Cargando imagen del firmware de FortiGate mediante

TFTP

Redes

Fortigate

Infraestructura

feb 17, 2011

55 5779

Este procedimiento lo vamos a necesitar en el caso que se dae el SO de un Fortigate (en este caso 50B).
Me pas que al querer cargar la ltima versin de firmware el equipo, algo fallo y no levanto ms, entonces
tuve que ponerme a investigar como hacer un reset del equipo. A continuacin lo detallo por si les pasa
alguna vez.
Precaucin: La instalacin del firmware desde un servidor TFTP local usando la consola se restablecen
todos los valores de la unidad FortiGate a la configuracin por defecto de fbrica.
Componentes necesarios:

Cable de Red RJ45

Cable RJ45 a DB9 (cable con ficha de red y serial)

HyperTerminal de windows (o algn cliente para conectarnos)

Servidor TFTP

Imagen del SO operativo de Fortigate que lo descargamos de la web de fortinet.

Configuracin de red:

IP: 192.168.1.168

Mascara: 255.255.255.0

Puerta de enlace: 192.168.1.188

Recomendaciones de software TFTP:

* Los usuarios de Windows
TFTPD32 Software open source TFTP Server para Windows
En nuestro caso usaremos esta opcin y quedar de la siguiente manera:

Lo ms importante es colocar en Current Directory la imagen del SO del Equipo que descargamos de la
web de fortinet.
* Usuarios de Linux
Ubuntu 8.04 LTS, 8.10, 9.04 y 9.10
Fedora Core 9
Centos 5
tftpd-hpa
* Mac OS X 10.5/10.6 usuarios
V servidor TFTP 3.3.1
1- Vamos a conectar el cable de la consola (RJ45 a DB9) y abrimos hyperterminal de windows (inicioaccesorios-comunicaciones)


2- Seleccionamos el Puerto Correspondiente en este
caso COM1

3- Esteblecemos estos valores, (el FortiGate-300 utiliza 115.000 baudios)


4- Reiniciamos el Fortigate. Cuando la consola muestra el mensaje Presione una tecla para visualizar el
men de configuracin pulsa la barra espaciadora o cualquier otra tecla.
Vamos a ver algo como esto:
FortiGate-60 (root) # FGT60 (11:24-04.25.2005)
Ver:04000000
Serial number:FGT-101101101100
RAM activation
Total RAM: 128MB
Enabling cacheDone.
Scanning PCI busDone.
Allocating PCI resourcesDone.
Enabling PCI resourcesDone.
Zeroing IRQ settingsDone.
Verifying PIRQ tablesDone.
Boot up, boot device capacity: 30MB.
Press any key to display configuration menu
..

5- Seleccionamos la opcin F (para formatear) y posteriormente la opcin G (para cargar el nuevo

Firmware).

6- Cuando lleguemos a la configuracin del servidor TFTP debemos conectar el cable de red al puerto 3 del
fortigate
Introduzca la direccin del servidor de TFTP [192.168.1.168]: LE DAMOS ENTER
Introduzca direccin local [192.168.1.188]: LE DAMOS ENTER
Introduzca nombre del archivo de imagen del firmware [image.out]: FGT_50B-V400-build0303FORTINET.out
7- Si todo esta saliendo bien veremos algo as:r

8- Ahora cuando termine de cargar la imagen nos preguntar si queremos salvar y correr la imagen le
damos a la opcin D.
9- Por ltimo podes entrar al equipo usando el usuario admin (sin contrasea) o podes abrir un navegador
colocas en la barra de direccin (en este caso) 192.168.1.188 y te pedir el usuario y clave (quedar por
defecto: admin sin clave)

Saludos

Rango de wan1 y wan 2

Hoy les mostrar una sencilla configuracin de Fortigate para tener redundancia en la salida de nuestro cortafuegos
hacia Internet, de tal forma que si perdemos la lnea ADSL principal o si perdemos la conectividad por algn motivo,
podremos salir automticamente por la lnea ADSL secundaria sin tener apenas corte de datos de nuestros usuarios
LAN hacia Internet. Hay que tener en cuenta que las pantallas pueden variar dependiendo de la versin de FortiOS
que tengan, sin embargo los fundamentos son exactamente los mismos.
A continuacin veremos la configuracin aplicada a un Fortigate 60-D, con una lnea principal de 20MB conectada al
puerto WAN 2 y una lnea secundaria de 6MB conectada al puerto WAN 1.

Con este escenario base, iremos a la seccin System > Network > Interfaces y configuraremos cada interfaz WAN
del Fortigate con una IP libre del mismo rango que el router al cual apuntar cada una como salida.

Una vez realizada esta configuracin, iremos a la seccin System > Network > Routing y crearemos las rutas
estticas necesarias para redundar y priorizar correctamente ambas lneas ADSL. Para ello pulsaremos en Create
New.

En la pantalla de creacin, indicaremos como red destino 0.0.0.0/0.0.0.0, seleccionaremos WAN 1 como dispositivo, en
el campo Gateway indicaremos la IP del router conectado a la WAN 1 y en el campo Distance pondremos el valor 20,
ms adelante veremos el porqu.

Pulsaremos OK para guardar los cambios.

En segundo lugar, seguiremos el mismo proceso de creacin de una ruta esttica para el dispositivo WAN 2 (nuestra
lnea principal) pero esta vez, en el campo Distance indicaremos el valor 10, este valor de distancia menor har que
nuestro Fortigate, a la hora de escoger el camino por el cual sale hacia internet, escoja este segundo.

Guardaremos los cambios pulsando OK y, si ya tenemos las polticas correspondientes que permitan el trfico entre
la LAN (puerto Internal 1) y las interfaces WAN 1 y WAN 2, ya tendremos nuestra red LAN saliendo por defecto por el
ADSL de 20MB.

Para una configuracin ptima se debe establecer el parmetro Dead Gateway Detection en nuestra unidad Fortigate,
este parmetro permitir establecer un control sobre la actividad del link hacia el siguiente salto definido, es decir, si
definimos la IP 8.8.8.8 como siguiente salto, Fortigate evaluar cada cierto tiempo si la IP contesta a ping, en caso

afirmativo habr verificado la actividad de esta lnea, en caso negativo marcar el estado del link como Down y
nuestra tabla de Routing saltar a nuestra segunda lnea definida. A continuacin vemos la configuracin de Dead
Gateway Detection:

En caso que caiga nuestra lnea principal o nos quedemos sin servicio en ella, Fortigate se dar cuenta que esa ruta
(con distancia 10) ya no est disponible y, en apenas 2-3 segundos, desviar el trfico automticamente por la lnea
ADSL secundaria de 6MB (con distancia 20).
Con esta sencilla configuracin seguiremos teniendo acceso a Internet hasta que se solucione el problema en la lnea
principa