Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2024/10/30 09:39] – HA TSHOOT pteu
+++ informatique:fortinet:start [2025/04/16 09:48] (current) – [Auto filesystem check] pteu
@@ Line 35: / Line 35: @@
    Processes: 20 (running=1 sleeping=99)
    [..]
+</code>
-# et quand un processus plante, prend trop de CPU ou de mémoire, on peut le killer :
+C'est un peu anxiogène d'en parler si haut dans la page, mais fortiOS laisse la possibilité aux comptes superadmin de killer les processus (cela peu éviter un redémarrage) :
-diagnose sys kill 11 <PID>
+<code bash>
+# rechercher le/s numéro/s de processus du serveur web (processus httpsd)
+diagnose sys process pidof httpsd
+
+
+
+
+# peut les killer un par un avec :
+diagnose sys kill <PID>
+# ou tuer tous les processus nommés httpsd
+fnsysctl killall httpsd
 </code>
+Par défaut le kill envoie un SIGTERM (15) qui ne laisse pas de trace dans le crash log ''diagnose debug crashlog read'' ; si on veut laisser un backtrace dans le log il faut spécifier d'envoyer un signal 11 (SIGSEGV) :
+<code bash>
+diagnose sys kill 11 <PID>
+fnsysctl killall 11 httpsd
+</code>
 =====Redémarrage=====
@@ Line 549: / Line 567: @@
 </code>
-=====Sauvegarde=====
+=====Enregistrement de la configuration=====
-Il existe 3 modes de sauvegarde la conf :
+Il existe 3 modes d'__enregistrement__ de la configuration courante (la "running-config") :
   * ''automatic'' : (celui par défaut) la configuration est sauvée à chaque fois qu'on saisit mot-clé "end" à la fin d'une section
-  * ''manual'' si on veut forcer la sauvegarde manuelle
+  * ''manual'' : si on veut forcer l'enregistrement manuel
-  * ''revert'' on peut programmer un rollback (reboot + restauration de la conf) automatique du firewall au bout d'un timeout défini ; c'est utile si la modification risque de nous faire perdre la main et que le firewall est sur un site distant. Exemple de mise en place
+  * ''revert'' on peut programmer un rollback (reboot + restauration de la conf) automatique du firewall au bout d'un timeout défini ; c'est utile pour pallier une erreur de manip, ou si une modification risque de nous faire perdre la main sur le firewall (très utile s'il est sur un site distant). Exemple de mise en place :
 <code bash>
 config global
    config system global
-      set cfg-save revert                            # | automatic | manual
+      set cfg-save revert                    # | automatic | manual
-      set cfg-revert-timeout 300                     # on définit le timeout pour le rollback
+      set cfg-revert-timeout 300             # on définit le timeout pour le rollback
       end
 </code>
-<WRAP center round important 60%>
+<WRAP center round important 80%>
-il faut bien penser à désactiver le mode revert après la maintenance sinon il redémarrera à chaque modif (et ne la prendra pas en compte) !
+//Ça va sans dire, mais ça va mieux en le disant// : il faut bien désactiver le mode revert après la maintenance sinon le firewall redémarrera à chaque modif (et ne la prendra pas en compte) !
 </WRAP>
+=====Sauvegarde de la configuration=====
+Les fortis peuvent __sauvegarder__ leur configuration (l'enregistrer dans un fichier dédié différent de la "startup-config") pour conserver et comparer différentes révisions de celle-ci : soit lors de la déconnexion d'un administrateur, soit lors d'une mise à jour du firmware (actif par défaut sur les versions ~6 et sup.).
+<code bash>
+config global
+  config system global
+    set revision-backup-on-logout  enable # sauvegarde après déconnexion d'un admin
+    set revision-image-auto-backup enable # sauvegarde lors d'une mise à jour
+    end
+ end
+end
+</code>
+On retrouvera toutes les versions dans la webUI en cliquant sur l’icône en haut à droite : <utilisateur>/Configuration/Revisions.
