Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:start [2022/10/12 16:35] – [MAJ du firmware] Choisir le bon pteu
+++ informatique:fortinet:start [2024/02/28 14:55] (current) – [Interfaces] MTU / TCP-MSS pteu
@@ Line 18: / Line 18: @@
 # récupérer la charge du système et son uptime
-get system performance status
+(global) get system performance status
 # affiche les informations des processus les plus consommateurs en CPU/mem
@@ Line 184: / Line 184: @@
       set mtu-override enable
       set mtu 9000
+   next
+# modifier la TCP MSS (doit être = MTU - 40 (20 d'entêtes IP et 20 d'entêtes TCP))
+config system interface
+   edit "port1"
+      set tcp-mss 8960
+   next
+</code>
+<WRAP center round tip 80%>
+Rappel: la MTU IP est de 1500 octets par défaut. Pour la vérifier entre 2 machines, il faut lancer un PING en interdisant la fragmentation (bit "don't fragment" = 1) et en spécifiant sa taille. Pour une MTU par défaut on peut envoyer des PINGs de taille max 1472 (1500 moins les entêtes IP (20) et ICMP (8)), un seul octet de plus (1473) et on ne pourra plus l'envoyer sans fragmenter, donc cela génèrera une erreur.
+</WRAP>
+<code bash>
+# Sous Linux:
+ping -M do -s 1473 10.10.10.10
+> ping: local error: Message too long, mtu=1500
+# Sous Windows:
+ping -f -l 1473
+> Le paquet doit être fragmenté mais paramétré DF.
+# Sous FortiOS :
+execute ping-options df-bit yes
+execute ping-options data-size 1473
+execute ping 10.10.10.10
+> sendto failed
 </code>
+//A noter que les erreurs affichées ci-dessus sont locales car détectées directement par ma machine cliente, dans la mesure ou l'on dépasse sa propre MTU. En général ce test est réalisé pour détecter la MTU sur le réseau entre 2 machines distantes quand on suspecte une MTU réduite (< 1500).//
 Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus :
@@ Line 363: / Line 387: @@
 </code>
-Pour lister les IPs/logins bloqués : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :
+Pour lister les IPs/logins bloqués (en quarantaine) : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :
 <code bash>
 diagnose user quarantine list
+</code>
+Et pour débloquer un blocage :
+<code bash>
+diagnose user quarantine delete src4 x.x.x.x
+</code>
+====Configurer un serveur Radius====
+Pour centraliser les comptes/mots de passe on peut configurer un serveur Radius qui sera interrogé pour authentifier les administrateurs du Forti. Cela se fait en plusieurs étapes :
+) déclarer le serveur Radius sur le VDOM de management (root par défaut) : en GUI c'est dans "User & Authentication > RADIUS servers" ; on précise son nom, son IP et son secret (mot de passe pour s'y connecter, défini dans le clients.conf du serveur Radius) ; en CLI :
+<code bash>
+config user radius
+    edit "rad-srv"
+        set server "10.0.4.88"
+        set secret blablabla
+    next
+end
+</code>
+) créer le groupe "Admin fortis" dans "User & Authentification > User Groups", nouveau groupe de type "Firewall", et ajouter le serveur RADIUS dans "Remote Groups" :
+<code bash>
+config user group
+    edit "Admin fortis"
+        set member "rad-srv"
+    next
+end
+</code>
+) Créer chaque login en mode global : créer le login dans "System > Administrators", et cocher "Match a user in a remote serveur group", "Admin fortis" dans cet exemple.
+<code bash>
+config system admin
+     edit "admtoto"
+         set remote-auth enable
+         set accprofile "super_admin"
+         set vdom "root"
+         set remote-group "Admin fortis"
+         set password ENC MASCARADE
+     next
+end
+</code>
+NB : on pourra définir un mot de passe de secours pour chaque compte, en cas d'inaccessibilité du serveur RADIUS.
+Diagnostique :
+<code bash>
+diagnose test auth radius pap <user> <mot de passe>
 </code>
 ======Configuration======
@@ Line 436: / Line 508: @@
 config system global
  set hostname mon_forti
+ set timezone 28
+#28    (GMT+1:00) Brussels, Copenhagen, Madrid, Paris
  config system admin
@@ Line 660: / Line 734: @@
 ====Agrégation de routes====
-Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les routeurs ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.
+Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.
-L'agrégation se configure de 2 façons, suivant s'il s'agit d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :
+L'agrégation se configure de 2 façons, suivant qu'il s'agisse d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :
   * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) :
 <code bash>
 config router ospf
-    config area
+  config area
-        edit 0.0.0.1
+    edit 0.0.0.1
-            config range
+      config range
-                edit 1
+        edit 0
-                    set prefix 10.0.0.0 255.255.254.0
+          set prefix 10.0.0.0 255.255.254.0
-            end
         end
+    end
 end
 </code>
-  * sur un ASBR, pour agréger des routes statiques redistribuées dans l'OSPF :
+  * sur un ASBR, pour agréger des routes redistribuées (connected, statiques, etc..) dans l'OSPF :
 <code bash>
 config router ospf
-    config summary-address
+  config summary-address
-        edit 1
+    edit 0
-            set prefix 10.0.0.0 255.255.254.0
+      set prefix 10.0.0.0 255.255.254.0
-        end
+    end
 end
 </code>
-Ces routes sont visibles dans la table de routage sous la forme :
+Ces routes sont visibles dans la table de routage de l'ABR/ASBR sous la forme :
 <code bash>
 get router info routing-table ospf
@@ Line 693: / Line 767: @@
 </code>
-source : [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]]
+On voit les réseaux dans la database :
+<code bash>
+get router info ospf database brief
+[..]
+                Summary Link States (Area 0.0.0.0)
+Link ID         ADV Router      Age  Seq#     CkSum Flag Route
+.0.0.0        10.0.10.1       154  80000092 2570  0031 10.0.0.0/23
+[..]
+get router info ospf database summary lsa 10.0.0.0
+[..]
+                Summary Link States (Area 0.0.0.0)
+  LS age: 309
+  Options: 0x2 (*|-|-|-|-|-|E|-)
+  LS Type: summary-LSA
+  Link State ID: 10.0.0.0 (summary Network Number)
+  Advertising Router: 10.0.10.1
+  LS Seq Number: 800002df
+  Checksum: 0x60e2
+  Length: 28
+  Network Mask: /23
+        TOS: 0  Metric: 11
+</code>
+sources :
+  * [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]]
+  * https://community.fortinet.com/t5/FortiGate/Technical-Note-OSPF-route-summarization-for-LSAs-Type3-on-ABR/ta-p/198559
 ====Redistribution de route====
@@ Line 1222: / Line 1325: @@
 # générer des messages de log pour test :
 diagnose log test
+</code>
+Pour debugguer le process de gestion des logs, miglogd :
+<code bash>
+diagnose debug application miglogd -1
+diagnose debug enable
 </code>
@@ Line 1690: / Line 1799: @@
 Les versions **NPI** (New Product Integration) possèdent  des numéros de build différents de la majorité des autres images ; elles correspondent aux développements d'une version à un nouveau modèle qui vient de sortir. Toutes les versions ne sont pas adaptées aux nouveau modèles, et celles-ci sont moins stables que les builds courants.
-Depuis la version 7.2, les versions même mineures sont tagguées en **feature ou mature release** ; ces flags sont indiqués dans le nom de l'image, juste après le numéro de version (par ex: FGT_100F-v7.0.7.__**F**__-build0367-FORTINET.out) et sont un indicateur de nouveautés fonctionnelles ou stabilité de la version.
+Depuis la version 7.2, les versions même mineures sont tagguées en **Feature ou Mature release** ; ces flags sont indiqués dans le nom de l'image, juste après le numéro de version (par ex: FGT_100F-v7.0.7.__**F**__-build0367-FORTINET.out) et sont un indicateur de nouveautés fonctionnelles ou stabilité de la version.
 Une fois la bonne version trouvée, jetez un œil aux release notes de celle-ci afin d'être sûrs qu'aucun bug ne touche votre modèle ou une des fonctionnalité que vous utilisez. Elles comportent parfois des contre-indications pour certaines configurations.