Alte DNS-Server aus Fortigate-Defaultkonfiguration funktionieren nicht mehr!

Die beiden DNS-Server (65.39.139.53 und 65.39.139.63), die in der Fortigate-Defaultkonfiguration angegeben verwendet wurden, funktionieren seit ein paar Tagen nicht mehr. Scheinbar sind sie abgeschaltet worden. Wer also diese Default-DNS nicht auf die lokalen Server angepasst hat, sollte das bald tun. Je nach dem, ob diese Server auch an die eigenen DHCP Clients weiter gegeben werden, führt das sonst zu massiven Problemen ;-).

Die Fortigates nutzen in den aktuellen Defaultkonfigurationen neue DNS-Server: 208.91.112.53 und 208.91.112.52. Unser Rat ist aber, auch diese auf lokale DNS-Server anzupassen. Schliesslich macht es keinen grossen Sinn ständig DNS-Server in Kanada anzufragen.

FortiGate Radius Authentication mit Identikey Group Attributes

Um IPSec Verbindungen oder das SSL Portal auf der FortiGate genügend abzusichern, können Einmalpasswort Token von Vasco für den Login genutzt werden.

Bis anhin konnte der Identikey Server von Vasco das Einmalpasswort verifizieren aber keine Gruppenattribute zurückgeben. Dies ist nun mit der Version 3.2 vom Identikey Server möglich.

Auf der FortiGate muss nun der Radius Server einmal erfasst und pro Benutzergruppe auf der FortiGate das entsprechende Group Attribute hinterlegt werden.

Auf dem Identikey Server wird jedem Benutzer das jeweilige Group Attribut hinterlegt. Damit wird der Benutzer nach dem Login auf der FortiGate automatisch der richtigen Gruppe zugeordnet.

Link auf doc.boll.ch
(mit Reseller Account sichtbar)

Outdoor-FortiAP

Für alle, die auf ihrer Terrasse nicht auf die Wireless-Anbindung verzichten wollen: Fortinet bringt mit dem FAP-222B einen Outdoor-FortiAP auf den Markt. Angegeben ist die Schutzart IP67 – d.h. er ist staubdicht („Geschützt gegen den Zugang mit einem Draht“) und er schützt „gegen zeitweiliges Untertauchen“ im Wasser (http://de.wikipedia.org/wiki/Schutzart – ein Hoch auf die DIN-Normen 😉 ). D.h. wir können den neuen AP auch mal kurz unseren Goldfischen im Gartenteich zeigen. Ansonsten hat er zwei Radios – einen fürs 2.4 und einen fürs 5 GHz-Band. Und Strom gib’s über den mitgelieferten High Power PoE injector oder halt über PoE+ (802.3at). Weitere Infos unter http://www.fortinet.com/products/fortiap/222B.html.

Neue Infos zum FortiToken

Das Internet – Füllhorn an unerschöpflichen Informationen! Nun sind auch die ersten Infos zum FortiToken im Netzt zu finden: der QuickStartGuide steht auf dem Docs-Server von Fortinet zum Download bereit (http://docs.fortinet.com/fgt/qsg/fortitoken-200-quickstart.pdf). Laut diesem Sheet erfolgt die Aktivierung und Synchronisation der Einfachheit halber direkt auf der Fortigate. Hier müssen die Seriennummern der Tokens und zur Zeitsynchronisation noch zwei OTPs vom Token selbst eingegeben werden. Für kleine Installationen ganz praktisch – für grosse Installation könnte das aber noch recht mühsam werden ;-).

Bleibt noch die Frage wozu der FortiToken überhaupt genutzt werden kann. Auch da liefert der QSG Infos: zum Anmelden ans SSLVPN (und das ist wirklich sinnvoll – denn ein SSLVPN, welches nur mit einem statischen Passwort abgesichert ist, ist wirklich keine gute Idee), zum Anmelden ans IPSec-VPN mit dem FortiClient, zur allgemeinen Userauthentifizierung und für das sichere Login des Fortigate Administrators.

Die neuen Tokens werden recht bald bei uns eintreffen. Die Gewinner unserer Twitter-Verlosung werden die ersten sein, die einen solchen Token bekommen!

Und dann heisst es nur noch auch FortiOS v4.3 zu warten, denn die FortiTokens werden erst mit dieser Version unterstützt.

Der „FortiToken“

So langsam wird es konkret – die ersten Infos sickern durch. Der neue „FortiToken“, um den ja schon einige Gerüchte kursieren, soll schon sehr bald erhältlich sein. Allzu viel Infos dürfen wir leider noch nicht preisgeben, aber soviel sei schon mal gesagt: der FortiToken ist ein OTP Token, ähnlich Vasco’s Digipass oder dem RSA SecurID Token. Mit ihm wird es sehr einfach werden, VPN’s mit starker Authentifizierung (in diesem Fall Password und One-Time-Password) auf der Fortigate zu konfigurieren. Es ist kein zusätzlicher interner Server zur Ueberprüfung der OTP’s notwendig – alles passiert direkt auf der Fortigate!

