FortiGate HA 상황에서 펌웨어를 업그레이드 하거나 장비를 리부팅 했을 때 IPsec VPN Tunnel이 다운 되는 경우가 있다.
HA의 FortiGate는 Virtual MAC Address를 이용하여 통신하게 되는데, 상단의 스위치에서 FortiGate의 Virtual MAC이 아닌 물리적인 MAC address를 이용하여 응답을 주기 때문이다.
HA 상태에서 인터페이스의 MAC Address를 확인하면 아래와 같이 Virtual MAC과 Physical MAC을 확인 할 수 있다.
VPN 연결요청은 Virtual MAC(00:09:0F:09:00:00)을 통해서 보내졌는데, 상단 스위치로부터의 응답이 Physical MAC(00:09:0F:85:AD:8B)로 오면서 Phase1 단계에서 MAC miss match로 실패 하게 되는 경우이다.
MAC address 확인은 CLI sniffer나 GUI Packet capture을 통해 확인 가능하다.
위 문제를 해결하기 위해서는 상단의 스위치에서 MAC table을 clear하고 다시 학습하거나, 스위치를 리부팅하면 된다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| WatchGuard와 IPSec VPN에서 'Received ID did not match the configured remote gateway endpoint' 에러 (0) | 2023.03.02 |
|---|---|
| IPsec VPN을 맺을 네트워크가 동일한 subnet을 사용 하는 경우 (0) | 2023.01.09 |
| 'Invalid ESP packet detected (HMAC validation failed)' error 해결 방법 (0) | 2022.10.26 |
| iOS Native VPN으로 DIalup VPN 연결에서 FortiToken 사용 방법 (0) | 2022.09.22 |
| IPsec Phase 1, Phase 2 상태 확인 방법 (0) | 2022.09.15 |
댓글