흙수저의 엔지니어링

간단하지만, 아래의 구성에서 ping을 테스트 하기 위해서는 fortigate 방화벽 정책도 필요합니다.

이전 글에서 말했듯이 현재의 구성으로 테스트를 한다면, fortigate의 방화벽 기능도 같이 익힐 수 있게 됩니다.

그 예시로 한개 작성해 봅니다.

위의 구성에서 PC1이 인터넷이 되게 하기 위해선 아래의 작업이 필요합니다.

1. fortigate에서 PC1이 받아들여야할 새로운 네트워크 구성

2. PC1이 fortigate에서 구성한 네트워크의 IP를 받아오기

3. PC1이 fortigate를 통해서 통신이 가능하게할 정책 수립

4. PC1이 IP를 받아와 ping 테스트 하기

해보겠습니다.

1. fortigate에서 PC1이 받아들여야할 새로운 네트워크 구성

  - Port2를 새로운 대역으로 구성

2. PC1이 fortigate에서 구성한 네트워크의 IP를 받아오기

  - Port2에 DHCP Server 기능 활성화

3. PC1이 fortigate를 통해서 통신이 가능하게할 정책 수립

  - Port2(LAN) -> Port1(WAN)의 통신 가능 정책 적용

4. PC1이 IP를 받아와 ping 테스트 하기

  - Fortigate의 Port2를 PC1의 Ethernet0에 연결하기

  - PC1을 시작하고 IP를 DHCP로 가져오기

  - PC1으로 외부 IP에 ping 체크 하기

테스트 완료.

ping이 방화벽 정책에 의한 것인지 확인하려면, 방화벽 정책을 Disable로 변경해 보세요.

앞으로의 테스트는 fortigate의 구성에서 PC1이 아닌 Windows PC, L2, L3 장치들을 추가해서 새로운 테스트를 보여드리겠습니다.

이전 글에서 GNS3에 fortigate를 설치했습니다.

이제 사용해 보겠습니다.

(이 글 작성하는데, 거진 2일 걸렸네요.)

해당 글을 따라서 GNS3를 구성했다면, 이후에는 실제로 업무 환경과 마찬가지로 구색을 갖춰서 방화벽 테스트를 진행할 수 있을 것입니다.

왜 fortigate로 구성을 했냐하면, 많은 회사에서 fortigate 방화벽을 기본으로 사용합니다.

그래서 도움이 됐으면 하는 마음에 fortigate 방화벽 테스트 환경을 구축해 봤습니다.

사전에 아래의 글들을 보고 먼저 이행해 주시기 바랍니다.

proxmox 내부 네트워크 구성하기

https://dirt-spoon.tistory.com/310

GNS3에 fortigate 설치하기

https://dirt-spoon.tistory.com/311

proxmox에 내부 네트워크를 구성했다면 아래 그럼처럼 Cloud를 구성하고, configure를 확인합니다.

아래의 그림처럼 eth0, eth1이 보이면 정상입니다.

아래처럼 보이지 않는다면 GNS3의 서버에서 인터페이스를 추가해줍니다.

GNS3 서버에 인터페이스 추가합니다.

해당 인터페이스의 설정은 proxmox에서 별도로 추가한 vmbr1로 설정을 해줍니다.

proxmox의 인터페이스 vmbr1의 IP 대역도 확인해 두세요. 저는 10.10.10.1/24 입니다.

해당 네트워크 카드가 내부 네트워크의 Gateway가 되는 겁니다.

이제 아래의 그림처럼 fortigate를 구성해 줍니다.

이제 fortigate를 실행해 주고 terminal을 열어줍니다.

터미널을 보시면 로그인하라고 보입니다.

처음 계정 정보는 아래와 같습니다.

ID: admin

PW: 없음

이후 인터페이스 정보를 확인해 줍니다.

명령어는 아래 명령어인데, 실제 fortigate 콘솔에서는 ?가 먹히지 않고 명령어로 실행됩니다.

FortiGate-VM64-KVM # show system interface ?

아래 그림처럼 Port1 의 IP를 설정합니다.

FortiGate-VM64-KVM # config system interface
FortiGate-VM64-KVM (interface) # edit port1
FortiGate-VM64-KVM (port1) # set mode static
FortiGate-VM64-KVM (port1) # set ip 10.10.10.202/24
FortiGate-VM64-KVM (port1) # end
FortiGate-VM64-KVM # show system interface

이제 port1에 대한 gateway를 설정해 줘야 합니다.

IP도 GNS3 eth1 인터페이스의 IP가 아니라, proxmox vmbr1의 IP로 설정해 줘야 하네요.

FortiGate-VM64-KVM # config router static
FortiGate-VM64-KVM (static) # edit 1
FortiGate-VM64-KVM (1) # set gateway 10.10.10.1
FortiGate-VM64-KVM (1) # set device port1
FortiGate-VM64-KVM (1) # next
FortiGate-VM64-KVM (static) # show
config router static
    edit 1
        set gateway 10.10.10.1
        set device "port1"
    next
end
FortiGate-VM64-KVM (static) # end
FortiGate-VM64-KVM #

마지막으로 proxmox의 network 설정에 추가가 필요합니다.

