daily

fortigate dialup ipsec vpn 설정하기

Dialup vpn은 hub and spoke 구성에서 사용합니다.

위 구성도처럼 Dialup VPN server가 hub이고 branch office가 spoke입니다.

hub는 상대방의 공인 IP를 모르기 때문에 VPN 연결을 기다리고 있는 상태이고 spoke가 hub의 공인 IP로 VPN 연결을 시도합니다.

Fortigate GUI > VPN > IPsec Wizard > Template Type을 Custom으로 생성

이전의 site to site IPsec VPN과 설정은 거의 동일합니다.

IPsec VPN Phase 1설정

여기서 차이점은 Remote Gateway를 Dialup User로 변경하여 만들어줍니다.

그리고 Interface는 Wan1 설정

site to site 설정 시 상대방의 공인 IP를 입력해 주어야 했습니다.

dialup은 연결을 기다리고 있는 상태이기 때문에 먼저 연결 시도를 하지 않고 wan1으로 오는 연결에 대해서만 VPN을 맺습니다.

IPsec VPN Phase2 설정

여기서 참고해야 할 부분은 Local address와 remote address 부분

IP대역을 위 구성대로 설정하였지만 연결하려고 하는 spoke가 많을 경우

remote address를 0.0.0.0/0 으로 설정합니다.

이유는 다수의 spoke의 연결을 해야 하기 때문입니다.

VPN 정책 설정

Incoming Interface : Dialup-VPN

Outgoing Interface : DMZ

Source : all

Destination : dmz IP 대역 (10.1.100.0/24)

해당 설정 생성 후 Clone reverse 로 VPN 양방향 정책을 만들어줍니다.

여기까지 Dialup VPN Server(Hub)에서 IPsec VPN관련된 설정은 끝입니다.

라우팅의 경우는 VPN이 맺어지면 상대방 Remote address에 대한 라우팅이 static하게 자동으로 추가됩니다./ hub만 해당

Branch office(spoke)는 Dialup VPN Server의 Local address 대역을 수동으로 추가해줘야 합니다.

fortigate dialup ipsec vpn 설정하기

끝

fortigate ssl vpn mac address check

ssl vpn 접속 시 host의 mac을 check하여 vpn 접속 제어

forticlient VPN Only version 6.2~7.0.2 사이에서는 mac address check기능 지원이 안됨

forticlient VPN Only version 7.0.3 이상으로 설치 또는 유료버전 사용하여야 지원

현재 기본적인 ssl vpn 설정은 되어 있는 상태

fortigate ssl vpn mac address check 설정 방법

1. fortigate GUI에서 CLI Console로 접속 (해당 설정은 CLI에서만 가능)

SSL-VPN Portals > 설정되어 있는 full-access에 mac-addr-check를 활성화 ( default 비활성화 )

활성화를 하고 나면 action을 설정해야 합니다.

allow는 설정해놓은 mac-list와 일치하면 vpn 연결 허용

deny는 mac-list와 일치하면 vpn 연결 차단

저는 allow로 설정 후 Test PC에 mac address를 틀리게 입력하여 진행하였습니다. 

2. mac-list 설정

config mac-addr-check-rule 명령어 진입 후 mac-check rule 생성

저는 Test라는 이름의 rule을 생성해주고

Test PC의 틀린 mac address 입력

그리고 mac address 입력의 경우 1개의 mac address입력만 되는 게 아니라 한 칸 띄어 쓰고 다음 mac address입력하고 여러 개의 mac address를 등록할 수 있습니다.

여기까지가 설정의 끝입니다. end를하여 저장하고 나와줍니다.

ssl vpn 접속 시도

접속이 실패되고 경고메시지 확인

fortigate에서 mac address를 확인하지 못했다는 log 확인

Test PC의 원래 mac address를 입력

ssl vpn 접속 확인

fortigate ssl vpn mac address check 설정 방법

완료

fortigate firmware upgrade path

upgrade path를 확인하여 올바른 firmware upgrade 진행

upgrade path를 확인하고 진행해야 하는 이유

fortigate는 firmware upgrade 시 CLI에서만 변경 가능한 설정이라던가 다른 세부적인 설정부분이 변경될 수 있는데

upgrade path를 지키지 않을 경우 설정이 변경되는 부분에 대해 정상적으로 이뤄지지 않아서

장애가 발생할 수 있다.

upgrade path를 맞춰야 해당 부분이 version에 맞게 변경된다.

fortigate firmware upgrade path 확인방법

먼저 위 fortinet support site에 로그인 후

상단의 support를 클릭하여 firmware download

다음화면에서 upgrade path 탭으로

current produce : upgrade 할 fortigate model 선택

current fortios vsersion : fortigate의 현재 OS version

upgrade to fortios version : 해당 OS version으로 upgrade

지금 위 이미지에서는 Fortigate-100F model OS 6.2.3 > 7.0.5로 올리려고 한다.

