daily

Fortigate Route Selection Process

Fortigate routing 설정 시 경로가 둘 이상일 경우 라우팅을 선택하는 프로세스 알아보기

1. Most Specific route

먼저 Fortigate는 서브넷이 작은 경로를 선택합니다.

예를 들어,

1. 목적지 0.0.0.0/0 port1로 설정된 라우팅 경로

2. 목적지 192.168.1.0/24 port2로 설정된 라우팅 경로

위 처럼 설정되어 있을 시 192.168.1.0/24의 서브넷은 0.0.0.0/0에도 포함됩니다.

이럴 경우 192.168.1.0/24의 경로는 port2를 선택합니다.

2. Lowest distance

목적지가 동일한 경우

0.0.0.0/0의 wan1,2로 두 개의 라우팅 경로가 존재할 경우

라우팅 설정값인 distance를 보게되는데

더 낮은 distance값이 우선이 됩니다.

wan1 distance : 5

wan2 distance : 10

으로 설정된 경우 wan1의 경로 선택

3. Lowest metric(dynamic routes) and priority (static routes)

그 다음

목적지도 동일하고 distance값도 동일할 경우

dynamic route의 경우 metric

statice route의 경우 priority

값이 낮은 경로 보고 선택합니다.

4. ECMP (Equal cost multipath)

목적지 distance, metric 또는 priority가 모두 동일할 경우

ECMP로 트래픽을 분산하여 보내게 동작합니다.

ECMP에 대해선 나중에 따로 포스팅하겠습니다!!

이상

Fortigate Route Selection Process

알아보기 포스팅 끝

fortinet product life cycle 확인 방법

product life cycle을 통해 fortigate 외 fortinet 장비들의 EOO, EOS 기간을 확인

확인을 위해서는 위 site에 로그인이 필요

로그인 후 상단의 support > Resources 클릭

다음 Quick Links 탭에서

Product Life Cycle을 클릭해줍니다.

클릭하면 Accessory 부터 나오고

스크롤을 내려주면 fortinet 제품들의 EOO 및 EOS 정보들이 보입니다.

EOO : 해당 제품의 판매 중단 날짜

EOS : 해당 제품의 RMA 및 기술지원 서비스 중단 날짜

추가로 FG-60C-PDC 제품을 클릭하면 해당 장비에 대한 Life Cycle정보를 다운 받아서 볼 수 있습니다. / 다른 제품도 클릭 시 다운 가능

Hardware뿐만 아니라 Software(OS)에 관한 Life Cycle도 있으니 이 부분도 확인해 보셔야 할 부분입니다.

fortinet product life cycle 확인 방법

fortigate diagnose debug cli GUI 설정 변경 출력

fortigate GUI에서 설정 변경 후 설정 변경되는 부분이 cli에서 출력됩니다.

가끔 GUI에서 변경하는 부분이 cli에서는 어떤 명령어를 입력해야 하는지 헷갈리거나 모를 때가 있습니다.

해당 명령어를 사용하여 변경되는 부분이 출력되어 확인이 가능합니다.

GUI > Network > Interface

fortigate diagnose debug cli

먼저 putty로 fortigate cli로 접속합니다.

diagnose debug cli 7

diagnose debug enable

DMZ Interface에서 SSH가 disable이었는데 enable을 활성화 시켜줍니다.

Interface로 진입하는 순서대로 나옵니다.

config system interface > edit emz > set allowaccess ping https "ssh" fgfm fabric

마지막 end까지

이러한 방법으로 평소 몰랐던 명령어를 확인할 수 있습니다.

저는 GUI에서 스위치나 AP 설정 변경하는 부분을 cli에서 하는 방법을 잘 몰랐는데.. 유용한 것 같습니다.

fortigate diagnose debug cli GUI 설정 변경 출력

fortigate routing table 확인 명령어

물론 GUI에서도 확인 가능합니다!

먼저 현재 장비의 routing 설정

default routing이 두개 설정되어 있습니다.

