본문 바로가기

분류 전체보기867

FortiAP를 FortiCloud로 관리하려면 무슨 라이센스가 필요할까? Product : FortiAP FortiCloud Detail : FortiCloud를 통한 FortiAP 관리시, 필요한 라이센스 관련 1. 라이센스의 종류 및 지원 기능 2. 라이센스 만료시의 동작 Solution : FortiCloud를 통한 FortiAP의 Management는 기본적으로는 라이센스가 필요하지 않습니다. FortiCloud에 로그인하여, FortiAP 장비의 표면에 붙은 클라우드 키를 입력함으로서 관리자 계정에서 다수의 AP에 대한 제어가 가능합니다. 다만, Multi-Tenancy 기능을 사용하려거나, Log의 장기보존, 24x7 FortiCare 서비스를 받고자 한다면 각 FortiAP별로 후술할 라이센스의 구독이 필요합니다. -1. 라이센스의 종류 및 지원 기능 [참조] 라.. 2021. 1. 20.
Dialup VPN 트래픽 로그에 username 기록하기 일반적으로 Wizard를 이용하여 Dialup IPsec VPN 을 생성하면, 아래와 같이 XAuth의 사용자 그룹을 IPsec Phase1 에서 설정한다. 이렇게 설정하고 Dialup VPN 에 접속하여 트래픽을 발생시키고 로그를 확인하면 아래처럼 사용자 이름을 확인 할 수 없다. 트래픽 로그에 로그인한 사용자 이름을 남기고 싶으면, XAUTH 설정을 아래와 같이 "Inherit from policy"로 설정하고, 해당 방화벽 정책에 UserGroup을 추가한다. 위와 같이 설정한 후, 접속한 사용자의 트래픽 로그는 아래와 같이 사용자 이름이 기록된다. 2021. 1. 19.
SSLVPN 클라이언트에 내부 네트워크와 동일한 IP 할당 SSLVPN 터널 모드에서 클라이언트가 접속하면 SSLVPN 가상 인터페이스에 IP를 할당 받는데, 이를 내부 네트워크와 동일한 IP 대역으로 할당 하는 방법이다. 아래 구성도에서 내부 대역은 "192.168.39.0/24" 인데, SSLVPN 접속해서 할당 받는 대역은 "192.168.39.200~210" 할당하는 설정이다. 내부 네트워크와 SSL-VPN tunnel interface의 IP가 동일한 subnet임으로 이를 허용 하도록 설정한다. # config system settings set allow-subnet-overlap enable end Split-mode와 Full tunnel 모두 사용 가능하다. 사용자가 로그인하면 아래와 같이 IP를 할당 받고, 해당 IP로 통신한다. 이 상황에서.. 2021. 1. 19.
FortiGate의 관리자 비밀번호를 분실하였을 때의 대처방법 Product : FortiGate Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법 1. FortiGate Maintainer 계정에 대해서 2. 복구 방법 3. FortiOS v7.2.4부터 Maintainer 계정 삭제 Solution : -1. FortiGate Maintainer 계정에 대해서 FortiGate에서는 Admin권한 유저의 패스워드 분실을 해결하기 위해 Maintainer라는 복구 전용 ID가 존재함. 이는 제한된 권한만을 가진 특수계정으로 GUI 및 CLI상에서 유저로 표시되지 않음. Maintainer 계정의 특징은 다음과 같음. -FortiGate의 물리적인 전원제거 후에만 접속 가능 (execute reboot 등으로는 접속 불가) -제한된 명.. 2021. 1. 19.
Asymmetric routing : tcp-session-without-syn Asymmetric routing 환경에서, Syn 패킷이 아니면서 FortiGate에 세션도 없는 경우 세션을 만들어서 통과시키는 방법이다. 세션이 생성되기 때문에 로그를 남길 수 있으며 NP offload도 가능하다. 방화벽 정책을 매칭하여 세션을 생성한다. 이 기능을 이용하여 기존 세션이 존재하는 L2구간에 Transparent Mode로 들어갈때 기존 세션을 중단하지 않을 수 있다. 또한 기간이 아주 긴 장기 세션의 경우 방화벽의 세션 테이블에서 TTL로 삭제되고, Syn없이 클라이언트로 패킷을 먼저 보내는 경우도 해결 가능하다. tcp-session-without-syn 사용방법은 다음과 같다. 1. 먼저 System setting에서 tcp-session-without-syn 을 enable .. 2021. 1. 19.

티스토리툴바