GO 클릭

그러면 이렇게 OS version 6.2.3 > 7.0.5로 upgrade를 위해서는 5번의 upgrade를 진행해야 한다.

upgrade마다 재부팅이 진행됨

firmware upgrade는 fortigate GUI > System > Firmware에서 진행

fortigate firmware upgrade path 확인

필수

Fortigate site to site IPsec VPN 설정방법

지난번 SSL-VPN에 이은 Fortigate IPsec VPN 설정하기

site to site 구성

Fortigate site to site IPsec VPN 간단한 구성도

A, B Fortigate 간 VPN 연결

A Fortigate Internal IP 대역의 Host에서 B Fortigate Interal IP로 통신 시도

A Fortigate에서 VPN Tunnel을 통해 트래픽이 전달되는지 sniffer

먼저 Fortigate GUI 접속 후 VPN > IPsec Tunnels

IPsec Tunnel 생성

여러가지 생성방법이 있는데 저는 Custom으로 진행했습니다.

site to site로 설정하면 wizard 방식으로 진행되서 주소, 라우팅, 정책, Phase1,2가 자동으로 생성됩니다.

편하기는 하지만 Custom으로 만들면서 설정 부분을 익히거나 추후 수정할 때도 더 도움 된다고 생각합니다.

VPN Name은 Test-VPN

먼저 Phase1부터

Phase1는 A,B Fortigate간 인증 암호화 방식 등 보안관련

Phase2는 Tunnel로 통신할 data 보안관련

Static IP Address 선택 후 상대방 Wan IP 입력 Interface는 자신의 Wan Interface를 선택해줍니다.

다음

NAT Traversal과 DPD 설정

DPD는 상대방이 살아 있는지 감지

위의 설정의 경우 DPD 트래픽을 20초마다 한번씩 세번 시도

응답이 없을시 터널 다운

NAT Traversal은 A,B Fortigate 사이에 NAT 장비가 있을 시 활성화

외 Pre-shared Key, Mode, 암호화 알고리즘 설정 등 상대방 설정과 맞춰줘야 합니다.

Fortigate site to site IPsec VPN 설정방법

Phase2

Local Address에는 A Fortigate Internal IP 대역

Remote Address에는 B Fortigate Internal IP대역을 입력해준다.

VPN 설정완료 확인 후 VPN 정책설정

Policy & Objects > Firewall Policy 정책 생성

정책 이름설정

Incoming Interface : VPN Interface(Test-VPN)

Outgoing Interface : Internal

Source 및 Destnation에는 각각 Internal IP 대역 설정

일반적으로 IPsec VPN 통신 시 NAT는 필요없으니 비활성화

Security Profiles은 필요시 설정

 Logging Options의 경우 Security는 보안기능에 탐지된 트래픽만 log를 남김

All Sessions은 모든 트래픽을 log로 남김

정책 설정 완료 후 해당 정책을 우클릭하여 Clone Reverse를 해주고 다시 우클릭하여 Paste해줍니다.

복붙이기는 하지만 Interface와 Source, Destination도 바뀌기 때문에 역방향 정책도 쉽게 만들 수 있습니다.

그리고 비활성화 상태로 Paste 되기 때문에 활성화해줘야 하고요

IPsec VPN관련 정책 설정 후 라우팅 설정

Network > Static Routes

192.168.30.0/24(B Fortigate Internal 대역)은 Test-VPN Interface로 경로 설정

여기까지 완료하면 IPsec VPN 설정은 끝입니다.

이제 통신확인!

Dashboard에 IPsec Monitor를 추가해줍니다.

Test-VPN이라는 이름으로 만든 VPN이 빨간색 화살표로 다운표시되어 있고

Bring Up > All Phase 2 Selectors를 눌러 Tunnel Up을 시켜줍니다.

VPN 설정이 제대로 되었다면 Tunnel Up이 됩니다.

Tunnel Up이 되지 않는 경우는 VPN 설정 매치가 안되는 부분이 제일 많습니다.!

설정 시 두 Fortigate 간의 설정을 잘 맞춰줘야 합니다.

