[ https://ebt-forti.tistory.com/1130 ]
해당 링크에서는 방화벽 정책에 User Group을 설정하지 않고 IPsec VPN Phase1-interface에서 아래의 설정을 적용한 후 정책에는 User Group을 포함하지 않는 구성 방식에 대해 설명한다.
config vpn ipsec phase1-interface
edit "Test"
set type dynamic
set interface "wan1"
set ike-version 2
set peertype any
set net-device disable
set mode-cfg enable
set proposal aes128-sha256
set dpd on-idle
set dhgrp 14
set eap enable
set eap-identity send-request
set authusrgrp "ete"
set assign-ip-from usrgrp
set ipv4-start-ip 30.0.0.1
set ipv4-end-ip 30.0.0.254
set ipv4-split-include "all"
set psksecret ENC GTvmpPF+2HCuxoL3MSyjjysO1978IZ28eymsHCS67QX/0RZvlsGej7xgn9uYj6vp/EfPgt91IXiWPBU4yPoVKUFWz9C4b6EneIi0uyLavk5Vt2Q0nuFk1RWTRPNSjA9ORfZGyHggGZ/z13/tuwdjuyEqlHJxb3HBv7bZjVTxq3HUD7byEEJ6ZonvV/0u8r1TNHIAEllmMjY3dkVA
set dpd-retryinterval 60
next
end
다만 User Group의 수가 많을 경우에는 해당 방식(IPsec VPN Phase1-interface)으로는 설정이 불가하여 Phase1-interface에unset authusrgrp 명령어를 적용한 후 방화벽 정책의 Source에 User Group을 지정하여 트래픽 제어를 수행한다.
config vpn ipsec phase1-interface
edit "Test"
set type dynamic
set interface "wan1"
set ike-version 2
set peertype any
set net-device disable
set mode-cfg enable
set proposal aes128-sha256
set dpd on-idle
set dhgrp 14
set eap enable
set eap-identity send-request
set authusrgrp ""
set assign-ip-from usrgrp
set ipv4-start-ip 30.0.0.1
set ipv4-end-ip 30.0.0.254
set ipv4-split-include "all"
set psksecret ENC GTvmpPF+2HCuxoL3MSyjjysO1978IZ28eymsHCS67QX/0RZvlsGej7xgn9uYj6vp/EfPgt91IXiWPBU4yPoVKUFWz9C4b6EneIi0uyLavk5Vt2Q0nuFk1RWTRPNSjA9ORfZGyHggGZ/z13/tuwdjuyEqlHJxb3HBv7bZjVTxq3HUD7byEEJ6ZonvV/0u8r1TNHIAEllmMjY3dkVA
set dpd-retryinterval 60
next
end
'FortiGate > IPsec VPN' 카테고리의 다른 글
| IKEv2 인증서 기반 Dial-up VPN 구성 (0) | 2026.04.08 |
|---|---|
| FortiClient IPsec VPN에서 UDP 차단 시 TCP Fallback 동작 원리 (0) | 2026.03.18 |
| IKEv2 Dial-up IPsec VPN에서 RADIUS 서버를 통한 사용자별 고정 IP 할당 (0) | 2026.02.09 |
| IPsec VPN Tunnel의 NPU 처리 확인 (0) | 2026.02.06 |
| 인증 방식에 따른 IKE 버전 및 FortiClient와 FortiGate 호환성 확인 (0) | 2025.12.02 |
댓글