Migrate Fortigate Configurations with FortiConverter

Fortinet has published a very nice and helpful tool for converting firewall configs from other vendors into a Fortigate configuration file. Also an old Fortigate config file can be used as the source file.

So if you are going to replace an old Fortigate model with a new one and you want use the old config file (instead of configuring the new Fortigate from the scratch) you can use the FortiConverter as an alternative to the procedure we have described in one of our former blog post „How to transfer a FortiGate configuration file to a new FortiGate unit of a different model“.

„Migrate Fortigate Configurations with FortiConverter“ weiterlesen

WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?

Auf den Fortigates ist es recht einfach, ein automatisches WAN-Failover zu konfigurieren, wenn man zwei ISP-Leitungen auf der Fortigate anbinden kann.

Durch die entsprechende Konfiguration der Distances und Priorities der Default Routen zu den beiden ISPs kann das Routing automatisch vom Haupt-ISP zum Backup-ISP wechseln, sobald die Anbindung zum Haupt-ISP aus irgendeinem Grund nicht mehr funktioniert. Wie das WAN-Failover konfiguriert wird, ist bestimmt geläufig. Der Vollständigkeit halber haben wir das im Anhang weiter unten noch einmal aufgeführt.

Über das so konfigurierte Failover werden Sessions automatisch auf den zweiten WAN-Link umgeleitet (oder genauer gesagt: über den zweiten WAN-Link neu aufgebaut), sobald der Haupt WAN Link nicht mehr zur Verfügung steht.

„WAN-Failover ist leicht gemacht. Aber warum funktioniert der Fallback nicht so ganz? Und vorallem – wie kann man das lösen?“ weiterlesen

FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

„FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible“ weiterlesen

Maximale Anzahl FortiAPs pro Fortigate

Die Frage, wie viele FortiAPs über den Wireless Controller der Fortigate verwaltet werden können, hängt in erster Linie vom Fortigate Modell ab und wird in der Produktematrix beantwortet. Hier ist die Rede von „Max FortiAPs (Total/Tunnel)“ und dementsprechend werden pro Modell immer zwei Werte angegeben, so z.B. 32/16 für alle Modelle zwischen der FGT60D und FGT92D, oder 64/32 für die FGT100D.

Auf den ersten Blick interpretiert man die Zahlen am Beispiel der FGT92D so: im Tunnel Mode können maximal 16 FAPs angehängt, in anderen (also im Local Bridge) Mode, können dann noch weitere 16 FAPs angehängt werden. Oder man hängt 8 Tunnel Mode FAPs an und dann noch 24 Local Bridge FAPs an. Aber ganz so einfach ist es nicht. Was passiert z.B. wenn auf einem AP mehrere Tunnel Mode SSIDs und Local Bridge SSIDs angehängt werden?

Versuchen wir ein wenig Licht ins Dunkle zu bringen. Schauen wir zunächst mal auf eine FGT92D ohne jegliche FAPs:

ap-1-factory-default
„Maximale Anzahl FortiAPs pro Fortigate“ weiterlesen

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

„FortiGate Service ALL nach Firmware Upgrade verändert“ weiterlesen

FortiClient Configuration Deployment

Mit den neueren FortiGate OS Releases ist es möglich, FortiClients via FortiClient Profile auf der FortiGate zu managen. So können etwa Webfilter Profile oder VPN Informationen an die FortiClients gepushed werden, sobald sich diese an der FortiGate registriert haben.

FortiClient_Default_Configuration

Es ist dank einer CLI Einstellung auch möglich, Teile oder die ganze Konfiguration im XML Format an den Client zu übermitteln. Somit können nebst den Einstellungen im GUI die kompletten Einstellungen des FortiClients via FortiGate gesteuert werden. Damit dies möglich ist, muss diese Option im CLI freigeschaltet werden. Hier als Beispiel für die FortiClients auf Windows:

„FortiClient Configuration Deployment“ weiterlesen

How to transfer a FortiGate configuration file to a new FortiGate unit of a different model

This article explains how to transfer a FortiGate configuration file to a new FortiGate unit of a different model.

Attention:
Support for the transfer of a configuration file:
Transferring a configuration file from one model to another is not supported by Fortinet nor by Boll, however part of the configuration can be restored manually by copying the required configuration from the old backup configuration file to new configuration file.
The Fortinet Technical Support department does not offer technical assistance in converting FortiGate configuration files from one model to another as, when required, this is the responsibility of the user.

Source: Fortinet KB

  1. Open the backup configuration file from the previous and different FortiGate Unit.
  2. Download a backup of a new configuration file from the new unit. This procedure is different depending on which FortiOS version is running on the FortiGate:
    • In FortiOS 3.0, 4.0 and 4.1.x, download a factory default configuration file from System > Maintenance > Backup & Restore
    • In FortiOS 4.2, 5.0 and 5.2 download a factory default configuration file from System>Dashboard > System Information > System Configuration
    • In FortiOS 5.4 download from Dashboard > System Information > System Configuration > Backup or Admin > Backup Configuration.
    • In FortiOS 5.6 download from Admin > Configuration > Backup.
  3. From the factory default configuration file copy the „config-version“, and paste this value and replace in the backup of the previous configuration file.
    Make sure that all interface names correspond to the new device. For example, the previous unit may have had a „wan1“ interface however the new device has a „port1“ interface, it is critical to make sure these correspond.
    Save the new configuration file under a new .conf file. This step is mandatory otherwise when reloading the new configuration file the error message „configuration file error“ will be displayed on the web based interface.
    Only copy the „config-version“ section of the first line of the config file from the device being copied. In this way, upon conversion to the new device, the correct „vdom“ and „opmode“ settings will be applied.
  4. Verify which user admin account was used when saving the configuration file. Reloading a configuration that was saved under a super_admin account to a simple admin account will display the error message „invalid username or password on the web based interface.
  5. On the new FortiGate unit, go to System > Status, select Restore, and upload the edited config file to the new unit. The unit restarts automatically.
  6. Test the configuration.

It must be noted that modifying .conf files in this manner will not ensure that all profiles will be saved. This is particularly true if this procedure is used for .conf files being used on a different versions of FortiOS. For example, reloading a .conf file to a FortiGate running FortiOS 4.1 from a .conf file using FortiOS 4.2, any new profiles related to new FortiOS features will be lost.