Ceci est une ancienne révision du document !

Mettre à jour le firmware d'un pare-feu Fortigate

Introduction

Procédure simple et rapide pour mettre à jour le firmware d'un pare-feu Fortigate avec ou sans HA.

Topologie du LAB

Topologie du LAB

Pré-requis

Cette opération nécessite :

  • Un PC sur le même réseau que l'équipement à mettre à jour (ou qui peut joindre l'équipement via le réseau)
  • Un câble console (facultatif mais recommandé pour pouvoir prendre la main sur l'équipement en CLI en cas de problème)
  • Un adaptateur Serie ⇒ USB (si pas de port série sur le poste)
  • Un compte client Fortinet sous contrat permettant de télécharger les images firmware
  • Une clé USB pour installer les mises à jour en mode console si la WebUI n'est pas accessible

Instructions

Préparation

Cette étape consiste à déterminer quels sauts de version à effectuer (mises à jour successives) pour que la mise à jour se déroule correctement jusqu'à la version cible du firmware.

Commencer par se connecter à l'équipement en WebUI : Connexion en tant qu'admin à la WebUI de l'équipement

Sur la page d'accueil, vérifier la version du firmware qui est installée :

Vérification de la version firmware installée

Pour savoir quels sauts de versions sont recommandés, utiliserl'outil de mise à jour de Fortinet (gratuit).

Celui-ci requiert au minimum de renseigner le modèle de l'équipement concerné, sa version firmware actuelle, et la version visée après upgrade :

Détermination des sauts de version à effectuer

Le site va alors donner la liste des versions du firmware à installer l'une à la suite de l'autre, avec leur numéro de build.

Pour se procurer les images de FortiOS, il faut se connecter avec un compte client sous contrat sur le site Fortinet.

Sauvegarde de la configuration

Par précaution, il est fortement recommandé de faire d'abord un backup de la configuration de l'équipement.

Aller dans le menu en haut à droite admin > Configuration > Backup :

Backup de la configuration du firewall

Sélectionner un mode de sauvegarde (par défaut la conf est téléchargée sur le poste de l'administrateur), et cliquer sur OK :

Backup de la configuration du firewall

Mise à jour du firmware

Via la WebUI

Une fois les sauts de versions nécessaires déterminés et la conf sauvegardée, on peut procéder à l'upgrade.

Si la HA est activé sur le pare-feu, les équipements du cluster se mettront à jour et redémarreront l'un après l'autre afin de limiter l'impact.

Aller dans System > Firmware et cliquez sur Browse :

Lancement de la mise à jour

Il faut alors sélectionner l'image du firmware à installer. Puis on valide :

Lancement de la mise à jour

Confirmer le lancement de la mise à jour avec “Continue”. La configuration du boitier sera à nouveau sauvegardée et la mise à jour va se lancer.

Une fois l'upgrade faite l'équipement va redémarrer, attendre que la WebUI fonctionne à nouveau :

Redémarrage du boitier

Enfin, on vérifie que la nouvelle version du firmware a bien été installée.

Vérification de la version installée

En console via clé USB

Commencer par vérifier si la clé USB connectée à l'appareil est fonctionnelle. Elle doit être formatée en FAT32 : 

exec usb-disk list

La clé USB devrait s'afficher.

Ensuite, choisir l'une des 2 options :

Upgrade immédiat

Utiliser la commande suivante pour lancer l'upgrade immédiatement en précisant le nom de l'image sur la clé : 

execute restore image usb image.out

L'équipement va redémarrer et effectuer l'upgrade.

Upgrade de l'OS au reboot

Activer l'auto-installation des mises à jour via clé USB en spécifiant le nom de l'image : 

config system auto-install
set auto-install-image enable
set default-image-file "image.out"

Puis, si nécessaire, mentionner le fichier de configuration à utiliser suite à l'upgrade : 

set auto-install-config enable
set default-config-file "fgt_system.conf"

Enfin, sortir du menu, brancher la clé USB, puis redémarrer l'appareil pour lancer la mise à jour du firmware : 

end
execute reboot

Post-Checks

Pour vérifier les incohérences lors du chargement de la configuration après la mise à jour, entrer la commande suivante : 

diagnose debug config-error-log read

En fonction du saut de version effectué, il est possible que des éléments dans la configuration ne soient plus compatibles avec le nouveau firmware, ce qui peut engendrer des dysfonctionnements.

Rétablir la configuration en cas de problème

Dans le cas où la configuration aurait été effacée ou corrompue pendant la mise à jour, ou si l'on souhaite revenir en arrière, il est possible de rétablir l'ancienne configuration.

:!: Attention, en fonction de la version cible du firmware, il est possible que certains ajustements soient à faire dans le fichier de configuration avant de l'importer dans le boitier. Même chose lorsque l'on veut importer une configuration d'un matériel à un autre (bien adapter la conf au modèle cible avant).

Pour cela, il suffit d'aller dans le menu en haut à droite admin > Configuration > Restore :

Restauration de la configuration initiale

Faire Browse, sélectionner le fichier de configuration, et lancer la restauration.

Sources

https://community.fortinet.com/t5/Customer-Service/Technical-Tip-Flash-firmware-can-be-upgraded-through-a-USB-disk/ta-p/215140

https://docs.fortinet.com/document/fortigate/6.2.7/cookbook/183352/restoring-from-a-usb-drive

mettre_a_jour_le_firmware_d_un_pare-feu_fortigate.1711890337.txt.gz · Dernière modification : de superadmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International


  • Afficher le texte source
  • Anciennes révisions
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site