FortiSwitches können natürlich auch mit dem FortiManager („FortiSwitch Manager“) aktualisiert werden. In meinem Fall war zunächst sicherzustellen, dass der Fortiswitch direkt zu FortiGuard kommunizieren kann, damit er sich das Update direkt herunterladen kann. Übrigens muss man das auch tun, wenn man den FortiSwitch registrieren möchte.
Das klingt erstmal trivial, ist es aber nicht, denn standardmäßig hat der FortiSwitch, welcher via FortiLink mit der Fortigate verbunden ist, keinen „Zugriff“ auf das WAN, da keine Policy existiert. Natürlich könnte man jetzt sagen: „Wo ist das Problem? Policy erstellt, fertig…“, aber so einfach ist das nicht, denn das FortiLink Interface kann nicht als „Source Interface“ einer Policy ausgewählt werden. Also zumindest nicht in der GUI… Man kommt dann recht schnell darauf, dass diese Policy via CLI erstellt werden muss. Da ich aber einen Manager habe, konnte ich das am Ende doch über die „CLI Configurations“, also über eine „Quasi GUI“ machen. Die Policy ist anschließend in den Policy Packages und auch auf der Fortigate GUI der entsprechenden VDOM sichtbar.
Also über den Manager eine entsprechende Firewall Policy, mit dem Quellinterface „FortiLink“ (oder wie auch immer dieses Interface bei Euch heißt) und als Destination den Fortiguard Servern konfiguriert und schon kann es losgehen…
Policy im Policy Package des FortiManagers
Policy in der GUI der Fortigate
Hier mal ein Beispiel, wie diese Policy via CLI angelegt wird…
config firewall policy
edit 37 (die nächste freie ID nehmen, bei mir war es grad die 37)
set name „Fortilink to WAN“
set srcintf „FORTILINK“ (an Euren Interface Namen für den „FortiLink“ anpassen)
set dstintf „virtual-wan-link“ (an Euren Interface Namen für das WAN Interface anpassen)
set action accept
set srcaddr „ADDR – FortiSwitch FORTILINK“ (an Eure Interface IP / Adresse des FortiSwitch anpassen)
set dstaddr „all“ (besser auf die Fortiguard Server einschränken)
set schedule „always“
set service „ALL“ (besser nur an die benötigten Services anpassen)
set utm-status enable
set logtraffic all
set nat enable
next
Den Rest des Ablaufes in Bildern, mit entsprechenden Kommentaren…
Wir wechseln also im FortiSwitch Manager zum entsprechenden Fortiswitch und…
wählen die gewünschte Firmware Version aus…
Zunächst habe ich versucht, die Firmware vom Manager zu ziehen, was fehlschlug, da der FortiSwitch nicht auf den FortiManager zugreifen konnte (was ich auch nicht wollte), deshalb der Weg über das Update von Fortiguard.
Geduldig warten… (wirklich geduldig!)
Mein Client hing natürlich am Switch, insofern war dann auch die Verbindung zum Manager weg…
Der Manager war wieder da, aber läuft noch…
Ah, jetzt, ja!
Done!