WatchGuard Authentication fails with AuthPoint Gateway lower than version 5.1.5

What is the problem?
AuthPoint Gateway software must be updated to the latest available version, v5.1.5 before the week of 10 October 2019. If you do not update your AuthPoint Gateway before 10 October, it is likely that all authentication will fail for your AuthPoint user base.

When must I update my AuthPoint Gateway?
If you use AuthPoint Gateway software v5.1.3.158 or lower, you must update your Gateway software to v5.1.5 as soon as possible. If you update your Gateway software before the dates referenced below, this issue will not impact you.

  • For AuthPoint users in the APAC cloud region – 10 October 2019
  • For AuthPoint users in the EMEA cloud region – 16 October 2019
  • For AuthPoint users in the AMER cloud region – 17 October 2019
„WatchGuard Authentication fails with AuthPoint Gateway lower than version 5.1.5“ weiterlesen

FortiOS 6.2: Upgrade Notes

As with every software product, even the latest and greatest releases have some known glitches. That’s one of the reasons why you should review the release notes as part of the upgrade process.

But even then you might face a not-yet-documented issue. You’ll find some notable examples below.

FortiAPs won’t connect anymore (6.2.1)

Some customers have reported, that their FortiAPs won’t connect anymore after upgrading to FortiOS 6.2.1. Fortinet has confirmed that this is a know issue only when using trusted hosts to restrict the administrative access to the FortiGate.

The official workaround is to add the FortiAP’s IP or subnet as an additional trusted host entry on one of the admin users:

config system admin 
   edit "adminuser"
     set trusthostx 10.33.33.3 255.255.255.255 <-- IP Address of the FortiAP
   next
 end

RADIUS Server behind VPN-Tunnel not working (6.2.1)

When using a RADIUS server behind an IPsec-tunnel, you most likely had to configure the source-ip in the radius configuration (normally to the internal address of the firewall). A bug in FortiOS 6.2.1 prevents this from working. As a workaround you’ll have to use an ip address owned by the outgoing interface.

config user radius
  edit "nps-server"
    set source-ip "192.168.101.99" <-- IP Address of the outgoing (IPsec)interface
  next
end 

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

Das Problem taucht dann auf, wenn eines dieser Adressobjekte genutzt wird:

„FortiGate GUI „Addresses“ Seite wird nicht angezeigt“ weiterlesen

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run „execute disk format 16“. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

OpenSSL Heartbleed Bug Informationen

Hier finden Sie Informationen zu der OpenSSL Schwachstelle und Herstellerinformationen.

„Offizielle“ Webseiten
http://heartbleed.com/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

Testseiten
http://filippo.io/Heartbleed/
https://www.ssllabs.com

Betroffene OpenSSL Versionen
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

„OpenSSL Heartbleed Bug Informationen“ weiterlesen

FortiOS v5.0 – Bug Liste

Hallo Forti Techies,

seit letztem Freitag ist die FortiOS v5.0 auf dem FTP Server zum Download erhältlich. In den Release Notes und dem What’s New-Dokument sind eine Unmenge an neuen Features gelistet. Schwerpunkte bilden das BYOD, Wireless, User Authentication aber auch viele andere Themen.

Kurz gesagt – es sind eine Fülle an neuen Features rausgekommen und ich persönlich freue mich schon darauf, diese alle zu entdecken ;-).

Wir wollen mit diesem Blogeintrag aber nicht noch einmal die Liste der neuen Features aufzählen, sondern informell über kleinere Bugs informieren, über welche wir oder Kunden von uns gestolpert sind.

„FortiOS v5.0 – Bug Liste“ weiterlesen

MS-SecurityUpdate verursacht SSLVPN-Probleme….

Am 10. Januar 2012 hat MS ein SecurityUpdate veröffentlicht (http://technet.microsoft.com/en-us/security/bulletin/ms12-006 – KB2585542 ), welches ein Problem beim SSL 3.0 und TLS 1.0 beheben soll.

Dummerweise macht das SSLVPN von Fortinet (im Browser Mode) Probleme, wenn dieses Update installiert ist. Wird das SSLVPN-Portal aufgerufen, wird das Zertifikat der Fortigate zwar noch geprüft, danach kann die Webseite jedoch nicht mehr aufgerufen werden.

Die aktuelle Aussage von Fortinet dazu:
We know about this issue and engineering is working on fixed version.
It could be released next week, but can’t guarantee it.

You can follow this Microsoft article to disable mentioned patch:
http://support.microsoft.com/kb/2643584 or use another browser for accessing VPN portal.

„MS-SecurityUpdate verursacht SSLVPN-Probleme….“ weiterlesen

Probleme mit Reputation Service /DNSBL auf BSP / XCS

Am Montag, 7. September gab es Probleme mit den Domains borderware.com  und deren Namensauflösung. Dies hatte zur Folge dass die Reputation oder auch DNSBL auf den Borderware BSP / Watchguard XCS nicht mehr zuverlässig funktionierten.

Die DNS Auflösung funktioniert nun wieder, die Services können wieder genutzt werden. Es kann allerdings vorkommen, dass gewisse DNS Server noch die alten IP’s gespeichert haben. In diesen Fällen hilft es, einen Flush der DNS Daten durchzuführen.

Weitere Informationen finden Sie auf:
http://watchguard.custhelp.com/app/answers/detail/a_id/2895/session/L3NpZC82Yms0QW05aw%3D%3D