FortiGate에서 아래와 같이 외부(all)에서 내부(all)로의 정책(ID 15)을 차단으로 설정했지만, VIP 정책(ID 14)은 차단되지 않고 허용된다.

FortiOS에서는 VIP 객체와 Firewall Address 객체는 완전히 다른 객체로 판단하다. 즉 Firewall Address 객체인 "all" 과 VIP 객체인 "VIP_eBT_FAZ" 객체는 서로 다른 별개의 영역으로 판단하게된다. 따라서 "VIP_eBT_FAZ"접속하는 트래픽은 "all"에 매칭되지 않고, ID 15 정책에 의해 허용된다.

차단하려면 VIP 객체에 대한 차단 정책을 생성해야 한다.

또는 ID 15 정책에 아래와 같은 옵션을 추가하여, VIP 객체에 대해서도 매칭되도록 설정 할 수 있다.

------------------------------------------------------------------------------------------------------------------

설명	이 문서에서는 VIP 트래픽이 대상이 '모두'로 설정된 방화벽 정책과 일치하지 않는 문제를 해결하는 방법을 설명합니다.
범위	FortiGate v7.2.2 및 이하.
해결책	가끔 'WAN'에서 'LAN'으로 방화벽 정책을 생성할 때 목적지를 '모두'로 설정하면 VIP 트래픽이 정책에 의해 필터링되지 않습니다. 예를 들어, 작업이 '거부'로 설정되어 있어도 허용됩니다. 기본적으로 정책은 VIP 객체 트래픽이 호출되는 경우에만 VIP 객체 트래픽과 일치합니다. 대상이 '모두'인 경우에는 일치하지 않습니다. 정책과 일치하려면 해당 정책의 CLI 구성에서 'set match-vip enable' 옵션을 활성화합니다. 그 후 VIP 트래픽은 정책과 일치하고 의도한 대로 거부됩니다. 메모 : FortiGate는 먼저 DNAT 검사를 수행한 다음 보안 정책을 적용하기 때문에 대상 주소 객체는 VIP 객체의 '매핑된 IP'여야 합니다.    메모: match-vip 옵션은 v7.2.3까지 기본적으로 비활성화됩니다. 7.2.3 이후 버전에서는 옵션이 기본적으로 활성화됩니다. 'set match-vip' 옵션은 정책 작업이 'deny'로 설정된 경우에만 사용할 수 있습니다.

원문출처 : https://svrforum.com/recent/1914952

개요

본 가이드에서는 미크로틱(마이크로틱) 라우터 및 CRS 스위치 제품군에서 RouterOS와 부트로더의 버전을 이해하고, 업그레이드 또는 다운그레이드 하는 방법을 설명합니다.

RouterOS에는 WinBox 또는 FTP, SCP로 파일을 전송할 수 있으며, 여기서는 WinBox로 전송하는 방법만 다룹니다.

또한 RouterOS v7을 기준으로 설명하며, 기존 v6에서는 추가 및 번들 패키지 종류가 다를 수 있으나 이미 사장되어 가는 구식 커널 기반 OS이므로 해당 설명은 제외하였습니다.

RouterOS가 설치된 MikroTik 제품을 처음 접하신다면 사용자가 확인할 수 있는 버전 정보가 여러가지 표시되어 혼란스러울 수 있습니다.

예를 들면 아래와 같습니다.

당장 현시되는 버전 정보만 다섯 가지나 되는데, 의미를 모르는 사람이 보면 약간 기괴하게 느껴집니다.

• 왼쪽에 표시되는 버전은 7.16.2인데 오른쪽에 표시되는 현재 버전은 7.15.3입니다.
• 현재 설치된 버전은 7.16.2일까요? 아니면 7.15.3?
• 그런데 오른쪽의 업그레이드 버전은 7.16.2이니까 동일버전으로 업그레이드 해야된다는 걸까요?

지금 혼란스러우시다면, 이 가이드를 꼭 읽어보셔야 합니다!

그래서... 미크로틱 개발자들은 변태 성향이라 사용자를 괴롭히는 걸까요? 당연히 아닙니다.

이를 모르고 사용하시는 분들도 많지만, 각각의 버전 정보는 MikroTik 장비에서 중요한 의미를 가지므로 이해하면 큰 도움이 됩니다.

시스템 소프트웨어 구분

미크로틱 RouterOS 장비는 크게 두 가지 시스템 소프트웨어로 구동됩니다.

• RouterOS
  • RouterBOARD 장치용 Linux 기반 OS 및 라우팅 소프트웨어

• RouterBOOT
  • RouterBOARD 장치용 부트로더 및 펌웨어
  • 부팅시 RouterOS 구동 및 장치의 Low-Level 설정 제어

RouterBOARD의 의미

소프트웨어 버전 확인하기

RouterOS 버전 확인하기

WinBox 우측 메뉴에서 System - Resource를 순서대로 누릅니다.

• A. Version
  • 현재 설치 및 구동 중인 RouterOS의 버전과 출시 정보가 표시됩니다.

• B. Factory Software (중요)
  • 해당 장치가 지원하는 가장 오래된 버전을 표시합니다.
  • 해당 장치는 반드시 해당 버전과 동일하거나 이후에 출시된 RouterOS만 설치할 수 있습니다.
    
    • 이는 해당 기종에 맞는 드라이버나 여러 리소스 지원이 추가된 버전의 RouterOS가 필요하기 때문이며, 동일 모델이라도 하드웨어 리비전에 따라서 개정 사항이 반영된 OS 및 부트로더가 필요하기 때문입니다.
    • 인텔 8세대 이후의 컴퓨터에서 윈도우 XP나 7을 지원하지 않는 것처럼, 미크로틱 장비 또한 구동할 수 있는 구형 OS 버전에 한계가 있습니다.

