본문 바로가기

분류 전체보기869

WatchGuard와 IPSec VPN에서 'Received ID did not match the configured remote gateway endpoint' 에러 FortiGate를 WatchGuard와 IPSec VPN 맺을때, WatchGuard에서 'Received ID did not match the configured remote gateway endpoint' 에러를 표시하는 경우가 있다. WatchGuard와 VPN을 맺을 FortiGate IP가 중간에 NAT되는 경우 발생하는 문제이다. 이럴경우 FortiGate의 설정을 아래와 같이 Phase1 설정을 변경하여 WatchGuard에 FortiGate의 실제 IP와 NAT되는 IP를 알려야 한다. 2023. 3. 2.
v7.2.4 : policy 설정 화면에서 flow/proxy inspection 설정 없음 v7.2.4이상의 Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다. 이전 버전에서는 Policy 설정 화면에서 Flow inspection과 Proxy Inspection을 선택할 수 있었지만, v7.2.4에서는 아래와 같이 설정 화면이 사라졌다. 다시 보이게 할려면 아래의 CLI 명령을 입력한 후, 관리자가 GUI를 재접속하면 표시된다. 2023. 2. 28.
SSLVPN Web-mode를 통해 서버 접근시 HTTP 401 Error SSLVPN Web-mode를 통해 서버 접근시 HTTP 401 Error가 뜨는 경우가 있다. HTTP 401 Error는 클라이언트 인증 관련 에러이다. SSLVPN Web-Mode는 Proxy 방식으로 동작하여, FortiGate가 Proxy 역할을 하고 Source IP는 FortiGate의 Outgoing 인터페이스 IP로 변경되어 서버로 연결된다. SSLVPN은 HTTP/HTTPS 연결의 경우, 웹 서버에 FortiGate의 Outgoing 인터페이스 IP가 아니라 클라이언트의 실제 IP를 알려주기 위해 default로 X-forwarded-for를 사용한다. 웹 서버에서 IP Header의 IP(FortiGate의 Outgoing 인터페이스 IP)와 HTTP header에 포함된 X-forw.. 2023. 2. 27.
SSL Deep inspection에서 인증서 변경 SSL Deep inspection에서 default 인증서(Fortinet_CA_SSL) 인증서를 사용하게 되면, 내부 사용자에게 인증서 경고창이 표시되게 된다. 이를 피하기위해 내부사용자 PC에 "Fortinet_CA_SSL" 인증서를 "신뢰할 수 있는 루트 인증기관"에 설치하여 이를 피할수 있다. 다른방법으로는 공인된 인증기관으로 부터 인증서를 발급 받아 사용하면, 내부사용자에 인증서 설치 단계 없이 경고창을 피할 수 있다.이 때 해당 인증서는 새로 암호화를 수행해야 하기 때문에, 그 때마다 인증서를 새로 발급해야 한다.따라서 CA 역할을 할 수 있는 인증서로 "cA=True, keyUsage=keyCertSign" 항목이 필요하다. 본 포스팅은 공인된 인증기관이 아닌, 사설 인증기관(FortiAu.. 2023. 2. 21.
라이선스 등록 후 GUI License Widget에 반영이 안되는 경우 일반적으로 라이선스를 등록하면 서버와 장비간의 동기화 시간이 필요하다. 일반적으로 등록후 4시간에서 24시간 정도 소요된다. 만약 충분한 시간이 지났는데도 GUI License Widget에 반영이 되지 않으면 debug를 해야 한다. debug에서 아래와 "Error allocating memory for rx buffer" 에러가 표시 될 수 있다. 이 에러는 updare 프로세스가 메모리 버퍼 할당에 문제가 있다는 뜻이다. 아래의 명령어로 update 프로세스를 다시 시작하면, 메모리가 확보되어 문제가 해결된다. # fnsysctl killall updated 2023. 2. 20.

티스토리툴바