일반적으로 IPSec VPN에서 VPN 연결 설정을 위한 IKE는 UDP 500을 통해 통신하고, 실제 VPN 터널을 통해 통신하는 데이터는 ESP (IP protocol 50)을 사용 한다.
ESP는 port number가 없기 때문에 NAT를 지원하지 않는다.
NAT의 경우 IP가 변경되면서 원본 IP/port number와 변경된 IP address/port number를 매칭하는데, ESP는 port number가 없기 때문에 NAT를 지원하지 않는다.
이를 해결하기 위해 NAT Traversal 기능을 사용한다.
NAT Traversal을 enable하면 처음에 UDP 500을 통해 VPN 협상을 시도하다가, 중간에 NAT 장치가 발견되면 UDP 4500을 통해 VPN 협상을 진행한다.
협상이 완료되고 실제 데이터 통신도 UDP 4500을 사용한다.
Forced 는 VPN 경로상에 NAT 장치가 없더라도 IKE와 ESP 모두 UDP 4500을 강제로 사용하는 설정이다.
NAT Traversal을 enable하면 Keepalive Frequency 옵션 설정이 가능하다.
Keepalive Frequency는 UDP 4500으로 통신하는 IPsec 연결에 대해, 중간 NAT 장치와 다른 네트워크 장치들에서 session timeout이 발생하지 않도록 하는 목적이다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| Interface mode에서 Phase 1 이름 글자 수 제한 (0) | 2021.03.29 |
|---|---|
| Dialup VPN 트래픽 로그에 username 기록하기 (0) | 2021.01.19 |
| Dead Peer Detection (DPD) 설정 (0) | 2021.01.14 |
| Secondary IP를 이용하여 VPN 연결 설정 (0) | 2021.01.14 |
| IPsec VPN에서 응답 트래픽에 root 인터페이스가 보이는 경우 (0) | 2021.01.13 |
댓글