설치된 패키지(Package) 종류와 버전 확인하기

1. WinBox 좌측 메뉴에서 System - Packages를 차례대로 누릅니다.

2. Package List 창이 표시되며, 여기서 RouterOS를 크게 두 가지 패키지로 구분할 수 있습니다.

• A. routeros - Main Package / System Package (시스템 패키지)
  • RouterOS의 필수 시스템 패키지입니다.
  • 해당 장치의 CPU 아키텍처에 따라 구분되어 제공됩니다. (arm / arm64 / tile / mmips / mipsbe 등)
  • v7.12까지는 와이파이 제어 인터페이스가 wifiwave2라는 추가 패키지로 지원되었지만, v7.13부터는 시스템 패키지에 통합되어 WiFi 메뉴로 제공됩니다.

• B. Extra Packages (추가 패키지)
  • RouterOS의 기능 추가를 위한 선택형 패키지입니다.
  • Extra Package는 각 기능에 특화되어 개별 패키지로 제공되며, 사용자 필요나 용도에 따라 별도 설치할 수 있습니다.
  • 예를 들어 Container 패키지를 설치하면 RouterOS에서 리눅스 컨테이너 기능이 지원되고, User Manager 패키지를 설치하면 RouterOS에 중앙 집중식 인증 서버(RADIUS)를 구축할 수 있으며, Zerotier 패키지를 설치하면 제로티어 엔드포인트 기능이 추가됩니다.

여기서 주의해야 할 부분은, 언제나 각 시스템 패키지 버전에 맞는 추가 패키지가 제공 및 배포된다는 것입니다.

예를 들어 7.15 버전의 시스템 패키지와 및 추가 패키지가 설치된 라우터를 7.15.2로 업그레이드 하려면 반드시 해당 버전의 시스템 패키지와 추가 패키지 파일을 모두 라우터에 업로드 해야 합니다.

또한 다른 버전의 추가 패키지만 설치하는 것도 불가능하므로 반드시 설치된 시스템 패키지와 동일한 버전의 추가 패키지를 다운로드하여 설치해야 합니다.

그렇지 않다면 설치 또는 업그레이드 절차가 거부되고, 기존의 패키지가 그대로 유지됩니다. 

RouterBOOT 버전 확인하기 

WinBox 우측 메뉴에서 System - RouterBOARD를 순서대로 누릅니다. 

• C. Factory Firmware
  • 공장 제조시 해당 장치에 내장시킨 백업 부트로더(RouterBOOT)의 버전입니다.

• D. Current Firmware
  • 현재 설치되어 사용 중인 RouterBOOT의 버전입니다.

• E. Upgrade Firmware
  • 현재 설치된 버전과 다른 RouterBOOT 펌웨어가 발견되면 해당 버전을 표시합니다.

Factory Firmware와 Current Firmware 버전이 서로 다른 경우

1. 새로 구매한 장비라도 Factory Firmware와 Current Firmware의 버전이 서로 다를 수 있습니다.
   
   Current Firmware는 기설치된 RouterOS와 동일한 버전으로 설치되며, Factory Firmware는 해당 장치에서 오랜 시간 검증된 버전으로 설치하여 출하하기 때문입니다. 
   
   
2.  현재 사용 중인 부트로더인 Current Firmware는 사용자가 원할 때 얼마든지 업그레이드 또는 다운그레이드 할 수 있지만, 이와 다르게 Factory Firmware는 자유롭게 업그레이드 할 수 없습니다.
   
   비교적 최근(2022년)에 Factory Firmware 업그레이드가 허용된 사례는 '보호된 부트로더(Protected)' 기능을 지원하기 위해서 였는데, 이 또한 최근 생산/출하되는 기기에는 해당 없으며 특별한 소정의 절차가 필요합니다.
   
   해당 절차를 요약하면, Factory Firmware가 v7.6 미만 또는 v6.x 버전인 기종에서 Factory Firmware 쓰기 제한이 해제된 특정 버전(v7.6 또는 v6.49.7)의 RouterOS를 설치한 뒤 별도의 범용 패키지로 업그레이드하는 것입니다.
   
   따라서 이미 설치된 Factory Firmware를 변경하는 경우는 드물며, 현재 부트로더가 손상되었을 때 사용되는 보루에 가까우므로 애초에 업그레이드 할 필요가 없습니다.

RouterBOOT를 업그레이드 해야 하나요?

모든 RouterOS 패키지에는 해당 버전에 맞는 RouterBOOT 부트로더(펌웨어)를 포함하여 제공됩니다.

예를 들어, RouterOS v7.16.2 버전의 npk 패키지에는 이미 v7.16.2 버전의 RouterBOOT가 함께 포함된 것입니다.

그러나 새로운 RouterBOOT는 RouterOS 업그레이드 과정에서 자동 적용되지 않으며 항상 개별 적용해야 합니다.

'신규 펌웨어를 함께 제공하지만 설치는 개별'이라는 부분을 이해하기 어려우실 수 있으나, 윈도우 업데이트와 바이오스 업데이트가 서로 구분되는 것처럼 RouterOS와 RouterBOOT 또한 서로 다르게 구분해야 합니다.

또한, 반드시 두 버전이 같아야 하는 것은 아닙니다.

대부분 OS와 부트로더의 버전이 서로 다르더라도 문제 없이 사용할 수 있기 때문에 오히려 RouterBOOT의 존재를 모르거나 업그레이드 필요성을 느끼지 못하는 분들도 있습니다.

그럼에도 RouterBOOT 업그레이드를 권장하는 이유는 무엇일까요?

아래는 RouterOS v7의 변경 사항 중 일부입니다.

