Segue mais um vídeo da serie cookbook.
Prometo que em breve terá um post em português 🙂 .
Don`t Panic – (11) 3875-3310 – www.trtec.com.br
O dia-a-dia da equipe da TRTEC Informática.
Don`t Panic – (11) 3875-3310 – www.trtec.com.br
O dia-a-dia da equipe da TRTEC Informática.
Segue mais um vídeo da serie cookbook.
Prometo que em breve terá um post em português 🙂 .
William,
Preciso de uma grande ajuda!
São dois pontos, como sou acostumado a instalar os Fortigate em redes com IP publico fixo agora tenho uma grande duvida.
Estou instalando o FG em uma empresa que não tem IP Publico Fixo, ai vem as duvidas!
Tem alguma forma de configurar a VPN do FG neste cenário?
Tem alguma forma de acessar o FG sem ter um IP publico Fixo?
Desculpe a pergunta, mas o costume do cachimbo deixa a boca torta! heheheheh
Mais uma vez, Valeu!
Esqueci de um detalhe… a VPN é SSL Client to Site
Oi Vinicius, utilize a função de DDNS, dessa forma o fortigate vai fazer update do IP no serviço de dns dinâmico a cada alteração de IP.
Preciso de ajuda com FortiDDNS.
Tenho um modem ADSL e FG-60D com FortiOS V5.
O modem conecta na porta WAN1 do FG.
No modem configurei a LAN na faixa 10.16.0.0/24
Na porta “WAN1″ do FG eu coloquei um IP em modo manual. Por exemplo, 172.16.0.254.
Quando eu ativo o FortiDDNS no FG não funciona.
Ele me informa que eu estou usando um endereçamento interno.
Quando executo nslookup em uma maquina publica ele me retorna assim
nslookup
C: \ Users \ > nslookup vpnparaguacu.fortiddns.com
Servidor: “nome dns interno”
Endereço: “ip dns interno”
Não é resposta de autorização:
Nome: vpnparaguacu.fortiddns.com
Endereço: 172.16.0.253
testa ai o nslookup para vpnparaguacu.fortiddns.com
Como faço para a WAN1 do FG pegar o ip externo do modem ADSL?
acredito que o problema seja esse
Desculpe!
Corrigindo a faixa do modem
Invés de:
10.16.0.0/24
Lê-se
172.16.0.0/24
Tem como fazer bloqueio de HTTPS no FORTIOS v. 4 MR3 Patch 14 ?
Sim, mas, depende do hardware.
Preciso de ajuda com FortiDDNS.
Tenho um modem ADSL e FG-60D com FortiOS V5.
O modem conecta na porta WAN1 do FG.
No modem configurei a LAN na faixa 10.16.0.0/24
Na porta “WAN1” do FG eu coloquei um IP em modo manual. Por exemplo, 172.16.0.254.
Quando eu ativo o FortiDDNS no FG não funciona.
Ele me informa que eu estou usando um endereçamento interno.
Quando executo nslookup em uma maquina publica ele me retorna assim
nslookup
C: \ Users \ > nslookup vpnparaguacu.fortiddns.com
Servidor: “nome dns interno”
Endereço: “ip dns interno”
Não é resposta de autorização:
Nome: vpnparaguacu.fortiddns.com
Endereço: 172.16.0.253
testa ai o nslookup para vpnparaguacu.fortiddns.com
Como faço para a WAN1 do FG pegar o ip externo do modem ADSL?
acredito que o problema seja esse
Vinicius, remova do modem o roteamento, ele tem que estar apenas como um modem brigde. Qual o modelo do modem ?
William,
Muito obrigado pela dica.
Mudei o modem para bridge e coloquei o FG para discar!
Oi William,
Olha eu outra vez. hehehehhe
Desculpe o incomodo!
A VPN já foi resolvida… seguir o seu conselho.
Agora é sobre HTTPS/SSL Inspection
Quando eu habilito ” SSL Inspection ” na Regra, todos os sites HTTPS ficam com o certificado inválido, mesmo quando o certificado do site é válido.
Até ai tudo bem! Porque é só instalar o certificado no navegado.
