FortiGate/SSLVPN77 한 사용자가 여러 usergroup에 포함된 경우 동작 방식 SSLVPN에서 사용자 인증은 방화벽 policy를 먼저 확인해서 인증을 진행한다.예를 들어 아래와 같이 사용자 그룹별로 다른 IP를 할당 받도록 설정한 상태에서, 한 사용자가 여러 그룹에 속한 경우의 예이다. 이 상태에서 방화벽 정책이 Group1이 상위에 있도록 설정하고 'willy' 사용자가 접속하면, Group1_portal의 IP를 할당 받게 된다. 방화벽 정책이 Group2이 상위에 있도록 설정하고 'willy' 사용자가 접속하면, Group2_portal의 IP를 할당 받게 된다. 만약 방화벽 정책에 사용자 그룹이 아니라 user(willy)가 직접 포함되면, SSLVPN portal 매핑은 또 달라진다. 2025. 4. 1. iOS용 FortiClient에서 DTLS 활성화 방법 SSL VPN에서 아래와 같이 DTLS 연결을 설정한 경우, iOS용 FortiClient에서 DTLS 활성화 방법이다.config vpn ssl settings set dtls-tunnel enableend FortiClient(iOS) v7.2.1 이상 버전은 DTLS를 사용한 SSL VPN을 지원하며, default 설정은 비활성화 되어 있다.'About' > 'Advanced Settings' 메뉴에서 활성화 가능하다. 2025. 3. 20. SSLVPN : "Too many bad login attempts. Please try again in a few minutes." 에러 SSLVPN에서 로그인 시도를 여러번 실패할 경우 차단되도록 설정되어있다.이렇게 차단된 경우 아래와 같이 "Too many bad login attempts. Please try again in a few minutes." 또는 "잘못된 로그인 시도 횟수가 너무 많습니다. 몇 분 후에 다시 시도하십시오." 에러 메세지가 표신된다. 차단된 목록은 다음 명령어로 확인 할 수 있다. 차단된 목록을 확인했을때 하나의 IP만 차단되어 있는데, 여러 곳에서 다른 ID들이 모두 위 에러를 표시하면서 접속이 안되는 경우가 있다.이는 상단의 NAT장비가 SNAT을 적용해서 하나의 IP에서 접속하는 것으로 판단되기 때문이다. 이런경우 다른 IP에서 로그인 실패를 했지만, 동일한 IP로 판단되어, 처음 접속 시도해도 "To.. 2025. 2. 18. SSLVPN 로그인 실패 에러가 다수 발생하면서, sslvpnd의 CPU 점유율이 높은 경우 SSLVPN 데몬의 CPU 점유율이 높으면서, 'SSL user failed to log in' 로그가 다수 발생하는 경우가 있다.이는 공격자가 Brute force 공격으로 SSLVPN에 로그인 시도를 지속적으로 시도하는 경우이다. 다음의 방법으로 로그인 시도를 줄일수 있다.,SSLVPN Web Mode 접속을 차단 [참조 Link]SSLVPN 접속을 특정 국가로 제한 [참조 Link]Automation Stitch를 이용하여 로그인 시도 실패한 IP를 차단 [참조 Link]로그인 시도 횟수 제한 및 차단 기간 설정 [참조 Link]위와 같은 조치를 취했는데도 지속적으로 해당 문제가 발생한다면, SSLVPN을 dial-up IPsec VPN으로 변경하는 방법도 고려해 볼수 있다. 2025. 2. 13. Azure Entra와 SAML 연동 인증 후 'Credentials or SSLVPN configuration is wrong. (-7200)' 에러 발생 https://ebt-forti.tistory.com/search/7200 Azure Entra와 MFA를 이용한 SAML 인증을 적용한 SSLVPN에서, 'Credentials or SSLVPN configuration is wrong. (-7200)' 에러 발생 경우이다.Azure Entra에서 SAML MFA로 MFA를 수락한 후, 위 에러와 함께 사용자가 SSL VPN에 연결할 수 없게 된다. MFA 인증의 경우 원격 인증에 대한 timeout이 존재한다. 이 timeout의 default값은 5초이며, 5초이내에 응답을 받지 못하면 위 에러와 함께 인증을 완료 할 수 없게 된다.아래의 명령어로 인증 timeout값을 늘리면 해결 할 수 있다.config system global set r.. 2025. 1. 13. 이전 1 2 3 4 ··· 16 다음