그래도 안되면.. Debug을 통해 해결해야 합니다. 추후 포스팅

Tunnel UP 되고나서 

A Fortigate Host 192.168.1.110 > B Fortigate Internal IP 192.168.30.1로 ICMP 시도

Test-VPN을 통해 request, reply 확인

끝

Fortigate site to site IPsec VPN 설정방법

추후 Dial up 설정 방법도 포스팅하겠습니다.

fortigate ssl vpn settings 하기

SSL-VPN이란 원격 즉 외부의 사용자가 VPN 터널을 통해 회사 내부 네트워크에 액세스함

fortigate ssl vpn 설정 단계

1. User 생성

2. SSL VPN Portal 설정

3. SSL VPN Settings 설정

4. SSL VPN 정책 설정

Fortigate OS 6.0대에서 진행했습니다. / 상위 버전에서도 설정 방법은 흡사함

먼저,

1. SSL VPN User 생성하기

fortigate GUI > User & Device

Create New를 눌러 생성하면 되고

저는 SYU라는 계정을 생성하였습니다.

2. SSL VPN Portal 설정

fortigate GUI > VPN > SSL VPN Portals

기존에 생성되어 있는 Portal을 수정하여도 되고 새로 생성해도 됩니다.

저는 생성되어 있는 full-access portal을 수정했습니다.

많이 사용되는 Tunnel Mode로 진행

Portal 설정

Enable Split Tunneling 활성화 및 비활성화

Enable Split Tunneling : 비활성화 시 SSL VPN 접속 후 모든 트래픽은 VPN 터널을 통해 전달되어 내부 네트워크 액세스뿐만이 아니라 인터넷 트래픽까지 터널을 통하기 때문에 인터넷 속도가 느릴 수 있음

Enable Split Tunneling : 활성화 시 Routing Address에 설정 된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음

그 외 웹모드 Host check기능은 따로 올리겠습니다.

3. SSL VPN Settings 설정

위에서 부터

Listen on Interface는 일반적으로 인터넷 인터페이스를 설정 / SSL VPN 접속 시 인터넷 인터페이스 IP로 접근

Listen Port는 default는 443이지만 > 사용하지 않는 Port 10443으로 변경

fortigate의 GUI 접속 Port도 default 443이기 때문에 둘 중 하나는 변경해줘야 한다

동일하게 설정이 되어 있으면 접속 시 SSL VPN 접속 화면이 열림

  Tunnel Mode Client Settings은 SSL VPN 접속 시 사용자가 할당받을 IP / Automatically assign addresses 선택 시 default로 만들어져 있는 SSL VPN IP대역 address 사용하고 Specify custom IP ranges를 선택하여 다른 IP대역을 할당해 줄 수도 있음 

Authentication/Portal Mapping은 SSL VPN User가 사용할 Portal 이전에 수정한 full-access 사용

Portal을 여러개 만들어 User 별로 다른 Portal 적용도 가능함

4. SSL VPN 정책 설정 ( Split Tunneling 활성화 시 )

마지막 정책 설정

Incoming Interface : SSL-VPN tunnel interface 

Outgoing Interface : internal / 내부 네트워크 인터페이스 설정하면 된다.

Source : default로 생성되어 있는SSL VPN IP 대역 그리고 SYU User / 테스트기 때문에 SYU User 하나만 적용 Group 및 다수 User도 적용이 가능

Destination : 내부 네트워크 IP 대역 객체

Schedule : always / 예를 들어 정책 스케쥴링을 통해 특정 시간에만 SSL VPN이 접속가능하게 설정 가능

Service : ALL

내부 네트워크 액세스 이기 때문에 NAT는 활성화하지 않아도 된다.

5. SSL VPN 정책 설정 ( Split Tunneling 비활성화 시 )

Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 만들어줘야 한다.

4번의 설정에서 Outgoing Interface는 인터넷 인터페이스(wan1), Destination 부분을 all 그리고 NAT를 활성화 시켜주면 됨

끝

설정이 끝나고 Forticlient로 SSL-VPN 접속 시도

원격 게이트웨이에는 SSL VPN Settings 부분에 지정해준 인터넷 인터페이스의 IP 입력

사용자 정의 포트번호도 10443으로 변경

비밀번호 입력 후 연결

보안 경고 > 예 클릭

SSL VPN 연결이 되면 내부 네트워크와 통신을 확인해보면 된다.

참고사항은.

fortigate SSL VPN 설정 방법 포스팅은...

SSL-VPN Tunnel Mode 아주 기본적인 설정입니다.^^

Fortigate log filter 특정 로그 예외 처리하는 방법

해당 명령어를 사용하여

특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나

특정 log를 저장하지 않게 설정이 가능

log filter 설정 필요 상황 예시

특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때

해당 설정을 적용시켜 불필요한 log 예외 처리

테스트 시나리오

1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정

2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정

3. 차단 시 log가 저장되지 않는지 확인

먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.

