FortiOS

Do niedawna na moim telefonie VPN’ami były: PPTP lub L2TP - oba niespecjalnie mi się podobały. Ale od wersji 4-tej pojawiły się dwa nowe tryby: IPSec Xauth PSK i IPSec Xauth RSA. W pierwszym autoryzacja wykorzystuje login i hasło, w drugim certyfikaty. Tryb IPSec Xauth PSK jest bardzo wygodny bo łatwo można połączyć go z zewnętrznymi mechanizmami uwierzytelniającymi np. LDAP, Active Directory, itp. Pokażę jak skonfigurować swojego Fortigate’a by umożliwić połączenie z telefonów i tabletów na Androidzie 4.x do “Intranetu”. Większość konfiguracji można przeprowadzić tylko w trybie CLI - zakładam że wiesz jak to zrobić. To co wygodniej można zrobić w trybie WWW to głównie tworzenie reguł dostępu na zaporze. ...

Jeśli po aktualizacji firmware na swoim firewall’u do wersji MR3 natrafisz na komunikat Warning: SQL Logging is not enabled przy dostępie do logów to prawdopodobnie musisz zmienić źródło logów dla interfejsu gui. Poniżej polecenie CLI i możliwe opcje: config log gui set logdevice {memory | disk | fortianalyzer} end Ja potrzebowałem ustawić tę opcję na fortianalyzer by uzyskać dostęp do moich logów.

Zawsze gdy potrzebuję zesniffować coś na żywo na Fortigate’ach muszę przeszukać Knowledge Base  external link by przypomnieć sobie wszystkie polecenia do tego potrzebne. Tym razem robię notatki 😃 Sniffowanie diagnose debug enable diagnose debug flow filter addr ip address clear clear filter daddr dest ip address dport destination port negate inverse filter port port proto protocol number saddr source ip address sport source port vd index of virtual domain # np. diagnose debug flow filter saddr 10.10.80.3 diagnose debug flow filter daddr 8.8.8.8 diagnose debug flow filter dport 53 # wyświetl wyniki na konsoli diagnose debug flow show console enable # opcjonalne: wyświetla nazwy funkcji np. odwołania do routingu, itp diagnose debug flow show function-name enable # uruchomienie sniffowania - warto podać na końcu jakaś wartość # by sniffowanie zakończyło się po takiej liczbie pakietów # w przeciwnym wypadku wyniki będą się wypisywać na konsoli # aż uda nam się na oślep wyłączyć sniffowanie diagnose debug flow trace start 100 # zresetowanie filtrowania flow diagnose debug reset # wyłączenie sniffowania diagnose debug disable Diagnostyka tuneli IP-Sec # tutaj jest dużo prościej, najpierw włączamy debuga diagnose debug enable # a potem diagnose debug application ike 2 # lub dla bardzo, bardzo szczegółowych logów diagnose debug application ike -1 Niestety nie ma tutaj możliwości filtrowania (albo jeszcze o tym nie wiem), więc jeśli mamy dużo aktywnych tuneli to najlepiej zbierać wypisywane komunikaty do pliku i dopiero przeglądać. ...

Zdarzyło mi się bawić sprzętowymi Firewallami firmy Fortigate - chcąc sprawdzić działanie pewnych funkcji potrzebowałem uruchomić dwa/trzy pudełka na osobnych łączach. Pomysł polegał na próbie zmuszenia pudełek do współpracy z modemem iPlus na USB. Drugim fajnym zastosowaniem tego triku jest możliwość wykorzystania iPlusa jako “zapasowego łącza” w przypadku awarii głównego. Dzięki pomocy inżyniera Fortigate szybko udało mi się zebrać potrzebne do działania parametry, które należy uruchomić poprzez command line (telnet/ssh). ...