Fortigate SD-WAN monitoren

dinsdag 13 februari 2024 14:16

Acties:

0 Henk 'm!

Est. November 2005

Topicstarter

Ik begin even met het volgende: Ik ben absoluut geen noob vwb het monitoren en ook niet voor wat betreft SNMP. Ik weet mijn weg goed te vinden in powershell en heb er zelf menig wat geschreven om specifieke zaken te kunnen monitoren, maar nu heb ik wel een uitdaging.

Ik heb een FortiGate 40F met een gekoppelde FortiExtender 101F.
Op de FortiGate is SD-WAN geconfigureerd. Nu wil ik in mijn monitoring tool (welke laat ik even in het midden omdat de techniek die ik kan gebruiken hiervoor SNMP/Powershell en zelfs VBScript kan zijn) graag zien welke van de 2 WAN interfaces actief is.
Ik kan dit wel terug vinden in de webinterface welke actief is, maar via SNMP zie ik geen mogelijkheid dit uit te lezen.

Ook heb ik hier bij fortinet al gekeken naar eventueel commands die ik kan gebruiken, echter ook via die weg zie ik geen mogelijkheid.

Hebben de knappe koppen hier een suggestie voor mij die ik mogelijk kan bewandelen?

dinsdag 13 februari 2024 15:12

Xanthine

Dit is wat Copilot me geeft: (ps1).

code:

# Script to check if public IP has changed

# Set your previous IP address (initially empty)
$previousIP = ""

# Absolute path to the file that stores the old IP record
$IPRecordFile = "C:\path\to\your\IP_record.txt"

# Function to get the current public IP
function Get-PublicIP {
    $ip = (Invoke-RestMethod -Uri 'https://wtfismyip.com/text').Trim()
    return $ip
}

# Main script logic
$currentIP = Get-PublicIP

# Read the previous IP from the file (if exists)
if (Test-Path $IPRecordFile) {
    $previousIP = Get-Content $IPRecordFile
}

# Compare current and previous IPs
if ($currentIP -ne $previousIP) {
    # IP has changed, update the record and notify
    Set-Content -Path $IPRecordFile -Value $currentIP
    Write-Host "Your public IP has changed! New IP: $currentIP"
    # Add additional actions (e.g., send an email or trigger an alert)
} else {
    Write-Host "No change in public IP. Current IP: $currentIP"
}

dinsdag 13 februari 2024 15:03

Acties:

0 Henk 'm!

MasterL

Moderator Internet & Netwerken

Geen ervaring met FortiGate monitoring dus daar kan ik je niet mee helpen maar wellicht een ander idee...
Is het wellicht een optie om deze informatie te vergaren met behulp van een traceroute (next hop?) en aan de hand hiervan bepalen welke lijn actief is?

Of wellicht beide WAN interfaces (extern) monitoren via ICMP, mocht een lijn uitvallen kun je dit snel detecteren.

dinsdag 13 februari 2024 15:12

Acties:

Beste antwoord ✓
0 Henk 'm!

Xanthine

Dit is wat Copilot me geeft: (ps1).

code:

# Script to check if public IP has changed

# Set your previous IP address (initially empty)
$previousIP = ""

# Absolute path to the file that stores the old IP record
$IPRecordFile = "C:\path\to\your\IP_record.txt"

# Function to get the current public IP
function Get-PublicIP {
    $ip = (Invoke-RestMethod -Uri 'https://wtfismyip.com/text').Trim()
    return $ip
}

# Main script logic
$currentIP = Get-PublicIP

# Read the previous IP from the file (if exists)
if (Test-Path $IPRecordFile) {
    $previousIP = Get-Content $IPRecordFile
}

# Compare current and previous IPs
if ($currentIP -ne $previousIP) {
    # IP has changed, update the record and notify
    Set-Content -Path $IPRecordFile -Value $currentIP
    Write-Host "Your public IP has changed! New IP: $currentIP"
    # Add additional actions (e.g., send an email or trigger an alert)
} else {
    Write-Host "No change in public IP. Current IP: $currentIP"
}

dinsdag 13 februari 2024 15:16

Acties:

0 Henk 'm!

garriej

Ik las ondertieten.

Had je deze ook al gevonden bij fortigate?

https://community.fortine...or-the-SD-WAN/ta-p/197389

dinsdag 13 februari 2024 15:56

Acties:

0 Henk 'm!

eagle00789

Est. November 2005

Topicstarter

garriej schreef op dinsdag 13 februari 2024 @ 15:16:
Had je deze ook al gevonden bij fortigate?

https://community.fortine...or-the-SD-WAN/ta-p/197389

Ja die had ik al gevonden, echter lees die docs ff door dan zie je daar geen mogelijkheid bij staan om de current active wanlink uit te lezen van de SD-WAN configuratie.

