Start from Scratch oder auch „Erste Schritte“
Möchte man eine Fortigate grundlegend neu integrieren, empfiehlt es sich im Regelfall die bestehende Konfiguration vollständig zu entfernen und komplett „from Scratch“ zu starten. Nehmen wir eine beliebige Fortigate und fangen einfach an. Ich setze hier voraus, dass der Zugriff mit DEM „admin“ möglich ist. Sollte das, aus welchen Gründen auch immer nicht möglich sein, meinen anderen Beitrag dazu lesen… 😉
- Wir stellen eine Konsolenverbindung zum System her (Serial)
- Zuerst plätten wir das System, indem wir es auf die Factory Defaults zurücksetzen
1execute factoryreset
Nach einem Reboot des Systems, kommt dieses quasi jungfräulich daher und DER „admin“ Account – übrigens standardmäßig – ohne gesetztes Passwort
(Bei neueren Firmware Versionen wird man beim ersten Anmleden aufgefordert, ein Admin Passwort zu setzen.) - DHCP Server platt machen
123config system dhcp serverpurgeend - Default Policy LAN -> WAN (bei kleineren Appliances bereits angelegt)entfernen
123config firewall policypurgeend - Bei wirklich alten Appliances den Hardware Switch auflösen, indem man den Switch Mode in „interface“ ändert. Das muss aber wirklich eine sehr alte Fortigate mit sehr alter Firmware sein.
123config system globalset internal-switch-mode interfaceend - Bei allen neueren Appliances entfernt man den virtuellen Switch wie folgt…Zuerst sollte man sicherheitshalber den „Namen“ des virtuellen Switches prüfen:
12config system virtual-switchshow
Im Beispiel hier heißt er also „internal“
(wenn ein Factory Reset gemacht wurde, sollte der eigtl. immer so heißen…)Der Switch lässt sich nicht einfach so löschen, denn es bestehen Referenzen zu bereits hinzugefügten Memberports.
Also wird die Fehlermeldung „intf internal is used command_cli_delete: 5978 delete table entry internal unset oper error ret=-23 Command fail. Return code -23“ ausgegeben…
Es müssen also müssen zuerst die konfigurierten Memberports gelöscht werden:12345678910config system virtual-switchconfig portdelete internal1delete internal2delete internal3delete internal4delete internal5delete internal6delete internal7endBeim Löschen des letzten Memberports, wird man gefragt, ob man sofort auch den gesamten virtuellen Switch aus der Konfiguration löschen möchte, was ich mit „y“ bestätige, denn wenn ich irgendwann einen virtuellen Switch benötige, kann ich diesen jederzeit neu anlegen.
- Die Basiskonfiguration des Interface „internal1“ oder bei neueren Appliances auch „port1“ bspw. auf die IP 0.10.10.254/24 und Freigabe von Ping, SSH und HTTPS auf diesem Interface
1234config system interfaceedit internal1set ip 10.10.10.254 255.255.255.0set allowaccess https ping ssh
Jetzt noch ein LAN Kabel an port1 oder auch internal1 und es kann losgehen…
Nun kann man sich an die Konfiguration der anderen grundlegenden Einstellungen machen:
- Fortigate Custom Timeserver Konfiguration via CLI
- Hostname festlegen
- DNS Server festlegen
- Features einblenden / ausblenden
- Passwort Policies für lokale Accounts
- Email Konfiguration (für 2FA Emails an die Benutzer bspw.)
- Log Settings (Lokal / Analyzer / Manager / Cloud)
Viel Erfolg!