FortiOS 6.2: Upgrade Notes

As with every software product, even the latest and greatest releases have some known glitches. That’s one of the reasons why you should review the release notes as part of the upgrade process.

But even then you might face a not-yet-documented issue. You’ll find some notable examples below.

FortiAPs won’t connect anymore (6.2.1)

Some customers have reported, that their FortiAPs won’t connect anymore after upgrading to FortiOS 6.2.1. Fortinet has confirmed that this is a know issue only when using trusted hosts to restrict the administrative access to the FortiGate.

The official workaround is to add the FortiAP’s IP or subnet as an additional trusted host entry on one of the admin users:

config system admin 
   edit "adminuser"
     set trusthostx 10.33.33.3 255.255.255.255 <-- IP Address of the FortiAP
   next
 end

RADIUS Server behind VPN-Tunnel not working (6.2.1)

When using a RADIUS server behind an IPsec-tunnel, you most likely had to configure the source-ip in the radius configuration (normally to the internal address of the firewall). A bug in FortiOS 6.2.1 prevents this from working. As a workaround you’ll have to use an ip address owned by the outgoing interface.

config user radius
  edit "nps-server"
    set source-ip "192.168.101.99" <-- IP Address of the outgoing (IPsec)interface
  next
end 

What’s new with FortiOS 6.2: Update issue with certificate for WebUI

Recently we have had a few support cases where a customer was unable to log in to the firewall via WebUI after the firmware update. But SSH access worked fine.

It turned out that during the update process the server certificate used for the WebUI is lost.

Config with v6.0.4 (it does not happen with „self-signed“ only):

config system global
set admin-server-cert "self-signed"
end
„What’s new with FortiOS 6.2: Update issue with certificate for WebUI“ weiterlesen

WatchGuard Fireware 12.5

Watchguard is going to release Fireware version 12.5 in the next few days / weeks. From the public beta phase some new features are already known, which I would like to introduce here:

Update: Fireware 12.5 has been released.
Please check the “ What’s New in Fireware v12.5 “ presentation for detailed information.

Reverse Proxy for the Access Portal

In the Access Portal configuration, you can now configure reverse proxy actions so remote users can connect to internal web applications and Microsoft Exchange services with an external URL. With reverse proxy actions, you can give remote teams access to internal resources without the need for a VPN. Multi-factor authentication is supported as well.

„WatchGuard Fireware 12.5“ weiterlesen

Migrate Fortigate Configurations with FortiConverter

Fortinet has published a very nice and helpful tool for converting firewall configs from other vendors into a Fortigate configuration file. Also an old Fortigate config file can be used as the source file.

So if you are going to replace an old Fortigate model with a new one and you want use the old config file (instead of configuring the new Fortigate from the scratch) you can use the FortiConverter as an alternative to the procedure we have described in one of our former blog post „How to transfer a FortiGate configuration file to a new FortiGate unit of a different model“.

„Migrate Fortigate Configurations with FortiConverter“ weiterlesen

FortiGate SSLVPN Update-Empfehlung

Auf dem FortiGate wurden einige Schwachstellen im SSLVPN Portal bekannt. Diese reichen von Weiterleitungen durch Cross-Site-Scripts (XSS) bis hin zum Download Systemdateien und das Zurücksetzen von Benutzerkennwörtern.

FortiGate SSL VPN web portal login redir XSS vulnerability (FG-IR-17-242, CVE-2017-14186)
Unauthenticated SSL VPN users password modification (FG-IR-18-389, CVE-2018-13382)
FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (FG-IR-18-384, CVE-2018-13379)

„FortiGate SSLVPN Update-Empfehlung“ weiterlesen

WatchGuard Fireware Version 12.4

WatchGuard hat die neuste Version von Fireware 12.4. herausgebracht. Wir haben hier die grössten Änderungen dokumentiert.

Die Software können Sie auf folgender Seite herunterladen: https://watchguardsupport.secure.force.com/software/
Ebenfalls gibt es ein komplettes What’s new in 12.4 Dokument hier: What’s new in 12.4 oder ein Webinar.

SD-WAN

Fireware bietet bereits seit der Version 12.3. die Funktionalität SD-WAN an, welche die bisherige Funktion policy-based routing ersetzt. Mit SD-WAN ist es möglich, Interface Failover und Failback detailliert zu konfigurieren. Dabei ist es möglich, neu mit 12.4 auch interne Interfaces und BOVPN virtual Interface Tunnels in diese SD-WAN Aktionen miteinzubeziehen. So lassen sich jetzt zum Beispiel eine Aussenstelle mittels einem BOVPN und einer Mitleitung, welche intern geroutet wird, überwachen und bei Ausfall entsprechend zu reagieren. Auf den jeweiligen Interfaces lassen sich die Paketverlustrate, Latency und Jitter messen und anhand diesen Kriterien ein Failover veranlassen.

„WatchGuard Fireware Version 12.4“ weiterlesen

Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks

Autodoc is a software developed by Boll Engineering AG, which makes it possible to automatically generate detailed reports from firewall configuration files. The reports are clearly displayed on the screen and can be exported as PDF or HTML reports or printed out as PDF reports. In addition to the existing firewall manufacturers Watchguard, Fortinet and SonicWALL, we have recently added support for Palo Alto Networks.

„Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks“ weiterlesen

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

Das Problem taucht dann auf, wenn eines dieser Adressobjekte genutzt wird:

„FortiGate GUI „Addresses“ Seite wird nicht angezeigt“ weiterlesen

FortiOS aktualisieren: Tipps & Tricks

Es gibt bereits unzählige und es werden immer mehr: Versionen des FortiOS. Das FortiOS ist das Betriebssystem der Fortinet Produkte und wird vom Hersteller selbst liebevoll „Firmware“ genannt. Jede neue Version bringt entweder neue Funktionen, behebt erkannte Probleme oder optimiert vorhandene Funktionen. An sich also eine gute Sache, solch ein Update.

Im Falle des FortiOS ist ein Update aber meistens nicht mit einem Klick erledigt. Aufgrund der Komplexität des Vorgangs entscheiden meistens die Vorbereitungen über Erfolg oder Misserfolg eines Updates. Auch wir kennen die Freitag-Abend-Update-Wartungsfenster und das Schlagwort, auf welches alle Administratoren empfindlich reagieren – „Uptime“. Mit diesem Artikel möchten wir einen Beitrag dazu leisten, Ihnen die Firmware Updates zu erleichtern und Ihnen einen Leitfaden zur Seite zu stellen. So machen Freitag-Abend-Update-Wartungsfenster wieder Spass und enden nach Plan.

„FortiOS aktualisieren: Tipps & Tricks“ weiterlesen