Xanthine schreef op dinsdag 13 februari 2024 @ 15:12:
Dit is wat Copilot me geeft: (ps1).

code:

# Script to check if public IP has changed

# Set your previous IP address (initially empty)
$previousIP = ""

# Absolute path to the file that stores the old IP record
$IPRecordFile = "C:\path\to\your\IP_record.txt"

# Function to get the current public IP
function Get-PublicIP {
    $ip = (Invoke-RestMethod -Uri 'https://wtfismyip.com/text').Trim()
    return $ip
}

# Main script logic
$currentIP = Get-PublicIP

# Read the previous IP from the file (if exists)
if (Test-Path $IPRecordFile) {
    $previousIP = Get-Content $IPRecordFile
}

# Compare current and previous IPs
if ($currentIP -ne $previousIP) {
    # IP has changed, update the record and notify
    Set-Content -Path $IPRecordFile -Value $currentIP
    Write-Host "Your public IP has changed! New IP: $currentIP"
    # Add additional actions (e.g., send an email or trigger an alert)
} else {
    Write-Host "No change in public IP. Current IP: $currentIP"
}

ja iets vergelijkbaars gaan we nu voor de tussentijd wel implementeren. Fortigate heeft namelijk fortiddns ingebakken. Als je extern ip wijzigt, dan is binnen 10 min de ddns ook meegewijzigd. we gaan die monitoren voor nu en dan vergelijken met het primaire fixed ip adres van de provider dat ingesteld is op de fortigate.

Toch allen dank zover voor het meedenken, mochten jullie nog tips en hints hebben, kom gerust....

dinsdag 13 februari 2024 16:09

Acties:

0 Henk 'm!

Xanthine

eagle00789 schreef op dinsdag 13 februari 2024 @ 15:56:
[...]

Ja die had ik al gevonden, echter lees die docs ff door dan zie je daar geen mogelijkheid bij staan om de current active wanlink uit te lezen van de SD-WAN configuratie.

[...]

ja iets vergelijkbaars gaan we nu voor de tussentijd wel implementeren. Fortigate heeft namelijk fortiddns ingebakken. Als je extern ip wijzigt, dan is binnen 10 min de ddns ook meegewijzigd. we gaan die monitoren voor nu en dan vergelijken met het primaire fixed ip adres van de provider dat ingesteld is op de fortigate.

Toch allen dank zover voor het meedenken, mochten jullie nog tips en hints hebben, kom gerust....

Deze workaround misschien?

You can do it by creating an automatic stitch
Security Fabric ->Create New Automatic Stitch -> Add Trigger -> Create -> FortiOS Event Log -> Event -> Filter for SDWAN and select SDWAN SLA Information warning or SDWAN status warning
Then go to Add Action and select Email Notification.

dinsdag 13 februari 2024 16:17

Acties:

0 Henk 'm!

vso

tja...

snmpwalk >> output.txt (of een andere tool die de volledige SNMP tree probeert)

echo output.txt | grep/find "waarde die je zoekt" ?

edit

niet alles word via snmp v2/v3 getoont helaas, je kan ook de webinterface de juiste pagina via een commandline webpagina uitlezen en die op ongeveer dezelfde wijze "tonen" maar daar kom je wel uit vermoed ik

[ Voor 70% gewijzigd door vso op 13-02-2024 16:19 ]

Tja vanalles

dinsdag 13 februari 2024 16:19

Acties:

0 Henk 'm!

eagle00789

Est. November 2005

Topicstarter

Xanthine schreef op dinsdag 13 februari 2024 @ 16:09:
[...]

Deze workaround misschien?

You can do it by creating an automatic stitch
Security Fabric ->Create New Automatic Stitch -> Add Trigger -> Create -> FortiOS Event Log -> Event -> Filter for SDWAN and select SDWAN SLA Information warning or SDWAN status warning
Then go to Add Action and select Email Notification.

Die kan, maar als ik dit overal moet configureren, dan moet ik ook overal een mailserver configureren, mailadres bijhouden mocht deze ooit wijzigen (ik ga er van uit dat deze niet wijzigd, maar voor het geval dat), dus liever via SNMP/API/CLI maar is wel eentje om inderdaad toch in het achterhoofd te houden.
De primaire reden dat ik dit wil doen via SNMP/API/CLI is omdat we meer dan 300 Fortigates beheren en ja er zit een fortimanager overheen, maar nog niet overal en er zijn er ongeveer 75 waarvan de klant niet wil dat we deze opnemen in onze fortimanager (iets met het eventueel snel weg kunnen bij ons ooit, paranoia security).

vso schreef op dinsdag 13 februari 2024 @ 16:17:
snmpwalk >> output.txt (of een andere tool die de volledige SNMP tree probeert)

echo output.txt | grep/find "waarde die je zoekt" ?

