Fortigate VPN IPsec Tunnel

먼저 VPN 사용 용도는 대부분 특정 네트워크를 외부에서 사용하기 위함이다, 이번 구성은 본사에 있는 서버를 사용하기 위해 VPN을 구성해보려 한다.

VPN 구성

먼저 VPN 구성 프로세스는 
1.VPN 생성

2. 라우팅, 정책 설정

 

라우팅과 정책은 생성 순서는 상관없지만 VPN은 먼저 만들어줘야 한다.

 

 IPsec Tunnel

Name은 사용하고 싶은 이름으로 설정해주고 type은 custom

보통 본사와 지사 간 VPN을 많이 맺기 때문에 To_HQ, To_Remote를 많이 사용한다.

remote gatewaty는 보다시피 3가지 타입이 있다, 간략하게 설명하자면
static은 vpn 맺는 곳 양쪽이 외부 ip가 고정일 경우에 쓴다 
Dialup User는 한 곳은 고정 한곳은 유동일 때 많이 사용한다 - 고정 ip를 사용하고 있는 곳이 Dialup User를 사용하고 나머지
유동 ip를 사용하는 곳에서 static으로 설정해서 연결하면 된다, 
Dynamic DNS는 양쪽 다 유동일 경우 사용한다, DDNS를 먼저 만들어야 사용 가능하다.

 

본사 설정 - static ip : vpn 맺을 지사 외부 ip

 

지사 설정 - static ip : vpn 맺을 본사 외부 ip

 

나머지는 설정은 똑같다, 똑같아야 한다, 하나라도 다르면 연결 안 된다.

pre-shared Key의 경우 8자리 이상 입력해야 하고 값은 입력한 사람만 평문으로 기억하거나 메모해두는 방법밖에 없다.
이후에 Key 값을 모른다면 컨피그를 백업받은 후 암호화된 pre-shared Key 값을 복사에서 cli로 넣어야 한다.

 

local Address와 Remote Address는 본사와 지사의 사설 ip를 설정해 둬도 되고 지금과 같이 all(0.0.0.0/0)으로 편의에 맞게 설정해 주면 된다, 그리고 Auto-negotiate는 말 그대로 자동 협상이다, 켜두는 걸 추천한다
그리고 위에서도 말했지만 static ip를 제외한 암호화방식 key 값, key lifetime 등 단 하나라도 맞지 않으면 설정에 주의하길 바란다.

완료하면 이렇게 나온다, 현재 정책 및 라우팅을 하지 않았기 때문에 down 돼있는 걸 확인할 수 있다.

 

본사에서의 라우팅

 

지사에서 라우팅

 

OK를 누르면 이렇게 나온다.

 

이제 마지막 정책 설정이다.(주의사항 : NAT 꺼주기)

 

현재 내부망에서 VPN으로 허용 정책을 만들어줬다 이제 역으로의 정책도 만들어줘야 하니 현재 만든 정책 우클릭 후 Clone Reverse를 클릭해 준다.

 

Clone Reverse 실행 시 기본적으로 status가 Disable 되어있다. Enable로 바꿔주자

 

이렇게 설정해 주면 위와 같이 vpn 상태가 UP 된 걸 확인할 수 있다.

만약 VPN 연결이 안 된다면 log를 확인해 볼 필요가 있다, VPN Event에 들어가서 왜 연결 실패했는지 log를 확인하고 수정하면 된다.

그리고 마지막으로 주의사항을 하나 더 알려주자면 위에서 눈치챘을 수도 있지만 VPN연결하는 곳 내부망 대역은 달라야 한다, 내부망 대역이 같을 경우 충돌이 일어날 것이다.