FortiGate/IPsec VPN36 Dialup IPsec VPN에서 Dashboard에 사용자 정보가 표시되지 않는 경우 Dialup IPsec VPN에서 Dashboard의 'Assets & Identities'에 사용자 정보가 표시되지 않는 경우가 있다.이는 Log에서 사용자 정보를 표시하지 않는 이유와 동일하다. 사용자 정보를 표시하려면 IPsec VPN phase1 인터페이스가 아닌 방화벽 정책에서 사용자 그룹을 설정해야 한다.이는 IPsec IKEv1/IKEv2 동일하며, Entra ID SAML 인증 사용자도 표시 가능하다. 2025. 3. 31. IPsec VPN Negotiation timeout 조정하는 방법 FortiGate IPsec 협상에서 default로 30초의 timeout이 설정되어 있다. 즉, FortiGate는 피어의 응답이 30초 이상 지연될 경우 연결실패가 발생한다."diag debug app ike -1" 으로 디버그 해보면 "negotiation timeout, deleting" 에러 메세지를 확인할 수 있다. 이런 경우 timeout 시간을 늘리는 방법이다. defualt 값는 30이고 1~300초 까지 설정 가능하다.config vpn ipsec phase1-interface edit set negotiate-timeout 30end 2025. 1. 10. IKE debug level 아래의 명령어로 IPsec VPN debug 하는 경우 에 대한 설명이다. diag debug application ike Debug level (bit-mask)Debug Information1Errors2Configuration4Negotiation8Debugs16NAT-T Keepalive32DPD64IKE & IPsec Keys128IKE Packets-1All 2024. 9. 23. v7.4.4 : 타 벤더와 TCP를 이용한 IPsec VPN 가능 FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능했지만, v7.4.4에서는 RFC 8229 지원하게 되었다.즉, RFC 8229를 지원하는 타벤더와 TCP를 이용한 IPSec VPN 연결이 가능하다.주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다. Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다. Phase 1 설정에서 TCP 사용을 enable한다.주의할 점은 타 벤더와의 통신이기에 fortinet-esp를 disable 한다.( default disable) 2024. 5. 23. IPSec VPN의 Preshared Key 확인하는 방법 IPsec VPN의 Phase1 설정의 PSK를 잊어버린경우, 이를 확인하는 방법이다. CLI에서 암호화된 Preshared Key를 복사한 후, WiFi 설정에서 SSID를 만든후 무선 접속 암호에 붙혀넣기 한다. 이렇게 한후 GUI에서 SSID를 선택한후 암호를 확인할 수있다. IPsec Preshared key와 무선 SSID 암호는 동일한 암호화 알고리즘을 사용하기 때문에 위와 같은 방법으로 확인 가능하다. 하지만, FortiGate에서 사용하는 관리자 암호의 경우 다른 알고리즘을 사용하기 때문에 위와 같은 방법 으로 확인 할 수 없다. 2024. 4. 2. 이전 1 2 3 4 ··· 8 다음