What's new in 7.10 (2023-Jun-15 08:17):

*) routerboard - fixed memory test on CCR2116-12G-4S+ ("/system routerboard upgrade" required);
*) routerboard - improved RouterBOOT stability for Alpine CPUs ("/system routerboard upgrade" required);
*) routerboot - increased "preboot-etherboot" maximum value to 30 seconds ("/system routerboard upgrade" required);


What's new in 7.11 (2023-Aug-15 09:33):

*) routerboard - fixed "gpio-function" setting on RBM33G ("/system routerboard upgrade" required);
*) routerboard - improved RouterBOOT stability for Alpine CPUs ("/system routerboard upgrade" required);
*) routerboard - removed unnecessary serial port for netPower16P and hAP ax lite devices ("/system routerboard upgrade" required);
*) routerboot - increased etherboot bootp timeout to 40s on MIPSBE and MMIPS devices ("/system routerboard upgrade" required);


What's new in 7.16 (2024-Sep-20 16:00):

*) routerboard - improved Etherboot stability for CRS320-8P-8B-4S+ device ("/system routerboard upgrade" required); 
*) routerboard - improved Etherboot stability for IPQ-40xx devices ("/system routerboard upgrade" required);
*) routerboot - improved boot process ("/system routerboard upgrade" required);

새로운 버전의 RouterBOOT에는 일반적으로 RouterBOARD의 전반적인 동작 안정성을 위한 개선 사항이 포함됩니다.

또한 변경 사항에 명시된 개선 사항 외에도 명시하지 않은 개선 사항이 있을 수 있는데, 경험상 이러한 차이는 RouterOS v6에서 v7 전환이 이루어지던 초기부터 과도기(v7.8 출시 이전까지)에 꽤나 잦았습니다.

예를 들면 v7.x로 업그레이드 후 라우터 부팅이 오래 걸리거나 중간에 비정상 재부팅 되는 문제가 발생했는데, RouterBOOT까지 업그레이드하면 증상이 없어졌지만 변경 사항에서 관련 내용을 별도 명시한 부분은 없었습니다.

따라서 MikroTik에서는 Current Firmware와 Upgrade Firmware의 버전이 서로 다른 경우 버전이 일치하도록 RouterBOOT 업그레이드를 권장하고 있고, 저 또한 Changelog에 특별히 명시된 부분이 없더라도 OS 업그레이드 후 습관처럼 함께 적용하고 있습니다.

RouterOS 업그레이드하기

RouterOS를 업그레이드 하는 방법은 크게 5 가지로 구분할 수 있습니다.

• 표준 업그레이드 (최신, 간편)
  
  • 클릭 몇 번만 누르면 간편하게 최신 버전으로 업그레이드할 수 있는 표준 방법입니다.

• 수동 업그레이드 (직접 파일 업로드)
  • 사용자가 원하는 버전의 RouterOS를 라우터에 업로드하여 업그레이드합니다.

• 자동 업그레이드 (회사/학교 등 중대규모 또는 폐쇄망 환경용)
  • 자동/로컬 업그레이드
    • 미크로틱 라우터 중 하나를 업데이트 서버로 지정하고 다른 라우터에서 이를 다운로드할 수 있습니다.
    • 업그레이드 서버 라우터에 원하는 버전의 파일을 직접 업로드하거나 미러 서버로부터 자동 다운로드할 수 있으며, 주로 폐쇄망 환경에서 활용됩니다.
    • OS 버전에 따라 System 메뉴에 Auto Upgrade 또는 Packages - Local Upgrade에 표시됩니다.
  • Dude로 업그레이드
    • MikroTik의 중앙 집중식 네트워크 모니터링 툴인 Dude에서 업그레이드 서버로 활용 및 특정 라우터를 업그레이드 시킬 수 있습니다.

• Netinstall (라우터 포맷 및 완전한 OS 재설치)
  • etherboot 모드로 진입한 라우터를 컴퓨터와 직접 연결해야 하며, Netinstall 소프트웨어로 깨끗하게 포맷 & 재설치할 수 있습니다.
  • 표준 또는 수동 업그레이드 후 예기치 못하게 오동작하는 경우 Netinstall로 완전히 재설치하면 해결되는 사례가 종종 있습니다.
  • Resources의 Bad Block 값이 5%를 초과한 경우, Netinstall로 라우터/스위치의 OS를 다시 설치해야 합니다. 이는 설치 과정에서 mtd로 flash erase를 거치면서 마킹된 불량 블록 정보가 갱신되기 때문입니다. (불량 블록을 없앨 수는 없습니다. 단지 마킹 테이블을 갱신하여 해당 위치에 데이터를 쓰지 않도록 피하는 것입니다.)

여기서는 RouterOS의 표준 및 수동 업그레이드 방법만 설명합니다.

자동 및 Netinstall을 설명하려면 개별 가이드 작성이 필요한 분량이 발생하므로 건너뛰었으며, 아래 공식 가이드를 참고하시기 바랍니다.

Netinstall - RouterOS - MikroTik DocumentationNetinstall is a tool for installing and reinstalling MikroTik devices running RouterOS. Always try using Netinstall if you suspect that your device is not working properly. The tool is available for Windows (with a graphical interface) and for Linux (as a command line tool). from HELP.MIKROTIK.COM

표준 업그레이드 하기 (최신 버전 설치)

WinBox에서 매우 간편하게 최신 버전의 RouterOS로 업그레이드 하는 방법을 설명합니다.

기본적으로 RouterOS에 추가 패키지가 설치된 경우, 업그레이드하려면 해당 버전의 추가 패키지 파일까지 함께 넣어야 합니다.

그러나 표준 업그레이드 기능을 사용하면 설치된 추가 패키지의 최신 버전까지 '알아서' 다운로드 및 설치해주므로 매우 쉽게 적용할 수 있습니다.

