Fortinet 자격증 FCA - IPsec VPN - Part 2

A. IPsec VPN 구성

1.  네트워크 토폴로지

 

IPsec 설정에 앞서 먼저 위의 네트워크 토폴로지를 확인해 주시길 바랍니다. 참고로, 이번 강의에서는 Site to Site IPsec VPN 구성을 할 예정입니다. (Local - Fortigate 와 Remote - Fortigate를 연결)

 

 

2. Local Fortigate 구성

Site to Site VPN을 구성하기 위해 Local, Remote 2개의 Fortigate 방화벽에 IPsec 설정을 하여야 합니다. 먼저 Local Foritgate부터 진행하도록 하겠습니다. GUI에 접근하여 VPN의 하위메뉴인 IPsec Wizard를 클릭합니다. 

 

 

IPsec 마법사를 선택하면 상기와 같은 설정창을 확인할 수 있습니다. Name, Template type 등등 알맞게 설정 후 Next 버튼을 클릭합니다.  Name의 경우 알아보기 쉬운 형태로 입력하는 것이 좋습니다. 그래야 추후에 헷갈릴 일이 줄어들기 때문입니다. 

 

 

Remote IP address를 입력을 하게 되면 라우팅 테이블을 참조하여 Outgoing Interface 값을 자동으로 구성해 줍니다. 복잡한 환경에서는 잘못된 인터페이스를 장비가 선택할 수 있으니 한번 더 확인을 하여야 합니다. 그 후 인증 방법을 사전에 공유된 키 값으로 진행할지 인증서로 진행할 지 선택 후 사전에 공유된 키 값으로 진행시 해당 키 값을 알맞게 기입 후에 Next 버튼을 클릭합니다. 

 

* Pre-shared Key 값을 선택 후 입력한 키값은 상대측 Fortigate에도 입력을 해야하니 반드시 기억을 해두도록 합니다. 

 

 

+ 버튼을 클릭하여 내부쪽을 바라보는 인터페이스를 클릭합니다. 해당 Local Fortigate에서는 Port 3이 되겠네요. Local subets 값을 알맞게 입력합니다. Remote Subnets 값은 Reomote Foritgate의 Local subnet 값을 입력하면 됩니다. 여기선 10.0.2/24가 되겠네요. Internet Access 값은 None으로 두고 Next 버튼을 클릭합니다.  

 

 

정보를 확인 후 생성 버튼을 클릭합니다. 수정할 값이 없다면 Show Tunnel List 버튼을 클릭하여 설정을 마무리합니다. 

 

 

3. Remote Fotigate 구성

 

Remote Fortigate의 GUI로 접근하여 VPN의 하위 메뉴인 IPsec Wizard를 실행합니다. 마찬가지로 이름, 템플릿 타입등등을 설정합니다. 여기서 이름은 Local Fortigate와는 반대로 해야겠지요?! 알맞게 설정을 하셨으면 Next 버튼을 클릭합니다. 

 

 

마찬가지로 연결해야할 인터페이스의 주소를 입력합니다. 여기선 Local Fortigate의 Port 1번입니다. 해당 IP/SM 값을 입력하면 동일하게 외부로 나가는 인터페이스가 자동 세팅됩니다. Pre-shared Key 옵션으로 Local Fortigate를 구성하였으니 Remote Fortigate 역시 동일한 옵션과 동일한 키값을 기입을 하여야합니다. 알맞게 기입을 하였다면 Next 버튼을 클릭합니다. 

 

 

네트워크 토폴로지를 확인하면  Remote Fortigate의 내부쪽을 바라보고 있는 인터페이스는 Port 6번입니다. Local Interface에 Port 6번을 선택하고 서브넷 값을 입력합니다. Remote Subnets 필드 값에는 Local Foritgate의 Local  Subnets 값을 입력합니다. 인터넷 엑세스 옵션은 None으로 선택 후 Next 버튼을 클릭합니다.

 

 

설정할 값이 있으면 설정 후 Remote Fortigate에서의 구성을 마무리합니다. 시간이 지나면 Inactive의 상태가 Active로 바뀌게 될 것입니다. 물론, 활성화를 수동으로도 진행 가능합니다. 

 

4. IPsec VPN 확인

 

Network의 하위 메뉴인 Interface를 클릭합니다. 

 

 

Port 4번을 확인하게 되면 위와 같이 Branch - to - HQ  인터페이스가 생성된 걸 확인 할 수 있습니다. 

 

 

마찬가지로 Static Routes 메뉴를 확인하면 위와 같이 라우팅이 생성된 것을 확인 할 수 있습니다. 

 

방화벽 정책 및 주소 객체를 확인시 IPsec 정책이 생성된 것과 관련된 주소 객체가 생성된 것을 확인할 수 있습니다. 

 

5. IPsec VPN 테스트

 

 

연결이 잘 되었는지 확인을 위해 테스트를 해보도록 합니다. Local Fortigate에 Local 서브넷에 속한 컴퓨터에서 Remote Fortigate의 Local 서브넷에 속한 장비, 컴퓨터에 상기의 사진처럼 핑을 날려보도록합니다. 핑이 정상적으로 가고 오고 오는것을 확인할 수 있습니다. 

 

 

GUI에서도 위와 같이 IPsec VPN이 Active 상태로 바뀐걸 확인할 수 있습니다.