IPsec VPN에서 일반적으로 암호화된 ESP packet을 주고 받지만, 중간 NAT 장비가 있다면 ESP packet을 NAT 할수 없어 UDP 4500을 이용하여 통신하게 된다.
FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능 하다.
주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다.
Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다.
각각 FortiGate의 phase1에 다음의 설정을 추가한다.
예를 들어 TCP 4443 port를 이용하여 ESP를 encapsulate 하려면 다음과 같이 설정한다.
1. 양쪽 FortiGate에 TCP 4443 port를 설정 한다.
2. 양쪽 FortiGate의 Phase1 설정에 TCP로 encapsulate 한다는 설정을 추가한다.
3. 터널 정보를 확인하면 TCP 4443으로 encapsulate 되는 것을 확인 할 수 있다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| IPSec VPN의 Preshared Key 확인하는 방법 (0) | 2024.04.02 |
|---|---|
| IPsec VPN 터널 uptime 확인 방법 (0) | 2024.02.26 |
| v7.4.2 : IPsec VPN 터널 이름 변경 가능 (0) | 2024.01.31 |
| IPSec VPN에서 들어오는 ESP Packet capture 안됨 (0) | 2024.01.24 |
| VPN debug 에서 표시되는 NPU 에러 코드(offloading-check failed) 설명 (0) | 2024.01.11 |
댓글