Tag Archive for 'FortiGate'

FortiOS v5.4 CheatSheet

Das Tech Team der BOLL Engineering darf bereits seit mehr als 14 Jahren Erfahrung im Troubleshooten der Fortinet Produkte, vornehmlich der Fortigates sammeln. Über alle Mitglieder gesehen kommen fast 50 Jahre Forti-Erfahrung zusammen.

Zusätzlich sind alle sechs Mitglieder des Teams NSE7 oder NSE8 zertifiziert!

Scheint fast so, als ob sich hier ein kleines Bündelchen an Wissen und Knowhow angesammelt hat.

Für uns ist das Grund genug, dieses Wissen ein wenig zusammen zu fassen und mit Euch zu teilen.

Ladet Euch doch unser praktisches FortiOS v5.4 CheatSheet herunter. Hier sind die wichtigsten CLI Befehle zum Troubleshooten der Fortigates unter v5.4 zusammen gefasst.

All members of the BOLL system engineering team have many years of experience in troubleshooting the Fortinet products – especially the Fortigates. Overall there are almost 50 years of experience in the team. Additionally all of the six team memerbs are NSE-7 or NSE-8 certified.

So it seems that there is a good deal of knowhow and competence at BOLL.
That’s reason enough to summarize all the important CLI commands that are so helpful in our daily work of troubleshooting.
And to share this stuff with you.

Please download our FortiOS v5.4 Cheatsheet!

WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?

Auf den Fortigates ist es recht einfach, ein automatisches WAN-Failover zu konfigurieren, wenn man zwei ISP-Leitungen auf der Fortigate anbinden kann.

Durch die entsprechende Konfiguration der Distances und Priorities der Default Routen zu den beiden ISPs kann das Routing automatisch vom Haupt-ISP zum Backup-ISP wechseln, sobald die Anbindung zum Haupt-ISP aus irgendeinem Grund nicht mehr funktioniert. Wie das WAN-Failover konfiguriert wird, ist bestimmt geläufig. Der Vollständigkeit halber haben wir das im Anhang weiter unten noch einmal aufgeführt.

Über das so konfigurierte Failover werden Sessions automatisch auf den zweiten WAN-Link umgeleitet (oder genauer gesagt: über den zweiten WAN-Link neu aufgebaut), sobald der Haupt WAN Link nicht mehr zur Verfügung steht.

Doch was passiert, wenn der Haupt WAN-Link wieder zurück kommt? Eigentlich ganz einfach – neue Sessions werden automatisch wieder über die Haupt-Leitung ins Internet geroutet. Dieses passiert ebenfalls automatisch, ohne dass man manuell eingreifen muss.

Das Problem ist aber, dass das nur für „neue“ Sessions passiert – nicht aber für bestehende Sessions. Und das bekommen z.B. viele VoIP Nutzer leidvoll zu spüren. Diese bemerken nämlich, dass die VoIP Session auch lange nachdem die Hauptleitung wieder zurück kommt, immer noch über die Backup-Leitung läuft und dieses ohne manuelles Eingreifen (also das explizite Löschen der Session auf der Fortigate oder das Rebooten des internen Telefons) auch weiterhin tun wird.

Schauen wir uns das einmal genauer an.

Continue reading ‚WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?‘

FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

Continue reading ‚FortiOS aktualisieren: Tipps & Tricks‘

FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

Continue reading ‚FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible‘

„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?

Kürzlich wurden wir von einem Reseller zu unserer Meinung zu folgendem Heise-Artikel gefragt: Sicherheitsforscher an AV-Hersteller: „Finger weg von HTTPS“.

Der Artikel klingt zugegebenermassen wirklich nicht gerade vertrauenserweckend. Die Fortigates sind im Artikel namentlich nicht benannt. Und eine Konfigurationsmöglichkeit haben wir auf der Fortigate hierfür auch nicht gefunden. So stellt sich natürlich die Frage, wie die Fortigate sich bei der SSL Interception genau verhält. Ist es „fahrlässig“ die SSL Interception („deep inspection“) der Fortigate zu aktivieren? Führt diese Konfiguration zu „dramatischen Sicherheitsproblemen“?

Continue reading ‚„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?‘

Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie

Stellt man von der herkömmlichen Telefonie auf SIP um, wird man seitens der eigenen Firewall, welche den Internetanschluss sichert, meist vor einige Probleme gestellt. SIP birgt für die Firewall zwei grundsätzliche Probleme:

Zum einen übermittelt SIP die interne (meist private) IP des SIP-Telefons oder der PBX im Payload. Beim Source NAT an der Firewall wird aber nur die IP im IP-Header genattet, die IP im Payload bleibt unberührt. Der Empfänger sucht sich jetzt aber die IP aus dem Payload heraus und möchte darauf antworten. Da das aber immer noch die private IP ist, funktioniert das nicht wirklich. Ursache dieses Problems, dass SIP ursprünglich unter IPv6 entwickelt wurde und somit von Network Address Translation (NAT) noch recht wenig gehört hat.

