본문 바로가기

FortiGate/SSLVPN71

특정 IP 대역만 SSLVPN 접속 가능하도록 설정 SSLVPN을 접속하는 원격 클라이언트의 IP 대역에 대해, 특정 IP 대역에 대해서만 접속 가능하게 하는 설정이다. 예를 들어 Geography IP를 활용해서 특정 국가에서만 SSLVPN 접속가능하게 할 수 있다. GUI에서는 VPN > SSL-VPN Settings 메뉴에서 설정 할 수 있다. CLI에서는 다음과 같이 설정한다. 반대로 특정 IP 대역만 제외하고 나머지 모두에게 허용하는 방법도 가능하다. 예를 들어 Geography IP를 활용해서 특정 국가를 제외한 모든 IP에서 SSLVPN 접속하도록 하는 것이다. 이 설정은 CLI에서만 가능하며, enable하면 "source-address"에서 설정한 IP에서는 SSLVPN 접속이 불가능하며, 그 외 모든 IP들에서는 접속이 가능하다. 2021. 2. 3.
SSLVPN Web mode에서 CPU와 메모리 사용율이 높은 이유 SSLVPN Web mode는 터널모드를 사용할 수 없을 경우에 대비해 단기간 사용할 목적으로 설계 되었다. Web mode는 웹 접속을 통해 특정 프로토콜(FTP, HTTP/HTTPS, RDP, SMB/CIFS, SSH, Telnet, VNC, and ping)의 통신을 지원한다. 해당 프로토콜의 요청 및 응답을 HTML5 스트림 변환해야하기 때문에 CPU와 Memory의 리소스 사용이 높아진다. 해당 작업을 하는 프로세스는 "guacd" 데몬이다. SSLVPN 웹 모드를 사용하면서 "guacd" 프로세스의 수가 많고, CPU/Memory 점유율이 높을 경우에는 Web mode 사용자 수를 제한하고 터널 모드를 사용하도록 해야 한다. SSLVPN 웹 모드는 사용하는 프로토콜/화면해상도 등에 따라 다르지.. 2021. 1. 29.
SSLVPN 클라이언트의 로컬 IP와 접속할 내부 대역이 겹치는 경우 아래 그림 처럼 클라이언트의 물리적인 인터페이스 IP 대역과, SSLVPN 을 통해 접속해야 할 내부 네트워크 대역이 겹치는 경우 해결하는 방법이다. 간단하게 VIP를 이용하여 해결한다. 1. 먼저 VIP 대역을 Policy & Objects -> Addresses에서 생성한다. 2. VIP 대역으로 Split 라우팅을 설정한다. 3. VIP 대역에서 내부 대역으로 매핑되도록 VIP 를 설정한다. Policy & Object -> Virtual IPs 4. 생성한 VIP를 이용하여 방화벽 정책을 설정한다. Policy & Object -> Firewall Policy 2021. 1. 25.
SSLVPN 최대 접속자 수 현황 확인 SSLVPN은 최대 동시 접속자 수는 FortiGate 모델마다 다르며 각 모델별 Datasheet에서 확인가능하다. 각 장비별 메모리 사이즈에 따라 동시 접속자 수는 달라진다. 아래는 FortiGate-100F에 대한 Datasheet 확인 내용이다. # diag vpn ssl statistics 명령어로 장비가 리부팅된 후의 SSLVPN 접속 현황 확인이 가능하다. Max number는 리부팅된 후 최대 동시 접속 수를 표시하고, Current number는 현재 접속 상황을 표시한다. Max number user : 최대 접속자 수 Max number of tunnel : 최대 SSLVPN 터널 수 Max number connections : 최대 SSLVPN 세션 수 (SSLVPN을 통한 트래픽 .. 2021. 1. 21.
Fortigate SSL-VPN ldap 연동 시 User 대소문자 구분 Fortigate SSL-VPN LDAP User 대소문자 구분 SSL-VPN 설정하면서 연동 된 LDAP을 SSL-VPN 정책 Source address 부분에 적용시키는 경우, SSL-VPN 접속할 때 Fortigate가 User를 LDAP으로 Query 하는데 이 때 User의 대소문자를 구분하지 않는다. / LDAP이 대소문자를 구분하지 않음 EX). LDAP Username : EBTuser 그래서 SSL-VPN 접속 시 ebtuser, Ebtuser 이렇게 로그인 시도를 해도 로그인이 가능하다. 만약 LDAP User를 Fortigate에 LDAP User로 등록한 다음 SSL-VPN 정책 Souce address에 LDAP User를 적용시키면, Fortigate는 대소문자를 구분하기 때문에.. 2021. 1. 21.