Grundkonfiguration des Betriebssystems FortiOS v.6.2 in der SIM-Cloud¶
Wichtig
- Vorbereitende Maßnahmen
- `Besonderheiten bei der Arbeit mit einer temporären ОS FortiOS-Lizenz`_
- `Definieren der externen (WAN) und internen (LAN) Schnittstellen`_
- Benennung der Netzwerkschnittstellen und Festlegen der IP-Adressen für sie
- Anzeigen von Geräteinformationen
- Erlaubte Adresspaare
- Endgültige Konfiguration von FortiOS über die Weboberfläche
Vorbereitende Maßnahmen
Um die internen und externen Netzwerkschnittstellen der erstellten FortiOS-Instanz genau zu identifizieren, definieren Sie deren MAC-Adressen von der SIM-Cloud-Seite.Verwenden Sie dazu die „Anleitungen in unserer Dokumentation <../../operations/network-operations/mac-for-eth-intf.html>“.Besonderheiten bei der Arbeit mit einer temporären ОS FortiOS-Lizenz
Für die normale Arbeit mit einer virtuellen Maschine auf Basis von FortiOS ist eine Benutzerlizenz erforderlich.Für die Ersteinstellungen und die Arbeit über eine Weboberfläche ist es jedoch möglich, die temporäre Lizenz zu verwenden. Diese wird automatisch aktiviert, wenn der Instanz eine Größe von SIM-C1R1 (1 CPU, 1GB RAM) zugewiesen wird. Sobald eine permanente Lizenz erworben und eingerichtet wurde, kann die Größe der Instanz nach Bedarf erhöht werden.Warnung
Beachten Sie, dass die temporäre Lizenz für 15 Tage ab dem Zeitpunkt der Erstellung der Instanz aktiv bleibt. Während dieses Zeitraums ist die Weboberfläche unzugänglich, bis die permanente Lizenz erworben und eingerichtet wurde.Weitere Informationen zu den Lizenztypen und ihren Einschränkungen finden Sie in FORTINET Ressourcen .Definition der externen (WAN) und internen (LAN) Schnittstellen
Nach dem ersten Start der FortiOS v.6.2-Instanz gehen Sie zu ihrer Konsole (INSTANCE CONSOLE) und geben Sie ihren Standard-Benutzernamen und ihr Passwort (admin/kein Passwort) ein.
- Ermitteln Sie die Gesamtzahl der verfügbaren Netzwerk-Ports und ihre aktuellen Namen
get hardware nic port1 port2
- Definieren Sie die MAC-Adresse für jeden Port
get hardware nic port1 | grep Hwaddr Hwaddr: fa:16:3e:34:27:fa get hardware nic port2 | grep Hwaddr Hwaddr: fa:16:3e:7e:35:8d
Benennung der Netzwerkschnittstellen und Festlegen der IP-Adressen für sie
Sobald die obigen Schritte abgeschlossen sind, können Sie festlegen, welcher Port der interne und welcher der externe ist.Für das aktuelle Beispiel ist dies:port1 - WAN port2 - LAN
Legen Sie der Einfachheit halber das Pseudonym „WAN“ für die externe Schnittstelle fest und überprüfen Sie, ob diese die Netzwerkeinstellungen über das DHCP-Protokoll erhält.
- Setzen Sie das Pseudonym ‚WAN‘ für die externe Schnittstelle
config system interface edit port1 set alias WAN end
- Überprüfen Sie, ob die Netzwerkeinstellungen über DHCP empfangen werden und konfigurieren Sie die Zugriffsprotokolle für die Schnittstelle.
config system interface edit port1 set mode dhcp set allowaccess ping https http end
Legen Sie der Einfachheit halber das Pseudonym „LAN“ für die interne Schnittstelle fest und konfigurieren Sie eine statische IP-Adresse für sie.
- Setzen Sie das Pseudonym ‚LAN‘ für die interne Schnittstelle.
config system interface edit port2 set alias LAN end
- Konfigurieren Sie eine statische IP-Adresse für die Schnittstelle und konfigurieren Sie die Zugriffsprotokolle.
config system interface edit port2 set ip 192.168.0.1 255.255.255.0 set allowaccess ping https ssh http end
Anzeigen von Geräteinformationen
Überprüfen Sie die Konfiguration des Geräts nach der Einrichtung
- Die den Netzwerkschnittstellen zugewiesenen IP-Adressen anzeigen
show system interface name Name. port1 dhcp 0.0.0.0 0.0.0.0 172.16.0.10 255.255.240.0 up disable physical enable port2 static 0.0.0.0 0.0.0.0 192.168.0.1 255.255.255.0 up disable physical enable ssl.root static 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 up disable tunnel enable
- Die vollständige Gerätekonfiguration anzeigen
show full-configuration #config-version=FGVMK6-6.2.0-FW-build0866-190328:opmode=1:vdom=0:user=admin #conf_file_ver=183609851946744 #buildno=0866 #global_vdom=1 config system global set admin-concurrent enable set admin-console-timeout 0 set admin-http-connection-receive-timeout 2 set admin-https-pki-required disable set admin-https-ssl-versions tlsv1-1 tlsv1-2 set admin-lockout-duration 60 set admin-lockout-threshold 3 set admin-login-max 100 set admin-maintainer enable ...
Erlaubte Adresspaare
Es bleibt nun noch das erlaubte Adresspaar für die LAN-Schnittstelle von Seiten der SIM-Cloud festzulegen.Dies ist notwendig, um den Netzwerkverkehr aus dem lokalen Netzwerk über OPNsense passieren zu lassen.Dieser Vorgang ist in unserem Artikel </operations/network-operations/allowed-address-pairs.html> ausführlich beschrieben.Endgültige Konfiguration von FortiOS über die Weboberfläche
Nach allen oben beschriebenen Aktionen ist das Gerät über die Weboberfläche erreichbar. Dazu sollte die für die LAN-Schnittstelle eingestellte IP-Adresse oder die der Instanz zugewiesene Floating IP verwendet werden.
Hinweis
Wenn Sie sich zum ersten Mal anmelden, werden Sie nach dem Passwort für den Benutzer „admin“ gefragt. Um die Sicherheit zu gewährleisten, sollten Sie dies unbedingt tun.
- In diesem Schritt konfigurieren Sie den Router so, dass die Hosts, die sich außerhalb des Routers befinden (mit Adressen aus dem LAN), die Möglichkeit haben, über den Router ins Internet zu gehen. Gehen Sie wie folgt vor:
- Melden Sie sich über die Weboberfläche am Router an.
- Gehen Sie zu ‚Policy & Objects‘ > ‚IPv4 Policy‘.
- Drücken Sie die Schaltfläche ‚+ Create New‘, um eine neue Regel zu erstellen.
- Füllen Sie im nun erscheinenden Formular „Neue Richtlinie“ die folgenden Felder mit den Daten aus, die Sie in den vorherigen Schritten erhalten haben:
Name LANtoWAN Incoming Interface LAN (port2) Outgoing Interface WAN (port1) Source all Destination all Schedule always Service ALL Speichern Sie die Regel, indem Sie auf die Schaltfläche „OK“ klicken.