Cách bỏ qua bước đăng ký Forticare khi vào Fortigate

Chắc hẳn nhiều anh em kỹ thuật khi triển khai các dòng Firewall Fortigate chạy phiên bản FortiOS 7.2.11 trở lên đều gặp phải một tình huống khá phiền toái: Đó là hệ thống bắt buộc chúng ta phải đăng ký tài khoản FortiCare ngay sau khi đăng nhập vào giao diện GUI thì mới có thể tiếp tục cấu hình. Điều này cực kỳ bất tiện nếu thiết bị của bạn chưa có internet hoặc các bạn đang triển khai trong môi trường Lab.

Trong bài viết này, mình sẽ hướng dẫn các bạn cách bypass hoặc cấu hình để có thể đăng ký được FortiCare cho thiết bị Firewall Fortigate.

Cùng bắt đầu nhé!

Tổng quan về vấn đề

Đối với các Firewall Fortigate mới sử dụng các phiên bản FortiOS từ 7.2.11 trở lên, khi đăng nhập lần đầu tiên, Fortigate sẽ chuyển hướng đến trang đăng ký firewall với Forticare. Chúng ta bắt buộc phải đăng ký xong Forticare thì mới có thể truy cập được vào giao diện web của Firewall.

Tuy nhiên lúc này sẽ phát sinh vấn đề rất quan trọng, đó là khi kết nối Forticare thành công, thì toàn bộ license cho Firewall cũng sẽ được Active. License này bao gồm license bảo hành nếu các bạn chỉ mua Firewall cơ bản, hoặc các gói subscription như lọc app, lọc web… nếu các bạn mua firewall Bundle, ví dụ các mã sản phẩm là FG-60F-BDL-950-12. Ngày bắt đầu tính thời hạn của license sẽ là ngày mà các bạn kết nối FortiCare thành công.

Nếu trong trường hợp Firewall đã được bàn giao cho khách hàng, và các bạn cấu hình để firewall hoạt động luôn thì không vấn đề gì. Tuy nhiên nếu các bạn lấy firewall làm labs, hoặc 1 số dự án các bạn cấu hình trước, nhưng chưa bàn giao, thì việc kết nối Forticare có thể khiến license bị trôi.

Ví dụ, Firewall cung cấp cho khách hàng với license 1 năm. Các bạn cấu hình trước và đã đăng ký FortiCare để truy cập vào giao diện web thành công, nghĩa là toàn bộ license đã được active. Nhưng 1 tháng sau các bạn mới bàn giao, nghiệm thu với khách hàng, thì lúc này license đã bị trôi mất 1 tháng, với khách hàng chỉ còn 11 tháng sử dụng.

Do vậy các bạn cần cân nhắc kỹ xem có nên cấu hình Forticare ở thời điểm hiện tại hay không, hay sẽ bypass để truy cập vào giao diện WebUI trước.

Mình sẽ hướng dẫn chi tiết từng trường hợp.

Option 1: Bypass bước đăng ký FortiCare

Nếu các bạn chỉ sử dụng firewall để labs, test, hoặc firewall chúng ta chưa bàn giao với khách hàng, thì chúng ta nên bypass bước đăng ký FortiCare để tránh bị trôi mất License.

Để Bypass Forticare, bắt buộc chúng ta phải có cáp console.

Một số mã Firewall mặc định có cable loại RJ45-USB đi kèm, các bạn có thể tìm trong thùng sản phẩm và sử dụng. Thông thường chỉ có các dòng firewall Mid-Range (Campus) như các dòng FG-200F, FG-200G hoặc FG-120G trở lên thì mới có dây console đi kèm, còn các dòng firewall thấp hơn, từ FG-100F, FG-90G trở xuống thì sẽ không có dây console đi kèm.

Nếu trong thùng không có dây console thì các bạn sẽ cần tìm mua ở các cửa hàng bán đồ về mạng.

Sau khi có dây console, các bạn sẽ cắm cổng RJ45 trên dây console vào cổng có ghi chữ CONSOLE trên firewall, còn đầu USB thì các bạn cắm vào máy tính.

Sau đó vào Device Manage để kiểm tra cổng COM của dây Console. Device Manage thì có nhiều cách để truy cập.

Các bạn có thể search cụm từ Device Manage trong menu Start

Hoặc vào kích chuột phải vào This PC trong Windows Explorer, chọn show more options

Chọn Manage

Chọn Device Manager

Tìm phần Port (COM & LPT)

Nếu cáp console kết nối thành công, thì các bạn sẽ thấy cổng COM ở đây. Tuy nhiên nhiều máy tính chưa có driver thì cổng COM có thể xuất hiện ở các mục khác. Các bạn xem phần nào có chữ serial mà ở đầu có biểu tượng ?, thì đó là cổng COM cho console nhưng chưa có driver. Các bạn kích chuột phải vào thiết bị đó

Chọn Update driver

Chọn Search automatically for drivers để windows cài đặt driver cho dây console.

Nếu không được thì các bạn cần liên hệ bên bán dây console để họ hỗ trợ, hoặc tìm driver trên mạng theo tên dây console hiển thị ở đây, download về và cài đặt offline.

