Hướng dẫn Download và Giả lập FortiGate trên PnetLab

Trong bài viết này, mình sẽ hướng dẫn các bạn cài Download các phiên bản OS của Fortigate và add vào Pnetlab để thực hành.

Download Firmware Fortinet

Theo mình thấy thì giao diện và các tính năng của Fortigate có rất nhiều thay đổi giữa các phiên bản. Do vậy, khi dựng Lab thì chúng ta cũng cần có các phiên bản tương ứng với thiết bị thật để chúng ta có thể chúng ta có thể cấu hình hoặc debug các lỗi tương ứng với thiết bị firewall đang chạy.

Để có thể download được firmware của Fortigate thì các bạn cần phải có tài khoản trên FortiCloud, và tài khoản này phải có ít nhất 1 thiết bị vẫn còn license support. Nếu thiết bị vẫn còn license support thì các bạn có thể lấy Serial của thiết bị đó để đăng ký. Do Fortigate có rất nhiều phiên bản khác nhau nên mình không thể download hết về để up lên được, nếu các bạn không download được thì có thể để lại gmail, mình sẽ download về và chia sẻ qua google driver nhé.

Bạn nào có thiết bị vẫn còn license support thì có thể lấy serial để đăng ký 1 tài khoản nhé.

Để đăng ký, các bạn truy cập vào trang forticloud.com.

Chọn Register để đăng ký 1 tài khoản. Phần đăng ký này các bạn chỉ cần nhập email và tạo password, sau đó vào email để active tài khoản là xong. Do vậy thì mình sẽ không hướng dẫn phần này.

Sau khi có tài khoản, chọn Login để đăng nhập với tài khoản vừa đăng ký. Sau đó vào phần Services > Asset Management, add thêm thiết bị vào FortiCloud để có thể download được firmware.

Chọn Register Now.

Nhập Serial vào ô Registration Code. Mục End User Type chọn A non-government user.

Nhấn Next. Mục Fortinet Partner thì các bạn có thể chọn Unknown cho nhanh.

FortiCloud Key thì các bạn xem trên tem của thiết bị nhé. Một số thiết bị không có FortiCloud Key trên tem thì khi các bạn nhập Serial xong thì FortiCloud cũng không yêu cầu mục Cloudkey này.

Sau đó nhấn Next và hoàn thiện các phần sau. Các phần sau chỉ yêu cầu nhập 1 số thông tin cơ bản thôi. Do khi add vào cloud rồi thì không xóa đi được mà phải tạo case để chuyển sang tài khoản khác, nên mình không thể add Serial này vào tài khoản của mình để hướng dẫn tiếp được.

Sau khi thêm thiết bị xong, các bạn vào phần Products > Product List. Các thiết bị mà các bạn đã add vào sẽ hiển thị ở đây. Để download được thì firewall phải còn license support nhé. Như thiết bị của mình còn đến năm 2023.

Sau đó các bạn vào menu Support, Chọn Firmware Download.

Chọn Product là FortiGate và chọn tab Download, các bạn cũng có thể download firmware của các thiết bị khác như FortiMail hoặc FortiNAC cũng được nhé. Sau đó chọn phiên bản mà các bạn muốn tải.

Sau đó các bạn search từ khóa là KVM cho nhanh. Có các file KVM thì các bạn down bản có đuôi là out.kvm.zip. Đối với các version khác thì cũng vậy, nó chỉ khác chỗ version này thôi, các bạn cứ download file có 2 chữ KVM như này là được. Đây là file firmware để add vào trong PnetLab. Bấm HTTPS để download.

Add firmware Fortigate vào PnetLab

Sau khi tải về xong, các bạn giải nén file này ra. Chúng ta sẽ được 1 file là fortios.qcow2​. Tạo 1 thư mục với phần đầu là fortinet-, còn phần sau thì các bạn đặt sao cho dễ phân biệt thôi. Ví dụ mình sẽ đặt tên thư mục là fortinet-fortigate7.0.1 theo version của firmware cho dễ phân biệt. Sau đó copy file qcow2 vào và đổi tên thành virtioa.qcow2.

Các bạn có thể add nhiều phiên bản khác nhau vào pnetlab để sử dụng nhé, tên của file OS tất cả đều giống nhau, chỉ khác nhau về tên thư mục thôi.

Sau khi có firmware, các bạn sử dụng các phần mềm FTP để copy file vào PnetLab, mình sẽ sử dụng Filezilla, các bạn dùng phần mềm nào cũng được, quen dùng app nào thì dùng luôn app đó.

Chọn Site Manager và tạo 1 site mới:

• Protocol là SFTP
• Host nhập IP của Pnetlab vào, của mình IP là 10.0.2.100
• Port các bạn để trống.
• Sau đó nhập tài khoản của PnetLab, mặc định là root, pass là pnet, nếu các bạn đổi pass rồi thì nhập pass mới vào nhé.

