daily

fortigate execute ping-options source 사용법

fortigate에서 source를 지정하여 ping 시도 여러 가지 활용 방법이 있겠지만 일반적으로 ipsec-vpn에서 client가 없을 시 local interface IP로 상대방과 통신 체크를 합니다.

설정방법

fortigate CLI > execute ping-options source <IP 입력>

source IP를 지정하고 설정이 잘 되었는지는 execute ping-options view-settings 명령어 입력

source IP만 10.10.10.1 지정해놓은 상태에서 ping 시도를 할 경우 fortigate는 10.10.10.1로 목적지 IP와 통신 시도를 합니다.

주의하셔야 할점은 source ping의 경우 nat가 적용되지 않아 외부(인터넷구간) 등에는 사용이 어렵습니다.

source IP 외 상세 설정도 변경이 가능합니다. execute ping-option ? 하면 아래 이미지에 있는 옵션값들의 설정 변경이 가능합니다.

fortigate execute ping-options source 사용법 끝

fortigate VRF(Virtual Routing and Forwarding) 설정

VRF는 하나의 라우터에 여러개의 routing table을 생성하여 분리시키는 기술입니다.

fortigate VRF는 Interface 별로 routing table을 분리시킵니다.

fortigate VRF 설정방법은

CLI > config system interface > edit <Interface Name> 진입 후

set vrf <>

fortigate VRF default 값은 0 입니다.

위에는 Test 설정이므로 inactive는 신경쓰지 않으셔도 됩니다.

wan1 Interface에 VRF를 10으로 설정하여 fortigate에서 routing table을 확인

default로 있는 VRF 0과 wan1 Interface에 설정한 VRF 10으로 분리되어 있는걸 확인할 수 있습니다. / VRF설정은 0~31 사이 숫자로만 가능하여 총 32개 생성이 가능합니다. 

트래픽 흐름은 동일한 VRF가 있는 인터페이스 간에만 전달합니다.

추가로 동적 라우팅 프로토콜은 BGP와 OSPF만 지원하며 VLAN 및 IPsec Interface에도 VRF 설정이 가능합니다.!

fortigate VRF(Virtual Routing and Forwarding) 설정 알아보기 끝

fortigate ECMP(Equal Cost Multi-path) 동작

ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는

1, 가장 작은 서브넷

2. distance가 낮은것

3. priority가 낮은것

4. 마지막은 위 세가지 조건이 모두 동일할 경우 ECMP로 동작합니다.

위 내용은 이전 routing table관련 포스팅에도 쓴 적이 있습니다.

ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다.

fortigate CLI > config system settings > set v4-ecmp-mode <> / default 설정은 source-ip-based 입니다.

source-ip-based : source IP 균등 분할

weight-based : session을 백분율로 계산하여 분산

usage-based : 인터페이스에 임계값을 설정하여 설정한 임계값을 초과할 때까지 사용한 다음 인퍼테이스로 전송

source-dest-ip-based : source-ip-based처럼 균등 분할하지만 destination IP에 대해 전달되는 동일한 경로로 전송

fortigate ECMP(Equal Cost Multi-path) 동작 알아보기 끝

Fortigate session ttl 설정 방법

Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다.

1. global에서 session ttl 변경

CLI > config system session-ttl 진입

default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다

-

2. service에서 변경

GUI에서는 session ttl 변경이 불가능합니다.

CLI > config firewall policy > edit <>

set session-ttl

policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다.

-

3. service에서 변경하기

service도 CLI에서 변경해줍니다.

CLI > config firewall service custom > edit <>

service에서도 마찬가지로 set session-ttl 하셔서 변경해주시면 되고 default가 0으로 설정되어 있습니다

0의 의미는 상위 설정의 ttl값을 따른다는 의미입니다.

global > policy > service 순으로 global이 3600 policy,service 둘 다 0으로 설정되어 있으면 policy, service 3600초로 동작합니다.

추가로

위 모든 설정들에서 session ttl을 무한대로 설정할 수 있습니다.

set session-ttl <never> 로 설정해주시면 됩니다.

never는 히든 명령어라서 보이지 않고 직접 입력해 주셔야 합니다.

이상

Fortigate session ttl 설정 방법 알아보기 끝

Fortigate GUI 연결 안 될 때 확인사항

여러가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다

1. Fortigate Interface allowaccess

Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우

-

2. Trusted host가 설정되어 있는 경우

Trusted host가 설정되어 특정 접속이 불가능할 경우

-

3. Access Port가 변경되어 있는 경우

HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우

-

4번부터는 가능성이 조금 적습니다 보통 위에 경우에서 설정에 의한 접근 불가능은 웬만하면 해결이 됩니다.

4. VIP(Virtual IPs)가 설정되어 있는 경우

접근하려고 하는 Interface의 IP와 HTTPS/HTTP Port를 혹여나 잘못 설정해놓았을 경우

-

5. local-in-policy가 설정되어 있는 경우

local-in-policy의 경우 CLI에서만 설정이 가능합니다.

CLI > config firewall local-in-policy > edit <>

접근하려고 하는 Interface에 local 차단 policy가 설정되어 있는 경우

Fortigate GUI 연결 안 될 때 확인사항 알아보기 끝

Fortigate execute factoryreset 공장초기화 하기
Fortigate 공장초기화 하는 방법은 여러가지가 있습니다.
TFTP, GUI에서 Revisions, CLI 명령어등
1. TFTP의 경우 장비 리부팅 시 진행하는 방법입니다. 현재의 OS를 날려버리고 새로운 OS로 올리는거죠
어떻게 보면 초기화보단 재설치가 맞는 표현이기는 합니다..