Mas eu tenho algumas aplicações de terceiros que usam a porta 443 e quando o “SSL Inspection” é habilitado, as aplicações que são de terceiro e precisam de internet não conseguem se comunicar.
Estou usando SSL Inspection porque eu preciso bloquear o facebook e youtube (HTTPS) e sem a SSL Inspection não consigo bloquear.
Tem alguma solução?
Obs.: Abrir um ticket com a Fortinet, mas a resposta foi desanimadora. Não é possível que não tenha uma solução.
Fiz algumas “amarras” nas regras, mas mesmo assim não ficou 100% como é usando HTTP.
Dessa forma é necessário criar regras antes liberando o endereço que essas aplicações conectam.
Eu fiz assim em alguns casos:
config webfilter profile
edit default
config ftgd-wf
set exempt-ssl – Adicionei as exceções
end
E em outros criei a regra na antes.
valeu
Olá Willian
Estou com um problema igual ao do Vinicius, onde após habilitar “SSL Inspection” na Regra, para bloqueio do Facebook e Youtube, todos os sites HTTPS ficam com o certificado inválido, mesmo quando o certificado do site é válido.
Não gostaria de ficar instalando o certificado nas maquinas devido a quantidade de maquinas ser relativamente grande.
Teria alguma configuração a ser feita para que os certificados sejam reconhecidos como validos?
Desde já obrigado.
Oi Alex, você tem praticamente 3 opções.
Usar um certificado valido (comprar um e importar para o firewall)
Utilizar uma certificadora raiz instalada em seu AD, como as maquinas em domínio confiam em seu AD automaticamente confiarão em seu certificado.
Por ultimo subir via GPO o certificado do firewall nos browsers dos seus clientes
Olá a todos,
Alguém já conseguiu bloquear o aplicativo ultrasurf sem bloquear a 443? está sendo complicado fazer isso pois temos uma rede aberta onde não temos gerencia pelos dispositivos apenas pela conexão com a internet. Obrigado.
Oi Silvio, use o APP control, se mesmo assim passar, habilite o deep scan e monitore a conexão, mesmo com ultrasurf ele vai monitorar o trafego e realizar o bloqueio se o deep scan estiver habilitado.
Boa Tarde, estou desesperado para bloquear facebook via https,
fortgate 200B v5.0,build0228 (GA Patch 4), coloquei para bloquear rede social, *facebook.com, *.facebook.com, tentei de tudo…
quando bloqueio https na porta 443, ele bloqueia muitas coisas q não é para bloquear q passa via https..
alguem tem alguma dica ??
OBrigado.
Anderson, você está habilitando o DEEP SCAN ?
Se quiser bloquear, mas, sem o deep siga esse passo a passo http://www.trtec.com.br/blog/?p=473, depois comente o resultado.
Prezado William sou leitor assíduo da sua pagina, gostaria de pedir sua ajuda, acidentalmente fui na interface de rede local do meu fortigate 80c 192.168.1.251/255.255.255.0 e mudei o final da mascara 252 agora não consigo mais acessar o setup do apliance pela url
Fabricio, estranho o fortigate não deveria ter deixado colocar esse IP já que o mesmo é o broadcast dessa rede com mascara 252.
Mas, se não tem acesso via outra interface, acesse via cabo de console e altere o ip (pode usar o cabo de console de switch caso não tenha do firewall).
os comandos para alterar são:
config system interface
edit internal
set ip 192.168.1.251/24
end
se a interface for a internal mesmo.
Boa tarde,
É possível efetuar o bloqueio de HTTPS, do Firmware Version v4.0,build0646,121119 (MR3 Patch 11), sendo que no Web Filter, no Profile, a opção Inspector Mode marcado como flow-based?
Gratp
Não, para fazer o bloqueio de HTTPS na versão 4 é necessário estar habilitado o mode proxy a v5 traz essa melhoria.
William;
Bom Dia!
Tudo bem ?
Lendo o seu blog estou com a seguinte dúvida: Possuo um Fortiwifi 60c com Firmware FWF60C-4.00-build672, e preciso bloquear facebook, youtube e outros que rodam via https e somente liberar bancos e outros sites específicos para um grupo de usuários.
