Fortinet - Wat te doen als u bent afgesloten van uw FortiGate?
Fortinet fortigate
Wie heeft dit niet meegemaakt? Je configureert iets op een FortiGate firewall, lette niet goed op en je hebt geen toegang meer tot de webinterface. Of je hebt de nodige rechten ontnomen aan de enige administrator account.
Ik heb geen netwerk toegang meer tot de Fortigate!
Als je jezelf hebt afgesloten van het netwerk tijdens de configuratie, kun je nog steeds verbinding maken via SSH, indien geactiveerd, of via een consolekabel met behulp van de commandoregel.
Voor een consolekabel volstaat een standaard DB-9 naar RJ45 kabel. Als uw apparaat geen seriële aansluiting meer heeft, zijn er ook USB naar RJ-45 kabels beschikbaar. U hoeft alleen maar in bijvoorbeeld het Windows apparaatbeheer te kijken welke COM-poort aan de kabel is toegewezen.
Vervolgens kunt u met hulpmiddelen als Putty een verbinding tot stand brengen. Voor een verbinding via de consolepoort moet Putty als volgt worden geconfigureerd:
- Serial line to connect to: Voer COM-poort in
- Snelheid (baud): 9600
- Gegevensbits: 8
- Stopbits: 1
- Pariteit: Geen
- Debietcontrole: Geen
Wanneer u vervolgens een verbinding tot stand brengt, kunt u inloggen met uw beheerdersaccount. Bij het invoeren van commando's kunt u de tabtoets gebruiken om automatisch aan te vullen en een ? in te voeren om op elk moment de momenteel beschikbare commando's en parameters weer te geven.
U kunt bijvoorbeeld interfaces als volgt bewerken:
config system interface
bewerken
Nu kunt u de huidige configuratie van de netwerkinterface bekijken, de fout vinden en de gewenste wijzigingen aanbrengen. Als u bijvoorbeeld de toegang via HTTPS hebt gedeactiveerd, kunt u deze weer activeren met de volgende commando's:
set allowaccess http
set allowaccess https
Bevestig aan het eind altijd met einde, zodat de configuratie-invoer ook wordt opgeslagen.
U zou dan toegang moeten hebben tot de FortiGate webinterface zonder de FortiGate opnieuw op te starten of terug te zetten naar de fabrieksinstellingen.
Ik heb mezelf uitgesloten van mijn FortiGate Admin account!
Wat moet ik nu doen? Terugzetten naar fabrieksinstellingen en opnieuw beginnen? Een back-up maken van de configuratie nadat ik de firewall heb teruggezet naar de fabrieksinstellingen? Of is er misschien nog een derde oplossing?
Dat was natuurlijk een retorische vraag, want die bestaat wel degelijk. Fortinet heeft voor noodgevallen een verborgen account ingebouwd, dat alleen onder bepaalde voorwaarden kan worden gebruikt:
- Men moet directe fysieke toegang tot het apparaat hebben.
- Het serienummer moet bekend zijn. U vindt het op een sticker op het toestel.
- Een computer met een consolekabel moet worden aangesloten op de consolepoort van de FortiGate unit.
Vervolgens kunt u de toegang herstellen met de volgende stappen:
- Noteer het serienummer van de FortiGate unit in een tekstbestand, alle letters moeten in hoofdletters zijn.
- Plaats de letters bcpb direct voor het serienummer. De letters moeten hier kleine letters zijn. Dit is het wachtwoord dat u nodig heeft. Kopieer dit naar het klembord.
- Maak een verbinding met de FortiGate via de consolekabel.
- Ontkoppel de FortiGate van de stroom, wacht 30 seconden en sluit de FortiGate opnieuw aan.
- Zodra het opstartproces is voltooid en u om een login wordt gevraagd, voert u als gebruikersnaam maintainer in. Voer vervolgens het wachtwoord in of plak het vanaf het klembord.
U zou nu ingelogd moeten zijn op de maintainer account. Als u nu een admin account wilt bewerken, voer dan het volgende in:
config global (alleen nodig als er VDOM's actief zijn)
config system admin
edit admin
set password (om wachtwoord te wijzigen)
einde
Merk op dat de maintainer geen nieuwe admin-accounts kan aanmaken en dat het show-commando is uitgeschakeld voor het maintainer-account. Daarom kunt u de huidige configuratie niet bekijken via de maintainer.
Als u genoodzaakt bent om zo'n maintainer account te deactiveren om redenen van compliance, kunt u dat op de volgende manier doen:
config system global
set admin-maintainer disable
einde
Waarschuwing: Als u alle administratieve toegang tot een FortiGate verliest, kunt u deze niet meer herstellen.