Базовая настройка операционной системы FortiOS v.6.2 в SIM-Cloud

Важно

После установки виртуальной ОС FortiOS требуется произвести её базовую настройку. При этом будут сконфигурированы сетевые интерфейсы, настройки безопасности и другие вещи влияющие на корректную и бесперебойную работу ОС.

Базовая настройка производится через CLI (интерфейс командной строки).

• Предварительные действия
• Особенности работы с временной лицензией для ОС FortiOS
• Определение внешнего (WAN) и внутреннего (LAN) интерфейсов
• Именование сетевых интерфейсов и установка IP адресов на них
• Просмотр информации об устройстве
• Разрешённая пара адресов
• Финальная настройка FortiOS через веб-интерфейс

1. Предварительные действия

   Для точной идентификации внутреннего и внешнего сетевых интерфейсов созданного инстанса FortiOS, определим их MAC адреса со стороны SIM-Cloud.

   Для этого воспользуемся инструкцией доступной в нашей документации

2. Особенности работы с временной лицензией для ОС FortiOS

   Для нормальной работы с виртуальной машиной на основе FortiOS требуется приобрести лицензию на её использование.

   Для первоначальной настройки и возможности работы через веб-интерфейс можно использовать временную лицензию. Она активируется автоматически если инстансу присвоена размерность SIM-C1R1 (1 CPU, 1GB RAM). После приобретения и установки постоянной лицензии, размерность инстанса можно будет увеличить до необходимого.

   Предупреждение

   Обратите внимание на то, что временная лицензия действует в течении 15-ти дней со времени создания инстанса. По истечении этого срока веб-интерфейс станет недоступен, пока не будет куплена и установлена постоянная лицензия.

   Подробнее про типы лицензий и их ограничения можно узнать на официальном ресурсе FORTINET.

3. Определение внешнего (WAN) и внутреннего (LAN) интерфейсов

   После первого запуска инстанса FortiOS v.6.2 перейдём в его консоль (INSTANCE CONSOLE) и введём имя пользователя и пароль по умолчанию (admin / без-пароля).

   • Определим общее количество доступных сетевых портов и их текущие названия

   get hardware nic
     port1
     port2
   

   • Определим MAC адрес каждого порта

   get hardware nic port1 | grep Hwaddr
   Hwaddr:     fa:16:3e:34:27:fa
   
   get hardware nic port2 | grep Hwaddr
   Hwaddr:     fa:16:3e:7e:35:8d
   

4. Именование сетевых интерфейсов и установка IP адресов на них

   После выполнения предыдущих пунктов можно будет определить какой порт является внутренним, а какой - внешним.

   Например нашем случае, это:

   port1   - WAN
   port2   - LAN
   

   Для удобства, установим для внешнего интерфейса псевдоним «WAN» и убедимся, что он получает сетевые настройки по DHCP протоколу.

   • Установим для внешнего интерфейса псевдоним «WAN»

   config system interface
       edit port1
       set alias WAN
       end
   

   • Убедимся, что он получает сетевые настройки по DHCP и сконфигурируем протоколы доступа к интерфейсу

   config system interface
       edit port1
       set mode dhcp
       set allowaccess ping https http
       end
   

   Для удобства, установим для внутреннего интерфейса псевдоним «LAN» и сконфигурируем для него статический IP адрес.

   • Установим для внутреннего интерфейса псевдоним «LAN»

   config system interface
       edit port2
       set alias LAN
       end
   

   • Cконфигурируем для него статический IP адрес и сконфигурируем протоколы доступа к интерфейсу

   config system interface
       edit port2
       set ip 192.168.0.1 255.255.255.0
       set allowaccess ping https ssh http
       end
   

5. Просмотр информации об устройстве

   Проверим конфигурацию устройства после настройки

   • Посмотрим IP адреса назначенные на сетевые интерфейсы

   show system interface
   name    Name.
   port1   dhcp   0.0.0.0 0.0.0.0  172.16.0.10 255.255.240.0  up   disable   physical  enable
   port2   static   0.0.0.0 0.0.0.0  192.168.0.1 255.255.255.0  up   disable   physical  enable
   ssl.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel  enable
   

   • Посмотрим полную конфигурацию устройства

   show full-configuration
   #config-version=FGVMK6-6.2.0-FW-build0866-190328:opmode=1:vdom=0:user=admin
   #conf_file_ver=183609851946744
   #buildno=0866
   #global_vdom=1
   config system global
       set admin-concurrent enable
       set admin-console-timeout 0
       set admin-http-connection-receive-timeout 2
       set admin-https-pki-required disable
       set admin-https-ssl-versions tlsv1-1 tlsv1-2
       set admin-lockout-duration 60
       set admin-lockout-threshold 3
       set admin-login-max 100
       set admin-maintainer enable
       ...
   

6. Разрешённая пара адресов

   Теперь осталось прописать разрешённую пару адресов для LAN интерфейса со стороны облака SIM-Cloud.

   Это нужно для того, чтобы разрешить сетевой трафик из локальной сети через OPNsense.

   Подробно этот процесс описан в нашей статье.

7. Финальная настройка FortiOS через веб-интерфейс

   После всех вышеописанных манипуляций устройство станет доступно через веб-интерфейс. Для этого нужно использовать IP установленный на LAN интерфейс или плавающий IP назначенный инстансу.

   Примечание

   При первом входе будет предложено установить пароль для пользователя «admin». Для обеспечения безопасности, обязательно сделайте это.

   На этом шаге сконфигурируем роутер таким образом, чтобы хосты находящиеся за роутером (с адресами из LAN сети) получили возможность выходить через роутер в интернет. Для этого:

   • Зайдем на устройство через веб-интерфейс
   • Перейдём в меню «Policy & Objects» - «IPv4 Policy»
   • Нажмем кнопку «+ Create New», чтобы создать новое правило
   • В открывшейся форме «New Policy» заполним следующие поля, на основании данных полученных в предыдущих пунктах инструкции:

   Name	LANtoWAN
   Incoming Interface	LAN (port2)
   Outgoing Interface	WAN (port1)
   Source	all
   Destination	all
   Schedule	always
   Service	ALL

   Сохраним правило нажатием на кнопку «OK».