FortiGate/SSLVPN63 SSLVPN 속도가 느린 경우 : DTLS 사용 SSLVPN은 기본 설정으로는 TCP를 사용하여 encapsulation 해서 통신한다. TCP 안에 TCP packet을 캡슐화 하면서 timeout이나 기타 간섭등의 이유로 속도가 늦어질수 있다. 이런 경우 UDP를 이용하여 encapsulation하는 DTLS 통신을 설정 할 수 있다. FortiGate의 SSLVPN setting에서 "dtls-tunnel' 을 enable 한다. FortiClient 설정에서 "DTLS 터널 우선" 을 선택한다. 위와 같이 설정하고 SSLVPN을 연결할 경우 UDP를 통해 SSLVPN이 통신하는 것을 확인 할 수 있다. UDP를 사용하는 경우 packet 손실에 대한 문제가 있어 DTLS를 사용한다고 100% 속도가 빨라지는 것은 아니다. 환경에 맞게 설정하고 .. 2024. 3. 13. MAC address Check는 Linux, iOS, Android 지원 안됨 SSLVPN Host check에서 MAC address Check는 Linux, iOS, Android의 경우 FortiClient가 MAC Address를 확인하지 못하기 때문에 지원하지 않는다. SSLVPN에서 MAC address Check를 설정한 경우, 지원하지 않는 Linux, iOS, Android OS에 대해서는 허용되지 않은 MAC addrerss라도 체크를 우회하여 연결이 허용된다. (default 설정) SSLVPN portal 설정에서 "skip-check-for-unsupported-os enable" 되어 있기 때문이다. 이 설정을 disable 하게 되면 지원하지 않는 OS에 대해 SLSVPN 연결할 수 없게 된다. 2024. 1. 24. 2. failed [sslvpn_login_cert_checked_error] 처리 SSLVPN 설정에서 "Require Client Certificate" 가 disable 상태인데도, debug에서 " failed [sslvpn_login_cert_checked_error]"가 표시되는 경우가 있다. SSLVPN Setting에서 " ztna-trusted-client enable" 되어 있으면, ZTNA 클라이언트에 EMS가 발급한 인증서에 대한 검증을 하기 때문이다. 아래와 같이 해당 기능을 unset 하면 해결 할 수 있다. 2023. 12. 28. 1. failed [sslvpn_login_cert_checked_error] 처리 SSLVPN이 48%에서 멈추고, 'Credential or SSLVPN configuration is wrong (-7200)' 에러창을 표시하는 경우가 있다. 이때 아래의 명령어로 Debug를 해보면, " failed [sslvpn_login_cert_checked_error]"가 표시된다. diagnose debug application sslvpn -1 diagnose debug console timestamp enable diagnose debug enable : login_failed:384 user[willy],auth_type=32768 failed [sslvpn_login_cert_checked_error] : SSLVPN 설정에서 client의 인증서를 이용하여 2-Factor 인증을 .. 2023. 12. 28. "iprope_in_check() check failed" 에러와 함께, "Syn"만 받고 응답을 안보내는 경우 SSLVPN 연결시 Syn을 받지만 FortiGate가 응답을 보내지 않고, 디버그에서 "iprope_in_check() check failed" 에러를 발생하면서 연결이 되지 않는 경우가 있다. 이런 경우 SSL setting에서 'source-address all' 상태에서 'source-address-negate enable' 설정 때문에 발생할 수 있다. 'source-address-negate disable' 하면 해결된다. 2023. 12. 21. 이전 1 2 3 4 ··· 13 다음
