본문 바로가기

FortiGate/IPsec VPN35

HA에서 펌웨어 업그레이드 또는 리부팅 한 경우 IPsec Tunnel down 현상 FortiGate HA 상황에서 펌웨어를 업그레이드 하거나 장비를 리부팅 했을 때 IPsec VPN Tunnel이 다운 되는 경우가 있다. HA의 FortiGate는 Virtual MAC Address를 이용하여 통신하게 되는데, 상단의 스위치에서 FortiGate의 Virtual MAC이 아닌 물리적인 MAC address를 이용하여 응답을 주기 때문이다. HA 상태에서 인터페이스의 MAC Address를 확인하면 아래와 같이 Virtual MAC과 Physical MAC을 확인 할 수 있다. VPN 연결요청은 Virtual MAC(00:09:0F:09:00:00)을 통해서 보내졌는데, 상단 스위치로부터의 응답이 Physical MAC(00:09:0F:85:AD:8B)로 오면서 Phase1 단계에서 M.. 2022. 12. 15.
'Invalid ESP packet detected (HMAC validation failed)' error 해결 방법 IPsec VPN 운영중에 'Invalid ESP packet detected (HMAC validation failed)' error Log가 발생 할 수 있다. 'HMAC validation failure' 은 kernel(software) 또는 NPU(hardware)에서 발생할 가능성이 높다. 이 에러가 발생하면 다음의 순서로 1번 시도후 해결안되면 2번 순으로 시도해 볼 수 있다. 1) IPsec Phase 1 설정과 방화벽 정책 설정에서 NPU 가속을 비활성화 하고 에러 발생 확인해 본다. 2) HMAC은 NP에서 가속하고 검증한다. 이를 disable 한 후 에러 발생을 확인해 본다. 3) ESP로 캡슐화 하기전에 packet fragmentation을 수행 하도록 한다. (트래픽이 시작하는.. 2022. 10. 26.
iOS Native VPN으로 DIalup VPN 연결에서 FortiToken 사용 방법 IPsec Dialup VPN 연결에서 아이폰/아이패드의 자체 VPN Client를 이용하는 경우, FortiToken을 이용하여 2-Factor 인증을 하는 방법이다. 기본적으로 iOS에 내장된 VPN의 경우 2-factor 인증을 위한 창을 표시하지 않는다. 따라서, token code의 경우 'password + toekn code' 형식으로 입력한다. 예를 들어 아래의 경우 password 입력창에 p@ssw0rd345678으로 입력한다. Password: p@ssw0rd Token Code: 345678 iOS 내장 VPN을 이용한 IPsec VPN 설정은 아래의 Link 참조. https://docs.fortinet.com/document/fortigate/7.2.1/administration.. 2022. 9. 22.
IPsec Phase 1, Phase 2 상태 확인 방법 IPsec VPN에서 Phase1과 Phase2가 UP 되었는지 확인하는 방법이다. Phase 1의 경우는 아래의 CLI 명령어에서만 확인 가능하다. Phase 1의 연결 상태와 VPN 연결을 시작(initiator) 했는지, 상대방의 VPN 연결 요청에 응답(responder)한 것인지 확인 할 수 있다. Phase 2의 경우는 GUI(Dashboard > Network > IPsec) 에서 확인 가능하다. Bring Up/Down 명령어를 이용하는 터널은 start/stop 가능하지만 이는 Phase2 에만 영향을 준다. 2022. 9. 15.
VPN을 맺기위한 IKE 트래픽에 PBR 적용 방법 PBR은 FortiGate에서 출발하는 Local 트래픽에 대해서는 적용되지 않는다. VPN을 맺기위한 IKE 트래픽도 FortiGate에서 출발하는 Local 트래픽이기 때문에 기본적으로 PBR이 적용되지 않는다. v6.4.9, v7.0.2, v7.2.0 이상에서는 아래의 명령어를 통해 IKE 트래픽에 대한 PBR 적용이 가능하다. # config system setting set ike-policy-route [ enable | disable ] 2022. 7. 1.

티스토리툴바