상세 설정의 차이점은

wan1의 경로는 distance : 5

wan2의 경로는 distance : 100

Fortigate OS 6.4 이상에서는 GUI > Dashboard > Network > Routing

현재 routing table에는 wan1의 default routing과 connected routing이 활성화 되어 있습니다.

wan1의 경로의 default routing만 보이는 이유는 fortigate 경로를 선택하는 우선순위가 있는데

첫번째는 작은 서브넷 단위

두번째는 distance가 낮은 것

세번째는 priority가 낮은것(dynamic routing인 경우 mectric)

네번째는 위 세가지 조건이 모두 동일하다면 ECMP로 동작(ECMP는 나중에 따로 포스팅)

그래서 지금은 첫번째 조건은 동일하고 두번째 조건 distance가 wan1이 낮기 때문에 wan1의 경로가 활성화 되어 있습니다.

추가로 PBR(Policy Based Routing)은 static & Dynamic 옆에 policy를 누르면 확인이 가능합니다.

CLI에서 routing table 확인

get router info routing-table all

해당 명령어는 GUI에서 보이는 것처럼 활성화된 routing table만 보여줍니다.

get router info routing-table database

최적의 경로로 선택되지는 않았지만 설정된 모든 routing을 보고 싶다면 위 명령어를 입력하시면 됩니다.

명령어를 실행시켜보니 위에서 보이지 않던 wan2 default routing도 보입니다.

추가로 앞에 빨간색 박스 S,C는

S - static routing

C - Connected routing

이 외 O(OSPF), B(BGP) 등 다른 routing protocol이 설정되어 있다면 알파벳 앞자리가 표시됩니다.

다음 [100/0]는

100 - distance

0 - priority

이상

fortigate routing table 확인 명령어

알아보기 끝

fortigate dialup ipsec vpn 설정하기

Dialup vpn은 hub and spoke 구성에서 사용합니다.

위 구성도처럼 Dialup VPN server가 hub이고 branch office가 spoke입니다.

hub는 상대방의 공인 IP를 모르기 때문에 VPN 연결을 기다리고 있는 상태이고 spoke가 hub의 공인 IP로 VPN 연결을 시도합니다.

Fortigate GUI > VPN > IPsec Wizard > Template Type을 Custom으로 생성

이전의 site to site IPsec VPN과 설정은 거의 동일합니다.

IPsec VPN Phase 1설정

여기서 차이점은 Remote Gateway를 Dialup User로 변경하여 만들어줍니다.

그리고 Interface는 Wan1 설정

site to site 설정 시 상대방의 공인 IP를 입력해 주어야 했습니다.

dialup은 연결을 기다리고 있는 상태이기 때문에 먼저 연결 시도를 하지 않고 wan1으로 오는 연결에 대해서만 VPN을 맺습니다.

IPsec VPN Phase2 설정

여기서 참고해야 할 부분은 Local address와 remote address 부분

IP대역을 위 구성대로 설정하였지만 연결하려고 하는 spoke가 많을 경우

remote address를 0.0.0.0/0 으로 설정합니다.

이유는 다수의 spoke의 연결을 해야 하기 때문입니다.

VPN 정책 설정

Incoming Interface : Dialup-VPN

Outgoing Interface : DMZ

Source : all

Destination : dmz IP 대역 (10.1.100.0/24)

해당 설정 생성 후 Clone reverse 로 VPN 양방향 정책을 만들어줍니다.

여기까지 Dialup VPN Server(Hub)에서 IPsec VPN관련된 설정은 끝입니다.

라우팅의 경우는 VPN이 맺어지면 상대방 Remote address에 대한 라우팅이 static하게 자동으로 추가됩니다./ hub만 해당

Branch office(spoke)는 Dialup VPN Server의 Local address 대역을 수동으로 추가해줘야 합니다.

fortigate dialup ipsec vpn 설정하기

끝

Fortigate site to site IPsec VPN 설정방법

지난번 SSL-VPN에 이은 Fortigate IPsec VPN 설정하기

site to site 구성

Fortigate site to site IPsec VPN 간단한 구성도

A, B Fortigate 간 VPN 연결

A Fortigate Internal IP 대역의 Host에서 B Fortigate Interal IP로 통신 시도

A Fortigate에서 VPN Tunnel을 통해 트래픽이 전달되는지 sniffer

먼저 Fortigate GUI 접속 후 VPN > IPsec Tunnels

IPsec Tunnel 생성

여러가지 생성방법이 있는데 저는 Custom으로 진행했습니다.

site to site로 설정하면 wizard 방식으로 진행되서 주소, 라우팅, 정책, Phase1,2가 자동으로 생성됩니다.

