본문 바로가기

FortiGate/SSLVPN70

MacOS/iPhone 에서 SSLVPN 연결이 안되는 경우 MacOS/iPhone 에서 정확하게 로그인정보를 입력했지만 SSLVPN 연결이 안되는 경우가 있다. 위 디버그 명령어로 확인해보면, 아래의 메세지를 볼수 있다. sslvpn_dtls_timeout_check:312 waiting for client hello timeout 이는 MacOS/iPhone의 FortiClient 무료버전에서 DTLS를 지원하지 않아 발생 하게 된다. FortiGate에서 DTLS를 비활성화 하면 해결가능하다. 2023. 11. 27.
SSLVPN Web-mode에서 IP Pool 사용 FortiOS v6 펌웨어에서는 SSLVPN Web-mode 정책에서, 일반적인 방화벽 정책과 동일한 방법으로 IP Pool을 사용할 수 있었다. FortiOS v7.0.6 이상 또는 7.2 에서는 아래의 명령어를 설정 해야만 Web mode에서 snat 설정이 가능하다. 참고) 펌웨어 v7.4.1 부터는 위 명령어가 사라지고, v6 과 동일하게 사용가능하다. 2023. 10. 24.
클라이언트의 IP가 변경 되더라도 SSLVPN 연결 유지하는 방법 SSID가 변경 되는등의 이유로 SSLVPN 접속한 클라이언트의 IP가 변경되면 기본적으로 접속이 끊어지고 재연결(인증 필요)을 해야 한다. 이렇게 IP가 변경되는 경우 새로 인증을 받지 않고 연결을 유지하는 설정이다. FortiClient에서는 auto-connect 와 keep-alive를 enable해야 한다. 2023. 10. 4.
SSLVPN 정상 로그인은 되었으나, 내부 서버로 접근이 안되는 경우 Windows 11 사용자가 SSLPVN Tunnel 모드로 정상 로그인은 되었지만, 설정된 내부 서버로 접근이 안되는 경우가 있다. 터널 모드의 경우 로그인하게되면 FortiGate로 부터 DHCP로 IP를 할당 받게 되는데, 정상적으로 IP를 할당 받지 못해서 발생하는지 확인해야 한다. SSLVPN의 가상 이더넷 어댑터가, FortiGate에서 설정된 IP 대역이 아닌 169.254.x.x IP가 할당 되었다면 내부 서버와 통신을 할 수 없다. WIndows 11에서 원격 서버 관리 도구(KB2693643)를 설치했을 경우 위와 같은 현상이 발생한다. 아래의 명령어로 해당 업데이트를 삭제하고 다시 접속 하면 해결 할 수 있다. wusa /uninstall /kb:2693643 2023. 9. 12.
v7.4.1 : SSLVPN 메뉴 기본적으로 disable FortiOS v7.4.1부터 SSLVPN 메뉴가 default로 GUI에서 보이지 않는다. System > Feature Visibility 메뉴에서 'SSLVPN'을 enable 해야 GUI 메뉴에서 표시된다. 이렇게 하면 GUI에서 SSLVPN 메뉴는 살아나지만, Tunnel mode만 enable 되고 web-mode는 default로 disable되어 있다. SSLVPN portal을 새로 생성하더라도 아래와 같이 web-mode 선택 메뉴가 없다. 주의) Web-mode가 disable 상태라도 SSLVPN을 브라우저로 접속할 경우 로그인창은 표시됨 System global 설정에서 CLI 명령어로 web-mode를 enable 하면 web-mode가 표시된다. 하위버전에서 펌웨어가 업그레이드.. 2023. 9. 7.