FortiGate/IPsec VPN35 IPsec VPN 터널 이중화(redundancy) : fail-over 시간 단축 방법 Site-to-Site IPsec VPN 터널 이중화(redundancy) 구성에서, 하나의 터널이 실패했을 경우 fail-over가 발생하는데, 시간을 단축하는 방법이다. # config vpn ipsec phase1-interfac edit set dpd-retrycount X set dpd-retryinterval Y end default로 X=3, Y=20으로 fail-over가 발생하는데 50초 이상 소요된다. Y 값을 줄여서 fail-over 시간을 줄일 수 있다. 2022. 3. 10. Tunnel monitor 명령어를 이용한 IPsec Tunnel 이중화 아래와 같이 VPN 터널을 이중화 하는 경우, Backup 터널에서 Primary 터널을 모니터링 하여 Primary 터널이 문제가 발생하면 Backup 터널이 생성되어 동작하는 방식이다. 설정은 CLI에서 Phase1 설정에서 아랴와 같이 설정한다. 설정을 완료하면 터널은 Primary Tunnel만 UP 된다. Primary 터널에 fail이 발생하면 Backup 터널이 UP 된다. DPD 기본 설정에서 소요시간은 90초 정도 소요된다. 2021. 7. 22. Dial-up VPN 선택하는 기준 하나의 장비에 아래처럼 2개의 Dialup VPN 터널이 존재 할 경우 Dialup 터널을 선택하는 기준에 대한 설명이다. VPN 요청이 들어오면 FortiGate는 알파벳 순으로 Phase1을 선택하여 아래 단계 매칭을 확인한다. ▪ Local gateway IP ▪ Mode : aggressive or main ▪ Peer ID : aggressive 모드인 경우 ▪ Authentication 방법 : Pre-Shared key or certificate ▪ Proposal ▪ DH group Pre-Shared Key는 PSK 인지 Certificate인지를 구분하는 것이지, PSK의 값이 다른것을 구분하지는 않는다. "Dialup_A"가 "fortinet" 이라는 PSK를 사용하고, "Dialup.. 2021. 4. 15. IKE port 변경 : FortiOS 7.0 IKE 통신 port는 일반적으로 UDP 500을 사용하고, NAT-T 설정에서 중간에 NAT장비를 만나면 UDP 4500으로 변경되어 통신한다. 특정 ISP에서는 UDP 500을 차단하여 VPN 연결이 안되는 경우도 있다. FortiOS 7.0 에서는 아래의 명령어를 이용하여 IKE port를 변경할 수 있다. # config system settings set ike-port : (1024 - 65535, default = 500) set ike-natt-port : (1024 - 65535, default = 4500) end 2021. 4. 1. Interface mode에서 Phase 1 이름 글자 수 제한 FortiGate의 IPsec VPN에서 Interface mode일 경우 Phase 1의 이름 글자 수는 15자로 제한되어 있다. Site-to-Site VPN'에서는 특별한 문제가 없지만, DIal-UP VPN일 경우 문제가 발생할 수 있다. Dial-up VPN의 Phase1 이름이 "P1" 이라면, 터널이 연결될 때 마다 "P1_1", "P1_2", ........, "P1_n" 형식으로 이름이 붙는다. 이렇게 되면 위 예에서는 문제가 없지만, 원래 Phase1의 이름이 14자 라면, "_n"이 붙을수 없기 때문에 터널 연결이 전혀 되지 않는다. Dial_up Phase1 이름이 14자 이상 : 모든 터널 실패 Dial_up Phase1 이름이 13자 : 10번째 터널 부터 연결 실패 Dial_u.. 2021. 3. 29. 이전 1 ··· 3 4 5 6 7 다음
