FortiGate/IPsec VPN34 IKE debug level 아래의 명령어로 IPsec VPN debug 하는 경우 에 대한 설명이다. diag debug application ike Debug level (bit-mask)Debug Information1Errors2Configuration4Negotiation8Debugs16NAT-T Keepalive32DPD64IKE & IPsec Keys128IKE Packets-1All 2024. 9. 23. v7.4.4 : 타 벤더와 TCP를 이용한 IPsec VPN 가능 FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능했지만, v7.4.4에서는 RFC 8229 지원하게 되었다.즉, RFC 8229를 지원하는 타벤더와 TCP를 이용한 IPSec VPN 연결이 가능하다.주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다. Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다. Phase 1 설정에서 TCP 사용을 enable한다.주의할 점은 타 벤더와의 통신이기에 fortinet-esp를 disable 한다.( default disable) 2024. 5. 23. IPSec VPN의 Preshared Key 확인하는 방법 IPsec VPN의 Phase1 설정의 PSK를 잊어버린경우, 이를 확인하는 방법이다. CLI에서 암호화된 Preshared Key를 복사한 후, WiFi 설정에서 SSID를 만든후 무선 접속 암호에 붙혀넣기 한다. 이렇게 한후 GUI에서 SSID를 선택한후 암호를 확인할 수있다. IPsec Preshared key와 무선 SSID 암호는 동일한 암호화 알고리즘을 사용하기 때문에 위와 같은 방법으로 확인 가능하다. 하지만, FortiGate에서 사용하는 관리자 암호의 경우 다른 알고리즘을 사용하기 때문에 위와 같은 방법 으로 확인 할 수 없다. 2024. 4. 2. IPsec VPN 터널 uptime 확인 방법 IPsec VPN tunnel의 uptime은 FortiGate의 GUI 또는 CLI에서 확인 가능하다. GUI에서는 아래와 같이 IPsec 위젯의 "Created" 항목에서 Uptime을 확인 할 수 있다. (오른쪽 마우스로 항목 추가) CLI에서는 다음 명령어로 확인 가능하다. diag vpn ike gateway list : 모든 터널 리스트 보기 diag vpn ike gateway list name : 특정 터널만 보기 2024. 2. 26. v7.4.2 : ESP packet을 TCP로 encapsulation 가능 IPsec VPN에서 일반적으로 암호화된 ESP packet을 주고 받지만, 중간 NAT 장비가 있다면 ESP packet을 NAT 할수 없어 UDP 4500을 이용하여 통신하게 된다. FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능 하다. 주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다. Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다. 각각 FortiGate의 phase1에 다음의 설정을 추가한다. 예를 들어 TCP 4443 port를 이용하여 ESP를 encapsulate 하려면 다음과 같이 설정한다. 1. 양쪽 FortiGa.. 2024. 1. 31. 이전 1 2 3 4 ··· 7 다음
