So übertragen Sie eine FortiGate Konfiguration auf ein neueres Modell

Im Laufe des Lebenszyklus von Firewalls werden diese oftmals ersetzt mit einem neueren Modell, die Konfiguration möchte man aber gerne übernehmen. Für diesen Fall gibt es verschiedene Möglichkeiten, die wir in diesem Blog Beitrag vorstellen:

1. FortiConverter Service
2. FortiConverter Tool
3. Partielle Konfigübernahme
4. Volle Konfigübernahme

English article can be found here: How to transfer a FortiGate configuration to a newer model

1. FortiConverter Service

Der FortiConverter Service ist ein einmaliger, lizenzpflichtiger Service zur Konvertierung einer Konfiguration von Drittherstellern oder älteren FortiOS-Konfiguration in das neueste FortiOS für eine neue FortiGate.

Der FortiConverter Service ist in den Enterprise oder 360 Protection Bundles bereits enthalten. Ob eine FortiGate den FortiConverter Service lizenziert hat, sieht man in der Lizenzübersicht auf der entsprechenden Firewall im Support Portal. Falls die Lizenz nicht dabei ist, muss diese auf der neuen FortiGate gekauft werden, welche das alte Gerät ersetzt.

Die Konvertierung passiert danach über das FortiConverter Portal, welches über den folgenden Link erreichbar ist: https://service.forticonverter.com/

Im FortiConverter Portal wählt man die FortiGate für die Konvertierung aus und kreiert ein Service Ticket auf dieser FortiGate.

Danach lädt man die Konfiguration der alten Firewall in das Ticket, konfiguriert das “Physical Interface Mapping”, also welches Interface der neuen FortiGate passt auf das Interface der alten FortiGate und schliesst die Konvertierung ab.

Die Konvertierung wird nun durch das Service Team vorgenommen. Ist die Konvertierung fertig, kann man die neue Konfiguration aus dem Ticket herunterladen.

Zusammenfassung

Guter, supporteter Service für Konvertierungen über verschiedene Modell und FortiGate OS, wenn man keine Zeit in die Konvertierung stecken möchte. Der Service ist kostenpflichtig, mit dem Enterprise und 360 Protection Bundle aber bereits mit dabei. Ansonsten ist der Service sehr günstig nachkaufbar.

Dokumentation: https://docs.fortinet.com/product/forticonverter-service

2. FortiConverter Tool

Nebst dem Service kann man das FortiConverter Tool auch selber installieren und Konvertierungen vornehmen.
Der FortiConverter benötigt eine Lizenz für den vollen Funktionsumfang. Mit der Testversion kann man eine Konvertierung testen, allerdings steht das Backup File der neuen Konfiguration nicht zum Download zur Verfügung.

Das Tool läuft als Python-Anwendung auf einem Windows-Client. Die Installationssoftware können Sie von Ihrem Fortinet-Supportportal (Download-Bereich) herunterladen.

Nach der Installation kann via ein WebUI auf die Oberfläche zugegriffen und ebenfalls eine Konfiguration wie beim FortiConverter Service sowie das Zielsystem ausgewählt werden. Nach erfolgreicher Konvertierung steht die Konfiguration als Backup zum Download zur Verfügung.

Zusammenfassung

Einfacher Weg, um Files zu konvertieren auf neue Versionen mit lokaler Software Installation. Ohne Lizenz limitierter Umfang. Die Lizenz lohnt sich erst aber einer gewissen Anzahl Konvertierungen.

Blog Eintrag: Migrate Fortigate Configurations with FortiConverter
Dokumentation: https://docs.fortinet.com/product/forticonverter

3. Partielle Konfigübernahme

Falls es mit dem FortiConverter nicht klappt die Konfiguration zu übernehmen oder dies nicht gewünscht ist, lassen sich auch nur Teile der Konfiguration übernehmen. Wir empfehlen dieses Vorgehen, damit nicht alte Konfigurationsteile über viele Releases weg mitgezogen werden.