그 다음

내부 PC에서 8.8.8.8로 Ping을 시도해봅니다.

차단이 되고

Fortigate GUI > Log & Report > Foward Traffic에서 deny log를 확인합니다.

거의 바로 차단되는 log 확인이 가능

해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다

여기서 제가 필요한건 log filter를 걸기 위해 event level과 log id

log id = 13

event level = notice

log id는 직설적으로 확인이 가능하지만

security level의 경우 표시해 놓은 것처럼 칸수로 나오는데

저기에 마우스를 올리면 notice라고 표시됨

filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)

config log <memory> filter

위 이미지는 기본 설정입니다.

filter-type이 include로 설정되어 있고 모든 log를 저장

 여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장

<> 친 이유는 테스트를 memory에 저장되는 log로 테스트 했기 때문

syslog나 fortianalyzer에 적용시키고 싶다면 <>부분만 바꿔주신 후 설정하시면 됩니다.

테스트 설정

filter > 아까 확인한 logid와 event level 설정

filter 설정 방법 관련 링크

filter type > exclude 변경

참고사항

- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이 땐 filter에 걸어 놓고 매칭되는 log만 예외 처리 -

설정 후 내부 PC에서 8.8.8.8 Ping 시도

차단이 되지만 log를 저장하지 않는다.

이렇게만 올리면 의심이 갈 수 있어 debug 내용까지 첨부하려 했지만.. 테스트 해보시기를 바라며^^

Fortigate log filter 특정 로그 예외 처리하는 방법

 Fortigate admin password recovery

fortigate 관리자 패스워드 복구

fortigate 패스워드 분실 시 재설정하는 방법

1단계

Fortigate 장비에 Console 연결

연결 후 확인사항

패스워드 복구를 하기 위해선

CLI > config system global > set admin-maintainer enable/disable이 enable되어 있어야 한다.

default로 enable 이지만 혹시 다른 누군가가 바꿔놨을 수도 있다는 가정하에 확인

패스워드 복구를 위해서 maintainer라는 계정으로 Login함

2단계

장비 재부팅

재부팅 후 maintainer Login

ID : maintainer

PW : bcpb<Fortigate S/N> / Ex. bcpbFGT100FXXXXXXX

bcpb뒤에 해당 Fortigate의 S/N가 오는데 대소문자를 구분한다.

그리고 장비가 켜지고 나서 30초 안에 maintainer 계정으로 Login해야 하기 때문에 패스워드는 미리 메모장에 적어놓고 복사/붙여넣기 해두는 게 좋다.

추가로 장비 재부팅은 물리적인 전원케이블이 절체되어야 한다. ( 장비 shutdown 후 전원케이블 절체, 약 10초 후 연결 )

명령어로 인한 재부팅 X

3단계 패스워드 재설정

maintainer Login에 성공하면

config system admin > edit admin으로 진입하여 패스워드 재설정을 해주면 된다.

마지막으로 maintainer로 Login 시 factoryreset(장비 공장초기화) 또는 admin으로 진입해 패스워드 복구만 가능하다.

이 외 다른 모든 설정 변경 불가능함

Fortigate admin password recovery

그리고..

maintainer 기능도 disable에 패스워드까지 분실하였다면 방법이 없다.

Fortigate Log Severity

Fortigate 기준으로 disk가 있는 장비와 없는 장비가 있다.

Ex. Fortigate-100F와 Fortigate-101F

뒤에 1이 있는 장비가 disk가 있는 장비

disk가 있는 장비는 로그를 쌓고 리부팅하여도 로그가 삭제되지 않는다.

disk가 없는 장비의 경우는 따로 저장소가 없어 memory에 로그를 쌓게 되는데 리부팅시 삭제되고

로그를 쌓는것도 아주 제한적이어서 실시간으로 트래픽이 많아 로그가 많이 쌓이게 되면 오버라이드되면서 로그 확인이 힘들 수도 있다

Fortigate log severity 관련 설정은 CLI에서만 가능하다.

