daily

명령어로 fortigate ipsec vpn tunnel up, down 하는 방법

ipsec vpn tunnel up, down은 GUI뿐만아니라 CLI로도 가능합니다.

up, down 명령어는

fortigate CLI > diagnose vpn tunnel <up or down> <tunnel name> 입력

처음 괄호에는 up과 down 그 다음에는 vpn의 tunnel name을 입력해 주시면 됩니다.

예를 들어 ipsec vpn tunnel down 시키려면

diangnose vpn tunnel down test-vpn 이런 형식으로 명령어를 입력해 주시면 됩니다. 

-

GUI에서 ipsec vpn tunnel up, down은 FortiOS 7.0 이상 기준

fortigate GUI > Dashboard > Network > IPsec 진입

ipsec vpn tunnel 우클릭 후 up, down 해주시면 됩니다.

추가로 CLI에서 ipsec vpn 관련 명령어

fortigate CLI > get vpn ipsec tunnel summary 입력 / fortigate의 ipsec vpn tunnel list 정보를 요약하여 보여줍니다.

fortigate CLI > diagnose vpn ike gateway list name <ipsec vpn tunnel name> 입력 / vpn 연결 interface, vpn 상태 등 여러 정보를 보여줍니다.

명령어로 fortigate ipsec vpn tunnel up, down 하는 방법 끝

fortigate dialup ipsec vpn 설정하기

Dialup vpn은 hub and spoke 구성에서 사용합니다.

위 구성도처럼 Dialup VPN server가 hub이고 branch office가 spoke입니다.

hub는 상대방의 공인 IP를 모르기 때문에 VPN 연결을 기다리고 있는 상태이고 spoke가 hub의 공인 IP로 VPN 연결을 시도합니다.

Fortigate GUI > VPN > IPsec Wizard > Template Type을 Custom으로 생성

이전의 site to site IPsec VPN과 설정은 거의 동일합니다.

IPsec VPN Phase 1설정

여기서 차이점은 Remote Gateway를 Dialup User로 변경하여 만들어줍니다.

그리고 Interface는 Wan1 설정

site to site 설정 시 상대방의 공인 IP를 입력해 주어야 했습니다.

dialup은 연결을 기다리고 있는 상태이기 때문에 먼저 연결 시도를 하지 않고 wan1으로 오는 연결에 대해서만 VPN을 맺습니다.

IPsec VPN Phase2 설정

여기서 참고해야 할 부분은 Local address와 remote address 부분

IP대역을 위 구성대로 설정하였지만 연결하려고 하는 spoke가 많을 경우

remote address를 0.0.0.0/0 으로 설정합니다.

이유는 다수의 spoke의 연결을 해야 하기 때문입니다.

VPN 정책 설정

Incoming Interface : Dialup-VPN

Outgoing Interface : DMZ

Source : all

Destination : dmz IP 대역 (10.1.100.0/24)

해당 설정 생성 후 Clone reverse 로 VPN 양방향 정책을 만들어줍니다.

여기까지 Dialup VPN Server(Hub)에서 IPsec VPN관련된 설정은 끝입니다.

라우팅의 경우는 VPN이 맺어지면 상대방 Remote address에 대한 라우팅이 static하게 자동으로 추가됩니다./ hub만 해당

Branch office(spoke)는 Dialup VPN Server의 Local address 대역을 수동으로 추가해줘야 합니다.

fortigate dialup ipsec vpn 설정하기

끝

fortigate ssl vpn mac address check

ssl vpn 접속 시 host의 mac을 check하여 vpn 접속 제어

forticlient VPN Only version 6.2~7.0.2 사이에서는 mac address check기능 지원이 안됨

forticlient VPN Only version 7.0.3 이상으로 설치 또는 유료버전 사용하여야 지원

현재 기본적인 ssl vpn 설정은 되어 있는 상태

fortigate ssl vpn mac address check 설정 방법

1. fortigate GUI에서 CLI Console로 접속 (해당 설정은 CLI에서만 가능)

SSL-VPN Portals > 설정되어 있는 full-access에 mac-addr-check를 활성화 ( default 비활성화 )

활성화를 하고 나면 action을 설정해야 합니다.

allow는 설정해놓은 mac-list와 일치하면 vpn 연결 허용

deny는 mac-list와 일치하면 vpn 연결 차단

저는 allow로 설정 후 Test PC에 mac address를 틀리게 입력하여 진행하였습니다. 

2. mac-list 설정

config mac-addr-check-rule 명령어 진입 후 mac-check rule 생성

저는 Test라는 이름의 rule을 생성해주고

Test PC의 틀린 mac address 입력

그리고 mac address 입력의 경우 1개의 mac address입력만 되는 게 아니라 한 칸 띄어 쓰고 다음 mac address입력하고 여러 개의 mac address를 등록할 수 있습니다.

