하나의 장비에 아래처럼 2개의 Dialup VPN 터널이 존재 할 경우 Dialup 터널을 선택하는 기준에 대한 설명이다.
VPN 요청이 들어오면 FortiGate는 알파벳 순으로 Phase1을 선택하여 아래 단계 매칭을 확인한다.
▪ Local gateway IP
▪ Mode : aggressive or main
▪ Peer ID : aggressive 모드인 경우
▪ Authentication 방법 : Pre-Shared key or certificate
▪ Proposal
▪ DH group
Pre-Shared Key는 PSK 인지 Certificate인지를 구분하는 것이지, PSK의 값이 다른것을 구분하지는 않는다.
"Dialup_A"가 "fortinet" 이라는 PSK를 사용하고,
"Dialup_B"가 "12345678" 이라는 PSK를 사용하더라도 VPN 터널 매칭에서는 구분되지 않는다.
"12345678"로 설정해서 연결시도하면 "Dialup_A"에서 PSK misconfig로 연결이 안된다. ("Dialup_B"와는 연결시도 조차 하지 않는다.)
위 예에서는 결론부터 말하면 모든 VPN 연결 시도는 "Dialup_A"와 연결 될 것이다. 위에서 설명한 매칭단계에서 "Dialup_A" 와 "Dialup_B"가 구분되지 않기 때문이다.
구분해서 사용하려면 위 매칭 단계의 항목을 하나라도 다르게 설정해야 한다.
동일하게 사용하려면 mode를 aggressive로 변경하고, "Dialup_A" 와 "Dialup_B"의 peerid를 다르게 설정하면 된다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| IPsec VPN 터널 이중화(redundancy) : fail-over 시간 단축 방법 (0) | 2022.03.10 |
|---|---|
| Tunnel monitor 명령어를 이용한 IPsec Tunnel 이중화 (0) | 2021.07.22 |
| IKE port 변경 : FortiOS 7.0 (0) | 2021.04.01 |
| Interface mode에서 Phase 1 이름 글자 수 제한 (0) | 2021.03.29 |
| Dialup VPN 트래픽 로그에 username 기록하기 (0) | 2021.01.19 |
댓글