FortiOS v5.0 – Bug Liste

Hallo Forti Techies,

seit letztem Freitag ist die FortiOS v5.0 auf dem FTP Server zum Download erhältlich. In den Release Notes und dem What’s New-Dokument sind eine Unmenge an neuen Features gelistet. Schwerpunkte bilden das BYOD, Wireless, User Authentication aber auch viele andere Themen.

Kurz gesagt – es sind eine Fülle an neuen Features rausgekommen und ich persönlich freue mich schon darauf, diese alle zu entdecken ;-).

Wir wollen mit diesem Blogeintrag aber nicht noch einmal die Liste der neuen Features aufzählen, sondern informell über kleinere Bugs informieren, über welche wir oder Kunden von uns gestolpert sind.

Bitte nicht missverstehen: wir wollen mit dieser Liste – welche hoffentlich recht kurz bleibt – nicht herausstreichen, dass die neue Version eine Menge Bugs hätte. Es ist aus meiner Sicht ganz natürlich, dass eine Software, die so komplex und umfassend ist, nicht ohne Fehler sein kann. Je komplexer und funktionsreicher eine Software ist, umso höher ist die Wahrscheinlichkeit, dass sich ein Bug einschleicht und umso schwieriger ist es, wirklich alle Situationen durchzutesten. Alle die selber programmieren, können das wahrscheinlich bestätigen.

Vielmehr möchten wir, dass Ihr wertvolle Zeit spart und Eure Nerven schonen könnt. Wir selber sitzen oft stundenlang an einem Kundenproblem, reproduzieren es im Lab, dokumentieren es und eröffnen dann ein Supportticket bei Fortinet. Nur um fünf Minuten später von denen zu erfahren, dass es ein bekannter Bug sei…

Lasst und also starten – wir werden versuchen, die Liste regelmässig zu updaten.
(Gebt uns bitte bescheid, wenn Ihr weitere Bugs kennt.)

Bug-Liste:

  • Webseite mit den Adressobjekten kann im WebGUI nicht mehr angezeigt, sobald ein “Wildcard”-Adressobjekt (z.B. “192.168.0.1/255.255.0.255, Type: wildcard) erstellt wurde. (FNT#760381)
    Workaround: Adressobjekte im CLI weiter konfigurieren, oder Wildcard-Objekt wieder löschen.
  • Es ist über das WebUI nicht möglich, in einer User-Identity-based Firewall Policy eine Usergruppe vom Typ “Guest” auszuwählen. Dieses ist aber notwendig, um Guest Management über die Fortigate zu betreiben.
    Workaround: Unter bestimmten Umständen erscheint im Drop-down-Menu der Usergruppe ein “+ Create” auf. Erstellt man hierüber eine neue Usergruppe vom Typ “Guest”, so wird diese direkt in die Rule übernommen. Und für alle die keine Angst vorm CLI haben: hier kann man die Guest-Gruppe natürlich auch konfigurieren. (Vielen Dank für diese Info an Robert, Österreich.)
  • In den Logs (z.B. beim Forward Log) funktioniert das Filtern nach Devices nur, wenn die MAC Adresse als Filterkriterium angegeben wird. Aliasnamen nutzen nicht als Filterkriterium, selbst wenn dieser in dem Log angezeigt wird (Danke an Robert, Österreich)
  • Beim Ausdrucken eines Guest Vouchers im Guest Management Portal kommt bei einem Admin mit der Option “Restrict to Provision Guest Accounts” die Fehlermeldung “Permission denied. Insufficient privileges.”. Loggt sich ein Admin mit mehr Berechtigungen auf dem WebGUI ein und geht dann in das Guest Management, kann er den Voucher ausdrucken. Bug #188405.

Weitere “unschöne” Dinge:

  • Per Default wird nur noch ein UTM-Profile und nur noch ein SSLVPN-Portal angezeigt. Und das obwohl man mehrere Profile konfiguriert hat. Der Trick ist hier im WebUI unter “System -> Admin -> Settings” die Checkbox “Multiple UTM Profiles” zu aktivieren. (Danke an Oliver)
  • Einige Features sind bei kleinen Fortigates wie z.B. bei der FG40C nur noch im CLI zu konfigurieren, was z.B. bei der FG110C alles im WebGUI zu finden ist:
    • Relaying kann auf dem Interface unter config system interface konfiguriert werden:
      set dhcp-relay service enable
      set dhcp-realy ip
      set dhcp-relay type
    • LDAP richtet man unter config user ldap ein