Sendo assim isso é possível com este modelo ?
Desde já Muito Obrigado
Att;
Valério
OI Valério, neste caso você deve ir em policy > policy > protocol options editar o protocol options em uso e dentro de https marcar a opção Enable Deep Scanning.
Willian
Boa Tarde,
Tenho um Fortigate 100D e aparentemente está bloqueando a conexão HTTPS/SSL para o site da Caixa Economica. Não estou usando DEEP SCAN e não preciso bloquear SSL, ou seja era para estar passando, mas a conexão da tempo limite e não abre. Obrigado pela ajuda
OI Boa noite Luciana, o bloqueio só ocorre quando entra via https ?
Já testou criar uma regra sem nenhum filtro (web, antivirus, app control, …) para verificar se o problema não é roteamento da operadora ?
Olá Willian
Muito Obrigado pela ajuda. Acho que pode ter sido roteamento da operadora, pois hoje o serviço voltou a funcionar. Sem eu ter colocado ou alterado nenhuma regra. Ainda estou me acostumando a usar o Fortigate e tenho bastante dificuldade com relação ao monitoramento dos logs, por exemplo, antes meu firewall era iptables e eu monitorava o momento da conexão para ver algum bloqueio. Hoje a parte de logs do fortigate é meio confusa e não consigo a informação em tempo real. Tem alguma maneira?
Luciana
OI Luciana, aqui mesmo no blog tem alguns post sobre comando de diagnósticos, dá uma olha nesse de sniffer.
http://www.trtec.com.br/blog/?p=236
Muito Obrigado Willian, otimo post. O site é excelente
Luciana
Fiz o bloqueio porem alguns sites estao dando a mensagem “a conexão foi interrompida durante o carregamento da página”. apenas no firefox demais
navegadores funcionam normalmente.
foi realizado a instaçao do certificado nas estaçoes de tb
como devo proceder
OI Chegou a configurar o certificado no firefox ?
Willian,
Desculpa me aproveitar do tópico para lhe fazer uma pergunta fora do contexto, mas realmente preciso de uma ajuda e não consegui encontrar nada a respeito.
Tenho um Fortiwifi 60c e ele travou e não consigo mais acessa-lo.
Quando ligo o led do power acende normal, o status fica piscando, o led de leitura do cartão fica ligado, todos os leds da lan também ficam ligados.
Depois de um tempo piscam os leds da lan e se apagam e acendem o WAN1 e 2 e depois se apagam. Quando eu plugo um cabo na lan, a luz não acende, mas quando plugo na wan1 ou 2 dá link normal.
Tentei dar um reset, mas não notei diferença.
Já viu algum cenário desses?
Desde já agradeço!
Oi Fernando, se o status não fica acesso constante, (se apagado ou piscando) possivelmente é um problema de firmeware, plug um cabo de console, (não serve o usb) tem que ser o cabo rj 45 e DB9, e via um Hiper Terminal ou o Putty conectado na porta COM, verifique a mensagem após um boot.
http://help.fortinet.com/fvox/cli-html/2-0-0/index.html#page/FortiVoice%2520Online%2520CLI%2520Reference/CLI_basics.2.03.html
Boa Tarde!
Preciso de uma ajuda!!
Tenho um Fortinet 200b, eu não consigo fazer download, tenho vários grupos de acesso, e em um grupo exclusivo “corporativo” com IP liberado e mesmo assim não fazer download mas consigo navegar… como se eu não tivesse permissão, mas sou administrador…. ai se eu colocar em outro grupo que não tem acesso aos servidores, tipo um grupo só de acesso para visitante faço download normalmente… o que pode ser ?
Diego, o FortiGate por default não bloqueia downloads até por que toda a navegação é um download, os bloqueios são por extensão ou por tamanho do arquivo, mais nos dois casos deferia ter uma mensagem de bloqueio, a não ser que seja realizado o bloqueio pelo app control.
Tenho uma aplicação que escuta na porta 80 e não gostaria de receber conexão HTTP. É possível bloquear somente o tráfego HTTP?
OI Eduardo, a pergunta é um pouco vaga, mas é possível bloquear qualquer porta que desejar.