Sau khi nhận xong cable Console, các bạn tải các phần mềm Terminal như xshell, putty, mobaxterm, secureCRT về, tuỳ vào nhu cầu. Nếu dùng ít thì các bạn nên dùng putty vì nó nhẹ và không cần bản quyền hay crack.

Mở phần mềm putty lên

Connection type chọn Serial, sau đó nhập cổng COM cho dây console vào. Cổng COM này các bạn sẽ xem trong Device Manager ở bước trước.

Speed mặc định của Forrtigate là 9600.

Nhấn Open

Như vậy là các bạn đã truy cập được vào giao diện dòng lệnh của Fortigate.

Tiếp theo chúng ta sẽ cần khởi động lại Firewall. Các bạn có thể rút dây nguồn ra cắm lại, hoặc đăng nhập vào Firewall, sau đó gõ lệnh execute reboot để khởi động lại.

Khi firewall khởi động, các bạn cần để ý trên màn hình Putty, khi nào hiện dòng chữ Press any key to display configuration menu thì các bạn nhấn phím bất kỳ trên máy tính để truy cập vào giao diện cấu hình BIOS của Fortigate.

Ở menu đầu tiên, nhấn phím I để truy cập vào menu System configuration and information.

Trong menu tiếp theo, nhấn phím C để truy cập vào menu Set FortiCare registration.

Ở đây sẽ có 2 tuỳ chọn, chọn phím 1 là Not Enforce để bỏ qua yêu cầu đăng ký FortiCare, còn phím 2 là Enforce để bắt buộc phải đăng ký FortiCare thì mới truy cập được giao diện web. Các bạn nhấn phím 1 để bỏ qua.

Sau đó nhấn phím Q để thoát khỏi menu cấu hình BIOS và tiếp tục khởi động vào FortiOS.

Sau khi Firewall khởi động xong, các bạn đăng nhập vào giao diện web của firewall bằng IP như bình thường.

Mình thấy sau khi bypass xong thì vẫn có 2 trường hợp. Một là các bạn sẽ truy cập thẳng vào Firewall mà không gặp màn hình đăng ký FortiCare, các bạn cấu hình firewall bình thường.

Hai là firewall vẫn chuyển hướng đến trang đăng ký FortiCare như lúc đầu, tuy nhiên lúc này nút Logout bên dưới đã chuyển thành Later, các bạn chọn Later là có thể truy cập vào Firewall mà không cần đăng ký FortiCare.

Tuy nhiên sau khi Bypass xong thì các bạn không kết nối Internet vào Firewall để tránh firewall Active License. Chỉ cần Firewall có kết nối Internet thì license cũng sẽ tự động active. Chúng ta chỉ kết nối Internet khi đã bàn giao thiết bị xong, hoặc trao đổi trước với khách hàng để tránh các tình huống không mong muốn.

Option 2: Đăng ký FortiCare để truy cập và WebUI

Trong trường hợp Firewall của các bạn đã bàn giao xong và triển khai vào môi trường thực tế, thì các bạn có thể cấu hình luôn FortiCare để active license.

Mình sẽ chia ra thành 3 bước.

Bước 1 là cấu hình Internet cho firewall, vì để đăng ký FortiCare thì firewall phải có Internet và có DNS để phân giải tên miền.

Bước 2 thì chúng ta cần có 1 tài khoản Forticloud để quản lý Firewall và license. Tài khoản này chính là tài khoản yêu cầu trên Firewall.

Bước 3 là chúng ta cấu hình thông tin FortiCare trên firewall để active license và truy cập vào giao diện web của firewall

Bước 1: Cấu hình Internet cho Firewall

Đối với các dòng firewall cỡ nhỏ, thường là các dòng từ FG-100F trở xuống, trên Firewall mặc định sẽ có các cổng WAN, ghi label là wan1 và wan2. Các cổng này mặc định được cấu hình ở chế độ DHCP Client, nên khi các bạn cắm dây mạng có Internet vào, thì firewall sẽ nhận đủ thông tin IP mà DHCP Server của các bạn cấp xuống và truy cập được Internet bình thường như khi kết nối dây mạng này vào máy tính. Khi đó Firewall có thể cấu hình luôn FortiCare.

Đối với các dòng firewall to như dòng 200F, 200G trở lên, các dòng này không có cổng WAN mặc định, tất cả các cổng đều được gán trong 1 Internal Interface. Do vậy các dòng này sẽ không có cổng nào có thể kết nối Internet mặc định. Nếu sử dụng các mã này, các bạn sẽ có 2 tuỳ chọn, 1 là sử dụng dây console và cấu hình bypass Forticare để cấu hình sau như hướng dẫn trên, 2 là các bạn có thể SSH hoặc Console vào Firewall rồi cấu hình bằng dòng lệnh. Chúng ta chỉ cần cấu hình tạm thời để Firewall có thể ra được Internet thôi, còn cấu hình cụ thể thì chúng ta sẽ làm sau. Cấu hình Internet cho firewall bằng CLI cũng khá phức tạp với những người chưa quen CLI của Fortigate, nên trong trường hợp có dây console thì các bạn nên bypass Forticare cho đơn giản, còn nếu không có dây console thì các bạn sẽ cần SSH vào.