1. WinBox 좌측 메뉴에서 System - Packages를 차례대로 누르면 표시되는 Package List 창에서 우측의 Check For Updates를 누릅니다.

2. Check For Updates 창이 표시됩니다.

1. Channel : 소프트웨어 배포판 채널을 선택합니다.
   
   • Development : 신규 변경 사항을 적용하여 비정기적으로 출시하는 개발용 알파 버전입니다.
   • Testing : 출시 후보(RC) 중 하나이며, 수 주마다 출시되는 베타 버전이므로 '변경사항 테스트' 목적에 적합하며 프로덕션 목적으로는 권장하지 않습니다.
   • Stable : 새로운 기능과 수정 사항을 포함한 안정적인 버전이며, 수 개월마다 출시됩니다. (권장)
   • Long-term : Stable 버전에서 장기간 검증된 출시판에 대해 보안 및 버그 패치 등 중요한 수정 사항만 적용하여 출시됩니다. (실제 운용 환경에서 권장) 단, 현재 RouterOS v7에서는 LTS 채널이 없으므로 사용할 수 없습니다.
     
     
2. Version : 현재 설치된 버전과 최신 버전 정보를 표시합니다.
3. Changelogs : 선택한 채널에 출시된 최신 버전의 변경 사항을 표시합니다.
   
   
4. Download : 최신 버전의 RouterOS 패키지를 라우터에 다운로드 합니다.
   • 설치된 추가 패키지가 있는 경우 해당 패키지의 최신 버전까지 알아서 다운로드 됩니다.
   • 다운로드가 완료되더라도 설치는 하지 않으며, RouterOS 재부팅시 설치됩니다.
     
     
5. Download & Install : 최신 버전의 RouterOS 패키지를 라우터에 다운로드 후 자동 재부팅하여 설치합니다.
   
   • 설치된 추가 패키지가 있는 경우 해당 패키지의 최신 버전까지 알아서 다운로드 및 설치됩니다.

Download 또는 Download & Install을 누르면 아래 이미지와 같이 진행률이 표시되며, 최신 버전의 시스템 및 추가 패키지를 임시 공간에 다운로드 합니다.

여기서 중요한 부분은 Download와 Download & Install 명령간의 차이입니다.

상기된 Download 후 수동 재부팅 또는 Download & Install로 자동 설치하여 표준 업그레이드를 수행하면 RouterOS를 매우 간단하게 최신 버전으로 유지할 수 있습니다!

참고 : RouterOS 출시 과정 순서도

수동 업그레이드 하기 (버전 선택 가능)

원하는 버전의 RouterOS 패키지를 직접 라우터/스위치에 업로드하여 업그레이드할 수 있습니다.

참고 : 저사양 기기에서 수동 업그레이드시 주의하세요.

자동 또는 수동 업그레이드 진행시, 패키지 파일는 램디스크에 임시 저장됩니다.

RouterOS의 메인 패키지는 10MB에 불과하지만 무선 패키지 등의 추가 패키지를 포함할 때 15MB 전후의 크기가 되는데, 여기서 문제가 발생할 수 있습니다.

hAP lite 등의 저사양 기기의 경우 RAM 용량이 32MB에 불과하며, 그외 64MB 이하인 기기라면 가용 메모리 용량이 크기 않기 때문에 필요한 파일을 업로드 할 수 없거나 업로드 하더라도 시스템이 메우 불안정해지므로 실패할 가능성이 있습니다. 

이런 경우 재부팅 등으로 RAM 공간을 충분히 확보한 뒤에 진행하거나, 표준/수동 업그레이드보다는 Netinstall로 완전히 재설치하시기 바랍니다.

올바른 RouterOS 패키지를 다운로드하려면 반드시 설치하려는 라우터의 CPU 아키텍처 종류를 알아야 합니다.

1. WinBox 좌측 메뉴에서 System - Resources를 차례대로 누르고, 표시된 Resources 창에서 'CPU' 항목의 정보를 확인합니다.

• 모델에 따라 arm / arm64 / tilegx (=tile) / mmips / mipsbe / x86(CHR) 등의 값이 표시될 것입니다.

2. 상기된 [설치된 패키지(Package) 종류와 버전 확인하기] 섹션에서 소개된 방법으로 시스템에 설치된 추가 패키지가 있는지 확인합니다.

위 이미지를 기준으로, 현재 RouterOS를 상위 버전으로 업그레이드 하려면 상위 버전의 ups, user-manager, zerotier 패키지 파일도 함께 준비해야 됩니다.

[참고] 와이파이(Wi-Fi) 기능이 포함된 모델의 추가 패키지 선택 요령

현재 사용 중인 라우터가 와이파이 지원 기종이라면 아래 내용을 꼭 읽어보시기 바랍니다.

위 이미지는 hAP ax3의 패키지 목록인데, 시스템 패키지 아래에 wifi-qcom이라는 추가 패키지가 설치되어 있습니다.

이는 Wi-Fi 6 지원 모델의 무선 드라이버 패키지이며, 와이파이 동작을 위해서는 해당 추가 패키지가 반드시 필요합니다.

RouterOS v7.13을 기점으로 CAPsMAN과 무선 드라이버 패키지가 완전히 분리되어 필요한 무선 드라이버 패키지를 설치해야만 무선(와이파이) 인터페이스를 올바르게 인식할 수 있습니다.

• [wireless] 패키지가 필요한 경우
  
  • MIPSBE 타입 CPU가 적용된 모든 레거시 무선 모델에 해당
    • hAP, hAP lite, hAP AC, hAP AC lite, cAP lite 등
  • 상기 모델 및 wireless 패키지는 WPA3 인증이나 802.11k/v/r 로밍, MU-MIMO, OFDMA 등 wave2 이후 주요 기능을 지원하지 않습니다.

