FortiGate639 Dead Peer Detection (DPD) 설정 터널의 IPsec SA는 터널이 구성되고 난 후 일반적으로 만료 될 때까지 다시 협상하지 않는다. 대부분 설정한 시간이 지나면 IPSec SA는 만료된다. 그런데 IPsec SA가 만료되기 전에 네트워크 장애가 발생하여 사이트 사이의 통신이 중단 되더라도, 피어는 계속해서 터널을 통해 트래픽을 보내는 문제가 발생한다. DPD가 활성화되면 DPD 프로브가 전송되어 fail된 터널을 감지하고, 해당 IPSec SA를 중지 한다. DPD는 동일한 목적지에 대한 redundant 터널이 구성된 상태에서, primary 터널에 문제가 생기면 DPD로 체크하여 backup 터널로 fail-over하는 방식에 매우 유용한 방법이다. On demand : outbound 트래픽만 있고, inbound 트래픽이 없는 경.. 2021. 1. 14. FortiLink 때문에 Transparent mode로 변경이 안되는 경우 FortiLink 가 설정되어 있는 상태에서 Tranparent Mode로 변경하는 경우 아래의 에러가 발생한다. 해결방법은 FortiLink를 disable 하는 것이다. # config system interface edit "fortilink" set vdom "root" set fortilink enable 2021. 1. 14. NAT Traversal 설정 일반적으로 IPSec VPN에서 VPN 연결 설정을 위한 IKE는 UDP 500을 통해 통신하고, 실제 VPN 터널을 통해 통신하는 데이터는 ESP (IP protocol 50)을 사용 한다. ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. NAT의 경우 IP가 변경되면서 원본 IP/port number와 변경된 IP address/port number를 매칭하는데, ESP는 port number가 없기 때문에 NAT를 지원하지 않는다. 이를 해결하기 위해 NAT Traversal 기능을 사용한다. NAT Traversal을 enable하면 처음에 UDP 500을 통해 VPN 협상을 시도하다가, 중간에 NAT 장치가 발견되면 UDP 4500을 통해 VPN 협상을 진행한다. 협상이 .. 2021. 1. 14. Secondary IP를 이용하여 VPN 연결 설정 IPsec VPN에 사용되는 IP가 Secondary IP의 경우 Custom VPN으로 아래의 Local Gateway 항목을 활성화하여 설정한다. 2021. 1. 14. FortiGate NTP 설정 관련 Product : FortiGate Detail : FortiGate에 Custom하게 NTP(Network Time Protocol) 서버를 설정하는 방법 Solution : -1. FortiGate의 NTP서버를 '내부의 NTP서버', 혹은 '타 NTP서버'를 등록해야할 경우, System > Settings 에서 Manual settings으로 설정하여야 함. Default NTP Server는 FortiGuard 서버임. 동 매뉴에서 TimeZone 설정 후, .# Config system ntp 명령어를 를 이용하여 NTP 서버 설정 가능. # set 명령어를 통해, NTP sync에 대한 세부 설정을 하고, # edit ntpserver 명령어를 통해, 실제 등록할 내/외부 NTP server.. 2021. 1. 13. 이전 1 ··· 117 118 119 120 121 122 123 ··· 128 다음
