Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Bei TCP-Verbindungen, welche offloaded werden, sieht man nur noch den TCP-Handshak,e aber nicht mehr die eigentlichen Datenpakete. Erst die FIN- oder RST-Pakete zum Beenden der Session sind wieder mit dem Packetsniffer zu sehen. Dieses ist im Screenshot unten gut zu sehen. Auch der Zeitstempel deutet auf die “Lücke” hin.

FG60D-np4lite

Insofern also bitte nicht irritieren lassen, wenn einige Pakete vom Paketsniffer nicht mehr angezeigt werden.

Das Offloaden von Sessions kann jedoch ausgeschaltet werden und damit werden die Pakete für den Packetsniffer auch wieder sichtbar.
Dieses passiert im CLI und kann pro Firewall Policy geschehen:

config firewall policy
  edit <n>
    set auto-asic-offload disable
end

Dieses Vorgehen ist fürs Troubleshooting sicher sehr hilfreich. Aber bitte nicht vergessen, das Offloaden hinterher wieder einzuschalten, da ohne Offloading ein Teil der Performance verloren geht.

Momentan enthalten die FG40C, FG60D, FG90D und die Modelle der FG200D-Serie einen solchen NP4Lite.
Wahrscheinlich werden weitere Modelle mit diesem NP folgen.

Mit folgendem CLI-Befehl kann auf der Fortigate geprüft werden, ob ein Interface vom NP4lite unterstützt wird:

60d-deviceinfo

19. März 2014, Update

Und scheinbar macht der NP4lite auch Probleme beim Debuggen vom VPN Traffic. Man sieht mit dem Packetsniffer weder udp/500- noch ESP-Traffic, so dass es den Anschein erweckt, dass gar kein VPN Tunnel existiert. Weiterhin wird der ausgehende VPN-Traffic im Packetsniffer so angezeigt, als ob er unverschlüsselt aus dem WAN1-Interface rausgeht.

Das ist natürlich sehr irritierend. Hier hilft es ebenfalls, den NP4lite für das Troubleshooten auf dem VPN auszuschalten:

config vpn ipsec phase1-interface (oder ohne "-interface")
  edit <name-phase1>
    set npu-offload disable
end

2 thoughts on “Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

  1. Dave Berger Reply

    Vielen Dank für den Input, Sylvia. Das erklärt die seltsamen, unvollständigen Debug Outputs, die wir auf entsprechenden Modellen erhalten. Weisst du, ob Fortinet hier Abhilfe leisten wird? Denkbar wäre z.B. eine automatische Deaktivierung des ASIC Offloads sobald der Sniffer läuft.

    Grüsse aus Bern, dave.

    • sy Post authorReply

      Hey Dave,
      ich denke Fortinet sieht das nicht als Bug an. Es ist ja genau das gleiche Verhalten mit den “grossen” NPs. Es ist wohl an uns, da jeweils dran zu denken und bei Bedarf, das Offloading in der Policy fürs Sniffing temporär auszuschalten…
      Bis bald,
      Sylvia

Leave a Reply

Your email address will not be published. Required fields are marked *