Cách bỏ qua bước đăng ký Forticare khi vào Fortigate

Chắc hẳn nhiều anh em kỹ thuật khi triển khai các dòng Firewall Fortigate chạy phiên bản FortiOS 7.2.11 trở lên đều gặp phải một tình huống khá phiền toái: Đó là hệ thống bắt buộc chúng ta phải đăng ký tài khoản FortiCare ngay sau khi đăng nhập vào giao diện GUI thì mới có thể tiếp tục cấu hình. Điều này cực kỳ bất tiện nếu thiết bị của bạn chưa có internet hoặc các bạn đang triển khai trong môi trường Lab.

Trong bài viết này, mình sẽ hướng dẫn các bạn cách bypass hoặc cấu hình để có thể đăng ký được FortiCare cho thiết bị Firewall Fortigate.

Cùng bắt đầu nhé!

Tổng quan về vấn đề

Đối với các Firewall Fortigate mới sử dụng các phiên bản FortiOS từ 7.2.11 trở lên, khi đăng nhập lần đầu tiên, Fortigate sẽ chuyển hướng đến trang đăng ký firewall với Forticare. Chúng ta bắt buộc phải đăng ký xong Forticare thì mới có thể truy cập được vào giao diện web của Firewall.

Tuy nhiên lúc này sẽ phát sinh vấn đề rất quan trọng, đó là khi kết nối Forticare thành công, thì toàn bộ license cho Firewall cũng sẽ được Active. License này bao gồm license bảo hành nếu các bạn chỉ mua Firewall cơ bản, hoặc các gói subscription như lọc app, lọc web… nếu các bạn mua firewall Bundle, ví dụ các mã sản phẩm là FG-60F-BDL-950-12. Ngày bắt đầu tính thời hạn của license sẽ là ngày mà các bạn kết nối FortiCare thành công.

Nếu trong trường hợp Firewall đã được bàn giao cho khách hàng, và các bạn cấu hình để firewall hoạt động luôn thì không vấn đề gì. Tuy nhiên nếu các bạn lấy firewall làm labs, hoặc 1 số dự án các bạn cấu hình trước, nhưng chưa bàn giao, thì việc kết nối Forticare có thể khiến license bị trôi.

Ví dụ, Firewall cung cấp cho khách hàng với license 1 năm. Các bạn cấu hình trước và đã đăng ký FortiCare để truy cập vào giao diện web thành công, nghĩa là toàn bộ license đã được active. Nhưng 1 tháng sau các bạn mới bàn giao, nghiệm thu với khách hàng, thì lúc này license đã bị trôi mất 1 tháng, với khách hàng chỉ còn 11 tháng sử dụng.

Do vậy các bạn cần cân nhắc kỹ xem có nên cấu hình Forticare ở thời điểm hiện tại hay không, hay sẽ bypass để truy cập vào giao diện WebUI trước.

Mình sẽ hướng dẫn chi tiết từng trường hợp.

Option 1: Bypass bước đăng ký FortiCare

Nếu các bạn chỉ sử dụng firewall để labs, test, hoặc firewall chúng ta chưa bàn giao với khách hàng, thì chúng ta nên bypass bước đăng ký FortiCare để tránh bị trôi mất License.

Để Bypass Forticare, bắt buộc chúng ta phải có cáp console.

Một số mã Firewall mặc định có cable loại RJ45-USB đi kèm, các bạn có thể tìm trong thùng sản phẩm và sử dụng. Thông thường chỉ có các dòng firewall Mid-Range (Campus) như các dòng FG-200F, FG-200G hoặc FG-120G trở lên thì mới có dây console đi kèm, còn các dòng firewall thấp hơn, từ FG-100F, FG-90G trở xuống thì sẽ không có dây console đi kèm.

Nếu trong thùng không có dây console thì các bạn sẽ cần tìm mua ở các cửa hàng bán đồ về mạng. Dây Console thường sẽ có 2 loại, 1 loại RJ45-USB, 1 loại RJ45-RS232, với loại RJ45-RS232 thì chúng ta sẽ cần mua thêm đầu chuyển RS232-USB để sử dụng.

Sau khi có dây console, các bạn sẽ cắm cổng RJ45 trên dây console vào cổng có ghi chữ CONSOLE trên firewall, còn đầu USB thì các bạn cắm vào máy tính.

Sau đó vào Device Manage để kiểm tra cổng COM của dây Console, cổng COM này sẽ được sử dụng để truy cập vào Firewall. Trong Device Manager, tìm phần Port (COM & LPT).

