Tag Archive for 'FortiGate'

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

FortiGate Routing mit Distanz 255

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.

Die Fortigate Cluster ID und allfällige Probleme mit dem ISP

Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.

Folgendes Bild veranschaulicht das Prinzip: Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘

FortiOS v5.6 CheatSheet

The BOLL Tech Team has updated the FortiOS CheatSheet to v5.6:

Happy troubleshooting!

FortiOS v5.4 CheatSheet

Das Tech Team der BOLL Engineering darf bereits seit mehr als 14 Jahren Erfahrung im Troubleshooten der Fortinet Produkte, vornehmlich der Fortigates sammeln. Über alle Mitglieder gesehen kommen fast 50 Jahre Forti-Erfahrung zusammen.

Zusätzlich sind alle sechs Mitglieder des Teams NSE7 oder NSE8 zertifiziert!

Scheint fast so, als ob sich hier ein kleines Bündelchen an Wissen und Knowhow angesammelt hat.

Für uns ist das Grund genug, dieses Wissen ein wenig zusammen zu fassen und mit Euch zu teilen.

Ladet Euch doch unser praktisches FortiOS v5.4 CheatSheet herunter. Hier sind die wichtigsten CLI Befehle zum Troubleshooten der Fortigates unter v5.4 zusammen gefasst.

All members of the BOLL system engineering team have many years of experience in troubleshooting the Fortinet products – especially the Fortigates. Overall there are almost 50 years of experience in the team. Additionally all of the six team memerbs are NSE-7 or NSE-8 certified.

So it seems that there is a good deal of knowhow and competence at BOLL.
That’s reason enough to summarize all the important CLI commands that are so helpful in our daily work of troubleshooting.
And to share this stuff with you.

Please download our FortiOS v5.4 Cheatsheet!

WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?

Auf den Fortigates ist es recht einfach, ein automatisches WAN-Failover zu konfigurieren, wenn man zwei ISP-Leitungen auf der Fortigate anbinden kann.

Durch die entsprechende Konfiguration der Distances und Priorities der Default Routen zu den beiden ISPs kann das Routing automatisch vom Haupt-ISP zum Backup-ISP wechseln, sobald die Anbindung zum Haupt-ISP aus irgendeinem Grund nicht mehr funktioniert. Wie das WAN-Failover konfiguriert wird, ist bestimmt geläufig. Der Vollständigkeit halber haben wir das im Anhang weiter unten noch einmal aufgeführt.

Über das so konfigurierte Failover werden Sessions automatisch auf den zweiten WAN-Link umgeleitet (oder genauer gesagt: über den zweiten WAN-Link neu aufgebaut), sobald der Haupt WAN Link nicht mehr zur Verfügung steht.

Doch was passiert, wenn der Haupt WAN-Link wieder zurück kommt? Eigentlich ganz einfach – neue Sessions werden automatisch wieder über die Haupt-Leitung ins Internet geroutet. Dieses passiert ebenfalls automatisch, ohne dass man manuell eingreifen muss.

Das Problem ist aber, dass das nur für „neue“ Sessions passiert – nicht aber für bestehende Sessions. Und das bekommen z.B. viele VoIP Nutzer leidvoll zu spüren. Diese bemerken nämlich, dass die VoIP Session auch lange nachdem die Hauptleitung wieder zurück kommt, immer noch über die Backup-Leitung läuft und dieses ohne manuelles Eingreifen (also das explizite Löschen der Session auf der Fortigate oder das Rebooten des internen Telefons) auch weiterhin tun wird.

Schauen wir uns das einmal genauer an.

Continue reading ‚WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?‘

FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

Continue reading ‚FortiOS aktualisieren: Tipps & Tricks‘

Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo

Firmware Test Update:

An dieser Stelle listen wir uns bekannte FortiOS/FortiExtender Testresultate auf. Haben sie andere Kombinationen getestet? Bitte melden sie uns diese unter Kommentare. Danke.

Salt – Unlimited Surf

FortiOS: 5.4.4 FortiExtender: 3.0.1: FUNKTIONIERT
FortiOS: 5.6.2 FortiExtender: 3.1.2: FUNKTIONIERT
FortiOS: 5.6.3 FortiExtender: Noch kein  kompatibler Extender Release verfügbar (Stand 2.02.2018). Benötigt FEX 3.2.1 oder grösser laut Release Notes durch ein OpenSSL Issue

Original Post:

WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom  Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht. Dies hat uns motiviert den FortiExtender 40D mit aktuellen Schweizer 3G/4G Mobile Abos zu testen. Die FortiExtender haben den entscheidenden Vorteil dass sie dort positioniert werden können wo der 3G/4G Empfang ideal ist. Ähnlich wie die FortiAP’s (Wifi Access Points) werden die FortiExtender per Ethernet Kabel mit der FortiGate verbunden und können über PoE mit Strom versorgt werden. Im Gegensatz zu 3G/4G Router von Dritthersteller ist die WAN IP bei diesem Setup direkt auf der Fortigate Firewall auf einem virtuellen Interface was diverse Vorteile mit sich bringt.

FotiExtender40D-3G4G
FortiGate mit FEX 40D-INTL

Unsere aktuellsten Tests haben wir mit folgenden Releases durchgeführt:

FortiOS: 5.4.4
FortiExtender: 3.0.1 (build0084)
Spätere Releases wie 3.0.2 oder 3.1 haben wir mit den unten aufgeführten Mobile Abos nicht zum laufen gebracht. Entsprechende Support Cases sind bei Fortinet eröffnet worden.

Folgende SIM Karten, respektive Schweizer Mobile Abos haben wir getestet. Wir wollten dafür möglichst unlimitierte Abos testen um ein realistisches Szenario im Geschäftsumfeld zu testen.

 

Continue reading ‚Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo‘

FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

Continue reading ‚FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible‘

„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?

Kürzlich wurden wir von einem Reseller zu unserer Meinung zu folgendem Heise-Artikel gefragt: Sicherheitsforscher an AV-Hersteller: „Finger weg von HTTPS“.

Der Artikel klingt zugegebenermassen wirklich nicht gerade vertrauenserweckend. Die Fortigates sind im Artikel namentlich nicht benannt. Und eine Konfigurationsmöglichkeit haben wir auf der Fortigate hierfür auch nicht gefunden. So stellt sich natürlich die Frage, wie die Fortigate sich bei der SSL Interception genau verhält. Ist es „fahrlässig“ die SSL Interception („deep inspection“) der Fortigate zu aktivieren? Führt diese Konfiguration zu „dramatischen Sicherheitsproblemen“?

Continue reading ‚„Finger weg von HTTPS?“ – Ist SSL Interception fahrlässig?‘