Hướng dẫn cài đặt lại OS cho Fortigate, Restore Image Fortigate

Trong bài viết này, mình sẽ hướng dẫn các bạn cài đặt lại firmware cho firewall Fortigate.

Mô tả vấn đề

Trong quá trình vận hành, vì 1 lý do gì đó như file OS bị lỗi, format nhầm boot device, hoặc bị lỗi trong quá trình upgrade firmware thì firewall sẽ không boot được. Lúc này trên firewall chỉ có đèn power là sáng màu xanh, còn các đèn khác đều tắt.

Trong các trường hợp này thì chúng ta cần phải cài lại firmware cho firewall. Tất nhiên là sẽ có nhiều trường hợp khác nhau có cùng trạng thái đèn. Nên nếu như các bạn chỉ thấy đèn Power sáng màu xanh, còn đèn status đang tắt thì nghĩa là firewall chưa khởi động được vào OS, còn phần cứng thì vẫn hoạt động bình thường. Nếu đèn Power mà sáng màu cam thì chúng ta cần kiểm tra lại nguồn hoặc có lỗi phần cứng. Trong tất cả các trường hợp này thì chúng ta đều cần có dây console để truy cập vào kiểm tra.

Chuẩn bị

Kết nối dây Console và Firewall

Ở phía trước của Firewall có 1 cổng ghi chữ console (như ảnh phía trên), đa số các firewall Fortigate đều sử dụng cổng console là cổng RJ45, do vậy các bạn có thể mua các cable console loại đầu RJ45 nhé. Cable này hầu hết các cửa hàng bán về đồ mạng đều có, nếu chưa có thì các bạn có thể ra các cửa hàng này để tìm mua. Có 2 loại cable đầu RJ45 chính, 1 loại 1 đầu USB, 1 đầu RJ45. Còn 1 loại 1 đầu RJ45, 1 đầu RS232 như hình phía dưới, thì các bạn cần mua thêm cable chuyển đổi từ RS232 sang USB để cắm vào máy tính nhé.

Đầu RJ45 các bạn cắm vào cổng có ghi chữ Console trên Firewall, còn đầu USB cắm vào laptop. Sau khi cắm cable console, các bạn vào máy tính để kiểm tra xem máy tính đã nhận console chưa.

Vào Device Manager, và tìm mục Ports (COM & LPT).

Như của mình laptop đang nhận là cổng COM4. Có 1 số máy tính sẽ có thêm các cổng COM khác ở đây, các bạn cần tìm đúng loại cổng COM của cable console nhé. Để chắc chắn không nhầm lẫn thì các bạn có thể rút cable console trên laptop ra, cổng COM nào mất thì đó là cổng COM của cable Console.

Nếu máy tính các bạn cắm lần đầu thì có thể cổng COM sẽ không hiển thị ở đây do chưa có driver, lúc này sẽ xuất hiện 1 hardware có biểu tượng dấu ?, các bạn cần download driver theo loại cable đã mua, hoặc sử dụng windows update để cài nhé.

Sau khi xác định xong cổng COM, các bạn sử dụng phần mềm console để truy cập vào thiết bị. Có khá nhiều loại phần mềm console như Putty, SecureCRT, MobaXterm. Các phần mềm SecureCRT, MobaXterm thì cần crack nên cài cũng mất nhiều thời gian, nên nếu các bạn ít sử dụng console thì có thể sử dụng phần mềm Putty. Phần mềm này miễn phí và dung lượng cũng chỉ có 1M thôi, các bạn có thể lên mạng download bản portable về là sử dụng được ngay. Mở phần mềm Putty lên.

• Trong mục Connection Type, chọn loại là Serial.
• Sau đó nhập cổng COM vào, của mình máy tính đang nhận là COM4.
• Speed thì các bạn để mặc định là 9600.
• Nhấn Open

Sau khi vào console thì các bạn có thể xem được nguyên nhân firewall không khởi động được lên, có nhiều trường hợp và nhiều loại thông báo lỗi khác nhau liên quan đến Firmware. Như trong trường hợp của mình thì firewall đang báo không có file firmware do bị format mất, nên mình sẽ cần phải cài đặt lại firmware cho thiết bị.

Download Firmware Fortigate

Để cài lại firmware thì các bạn cần phải có file firmware. Tuy nhiên để download được firmware thì các bạn cần phải có 1 thiết bị còn bảo hành, khi đó chúng ta có thể lấy serial này để đăng ký 1 tài khoản và download.

Việc đăng ký và download thì mình cũng đã có video hướng dẫn rồi. Nếu có thiết bị còn bảo hành thì các bạn có thể tham khảo video này để tạo tài khoản và add thêm thiết bị vào để download nhé: https://youtu.be/-xhms2vC5Ts

Trong video này thì mình hướng dẫn rất chi tiết cách đăng ký tài khoản, add thiết bị vào forticloud và download, các bạn tham khảo nhé.

Nếu thiết bị đã hết bảo hành hoặc không tạo được tài khoản, thì các bạn có thể để lại comment bên dưới bao gồm version và loại thiết bị nhé, mình sẽ download về và up lên cho các bạn.

Cài đặt phần mềm TFTP Server

Sau khi đã có file firmware, chúng ta cần cài thêm 1 TFTP Server do Fortigate chỉ hỗ trợ qua TFTP.

TFTP thì các bạn có thể sử dụng phần mềm TFPTD32, hoặc Solarwinds TFTP Server cũng được nhé. Hai phần mềm này đều miễn phí và cài đặt cũng dễ, các bạn có thể download trên mạng nhé. Hoặc các bạn có thể download trực tiếp tại đây: Solarwinds TFTP Server, TFTPD32.

