IPsec VPN 운영중에 'Invalid ESP packet detected (HMAC validation failed)' error Log가 발생 할 수 있다.
'HMAC validation failure' 은 kernel(software) 또는 NPU(hardware)에서 발생할 가능성이 높다.
이 에러가 발생하면 다음의 순서로 1번 시도후 해결안되면 2번 순으로 시도해 볼 수 있다.
1) IPsec Phase 1 설정과 방화벽 정책 설정에서 NPU 가속을 비활성화 하고 에러 발생 확인해 본다.
2) HMAC은 NP에서 가속하고 검증한다. 이를 disable 한 후 에러 발생을 확인해 본다.
3) ESP로 캡슐화 하기전에 packet fragmentation을 수행 하도록 한다. (트래픽이 시작하는 장비에서 설정하면 된다.)
만약 위 방법으로 해결되지 않으면, Ticket open해서 TAC 지원을 권장한다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| IPsec VPN을 맺을 네트워크가 동일한 subnet을 사용 하는 경우 (0) | 2023.01.09 |
|---|---|
| HA에서 펌웨어 업그레이드 또는 리부팅 한 경우 IPsec Tunnel down 현상 (0) | 2022.12.15 |
| iOS Native VPN으로 DIalup VPN 연결에서 FortiToken 사용 방법 (0) | 2022.09.22 |
| IPsec Phase 1, Phase 2 상태 확인 방법 (0) | 2022.09.15 |
| VPN을 맺기위한 IKE 트래픽에 PBR 적용 방법 (0) | 2022.07.01 |
댓글