Packetsniffer bei Fortigate Modellen mit NP4lite Prozessor

Einige der neueren Fortigate Modelle beinhalten einen sog. NP4lite Prozessor. Dieser Prozessor beschleunigt insbesondere den Firewall- und VPN-Traffic, indem er den Traffic von der Haupt-CPU offloaded. Der Nachteil an dem Prozessor (und auch an früheren NP Prozessoren) ist, dass dadurch der Packetsniffer Befehl die entsprechenden Pakete ebenfalls nicht mehr sieht.

Aktiviert man z.B. den Packetsniffer um einen Ping zu analysieren, sieht man nur noch die beiden ersten Echo-Requests und -Replies, danach wird die ICMP Session offloaded und der Sniffer zeigt nichts mehr an. Bei TCP-Verbindungen sieht man nur noch den TCP-Handshake, aber keine Datenpakete mehr, außer die FIN- oder RST-Pakete zum Beenden der Session.

Wie finde ich heraus, ob mein Modell einen NP4lite Prozessor hat?

diag hardware deviceinfo nic interal

Der ausgegeben Driver Name gibt Aufschluss über den Prozessor.

FortiOS bietet jedoch die Option, dass Offloading von Sessions zu deaktivieren, damit die Pakete im Packetsniffer wieder sichtbar sind. Dies geht über die CLI pro Firewall Policy:

config firewall policy
   edit <n>
      set auto-asic-offload disable
end

Diese Funktion kann hilfreich für Troubleshooting sein, es sollte aber nicht vergessen werden, das Offloading hinterher wieder einzuschalten, da ohne Offloading die Performance erheblich verschlechtert wird.

Gleiches gilt für das Debugging von VPNs. Es werden im Packetsniffer weder UDP/500- noch ESP-Traffic angezeigt, als ob kein VPN Tunnel existiert. Ebenso wird der ausgehende VPN-Traffic im Packetsniffer so dargestellt, als ob er unverschlüsselt über das WAN1-Interface geht. Auch hier lässt sicht das Offloading zwecks Analyse abschalten (das Beispiel zeigt ein VPN im Interfache Mode) :

config vpn ipsec phase1-interface
   edit <phase1-Name>
      set npu-offload disable
end