So lassen sich zum Beispiel Adresslisten, Firewall Regeln oder Routingeinträge übertragen. Man kopiert dazu nur Teile aus der Konfiguration und fügt diese in der neuen Konfiguration via CLI ein. Dies kann auch im laufenden Betrieb ohne Reboot gemacht werden. Änderungen in der Benennung können vorgängig mit “Suchen und Ersetzen” vorgenommen werden.

config firewall address
    --> Ab hier kopieren
    edit "LAN-Work-Subnet"
        set associated-interface "LAN-Work"
        set subnet 192.168.2.0 255.255.255.255
    next
    edit "DC02-LAN-Work"
        set associated-interface "LAN-Work"
        set subnet 192.168.2.12 255.255.255.255
    next
    <-- Und bis hier in die neue Konfiguration einfügen
end

Zusammenfassung

Damit lässt sich die Konfiguration auf dem neuen Gerät neu erstellen, trotzdem können gewisse Objekte übernommen und Arbeitsaufwand eingespart werden. Auch kann damit vermieden werden, dass alte, nicht mehr genutzte Konfigurationsteile übernommen werden in der neuen Konfig.

Wichtig ist, dass die Syntax für die neue Konfiguration stimmen muss. Am besten erstellt man in der neuen Konfiguration das gleiche Objekt und vergleicht dann via CLI, ob die Syntax geändert hat.

4. Volle Konfigübernahme

Mit der letzten Variante wird der komplette Inhalt einer alten Konfiguration für die neue FortiGate vorbereitet. Wir empfehlen diese “quick and dirty” Variante nur, wenn die drei anderen Variante nicht zur Verfügung stehen.

Dieses Verfahren funktioniert in der Regel nur sauber, wenn beide Geräte möglichst die gleiche Firmware Version haben. Ansonsten können Teile der Konfiguration nicht übernommen werden. Auch bei den Interfaces und deren Architektur (Hardware Switch, Software Switches, LAG) ist eine genaue Kontrolle und Abgleich mit dem neuen FortiGate Modell vorab nötig.

Vorgehen: Speichern Sie von der neuen FortiGate ein Backup ab.
Öffnen Sie dieses mit einem Texteditor und kopieren Sie die Zeilen mit einem #:

# config-version=FGVM64-6.4.5-FW-build1828-210217:opmode=0:vdom=0:user=admin
# conf_file_ver=16381207134220940
# buildno=1828
# global_vdom=1

Diese Zeilen kopieren Sie in das bereits vorhandene Konfigfile und ersetzen die Zeilen aus der Originalkonfiguration.

Nun müssen Sie noch die Inferface Namen mit “Suchen und Ersetzen” anpassen, falls diese auf der neuen FortiGate geändert haben. Zum Beispiel kann das vorherige Gerät eine “wan1”-Schnittstelle gehabt haben, das neue Gerät hat jedoch eine “port1”-Schnittstelle.

Speichern Sie die Konfigurationsdatei ab. Gehen Sie danach in das WebUI der neuen FortiGate und führen Sie ein Restore der Konfiguration durch. Damit startet die FortiGate neu mit der Konfiguration der alten FortiGate.

Prüfen Sie zwingend mit folgendem Befehl, ob auch alle Konfigurationsteile sauber übernommen werden konnten:

diag debug config-error-log read

Zusammenfassung

Kostenlose Variante, um eine Konfiguration komplett auf ein neues Gerät zu übernehmen. Funktioniert nur sauber, wenn möglichst die gleiche Firmware auf beiden Geräten verwendet wird. Wichtig ist, dass am Schluss die Konfiguration auf allfällige fehlende Konfigurationsteile überprüft wird.

KnowledgeBase Artikel: https://kb.fortinet.com/kb/documentLink.do?externalID=FD30056

2 thoughts on “So übertragen Sie eine FortiGate Konfiguration auf ein neueres Modell

  1. Thomas Reply

    Wenn die Fortigate VDOM beinhaltet, ändert sich dadurch das Vorgehen bei “Volle Konfigübernahme”?
    Da ja ein global config-file existiert und ein config-file pro VDOM?

    • mp Post authorReply

      Im globalen Config-File sind alle VDOM Konfigurationen beinhaltet, daher ändert sich nichts am Vorgehen und sollte wie beschrieben funktionieren.

Leave a Reply

Your email address will not be published. Required fields are marked *