Différences

Ci-dessous, les différences entre deux révisions de la page.

--- mettre_a_jour_le_firmware_d_un_pare-feu_fortigate [2023/10/19 18:52] – [Introduction] superadmin
+++ mettre_a_jour_le_firmware_d_un_pare-feu_fortigate [2024/10/18 15:13] (Version actuelle) – [Rétablir la configuration en cas de problème] superadmin
@@ Ligne 3: / Ligne 3: @@
 ===== Introduction =====
-Procédure simple et rapide pour mettre à jour un firewall Fortigate avec ou sans HA.
+Procédure simple et rapide pour mettre à jour le firmware d'un pare-feu Fortigate avec ou sans HA.
 ===== Topologie du LAB =====
+{{ :topofortiupgrade.png |Topologie du LAB}}
 ===== Pré-requis =====
@@ Ligne 12: / Ligne 13: @@
   * Un PC sur le même réseau que l'équipement à mettre à jour (ou qui peut joindre l'équipement via le réseau)
   * Un câble console (facultatif mais recommandé pour pouvoir prendre la main sur l'équipement en CLI en cas de problème)
+  * Un adaptateur Serie => USB (si pas de port série sur le poste)
   * Un compte client Fortinet sous contrat permettant de télécharger les images firmware
+  * Une clé USB pour installer les mises à jour en mode console si la WebUI n'est pas accessible
 =====  Instructions =====
@@ Ligne 49: / Ligne 52: @@
 ==== Mise à jour du firmware ====
+=== Via la WebUI ===
 Une fois les sauts de versions nécessaires déterminés et la conf sauvegardée, on peut procéder à l'upgrade.
+Si la HA est activé sur le pare-feu, les équipements du cluster se mettront à jour et redémarreront l'un après l'autre afin de limiter l'impact.
+__Pour les équipements dans une version inférieure à FortiOS 7 :__
 Aller dans ''System > Firmware'' et cliquez sur ''Browse'' :
@@ Ligne 61: / Ligne 70: @@
 Confirmer le lancement de la mise à jour avec "Continue". La configuration du boitier sera à nouveau sauvegardée et la mise à jour va se lancer.
+__Pour les équipements à partir de FortiOS 7 :__
+Aller dans ''System > Fabric Management'' puis cliquer sur ''Upgrade'' :
+{{ ::fortiupgrade221.png?500 |}}
+Dans l'onglet ''File Upload'', cliquer sur ''Browse'' et choisir l'image à installer. Puis valider avec ''Confirm and Backup Config'' :
+{{ ::fortiupgrade222.png?600 |}}
 Une fois l'upgrade faite l'équipement va redémarrer, attendre que la WebUI fonctionne à nouveau  :
@@ Ligne 70: / Ligne 89: @@
 {{ ::fortiupgrade10.png?400 |Vérification de la version installée}}
+=== En console via clé USB ===
-==== Rétablir la configuration en cas de problème ====
+Commencer par vérifier si la clé USB connectée à l'appareil est fonctionnelle. Elle doit être formatée en FAT32 :
+<code>exec usb-disk list</code>
+La clé USB devrait s'afficher.
+**__Ensuite, choisir l'une des 2 options :__**
+== Upgrade immédiat ==
+Utiliser la commande suivante pour lancer l'upgrade immédiatement en précisant le nom de l'image sur la clé :
+<code>execute restore image usb image.out</code>
+L'équipement va redémarrer et effectuer l'upgrade.
+== Upgrade de l'OS au reboot ==
+ Activer l'auto-installation des mises à jour via clé USB en spécifiant le nom de l'image :
+<code>config system auto-install
+set auto-install-image enable
+set default-image-file "image.out"</code>
+Puis, si nécessaire, mentionner le fichier de configuration à utiliser suite à l'upgrade :
+<code>set auto-install-config enable
+set default-config-file "fgt_system.conf"</code>
+Enfin, sortir du menu, brancher la clé USB, puis redémarrer l'appareil pour lancer la mise à jour du firmware :
+<code>end
+execute reboot</code>
+==== Post-Checks ====
+Pour vérifier les incohérences lors du chargement de la configuration après la mise à jour, entrer la commande suivante :
+<code>diagnose debug config-error-log read</code>
+En fonction du saut de version effectué, il est possible que des éléments dans la configuration ne soient plus compatibles avec le nouveau firmware, ce qui peut engendrer des dysfonctionnements.
+===== Rétablir la configuration en cas de problème =====
 Dans le cas où la configuration aurait été effacée ou corrompue pendant la mise à jour, ou si l'on souhaite revenir en arrière, il est possible de rétablir l'ancienne configuration.
-:!: Attention, en fonction de la version cible du firmware, il est possible que certains ajustements soient à faire dans le fichier de configuration avant de l'importer dans le boitier. Même lorsque l'on veut importer une configuration d'un matériel à un autre (bien adapter la conf au modèle cible avant).
+:!: Attention, en fonction de la version cible du firmware, il est possible que certains ajustements soient à faire dans le fichier de configuration avant de l'importer dans le boitier. Même chose lorsque l'on veut importer une configuration d'un matériel à un autre (bien adapter la conf au modèle cible avant).
 Pour cela, il suffit d'aller dans le menu en haut à droite ''admin > Configuration > Restore'' :
@@ Ligne 82: / Ligne 143: @@
 Faire ''Browse'', sélectionner le fichier de configuration, et lancer la restauration.
+Pour faire un rollback du firmware, même fonctionnement que pour l'upgrade.
+===== Sources =====
+https://community.fortinet.com/t5/Customer-Service/Technical-Tip-Flash-firmware-can-be-upgraded-through-a-USB-disk/ta-p/215140
+https://docs.fortinet.com/document/fortigate/6.2.7/cookbook/183352/restoring-from-a-usb-drive