FortiGate에서 IKEv2 인증서 기반 Dial-up VPN 설정은 다음과 같다.
인증서 기반으로 인증 받기 위해서는 FortiGate에는 서버 인증서가 Client에는 개인 인증서가 필요하며, 각 인증서를 발급해준 CA 인증서가 FortiGate와 Client에 모두 설치되어있어야 한다.
[FortiGate Local CA 인증서 설정]
각 인증서를 발급해준 CA 인증서를 FortiGate에 Import한다.
[Client Local CA 인증서 설정]
각 인증서를 발급해준 CA 인증서를 Client(신뢰할 수 있는 루트 인증 기관)에 Import한다.
[FortiGate 인증서 설정]
System > Certificates 에서 Local Certificate에 서버인증서를 Import한다.
[Client 인증서 설정]
Client 인증서(개인용)에 설치된 인증서의 CN값(test1)을 확인한다.
[FortiGate User 설정]
위에서 확인한 Client 인증서 cn 값을 이용하여 사용자 설정을 한다.
config user peer
edit "test1"
set ca "CA_Cert_2" // Client 인증서를 발급한 CA의 인증서
set cn "test1" // Client 인증서(개인용) >> 자세히 >> 주체 >> CN값(test1)
next
end
[FortiGate VPN 설정]
config vpn ipsec phase1-interface
edit "phase1 name"
set ike-version 2
set authmethod signature
set eap enable
set eap-identity send-request
set eap-cert-auth enable
set authusrgrp "Local user 그룹"
set certificate "EBTCSR" // Local Certificate에 Import한 서버 인증서
set peer "test1"
next
end
위와 같이 authusrgrp에 user group을 설정하였기 때문에 방화벽 정책의 source에는 별도로 user group을 추가하지 않는다.
[FortiClient 설정]
접속 시 Client 인증서 선택 후 Local User 계정(ID/Password)을 입력하여 인증을 완료한다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| Dialup VPN에서 remote의 네트워크 서브넷이 서로 동일한 경우 (0) | 2026.05.13 |
|---|---|
| FortiClient IPsec VPN에서 UDP 차단 시 TCP Fallback 동작 원리 (0) | 2026.03.18 |
| IKEv2 Dial-up IPsec VPN에서 User Group을 정책에 적용하는 두 가지 방법 (0) | 2026.02.10 |
| IKEv2 Dial-up IPsec VPN에서 RADIUS 서버를 통한 사용자별 고정 IP 할당 (0) | 2026.02.09 |
| IPsec VPN Tunnel의 NPU 처리 확인 (0) | 2026.02.06 |
댓글