편하기는 하지만 Custom으로 만들면서 설정 부분을 익히거나 추후 수정할 때도 더 도움 된다고 생각합니다.

VPN Name은 Test-VPN

먼저 Phase1부터

Phase1는 A,B Fortigate간 인증 암호화 방식 등 보안관련

Phase2는 Tunnel로 통신할 data 보안관련

Static IP Address 선택 후 상대방 Wan IP 입력 Interface는 자신의 Wan Interface를 선택해줍니다.

다음

NAT Traversal과 DPD 설정

DPD는 상대방이 살아 있는지 감지

위의 설정의 경우 DPD 트래픽을 20초마다 한번씩 세번 시도

응답이 없을시 터널 다운

NAT Traversal은 A,B Fortigate 사이에 NAT 장비가 있을 시 활성화

외 Pre-shared Key, Mode, 암호화 알고리즘 설정 등 상대방 설정과 맞춰줘야 합니다.

Fortigate site to site IPsec VPN 설정방법

Phase2

Local Address에는 A Fortigate Internal IP 대역

Remote Address에는 B Fortigate Internal IP대역을 입력해준다.

VPN 설정완료 확인 후 VPN 정책설정

Policy & Objects > Firewall Policy 정책 생성

정책 이름설정

Incoming Interface : VPN Interface(Test-VPN)

Outgoing Interface : Internal

Source 및 Destnation에는 각각 Internal IP 대역 설정

일반적으로 IPsec VPN 통신 시 NAT는 필요없으니 비활성화

Security Profiles은 필요시 설정

 Logging Options의 경우 Security는 보안기능에 탐지된 트래픽만 log를 남김

All Sessions은 모든 트래픽을 log로 남김

정책 설정 완료 후 해당 정책을 우클릭하여 Clone Reverse를 해주고 다시 우클릭하여 Paste해줍니다.

복붙이기는 하지만 Interface와 Source, Destination도 바뀌기 때문에 역방향 정책도 쉽게 만들 수 있습니다.

그리고 비활성화 상태로 Paste 되기 때문에 활성화해줘야 하고요

IPsec VPN관련 정책 설정 후 라우팅 설정

Network > Static Routes

192.168.30.0/24(B Fortigate Internal 대역)은 Test-VPN Interface로 경로 설정

여기까지 완료하면 IPsec VPN 설정은 끝입니다.

이제 통신확인!

Dashboard에 IPsec Monitor를 추가해줍니다.

Test-VPN이라는 이름으로 만든 VPN이 빨간색 화살표로 다운표시되어 있고

Bring Up > All Phase 2 Selectors를 눌러 Tunnel Up을 시켜줍니다.

VPN 설정이 제대로 되었다면 Tunnel Up이 됩니다.

Tunnel Up이 되지 않는 경우는 VPN 설정 매치가 안되는 부분이 제일 많습니다.!

설정 시 두 Fortigate 간의 설정을 잘 맞춰줘야 합니다.

그래도 안되면.. Debug을 통해 해결해야 합니다. 추후 포스팅

Tunnel UP 되고나서 

A Fortigate Host 192.168.1.110 > B Fortigate Internal IP 192.168.30.1로 ICMP 시도

Test-VPN을 통해 request, reply 확인

끝

Fortigate site to site IPsec VPN 설정방법

추후 Dial up 설정 방법도 포스팅하겠습니다.

Forticlient version 7.0.3 host check 기능 변경사항

이전의 글에서 Forticlient 6.2이상부터는 host check 기능을 사용하려면 License를 구매했어야 햇습니다.

위 링크 참조

하지만.. 변경된 부분이 있어 다시 포스팅!

Forticlient VPN Only 7.0.3 version 부터는 License 구매가 필요 없이 host check 기능이 사용 가능합니다.!