2.GUI에서 Revisions

Fortigate GUI > 오른쪽 상단 Login 계정 클릭 > Configuration > Revisions으로 진입하면 Config를 장비 처음 on 했을 때 저장해놓고 공장초기화로 돌리고 싶으면 Revert를 해주면 됩니다.
그 외 Revisions 기능을 활용하여 저장된 config를 비교해볼수도 있습니다.
그다음 관리자가 로그아웃할 때마다 revision에 config를 저장하도록 설정할 수도 있습니다

3. CLI에서 명령어
- Fortigate CLI > execute factoryreset 명령어 입력
해당 명령어를 입력하면 Fortigate 구성에 대한 모든 변경 사항을 지우고 장비를 처음 on 하고 나서 세팅값(default IP만 세팅되어 있는 상태)으로 되돌립니다.
excute factoryreset2 명령어 입력은 위 execute factoryreset과 조금 다릅니다.
모든 변경 사항을 지우는 게 아닌 VDOM, Static Routing, Interface settings을 제외한 나머지 설정들을 초기화 시킵니다.
excute factoryreset2를 사용하여 초기화 시키면 Interface 정보가 남아 있어서 초기화 후에도 기존 IP로 Fortigate에 접근이 가능합니다.
Fortigate execute factoryreset 공장초기화 하기 끝

Fortigate SSL-VPN 10, 80, 98% 멈춤 현상 시

시도해 볼 만한 작업

10, 80, 98% 외 특정 %에서 Fortigate SSL-VPN 로그인이 멈추면 현상을 해결하는 방법이 있기는 합니다.

보통 구글 검색 시 Fortigate SSL-VPN <>% 이렇게만 검색을 하여도 해결 방법이 나오는 경우가 많습니다.

SSL-VPN 설정 문제라던가, host check 때문이라던가 등등!

10%의 경우

Forticlient가 설치된 PC의 네트워크 문제 Fortgate와 통신 확인

80%의 경우

SSL-VPN ID / PW 확인 또는 해당 사용자 portal Mapping과 정책 확인

98%의 경우 

먼저 해볼 수 있는 작업은

Forticlient 프로그램 삭제 후 재설치입니다. 삭제하고 나서 재부팅 후 설치해야 하고요

등등 여러가지가 있지만 확인하거나.. 또는 특정 %에서 멈춘 상황이 있으시면 댓글 남겨주시면 확인 후 내용 수정하도록 하겠습니다.

Forticlient 자동연결, 비밀번호 저장, 항상 연결 활성화 방법

먼저 Forticlient의 SSL-VPN Login 화면입니다.

위 자동연결, 비밀번호 저장, 항상 연결이 비활성화 된 상태!

영어 명칭은 auto-connect, save-password, always-up 입니다.

SSL-VPN에서 위 기능 활성화 방법의 경우

Fortigate CLI > config vpn ssl web portal > edit <설정하려면 SSL-VPN Portal Name> 진입

set 명령어를 사용하여 위 세 가지를 활성화시켜줍니다. (기본 설정은 비활성화)

활성화를 시켜주고 나서 SSL-VPN 접속했다가 로그아웃

로그아웃을 하고 다시 Forticlient 화면을 보면 세 가지 기능이 활성화된 걸 확인할 수 있습니다.

- 주의사항 -

해당 기능은 Forticlient 6.2이상 무료버전(Only-VPN)에서는 지원하지 않습니다. 

Forticlient 자동연결, 비밀번호 저장, 항상연결 활성화 방법 알아보기 끝

Fortigate scripts 사용 방법

많은 양의 객체를 만들 때 사용하면 편리한 기능

사용 방법 확인해보기

먼저 Fortigate GUI > 오른쪽 상단 login 계정 > Configuration > Scripts

Scripts 화면으로 넘어와서 Run Script를 클릭해 주면 되는데 하기 앞서 Script 파일을 만들어 줍니다.

메모장을 실행 한 다음 Fortigate CLI 명령어를 그대로 입력합니다.

address를 생성 하기 위해서는 CLI 접속 후

config firewall address 입력 그 다음

edit <address name>

이러한 방식으로 순서대로 입력해서 만들어 주시면 됩니다.

script를 통해서 address 뿐만 아니라 라우팅, vpn, 정책 등 거의 모든 생성할 수 있습니다.

만약 여러 대의 장비에 공통된 정책이나 객체가 필요할 시 Fortimanager가 있다면 한번에 내려줄 수 있겠지만

Fortimanager가 없다면 script를 사용하면 좋겠죠

이건 script를 넣기 전에 IP Range/Subnet 상태입니다.

위에 만들어 놓은 script 파일이 Local PC에 저장되어 있으니 Local > Browse 클릭하고 해당 파일을 선택해 줍니다.

위에 말씀드린 것처럼 Fortigate CLI 순서대로 입력만 잘 해놓으시면 script가 Success 상태로 나옵니다.

다시 address 탭으로 돌아가 script로 추가한 IP-Subnet 내역이 잘 생성되어 있는지 확인하면 됩니다.

이상

Fortigate scripts 사용 방법 확인하기 끝

Fortigate GUI에서 Process List 확인 방법

현재 Fortigate 7.0.x 버전까지는 Fortigate에서 실행중인 Process를 보려면 CLI에서 확인해야 했습니다.

CLI에서 확인 명령어 : diagnose sys top <> <>

명령어 입력 시 위 이미지처럼 Process List들이 출력됩니다.

하지만

FortiOS 7.2 이상의 버전부터는 GUI에서도 Process 확인이 가능합니다.

Fortigate GUI에 접속 후 오른쪽 상단

admin > System > Process Monitor

Process Monitor 진입하면 확인이 가능합니다.

CLI보다 보기 편한 것 같아서 좋다고 느껴집니다.

Fortigate GUI에서 Process List 확인 방법 알아보기 끝