ppt

Juni 2015
http://doc.boll.ch/virtual/1153/FTNT_IconLibrary_PUBLIC_15_06_01.pptx

April 2015
http://doc.boll.ch/virtual/1148/FTNT_IconLibrary_15_31_03_Public.pptx

IPs used by Fortigate

Eventuell kennt Ihr bereits folgenden CLI Befehl:

FG-test (root) # diag ip address list
IP=192.168.86.147->194.191.86.147/255.255.255.192 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=root
IP=192.168.1.99->192.168.1.99/255.255.255.0 index=11 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm
IP=169.254.1.1->169.254.1.1/255.255.255.255 index=22 devname=test
IP=10.10.10.1->10.10.10.1/255.255.255.0 index=23 devname=tunnel
IP=192.168.20.1->192.168.20.1/255.255.255.0 index=25 devname=Test
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=26 devname=transp
IP=10.11.11.11->10.11.11.11/255.255.255.0 index=28 devname=transp.b
IP=169.254.1.2->169.254.1.2/255.255.255.255 index=29 devname=testdfsdfsf
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=30 devname=glo

Mit diesem Kommnado bekommt man eine Liste von allen IP Adressen, welche auf den Fortigate Interfaces konfiguriert sind – egal ob es ein physisches, ein virtuelles oder ein Tunnel Interface ist. Zusätzlich sieht man hier den dazugehörigen Interface Namen und die Index Nummer. Die Index Nummer wird von einer Reihe anderer CLI Befehle genutzt, z.B. „diag sys session list“ oder „diag ip rtcache list“.

Aber es gibt noch weitere IP Adressen, welche der Fortigate „gehören“, auf welche die Fortigate also bei einem ARP request antwortet. Und das sind typischerweise die IPs, welche in den Virtual IP- und IP Pool-Objekten konfiguriert sind.

Und hier ist das CLI Kommando, welches diese IPs auflistet:

FG100-test (root) # diagnose firewall iplist list
list iplist info:(vf=root)
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.10-10.10.10.10
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.11-10.10.10.11
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.12-10.10.10.12
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.8-10.10.10.8
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.9-10.10.10.9

Einträge mit „type=1“ sind IP Pools. Wenn die Checkbox „arp reply“ hier nicht ausgewählt ist, so erscheint der Eintrag auch nicht in dieser Liste. Einträge mit „type=2“ sind Virtual IPs, sowohl Port Forwarding als auch Static NAT.

Und nicht vergessen: auch wenn die konfigurierten Virtual IPs und IP Pools nicht verwendet werden (also in der Konfiguration „not referenced“ sind) – die Fortigate antwortet dennoch auf entsprechende ARP requests…

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run „execute disk format 16“. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

FortiOS 5.4.1: Vorsicht bei Einsatz von FortiSwitches!

FortiOS 5.4.1 ist endlich da! Viele Partner sowie Kunden welche schon mit den FortiSwitches arbeiten, sind höchstwahrscheinlich auch bereits mit V5.4.0 unterwegs und warten daher wahrscheinlich schon lange und sehnsüchtig auf diesen ersten Patch Release.

Doch es scheint definitiv etwas Vorsicht geboten zu sein vor dem Upgrade. Das Switch Management hat unter der Haube beim neuen Patch grundlegende Änderungen erfahren.
Genaue Details dazu was alles neu ist, werden am besten dem fortios-v5.4.1-managed-fortiswitch-upgrade-guide.pdf“ Dokument entnommen. Zu finden ist das Dokument leider etwas versteckt unter den Firmware Downloads beim aktuellen FortiSwitch Patch V 3.4.2 im Fortinet Support Portal.

Wichtigster Punkt dürfte sicherlich folgende „Randbemerkung“ auf Seite 11 sein:

All FortiSwitch devices must be running FortiSwitchOS 3.4.2 or later and must be upgraded prior to upgrading the FortiGate unit to FortiOS 5.4.1.

Die Switch Firmware sollte somit zeitgleich mit dem FortiOS Update geladen werden und die Firmware auf den Switches zuerst aktualisiert werden.
Wir dies nicht beachtet, so sind nach dem Update die FortiSwitches offline und können keine Verbindung mehr zum FortiGate Controller aufbauen!

Besten Dank and unseren Partner und Trainer Peter Bruderer für’s zurückmelden dieser Erkenntnis!