Gegen Ende des Monats wird es also spannend werden. Wir halten Euch auf dem Laufenden!

Die „Elfe“ – unser neuer Link Load Balancer von Elfiq

Puh – die ganze letzte Woche stand unter dem Zeichen von Elfiq, einen neuen WAN Link Load Balancer, den BOLL ins Sortiment aufgenommen hat. Es hat mich zwar einige Gehirnwindungen gekostet, aber so langsam haben wir das Ding durchschaut. Und müssen zugeben: „Nicht schlecht!“. Bis jetzt hat die Elfiq alle Herausforderungen, die wir ihr im Testlab gestellt haben, aufgenommen und sauber umgesetzt. Die CLI Sprache ist zwar etwas gewöhnungsbedürftig, aber zum Glück gibt es ja noch das WebGUI, in dem es vor Wizards nur so wimmelt…. Ok, aber jetzt mal von vorne:

Der Elfiq Link Load Balancer dient dazu, mehrere WAN Anschlüsse anzubinden, um darüber mehr WAN Bandbreite und eine höhere Verfügbarkeit der WAN Anbindung zu erreichen. Das Besondere daran (und so etwas braucht es, wenn man bei BOLL ins Sortiment aufgenommen werden will 😉 ) ist, dass die „Elfe“ auf Layer-2 arbeitet. D.h. sie bekommt selber keine eigenen IP-Adressen. Das bringt mehrere Vorteile mit sich: für die Elfiq-Installation werden keine zusätzlichen IPs benötigt; dadurch dass sie keine IPs hat, ist sie transparent und kann von aussen auch nicht angegriffen werden; und letztlich bedarf es keiner Aenderung in der Konfiguration der bestehenden Haupt-WAN-Leitung.

„Die „Elfe“ – unser neuer Link Load Balancer von Elfiq“ weiterlesen

Neuzugänge in unserer Knowledge Base

Sie sind zwar nicht mehr brandfrisch – aber immer noch heiss genug, um noch mal darauf aufmerksam zu machen.

Wir haben zwei neue KnowledgeBase Artikel geschrieben und auf unserem DocServer veröffentlicht.

Beim einen geht es um Zertifikate. Es wird beschrieben, wie diese umformatiert werden können, wie man diese in unsere Geräte (Fortigate/Fortimail/Seppmail/Watchguard SSL/Mailfoundry) reinbekommt und vor allem welche Fallstricke es zu beachten gibt. (KB_-_Import_Certificates.pdf).

Der zweite KnowledgeBase Artikel nimmt sich der Thematik „SIP über Fortigate“ an. Das Ganze funktioniert nämlich wunderbar – nur muss man auch hier ein, zwei Dinge beachten. Inhalte des Artikels sind eine kurze Einführung in SIP, die Problematik von SIP mit einer Firewall und wie die Fortigate es doch schafft, SIP Traffic sauber zu verarbeiten. (KB_-_FortiGate_SIP_Konfiguration_v42.pdf)

Viel Spass also beim Lesen!

Fortinet „3G Modem“ Support

Immer wieder taucht die Frage auf, welche 3G USB Modem Stick’s an einer FortiGate verwendet werden können.

Dies ist leider nicht immer ganz einfach zu beantworten, denn die Mobilfunk Anbieter wechseln hier doch ab und zu die Modelle. Grösstenteils scheinen diese vom Hersteller Huawei zu stammen, welche jedoch Fortinet ziemlich breit unterstützt.

Nun scheint Swisscom wieder ein neues Modell auf den Markt gebracht zu haben, den „HUAWEI E1762“.
Gemäss aktuellem Kenntnisstand ist dieser mit der FortiGate noch nicht verwendbar. Die Unterstützung in einem kommenden FortiOS Release ist aber wahrscheinlich.

„Fortinet „3G Modem“ Support“ weiterlesen

Mit XTM v11.4 starten wir ins neue Jahr!

Hoi zäme,

Das Jahr ist schon längstens gestartet, der Alltag hat die meisten von uns schon wieder fest im Griff – aber der Blog ist leer. Das soll sich ab sofort wieder ändern! Hier also die neueste Meldung des Jahres: Watchguard Fireware XTM v11.4 ist released worden. Und das komplett im Time Schedule. Keine Verzögerungen, alles gemäss Plan. Na, so haben wir das doch gerne.

Aber bitte nicht wundern: v11.4 wird es nur für die neuen Hardwaremodelle XTM 2, 5, 8 und XTM 1050 geben. Keine neue Version mehr für eine Firebox e-Series (die e-Series Geräte hatten ihren End-of-Sale Ende 2010, aber der Support läuft noch bis Ende 2015 – also keine Sorge, sie werden noch weiter unterstützt, aber es gibt halt keine neuen Features mehr).

Hier die neuen Features von v11.4:

„Mit XTM v11.4 starten wir ins neue Jahr!“ weiterlesen