pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet
Trace: gestion_des_acces cisco ospf diablo3 jetway_nc9c-550-lf cybex_eesy_s_2 macos netbsd enterasys nmap
informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
informatique:fortinet:start [2022/10/27 09:04] – [Choisir le bon] pteuinformatique:fortinet:start [2023/12/21 14:15] – [Agrégation de routes] pteu
Line 18: Line 18:
  
 # récupérer la charge du système et son uptime # récupérer la charge du système et son uptime
-get system performance status+(global) get system performance status
  
 # affiche les informations des processus les plus consommateurs en CPU/mem # affiche les informations des processus les plus consommateurs en CPU/mem
Line 363: Line 363:
 </code> </code>
  
-Pour lister les IPs/logins bloqués : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :+Pour lister les IPs/logins bloqués (en quarantaine) : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :
 <code bash> <code bash>
 diagnose user quarantine list diagnose user quarantine list
 +</code>
 +
 +Et pour débloquer un blocage :
 +<code bash>
 +diagnose user quarantine delete src4 x.x.x.x
 +</code>
 +
 +====Configurer un serveur Radius====
 +
 +Pour centraliser les comptes/mots de passe on peut configurer un serveur Radius qui sera interrogé pour authentifier les administrateurs du Forti. Cela se fait en plusieurs étapes :
 +
 +1) déclarer le serveur Radius sur le VDOM de management (root par défaut) : en GUI c'est dans "User & Authentication > RADIUS servers" ; on précise son nom, son IP et son secret (mot de passe pour s'y connecter, défini dans le clients.conf du serveur Radius) ; en CLI :
 +<code bash>
 +config user radius
 +    edit "rad-srv"
 +        set server "10.0.4.88"
 +        set secret blablabla
 +    next
 +end
 +</code>
 +
 +2) créer le groupe "Admin fortis" dans "User & Authentification > User Groups", nouveau groupe de type "Firewall", et ajouter le serveur RADIUS dans "Remote Groups" :
 +<code bash>
 +config user group
 +    edit "Admin fortis"
 +        set member "rad-srv"
 +    next
 +end
 +</code>
 +
 +3) Créer chaque login en mode global : créer le login dans "System > Administrators", et cocher "Match a user in a remote serveur group", "Admin fortis" dans cet exemple.
 +<code bash>
 +config system admin
 +     edit "admtoto"
 +         set remote-auth enable
 +         set accprofile "super_admin"
 +         set vdom "root"
 +         set remote-group "Admin fortis"
 +         set password ENC MASCARADE
 +     next
 +end
 +</code>
 +
 +NB : on pourra définir un mot de passe de secours pour chaque compte, en cas d'inaccessibilité du serveur RADIUS.
 +
 +Diagnostique :
 +<code bash>
 +diagnose test auth radius pap <user> <mot de passe>
 </code> </code>
 ======Configuration====== ======Configuration======
Line 436: Line 484:
 config system global config system global
  set hostname mon_forti  set hostname mon_forti
 + set timezone 28
 +#28    (GMT+1:00) Brussels, Copenhagen, Madrid, Paris
  
  config system admin  config system admin
Line 660: Line 710:
 ====Agrégation de routes==== ====Agrégation de routes====
  
-Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les routeurs ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.+Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.
  
-L'agrégation se configure de 2 façons, suivant s'il s'agit d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :+L'agrégation se configure de 2 façons, suivant qu'il s'agisse d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :
   * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) :   * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) :
 <code bash> <code bash>
 config router ospf config router ospf
-    config area +  config area 
-        edit 0.0.0.1 +    edit 0.0.0.1 
-            config range +      config range 
-                edit 1 +        edit 0 
-                    set prefix 10.0.0.0 255.255.254.0 +          set prefix 10.0.0.0 255.255.254.0
-            end+
         end         end
 +    end
 end     end    
 </code> </code>
  
-  * sur un ASBR, pour agréger des routes statiques redistribuées dans l'OSPF :+  * sur un ASBR, pour agréger des routes redistribuées (connected, statiques, etc..) dans l'OSPF :
 <code bash> <code bash>
 config router ospf config router ospf
-    config summary-address +  config summary-address 
-        edit 1 +    edit 0 
-            set prefix 10.0.0.0 255.255.254.0 +      set prefix 10.0.0.0 255.255.254.0 
-        end+    end
 end end
 </code> </code>
  
-Ces routes sont visibles dans la table de routage sous la forme :+Ces routes sont visibles dans la table de routage de l'ABR/ASBR sous la forme :
 <code bash> <code bash>
 get router info routing-table ospf get router info routing-table ospf
Line 693: Line 743:
 </code> </code>
  
-source : [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]]+On voit les réseaux dans la database : 
 +<code bash> 
 +get router info ospf database brief 
 +[..] 
 +                Summary Link States (Area 0.0.0.0) 
 + 
 +Link ID         ADV Router      Age  Seq#     CkSum Flag Route 
 +10.0.0.0        10.0.10.1       154  80000092 2570  0031 10.0.0.0/23 
 +[..] 
 + 
 + 
 +get router info ospf database summary lsa 10.0.0.0 
 +[..] 
 +                Summary Link States (Area 0.0.0.0) 
 + 
 +  LS age: 309 
 +  Options: 0x2 (*|-|-|-|-|-|E|-) 
 +  LS Type: summary-LSA 
 +  Link State ID: 10.0.0.0 (summary Network Number) 
 +  Advertising Router: 10.0.10.1 
 +  LS Seq Number: 800002df 
 +  Checksum: 0x60e2 
 +  Length: 28 
 +  Network Mask: /23 
 +        TOS: 0  Metric: 11 
 +</code> 
 + 
 +sources : 
 +  * [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]] 
 +  * https://community.fortinet.com/t5/FortiGate/Technical-Note-OSPF-route-summarization-for-LSAs-Type3-on-ABR/ta-p/198559
  
 ====Redistribution de route==== ====Redistribution de route====
Line 1222: Line 1301:
 # générer des messages de log pour test : # générer des messages de log pour test :
 diagnose log test diagnose log test
 +</code>
 +
 +Pour debugguer le process de gestion des logs, miglogd :
 +<code bash>
 +diagnose debug application miglogd -1
 +diagnose debug enable
 </code> </code>
  
informatique/fortinet/start.txt · Last modified: 2024/02/28 14:55 by pteu