• [wifi-qcom-ac] 패키지가 필요한 경우
  
  • ARM CPU를 적용한 Wi-Fi 5 지원 기종에 해당
    • Audience
    • Audience LTE kit
    • Chateau (모든 D53 파생 모델)
    • RB4011iGS+5HacQ2HnD-IN (5GHz 전용)
    • hAP ac2
    • hAP ac3
    • cAP ac
    • cAP XL ac
    • LDF 5 ac
    • LHG XL 5 ac
    • LHG XL 52 ac
    • NetMetal ac^2
    • mANTBox 52 15s
    • wAP ac (RBwAPG-5HacD2HnD)
    • SXTsq 5 ac 등

• [wifi-qcom] 패키지가 필요한 경우
  
  • 모든 Wi-Fi 6 지원 모델
    • hAP ax2
    • hAP ax3
    • hAP ax lite
    • cAP ax
    • wAP ax
    • Chateau PRO ax 등

위 내용을 정리한다면, 아래와 같습니다.

• hAP ac 에서 와이파이를 사용하려면 반드시 'wireless' 패키지를 추가로 설치해야 합니다.
• hAP ac2 에서 와이파이를 사용하려면 반드시 'wifi-qcom-ac' 패키지를 추가로 설치해야 합니다.
• hAP ax3 에서 와이파이를 사용하려면 반드시 'wifi-qcom' 패키지를 추가로 설치해야 합니다.

참고로 RB4011iGS의 와이파이 모델 (RB4011iGS+5HacQ2HnD-IN)은 v7.13부터 2.4G와 5G 무선을 동시에 사용할 수 없습니다.

이는 AR9582(2.4G) + QCA9984(5G)라는 이상한 패브릭 디자인 때문인데, AR9582는 레거시 wireless 패키지가 필요하고 QCA9984는 wave2용 wifi-qcom-ac 패키지가 필요하지만 두 패키지와 무선 장치는 더 이상 양립할 수 없으므로 두 주파수 중 하나만 사용할 수 있습니다.

MikroTikMikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technologies faster, more powerful and affordable to wider range of users.from MIKROTIK.COM

3. 상기 링크에 접속하고, 원하는 버전을 클릭합니다.

4. 아키텍처별로 정렬되어 여러 종류의 파일 목록이 표시되며, 제가 사용하는 기기는 아키텍처가 'arm'이므로 이를 기준으로 설명합니다.

1. all_packages-xxx-xxx.zip : 모든 종류의 추가 패키지를 모아둔 압축 파일입니다. 
   
   • 기존에 설치된 추가 패키지가 없다면 이 파일은 다운로드할 필요가 없습니다.
   • 현재 시스템에 추가 패키지가 설치되어 있는 경우 함께 다운로드하여 압축을 해제합니다.
2. routeros-xxx-xxx-npk : RouterOS 시스템 패키지 파일입니다.
   • 다운로드 후 별도 작업 없이 npk 확장자 그대로 업로드할 것입니다.

이제 이전 단계에서 확인한 정보로 arm / arm64 / mipsbe / mmips / ppc / tile(=tilegx) 등 기기에 맞는 아키텍처의 파일을 다운로드 하면 됩니다!

5. WinBox 좌측 메뉴에서 Files를 눌러 File List 창을 엽니다.

6. 이전 단계에서 다운로드한 패키지 파일을 File List 목록 빈 공간에 드래그하여 업로드합니다.

• 기존에 설치된 추가 패키지가 없다면 RouterOS 시스템 패키지 파일만 업로드하면 됩니다.
• 기존에 설치된 추가 패키지가 있다면 반드시 업그레이드할 버전에 맞는 해당 패키지까지 함께 업로드합니다.
  • 본 예제의 시스템에는 위 단계에서 이미 설치된 추가 패키지(ups, user-manager, zerotier)가 있었으므로 이를 함께 업로드하였습니다.

• Files에 복사된 파일은 다운그레이드 및 재부팅 과정에서 자동으로 삭제됩니다. (SPI 적용 모델은 램디스크라서, NAND 적용 모델은 낸드에 기록되지 않고 삭제됨)

[참고] File List에 Flash 폴더가 존재하는 경우

7. WinBox 좌측 메뉴 -  System - Reboot을 눌러 소프트 리부트를 적용합니다. 이후 재부팅 과정에서 새로운 버전의 RouterOS 이미지가 자동으로 설치됩니다.

• 모델에 따라 업그레이드 및 재부팅 과정이 길게 (약 3~5 분가량) 걸릴 수 있으므로 반응이 없더라도 절대 라우터 전원을 차단하지 마세요.

8. RouterOS 패키지 버전이나 로그 기록을 확인하여 업그레이드가 올바르게 적용되었는지 확인합니다.

• 위 로그에서 4 번 항목에 downgrade 내용이 있는데, 이는 RouterOS가 upgrade 과정 진행시 이미지 설치 후 소프트 인터럽트를 진행하는 downgrade 명령으로 대체하기 때문입니다.
• 로그에는 명령어 실행 여부만 기록되며 실제로 다운그레이드 된 것을 의미하지는 않습니다.

RouterBOOT 업그레이드하기

RouterOS를 업그레이드 했다면, 이제 부트로더를 업그레이드 할 차례입니다.

1. WinBox 좌측 메뉴에서 System - RouterBOARD를 차례대로 누르고, 위 이미지처럼 Upgrade Firmware가 Current Firmware 보다 높은 버전이 표시되는지 확인합니다.

• RouterOS를 올바르게 업그레이드했다면, 반드시 Upgrade Firmware에는 설치한 OS와 동일한 버전을 표시해야 합니다.

2. 우측에 Upgrade를 누르고, 확인 메시지가 표시되면 OK를 누릅니다.