여기까지가 설정의 끝입니다. end를하여 저장하고 나와줍니다.

ssl vpn 접속 시도

접속이 실패되고 경고메시지 확인

fortigate에서 mac address를 확인하지 못했다는 log 확인

Test PC의 원래 mac address를 입력

ssl vpn 접속 확인

fortigate ssl vpn mac address check 설정 방법

완료

Fortigate site to site IPsec VPN 설정방법

지난번 SSL-VPN에 이은 Fortigate IPsec VPN 설정하기

site to site 구성

Fortigate site to site IPsec VPN 간단한 구성도

A, B Fortigate 간 VPN 연결

A Fortigate Internal IP 대역의 Host에서 B Fortigate Interal IP로 통신 시도

A Fortigate에서 VPN Tunnel을 통해 트래픽이 전달되는지 sniffer

먼저 Fortigate GUI 접속 후 VPN > IPsec Tunnels

IPsec Tunnel 생성

여러가지 생성방법이 있는데 저는 Custom으로 진행했습니다.

site to site로 설정하면 wizard 방식으로 진행되서 주소, 라우팅, 정책, Phase1,2가 자동으로 생성됩니다.

편하기는 하지만 Custom으로 만들면서 설정 부분을 익히거나 추후 수정할 때도 더 도움 된다고 생각합니다.

VPN Name은 Test-VPN

먼저 Phase1부터

Phase1는 A,B Fortigate간 인증 암호화 방식 등 보안관련

Phase2는 Tunnel로 통신할 data 보안관련

Static IP Address 선택 후 상대방 Wan IP 입력 Interface는 자신의 Wan Interface를 선택해줍니다.

다음

NAT Traversal과 DPD 설정

DPD는 상대방이 살아 있는지 감지

위의 설정의 경우 DPD 트래픽을 20초마다 한번씩 세번 시도

응답이 없을시 터널 다운

NAT Traversal은 A,B Fortigate 사이에 NAT 장비가 있을 시 활성화

외 Pre-shared Key, Mode, 암호화 알고리즘 설정 등 상대방 설정과 맞춰줘야 합니다.

Fortigate site to site IPsec VPN 설정방법

Phase2

Local Address에는 A Fortigate Internal IP 대역

Remote Address에는 B Fortigate Internal IP대역을 입력해준다.

VPN 설정완료 확인 후 VPN 정책설정

Policy & Objects > Firewall Policy 정책 생성

정책 이름설정

Incoming Interface : VPN Interface(Test-VPN)

Outgoing Interface : Internal

Source 및 Destnation에는 각각 Internal IP 대역 설정

일반적으로 IPsec VPN 통신 시 NAT는 필요없으니 비활성화

Security Profiles은 필요시 설정

 Logging Options의 경우 Security는 보안기능에 탐지된 트래픽만 log를 남김

All Sessions은 모든 트래픽을 log로 남김

정책 설정 완료 후 해당 정책을 우클릭하여 Clone Reverse를 해주고 다시 우클릭하여 Paste해줍니다.

복붙이기는 하지만 Interface와 Source, Destination도 바뀌기 때문에 역방향 정책도 쉽게 만들 수 있습니다.

그리고 비활성화 상태로 Paste 되기 때문에 활성화해줘야 하고요

IPsec VPN관련 정책 설정 후 라우팅 설정

Network > Static Routes

192.168.30.0/24(B Fortigate Internal 대역)은 Test-VPN Interface로 경로 설정

여기까지 완료하면 IPsec VPN 설정은 끝입니다.

이제 통신확인!

Dashboard에 IPsec Monitor를 추가해줍니다.

Test-VPN이라는 이름으로 만든 VPN이 빨간색 화살표로 다운표시되어 있고

Bring Up > All Phase 2 Selectors를 눌러 Tunnel Up을 시켜줍니다.

VPN 설정이 제대로 되었다면 Tunnel Up이 됩니다.

Tunnel Up이 되지 않는 경우는 VPN 설정 매치가 안되는 부분이 제일 많습니다.!

설정 시 두 Fortigate 간의 설정을 잘 맞춰줘야 합니다.

그래도 안되면.. Debug을 통해 해결해야 합니다. 추후 포스팅

Tunnel UP 되고나서 

A Fortigate Host 192.168.1.110 > B Fortigate Internal IP 192.168.30.1로 ICMP 시도

Test-VPN을 통해 request, reply 확인

끝

Fortigate site to site IPsec VPN 설정방법

추후 Dial up 설정 방법도 포스팅하겠습니다.