This guide shows the configuration steps to use a Samba 4 active directory domain as a source for Fortinet FSSO. Linux based active directory domains are not directly supported by FSSO, therefore we will use the FortiAuthenticator as a „middleware“ which receives the logon events from the samba ad-dc using syslog and sends them to […]
Kategorie: FortiOS
Windows Native VPN (IKEv2) mit FortiGate und lokalen Nutzern
Möchte man mit einem Windows Endgerät ein Client-VPN zu einer FortiGate als VPN-Gateway aufbauen, so gibt es abseits des Fortinet FortiClients verschiedene Varianten.In diesem Beitrag stelle ich die Konfiguration eines Client-VPN mit IKEv2 zwischen einer FortiGate mit Nutzern in der lokalen Datenbank und der Windows integrierten IKEv2 Implementierung vor. Folgende Komponenten und Versionen wurden in […]
SSL-Zertifikate mit LetsEncrypt auf FortiGate Firewalls nutzen
Seit FortiOS 7.0 unterstützten Fortigate Firewalls die Ausstellung von SSL-Zertifikaten über die Zertifizierungsstelle LetsEncrypt.Das nun folgende Beispiel wurde auf einer FortiGate mit FortiOS 7.0.5 erstellt. Für die Zertifikatsaustellung verwendet LetsEncrypt ein Protokoll mit dem Namen „ACME“, dieses erfordert eine HTTP Kommunikation auf dem TCP Port 80 der FortiGate Firewall.Die notwendige Konfiguration wird auf der FortiGate […]
FortiGate Sniffer
Der in FortiOS integrierte Packet Sniffer ist eines meiner meist genutzten Troubleshooting Tools der Fortinet FortiGate Firewalls. Der Packet Sniffer ist ein CLI Befehl mit folgendem Aufbau: Schnittstelle: Die Angabe der Schnittstelle erlaubt es die Ausgabe auf ein beliebiges Interface zu reduzieren. Soll keine Schnittstelle als Filter genutzt werden, so kann man dies durch die […]
Automatischer Config Rollback auf FortiGate Firewalls
Wird eine Änderung auf einer FortiGate Firewall durchgeführt, so wird diese in aller Regel sofort ausgeführt und auch in die Konfiguration übernommen. Eine fehlerhafte Konfiguration auf einem weit entfernten Standort kann daher schnell zu einem Problem werden, wenn beispielsweise dem Administrator jede weitere Fernverwaltung nicht mehr möglich ist. FortiOS bietet dem Administrator eine Funktion, um […]
Neue FortiGate IPS-Signaturen auf Hold setzen
FortiGate Firewalls schauen in der Standardkonfiguration alle 2 Stunden nach neuen IPS-Signaturen (und natürlich nach vielen weiteren dynamischen Updates), dies kann potenziell zu einem Problem werden, wenn sich hier bei der Erstellung der IPS-Signaturen ein Fehler einschleicht.Eine fehlerhafte IPS-Signatur kann je nach Konfiguration des Security Profiles ein schwerwiegendes Problem im Netzwerk verursachen und eigentlich legitimen […]
FortiOS HA Failover bei hoher Memory Auslastung
Seit FortiOS 7.0.0 gibt es endlich die Möglichkeit einen Failover auszulösen, wenn die Auslastung des Arbeitsspeichers einen definierten Schwellwert durchbricht. Die Konfiguration des Memory based HA Failover ist aktuell nur auf der CLI möglich.Eine Konfiguration könnte beispielsweise so aussehen: Was die einzelnen Variablen im Detail bedeuten erkläre ich nun: memory-based failover (enable / disable) Diese […]