본문 바로가기

FortiGate/SSLVPN70

FortiGate SSLVPN 암호화 알고리즘 본 포스팅은 FortiOS v7.2 기준. (v7.4 참조)SSL VPN 연결의 경우 TLS 버전 및 cipher suites는 다음 명령을 사용하여 제어된다. 2022. 7. 11.
'The server you want to connect requests identification, please choose a certificate and try again (-5)' error 메세지 Windows 7 OS 사용자가 SSLVPN 접속 시 'The server you want to connect requests identification, please choose a certificate and try again (-5)' 에러메세지와 함께 접속이 안된다. 이는 Windows 7이 Diffie-Hellman key 값을 1024만 지원하기 때문이다. 아래와 같이 dh-params를 1024로 설정하면 문제를 해결 할 수 있다. config system global set dh-params 1024 end 2022. 7. 8.
Tunnel Mode만 사용중에 SSLVPN Web login page 삭제 SSLVPN의 접속모드를 Tunnel mode만 사용하고, Web mode는 사용하지 않는데도 Web login 페이지가 표시된다. Tunnel mode도 동일한 접속 IP와 Port를 사용하기 때문에 접속 자체를 차단할 순 없지만, Web 페이지의 로그인 창을 표시하지 않을수 있다. System > Replacement Messages에서 "SSL-VPN Login Page" 를 수정하면 된다. 수정 창에서 ~~~~ 부분을 삭제하고 저장한다. 이후 Web Page에 접근헤도 페이지는 표시되지만, 로그인할 수 있는 입력창은 표시되지 않는다. 원복하는 경우는 System > Replacement Messages에서 "SSL-VPN Login Page" 를 수정 창에서 "Restore Defaults" 를 .. 2022. 6. 28.
FortiGate debug SSL-VPN daemon SSL-VPN 장애를 처리하기위해 SSLVPN 데몬을 debug 하는 경우 나타나는 메세지 설명이다. # diag debug app sslvpn -1 # diag debug enable 다음 메세지에서 SSL 핸드셰이크를 수행하는 데 사용된 클라이언트와 FortiGate의 TLS 버전 및 암호화 해시 알고리즘을 확인 할 수 있다. 다음 메세지에서 사용자 ID를 확인 할 수 있으며, 해당 사용자가 FortiGate Local에 있다는 것을 알수 있다. 다음 메세지에서 사용자 'willy'가 성공적으로 로그인 되었으며, 클라이언트 PC는 Mac OS이며, SSL portal은 'full-access' 가 적용되었음을 알 수 있다. 다음 메세지에서 'willy' 사용자가 policy ID 4와 매치 된것을 알.. 2022. 6. 13.
특정 %에서 SSLVPN 접속이 멈추는 경우 SSLVPN 접속시 10%, 40%, 48%, 80%, 98% 에서 멈추는 현상에 대한 설명이다. 1) 10% ◾ 일반적으로 네트워크 연결 문제 ◾ Client의 접속 요청이 FortiGate 까지 도달하는지 확인 : SSLVPN 접속 port가 올바른지 확인 ◾ ssl.root(VDOM) 사용하는 방화벽 정책 확인 ◾ VPN > SSL-VPN Settings에서 Server Certificate가 설정 되었는지 확인 2) 31% ◾ error -5029 에러 메세지 ◾ TLS 버전이 일치하지 않는 것 ◾ FortiGate에서 사용 중인 TLS 버전이 클라이언트에서 활성화되어 있는지 확인 3) 40% ◾ FortiGate의 인증서를 신뢰할수 없기 때문에 계속 진행 할것인 확인하는 단계. "보안 경고" 확.. 2022. 5. 16.