Tag Archive for 'knowledgebase'

Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Continue reading ‚Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!‘

FortiGate und Swisscom TV

Wer schon versucht hat, Swisscom TV durch eine FortiGate zu leiten, hat sich bis anhin die Zähne ausgebissen. Eine Firewall sollte grundsätzlich IGMPv3 und Multicast unterstützen, dies die Aussage in diversen Foren. Mit FortiOS 5.0 scheint nun Swisscom TV sauber durch die FortiGate zu gehen mit entsprechender Konfiguration. Diese wollen wir natürlich nicht vorenthalten.

Multicast

Multicast ist eine Punkt zu Gruppe Verbindung. Dabei werden spezielle Multicast Adressen verwendet. Diese müssen in der FortiGate konfiguriert und mit einer Multicast Firewall Policy erlaubt werden. Für Multicast Pakete wird der Adress-Bereiche 224.0.0.0 bis 239.255.255.255 verwendet. Aktuell braucht es für diese Konfiguration keine öffentliche IP.

Einschalten des Multicast Routing

config router multicast
  set multicast-routing enable
end

Konfigurieren der Multicast Adressen Continue reading ‚FortiGate und Swisscom TV‘

FortiGate 100D Management Port / VDOM

Die FortiGate 100D Hardware besitzt einen eigenen hardwaremässigen Management Port (Port MGMT). Die Default IP 192.168.1.99 sitzt standardmässig auch auf diesem Port.

Softwaremässig sitzt dieser Management Port in einer eigenen VDOM „dmgmt-vdom“ und nicht in der „root“ VDOM wie alle anderen Interfaces. Damit wird bereits per Default eine Trennung zwischen Traffic für das Firewall-Management und dem produktiven Traffic geschaffen. Im WebGUI sind diese beiden VDOMs allerdings nicht sichtbar.

Nun ist es so, dass der Management Traffic wie Signaturupdates, DNS- und FortiGuard Abfragen etc. immer über die Management VDOM gehen. Bei der 100D ist dies die „dmgmt-vdom“. Da diese VDOM aber vielfach keinen Internetzugang hat, funktionieren diese Dienste nicht. Eine mögliche Lösung ist, der „root“ VDOM den Management Status zuzuordnen. Die Updates gehen dann über das WAN Interface der „root“ VDOM.

Die Konfiguration kann über das CLI vorgenommen werden.

FG100D # config sys global
FG100D (global) # set management-vdom root
FG100D (global) # end

Swyx-Telefonie über eine Fortigate bringen….

In letzter Zeit bemerken wir im Support verstärkt Anfragen, weil es sich schwierig gestaltet, Swyx-Telefonie über eine Fortigate hinweg zu bekommen.

Leider können wir es nicht genau sagen, aber der Grund ist wohl, dass Swyx mehr als den „normalen“ SIP-Befehlsumfang nutzt und der Fortigate SIP-ALG diesen Traffic nicht korrekt handhaben kann.

Dieser Artikel soll keine komplette Abhandlung über die Swyx-Telefonie darstellen, sondern wir wollen vielmehr unserer Erfahrungen, die wir hiermit gemacht haben, mit Euch teilen. Continue reading ‚Swyx-Telefonie über eine Fortigate bringen….‘

Neuer KB-Artikel für die Fortigates:“TFTP Firmware Upload Prozess“

Auf doc.boll.ch wurde folgender Artikel publiziert:

doc.boll.ch –> Fortinet TFTP Prozess

Dieser Artikel beschreibt wie man Firmware für FortiGate Geräte herunterlädt und von einem lokalen TFTP Server mit dem CLI installiert. Ein TFTP Reset braucht man in der Regel bei vergessenem Passwort, zum Überspielen der Firmware im Flash Image oder auch zum kompletten Reset und Neuafsetzen einer FortiGate.

FortiToken Informationen

Fortinet hat neu ein Einmalpasswort Token, der sogenannte FortiToken auf den Markt gebracht. Damit können das SSLVPN Portal, IPSec VPN Verbindungen, Firewall Policies und das WebGUI mit starker Authentifizierung abgesichert werden.

Continue reading ‚FortiToken Informationen‘

Neuzugänge in unserer Knowledge Base

Sie sind zwar nicht mehr brandfrisch – aber immer noch heiss genug, um noch mal darauf aufmerksam zu machen.

Wir haben zwei neue KnowledgeBase Artikel geschrieben und auf unserem DocServer veröffentlicht.

Beim einen geht es um Zertifikate. Es wird beschrieben, wie diese umformatiert werden können, wie man diese in unsere Geräte (Fortigate/Fortimail/Seppmail/Watchguard SSL/Mailfoundry) reinbekommt und vor allem welche Fallstricke es zu beachten gibt. (KB_-_Import_Certificates.pdf).

Der zweite KnowledgeBase Artikel nimmt sich der Thematik „SIP über Fortigate“ an. Das Ganze funktioniert nämlich wunderbar – nur muss man auch hier ein, zwei Dinge beachten. Inhalte des Artikels sind eine kurze Einführung in SIP, die Problematik von SIP mit einer Firewall und wie die Fortigate es doch schafft, SIP Traffic sauber zu verarbeiten. (KB_-_FortiGate_SIP_Konfiguration_v42.pdf)

Viel Spass also beim Lesen!