Czasami zdarza się tak, że odcinamy sobie wszystkie drogi do urządzenia (jakiegokolwiek) – dostęp via WWW, SSH, telnet czy kabel szeregowy. Cóż, błąd ludzki… FortiGate ma na szczęście możliwość czytania konfiguracji i ew. firmware z pendrive. Oczywiście wcześniej niezbędne jest przygotowanie kopii bezpieczeństwa, no ale o to każdy przecież dba.
Sytuacja, o której wspominam nie miała miejsca w moim przypadku. Ot tak sobie chciałem przećwiczyć plan awaryjny, żeby na podstawie czegoś stworzyć kolejną procedurę :>
- Rozpoznanie terenu
- Przygotowanie własnego FortiUSB
- To już!
Domyślnie konfiguracja powinna znajdować się w pliku fgt_system.conf, obraz zaś w image.out. Kopiujemy pliki na pamięć (domyślnie takowe mają system plików FAT). Ew. wkładamy po prostu czystą pamięć i uruchamiamy urządzenie żeby sprawdzić co się stanie. Po starcie pojawia nam się smutny komunikat dotyczący problemu z odczytem ext3 (w starszych wersjach FortiOS) lub w drugim przypadku:
System is started.
Get image from USB disk ...Can not get image from USB disk.
Can not get config file from USB disk.
Możemy poddać się i zakupić FortiUSB lub…
Oczywiście w nowszych wersjach FortiOS nie jest potrzebna zmiana systemu plików, ale domyślnie w 100A dają jakieś 3.0 MR5 (chyba), które nie znało niczego innego poza EXT3. Niemniej mamy już właściwy system, pora na kopiowanie plików. Jak wspomniałem – konfiguracja w fgt_system.conf, firmware w image.out (kopiujemy jeden z plików lub oba).
Wkładamy pamięć w odpowiedni port, uruchamiamy urządzenie i tadam!
System is started.
Get image from USB disk ... OK.
Check image... OK.
Please wait for system to restart.
Firmware upgrade in progress ...
Done.
The system is going down NOW !!
Please stand by while rebooting the system.
FG100A (19:06-02.28.2006)
Ver:04000003
[...]
Może się zdarzyć, że nie zaszła żadna zmiana, wtedy dostaniemy:
Get image from USB disk ... OK.
Checksum check synced! Don't need restore image.
Get config file from USB disk OK.
Checksum check synced! Don't need restore config.
Czasami może być też tak:
System is started.
The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'
Tu próba skopiowania konfiguracji z FortiOS 4 na 3. Jak pisałem wcześniej – jest kilka znaczących różnic. Tak czy inaczej plan przećwiczony. Pamiętamy o regularnych kopiach, nie wpadaniu w panikę, o postępowaniu zgodnie z procedurami i takie tam ;-)
A tu jeszcze Knowledge Center Fortinet na temat FortiUSB:
Teraz mam drugie urządzenie, więc mogę je podmienić (zostanę jednakże przy firmware z rodziny 3) i sprawdzić czy ‘zawieszanie się‘ to wina sprzętowa czy raczej programowa.