CLI > config log memory filter > set serverity

disk나 fortianalyzer(포티넷 로그 저장 장치)는 memory 부분만 바꿔서 넣어주면 설정 변경 가능

emergency - 시스템이 비정상 상태에 대한 로그

alert - 즉각 조치가 필요(Security탐지등)한 로그

critical - 기능에 영향 주는 로그

error - 오류에 대한 로그

warning - 기능에 영향을 줄 수 있는 로그

notification - 이벤트에 관한 일반적인 로그

information - fortigate 설정변경에 대한 로그

debug - 디버깅을 위한 상세 로그

이 설정을 관련하여 포스팅하는 이유는

disk가 없는 포티게이트는 severity 설정이 default로 warning으로 되어 있을 수 있는데

이렇게 되어 있으면 일반적인 traffic로그는 쌓이지 않기 때문에

포티게이트를 처음 다뤄보는 입장에서 로그가 왜 안쌓이지? 라는 생각을 할 수 있다.

그땐 해당 설정을 information으로 바꿔주면 일반적인 traffic로그도 위에서 말씀드린 것처럼 보이는데 적재량이 아주 적고 리부팅시 지워진다.

그리고..

메모리에 로그가 계속 쌓이면 메모리에 부하를 줄 수 있어 시스템적인 장애를 발생 시킬 수 있다.

그래서 disk가 없는 장비에 severity를 낮게 설정해서 사용하는건 권장하지 않는다.

그래서 처음 장비 구매 시 로그에 대한 부분을 잘 고려해서 구매하는 게 좋다.

Fortigate Log Severity

Fortigate Virtual IP

EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨

일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함

Fortigate Virtual IP

설정화면

GUI > Policy & Objects > Virtual IPs에서 설정이 가능

Name부분에는 Virtual IP 객체 이름

Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용

any로도 설정해서 사용이 가능하지만

예를 들어, wan1 wan2 두개의 interface에 VIP가 정상 작동하지 않을 수 있으니

Interface를 지정해서 설정해주는게 좋다.

Fortigate Virtual IP 설정 예시

wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정

목적지 IP(192.168.1.100)로 들어오는 모든 traffic은 NAT되어 10.10.10.1로 전달된다.

Fortigate Virtual IP Port Forwarding 예시

특정 Port에 대해서만 NAT 처리

목적지 IP 192.168.1.100 그리고 Port 10443으로 들어오는 traffic만 NAT처리

이 외 다른 traffic은 NAT처리하지 않음

Virtual IP에서 만들어주고 마지막으로 정책에 적용시켜 주어야 한다.

Incoming Interface - wan1(192.168.1.100)으로 적용되어야 하는게 맞음 / 현재 Test 장비가 SD-WAN 기능으로 wan1,2가 묶여있음

Outgoing Interface - 10.10.10.1이 포함된 internal interface

Source - All / 외부 어떤 사용자가 들어올지 모르기 때문

Destination - 만들었던 VIP 객체 선택

Service - Port Forwarding 했다면 해당 Port만 설정해놓으면 된다.

NAT - 비활성화 / NAT활성화 시 Source IP를 확인할 수 없음

이상 일반적인 Virtual IP 설정 알아보기 끝

안녕하세요

오늘은 포티넷 utm(fortinet fortigate)장비의 

이중화설정 테스트를 진행해 보겠습니다.

점점 IT 공부에대한 포스팅을 늘려가겠습니다!

포티게이트 이중화 프로토콜

FGCP, FGSP오늘은 FGCP로 테스트를 진행하겠습니다.

FGCP (FortiGateClusterProtocol)

- 구성이 가능한 모드는 A-A, A-P

해당 테스트는

포티게이트 200E 모델

포티게이트 OS 5.4.7

구성 시 참고사항은 완전히 동일한 모델이여야하고 

하드웨어 스펙도 같아야한다.

fortinet fortigate ha 설정은 아주 간단합니다.

mode에서 A-P로 바꿔줍니다.

Device Priority 값 ( 이중화 시 Master을 선점을 선택하는 값 )

이중화 그룹네임

password에 동일한 값 입력 / Passive 설정 시

Passive 설정 시 Priority 값을 제외하곤 동일하게 입력

Priority 값이 높은 쪽이 Master

동일 설정 시 장비 uptime 으로 Master 선점

port moniter : 하나의 포트라도 연결 다운 시 fail-over

ha : Heartbeat 인터페이스 체크

wan1 : 외부 interface port

port1 : 내부 interface port

A, P 모두 정상적으로 설정이 완료됬을때 Web UI HA 카테고리에서

A-P 확인가능

CLI에서 이중화 상태확인 명령어

get system ha status

설정하고 바로 확인한 상태

아래 쪽에 

Master : fw1

Slave : fw2

포티게이트 이중화 설정 완료

아직 초보라 틀린게 있다면 지적부탁드립니다.

fortinet fortigate ha configuration 설정 완료