본 글에서는 IKEv2 환경에서 UDP 통신이 차단되거나 실패하는 상황(예 : ISP에서 UDP 500 또는 4500 포트를 차단하는 경우 등)에서 FortiClient가 TCP 방식으로 재연결되는 동작 방식과 설정 방법을 설명한다. (본 테스트는 FortiOS 7.4.11, FortiClient ZTNA 7.4.3 버전을 기준으로 진행하였다.)
[FortiGate 설정]
다음과 같이 IPsec Phase1 설정에서 UDP 실패 시 TCP로 재연결할 수 있도록 설정한다.
# config vpn ipsec phase1-interface
edit <Tunnel Name>
set ike-version 2
set eap enable
set eap-identity send-request
set authusrgrp <Group Name>
set transport udp-fallback-tcp
next
end
아래 옵션을 통해 UDP 연결 실패 시 TCP 방식으로 재연결이 가능하다.
set transport udp-fallback-tcp
추가로, Fallback 시 사용할 TCP 포트도 별도로 지정해야 한다. (예: 5500)
# config system settings
set ike-tcp-port 5500
end
[FortiClient 설정]
FortiClient에서도 동일하게 IPsec VPN 설정에서 UDP fallback TCP 옵션을 활성화해야 정상 동작한다.
설정 이후 VPN 연결을 시도하면 FortiClient는 먼저 UDP 기반 연결을 시도하며, UDP 통신이 불가능한 경우 아래와 같이 Timeout while connecting to <서버 IP> 메시지가 발생한다.
이후 수 초 내에 TCP 방식으로 재연결이 시도되며, 최종적으로 IPsec VPN 터널이 정상적으로 수립된다.
FortiGate에서는 sniffer 및 IKE 디버그를 통해 TCP 포트(예: 5500)로 연결이 이루어지는 것을 확인함으로써 fallback 동작 여부를 검증할 수 있다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| Dialup VPN에서 remote의 네트워크 서브넷이 서로 동일한 경우 (0) | 2026.05.13 |
|---|---|
| IKEv2 인증서 기반 Dial-up VPN 구성 (0) | 2026.04.08 |
| IKEv2 Dial-up IPsec VPN에서 User Group을 정책에 적용하는 두 가지 방법 (0) | 2026.02.10 |
| IKEv2 Dial-up IPsec VPN에서 RADIUS 서버를 통한 사용자별 고정 IP 할당 (0) | 2026.02.09 |
| IPsec VPN Tunnel의 NPU 처리 확인 (0) | 2026.02.06 |
댓글