Jeśli komuś się nie chce czytać tego artykułu do końca, to w skrócie: pierwsze podejście nie udało się, kolejne niby tak, ale i tak nie jestem przekonany, że działa wszystko dobrze.
Naładowany pozytywną energią postanowiłem w czwartek z rana zaktualizować firmware w FortiGate 100A. Zgodnie ze wskazówkami zrobiłem wcześniej kopię konfiguracji, bo update nie powinien napsuć, natomiast co do upgrade, to inżynierowie Fortinet raczej tego nie gwarantują. Niemniej po restarcie z nowym FortiOS konfiguracja była zachowana, ale zmieniła się logika niektórych funkcji, toteż nie zaczęło to od razu działać jak należy.
Przede wszystkim, co od razu zauważyłem, inaczej definiuje się reguły z autoryzacją (FSAE). Teraz do każdej Policy można stworzyć jedną lub więcej Identity Based Policy, co w sumie nie jest złe, ale inaczej niż wcześniej i trzeba się przestawić. Poza tym, co ważne, FSAE (wersja 3.5.037, ma nawet parę widocznych nowych opcji) dostarczany z wersją 4.0 FortiOS nie działa dobrze, bo nie pozwala w ogóle zainstalować DC Agenta (w systemie MS Windows 2003 Server Standard pokazuje enigmatyczny komunikat o braku uprawnień). Działa natomiast wcześniejsza wersja – 3.5.032.
Wspomniany upgrade pozwala zachować konfigurację (dostosowuje ją do nowej wersji), niestety downgrade trochę ją psuje. Sekcje konfiguracji interfejsów są niezmienne, więc można zrobić tą operację zdalnie, a dostęp do urządzenia zostanie. Czy w jedną, czy w drugą stronę, zalecam dokładne przejrzenie ustawień po zmianie wersji FortiOS.
Menu zostało trochę zmienione i niektóre opcje sa w innym miejscu, więc potrzeba trochę czasu by się przyzwyczaić.
Z ciekawych rzeczy dodany został User Monitor – podgląd użytkowników uwierzytelnionych (firewall, IPSEC, SSL, IM) – tym samym odchodzi trochę ‘klepania’ w konsoli.
Przy okazji – udało mi się skonfigurować moją zaporę, by rutowała pakiety do jednego z dwóch dostawców w zależności od polityki. Niestety (jeszcze) nie działa odpowiadanie łączem, którym pakiet przyszedł (takie reply-to z pf w OpenBSD).
A na zakończenie – na LinkedIn pojawiła się grupa Enterprise Network Security sygnowana logo Fortinet. Natomiast pod koniec miesiąca wybieram się na szkolenie MS-2199 + FSAE. Mam nadzieję, że na nowym oprogramowaniu.
Przy okazji – robiąc dziwne kierowanie ruchem poznałem sniffer, którego można użyć na konsoli. Tak czy inaczej, nawet przy jego pomocy nie udało mi się rozwiązać problemu. Wątek na forum się rozwija.
