FortiGate/IPsec VPN32 IPSec VPN의 Preshared Key 확인하는 방법 IPsec VPN의 Phase1 설정의 PSK를 잊어버린경우, 이를 확인하는 방법이다. CLI에서 암호화된 Preshared Key를 복사한 후, WiFi 설정에서 SSID를 만든후 무선 접속 암호에 붙혀넣기 한다. 이렇게 한후 GUI에서 SSID를 선택한후 암호를 확인할 수있다. IPsec Preshared key와 무선 SSID 암호는 동일한 암호화 알고리즘을 사용하기 때문에 위와 같은 방법으로 확인 가능하다. 하지만, FortiGate에서 사용하는 관리자 암호의 경우 다른 알고리즘을 사용하기 때문에 위와 같은 방법 으로 확인 할 수 없다. 2024. 4. 2. IPsec VPN 터널 uptime 확인 방법 IPsec VPN tunnel의 uptime은 FortiGate의 GUI 또는 CLI에서 확인 가능하다. GUI에서는 아래와 같이 IPsec 위젯의 "Created" 항목에서 Uptime을 확인 할 수 있다. (오른쪽 마우스로 항목 추가) CLI에서는 다음 명령어로 확인 가능하다. diag vpn ike gateway list : 모든 터널 리스트 보기 diag vpn ike gateway list name : 특정 터널만 보기 2024. 2. 26. v7.4.2 : ESP packet을 TCP로 encapsulation 가능 IPsec VPN에서 일반적으로 암호화된 ESP packet을 주고 받지만, 중간 NAT 장비가 있다면 ESP packet을 NAT 할수 없어 UDP 4500을 이용하여 통신하게 된다. FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능 하다. 주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다. Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다. 각각 FortiGate의 phase1에 다음의 설정을 추가한다. 예를 들어 TCP 4443 port를 이용하여 ESP를 encapsulate 하려면 다음과 같이 설정한다. 1. 양쪽 FortiGa.. 2024. 1. 31. v7.4.2 : IPsec VPN 터널 이름 변경 가능 FortiOS v7.4.2에서 IPsec VPN tunnel 이름 변경이 아래와 같이 CLI 명령어올 가능하다. IPsec 터널의 이름을 바꾸면 라우팅 및 방화벽 정책과 같은 터널에 대한 모든 참조가 자동으로 새로운 이름으로 변경 적용 된다. 2024. 1. 31. IPSec VPN에서 들어오는 ESP Packet capture 안됨 IPSec VPN에서 ESP Packet을 캡쳐하면 incoming ESP Packet은 캡쳐되지 않고 들어오는 packet만 캡쳐된다. 이는 VPN harwdware 가속(npu-offload) 때문이다. 캡쳐하려는 VPN 터널 설정에서 npu-offload를 disable 하면, 들어오는 ESP도 캡쳐된다. 2024. 1. 24. 이전 1 2 3 4 ··· 7 다음
