Fortigate Start Konfiguration

Start from Scratch oder auch „Erste Schritte“

Möchte man eine Fortigate grundlegend neu integrieren, empfiehlt es sich im Regelfall die bestehende Konfiguration vollständig zu entfernen und komplett „from Scratch“ zu starten. Nehmen wir eine beliebige Fortigate und fangen einfach an. Ich setze hier voraus, dass der Zugriff mit DEM „admin“ möglich ist. Sollte das, aus welchen Gründen auch immer nicht möglich sein, meinen anderen Beitrag dazu lesen… 😉

1. Wir stellen eine Konsolenverbindung zum System her (Serial)
2. Zuerst plätten wir das System, indem wir es auf die Factory Defaults zurücksetzen
   
   execute factoryreset

   1	execute factoryreset

   
   Nach einem Reboot des Systems, kommt dieses quasi jungfräulich daher und DER „admin“ Account – übrigens standardmäßig – ohne gesetztes Passwort
   (Bei neueren Firmware Versionen wird man beim ersten Anmleden aufgefordert, ein Admin Passwort zu setzen.)
3. DHCP Server platt machen
   
   config system dhcp server purge end

   1 2 3

   config system dhcp server purge end

4. Default Policy LAN -> WAN (bei kleineren Appliances bereits angelegt)entfernen
   
   config firewall policy purge end

   1 2 3

   config firewall policy purge end

5. Bei wirklich alten Appliances den Hardware Switch auflösen, indem man den Switch Mode in „interface“ ändert. Das muss aber wirklich eine sehr alte Fortigate mit sehr alter Firmware sein.
   
   config system global set internal-switch-mode interface end

   1 2 3

   config system global set internal-switch-mode interface end

6. Bei allen neueren Appliances entfernt man den virtuellen Switch wie folgt…Zuerst sollte man sicherheitshalber den „Namen“ des virtuellen Switches prüfen:
   
   config system virtual-switch show

   1 2	config system virtual-switch show

   
   Im Beispiel hier heißt er also „internal“
   (wenn ein Factory Reset gemacht wurde, sollte der eigtl. immer so heißen…)

   

   Der Switch lässt sich nicht einfach so löschen, denn es bestehen Referenzen zu bereits hinzugefügten Memberports.
   Also wird die Fehlermeldung „intf internal is used command_cli_delete: 5978 delete table entry internal unset oper error ret=-23 Command fail. Return code -23“ ausgegeben…
   Es müssen also müssen zuerst die konfigurierten Memberports gelöscht werden:

   config system virtual-switch config port delete internal1 delete internal2 delete internal3 delete internal4 delete internal5 delete internal6 delete internal7 end

   1 2 3 4 5 6 7 8 9 10

   config system virtual-switch config port delete internal1 delete internal2 delete internal3 delete internal4 delete internal5 delete internal6 delete internal7 end

   Beim Löschen des letzten Memberports, wird man gefragt, ob man sofort auch den gesamten virtuellen Switch aus der Konfiguration löschen möchte, was ich mit „y“ bestätige, denn wenn ich irgendwann einen virtuellen Switch benötige, kann ich diesen jederzeit neu anlegen.
   

7. Die Basiskonfiguration des Interface „internal1“ oder bei neueren Appliances auch „port1“ bspw. auf die IP 0.10.10.254/24 und Freigabe von Ping, SSH und HTTPS auf diesem Interface
   config system interface edit internal1 set ip 10.10.10.254 255.255.255.0 set allowaccess https ping ssh

   1 2 3 4

   config system interface edit internal1 set ip 10.10.10.254 255.255.255.0 set allowaccess https ping ssh

Jetzt noch ein LAN Kabel an port1 oder auch internal1 und es kann losgehen…

Nun kann man sich an die Konfiguration der anderen grundlegenden Einstellungen machen:

• Fortigate Custom Timeserver Konfiguration via CLI
• Hostname festlegen
• DNS Server festlegen
• Features einblenden / ausblenden
• Passwort Policies für lokale Accounts
• Email Konfiguration (für 2FA Emails an die Benutzer bspw.)
• Log Settings (Lokal / Analyzer / Manager / Cloud)

Viel Erfolg!