daily

fortigate maximum values 확인하기

fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.

예를 들면 address 객체라던가.. profile 개수라던가 fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠

먼저 fortigate maximum value는 위 홈페이지에서 확인이 가능합니다.

위 홈페이지 접근 시 화면

Software Version과 Models을 선택 후 OK 버튼 클릭

FortiOS - 7.2.4

Fortigate 모델 - Fortigate 100F 

선택

빨간색 박스 show를 All로 바꿔주면 모든 1,2,3,4,5 탭이 나눠지지 않고 한 화면에 나오기 때문에 보기 편합니다.

fortigate-100F OS 7.2.4 기준 antivirus.profile은 32개까지 등록이 가능하고

VIP 및 address 객체, static routing, PBR 등 많이 사용하는 설정들을 최대 몇 개까지 설정이 가능한지 확인해 줍니다.

policy 또는 VPN은 datasheet를 통해서도 확인이 가능해서 여기서 첨부하지는 않았습니다.

이 외에도 여러 설정들의 최대 등록값 확인이 가능해서 유용한 홈페이지입니다.

fortigate maximum values 확인하기 끝

fortigate syslog 설정 방법

fortigate GUI, CLI에서 syslog 설정이 가능합니다

먼저 fortigate GUI > Log & Report 탭 > Log Settings > Send logs to syslog 활성화

syslog 서버의 IP 주소 또는 FQDN을 입력해줍니다.

설정이 아주 간단하죠?

여기서 IP를 입력해주시고 꼭! 아래 Apply 버튼을 눌러주셔야 저장이 됩니다.

다음은 fortigate CLI에서 syslog 설정 방법

먼저 fortigate CLI > config log syslogd ? 입력 시 화면

fortigate는 syslog를 동시에 최대 4개의 syslog 서버로 전송이 가능합니다.

다음 setting

fortigate CLI > config log syslogd setting > set status enable 후

set server < syslog server IP 및 FQDN 입력만 해주면 syslog는 전송이 됩니다.

추가적으로 CLI에선 syslog 보내는 port 변경이나 UDP > TCP 변경, Log format등도 변경이 가능합니다.

fortigate syslog 설정 방법 끝

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법

fortigate debug addr filter 부분에 and, or, not 연산자를 사용하여 좀 더 세밀하게 debug가 가능합니다.

먼저

1. and 연산자

fortigate CLI > diagnose debug flow filter addr <> and

IP 입력 후 마지막에 and를 넣어주고 설정한 filter를 확인해봅니다.

2. or 연산자

and 연산자와 동일하게

fortigate CLI > diagnose debug flow filter addr <> or만 적어주시면 됩니다.

3.  not 연산자

not 연산자의 경우  fortigate CLI > diagnose debug flow filter addr <> IP 부분의 숫자를 내림차순으로 적는 경우 not이 적용됩니다

오름차순으로 적는 경우에는 범위로 적용됩니다.

fortigate debug 시 addr filter에 and, or, not 연산자 사용 방법 끝

fortigate execute ping-options source 사용법

fortigate에서 source를 지정하여 ping 시도 여러 가지 활용 방법이 있겠지만 일반적으로 ipsec-vpn에서 client가 없을 시 local interface IP로 상대방과 통신 체크를 합니다.

설정방법

fortigate CLI > execute ping-options source <IP 입력>

source IP를 지정하고 설정이 잘 되었는지는 execute ping-options view-settings 명령어 입력

source IP만 10.10.10.1 지정해놓은 상태에서 ping 시도를 할 경우 fortigate는 10.10.10.1로 목적지 IP와 통신 시도를 합니다.

주의하셔야 할점은 source ping의 경우 nat가 적용되지 않아 외부(인터넷구간) 등에는 사용이 어렵습니다.

source IP 외 상세 설정도 변경이 가능합니다. execute ping-option ? 하면 아래 이미지에 있는 옵션값들의 설정 변경이 가능합니다.

fortigate execute ping-options source 사용법 끝

fortigate VRF(Virtual Routing and Forwarding) 설정

VRF는 하나의 라우터에 여러개의 routing table을 생성하여 분리시키는 기술입니다.

fortigate VRF는 Interface 별로 routing table을 분리시킵니다.

fortigate VRF 설정방법은

CLI > config system interface > edit <Interface Name> 진입 후

set vrf <>

fortigate VRF default 값은 0 입니다.

위에는 Test 설정이므로 inactive는 신경쓰지 않으셔도 됩니다.

wan1 Interface에 VRF를 10으로 설정하여 fortigate에서 routing table을 확인

default로 있는 VRF 0과 wan1 Interface에 설정한 VRF 10으로 분리되어 있는걸 확인할 수 있습니다. / VRF설정은 0~31 사이 숫자로만 가능하여 총 32개 생성이 가능합니다. 

트래픽 흐름은 동일한 VRF가 있는 인터페이스 간에만 전달합니다.

추가로 동적 라우팅 프로토콜은 BGP와 OSPF만 지원하며 VLAN 및 IPsec Interface에도 VRF 설정이 가능합니다.!

fortigate VRF(Virtual Routing and Forwarding) 설정 알아보기 끝

fortigate ECMP(Equal Cost Multi-path) 동작

ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는

1, 가장 작은 서브넷

2. distance가 낮은것

3. priority가 낮은것

4. 마지막은 위 세가지 조건이 모두 동일할 경우 ECMP로 동작합니다.

위 내용은 이전 routing table관련 포스팅에도 쓴 적이 있습니다.

ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다.

fortigate CLI > config system settings > set v4-ecmp-mode <> / default 설정은 source-ip-based 입니다.

source-ip-based : source IP 균등 분할

weight-based : session을 백분율로 계산하여 분산

usage-based : 인터페이스에 임계값을 설정하여 설정한 임계값을 초과할 때까지 사용한 다음 인퍼테이스로 전송

source-dest-ip-based : source-ip-based처럼 균등 분할하지만 destination IP에 대해 전달되는 동일한 경로로 전송

fortigate ECMP(Equal Cost Multi-path) 동작 알아보기 끝

Fortigate session ttl 설정 방법

Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다.

1. global에서 session ttl 변경

CLI > config system session-ttl 진입

default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다

-

2. service에서 변경

GUI에서는 session ttl 변경이 불가능합니다.

CLI > config firewall policy > edit <>

set session-ttl

policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다.

-

3. service에서 변경하기

service도 CLI에서 변경해줍니다.

CLI > config firewall service custom > edit <>

service에서도 마찬가지로 set session-ttl 하셔서 변경해주시면 되고 default가 0으로 설정되어 있습니다

0의 의미는 상위 설정의 ttl값을 따른다는 의미입니다.

global > policy > service 순으로 global이 3600 policy,service 둘 다 0으로 설정되어 있으면 policy, service 3600초로 동작합니다.

추가로

위 모든 설정들에서 session ttl을 무한대로 설정할 수 있습니다.

set session-ttl <never> 로 설정해주시면 됩니다.

never는 히든 명령어라서 보이지 않고 직접 입력해 주셔야 합니다.

이상

Fortigate session ttl 설정 방법 알아보기 끝

Fortigate GUI 연결 안 될 때 확인사항

여러가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다

1. Fortigate Interface allowaccess

Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우

-

2. Trusted host가 설정되어 있는 경우

Trusted host가 설정되어 특정 접속이 불가능할 경우

-

3. Access Port가 변경되어 있는 경우

HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우

-

4번부터는 가능성이 조금 적습니다 보통 위에 경우에서 설정에 의한 접근 불가능은 웬만하면 해결이 됩니다.

4. VIP(Virtual IPs)가 설정되어 있는 경우

접근하려고 하는 Interface의 IP와 HTTPS/HTTP Port를 혹여나 잘못 설정해놓았을 경우

-

5. local-in-policy가 설정되어 있는 경우

local-in-policy의 경우 CLI에서만 설정이 가능합니다.

CLI > config firewall local-in-policy > edit <>

접근하려고 하는 Interface에 local 차단 policy가 설정되어 있는 경우

Fortigate GUI 연결 안 될 때 확인사항 알아보기 끝

Fortigate execute factoryreset 공장초기화 하기
Fortigate 공장초기화 하는 방법은 여러가지가 있습니다.
TFTP, GUI에서 Revisions, CLI 명령어등
1. TFTP의 경우 장비 리부팅 시 진행하는 방법입니다. 현재의 OS를 날려버리고 새로운 OS로 올리는거죠
어떻게 보면 초기화보단 재설치가 맞는 표현이기는 합니다..

2.GUI에서 Revisions

Fortigate GUI > 오른쪽 상단 Login 계정 클릭 > Configuration > Revisions으로 진입하면 Config를 장비 처음 on 했을 때 저장해놓고 공장초기화로 돌리고 싶으면 Revert를 해주면 됩니다.
그 외 Revisions 기능을 활용하여 저장된 config를 비교해볼수도 있습니다.
그다음 관리자가 로그아웃할 때마다 revision에 config를 저장하도록 설정할 수도 있습니다

3. CLI에서 명령어
- Fortigate CLI > execute factoryreset 명령어 입력
해당 명령어를 입력하면 Fortigate 구성에 대한 모든 변경 사항을 지우고 장비를 처음 on 하고 나서 세팅값(default IP만 세팅되어 있는 상태)으로 되돌립니다.
excute factoryreset2 명령어 입력은 위 execute factoryreset과 조금 다릅니다.
모든 변경 사항을 지우는 게 아닌 VDOM, Static Routing, Interface settings을 제외한 나머지 설정들을 초기화 시킵니다.
excute factoryreset2를 사용하여 초기화 시키면 Interface 정보가 남아 있어서 초기화 후에도 기존 IP로 Fortigate에 접근이 가능합니다.
Fortigate execute factoryreset 공장초기화 하기 끝

Fortigate SSL-VPN 10, 80, 98% 멈춤 현상 시

시도해 볼 만한 작업

10, 80, 98% 외 특정 %에서 Fortigate SSL-VPN 로그인이 멈추면 현상을 해결하는 방법이 있기는 합니다.

보통 구글 검색 시 Fortigate SSL-VPN <>% 이렇게만 검색을 하여도 해결 방법이 나오는 경우가 많습니다.

SSL-VPN 설정 문제라던가, host check 때문이라던가 등등!

10%의 경우

Forticlient가 설치된 PC의 네트워크 문제 Fortgate와 통신 확인

80%의 경우

SSL-VPN ID / PW 확인 또는 해당 사용자 portal Mapping과 정책 확인

98%의 경우 

먼저 해볼 수 있는 작업은

Forticlient 프로그램 삭제 후 재설치입니다. 삭제하고 나서 재부팅 후 설치해야 하고요

등등 여러가지가 있지만 확인하거나.. 또는 특정 %에서 멈춘 상황이 있으시면 댓글 남겨주시면 확인 후 내용 수정하도록 하겠습니다.