Serielle Schnittstelle per Ethernet ansprechen?

[AcidUncle]

einen Adapter der unter LION funktioniert hatte ich gestern schonmal genannt:

============
Hi,

was ist das für eine Firewall?

Was ich empfehlen kann ist der USB-COM Delock 61460, der funktioniert mit dem Treiber (den bekommst du auf der www-Site von denen) super.
Als Terminal -Emulation entweder zterm/ goserial oder wenn wieder in Finkproject verfügbar das gute alte "minicom"

Greetz,
AcidUncle
============

Gruß nochimmer,
AcidUncle

 

[FrankR]

Wenn es wirklich ernsthaft im professionellem Umfeld läuft wäre ein vernünftiger Terminalserver (Ethernet <-> seriell) der Weg für das OutOfBand Management via seriellem Port. Das ganze ist dann unabhängig vom OS und via ssh/telnet erreichbar. Haben wir im Serverschrank um an Linux Server / Cisco Router, Telefonanlage, u.ä. auch noch ranzukommen, wenn's mal Probleme in der Config gibt und die Teile nicht mehr via Ethernet erreichbar sind.

Wir haben gute Erfahrungen mit den Geräten von Moxa gemacht.

Wenn deine Firewall jetzt nicht mehr auf DB9 werkelt, könnte ich mir auch vorstellen, dass Du das serielle Interface durch herumspielen mit dem Ethernet auf der anderen Seite geschossen hast - wobei ich das auch für unwahrscheinlich halte, da die seriellen Interfaces ja eher robuster sind, könnte mir ehr vorstellen einen Ethernetport zu grillen, wenn da mal 15V von der DB9 Seite kommen ...

 

[FrankR]

Es ist eine Fortigate 100 mit DB9 Anschluss, das Kabel DB9 auf RJ45 war original dabei. Im Büro haben wir das wie gesagt mit DB9-DB9 unter Windows probiert. Es ging nicht. Also entweder ist der COM am sack oder wie drlecter meinte über die Config deaktiviert. Morgen weiß ich nach einem Broadcast auf 192.168.0.0/16 hoffentlcih die IP.

Naja, DB9 - DB9 muss auch nicht unbedingt funktioniert, hier kann es noch sein, dass Du ein Null-Modem Kabel brauchst (oder eben auch nicht) - DB9 bei Deinem Gerät etwas "eigen" zusammengelötet ist usw.

 

[Slashwalker]

Na super, bei einem ping auf 192.168.255.255 antwortet sie nicht

 

[drlecter]

Na super, bei einem ping auf 192.168.255.255 antwortet sie nicht

Was sagt denn eure interne Doku zu dem Gerät? Existiert noch irgendwo eine alte config? Wenn du dir sicher bist, dass das Mgnt. im 192.168.x Bereich ist, dann muss du vielleicht mal den kompletten Bereich mittels z.B. nmap scannen. Villeicht ist der ping reply einfach abgeschaltet.
Ach Port 443 sollte reichen, da das Dingen wohl auf https reagiert.

 

[Slashwalker]

Es gibt keine interne Doku, das ist meine private FW für daheim Werd es mal mit nmap versuchen. IP müsste zu 99% im 192.168. Bereich liegen.

 

[drlecter]

Dann viel Glück. Vielleicht gibt es ja noch Infos drüber, bei dem von wo du das Gerät her hast. Vielleicht hilft auch ein Servicemanual vom Hersteller selber.

 

[Slashwalker]

Also ich hab jetzt nmap durch, kein Erfolg.
nmap -p80,443 -sS -n 192.168.0-255.0-255
Liefert nur den Netgear auf 192.168.0.1:80

Das Manual hab ich als PDF. Dort steht auch nur das man eben Factoryreset entweder über das Webinterface oder den COM Port durchführen kann.

 

[monkTON]

wie genau bist Du vorgegangen? Wenn Du Deinen Netgear Router siehst via nmap hast Du sicher die Fortinet mit einem Anschluß in Dein LAN gehangen. Du mußt das "Internal" Interface der Firewall verbinden (nicht DMZ und nicht External)

Ich würde es allerdings so einfach wie mgl halten: Du konfigurierst auf dem Ethernet Interface Deines Mac eine feste IP im 192.168.0.0/16 Netz und Du verbindest ihn mit einem Kreuzkabel direkt mit der Fortinet. und startest dann nmap.

Mir ist letztlich aber nicht klar, wie Dich das weiterbringt: Ohne Doku, insbesondere ohne Passwort kann man meines Wissens kein factory reset initiieren. Irgendwoher muss die FW ja stammen. Und derjenige sollte Dir auch die nötigen Infos liefern können.

Good Luck!

PS: Default Werte laut QuickStart Guide kennst Du?
Wenn das Ding im Transparent mode lief kann die mgmt IP möglicherweise die 10.10.10.1 sein, oder sonstwas...

