TroutTrout
All docs

FortiGate Netflow-Export

Konfigurieren Sie eine FortiGate-Firewall, um NetFlow-Daten an Access Gate zu senden.

4 min read · Last updated 2026-05-02

Diese Anleitung beschreibt die Konfiguration einer FortiGate-Firewall, um NetFlow an einen Trout Access Gate-Monitoring-Port zu exportieren.

Am Ende dieser Konfiguration gilt:

  • Ihre FortiGate exportiert NetFlow für ausgewählte Interfaces.
  • Trout Access Gate nimmt diese Flows über den Monitoring-Port entgegen.
  • Im Trout-Monitoring-Tab sind Live-Flow- und Port-Aktivitäten sichtbar.

Dieses Dokument setzt eine FortiGate mit FortiOS 7.2.x voraus (z. B. eine FortiGate 100F mit 7.2.12) sowie ein bereits am Standort bereitgestelltes Trout Access Gate.

Architekturübersicht

In diesem Setup ist Trout nicht inline geschaltet und ersetzt die FortiGate nicht. Die FortiGate übernimmt weiterhin Routing und Firewall-Funktionen wie gewohnt. Trout empfängt lediglich NetFlow-Metadaten von der FortiGate über eine separate Ethernet-Verbindung.

Der Aufbau ist wie folgt:

  • Die FortiGate ist der zentrale Router/Firewall des Standorts.
  • Trout Access Gate verfügt über einen dedizierten Monitoring-Port, der mit einem freien Port der FortiGate oder demselben Switch verbunden ist.
  • Die FortiGate sendet NetFlow-Records (UDP) an die IP-Adresse des Trout-Monitoring-Ports.
  • Trout verarbeitet diese Flows und stellt sie als Transparenz und Analysedaten im Monitoring-Tab bereit.
  • Kein Produktivverkehr fließt über den Trout-Monitoring-Port; er empfängt ausschließlich NetFlow-Telemetrie.

Voraussetzungen

Vor dem Start sollten folgende Punkte erfüllt sein:

  • Eine dem Trout-Monitoring-Port zugewiesene IP-Adresse (z. B. 192.168.100.10).
  • IP-Konnektivität zwischen der FortiGate und dieser Monitoring-IP (gleiches Subnetz oder geroutet).
  • Eine Entscheidung, welche FortiGate-Interfaces überwacht werden sollen (z. B. port2 für LAN, port3 für OT-Netzwerk).

NetFlow-Aufnahme auf dem Trout Access Gate aktivieren

Stellen Sie zunächst sicher, dass Trout NetFlow empfangen kann, bevor Sie die FortiGate konfigurieren.

  1. Melden Sie sich an der Trout Access Gate-Oberfläche an.
  2. Navigieren Sie zu Einstellungen → Gerät-Port-Konfiguration und legen Sie fest, welcher Port den Monitor-Dienst ausführt.
  3. Öffnen Sie die Monitors-Seite und klicken Sie auf „Netflow konfigurieren".
  4. Legen Sie die Listening-IP und den UDP-Port fest (z. B. 2055).
  5. Speichern und übernehmen Sie die Änderungen.

NetFlow-Export auf der FortiGate konfigurieren

Konfigurieren Sie nun die FortiGate, um NetFlow-Logs für bestimmte Interfaces an das Access Gate zu exportieren.

Die genauen Befehle können je nach Modell leicht abweichen; für FortiOS 7.2.x gilt die nachstehende Struktur.

In diesem Beispiel:

  • Trout-Monitoring-IP: 192.168.253.10
  • FortiGate-Interface-IP (gleiches Subnetz, als Quelle verwendet): 192.168.253.1
  • NetFlow-UDP-Port: 2055
  • Überwachte Interfaces: port2 und port3

NetFlow-Collector definieren

Verbinden Sie sich mit der FortiGate-CLI (SSH oder Konsole) und führen Sie folgenden Befehl aus:

config system netflow 
 config collectors 
   edit 1 
   set collector-ip "192.168.253.10" # Trout monitoring port IP 
   set collector-port 2055 # Must match Trout listener 
   set source-ip "192.168.253.1" # FortiGate IP appearing as exporter 
   set interface-select-method auto 
   next 
  end 
 end

NetFlow auf ausgewählten Interfaces aktivieren

Das Definieren eines Collectors reicht nicht aus; Sie müssen das Sampling auf jedem Interface, dessen Verkehr zusammengefasst und exportiert werden soll, explizit aktivieren.

Beispiel zur Aktivierung von NetFlow auf port2 und port3:

config system 
  interface edit "port2" 
    set netflow-sampler enable both 
  next 
  edit "port3" 
    set netflow-sampler enable both 
  next
end

Damit werden port2 und port3 so konfiguriert, dass NetFlow-Logs für ein- und ausgehenden Verkehr an das Access Gate exportiert werden.

Nach der Anwendung beginnt die FortiGate mit dem Export von NetFlow v9 an das Trout Access Gate.

Überprüfen, ob NetFlow Trout erreicht

Nach der Konfiguration sollte geprüft werden, ob Verkehr tatsächlich von der FortiGate zu Trout fließt und aufgenommen wird.

Prüfung auf der FortiGate

Verwenden Sie den integrierten Diagnosebefehl:

diagnose test application netflowd 3

Die Ausgabe sollte den konfigurierten Collector sowie Zähler anzeigen, die angeben, wie viele Flows und Pakete gesendet wurden. Erscheint der Collector nicht, liegt wahrscheinlich ein Konfigurationsfehler im config system netflow-Block vor.

Prüfung auf Trout

Auf dem Trout Access Gate:

  • Öffnen Sie den Monitors-Tab.
  • Die Daten sollten sich befüllen.

Je nach Verkehrsaufkommen auf den überwachten Interfaces kann es bis zu einer Minute dauern, bis die ersten Flows erscheinen.

Previous
Überwachungsport konfigurieren