Nếu cáp console kết nối thành công, thì các bạn sẽ thấy cổng COM ở đây. Tuy nhiên nhiều máy tính chưa có driver thì cổng COM có thể xuất hiện ở các mục khác. Các bạn xem phần nào có chữ serial mà ở đầu có biểu tượng ?, thì đó là cổng COM cho console nhưng chưa có driver. Các bạn cần tìm Driver theo loại cable console đang sử dụng để cài đặt. Với 1 số dây console phổ biến như dây đi kèm firewall, thì các bạn chỉ cần kích chuột phải vào device, chọn Update Driver là được

Sau khi nhận xong cable Console, các bạn tải các phần mềm Terminal như xshell, putty, mobaXterm, secureCRT về, tuỳ vào nhu cầu. Nếu dùng ít thì các bạn nên dùng putty vì nó nhẹ và không cần bản quyền hay crack. Mở phần mềm putty lên:

• Connection type: chọn Serial.
• Sau đó nhập cổng COM cho dây console vào. Cổng COM này các bạn sẽ xem trong Device Manager ở bước trước.
• Speed: mặc định của Forrtigate là 9600.
• Nhấn Open để truy cập vào CLI của Firewall.

Như vậy là các bạn đã truy cập được vào giao diện dòng lệnh của Fortigate.

Tiếp theo chúng ta sẽ cần khởi động lại Firewall. Các bạn có thể rút dây nguồn ra cắm lại, hoặc đăng nhập vào Firewall, sau đó gõ lệnh execute reboot để khởi động lại.

Khi firewall khởi động, các bạn cần để ý trên màn hình Putty, khi nào hiện dòng chữ Press any key to display configuration menu thì các bạn nhấn phím bất kỳ trên máy tính để truy cập vào giao diện cấu hình BIOS của Fortigate.

Ở menu đầu tiên, nhấn phím I để truy cập vào menu System configuration and information.

Trong menu tiếp theo, nhấn phím C để truy cập vào menu Set FortiCare registration.

Ở đây sẽ có 2 tuỳ chọn, chọn phím 1 là Not Enforce để bỏ qua yêu cầu đăng ký FortiCare, còn phím 2 là Enforce để bắt buộc phải đăng ký FortiCare thì mới truy cập được giao diện web. Các bạn nhấn phím 1 để bỏ qua.

Sau đó nhấn phím Q để thoát khỏi menu cấu hình BIOS và tiếp tục khởi động vào FortiOS.

Sau khi Firewall khởi động xong, các bạn đăng nhập vào giao diện web của firewall bằng IP như bình thường.

Mình thấy sau khi bypass xong thì vẫn có 2 trường hợp. Một là các bạn sẽ truy cập thẳng vào Firewall mà không gặp màn hình đăng ký FortiCare, các bạn cấu hình firewall bình thường.

Hai là firewall vẫn chuyển hướng đến trang đăng ký FortiCare như lúc đầu, tuy nhiên lúc này nút Logout bên dưới đã chuyển thành Later, các bạn chọn Later là có thể truy cập vào Firewall mà không cần đăng ký FortiCare.

Tuy nhiên sau khi Bypass xong thì các bạn không kết nối Internet vào Firewall để tránh firewall Active License. Chỉ cần Firewall có kết nối Internet thì license cũng sẽ tự động active. Chúng ta chỉ kết nối Internet khi đã bàn giao thiết bị xong, hoặc trao đổi trước với khách hàng để tránh các tình huống không mong muốn.

Option 2: Đăng ký FortiCare để truy cập và WebUI

Trong trường hợp Firewall của các bạn đã bàn giao xong và có thể triển khai vào môi trường thực tế, thì các bạn có thể cấu hình luôn FortiCare để active license.

Mình sẽ chia ra thành 3 bước:

• Bước 1: cấu hình Internet cho firewall, vì để đăng ký FortiCare thì firewall phải có Internet và có DNS để phân giải tên miền. 
• Bước 2: tạo 1 tài khoản Forticloud để quản lý Firewall và license. Tài khoản này chính là tài khoản yêu cầu trên Firewall.
• Bước 3: cấu hình thông tin FortiCare trên firewall để active license và truy cập vào giao diện web của firewall

Bước 1: Cấu hình Internet cho Firewall

Ở bước này, chúng ta chỉ cấp Internet tạm thời cho Firewall để đăng ký FortiCare, do vậy thì các bạn chưa cần phải đấu nối theo sơ đồ đã quy hoạch. Các bạn chỉ cần cấp 1 link từ hệ thống mạng đang hoạt động vào Firewall để lấy Internet tạm thời cho Firewall. Sau khi đăng ký FortiCare và có thể truy cập vào giao diện web, thì chúng ta mới cấu hình lại theo mô hình đã quy hoạch.

Đối với các dòng firewall cỡ nhỏ, thường là các dòng từ FG-100F trở xuống, trên Firewall mặc định sẽ có các cổng WAN, ghi label là wan1 và wan2. Các cổng này mặc định được cấu hình ở chế độ DHCP Client, nên khi các bạn cắm dây mạng có Internet vào, thì firewall sẽ nhận đủ thông tin IP, Gateway, DNS mà DHCP Server của các bạn cấp xuống và truy cập được Internet bình thường như khi kết nối dây mạng này vào máy tính. Khi đó Firewall có thể cấu hình luôn FortiCare.

Đối với các dòng firewall to như dòng 200F, 200G trở lên, các dòng này không có cổng WAN mặc định, tất cả các cổng đều được gán trong 1 virtual-switch Interface. Do vậy các dòng này sẽ không có cổng nào có thể kết nối Internet mặc định.

