Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision |
informatique:fortinet:start [2020/12/03 15:42] – [Système] Planifier un redémarrage pteu | informatique:fortinet:start [2020/12/23 11:40] – divers pteu |
---|
======Système====== | ======Système====== |
| |
En sortie d'usine, le compte **admin** a un mot de passe vide. | En sortie d'usine, le compte **admin** a un mot de passe vide. La configuration du port CONsole est "9600/8-N-1 hardware flow control disabled" ; on peut se connecter aussi au port mgmt(1) qui a son DHCPd (192.168.99.O/24) activé par défaut, mais attention à ne pas le brancher sur le réseau de prod sous peine de préempter les attributions d'IP du DHCPd légitime ! |
| |
| On peut lister toutes les commandes disponibles avec la commande ''tree'', et filtrer l'affichage en CLI avec '' | grep'' comme sur un terminal Linux. |
| |
<code bash> | <code bash> |
======Routage====== | ======Routage====== |
| |
Afficher la table de routage courante : | |
<code bash> | <code bash> |
| # lister toutes les adresses IP du firewall |
| diag ip address list |
| IP=192.168.1.99->192.168.1.99/255.255.255.0 index=4 devname=mgmt1 |
| [..] |
| |
| # lister les IPs virtuelles : VIPs et NAT-pools |
| diag firewall iplist list |
| |
| # Afficher la table de routage : |
get router info routing-table details | get router info routing-table details |
| |
>the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing). | >the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing). |
source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com | source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com |
| |
=====OSPF===== | =====OSPF===== |
| |
# ~get tech : diagnostique complet à envoyer au support aussi | # ~get tech : diagnostique complet à envoyer au support aussi |
diagnose debug report | diagnose debug report |
| execute tac report |
| |
# debugguer une fonction (~un process) | # debugguer une fonction (~un process) |
Si l'on tombe sur une "Error 403: Access denied." avec l'astuce précédente, c'est que la fonction n'est pas disponible. Cela arrive si le Fortigate n'a pas de disque dur interne, ou s'il est configuré en mode "WAN Optimization" au lieu de "Disk logging" (ce mode se configure dans "Global > System > Advanced", puis "Disk settings", et nécessite un reboot du Forti + formatage du disque si on le modifie. | Si l'on tombe sur une "Error 403: Access denied." avec l'astuce précédente, c'est que la fonction n'est pas disponible. Cela arrive si le Fortigate n'a pas de disque dur interne, ou s'il est configuré en mode "WAN Optimization" au lieu de "Disk logging" (ce mode se configure dans "Global > System > Advanced", puis "Disk settings", et nécessite un reboot du Forti + formatage du disque si on le modifie. |
</WRAP> | </WRAP> |
| |
| =====iperf===== |
| |
| Les fortigates intègrent l'outil iperf (accessible à partir du mode global), qui permet de réaliser des tests de débit. |
| <code bash> |
| conf global |
| diagnose traffictest port 5201 |
| diagnose traffictest run -c 10.0.1.24 |
| </code> |
| |
| |
======MAJ du firmware====== | ======MAJ du firmware====== |
set dhcp-relay-ip "10.1.1.24" | set dhcp-relay-ip "10.1.1.24" |
set dhcp-relay-type ipsec | set dhcp-relay-type ipsec |
# pour le BetBIOS | # pour le NetBIOS |
set netbios-forward enable | set netbios-forward enable |
set wins-ip 10.1.16.253 | set wins-ip 10.1.16.253 |
</code> | </code> |
| |
Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN. | Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine. |
======Liens utiles====== | ======Liens utiles====== |
| |
* [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]] | * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]] |