본문 바로가기

FortiGate652

v7.2.4 : maintainer 계정 기능 삭제 FortiGate에서 관리자 password를 잊어버릴 경우 maintainer 계정을 이용하여 복구 할 수 있었다. FortiOS v7.2.4 부터는 보안상의 이유로 maintainer 계정이 삭제되어, 위의 방법으로 password 복구는 불가능하다. 콘솔을 연결하고, TFTP를 통하여 펌웨어를 다시 업로드하는 방식으로 바뀌었다. 1) 장비에 콘솔을 연결하고 TFTP를 이용하여 펌웨어를 업로드한다. 2) 펌웨어를 다시 로드하면 설정이 공장 기본값으로 변경된다. (admin 계정에 password없이 접근 가능) 3) config backup 파일에서 관리자 계정의 password를 변경하여 restore 한다. backup 파일에서 " config system admin"에서 "super_admin".. 2023. 2. 2.
Config restore 할 때, 'failed to restore system configuration' 에러와 함께 복원 불가능한 경우 FortiGate 저장공간이 작은 30,50 시리즈 모델에서, Config restore 할 경우 'failed to restore system configuration' 에러와 함께 restore가 안되는 경우가 있다. 저장 공간이 작은 장비에서 발생하는 문제로, 사용중인 저장공간을 확보하여 사용 가능한 저장 공간을 늘리면 restore가 가능하다. 1) IPS의 패턴 시그니처 데이터베이스의 크기를 줄인다. 용량이 큰 extended 가 아닌 regular로 설정 한다. 2) 펌웨어에 따라 Antivirus의 패턴 시그니처 데이터베이스의 크기를 줄인다. (v6.4 부터 normal 데이터베이스 없음) 3) 국가별 IP 데이터베이스를 삭제한다. 주의) 장비가 리부팅 된다. 이렇게 해도 restore가 불.. 2023. 2. 2.
VLAN의 Physical Interface 및 Protocol 변경 VLAN은 한번 설정하고 나면 VLAN의 연결된 Physical Interface, Protocol 은 변경이 불가능하다. VLAN ID의 경우 FortiOS v7.0 부터 변경 가능하다. CLI에서 변경하려 해도 "Command fail. Return code -522" 에러와 함께 변경이 불가능하다. 꼭 변경해야 한다면 config를 백업 받아서, VLAN 설정을 변경하고 Restore하면 가능하다. 단 이런 경우 FortiGate가 리부팅 하게 된다. 2023. 1. 30.
Radius 서버로 부터의 응답(access/challenge) timeout 늘리는 방법 Radius 서버로 인증요청을 하고 그 응답(Access Response/Access challenge)을 기다리는 default 시간은 5초이다. (Access challenge : 2-factor 인증 요청) 하지만, FortiGate와 Radius 서버 사이에 여러개의 hop을 거치면서 응답 시간이 늦어지거나, Radius 서버가 여러 Radius Client로 부터 인증요청을 처리하느라 응답이 늦어 질수 있다. 응답이 늦어짐에 따라 FortiGate에서 여러번 인증 요청을 하여 OTP를 여러번 수신(email/sms OTP)할 수도 있다. Radius Server의 인증 요청 시간을 늘리는 방법은 아래와 같다. config user radius edit set timeout end 2023. 1. 30.
각 라우팅 별 distance 기본 값 각 라우팅 프로토콜별 distance 기본값은 다음과 같다. 일반적으로 관리자가 직접 입력한 static 라우팅이 동적 라우팅보다 우선하게 된다. IPsec VPN을 맺을때 VPN 통신을 하게되는 Peer IP address는 Distance가 15로, 관리자가 직접 입력한 static 보다 높다. 하지만, Peer IP address는 일반적으로 ip range가 더 작기 때문에 distnace는 높지만 우선 적용 된다(https://ebt-forti.tistory.com/146). SD-WAN으로 설정한 라우팅은 distance가 1로 제일 우선 처리되도록 되어 있다. SD-WAN rule로 설정된 트래픽에 대해서는 Policy Route로 동작하기 때문에 위 distance 보다 우선해서 동작하게 .. 2023. 1. 25.

티스토리툴바