daily

Fortigate Virtual IP

EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨

일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함

Fortigate Virtual IP

설정화면

GUI > Policy & Objects > Virtual IPs에서 설정이 가능

Name부분에는 Virtual IP 객체 이름

Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용

any로도 설정해서 사용이 가능하지만

예를 들어, wan1 wan2 두개의 interface에 VIP가 정상 작동하지 않을 수 있으니

Interface를 지정해서 설정해주는게 좋다.

Fortigate Virtual IP 설정 예시

wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정

목적지 IP(192.168.1.100)로 들어오는 모든 traffic은 NAT되어 10.10.10.1로 전달된다.

Fortigate Virtual IP Port Forwarding 예시

특정 Port에 대해서만 NAT 처리

목적지 IP 192.168.1.100 그리고 Port 10443으로 들어오는 traffic만 NAT처리

이 외 다른 traffic은 NAT처리하지 않음

Virtual IP에서 만들어주고 마지막으로 정책에 적용시켜 주어야 한다.

Incoming Interface - wan1(192.168.1.100)으로 적용되어야 하는게 맞음 / 현재 Test 장비가 SD-WAN 기능으로 wan1,2가 묶여있음

Outgoing Interface - 10.10.10.1이 포함된 internal interface

Source - All / 외부 어떤 사용자가 들어올지 모르기 때문

Destination - 만들었던 VIP 객체 선택

Service - Port Forwarding 했다면 해당 Port만 설정해놓으면 된다.

NAT - 비활성화 / NAT활성화 시 Source IP를 확인할 수 없음

이상 일반적인 Virtual IP 설정 알아보기 끝

FortiClient 다운로드

VPN 및 Endpoint 보안 기능을 제공하는 FortiClient

FortiClient 6.2이상부터는 License 부분이 크게 변경되었습니다. (현재 FortiClient 7.0 버전 배포 중)

VPN기능만 사용이 가능한 VPN Only 버전과 ZTNA, EPP등 여러 License 체계의 FortiClient

<FortiClient는 위 링크를 통해 다운로드가 가능>

위 링크는 공식적인 다운르도 site이고 Fortinet support site를 통해서도 다운로드 가능

FortiClient 다운로드 시 기능관련 주의사항

위 이미지가 FortiClient VPN Only 버전입니다.

이 버전은 License 비용이 들지 않고 VPN만 사용할 경우 다운로드하셔서 사용하시면 됩니다.

Host Check, 보안기능 사용불가능

Host Check는 Process, 파일위치, Host Mac등 이러한 설정으로 SSL-VPN접근을 제어할 수 있는 기능입니다.

이 외 ZTNA, EPP/APT, SASE FortiClient 버전은 User별 License비용이 들어갑니다.

각각의 License 기능 지원여부

필요한 기능에 맞춰 구매하시면 됩니다.

License Activation의 경우

FortiEMS(Endpoint management service) Software가 설치된 서버가 필요하며 device 개수에 따라 차감되고

Forticlient가 EMS와 연동이되면 EMS에서 정책을 내려줍니다.

안녕하세요

오늘은 포티넷 utm(fortinet fortigate)장비의 

이중화설정 테스트를 진행해 보겠습니다.

점점 IT 공부에대한 포스팅을 늘려가겠습니다!

포티게이트 이중화 프로토콜

FGCP, FGSP오늘은 FGCP로 테스트를 진행하겠습니다.

FGCP (FortiGateClusterProtocol)

- 구성이 가능한 모드는 A-A, A-P

해당 테스트는

포티게이트 200E 모델

포티게이트 OS 5.4.7

구성 시 참고사항은 완전히 동일한 모델이여야하고 

하드웨어 스펙도 같아야한다.

fortinet fortigate ha 설정은 아주 간단합니다.

mode에서 A-P로 바꿔줍니다.

Device Priority 값 ( 이중화 시 Master을 선점을 선택하는 값 )

이중화 그룹네임

password에 동일한 값 입력 / Passive 설정 시

Passive 설정 시 Priority 값을 제외하곤 동일하게 입력

Priority 값이 높은 쪽이 Master

동일 설정 시 장비 uptime 으로 Master 선점

port moniter : 하나의 포트라도 연결 다운 시 fail-over

ha : Heartbeat 인터페이스 체크

wan1 : 외부 interface port

port1 : 내부 interface port

A, P 모두 정상적으로 설정이 완료됬을때 Web UI HA 카테고리에서

A-P 확인가능

CLI에서 이중화 상태확인 명령어

get system ha status

설정하고 바로 확인한 상태

아래 쪽에 

Master : fw1

Slave : fw2

포티게이트 이중화 설정 완료

아직 초보라 틀린게 있다면 지적부탁드립니다.

fortinet fortigate ha configuration 설정 완료