Mô tả

Tài liệu này sẽ  giúp tìm ra những vấn đề gặp phải về dịch vụ FortiGuard Antivirus (AV), Instrusion Prevention  (IPS), Web filtering và Spam filtering 

Diễn giải:

Các Site chi nhánh sẽ kết nối về Site Trung Tâm thông qua  VPN tunnel được thiết lập từ kết nối Internet (FTTH, LeaseLine) giữa các Site.

System > Dashboard > Status > License Information

 

 


Hướng giải  quyết

 

Hình 1. Sơ đồ những bước để  troubleshoot những vấn đề trong việc cập nhật.

 

 

 

Cụ thể các bước troubleshoot như sau:

1. Đảm  bảo rằng hợp đồng vẫn còn hiệu lực đăng kí với Fortigate. Sau khi mua mã đăng  kí/số hợp đồng cần phải được đăng kí tại website https://support.fortinet.com

2. Tạo policy trong đó  apply Web Filtering Profile dùng Category.

3. Sau khi thiết bị truy  cập được Internet. Thiết bị sẽ tự động đồng bộ thông tin license với FortiGuard. Việc đồng bộ sẽ mất khoảng 24h tới  48h để hoàn thành việc này.

4. Fortigate  chưa được update thông tin về license cho đến khi nhận được thông tin chính xác  về hợp đồng.

Đầu tiên, dùng  CLI sau:

# exec ping <internet pingable IP>

<internet  pingable IP> phải là địa chỉ IP trả lại phản hồi sau khi ping.

 

Nếu ping  không thành công, thì Fortigate không thể ra mạng internet. ở trường hợp khác  fortigate thậm chí không thể kết nối internet. Vấn đề thường gặp phổ biến nhất ở  đây là Fortigate gửi toàn bộ traffic mà nó tự tạo ra vào một VPN tunnel.

Thực hiện  những command dưới đây để troubleshoot:

# diag debug enable 

# diag debug flow show console en

# diag debug flow show function en

# diag debug flow filter addr <internet pingable  IP>

# diag debug flow filter protocol 1

# diag debug flow trace start 20

# exec ping <internet pingable IP>

 

Kết quả ra  sẽ cho thấy đường đi của gói tin đang sử dụng VPN tunnel. Nếu traffic thật sự  đi qua VPN tunnel, hãy sửa lại firewal policy trên VPN tunnel và thay đổi địa  chỉ nguồn và địa chỉ đích để khớp với địa chỉ Source và Destination 

 

Khi đã kiểm tra  xong, sử dụng command sau để disable debug

# diag debug flow trace stop

# diag debug reset

# diag debug disable

5. Điều  này cho thấy rằng fortigate có thể ra ngoài mạng internet thông qua IP. Bước tiếp  theo là xác nhận xem liệu Fortigate có thể phân giải tên miền hay không: 

 # exec ping fortinet.com

Có thể sử dụng bất  cứ DNS nào. Quan trọng ở đây là Fortigate có thể phân giải được tên miền hay  không. Nếu không, hãy kiểm tra lại cài đặt DNS : System > Network > DNS:

 



6. [AV/IPS updates only] Fortigate sử dụng  port 443 (HTTPS) đểcập nhật AV và IPS. Thiết  bị cần phải cài đặt  đúng thời gian để có thể hoạt động đúng. Để chắc chắn rằng thời gian của hệ thống  được cài đặt đúng. Vào System > Dashboard > Status > “System  Information” widget > System Time. Chọn [Change] để thay đổi thời gian hoặc  đồng bộ hóa với NTP server.

 


7. [Web  Filter/Spam Filter only] web filter và spam filter chỉ có thể sử dụng trên  poer 53 và port 8888. Nếu fortigate không thể kết nối đến fortiGuard thông qua  một trong hai port đó, thì hãy thử port còn lại. Những port này có thể chuyển đồi  bằng cách vào System > config > Fortiguard > Web Filtering and Email  Filtering Options > Port Selection

8. Source Port là port của Fortigate, được sử dụng để  kết nối với Fortiguard servers. Vấn đề ở đây là một vài ISP đã chặn một số port  nhỏ hơn đã được sử dụng bởi fortigate. Để thay đổi, có thể sử dụng command sau:  

# config system global

# set ip-src-port-range 1050-25000

Sau khi đã  hoàn thành cần phải restart lại dịch vụ, sử dụng command sau: 

# diag test app url 99

9. Nếu  vấn đề vẫn chưa được giải quyết, sử dụng những command sau đây: 

# diag debug enable

# diag debug application update 255

# exec update-now

Cũng có thể  sử dụng sniffer command để xem traffic trên packet level: 

Đối với  AV/IPS

# diag sniff packet any ‘port 443’

Đối với Web  filter/spam filter

# diag sniff packet any ‘port 53 or port 8888’

Nếu vấn đề vẫn chưa  được giải quyết, vui lòng lưu log lại tất cả các bước trên và tạo ticket với support Fortinet để được hỗ trợ  troubleshoot.