Just like for FortiGate releases we created and publish here a collection of CLI commands for troubleshooting the FortiAnalyzer appliances.
FortiAnalyzer Version 6.0
Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks
Autodoc is a software developed by Boll Engineering AG, which makes it possible to automatically generate detailed reports from firewall configuration files. The reports are clearly displayed on the screen and can be exported as PDF or HTML reports or printed out as PDF reports. In addition to the existing firewall manufacturers Watchguard, Fortinet and SonicWALL, we have recently added support for Palo Alto Networks.
„Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks“ weiterlesen
FortiGate GUI „Addresses“ Seite wird nicht angezeigt
Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.
Der Header der Seite wird angezeigt, mehr allerdings nicht:
Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.
„FortiGate GUI „Addresses“ Seite wird nicht angezeigt“ weiterlesen
Basic Stuff: MTU-Grösse mit ping testen
Die MTU ist immer wieder ein Thema beim Troubleshooten von Netzwerkproblemen. Oft herrscht jedoch Unklarheit darüber wie man die genaue MTU zwischen zwei Endpunkten herausfinden kann.
Natürlich ist der „ping“-Befehl hier das Mittel der Wahl, aber mit welcher Ping-Grösse habe ich welche MTU? „Basic Stuff: MTU-Grösse mit ping testen“ weiterlesen
FortiOS v5.4 CheatSheet
Das Tech Team der BOLL Engineering darf bereits seit mehr als 14 Jahren Erfahrung im Troubleshooten der Fortinet Produkte, vornehmlich der Fortigates sammeln. Über alle Mitglieder gesehen kommen fast 50 Jahre Forti-Erfahrung zusammen.
Zusätzlich sind alle sechs Mitglieder des Teams NSE7 oder NSE8 zertifiziert!
Scheint fast so, als ob sich hier ein kleines Bündelchen an Wissen und Knowhow angesammelt hat.
Für uns ist das Grund genug, dieses Wissen ein wenig zusammen zu fassen und mit Euch zu teilen.
Ladet Euch doch unser praktisches FortiOS v5.4 CheatSheet herunter. Hier sind die wichtigsten CLI Befehle zum Troubleshooten der Fortigates unter v5.4 zusammen gefasst.
All members of the BOLL system engineering team have many years of experience in troubleshooting the Fortinet products – especially the Fortigates. Overall there are almost 50 years of experience in the team. Additionally all of the six team memerbs are NSE-7 or NSE-8 certified.
So it seems that there is a good deal of knowhow and competence at BOLL.
That’s reason enough to summarize all the important CLI commands that are so helpful in our daily work of troubleshooting.
And to share this stuff with you.
Please download our FortiOS v5.4 Cheatsheet!
Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo
Firmware Test Update:
An dieser Stelle listen wir uns bekannte FortiOS/FortiExtender Testresultate auf. Haben sie andere Kombinationen getestet? Bitte melden sie uns diese unter Kommentare. Danke.
FortiOS: 5.4.4 FortiExtender: 3.0.1: FUNKTIONIERT
FortiOS: 5.6.2 FortiExtender: 3.1.2: FUNKTIONIERT
FortiOS: 5.6.3 FortiExtender: Noch kein kompatibler Extender Release verfügbar (Stand 2.02.2018). Benötigt FEX 3.2.1 oder grösser laut Release Notes durch ein OpenSSL Issue
Original Post:
WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht. Dies hat uns motiviert den FortiExtender 40D mit aktuellen Schweizer 3G/4G Mobile Abos zu testen. Die FortiExtender haben den entscheidenden Vorteil dass sie dort positioniert werden können wo der 3G/4G Empfang ideal ist. Ähnlich wie die FortiAP’s (Wifi Access Points) werden die FortiExtender per Ethernet Kabel mit der FortiGate verbunden und können über PoE mit Strom versorgt werden. Im Gegensatz zu 3G/4G Router von Dritthersteller ist die WAN IP bei diesem Setup direkt auf der Fortigate Firewall auf einem virtuellen Interface was diverse Vorteile mit sich bringt.
FortiGate mit FEX 40D-INTL
Unsere aktuellsten Tests haben wir mit folgenden Releases durchgeführt:
FortiOS: 5.4.4
FortiExtender: 3.0.1 (build0084)
Spätere Releases wie 3.0.2 oder 3.1 haben wir mit den unten aufgeführten Mobile Abos nicht zum laufen gebracht. Entsprechende Support Cases sind bei Fortinet eröffnet worden.
Folgende SIM Karten, respektive Schweizer Mobile Abos haben wir getestet. Wir wollten dafür möglichst unlimitierte Abos testen um ein realistisches Szenario im Geschäftsumfeld zu testen.
„Updated: FortiExtender 40D mit 3G/4G LTE SIM: Im Test mit Swisscom & Salt Daten Abo“ weiterlesen
Swisscom BCON: FortiCloud Zugriff nicht möglich
Es ist soweit. Swisscom hat den neuen Business Connect Anschluss, den Smart Business Connect lanciert.
Selbstverständlich gibt es auch bei diesem Anschluss wieder Neuerungen für die Kunden.
„Swisscom BCON: FortiCloud Zugriff nicht möglich“ weiterlesen
FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible
Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.
„FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible“ weiterlesen
UDP Idle-timer für VoIP anpassen
Manche VoIP Provider verlangen auf den Firewalls, die den SIP Traffic routen, eine Anpassung des UDP Idle-timers.
Theoretisch gibt es im UDP (User Datagram Protocol) keine Sessions, da es sich um ein verbindungsloses Protokoll handelt. Der Absender eines UDP Pakets versendet dieses, ohne eine Rückmeldung über dessen Verbleib zu erhalten. Der Empfänger des Pakets wird dem Absender – im Gegensatz zu TCP – keine Empfangsbestätigung zukommen lassen. „UDP Idle-timer für VoIP anpassen“ weiterlesen
Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren
Administratoren von Landes- und Sprachgrenzen überschreitenden Infrastrukturen kennen das Problem, dass die Sprachen von Webseiten je nach Standort und Sprache des Benutzers dessen Präferenzen angepasst werden müssen.
Je nach System gestaltet sich dies sehr einfach. Beispielsweise könnte auf einem Webserver mit PHP Integration die Sprache des Systems ausgelesen und die Sprache der Seite auf die jeweilige Sprache angepasst werden. In sicherheitsrelevanten Umgebungen wie der FortiGate oder anderen Firewalls gestaltet sich diese Herausforderung ein bisschen schwierig. Aufgrund der fehlenden serverseitigen Scriptsprachen Integration kann keine solche Lösung integriert werden.
Was schlussendlich als sinnvolle Lösungen übrig bleiben, sind folgende Ansätze:
„Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren“ weiterlesen