Mình sẽ sử dụng Solarwinds TFTP. Sau khi cài xong thì trên máy tính sẽ có 1 phần mềm là TFTP server, các bạn tìm kiếm từ khóa TFTP và mở phần mềm lên. Vào menu File > Configure.

Sau đó chỉnh đường dẫn của thư mục root về thư mục chứa firmware mà các bạn vừa down về, hoặc các bạn có thể copy file firmware vào thư mục đang hiển thị ở đây cũng được.

• ---

  Các bạn cần tắt hết phần mềm diệt virút và firewall trên máy tính nhé do mặc định thì cả 2 đều chặn TFTP. Hoặc nếu không muốn tắt thì các bạn có thể tạo 1 rule cho phép port UDP 69 là được.

  ---

   

Kết nối mạng giữa Laptop và Firewall

Cuối cùng là kết nối dây mạng giữa firewall và laptop. Các bạn sử dụng 1 dây mạng để kết nối từ cổng MGMT trên firewall vào laptop. Lưu ý là các bạn cần kết nối đúng cổng mạng có ghi chữ MGMT trên Firewall nhé.

Trên laptop các bạn đặt IP tĩnh cho cổng mạng nối sang Firewall, IP này sẽ là IP của TFTP server luôn, mình sẽ đặt IP là 10.0.0.10, các bạn sử dụng IP không trùng với dải mạng mà mình đang có nhé.

Restore Firmware cho Fortigate

Sau khi hoàn tất các bước chuẩn bị, các bạn quay lại phần mềm putty, chờ đến khi trên console hiển thị lại dòng press any key to display configuration menu thì nhấn phím bất kỳ trên bàn phím. Chúng ta sẽ truy cập được vào menu boot của Fortigate.

Trong menu này thì chúng ta cần thiết lập các thông số TFTP để copy file vào firewall. Đầu tiên các bạn nhấn phím C để cài đặt thông số TFTP.

Có khá nhiều các thông số cho TFTP, tuy nhiên nếu Laptop đang kết nối mạng trực tiếp với Fortigate thì các bạn cần cấu hình các thông số như: Port, IP address, Subnetmask, IP của TFTP server (chính là IP của laptop), tên file Firmware. Còn nếu các bạn kết nối Firewall với 1 switch khác VLAN, thì cần cấu hình thêm thông số Gateway và VLAN ID.

Nhấn phím P để chọn port sử dụng cho TFTP. Nhấn phím 0 để chọn cổng MGMT, Fortigate cũng chỉ hỗ trợ cổng này thôi, và vừa nãy chúng ta cũng đã kết nối dây mạng vào cổng MGMT rồi.

Nhấn phím D, sau đó nhấn số 2 để chuyển IP mode sang Static.

Nhấn phím I để đặt IP cho cổng MGMT, IP này cùng dải với IP mà các bạn vừa cấu hình trên máy tính nhé, mình sẽ đặt IP là 10.0.0.100.

Nhấn phím S để cài subnetmask, mặc định là /24, các bạn có thể thay đổi theo cấu hình mạng của mình.

Do laptop đang kết nối trực tiếp vào firewall nên các bạn có thể bỏ qua phần gateway và VLAN

Nhấn phím T để cài đặt IP của TFTP Server, IP này chính là IP của laptop do chúng ta đang cài đặt phần mềm TFTP server trên laptop của mình.

Nhấn phím F để nhập tên firmware, tên firmware thì các bạn có thể đổi cho dễ gõ, hoặc copy filename vào cũng được. Để dán nội dung vào các bạn chỉ cần kích chuột phải là được.

Sau khi cài hết các thông số cần thiết, các bạn có thể cài đặt luôn, hoặc nhấn phím R để xem lại các thông số mà các bạn đã thiết lập. Đây là các thông số mà các bạn vừa thiết lập cho TFTP.

Hoặc các bạn có thể bấm phím N, sau đó bấm phím 1 để ping đến IP của laptop để kiểm tra kết nối mạng. Thiết bị báo host alive là phần kết nối mạng đã thông.

Nhấn phím Q để quay lại menu trước, nhấn tiếp phím Q để ra menu đầu tiên. Để xem nội dung menu hiện tại các bạn có thể nhấn phím H.

Đây là menu đầu tiên, phần cấu hình TFTP đã OK thì các bạn nhấn phím T để firewall tiến hành copy firmware vào và cài đặt. Trên màn hình console hiển thị dấu # chạy là OK, còn không thì các bạn cần kiểm tra lại các cấu hình phía trên.

Nhấn phím D để cài đặt firmware lại thành default, sau đó nhấn phím Y để tiến hành cài đặt.

Các bạn chỉ cần chờ đến khi quá trình này xong là chúng ta có thể truy cập được vào firewall.

Truy cập vào giao diện web của Fortigate

Đăng nhập vào firewall với tài khoản mặc định là admin, password để trống. Sau đó nhập password mới cho Fortigate.

Các bạn sử dụng lệnh get system interface để xem IP hiện tại của firewall. IP mặc định của Fortigate trên cổng MGMT sẽ là 192.168.1.99.

Các bạn đổi IP trên laptop về IP cùng dải này là chúng ta có thể truy cập được vào giao diện web của firewall qua IP mặc định là 192.168.1.99.

Ok Như vậy là mình đã hướng dẫn bạn cài đặt lại firmware cho firewall Fortigate. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công!