아래 글 참고 하셔서 설정해주세요.

https://dirt-spoon.tistory.com/314

이제 웹으로 접속해야 하는데요.

여기서 문제가 있습니다.

저는 proxmox 서버로 내부 환경을 구성하려고 하는 것입니다.

그러다보니 proxmox에 윈도우를 별도로 설치한 상황입니다.

한마디로 제 윈도우 서버는 10.10.10.0/24 대역과 통신이 가능한 합니다.

저와 같은 상황일 때에만 10.10.10.0/24 대역의 웹에 접속이 가능합니다.

환경이 저와 같지 않을 경우에는 iptables를 이용하여 port를 forwarding 해서 방화벽의 웹에 접속해야 합니다.

아래의 환경은 proxmox의 윈도우서버에서 10.10.10.0/24 대역을 접속하기 위한 방법입니다.

proxmox의 윈도우 서버에 네트워크 디바이스를 아래와 같이 추가해 줍니다.

윈도우에 네트워크 카드가 자동으로 하나 생성이 됩니다.

IP를 수동으로 넣어주세요.

이후 윈도우에서 10.10.10.1로 ping 해보시면 아래와 같이 통신이 되는 것을 확인할 수 있습니다.

그런데 IP 10.10.10.202로는 ping이 되지 않네요??

GNS3 구성을 보면, 아직 선이 연결이 되어 있지 않습니다.

선을 연결해 줍니다.

Cloud1에서 GNS3 내부 네트워크 IP를 가진 eth1을 선택해 줍니다.

GNS3에 eth1를 추가하라는 것은 아래 글을 참조하세요.

https://dirt-spoon.tistory.com/313

fortigate는 Port1에 설정을 했기 때문에 Port1를 선택해주면 됩니다.

이후 윈도우에서 ping을 날리면~~ 정상적으로 통신이 되는 것을 확인할 수 있습니다.

이제 웹페이지로 접속해 봅니다.

https://10.10.10.202

처음 로그인 하면 라이선스 매뉴가 나옵니다.

우리는 "Evaluation license"를 선택합니다.

매뉴 아래에 Email, Password를 입력 후 OK를 누릅니다.

정상적으로 로그인이 된다면 화면과 같이 Confirm 매뉴와 함께 reboot 한다고 메시지가 나옵니다.

이후 OK를 누르면 reboot 되면서 설치 완료가 됩니다.

아래는 cli 방식으로  license를 갱신하는 방법입니다.

FortiGate-VM64-KVM # execute vm-license-options account-id 개인계정

FortiGate-VM64-KVM # execute vm-license-options account-password 패스워드

FortiGate-VM64-KVM # execute vm-license
This VM is using the evaluation license. This license does not expire.
Limitations of the Evaluation VM license include:
  1.Support for low encryption operation only
  2.Maximum of 1 CPU and 2GiB of memory
  3.Maximum of three interfaces, firewall policies, and routes each
  4.No FortiCare Support
This operation will reboot the system !
Do you want to continue? (y/n)y

Requesting FortiCare Trial license, proxy:(null)
VM license install succeeded. Rebooting firewall.


FGVMEVL6JNZCRT52 login:

The system is going down NOW !!

Please stand by while rebooting the system.
Restarting system

System is starting...
The config file may contain errors.
Please see details by the command 'diagnose debug config-error-log read'.
Serial number is FGVMEVL6JNZCRT52


FGVMEVL6JNZCRT52 login:

fortigate가 재시작 되어 로그인 하시면 아래와 같이 진행하시면 초기 설정이 완료됩니다.

proxmox를 통해서 fortigate 설치를 한 적이 있습니다.

(https://dirt-spoon.tistory.com/283 참조)

그런데, 저렇게 설치만 하면 테스트 할만한게 거의 없습니다.

그래서 제대로 fortigate를 테스트 할 수 있게 GNS3에 fortigate를 구축해보려합니다.

먼저, fortigate VM을 다운로드 합니다.

다운로드된 파일을 아래 화면처럼 압축을 풀어둡니다.

GNS3를 실행하여 아래처럼 선택해 줍니다.

위의 화면에서 클릭을 하면 아래 화면처럼 Version name 화면이 나옵니다.

다운로드된 fortigate 버전으로 수정해 줍니다.

위의 화면처럼 뜨면 아래 화면처럼 버전만 변경해 줍니다.

아래 화면에서는 그냥 "OK"를 눌러줍니다.

이후 화면을 맨 아래로 내리면 아래의 그림처럼 보입니다.

저는 이미 설치했던 이력이 있어서 자동으로 탐지하는 건지 처음부터 아래 화면처럼 보이는지 모르겠네요.

어쨌든, 처음에 다운로드 받은 파일을 import 하고 넘어가겠습니다.

이후 아래의 Fortigate 버전을 선택하고 다음으로 넘어갑니다.

설치 완료입니다.