Попробовать

Первичная инициализация FortiGate

Начальные настройки

После установки FortiGate-VM на виртуальном сервере выполните следующие действия:

  • Подключите FortiGate-VM к сети так, чтобы он мог обрабатывать сетевой трафик и проверять подлинность лицензии.

  • Установите лицензию с помощью полученного от SberCloud токена.

  • Подключитесь к веб-интерфейсу FortiGate-VM через браузер и сконфигурируйте политики безопасности.

Настройка сети

При первом запуске доступ к FortiGate-VM можно получить через консоль.

../../_images/s__console.png

Чтобы получить доступ к веб-интерфейсу FortiGate-VM, настройте один сетевой интерфейс FortiGate с правами администратора.

Настройка сетевых интерфейсов

Среда виртуализации или гипервизор включают в себя окно гостевой консоли, что позволяет получить доступ к консоли FortiGate, то есть к консольному порту на устройстве FortiGate. Чтобы получить доступ к графическому интерфейсу, настройте FortiGate-VM port1 с правами администратора.

Чтобы настроить IP-адрес port1:

  1. В строке ввода в консоли FortiGate-VM введите имя пользователя admin. Нажмите Enter.

    Примечание

    По умолчанию у этой учетной записи нет пароля.

  2. Используя команды CLI, настройте IP-адрес и сетевой интерфейс port1:

    config system interface
      edit port1
        set mode static
        set ip 192.168.0.100 255.255.255.0
      next
    end
    
  3. Выполните настройку остальных сетевых интерфейсов по аналогии с шагом 2.

  4. Для настройки шлюза по умолчанию введите следующие команды CLI:

     config router static
        edit 1
          set device port1
          set gateway 192.168.0.1
       next
    end
    

    Используйте IPv4-адрес для настройки шлюза по умолчанию. FortiGate-VM использует доступ в интернет для подключения к FortiGuard Distribution Network (FDN) и проверки подлинности лицензии.

  5. Чтобы настроить DNS-серверы, используйте следующие команды CLI:

     config system dns
        set primary 100.125.13.19
        set secondary 8.8.8.8
    end
    

    По умолчанию в облаке SberCloud используются DNS-серверы 100.125.13.19 и 8.8.8.8.

Установка лицензии FortiGate-VM с помощью токена

Установка лицензии в FortiGate-VM производиться с помощью токена, который вы получите по e-mail после оформления заявки. Токен устанавливается командами в CLI, доступ к которому можно получить в консоли управления облаком или через веб-интерфейс FortiGate.

Чтобы добавить токен через CLI:

  1. Убедитесь, что FortiGate-VM может подключиться к fortinet.com.

    # exec ping directregistration.fortinet.com
    
  2. Добавьте токен в виртуальную машину.

    # exec vm-license <License File Token>
    
    This operation will reboot the system !
    Do you want to continue? (y/n)
    

    Виртуальная машина установит лицензию. Возможные коды ошибок при выполнении этой команды приведены в таблице.

    Код

    Описание

    1

    Ошибка на сервере FortiCare (runtime error).

    57

    Недействительный токен лицензии.

    58

    Токен лицензии уже используется.

    60

    Ошибка при запросе к серверу FortiCare.

    При возникновении ошибок обратитесь в техническую поддержку SberCloud.

  3. Выполните принудительную перезагрузку системы с помощью команды exec reboot.

  4. Убедитесь, что токен был добавлен.

    diag debug vm-print-license
    

Предупреждение

В случае изменения конфигурации оборудования необходимо повторно принудительно перезагрузить систему с помощью команды exec reboot.

Проверка статуса лицензии

Проблемы с лицензией могут возникать по нескольким причинам, например:

  • Виртуальная машина FortiGate-VM не может подключиться к серверу FortiGuard из-за сетевых настроек.

  • Истек срок действия лицензии, это может касаться и тестовой лицензии.

  • Другой эксземпляр FortiGate-VM использовал эту же лицензию для подтверждения на сервере FortiGuard.

Чтобы проверить статус лицензии FortiGate-VM, используйте следующие команды CLI на FortiGate-VM:

# get system status

Version: FortiGate-VM64-KVM v7.0.0,build0066,210330 (GA)
...
Serial-Number: FGVM08**********
...
License Status: Valid
License Expiration Date: 2022-08-18
VM Resources: 1 CPU/1 allowed, 3962 MB RAM
...

Параметр License Status отображает статус лицензии. Параметр VM Resources обозначает количество процессоров, доступных согласно лицензионным ограничениям (в данном примере: 1 allowed) и использованных клиентом (в данном примере: 1 CPU).

Статус лицензии может принимать следующие значения:

Статус

Описание

Действительная (Valid)

FortiGate может подтвердить подлинность лицензии через FortiManager или FDS.

Предупреждение (Warning)

FortiGate не может подтвердить подлинность лицензии через FortiManager или FDS. Проверяется количество дней, в течение которых лицензия непрерывно находится в статусе Warning. Если прошло менее 30 дней, то статус не изменяется.

Недействительная (Invalid)

FortiGate не может подтвердить подлинность лицензии через FortiManager или FDS. Проверяется количество дней, в течение которых лицензия непрерывно находится в статусе Warning. Если прошло 30 и более дней, то статус изменяется на Недействительная (Invalid). Межсетевой экран прекращает работу.

В ожидании (Pending)

Временный статус, который присваивается, пока FortiGate пытается проверить подлинность лицензии.

Для получения детальной информации о статусе лицензии используйте следующую команду:

# diagnose hardware sysinfo vm full

UUID:     abbe****************************
valid:    1
status:   1
code:     200
warn:     0
copy:     0
received: 4604955037
warning:  4600905081
recv:     202009152207
dup:

Интерпретация параметров приведена в таблице.

Поле

Значение и описание

Valid

0 — недействительная (Invalid)

1 — действительная (Valid)

Status

0 — запускается (Startup)

1 — успешно (Success)

2 — предупреждение (Warning)

3 — ошибка (Error)

4 — недействительная копия (Invalid Copy)

5 — срок действия тестовой лицензии истек (Eval Expired)

Code

2xx, 3xx — успешно (Success)

200 — действительная (Valid)

202 — одобренная (это корректный код ответа)

4xx — ошибка (Error)

400 — срок действия истек (Expired)

401 — дубликат лицензии (Duplicate)

5xx — предупреждение (Warning)

500 — предупреждение (Warning)

502 — недействительная (отсутствует подключение к FDS)

6xx — срок действия тестовой лицензии истек (Evaluation license expired)

Другой код — Ошибка (Error)

Наиболее часто встречающиеся комбинации параметров приведены ниже.

Параметры

Описание

valid: 1; status: 1; code: 200

Лицензия действительная, и система нормально функционирует.

valid: 1; status: 4; code: 401

Лицензия действительная, но возможно запущена на экземпляре-дубликате.

valid: 0; status: 2; code: 502

Система не может подключиться к FortiGuard.

valid: 0; status: 3; code: 400

Лицензия недействительная.

valid: 0; status: 3; code: 0

У виртуальной машины нет лицензии.

Также вы можете получить информацию о лицензии и доступной для вас функциональности веб-интерфейсе FortiGate:

../../_images/s__licinfo.png

Подключение к интерфейсу

Для подключения к графическому интерфейсу FortiGate-VM через веб-браузер введите внешний IP-адрес интерфейса Fortigate-VM в адресной строке. По умолчанию административный доступ разрешен только по HTTPS, поэтому необходимо указать https:// перед IP-адресом.

После первого входа в систему рекомендуется сделать следующие настройки:

  1. Настроить часовой пояс для корректного отображения времени в журнале пакетов:

    ../../_images/s__timezone.png
  2. Отключить все протоколы кроме HTTPS в настройках внешнего интерфейса:

    ../../_images/s__https.png
  3. Изменить порт для HTTPS-подключения со значения по умолчанию:

    ../../_images/s__port.png