Sau khi đã FTP được vào Pnetlab, kích đúp vào dấu / để quay lại thư mục gốc. Sau đó truy cập vào đường dẫn /opt/unetlab/addons/qemu và upload các thư mục vừa tạo lên thư mục qemu này. Các bạn cũng có thể Copy luôn đường dẫn ở trên và paste vào ô Remote Site ở trên để truy cập cho nhanh.

Sau khi upload xong, các bạn fix permission của thiết bị. Để fix thì chúng ta có 2 cách, mình sẽ hướng dẫn các bạn cả 2 cách.

Cách 1 là các bạn SSH vào PnetLab hoặc gõ trực tiếp lệnh bên dưới vào VMWare. Trên VMWare thì không cho copy từ máy thật vào nên các bạn có thể SSH vào để copy paste cho nhanh.

Cách 2 là các bạn vào giao diện web của PnetLab, chọn System > System Setting. Sau đó bấm Fix Permission là xong.

Ok bây giờ quay trở lại Pnetlab các bạn đã có thể add Fortigate để tạo lab được rồi.

Giả lập Fortigate trên PnetLab

Để giả lập Fortigate, các bạn tạo 1 bài lab, kick chuột phải vào trình duyệt web, chọn Node, Sau đó chọn fortinet.

• Number of node to add là số lượng firewall sẽ tạo, nếu các bạn cần tạo 2 firewall giống nhau để cấu hình HA chẳng hạn thì chúng ta nhập 2 ở đây cho nhanh.
• Image sẽ cho chúng ta chọn phiên bản, bất cứ thư mục nào có tên là fortinet- thì sẽ hiển thị ở đây, các bạn chọn phiên bản tương ứng là được. Nếu có đủ ổ cứng thì các bạn có thể tạo bao nhiêu phiên bản firmware cũng được.
• Icon thì các bạn có thể thay đổi icon mình thích hoặc có thể upload các ảnh png mà các bạn tự thiết kế cho đẹp.

• CPU và RAM thì các bạn tùy chỉnh theo cấu hình của máy.
• Console thì các bạn để telnet, Các bạn có thể sử dụng HTTPS cũng được nhưng chúng ta sẽ cần cài thêm Chrome, mà mình thấy nó cũng hơi lag, nên mình hay sử dụng telnet để đặt IP rồi truy cập từ máy tính vào cho mượt.
• Mục Ethernet là số cổng trên firewall, các bạn cần bao nhiêu cổng để dựng mô hình thì nhập bấy nhiêu vào, mặc định là 4.

Chọn Save. Sau đó kích chuột phải, chọn Start để bật thiết bị.

Pnetlab cho phép chúng ta tạo các network để kết nối ra bên ngoài. Các bạn kích chuột phải vào trình duyệt, chọn Network. Ở ô Type các bạn chọn card tương ứng với card mạng add trong vmware. Như PnetLab của mình đang add 2 card mạng với Network Adapter là NAT và Network Adapter 2 là Bridge, thì card NAT tương ứng sẽ là Management(Cloud0), Bridge là Cloud1, tương tự nếu có nhiều card mạng hơn trong VMWare thì sẽ tương ứng là 2,3,4. Các bạn nối với network nào trên VMWare thì sẽ đặt IP trên Fortigate tương ứng với dải mạng đó là chúng ta có thể truy cập vào Fortigate từ máy tính.

Ở đây mình sẽ chọn là Management(Cloud0) để nối fortigate này ra switch NAT trên VMWare. Sau đó nối Cloud0 này vào Fortigate, port nào cũng được.

Các bạn kích chuột vào Fortigate để console vào thiết bị. Trong bài viết trước mình đã hướng dẫn các bạn thay đổi phần mềm console, các bạn có thể tham khảo nhé. Đăng nhập với tài khoản mặc định là admin, password để trống. Fortigate sẽ yêu cầu chúng ta đổi password, các bạn nhập pass mới vào.

Sau đó các bạn cấu hình IP cho cổng vừa nối ra, như của mình là port 1, và bật truy cập HTTPS lên. Do ở trên mình nối port1 ra Cloud0, tương ứng với card NAT trên VMWare, do vậy mình cần đặt IP thuộc dải NAT trên VMWare. Các bạn đặt IP tương tự cho mô hình của mình nhé.

Bây giờ quay trở lại trình duyệt web trên máy tính thì các bạn có thể truy cập vào giao diện web của firewall rồi bằng địa chỉ IP vừa đặt rồi. Các bạn chỉ cần add thêm các thiết bị tương ứng để xây dựng mô hình hoàn chỉnh.

Chúc các bạn thành công!