Packetsniffer bei Fortigate Modellen mit NP4lite Prozessor
Einige der neueren Fortigate Modelle beinhalten einen sog. NP4lite Prozessor. Dieser Prozessor beschleunigt insbesondere den Firewall- und VPN-Traffic, indem er den Traffic von der Haupt-CPU offloaded. Der Nachteil an dem Prozessor (und auch an früheren NP Prozessoren) ist, dass dadurch der Packetsniffer Befehl die entsprechenden Pakete ebenfalls nicht mehr sieht.
Aktiviert man z.B. den Packetsniffer um einen Ping zu analysieren, sieht man nur noch die beiden ersten Echo-Requests und -Replies, danach wird die ICMP Session offloaded und der Sniffer zeigt nichts mehr an. Bei TCP-Verbindungen sieht man nur noch den TCP-Handshake, aber keine Datenpakete mehr, außer die FIN- oder RST-Pakete zum Beenden der Session.
Wie finde ich heraus, ob mein Modell einen NP4lite Prozessor hat?
diag hardware deviceinfo nic interal
Der ausgegeben Driver Name gibt Aufschluss über den Prozessor.
FortiOS bietet jedoch die Option, dass Offloading von Sessions zu deaktivieren, damit die Pakete im Packetsniffer wieder sichtbar sind. Dies geht über die CLI pro Firewall Policy:
config firewall policy edit <n> set auto-asic-offload disable end
Diese Funktion kann hilfreich für Troubleshooting sein, es sollte aber nicht vergessen werden, das Offloading hinterher wieder einzuschalten, da ohne Offloading die Performance erheblich verschlechtert wird.
Gleiches gilt für das Debugging von VPNs. Es werden im Packetsniffer weder UDP/500- noch ESP-Traffic angezeigt, als ob kein VPN Tunnel existiert. Ebenso wird der ausgehende VPN-Traffic im Packetsniffer so dargestellt, als ob er unverschlüsselt über das WAN1-Interface geht. Auch hier lässt sicht das Offloading zwecks Analyse abschalten (das Beispiel zeigt ein VPN im Interfache Mode) :
config vpn ipsec phase1-interface edit <phase1-Name> set npu-offload disable end
Sorry für den unfreundlichen Kommentar, aber ich glaube es wäre dem Autor gegenüber nur fair zu erwähnen dass die Infos aus anderer Quelle stammen
Wie auch immer, nur meine Meinung, Kommentare müssen ja nicht freigeschaltet werden
Viele Grüße
Hallo lieber „A“ 🙂
Auch kritische Kommentare schalte ich frei, wenn sie konstruktiv sind.
Zur Sache: Natürlich erfinde ich das Rad auch nicht neu und schreibe meine Posts anhand von Quellen wie KBs, Blogs und Foren. Normalerweise schreibe ich das dennoch nach meinem Gusto, um Plagiatsvorwürfe zu vermeiden. Sollte mir das in diesem Fall nicht gelungen sein, bitte ich um Entschuldigung. Gerne können sie mir den Namen des Autors und den Link hinterlassen, von dem sie meinen, ich hätte den Beitragsinhalt „kopiert“. Ich prüfe das gerne und schalte ggf. auch diesen Kommentar dann frei, bzw. füge in den Beitrag ggf. eine Quellenangabe ein. Wenn sie im Suchfeld nach dem Begriff „Quelle“ suchen, stellen sie fest, dass ich dies üblicherweise mache, wenn es erforderlich ist.
Gruß
Andreas