FortiGate654 특정 domain에 대한 DNS forward 설정 FortiGate 또는 FortiProxy에서 특정 도메인에 대한 DNS query를 다른 DNS 서버로 전달하는 설정이다. 테스트 구성 아래의 네트워크 토폴로지와 같다. 내부에 DNS 서버가 있지만 해당 서버는 "*.ttt.com" 도메인에 대해서만 IP를 응답하고, 다른 모든 Domain에 대한 query에 대해서는 IP를 응답 하지 않는 경우가 있다. 이럴때 내부사용자는 "*.ttt.com" 에 대해서도 엑세스 해야하고, 외부 인터넷에 대해서도 엑세스가 가능해야 한다. 내부사용자의 DNS서버를 FortiGate 인터페이스 IP로 설정한다. FortiGate에서는 "*.ttt.com"에 대한 DNS query는 "192.168.1.55"로 forwarding 해서 응답을 받고, 그 외 Domain에 .. 2023. 8. 8. DNS Cache 삭제 명령어 # dia test application dnsproxy ? dns 에 대한 다양한 명령어를 보여준다. FortiGate 로컬에 저장된 DNS cache를 삭제하려면 " # dia test application dnsproxy 1"을 해주면 된다. 2023. 8. 8. 'Heartbeat packet lost' log에 대한 설명 FGCP HA Active-Passive 또는 Active-Active에서 'Heartbeat packet lost' 가 발생하는 경우가 있다. 'Heartbeat packet lost' 로그는 "HA Hold-down timer" (default 1.2초)동안 HA 상대방이 heartbeat packet을 수신하지 못했을때 발생한다. "HA Hold-down timer" 계산식은 다음과 같다. 'Heartbeat packet lost' 로그가 발생하는 이유는 다양한 원인이 있다. Heartbeat 연결 link 문제, Heartbeat 인터페이스 문제, CPU 문제, 세션 sync 트래픽 과다로 인한 Heartbeat 손실 등이다. 권하는 사항은 Heartbeat link의 이중화 및 트래픽 처리하는 .. 2023. 8. 8. DPD가 disable 상태에서 상대 gateway와 연결이 끊어진 경우 터널이 다운되는 시점 IPSec VPN에서 Phase1의 DPD가 disable 상태에서, 상대방 remote gateway와 연결이 끊어진 경우 IPsec 터널이 down 되는 시점에 대한 설명이다. Keylife 시간이 만료되면 터널은 down 된다. 2023. 8. 8. Palo Alto와의 IPsec VPN에서 Phase 2 연결 문제 Palo Alto와의 IPsec VPN에서 하나의 Phase 1으로 여러개의 Phase 2를 연결 할 경우, 일부만 연결되고 나머지는 연결이 안되는 경우가 있다. 디버그를 확인해보면 Palo Alto에서 삭제 request를 받아서 FortiGate에서 Phase2를 삭제하는 현상이다. 이 문제는 위해서 Palo Alto와 IPsec VPN을 policy-based로 설정해야 한다. 2023. 8. 7. 이전 1 ··· 38 39 40 41 42 43 44 ··· 131 다음