해당 부분은 아래 링크 참조

설정법까지 나와있습니다.

https://docs.fortinet.com/document/forticlient/7.0.0/new-features/651315/fortigate-powered-host-check-for-free-vpn-client-7-0-3

Host check 기능은 많이 요구하는 기능인데 이렇게 다시 VPN Only version에서도 사용하게 돼서 좋네요

하지만..

참고해야 할 사항

host check 설정 가능한 List

Operating system (OS) check
Antivirus (AV)-only
Firewall-only
AV and Firewall
Custom software host check:
- File
- Running process
- Registry

Forticlient version 7.0.3 host check 기능 변경사항

알아보기

fortianalyzer 및 fortimanager trial license

Fortinet은 fortianalyzer 와 fortimanager를 VM 버전으로 무료 제공

하지만 제약 사항이 있는 license

Fortimanager의 경우 3개의 Fortigate장비까지 관리가 가능, ADOM 2개까지 활성화

Fortianalyzer도 마찬가지로 3개의 Fortigate장비까지 등록하여 log를 받을 수 있고 일 최대 1GB로그 저장 최대 500GB 스토리지 지원

그리고 trial license는 무료 라이선스이기 때문에 기술지원은 받을 수 없음

두 장비의 웬만한 주요 기능은 다 사용할 수 있기 때문에 테스트용으로 사용하기에 매우 좋다.

fortianalyzer 및 fortimanager trial license 사용하기 위해서는 먼저

https://support.fortinet.com 

위 사이트에 회원가입이 되어 있어야 한다.

trial license 활성화 방법

먼저 fortianalyzer 와 fortimanager가 7.0 이상 VM이 설치되어 있어야한다.

설치가 완료되면 기본 네트워크 세팅하고 GUI 접속

접속하게 되면 이렇게 나오는데

Free Trial에 체크해놓고 위 support.fortinet.com 사이트에서 계정으로 로그인

로그인하면 support.fortinet.com > Asset Management > Product > Product List 부분에서 Fortimanager가 등록된걸 확인할 수 있다.

위 이미지처럼 FortiManager-VM 확인가능

Product List에서 License File을 다운받고

다시 Fortimanager GUI로 들어가서 License File을 업로드하면 된다.

Fortianalyzer도 7.0 이상 버전 설치 그리고 네트워크 세팅 후 위 방법처럼 동일하게 진행하면 된다.

Fortianalyzer 및 Fortimanager trial license

굿

fortigate ssl vpn settings 하기

SSL-VPN이란 원격 즉 외부의 사용자가 VPN 터널을 통해 회사 내부 네트워크에 액세스함

fortigate ssl vpn 설정 단계

1. User 생성

2. SSL VPN Portal 설정

3. SSL VPN Settings 설정

4. SSL VPN 정책 설정

Fortigate OS 6.0대에서 진행했습니다. / 상위 버전에서도 설정 방법은 흡사함

먼저,

1. SSL VPN User 생성하기

fortigate GUI > User & Device

Create New를 눌러 생성하면 되고

저는 SYU라는 계정을 생성하였습니다.

2. SSL VPN Portal 설정

fortigate GUI > VPN > SSL VPN Portals

기존에 생성되어 있는 Portal을 수정하여도 되고 새로 생성해도 됩니다.

저는 생성되어 있는 full-access portal을 수정했습니다.

많이 사용되는 Tunnel Mode로 진행

Portal 설정

Enable Split Tunneling 활성화 및 비활성화

Enable Split Tunneling : 비활성화 시 SSL VPN 접속 후 모든 트래픽은 VPN 터널을 통해 전달되어 내부 네트워크 액세스뿐만이 아니라 인터넷 트래픽까지 터널을 통하기 때문에 인터넷 속도가 느릴 수 있음

Enable Split Tunneling : 활성화 시 Routing Address에 설정 된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음

그 외 웹모드 Host check기능은 따로 올리겠습니다.

