Herstellen einer Internet Verbindung für den FortiSwitch.
Muss ein Fortswitch bspw. für die Registrierung mit Fortiguard kommunizieren, muss er ins Internet. Das klingt erstmal trivial, ist es aber nicht, denn standardmäßig hat der FortiSwitch, welcher via FortiLink mit der Fortigate verbunden ist, keinen „Zugriff“ auf das WAN, da keine Policy existiert. Natürlich könnte man jetzt sagen: „Wo ist das Problem? Policy erstellt, fertig…“, aber so einfach ist das nicht, denn das FortiLink Interface kann nicht als „Source Interface“ einer Policy ausgewählt werden. Also zumindest nicht in der GUI… Man kommt dann recht schnell darauf, dass diese Policy via CLI erstellt werden muss. Da ich aber einen Manager habe, konnte ich das am Ende doch über die „CLI Configurations“, also über eine „Quasi GUI“ machen.
Hier mal ein Beispiel, wie diese Policy via CLI angelegt wird…
config firewall policy
edit 37 (die nächste freie ID nehmen, bei mir war es grad die 37)
set name „Fortilink to WAN“
set srcintf „FORTILINK“ (an Euren Interface Namen für den „FortiLink“ anpassen)
set dstintf „virtual-wan-link“ (an Euren Interface Namen für das WAN Interface anpassen)
set action accept
set srcaddr „ADDR – FortiSwitch FORTILINK“ (an Eure Interface IP / Adresse des FortiSwitch anpassen)
set dstaddr „all“ (besser auf die Fortiguard Server einschränken)
set schedule „always“
set service „ALL“ (besser nur an die benötigten Services anpassen)
set utm-status enable
set logtraffic all
set nat enable
next
Die Policy ist anschließend in den Policy Packages des Fortimanager und auch auf der Fortigate GUI der entsprechenden VDOM sichtbar.
Am Manager kann man diese Policy übrigens über die CLI Konfiguration anlegen…