Startpost gelezen?

[ Voor 9% gewijzigd door eagle00789 op 13-02-2024 16:20 ]

dinsdag 13 februari 2024 16:21

Acties:

0 Henk 'm!

vso

tja...

eagle00789 schreef op dinsdag 13 februari 2024 @ 16:19:
Startpost gelezen?

nee ik reageer op de politieke post van <insert something>

en daarbij post ik ook nog voor noobs het totale stappenplan

oftewel je las "linux commando" en is niet windows --> error ??

* vso vind dit niet de juiste communicatie methode

[ Voor 20% gewijzigd door vso op 13-02-2024 16:43 ]

Tja vanalles

dinsdag 13 februari 2024 16:26

Acties:

+1 Henk 'm!

eagle00789

Est. November 2005

Topicstarter

vso schreef op dinsdag 13 februari 2024 @ 16:21:
[...]

nee ik reageer op de politieke post van <insert something>

en daarbij post ik ook nog voor noobs het totale stappenplan

oftewel je las "linux commando" en is niet windows --> error ??

* vso vind dit niet de juiste communicatie methode

Hij was nu inderdaad iets uitgebreider dan op het moment dat ik antwoordde

En inderdaad je hebt wel gelijk (maar dat kom ik wel heeel erg vaak tegen bij meerdere soorten deevices, niet allen fortigate, dat bepaalde zaken niet of nouwelijks uitgelezen kunnen worden.

Wel heb ik intussen nog een leuk endpoint gevonden om dit "mogelijk" via een API te kunnen uitlezen:

code:

1	https://<ip>:<port>/api/v2/cmdb?action=schema

waarrmee je ziet dat er een API beschikbaar is maar de api documentatie is afgeschermd tot leden van het Fortigate Developer Network. Hier heb ik toegang toe aangevraagd, maar dat kan nog wel even duren voordat ik die heb (als fortinet die geeft)

dinsdag 13 februari 2024 16:28

Acties:

0 Henk 'm!

Xanthine

eagle00789 schreef op dinsdag 13 februari 2024 @ 16:19:
[...]

Die kan, maar als ik dit overal moet configureren, dan moet ik ook overal een mailserver configureren, mailadres bijhouden mocht deze ooit wijzigen (ik ga er van uit dat deze niet wijzigd, maar voor het geval dat), dus liever via SNMP/API/CLI maar is wel eentje om inderdaad toch in het achterhoofd te houden.
De primaire reden dat ik dit wil doen via SNMP/API/CLI is omdat we meer dan 300 Fortigates beheren en ja er zit een fortimanager overheen, maar nog niet overal en er zijn er ongeveer 75 waarvan de klant niet wil dat we deze opnemen in onze fortimanager (iets met het eventueel snel weg kunnen bij ons ooit, paranoia security).
[...]

Startpost gelezen?

Ow ja 300 stuks, dat is een ander verhaal, ik dacht dat je er maar 1tje had

In dat geval zou ik het escaleren via je account manager of Forti support.

dinsdag 13 februari 2024 16:38

Acties:

0 Henk 'm!

eagle00789

Est. November 2005

Topicstarter

Xanthine schreef op dinsdag 13 februari 2024 @ 16:28:
[...]

Ow ja 300 stuks, dat is een ander verhaal, ik dacht dat je er maar 1tje had In dat geval zou ik het escaleren via je account manager of Forti support.

Ik schetste er voor het gemak (en voor alle hulpvolle comments) opzettelijk maar even 1, zodat ik zoveel als mogelijk info kon krijgen. ook dat wat mogelijk in mijn grote situatie niet helpvol kan zijn zoals dat idd

maar daarom nog steeds bedankt voor je antwoord hoor. alle hulp is altijd welkom hierin.
Helaas is mijn accountmanager met vakantie en support reageert niet heel snel momenteel.... maar we wachten even rustig af. komt zeker goed.

vso schreef op dinsdag 13 februari 2024 @ 16:21:
[...]

oftewel je las "linux commando" en is niet windows --> error ??

* vso vind dit niet de juiste communicatie methode

Nee dat zeker niet, want ik snapte je strekking volledig. ik heb op windows zelfs gewoon een commandline snmp walk command (tooltje) beschikbaar dus ook voor Windows gaat dit zeker werken voor mij

en sorry als je dit niet de juiste communicatiemethode vindt.

[ Voor 25% gewijzigd door eagle00789 op 13-02-2024 16:43 ]

zaterdag 9 maart 2024 07:54

Acties: