FortiGate/SSLVPN

SSLVPN 속도가 느린 경우 : DTLS 사용

에티버스이비티 2024. 3. 13. 09:24

SSLVPN은 기본 설정으로는 TCP를 사용하여 encapsulation 해서 통신한다.  TCP 안에 TCP packet을 캡슐화 하면서 timeout이나 기타 간섭등의 이유로 속도가 늦어질수 있다.

 

이런 경우 UDP를 이용하여 encapsulation하는 DTLS 통신을 설정 할 수 있다.

 

FortiGate의 SSLVPN setting에서 "dtls-tunnel' 을 enable 한다.

 

FortiClient 설정에서 "DTLS 터널 우선" 을 선택한다.

 

위와 같이 설정하고 SSLVPN을 연결할 경우 UDP를 통해 SSLVPN이 통신하는 것을 확인 할 수 있다.

Log에서 DTLS 연결 확인

UDP를 사용하는 경우 packet 손실에 대한 문제가 있어 DTLS를 사용한다고 100% 속도가 빨라지는 것은 아니다.

환경에 맞게 설정하고 테스트 후 적용 해야 한다.

 

FortiOS v7.4.0 에서는 DTLS의 성능을 강화하기 위해 특정 네트워크 조건에 맞게 DTLS heartbeat 타이머를 조정하는 기능이 추가 되었다.

https://docs.fortinet.com/document/fortigate/7.4.0/new-features/774877/adjust-dtls-heartbeat-parameter-for-ssl-vpn

 

Adjust DTLS heartbeat parameter for SSL VPN | New Features

 

docs.fortinet.com