3. 펌웨어 업그레이드가 예약되면 상단에 재부팅시 적용된다는 알림이 표시됩니다.

4. WinBox 좌측 메뉴에서 System - Reboot를 눌러 재부팅합니다.

5. 재부팅 후 Current Firmware 버전을 확인하여 올바르게 업그레이드 되었는지 확인합니다.

RouterOS 다운그레이드 하기

기본적으로 RouterOS는 현재 설치된 버전보다 이전 버전의 패키지 파일이 발견되면 이를 무시합니다.

따라서 아래와 같이 소정의 과정을 거쳐야 설치된 OS를 이전 버전으로 다운그레이드할 수 있습니다.

MikroTik Download Archive에서 이전 버전의 RouterOS 패키지 다운로드하기 :

MikroTikMikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technologies faster, more powerful and affordable to wider range of users.from MIKROTIK.COM

1. 수동 업그레이드 섹션에 안내된 방법대로 상기 링크에서 라우터 유형에 맞는 RouterOS 패키지를 다운로드 합니다.

• 여기서는 7.14.3 버전으로 다운그레이드 하는 방법을 예시로 설명합니다.
• 시스템 패키지와 추가 패키지 버전은 항상 같아야 하며, 둘 중 하나만 다운그레이드할 수 없습니다.
• 따라서 시스템에 이미 설치된 추가 패키지가 있다면 해당 패키지의 구버전 파일까지 함께 준비합니다.

2. WinBox 좌측 메뉴에서 Files를 눌러 파일 목록 창을 열고, 업그레이드 과정과 동일하게 다운로드한 패키지 파일을 드래그하여 업로드합니다.

• Files에 복사된 파일은 다운그레이드 및 재부팅 과정에서 자동으로 삭제됩니다.

3. WinBox 좌측 메뉴에서 System - Packages를 차례대로 누르고 Package List 창이 표시되면 우측의 Downgrade를 누릅니다.

• 반드시 Downgrade 명령으로 적용해야 하위 버전의 패키지를 인식할 수 있으며, 그렇지 않으면 무시됩니다.

4. 다운그레이드 확인 메시지에서 OK를 눌러 재부팅하면, 업로드된 버전으로 다운그레이드 됩니다.

5. 재부팅 이후 패키지 버전을 확인하여, 원하는 버전으로 올바르게 다운그레이드가 완료되었는지 확인합니다.

RouterBOOT 다운그레이드 하기

부트로더 다운그레이드 방법은 업그레이드 방법과 완전히 동일하므로 간략하게 다시 설명합니다.

1. RouterOS를 올바르게 다운그레이드 했다면, 위 이미지와 같이 System - RouterBOARD 정보의 Upgrade Firmware에서 해당 버전이 표시됩니다.

2. 상기 RouterBOOT 업그레이드 단계와 동일하게 우측의 Upgrade를 누르면, 위 이미지와 같이 재부팅이 필요하다는 메시지가 표시됩니다.

3. System - Reboot를 눌러 재부팅하면, 이전 버전의 RouterBOOT가 적용되며 부트로더 다운그레이드가 완료됩니다!

결론

RouterOS 및 시스템을 최신 버전으로 유지하려면 표준 업그레이드 방법을 따르면 됩니다.

'딸깍' 한 번이면 최신 버전 패키지를 알아서 다운로드하고 설치해주기 때문입니다.

이와 다르게 원하는 특정 버전 또는 다운그레이드하려면 패키지 파일을 직접 넣어 업그레이드 해야 합니다.

How to set or change the MAC addresses associated with a FortiGate interface

Description
The following instructions can be used to set or change the MAC address associated with a FortiGate interface:
 
Set the MAC Address on the Interface

Execute the commands:

FGT# config sys int
FGT# edit <interface>
FGT# set macaddr <MAC address>
FGT# end

Restart the routing engine on the FortiGate.

FGT# exec router restart

<아래는 설정된 MAC 확인 명령어>

FGT# diagnose hardware deviceinfo nic wan1 | grep HW
Current_HWaddr           90:6c:ac:4c:d4:da
Permanent_HWaddr           90:6c:ac:4c:d4:da

원문출처 : https://ebt-forti.tistory.com/396

VIP 설정에서 "Optional Filter"에 "Service" 설정이 있다.

위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다.

만약 아래 처럼 "Port Forwarding" 설정이 없다면 다음과 같이 전달된다. (단. 방화벽 정책에 해당  port에 대한 허용 정책은 필요하다)

[192.168.170.55:8000] → [192.168.11.110:8000]

[192.168.170.55:8008] → [192.168.11.110:8008] 

[192.168.170.55:8080] → [192.168.11.110:8080]

단, "Service" 항목에서 설정한 port외의 다른 port로 접근하면 VIP는 동작하지 않는다. 

원문출처 : https://ebt-forti.tistory.com/426

WebFIlter 프로파일에서 사용자가 직접 설정할 수 있는 Static URL Filter 기능을 이용하여 Youtube를 차단하는 방법 이다. 

브라우저 캐시로 우회하거나 검색 엔진을 통해 YouTube 동영상을 검색하는 것을 피하기 위해 아래의 두 URL을 regex 방식으로 추가해야 한다.

".*googlevideo.*" 

".*youtube.*"

YouTube 웹사이트는 계속 접속가능하더라도, 동영상이 플레이 되지 않는다.

Google 크롬 브라우저의 경우 아래의 링크를 참조하여 QUIC를 차단해야 한다.

https://ebt-forti.tistory.com/57

Youtube가 차단되면 webfilter 로그에서 확인 가능하다.

원문출처 : https://ebt-forti.tistory.com/489

FortiGate가 FortiToken 발급이나 alert email 또는 Automation Stitch 기능을 이용하여 메일을 보낼때 default로는 FortiNet의 "notification.fortinet.net" 메일서버를 이용하여 보낸다.

