Fortinet PowerPoint Product Guide

Fortinet stellt Ihren Partner und Kunden ein umfassendes PowerPoint Product Guide zur Verfügung mit diversen Tech Specs.

Sie können die Präsentation von unserem Doc-Server herunterladen:

Version Stand vom 1. September 2016:

https://doc.boll.ch/virtual/1222/Fortinet_ProductGuide_Jul2016_R64.pptx

Fortinet Visio Stencils

Fortinet stellt Ihren Partnern und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Public Network Security Icon Library
https://www.fortinet.com/resources/icon-library.html


Sie können die Schablone auch von unserem Doc-Server herunterladen

Update FGT/FS vom März 2018:
https://doc.boll.ch/virtual/1355/visio.zip

Version Stand vom März 2017:
https://doc.boll.ch/virtual/1286/Fortinet_Visio_Stencil_R7_03_2017.zip

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

HowTo: FortiCloud verwaltet FortiAPs auch ohne FortiCloud-Code

FortiAP’s können generell von einem dedizierten FortiGate Wireless Controller ‚managed‘ werden oder über den FortiCloud Service. Letztere Methode benötigt keinen Wireless Controller vor Ort. Für einfachere Umgebungen ist das FortiCloud Wireless Management eine kostengünstige Alternative. Der Preis von FortiAP’s beinhaltet bereits den FortiCloud Wireless Management Service.

Für FortiAPs welche bei der Auslieferung noch keinen FortiCloud-Code aufgedruckt haben, müssen seit den aktuellsten V5.0 und V5.2 FortiAP Builds keinen FortiCloud-Key mehr bei Fortinet beantragen um diesen unter www.forticloud.com registrieren zu können. FortiAP’s mit einem FortiCloud Aktivierungs Key erkennen sie anhand eines aufgeklebten Sticker wie sie im folgenden Beispiel erkennen können:

IMG_1381
„HowTo: FortiCloud verwaltet FortiAPs auch ohne FortiCloud-Code“ weiterlesen

Maximale Anzahl FortiAPs pro Fortigate

Die Frage, wie viele FortiAPs über den Wireless Controller der Fortigate verwaltet werden können, hängt in erster Linie vom Fortigate Modell ab und wird in der Produktematrix beantwortet. Hier ist die Rede von „Max FortiAPs (Total/Tunnel)“ und dementsprechend werden pro Modell immer zwei Werte angegeben, so z.B. 32/16 für alle Modelle zwischen der FGT60D und FGT92D, oder 64/32 für die FGT100D.

Auf den ersten Blick interpretiert man die Zahlen am Beispiel der FGT92D so: im Tunnel Mode können maximal 16 FAPs angehängt, in anderen (also im Local Bridge) Mode, können dann noch weitere 16 FAPs angehängt werden. Oder man hängt 8 Tunnel Mode FAPs an und dann noch 24 Local Bridge FAPs an. Aber ganz so einfach ist es nicht. Was passiert z.B. wenn auf einem AP mehrere Tunnel Mode SSIDs und Local Bridge SSIDs angehängt werden?

Versuchen wir ein wenig Licht ins Dunkle zu bringen. Schauen wir zunächst mal auf eine FGT92D ohne jegliche FAPs:

ap-1-factory-default
„Maximale Anzahl FortiAPs pro Fortigate“ weiterlesen

Neue FortiGate Desktop Modelle: FortiGate 92D

Die FortiGate-92D ist eine kompakte, auf UTM/Next Generation Funktionen optimierte 16 Port Firewall mit einem hervorragenden Preis/Performanz Verhältnis. Zusammen mit der FG-80D steht somit ein weiteres Nachfolgemodell der häufig eingesetzten FG-80C zur Verfügung. Die ältere FG-80C Serie ist jedoch nach wie vor noch nicht End-of-Sales. Neben vielen KMU Kunden setzen auch Enterprise Kunden die Desktop Modelle gerne für kleinere Niederlassungen und Heimarbeitsplätze ein. Werfen wir einen näheren Blick auf das „grösste“ Desktop-Modell der FortiGate Entry-Level Serie:

FortiGate-92D:

Die FortiGate-92D gibt es sowohl als normale Firewall, als auch als WiFi Variante. Für POE gibt es die FG-94D-POE mit 200W PoE-Budget mit 24 Ports als 19’-Variante. Für die FG-92D gibt es für eine 19’-Montage das passende Rackmount Kit RM-FR-T7.

„Neue FortiGate Desktop Modelle: FortiGate 92D“ weiterlesen

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

„FortiGate Service ALL nach Firmware Upgrade verändert“ weiterlesen

FortiGuard DDNS und Austausch der FortiGate

Die Fortigates bieten startend mit FortiOS v5.0 einen Fortinet-eigenen, kostenlosen DynDNS-Dienst an. DynDNS leistet immer dann wertvolle Dienste, wenn die Fortigate über ihren Provider keine fixe IP-Adresse bekommt, man aber dennoch die Fortigate vom Internet her direkt ansprechen will – z.B. für ein VPN oder eine IP Weiterleitung auf einen internen Server. Statt umständlich die IP Adresse ein zu tippen (vor allem bei IPv6) kann einfach ein leicht zu merkender Name verwendet werden.

Die DynDNS Funktionalität an sich ist schon seit jeher verfügbar, aber mit dem neuen Fortinet-eigenen Dienst bieten sich dem Admin zwei wesentliche Vorteile. Zum einen ist der Dienst kostenlos – ok, zugegebenermassen sind das andere DynDNS Dienste auch. Zum anderen braucht man keinen separaten Account bei einem 3rd Party Anbieter erstellen und diesen auch nicht verwalten. Zur Konfiguration des FortiGuard DynDNS Features reicht es vollkommen aus, auf der Fortigate selber das gewünschte Interface (dessen IP Adresse mit dem DynDNS-Namen verbunden werden soll), einen der drei DynDNS Server (fortiddns.com, fortidyndns.com oder float-zone.com) und einen freien Namen auszuwählen.

„FortiGuard DDNS und Austausch der FortiGate“ weiterlesen

Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Bei TCP-Verbindungen, welche offloaded werden, sieht man nur noch den TCP-Handshak,e aber nicht mehr die eigentlichen Datenpakete. Erst die FIN- oder RST-Pakete zum Beenden der Session sind wieder mit dem Packetsniffer zu sehen. Dieses ist im Screenshot unten gut zu sehen. Auch der Zeitstempel deutet auf die „Lücke“ hin.

„Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!“ weiterlesen

Aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte

Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere „Änderung“ zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.

Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:

„Aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte“ weiterlesen