본문 바로가기

FortiGate631

fortigate admin login 기록 확인하는 방법 fortigate 최신버전 GUI에서 alert messages가 보이지 않는다. / 5.6 미만버전에서는 GUI에서 확인 가능 최신버전부터는 CLI에서 확인이 가능 명령어 / diagnose alertconsole list 2021-01-14 17:36:47 System shutdown (Executed 'reboot' by "admin") 2021-01-08 15:27:49 Administrator admin from https(192.168.1.111) login failed 2021-01-08 08:57:43 Administrator admin from console login failed 2021-01-07 13:56:47 Administrator admin from https(192.168.1.. 2021. 1. 15.
FortiGate에서 SSL-VPN용으로 사용가능한 유저수 Product : FortiGate Detail : FortiGate에서 SSL-VPN 용도로 유저(=Local User) 등록시, 최대 등록할 수 있는 유저 수는? 1. FortiGate Maximum Value 란? 2. FortiGate DataSheet 관련. Solution : FortiGate에서는 방화벽에 직접 User 계정을 생성(ID/PW)하는 것을 Local User라고 표기하며, 각 모델별로 방화벽에 최대 등록 가능한 Local User 수에 차이가 있음. 이 Local User는 FortiGate 정책 및 VPN 등에서 쓰이며, 각 용도에 따른 최대 유저수 제한 존재. 아래의 예시와 같이, FortiGate-80E에 등록 가능한 총 Local User수는 500이지만, (1번 항목).. 2021. 1. 14.
Dead Peer Detection (DPD) 설정 터널의 IPsec SA는 터널이 구성되고 난 후 일반적으로 만료 될 때까지 다시 협상하지 않는다. 대부분 설정한 시간이 지나면 IPSec SA는 만료된다. 그런데 IPsec SA가 만료되기 전에 네트워크 장애가 발생하여 사이트 사이의 통신이 중단 되더라도, 피어는 계속해서 터널을 통해 트래픽을 보내는 문제가 발생한다. DPD가 활성화되면 DPD 프로브가 전송되어 fail된 터널을 감지하고, 해당 IPSec SA를 중지 한다. DPD는 동일한 목적지에 대한 redundant 터널이 구성된 상태에서, primary 터널에 문제가 생기면 DPD로 체크하여 backup 터널로 fail-over하는 방식에 매우 유용한 방법이다. On demand : outbound 트래픽만 있고, inbound 트래픽이 없는 경.. 2021. 1. 14.
FortiLink 때문에 Transparent mode로 변경이 안되는 경우 FortiLink 가 설정되어 있는 상태에서 Tranparent Mode로 변경하는 경우 아래의 에러가 발생한다. 해결방법은 FortiLink를 disable 하는 것이다. # config system interface edit "fortilink" set vdom "root" set fortilink enable 2021. 1. 14.
NAT Traversal 설정 일반적으로 IPSec VPN에서 VPN 연결 설정을 위한 IKE는 UDP 500을 통해 통신하고, 실제 VPN 터널을 통해 통신하는 데이터는 ESP (IP protocol 50)을 사용 한다. ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. NAT의 경우 IP가 변경되면서 원본 IP/port number와 변경된 IP address/port number를 매칭하는데, ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. 이를 해결하기 위해 NAT Traversal 기능을 사용한다. NAT Traversal을 enable하면 처음에 UDP 500을 통해 VPN 협상을 시도하다가, 중간에 NAT 장치가 발견되면 UDP 4500을 통해 VPN 협상을 진행한다. 협상이 .. 2021. 1. 14.