Fortigate Start Konfiguration

Start from Scratch oder auch „Erste Schritte“

Möchte man eine Fortigate grundlegend neu integrieren, empfiehlt es sich im Regelfall die bestehende Konfiguration vollständig zu entfernen und komplett „from Scratch“ zu starten. Nehmen wir eine beliebige Fortigate und fangen einfach an. Ich setze hier voraus, dass der Zugriff mit DEM „admin“ möglich ist. Sollte das, aus welchen Gründen auch immer nicht möglich sein, meinen anderen Beitrag dazu lesen… 😉

  1. Wir stellen eine Konsolenverbindung zum System her (Serial)
  2. Zuerst plätten wir das System, indem wir es auf die Factory Defaults zurücksetzen

    Nach einem Reboot des Systems, kommt dieses quasi jungfräulich daher und DER „admin“ Account – übrigens standardmäßig – ohne gesetztes Passwort
    (Bei neueren Firmware Versionen wird man beim ersten Anmleden aufgefordert, ein Admin Passwort zu setzen.)
  3. DHCP Server platt machen
  4. Default Policy LAN -> WAN (bei kleineren Appliances bereits angelegt)entfernen
  5. Bei wirklich alten Appliances den Hardware Switch auflösen, indem man den Switch Mode in „interface“ ändert. Das muss aber wirklich eine sehr alte Fortigate mit sehr alter Firmware sein.
  6. Bei allen neueren Appliances entfernt man den virtuellen Switch wie folgt…Zuerst sollte man sicherheitshalber den „Namen“ des virtuellen Switches prüfen:

    Im Beispiel hier heißt er also „internal“
    (wenn ein Factory Reset gemacht wurde, sollte der eigtl. immer so heißen…)

    Der Switch lässt sich nicht einfach so löschen, denn es bestehen Referenzen zu bereits hinzugefügten Memberports.
    Also wird die Fehlermeldung „intf internal is used command_cli_delete: 5978 delete table entry internal unset oper error ret=-23 Command fail. Return code -23“ ausgegeben…
    Es müssen also müssen zuerst die konfigurierten Memberports gelöscht werden:

    Beim Löschen des letzten Memberports, wird man gefragt, ob man sofort auch den gesamten virtuellen Switch aus der Konfiguration löschen möchte, was ich mit „y“ bestätige, denn wenn ich irgendwann einen virtuellen Switch benötige, kann ich diesen jederzeit neu anlegen.

  7. Die Basiskonfiguration des Interface „internal1“ oder bei neueren Appliances auch „port1“ bspw. auf die IP 0.10.10.254/24 und Freigabe von Ping, SSH und HTTPS auf diesem Interface

Jetzt noch ein LAN Kabel an port1 oder auch internal1 und es kann losgehen…

Nun kann man sich an die Konfiguration der anderen grundlegenden Einstellungen machen:

  • Fortigate Custom Timeserver Konfiguration via CLI
  • Hostname festlegen
  • DNS Server festlegen
  • Features einblenden / ausblenden
  • Passwort Policies für lokale Accounts
  • Email Konfiguration (für 2FA Emails an die Benutzer bspw.)
  • Log Settings (Lokal / Analyzer / Manager / Cloud)

Viel Erfolg!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.