가끔 "notification.fortinet.net" 메일 서버를 스팸으로 판단하여 수신하지 못하는 경우가 있다.

이를 경우, 다른 메일서버를 이용하여 메일을 보낼 수 있도록 메일서버를 변경할수 있는데 gmail로 변경하는 방법이다.

FortiGate가 메일을 보내기 위해 Gmail에 접속할때 보안이 낮게 설정되어 있어 접속이 불가능 하기 때문에 메일을 보낼수 없다. 

보내고자 하는 Gmail 계정을 '앱 비밀번호'를 사용하도록 수정하여야한다. 이렇게 하기위해서는 먼저 Gmail 계정에 2-factor 인증을 사용해야만 한다.

1. 먼저 GMail에 로그인해서, 아래 링크를 통해 "보안 > 앱 비밀번호" 를 접속한다.

    https://myaccount.google.com/security

2.  앱은 "메일"을 선택하고, 기기는 아래와 같이 선택한다.

3. 앱에서 사용할 16자리 비밀번호를 표시하는데, FortiGate설정에서 사용할것이기 때문에 꼭 기억해 놓아야 한다.

4. FortiGate의 System > Setting 메뉴에서 메일서버를 Gmail로 설정한다. 이때 사용자의 비밀번호를 위에서 받은 16자리 앱 비밀번호를 사용한다.

위와 같이 설정하면 FortiGate가 Gmail을 통해 FortiToken 발급이나 alert email 또는 Automation Stitch  메일을 보낼수 있다.

원문출처 : https://ebt-forti.tistory.com/491

FortiGuard 라이선스가 만료된 경우, FortiGate의 각 기능별 동작 가능 여부이다.

• Firewall : 라이선스가 만료 되더라도 방화벽 기능은 정상 동작한다.
• HA : HA 기능도 라이선스와 상관없이 여전히 동작한다.
• AntiVirus(AV) : 바이러스 탐지 기능은 여전히 동작하지만, 라이선스가 만료되면 신규 바이러스에 대한 대응 시그니처의 업데이트가 불가능하다.
• Anti-Malware :  Anti-Malware 엔진은 정상 동작하지만, 새로운 시그니처의 업데이트는 불가능하다.
• IPS : 침입 탐지 기능은 정상적으로 동작하지만, 새로운 시그니처 업데이트는 불가능하다.
• Application Control : Application Control 기능은 정상적으로 동작하지만, 새로운 Application 및 새로운 버전의 Application에 대한 시그니처 업데이트는 불가능하다.
• VPN : IPsec VPN, SSLVPN 기능 모두 정상 동작한다.
• Web Filtering : Web Filtering 엔진은 여전히 동작하지만, FortiGuard로부터 Query에 대한 응답을 받지 못하기 때문에 raiting 에러로 web 접속이 불가능할 수 있다. FortiGuard로 Query 하지 않는 Static URL Filter 같은 기능은 라이런스가 만료되어도 여전히 사용 가능하다.
• DNS Filtering : Web Filter와 동일하게 FortiGuard로 query가 불가능하다. 사용자 지정 기능은 사용 가능하다.
• SD-WAN : 라이선스와 상관없이 정상 동작한다.
• Advanced Routing : 라이선스와 상관없이 정상 동작한다.
• QoS & Traffic Shaping : 라이선스와 상관없이 정상 동작한다.
• Explicit proxy & WAN Optimization : 라이선스와 상관없이 정상 동작한다.

원문출처 : https://ebt-forti.tistory.com/490

Troubleshoooting 등 필요에 의해 모든 방화벽 정책(policy)과 address, VIP를 CLI 명령어를 이용하여 한꺼번에 삭제하는 방법이다.

삭제할시 다른곳에서 참조(사용)되고 있는 경우 해당 object 를 삭제할 수 없다.

따라서 policy를 먼저 삭제하고, 이후 address 나 vip를 삭제한다.

◼  방화벽 policy 삭제

    삭제하면 아래와 같이 'Implicit Deny' 정책을 제외한 모든 정책이 삭제 된다. 

◼  방화벽 address 삭제 : 다른곳(route 등)에서 참조(사용)되는 address를 제외하고, 사용자가 생성한 모든 address는 삭제된다.

     FortiGate가 Facrory default 상태의 주소는 여전히 존재 한다.

◼  방화벽 VIP 삭제 

원문출처 : https://ebt-forti.tistory.com/520

SSLVPN 접속용 port와 장비를 관리하기위한 https port를 동일하게 사용하게 되면, 해당 port로 접속할 경우 SSLVPN으로 만 접속하게 된다.

예를 들어 SSLVPN과 관리용 https port를 동일하게 443으로 설정한 경우, 해당 인터페이스로 443 접속하면 SSLVPN 연결을 위한 페이지가 표시된다.

이는 default로 아래의 설정이 enable 되어 있기 때문이다. 만약 disable로 설정하게 되면 관리자 https 연결이 된다.

이를 이용해서 해당 인터페이스에 secondary IP두고, Primary IP로 접속하면 SSLVPN으로 접속되고, Secondary IP로 접속하면 장비 관리용 https로 접속하도록 설정 가능하다. 

먼저, 위 설정을 disable 한다.

Secondary IP를 설정하고, 관리자 접속을 원하는 IP는 Administrative Access 에서 HTTPS를 체크하고, SSLVPN 접속을 원하는 IP는 HTTPS 체크를 하지 않는다.

위의 경우....

• https://192.168.1.55 : SSLVPN 연결
• https://192.168.1.66 : 관리자 연결

Administrative Access 조정하여 반대의 연결도 가능하다.

