This guide shows the configuration steps to use a Samba 4 active directory domain as a source for Fortinet FSSO. Linux based active directory domains are not directly supported by FSSO, therefore we will use the FortiAuthenticator as a „middleware“ which receives the logon events from the samba ad-dc using syslog and sends them to […]
Autor: Dominik Kupschke
IT-Security Engineer mit Fokus auf Netzwerksicherheitsprodukte der Hersteller Fortinet und Ivanti (ehemals Pulse Secure)
IKEv2 / IPsec Site-to-Site VPN Fortinet FortiGate <-> OpenBSD
This is a step-by-step tutorial to set up a site-to-site VPN between a Fortinet FortiGate and a OpenBSD VPN-Gateway. The Key Exchange will be done using IKEv2 and both sites are using static ip-addresses on their wan interfaces. I typically use the strongest possible cryptographic algorithms between the two sites / vendors in my tutorials. […]
IKEv2 / IPsec Site-to-Site VPN Fortinet FortiGate <-> Mikrotik RouterOS
This is a step-by-step tutorial to set up a site-to-site VPN between a Fortinet FortiGate and a Mikrotik RouterOS. The Key Exchange will be done using IKEv2 and both sites are using static ip-addresses on their wan interfaces. I typically use the strongest possible cryptographic algorithms between the two sites / vendors in my tutorials. […]
FortiClient Realtime Protection nicht aktivierbar
In meinen letzten FortiClient Projekten kam es wiederholt zu Problemen bei der Aktivierung der Realtime Protection des FortiClients auf Windows Systemen.Auf den betroffenen Endgeräten war vorher eine Endpoint Security Lösung eines anderen Herstellers installiert und diese wurde auf den ersten Blick korrekt deinstalliert. Problematisch war in meinen Fällen die weiterhin vorhandene Registrierung des vorherigen Endpoint […]
Windows Native VPN (IKEv2) mit FortiGate und lokalen Nutzern
Möchte man mit einem Windows Endgerät ein Client-VPN zu einer FortiGate als VPN-Gateway aufbauen, so gibt es abseits des FortiClients verschiedene Varianten.In diesem Beitrag stelle ich die Konfiguration eines Client-VPN mit IKEv2 zwischen einer FortiGate mit Nutzern in der lokalen Datenbank und der Windows integrierten IKEv2 Implementierung vor. Folgende Komponenten und Versionen wurden in diesem […]
SSL-Zertifikate mit LetsEncrypt auf FortiGate Firewalls nutzen
Seit FortiOS 7.0 unterstützten Fortigate Firewalls die Ausstellung von SSL-Zertifikaten über die Zertifizierungsstelle LetsEncrypt.Das nun folgende Beispiel wurde auf einer FortiGate mit FortiOS 7.0.5 erstellt. Für die Zertifikatsaustellung verwendet LetsEncrypt ein Protokoll mit dem Namen „ACME“, dieses erfordert eine HTTP Kommunikation auf dem TCP Port 80 der FortiGate Firewall.Die notwendige Konfiguration wird auf der FortiGate […]
GeoIP Firewallregeln mit nftables
Musste man bei der Verwendung von iptables noch den GeoIP Support durch die Installation der xtables Add-ons manuell hinzufügen, inklusive der Kompilierung der Kernelmodule nach jedem Kernelupdate, so ist dies ein fertig integriertes Feature von nftables. Abseits von nftables benötigen wir noch ein Script für den Download und die Umwandlung der GeoIP Daten in ein […]
FortiGate Sniffer
Der in FortiOS integrierte Packet Sniffer ist eines meiner meist genutzten Troubleshooting Tools der Fortinet FortiGate Firewalls. Der Packet Sniffer ist ein CLI Befehl mit folgendem Aufbau: Schnittstelle: Die Angabe der Schnittstelle erlaubt es die Ausgabe auf ein beliebiges Interface zu reduzieren. Soll keine Schnittstelle als Filter genutzt werden, so kann man dies durch die […]
Git Server mit Apache und dem Git Smart HTTP Protkoll
Um ein zentrales Git Repository mit mehreren Personen zu nutzen bieten sich verschiedene Methoden an. Als einfachste Lösung empfinde ich den Datenaustausch über einen Apache Webserver, da man aus den meisten Netzwerken ohne Probleme an den HTTPS Port 443 kommt.In diesem Tutorial sprechen die Clients mit dem Repository über das sogenannte „Git Smart HTTP“ Protokoll. […]
Automatischer Config Rollback auf FortiGate Firewalls
Wird eine Änderung auf einer FortiGate Firewall durchgeführt, so wird diese in aller Regel sofort ausgeführt und auch in die Konfiguration übernommen. Eine fehlerhafte Konfiguration auf einem weit entfernten Standort kann daher schnell zu einem Problem werden, wenn beispielsweise dem Administrator jede weitere Fernverwaltung nicht mehr möglich ist. FortiOS bietet dem Administrator eine Funktion, um […]