FortiGate/IPsec VPN35 Dialup VPN 트래픽 로그에 username 기록하기 일반적으로 Wizard를 이용하여 Dialup IPsec VPN 을 생성하면, 아래와 같이 XAuth의 사용자 그룹을 IPsec Phase1 에서 설정한다. 이렇게 설정하고 Dialup VPN 에 접속하여 트래픽을 발생시키고 로그를 확인하면 아래처럼 사용자 이름을 확인 할 수 없다. 트래픽 로그에 로그인한 사용자 이름을 남기고 싶으면, XAUTH 설정을 아래와 같이 "Inherit from policy"로 설정하고, 해당 방화벽 정책에 UserGroup을 추가한다. 위와 같이 설정한 후, 접속한 사용자의 트래픽 로그는 아래와 같이 사용자 이름이 기록된다. 2021. 1. 19. Dead Peer Detection (DPD) 설정 터널의 IPsec SA는 터널이 구성되고 난 후 일반적으로 만료 될 때까지 다시 협상하지 않는다. 대부분 설정한 시간이 지나면 IPSec SA는 만료된다. 그런데 IPsec SA가 만료되기 전에 네트워크 장애가 발생하여 사이트 사이의 통신이 중단 되더라도, 피어는 계속해서 터널을 통해 트래픽을 보내는 문제가 발생한다. DPD가 활성화되면 DPD 프로브가 전송되어 fail된 터널을 감지하고, 해당 IPSec SA를 중지 한다. DPD는 동일한 목적지에 대한 redundant 터널이 구성된 상태에서, primary 터널에 문제가 생기면 DPD로 체크하여 backup 터널로 fail-over하는 방식에 매우 유용한 방법이다. On demand : outbound 트래픽만 있고, inbound 트래픽이 없는 경.. 2021. 1. 14. NAT Traversal 설정 일반적으로 IPSec VPN에서 VPN 연결 설정을 위한 IKE는 UDP 500을 통해 통신하고, 실제 VPN 터널을 통해 통신하는 데이터는 ESP (IP protocol 50)을 사용 한다. ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. NAT의 경우 IP가 변경되면서 원본 IP/port number와 변경된 IP address/port number를 매칭하는데, ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. 이를 해결하기 위해 NAT Traversal 기능을 사용한다. NAT Traversal을 enable하면 처음에 UDP 500을 통해 VPN 협상을 시도하다가, 중간에 NAT 장치가 발견되면 UDP 4500을 통해 VPN 협상을 진행한다. 협상이 .. 2021. 1. 14. Secondary IP를 이용하여 VPN 연결 설정 IPsec VPN에 사용되는 IP가 Secondary IP의 경우 Custom VPN으로 아래의 Local Gateway 항목을 활성화하여 설정한다. 2021. 1. 14. IPsec VPN에서 응답 트래픽에 root 인터페이스가 보이는 경우 VPN 트래픽 통신장애로 패킷 sniffer를 했을때 아래 처럼 root 인터페이스로 응답하는 경우 # diagnose sniffer packet any ‘host 10.1.6.2 and icmp’ 4 0 a 2020-12-10 14:34:12.189914 VPN_Tunnel in 10.12.10.10 -> 10.1.6.2: icmp: echo request 2020-12-10 14:34:12.195421 root out 10.1.6.2 -> 10.12.10.10: icmp: echo reply 2020-12-10 14:34:12.195590 root in 10.1.6.2 -> 10.12.10.10: icmp: echo reply Debug를 보면 아래처럼 라우팅 경로를 root 인터페이스로 잡는 것이 .. 2021. 1. 13. 이전 1 ··· 4 5 6 7 다음
