Jeśli komuś się nie chce czytać tego artykułu do końca, to w skrócie: pierwsze podejście nie udało się, kolejne niby tak, ale i tak nie jestem przekonany, że działa wszystko dobrze.
Naładowany pozytywną energią postanowiłem w czwartek z rana zaktualizować firmware w FortiGate 100A. Zgodnie ze wskazówkami zrobiłem wcześniej kopię konfiguracji, bo update nie powinien napsuć, natomiast co do upgrade, to inżynierowie Fortinet raczej tego nie gwarantują. Niemniej po restarcie z nowym FortiOS konfiguracja była zachowana, ale zmieniła się logika niektórych funkcji, toteż nie zaczęło to od razu działać jak należy.
Przede wszystkim, co od razu zauważyłem, inaczej definiuje się reguły z autoryzacją (FSAE). Teraz do każdej Policy można stworzyć jedną lub więcej Identity Based Policy, co w sumie nie jest złe, ale inaczej niż wcześniej i trzeba się przestawić. Poza tym, co ważne, FSAE (wersja 3.5.037, ma nawet parę widocznych nowych opcji) dostarczany z wersją 4.0 FortiOS nie działa dobrze, bo nie pozwala w ogóle zainstalować DC Agenta (w systemie MS Windows 2003 Server Standard pokazuje enigmatyczny komunikat o braku uprawnień). Działa natomiast wcześniejsza wersja – 3.5.032.
Wspomniany upgrade pozwala zachować konfigurację (dostosowuje ją do nowej wersji), niestety downgrade trochę ją psuje. Sekcje konfiguracji interfejsów są niezmienne, więc można zrobić tą operację zdalnie, a dostęp do urządzenia zostanie. Czy w jedną, czy w drugą stronę, zalecam dokładne przejrzenie ustawień po zmianie wersji FortiOS.
Menu zostało trochę zmienione i niektóre opcje sa w innym miejscu, więc potrzeba trochę czasu by się przyzwyczaić.
Z ciekawych rzeczy dodany został User Monitor – podgląd użytkowników uwierzytelnionych (firewall, IPSEC, SSL, IM) – tym samym odchodzi trochę ‘klepania’ w konsoli.
Przy okazji – udało mi się skonfigurować moją zaporę, by rutowała pakiety do jednego z dwóch dostawców w zależności od polityki. Niestety (jeszcze) nie działa odpowiadanie łączem, którym pakiet przyszedł (takie reply-to z pf w OpenBSD).
A na zakończenie – na LinkedIn pojawiła się grupa Enterprise Network Security sygnowana logo Fortinet. Natomiast pod koniec miesiąca wybieram się na szkolenie MS-2199 + FSAE. Mam nadzieję, że na nowym oprogramowaniu.
Witam Panie Bartłomieju,
Z informacji jakie uzyskałem, szkolenie Fortinet Server Authentication Extensions (FSAE) + MS-2199 Active Directory Fundamentals prowadzone jest na FortiOS w wersji 3.0 i odpowiedniej do niego wersji agent (MR6).
Pozdrawiam serdecznie,
konsultant ds. szkoleń
[...] i 4.0.0 build 043 (FortiAnalyzer). Nocna praca przede mną, bo i FSAE też jest nowy (poprzedni działał ‘dziwnie’ i wróciłem do ostatniej wersji dla FortiOS [...]
[...] próba skopiowania konfiguracji z FortiOS 4 na 3. Jak pisałem wcześniej – jest kilka znaczących różnic. Tak czy inaczej plan przećwiczony. Pamiętamy o regularnych [...]