Das zweite Problem ist, dass SIP für die Sprach-Übertragung typischerweise zwei RTP-Kanäle (für eingehende und ausgehende Sprach-Übertragung) öffnet und das auf zwei wahlfreien Ports. Will man die Firewall nicht auf allen Ports öffnen, so haben die RTP Kanäle es schwer zur Destination zu gelangen. Somit würde ein Anruf zwar über SIP (udp/5060) signalisiert werden, aber bei der Gegenseite kommt nicht an, was man sagt.

Continue reading ‚Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie‘

Apple TV / Sonos / Streaming Geräte in FortiGate Wireless Netzen

In FortiGate Installationen mit LAN und Wireless Netzen kann es vorkommen, dass Streaming Geräte wie Apple TV oder Sonos Player im Wireless Netz oder LAN integriert werden, die Steuerung via Mobile Device, Software oder ähnlichem aus dem jeweils anderen Netz aber nicht möglich ist.

Das Problem liegt meistens darin, dass die Steuerung die Geräte mittels Multicast sucht. Ist die Steuerung aber im LAN und das Streaming Gerät im Wireless Netz oder umgekehrt, blockt die FortiGate diese Multicast Pakete. Damit dies funktioniert, müssen auf der FortiGate zwei Multicast Policies erstellt und das Multicast Routing erlaubt werden.

Als erstes wird via CLI das Multicast Routing erlaubt.

config system settings
     set multicast-forward enable
end

Danach wird ein Multicast Adressobjekt für das Streaming Gerät erstellt.
Für den Apple Dienst Bonjour / Apple TV ist dieses bereits definiert, für Sonos wurde ein neues erstellt.

Danach müssen Sie zwei Multicast Policies erstellen, damit der Multicast Verkehr zugelassen wird:

Mit dem Multicast Regeln werden die Streaming Geräte gefunden.
Allenfalls müssen zusätzliche Firewall Policies für reguläre Ports, je nach Anbieter, konfiguriert und geöffnet werden, damit auch die gesamte Steuerung funktioniert.

Fortinet Visio Stencils

Fortinet stellt Ihren Partner und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Sie können die Schablone von unserem Doc-Server herunterladen

Version Stand vom März 2017:
https://doc.boll.ch/virtual/1286/Fortinet_Visio_Stencil_R7_03_2017.zip

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

 

Maximale Anzahl FortiAPs pro Fortigate

Die Frage, wie viele FortiAPs über den Wireless Controller der Fortigate verwaltet werden können, hängt in erster Linie vom Fortigate Modell ab und wird in der Produktematrix beantwortet. Hier ist die Rede von „Max FortiAPs (Total/Tunnel)“ und dementsprechend werden pro Modell immer zwei Werte angegeben, so z.B. 32/16 für alle Modelle zwischen der FGT60D und FGT92D, oder 64/32 für die FGT100D.

Auf den ersten Blick interpretiert man die Zahlen am Beispiel der FGT92D so: im Tunnel Mode können maximal 16 FAPs angehängt, in anderen (also im Local Bridge) Mode, können dann noch weitere 16 FAPs angehängt werden. Oder man hängt 8 Tunnel Mode FAPs an und dann noch 24 Local Bridge FAPs an. Aber ganz so einfach ist es nicht. Was passiert z.B. wenn auf einem AP mehrere Tunnel Mode SSIDs und Local Bridge SSIDs angehängt werden?

Versuchen wir ein wenig Licht ins Dunkle zu bringen. Schauen wir zunächst mal auf eine FGT92D ohne jegliche FAPs:

ap-1-factory-default

Obwohl die maximale Anzahl für dieses Modell mit 32 angegeben ist, werden im WebUI nur 16 als maximale Anzahl angezeigt. Continue reading ‚Maximale Anzahl FortiAPs pro Fortigate‘

Neue FortiGate Desktop Modelle: FortiGate 92D

Die FortiGate-92D ist eine kompakte, auf UTM/Next Generation Funktionen optimierte 16 Port Firewall mit einem hervorragenden Preis/Performanz Verhältnis. Zusammen mit der FG-80D steht somit ein weiteres Nachfolgemodell der häufig eingesetzten FG-80C zur Verfügung. Die ältere FG-80C Serie ist jedoch nach wie vor noch nicht End-of-Sales. Neben vielen KMU Kunden setzen auch Enterprise Kunden die Desktop Modelle gerne für kleinere Niederlassungen und Heimarbeitsplätze ein. Werfen wir einen näheren Blick auf das „grösste“ Desktop-Modell der FortiGate Entry-Level Serie:

FortiGate-92D:

Die FortiGate-92D gibt es sowohl als normale Firewall, als auch als WiFi Variante. Für POE gibt es die FG-94D-POE mit 200W PoE-Budget mit 24 Ports als 19’-Variante. Für die FG-92D gibt es für eine 19’-Montage das passende Rackmount Kit RM-FR-T7.

Continue reading ‚Neue FortiGate Desktop Modelle: FortiGate 92D‘