Factory default settings
1) NAT/Route mode
Internal interface: 192.168.1.99
External interface: 192.168.100.99
DMZ interface 10.10.10.1
2) Transparent mode
Management IP: 10.10.10.1
Administrative account settings
User name admin
Password (none)

 

[Slashwalker]

wie genau bist Du vorgegangen? Wenn Du Deinen Netgear Router siehst via nmap hast Du sicher die Fortinet mit einem Anschluß in Dein LAN gehangen. Du mußt das "Internal" Interface der Firewall verbinden (nicht DMZ und nicht External)

Ich würde es allerdings so einfach wie mgl halten: Du konfigurierst auf dem Ethernet Interface Deines Mac eine feste IP im 192.168.0.0/16 Netz und Du verbindest ihn mit einem Kreuzkabel direkt mit der Fortinet. und startest dann nmap.

Mir ist letztlich aber nicht klar, wie Dich das weiterbringt: Ohne Doku, insbesondere ohne Passwort kann man meines Wissens kein factory reset initiieren. Irgendwoher muss die FW ja stammen. Und derjenige sollte Dir auch die nötigen Infos liefern können.

Good Luck!

PS: Default Werte laut QuickStart Guide kennst Du?
Wenn das Ding im Transparent mode lief kann die mgmt IP möglicherweise die 10.10.10.1 sein, oder sonstwas...

Factory default settings
1) NAT/Route mode
Internal interface: 192.168.1.99
External interface: 192.168.100.99
DMZ interface 10.10.10.1
2) Transparent mode
Management IP: 10.10.10.1
Administrative account settings
User name admin
Password (none)

Also ich habe folgendes konfiguriert:

Mein Mac: 192.168.0.2 mit 255.255.0.0
Netgear: 192.68.0.1 mit 255.255.0.0
Die Fortigate von Internal auf einen LAN am Netgear.

Die Default Werte sind mir bekannt, habe ich auch schon probiert. Die Fortigate lief definitiv im NAT Modus, das Passwort weiß ich, mir fehlt nur die IP. Ich habe die Fortigate vom Admin meines ehemaligen Arbeitgebers vererbt keommen, als die sich eine größere geholt haben.
Der Admin kennt aber nur die Konfiguration der Firma. Damals lief sie auf 192.168.10.9, das hatte ich aber definitiv geändert. Von daher ist der Admin mir auch keine Hilfe.

Blöde Frage:
Wenn ich die Fortigate direkt mit einem Crossover-Kabel anhänge, was gebe ich dann als Standardgateway an? Wenn ich das leer lasse findet er doch gar nix oder?

 

[weasel77]

Wenn ich die Fortigate direkt mit einem Crossover-Kabel anhänge, was gebe ich dann als Standardgateway an? Wenn ich das leer lasse findet er doch gar nix oder?

Bist Du ganz sicher, dass Du eine Firewall konfigurieren möchtest?
Wann wird denn das Standard-Gateway verwendet?

 

[Slashwalker]

Bist Du ganz sicher, dass Du eine Firewall konfigurieren möchtest?
Wann wird denn das Standard-Gateway verwendet?

Ja bin ich. Meine Güte, weil man einen Punkt nicht richtig überdacht hat oder nicht wusste, wird die ganze Unternehmung in Frage gestellt.

 

[weasel77]

Das war auch mit einem Schuss Ironie.
Aber was ein Standard-Gateway ist solltest Du wohl ernsthaft noch kurz überfliegen bevor du die FW konfigurierst.

 

[monkTON]

Die Frage nach dem Gateway bringt mich noch auf was anderes:
Erinnerst Du, ob es auf der FW eine Regel gab/ gibt, die das Managementinterface nur aus einem bestimmten /24 er Subnet erreichbar macht?
-> Wenn das Internal Interface der Fw in einem 192.168.x.x /24 netz ist, sich die Source IP auf Deinem MAC aber im "falschen" 192.168.x.x /24 Netz befindet wird nmap keine Antworten liefern, selbst wenn Du auf dem Mac eine 16 subnetzmaske konfigurierst.
Verständlich?
Bsp:
Source= Mac 192.168.0.2 /16
a) destination= 192.168.0.10 /24 -> erreichbar von source
b) destination= 192.168.1.10 /24 -> erreichbar von source
wäre aber nun auf dem Destination host - hier der Fortinet - eine Regel definiert "https nur aus dem eigenen Subnet erlauben" würde gelten :
a) destination= 192.168.0.10 /24 -> erreichbar von source
b) destination= 192.168.1.10 /24 -> nicht erreichbar von source

 

[Slashwalker]

Na endlich! Hab es heute mit einem Crossover versucht und tada! Hab auch den nmap Aufruf angepasst, der schien wohl erst 'nen Ping zu machen und dann wenn der Host sich meldet ein Portscan. Da die FW aber nicht auf Ping reagiert, konnte das nicht hinhauen.

nmap -p80,443 -PA -sT 192.168.0-255.0-255 -v -Pn

 

[monkTON]

Herzlichen Glückwunsch!
Was lang währt...

 

[Slashwalker]

Ja, jetzt muss ich nur noch Zeit finden das ganze zu konfigurieren, so wie ich es mir vorstelle