FortiGate682 HA override wait timer FGCP A-P 설정에서 override 설정을 한경우, 마스터 장비에서 fail이 발생하여 secondary 장비로 마스터 역할이 넘어가고, fail이 발생한 장비가 다시 HA cluster에 진입하면 바로 마스터 역할을 하게 된다. 이때 fail back 하면서 master 역할을 바로 가져가게 되면, 세션 동기화가 마무리 되기 전이라 통신이 끊어질수 있다. override-wait-timer 옵션을 설정하여, fail back시 마스터 역할로 넘어가는 대기시간을 설정하여 정상적으로 세션 동기화가 마무리된 후 마스터 역할을 받아가도록 하는 설정이다. 해당 설정은 두장비 모두에게 설정할 필요는 없다. Priority가 높은(원래 마스터 장비)에만 설정하면 된다. # config system ha set.. 2020. 12. 31. IPS 엔진 종료 이유 확인 FortiGate v6.0 FortiGate v6.2 FortiGate v6.4 IPS 엔진이 종료된 이유를 확인하는 명령어 # diag test app ipsmonitor 3 ipsengine exit log: pid = 182(cfg), duration = 0 (s) at Thu Oct 29 23:43:02 2020 code = 11, reason: manual - manual : IPS 엔진이 동작할 필요 없는 설정(IPS 엔진을 사용하는 보안 기능 설정 없음) - cfg int : IPS 엔진과 관리 데이터베이스간의 통신 문제 - memory cap : IPS 엔진의 메모리 사용량이 모델별로 미리 정의 된 값을 초과한 경우 - seg fault : IPS engine crash 2020. 12. 31. 3rd party Radius 서버와 연결 안되는 경우 3rd Radius 서버와 연결 설정을 정확하게 했지만 연결이 안되는 경우. Radius 서버에서 연결 실패 횟수를 제한할 경우 연결이 안되는 상황 발생 할수 있음. 원인 - FortiGate에서 Radius 서버로 연결에 대한 auth-type이 default로 auto로 설정되어 있음 - auto의 경우 PAP, MSCHAP_v2, CHAP 순으로 연결 시도 - 만약 Radius 서버에서 연결실패횟수를 2로 제한하고 CHAP을 사용한다면, 앞서 시도한 PAP, MSCHAP_v2인해 2번의 연결실패가 발생하여 연결실패 횟수 초과로 연결안됨 - 만약 Radius 서버가 MS_CHAP을 사용할 경우도 연결 안됨 Solution : - auth-type을 auto가 아닌 수동으로 서버에 맞게 설정 2020. 12. 31. NP ASIC 종류에 따른 FortiGate 모델 Product: : Fortigate SoC2 (NP4Lite) SoC3 (NP6Lite) SoC4 (NP6XLite) NP6 NP7 FortiGate Rugged-60D FortiGate/FortiWiFi 60E FortiGate/FortiWiFi 61E FortiGate 60E-POE FortiGate 80/81E FortiGate 80/81E-POE FortiGate 100/101E FortiGate 100EF FortiGate 140E FortiGate 140E-POE FortiGate 200/201E FortiGate/FortiWiFi 40F FortiGate/FortiWiFi 40F-3G4G FortiGate/FortiWiFi 60/61F FortiGate Rugged-60F FortiGate.. 2020. 12. 31. FQDN을 사용한 정책에서 간헐적으로 deny 발생 Product : Fortigate Detail : 1. FQDN object를 방화벽 정책의 목적지로 사용할 때, 내부사용자가 해당 FQDN으로 간헐적으로 deny가 발생하는 경우. FQDN object에 대한 IP가 확인되었다가 cache된 시간이 지난후 일시적으로 확인되지 않아 발생. Solution : -1. 해당 FQDN object의 cache-ttl 값을 늘려서 확인된 IP를 더 오래 캐시되도록 설정. # config firewall address edit set cache-ttl 2020. 12. 31. 이전 1 ··· 132 133 134 135 136 137 다음