Ví dụ mình sẽ cấu hình port1 nhận IP qua DHCP Server tương tự như với cổng WAN mặc định của các firewall cỡ nhỏ.

Đầu tiên chúng ta cần xác định xem tên cổng logic chính xác của firewall là gì. Các bạn có thể kiểm tra bằng lệnh get system interface hoặc .

Thông thường với các dòng 200G, 200F trở lên thì virtual-switch sẽ là LAN, còn với dòng bé có cổng wan thì sẽ là internal, các bạn nên kiểm tra cụ thể trên thiết bị của mình.

Vì cổng 1 mặc định sẽ là member của internal Interface, do vậy các bạn sẽ cần phải xoá port1 trước.

Các bạn vào config system interface

Gõ lệnh edit, phía sau là tên virtual-switch, trên firewall của mình là LAN.

Gõ lệnh config port để chỉnh sửa member.

Xoá port1 khỏi virtual-switch bằng lệnh delete port1

Gõ lệnh end để thoát ra và áp dụng cấu hình.

Tiếp theo chúng ta sẽ cấu hình cổng 1 về mode DHCP để nhận IP động từ hệ thống mạng hiện tại.

Các bạn gõ lệnh config system interface.

Edit port1

Cấu hình về DHCP bằng lệnh set mode dhcp

Các bạn có thể bật thêm ping, https, ssh để kiểm tra kết nối bằng lệnh set allowaccess ping https ssh.

Gõ end để thoát và áp dụng cấu hình.

Sau đó cấu hình DNS để firewall có thể phân giải được các tên miền. Port1 khi nhận IP qua DHCP Server thì nó sẽ nhận đủ cả các thông tin như DNS và gateway. Nên phần này các bạn có thể bỏ qua. Trong trường hợp sau khi firewall nhận IP rồi mà vẫn không ping được domain, thì các bạn có thể cấu hình lại.

Gõ lệnh config system dns

DNS Server thì tuỳ các bạn, mình sẽ sử dụng DNS của google. Các bạn cấu hình bằng lệnh set primary 8.8.8.8

Và set secondary 8.8.4.4

Gõ lệnh end để áp dụng và thoát ra.

Sau khi cấu hình xong thì chúng ta sẽ thử ping đến các domain để kiểm tra, khi Firewall có thể ping được domain thì chúng ta mới cấu hình được Forticare. Mình sẽ ping thử ra domain google.com.

Ping OK. Như vậy là mình có thể tiếp tục cấu hình FortiCare.

Bước 2: Đăng ký tài khoản FortiCloud

Tiếp theo, các bạn sẽ cần phải có 1 tài khoản Forticloud. Để đăng ký thì các bạn chỉ cần truy cập vào link forticloud.com, sau đó tạo 1 tài khoản là xong. CNTTShop đã có bài viết và video hướng dẫn, nên mình sẽ không hướng dẫn lại nữa. Nếu các bạn gặp khó khăn trong việc đăng ký, thì các bạn có thể tham khảo bài viết này trên website của CNTTShop nhé.

Bước 3: Đăng ký firewall với FortiCare

Sau khi có tài khoản, các bạn quay lại giao diện web của Firewall

Nhập tài khoản Forticloud vừa đăng ký vào phần Email và password.

Country các bạn chọn Việt Nam

Reseller chọn unknow

Nhấn OK,

Sau đó chờ cho firewall kết nối với Forticloud là xong. Sau khi register xong với Forticloud thì các bạn có thể truy cập vào giao diện web của firewall bình thường. Lúc này thì các license đã mua kèm firewall cũng sẽ được active và bắt đầu tính ngày.

Kết luận

Vừa rồi mình đã hướng dẫn các bạn các bước xử lý nhanh để bỏ qua phần đăng ký FortiCare bắt buộc trên các dòng FortiGate chạy OS 7.2.11. Hy vọng thủ thuật nhỏ này sẽ giúp ích cho anh em kỹ thuật tiết kiệm thời gian hơn trong quá trình triển khai thiết bị tại hiện trường hoặc trong môi trường Lab.

Nếu các bạn thấy video này hữu ích, đừng quên nhấn Like, Share và Đăng ký kênh YouTube của CNTTShop để không bỏ lỡ những video hướng dẫn kỹ thuật mới nhất về hạ tầng mạng và bảo mật.

Bên cạnh các video hướng dẫn, CNTTShop cũng là đơn vị phân phối chính hãng các dòng thiết bị Fortinet với chính sách hỗ trợ kỹ thuật 24/7. Nếu các bạn đang có nhu cầu tư vấn thiết bị hoặc cần hỗ trợ chuyên sâu hơn về cấu hình, hãy liên hệ ngay với đội ngũ của chúng mình qua số Hotline 0906051599 hoặc truy cập website cnttshop.vn để được hỗ trợ nhanh nhất.

Cảm ơn các bạn đã theo dõi video, xin chào và hẹn gặp lại trong các video tiếp theo!