11 thoughts on “FortiOS v5.0 – Bug Liste

  1. Patrick Reply

    Hier noch eine Fesstellung (evtl. habt ihr ja sogar eine Lösung).
    Bei meiner Fortigate 60C ist es nicht mehr möglich (zumindest über das WebGUI) die Two-factor Authentication über E-Mail zu verwenden, es kann nur noch FortiToken ausgewählt werden. Habe dies nun mit FortiToken Mobile implementiert was ich super finde, da ich aber noch auf eine zweite Fortigate mittels SSLVPN zugreifen möchte und man bei der iOS App lediglich einen Token verwenden kann bin ich auf die Möglichkeit angewiesen die Authentifizierung auch noch über E-Mail zu bewerkstelligen.

    Gruss
    Patrick

    • sy Post authorReply

      Hi Patrick,

      Meines Wissens funktioniert das Email-Token noch. Ich kann im WebUI auch ohne Probleme eine Email-Adresse eingeben.
      Was genau ist bei Dir das Problem?

      Hast Du einen Email-Server konfiguriert?
      CLI: config system email-server

      Gruss
      Sylvia

  2. Patrick Reply

    Hallo Sylvia

    Das ist aber neu nur noch die Contact Info. Sobald Du beim benutzer die Funktion Enable Two-facto Authentication auswählst verlangt er einen Token. Wenn Du da keinen auswählst kannst Du dies nicht speichern. Somit funktioniert das E-Mail-Token übers Web-GUI nicht mehr. Ja der E-Mail Server ist natürlich konfiguriert und funktioniert auch. Versuch mal einen neuen User zu erstellen und dann den E-Mail Token zu konfigurieren, das geht nicht mehr.

    Gruss
    Patrick

    • sy Post authorReply

      Hi Patrick,

      ja, Du hast recht. Das alleine reicht nicht zur Konfiguration.
      Du musst noch im CLI unter “config user local -> edit -> set two-factor email” eingeben. Dann sollte der OTP zur angegebenen Email-Adresse geschickt werden.

      /sy

  3. Patrick Reply

    Hi Silvia,

    ja das funktioniert, danke! Gehört also auch in die Sparte “Geht nur noch über CLI”

    Gruss
    Patrick

  4. Robert Schmölzer Reply

    Die Fortiguard push Updates funktionieren nicht bzw. nur äusserst sporadisch! Bei scheduled updates gibt es keine Probleme.
    Als workaround sollte daher der Intervall für die scheduled Updates verkürzt werden.

    schöne Grüße
    Robert

  5. Flavio Reply

    Hallo zusammen.

    Hab 5.0.1 auf einer 100D und kann mit dem admin, welcher die Option “Restrict to Provision Guest Accounts” hat, keine neuen Guest Users erstellen. Ich kriege die Fehlermeldung “Permission denied. Insufficient privileges.”. Ist dies auch Teil des Bugs #188405?

    LG,
    F.

  6. Flavio Reply

    Hallo nochmal.

    Mit 5.0.0 kann man diese Funktion einwandfrei benutzen 🙁 Scheinbar ist’s bug 0192691.

    Gruss,
    F.

  7. Marcel Wichern Reply

    Moin,

    bzgl. “Permission denied. Insufficient privileges.”:

    Legt einen Benutzer mit super_admin-Rechten an. Meldet euch mit diesem im Gäste-Portal an. Meldet euch dort wieder ab und setzt die Berechtigung von super_admin auf “Restrict to Provision Guest Accounts”.

    Damit geht es (bei mir zumindestens, v5.0.1).

    Gruß

  8. Flavio Reply

    Hallo Marcel,

    es hat bei mir auch geklappt! 😮

    Was ist das für ein komisches Verhalten? (Ich hatte gestern noch auf 5.0.1 upgedated).

    Gruss,
    F.

  9. Flavio Reply

    Hallo nochmal!

    Auf einer 100D mit OS 5.0.1 welche anfänglich mit “exec factoryreset” behandelt worden kann man die Interfaces via webgui *nicht* in den PPPoE-Modus setzen.

    Auf meiner FWF60C mit der gleichen OS Version, welche ich aber von 4.3.11 upgegradet habe, ist aber der PPPoE-Modus im webgui sichtbar und benutzbar.

    My 2 cents…

    Flavio.

Leave a Reply

Your email address will not be published. Required fields are marked *