3. SSL VPN Settings 설정

위에서 부터

Listen on Interface는 일반적으로 인터넷 인터페이스를 설정 / SSL VPN 접속 시 인터넷 인터페이스 IP로 접근

Listen Port는 default는 443이지만 > 사용하지 않는 Port 10443으로 변경

fortigate의 GUI 접속 Port도 default 443이기 때문에 둘 중 하나는 변경해줘야 한다

동일하게 설정이 되어 있으면 접속 시 SSL VPN 접속 화면이 열림

  Tunnel Mode Client Settings은 SSL VPN 접속 시 사용자가 할당받을 IP / Automatically assign addresses 선택 시 default로 만들어져 있는 SSL VPN IP대역 address 사용하고 Specify custom IP ranges를 선택하여 다른 IP대역을 할당해 줄 수도 있음 

Authentication/Portal Mapping은 SSL VPN User가 사용할 Portal 이전에 수정한 full-access 사용

Portal을 여러개 만들어 User 별로 다른 Portal 적용도 가능함

4. SSL VPN 정책 설정 ( Split Tunneling 활성화 시 )

마지막 정책 설정

Incoming Interface : SSL-VPN tunnel interface 

Outgoing Interface : internal / 내부 네트워크 인터페이스 설정하면 된다.

Source : default로 생성되어 있는SSL VPN IP 대역 그리고 SYU User / 테스트기 때문에 SYU User 하나만 적용 Group 및 다수 User도 적용이 가능

Destination : 내부 네트워크 IP 대역 객체

Schedule : always / 예를 들어 정책 스케쥴링을 통해 특정 시간에만 SSL VPN이 접속가능하게 설정 가능

Service : ALL

내부 네트워크 액세스 이기 때문에 NAT는 활성화하지 않아도 된다.

5. SSL VPN 정책 설정 ( Split Tunneling 비활성화 시 )

Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 만들어줘야 한다.

4번의 설정에서 Outgoing Interface는 인터넷 인터페이스(wan1), Destination 부분을 all 그리고 NAT를 활성화 시켜주면 됨

끝

설정이 끝나고 Forticlient로 SSL-VPN 접속 시도

원격 게이트웨이에는 SSL VPN Settings 부분에 지정해준 인터넷 인터페이스의 IP 입력

사용자 정의 포트번호도 10443으로 변경

비밀번호 입력 후 연결

보안 경고 > 예 클릭

SSL VPN 연결이 되면 내부 네트워크와 통신을 확인해보면 된다.

참고사항은.

fortigate SSL VPN 설정 방법 포스팅은...

SSL-VPN Tunnel Mode 아주 기본적인 설정입니다.^^

Fortigate log filter 특정 로그 예외 처리하는 방법

해당 명령어를 사용하여

특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나

특정 log를 저장하지 않게 설정이 가능

log filter 설정 필요 상황 예시

특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때

해당 설정을 적용시켜 불필요한 log 예외 처리

테스트 시나리오

1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정

2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정

3. 차단 시 log가 저장되지 않는지 확인

먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.

그 다음

내부 PC에서 8.8.8.8로 Ping을 시도해봅니다.

차단이 되고

Fortigate GUI > Log & Report > Foward Traffic에서 deny log를 확인합니다.

거의 바로 차단되는 log 확인이 가능

해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다

여기서 제가 필요한건 log filter를 걸기 위해 event level과 log id

log id = 13

event level = notice

log id는 직설적으로 확인이 가능하지만

security level의 경우 표시해 놓은 것처럼 칸수로 나오는데

저기에 마우스를 올리면 notice라고 표시됨

filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)

config log <memory> filter

위 이미지는 기본 설정입니다.

filter-type이 include로 설정되어 있고 모든 log를 저장

 여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장

<> 친 이유는 테스트를 memory에 저장되는 log로 테스트 했기 때문

syslog나 fortianalyzer에 적용시키고 싶다면 <>부분만 바꿔주신 후 설정하시면 됩니다.

테스트 설정

filter > 아까 확인한 logid와 event level 설정

filter 설정 방법 관련 링크

filter type > exclude 변경

참고사항

- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이 땐 filter에 걸어 놓고 매칭되는 log만 예외 처리 -

설정 후 내부 PC에서 8.8.8.8 Ping 시도

차단이 되지만 log를 저장하지 않는다.

이렇게만 올리면 의심이 갈 수 있어 debug 내용까지 첨부하려 했지만.. 테스트 해보시기를 바라며^^

Fortigate log filter 특정 로그 예외 처리하는 방법