Nếu sử dụng các mã này, các bạn sẽ có 2 tuỳ chọn, 1 là sử dụng dây console và cấu hình bypass Forticare để cấu hình sau như hướng dẫn trên, 2 là các bạn có thể SSH hoặc Console vào Firewall rồi cấu hình bằng dòng lệnh. Cấu hình Internet cho firewall bằng CLI cũng khá phức tạp với những người chưa quen CLI của Fortigate, nên trong trường hợp có dây console thì các bạn nên bypass Forticare cho đơn giản, còn nếu không có dây console thì các bạn sẽ cần SSH vào Firewall.

Ví dụ mình sẽ cấu hình port1 nhận IP qua DHCP Server tương tự như với cổng WAN mặc định của các firewall cỡ nhỏ như mô hình bên dưới.

Sau khi kết nối máy tính vào cổng MGMT của Firewall, các bạn có thể sử dụng phần mềm Putty để SSH vào Firewall.

• Connection type: chọn SSH.
• Host Name: Nhập IP của Firewall, IP cổng MGMT mặc định là 192.168.1.99.
• Port: mặc định của SSH là 22.
• Nhấn Open để SSH vào Firewall.

Đầu tiên chúng ta cần xác định xem tên cổng logic chính xác của firewall là gì. Các bạn có thể kiểm tra bằng lệnh get system interface, tìm trong output xem tên các cổng logic.

Thông thường với các dòng 200G, 200F trở lên thì virtual-switch sẽ là lan, còn với dòng bé có cổng wan thì sẽ là internal, các bạn nên kiểm tra cụ thể trên thiết bị của mình.

Mình đang sử dụng FG-200G để hướng dẫn nên cổng virtual-switch của mình sẽ là lan. Cổng 1 mặc định sẽ là member của virtual-switch do vậy mình sẽ cần phải xoá port1 khỏi virtual-switch trước.

Tiếp theo chúng ta sẽ cấu hình cổng 1 về mode DHCP để nhận IP động từ hệ thống mạng hiện tại.

Như vậy là Port1 có thể nhận được IP từ DHCP Server tương tự như các dòng firewall có cổng WAN riêng, và có thể truy cập được Internet. Sau khi kết nối dây mạng vào Port1, các bạn có thể kiểm tra kết nối internet bằng cách ping đến 1 domain bất kỳ.

Nếu Firewall ping được thì các bạn có thể chuyển sang bước tiếp theo. Trong trường hợp sau khi firewall nhận IP rồi mà vẫn không ping được domain, thì các bạn có thể cấu hình thêm DNS cho Firewall.

Bước 2: Đăng ký tài khoản FortiCloud

Sau khi firewall đã có kết nối Internet, các bạn sẽ cần phải có 1 tài khoản Forticloud, tài khoản này dùng để quản trị firewall và các license đi kèm. Để đăng ký thì các bạn chỉ cần truy cập vào link forticloud.com, sau đó tạo 1 tài khoản là xong. CNTTShop đã có bài viết và video hướng dẫn, nên mình sẽ không hướng dẫn lại nữa. Nếu các bạn gặp khó khăn trong việc đăng ký, thì các bạn có thể tham khảo bài viết này trên website của CNTTShop nhé: Đăng ký tài khoản Fortigate Cloud.

Bước 3: Đăng ký firewall với FortiCare

Sau khi có tài khoản, các bạn quay lại giao diện web của Firewall và nhập các thông tin FortiCare:

• Nhập tài khoản Forticloud vừa đăng ký vào phần Email và Password.
• Country: các bạn chọn Việt Nam.
• Reseller: chọn Other hoặc Unknow.
• Nhấn OK để đăng ký Firewall với FortiCare.

Sau đó chờ cho firewall kết nối với Forticloud là xong. Sau khi register xong với Forticloud thì các bạn có thể truy cập vào giao diện web của firewall bình thường. Lúc này thì các license đã mua kèm firewall cũng sẽ được active và bắt đầu tính ngày.

Kết luận

Vừa rồi mình đã hướng dẫn các bạn các bước xử lý nhanh để bỏ qua phần đăng ký FortiCare bắt buộc trên các dòng FortiGate chạy OS 7.2.11 trở lên. Hy vọng thủ thuật nhỏ này sẽ giúp ích cho anh em kỹ thuật tiết kiệm thời gian hơn trong quá trình triển khai thiết bị tại hiện trường hoặc trong môi trường Lab.

Bên cạnh các bài viết hướng dẫn, CNTTShop cũng là đơn vị phân phối chính hãng các dòng Firewall Fortinet với chính sách hỗ trợ kỹ thuật 24/7. Nếu các bạn đang có nhu cầu tư vấn thiết bị hoặc cần hỗ trợ chuyên sâu hơn về cấu hình, hãy liên hệ ngay với đội ngũ của CNTTShop qua số Hotline 0906051599 hoặc truy cập website cnttshop.vn để được hỗ trợ nhanh nhất.