 ======Routage======
@@ Line 1277: / Line 1308: @@
 </code>
-Diag avancé / prise de trace
+Si toujours KO, remonter le cluster from scratch pour resynchroniser le backup sur le primaire (pas de coupure normalement, mais présence en baie nécessaire) : [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Rebuilding-an-HA-cluster/ta-p/195429|Rebuilding an HA cluster (KB Fortinet)]]
+====Diag avancé / prise de trace====
 <code bash>
 # sur le primaire
@@ Line 1321: / Line 1355: @@
 Liens :
   * [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Troubleshooting-a-checksum-mismatch-in-a-FortiGate/ta-p/197551|Troubleshooting-a-checksum-mismatch-in-a-FortiGate]]
+  * [[https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-HA-synchronization-issue/ta-p/193422?externalID=FD45183|How-to-troubleshoot-HA-synchronization-issue]]
+  * [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Rebuilding-an-HA-cluster/ta-p/195429|Technical Tip: Rebuilding an HA cluster]]
 ======Log / Syslog======
@@ Line 1450: / Line 1485: @@
 Pour tester l'envoi de mail, en CLI : ''diagnose log alertmail test''
+======VxLAN (over IPSec)======
+Le VxLAN est une encapsulation réseau permettant d'interconnecter des segments Ethernet disjoints via des réseaux IP (L3) ; il fonctionne en UDP/4789. Cela provoque un //overhead// de 50 octets (14 B (Ethernet) + 20 B (IPv4) + 8 B (UDP) + 8 B (VXLAN headers)) qu'il faut comptabiliser dans le calcul de la MTU pour éviter la fragmentation de paquets.
+Mis en place d'un VxLAN overIPSec:
+Soit le topologie suivante : 2 fortigates, interconnectés via un tunnel IPSec vpn-to-FTG1/2:
+<code bash>
+vlan5 --- FGT1_port1                           port2_FGT2 --- vlan6
+                 o========= vpn-to-FGTx =========o        192.168.5.254/24
+.1.1.1/32                  10.2.2.2/32
+</code>
+On veut interconnecter les VLANs 5 de FGT1 et 6 de FGT2 via notre VxLAN. On va configurer des VTEPs (VXLAN tunnel endpoint) et un //software-switch// (ce qui a pour inconvénient d'être traité en software càd via la CPU, et ne pourra donc pas donner d'excellentes performances: débits mesurés à seulement ~800 Mbps sur un fgt-1100E).
+Sur FGT1:
+<code bash>
+# VDOM intranet: déclaration du VxLAN
+config system vxlan
+    edit "vxlan5"
+        set interface "vpn-to-FGT2"
+        set vni 5
+        set remote-ip "10.2.2.2"
+    next
+end
+# global
+config system interface
+    edit "vlan5"
+        set vdom "intranet"
+        unset ip
+        set alias "vlan5"
+        set role lan
+        set interface "port1"
+        set vlanid 5
+    next
+end
+# pour être ajoutés au sw-itf, le vlan5 ne doit pas avoir d'IP ni appartenir à une zone
+config system switch-interface
+    edit "si5"
+        set vdom "intranet"
+        set member "vlan5" "vxlan5"
+    next
+end
+config system interface
+    edit "si5"
+        set vdom "intranet"
+        unset ip  # la passerelle 192.168.5.254/24 se situe sur FGT2
+        set type switch
+    next
+end
+</code>
+Sur FGT2:
+<code bash>
+# VDOM intranet: déclaration du VxLAN
+config system vxlan
+    edit "vxlan6"
+        set interface "vpn-to-FGT1"
+        set vni 5    # le vni doit nécessairement être le même
+        set remote-ip "10.1.1.1"
+    next
+end
+# global
+config system interface
+    edit "vlan6"
+        set vdom "intranet"
+        unset ip
+        set alias "vlan6"
+        set role lan
+        set interface "port2"
+        set vlanid 6
+    next
+end
+# pour être ajoutés au sw-itf, le vlan5 ne doit pas avoir d'IP ni appartenir à une zone
+config system switch-interface
+    edit "si6"
+        set vdom "intranet"
+        set member "vlan6" "vxlan6"
+    next
+end
+config system interface
+    edit "si6"
+        set vdom "intranet"
+        set ip 192.168.5.254/24
+        set type switch
+    next
+end
+</code>
+Sources:
+  * https://docs.fortinet.com/document/fortigate/7.4.6/administration-guide/38079/vxlan
 ======Services réseau======
@@ Line 2126: / Line 2252: @@
 =====Reset factory=====
+Pour effectuer un restauration d'usine (rétablir la configuration d'usine) :
 <code bash>
 execute factoryreset
@@ Line 2296: / Line 2423: @@
 =====Auto filesystem check=====
-Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de réaliser automatiquement ce check au démarrage , via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI:
+Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de [[https://community.fortinet.com/t5/FortiGate/Technical-Tip-Run-a-File-System-Check-automatically/ta-p/193298|réaliser automatiquement ce check au démarrage]], via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI:
 <code bash>
 config system global
@@ Line 2303: / Line 2430: @@
 </code>
-C'est toutefois non-recommander car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux.
+Ce n'est toutefois pas souhaitable car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux.
 =====SSH sortant impossible=====