원문출처 : https://ebt-forti.tistory.com/573

FortiGate의 Interface가 DHCP 또는 PPPoE로 IP를 할당 받은 경우, FortiGate에 설정된 DNS를 사용하지 않고 DHCP 또는 PPPoE에서 할당 받은 DNS 서버를 사용하는 경우가 있다.

이는 Interface 설정의 "Override internal DNS" 옵션 영향이다.

 Interface는 위와 같이  "Override internal DNS" 가 enable 설정되어 있는 상황에서, System > DNS 설정에서 FortiGuard DNS를 사용하도록 설정 되어 있다.

FortiGate의 DHCP 서버의 DNS Server 설정이 "Same as System DNS" 라고 설정되어 있지만, FortiGate로 부터 IP를 할당받는  DHCP Client의 DNS는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 할당 된다.

FortiGate DHCP Server 설정

DHCP Client의 DNS Server 확인

하지만 FortiGate가 직접 사용하는 DNS는 DNS Protocols 옵션에 따라 조금 다르게 동작한다.

FortiGate에서 출발하는 DNS query를 암호화 해서 보내는 TLS, HTTPS 방식이 있고, 일반적인 Clear text로 보내는 UDP 방식이 있다. 암호화 해서 보내는 TLS, HTTPS 방식을 사용하려면 서버도 이를 지원해야 한다.

위 예에서 '168.126.63.1'과 '168.126.63.2'의 경우 TLS 방식을 지원하지 않는다.

DNS Protocols 옵션을 TLS로 설정하게 되면 서버가 지원하지 않는 방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 FortiGate에 설정된 FortiGuard DNS를 사용하게 된다.

하지만 DNS Protocols 옵션을 UDP로 설정하게 되면 168.126.6.1(2) 서버가 지원방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 사용된다.

원문출처 : https://ebt-forti.tistory.com/598

FortiGate에서 관리자 password를 잊어버릴 경우 maintainer 계정을 이용하여 복구 할 수 있었다. 

FortiOS v7.2.4 부터는 보안상의 이유로  maintainer 계정이 삭제되어, 위의 방법으로 password 복구는 불가능하다. 콘솔을 연결하고, TFTP를 통하여 펌웨어를 다시 업로드하는 방식으로 바뀌었다.

1) 장비에 콘솔을 연결하고 TFTP를 이용하여 펌웨어를 업로드한다.

2) 펌웨어를 다시 로드하면 설정이 공장 기본값으로 변경된다. (admin 계정에 password없이 접근 가능)

3) config backup 파일에서 관리자 계정의 password를 변경하여 restore 한다.

    backup 파일에서 " config system admin"에서 "super_admin" 프로파일이 적용된 계정의 password를 변경한다.

   기존에 암호화(ENC)된 방식이지만, 일반 text로 password 설정이 가능하다.

password 변경 전

password 변경 후

4) 변경한 config file을 장비 restore한다.

주의) config restore는 동일한 펌웨어 버전이어야 한다. config file 맨 위쪽에서 확인 가능하다.

만약 backup 받은 config가 없다면 처음부터 다시 설정해야 한다.

원문출처 : https://ebt-forti.tistory.com/610

v7.2.4이상의  Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다.

"System > Feature Visibility" 메뉴에서 확인한 disable 메뉴

이전 버전에서는 Policy 설정 화면에서 Flow inspection과 Proxy Inspection을 선택할 수 있었지만, v7.2.4에서는 아래와 같이 설정 화면이 사라졌다.

다시 보이게 할려면 아래의 CLI 명령을 입력한 후, 관리자가 GUI를 재접속하면 표시된다.

원문출처 : https://ebt-forti.tistory.com/614

FortiGate를 FortiCare에 등록하면 일반적으로 동일한 계정으로 FortiCloud를 사용하여 로그를 저장하거나, FortiCloud를 통해 관리를 받을 수 있다.

FortiCloud를 다른 계정으로 하기위해 FortiCloud를 logout 하더라도, GUI에서는 이전에 등록된 계정을 수정할 수 없게 되어 있다.

CLI에서 다음의 명령어를 통해, 기존 등록된 계정을 삭제하고 새로운 계정으로 등록할 수 있다.

다음의 CLI명령어는 'tap'이나 '?' 등으로 자동으로 완성되지 않는 숨겨진 명령어이다.

수동으로 모든 명령어를 입력해야 한다.

위 CLI 명령어를 입력하면 "Request sent.' 메세지가 표시되고, 몇 분후 GUI에서 확인하면 바뀐 계정으로 로그인 되어 있다. 

원문출처 : https://ebt-forti.tistory.com/618

FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다.

일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인하게 되는데, 그 방식이 서로 다르다. 

일반적인 FQDN의 경우 FortiGate에 설정된 DNS를 이용하여 FortiGate에서 출발하는 DNS query방식이고, wildcard FQDN의 경우 FortiGate를 통과하는 트래픽에서 IP를 획득한다. 즉 사용자 트래픽의 DNS query에서 IP를 획득하는 방식이다.

내부에서 외부로의 허용되는 방화벽 정책이 disable 된 예이다.

내부에서 외부로 방화벽 정책 disable

이 상황에서 일반적인 FQDN은 FortiGate가 스스로 IP를 resolve 하지만, FortiGate를 통과하는 트래픽이 없는 상태라서 wildcard FQDN은 IP를 획득하지 못한다.

외부로의 트래픽을 허용하고, 내부에서 wildcard FQDN에 대해서 DNS query가 발생하면 할수록 IP를 계속해서 획득하게 된다. 

FortiGate를 통과하는 DNS query에서 IP resolve

위에서와 같이 Wildcard FQDN은 FortiGate를 통과하는 DNS query에 대해 session helper를 처리하면서 IP를 획득하게 된다. 

따라서 DNS에 대해 Session Helper가 삭제 되어 있다면 Wildcard FQDN은 IP를 얻지 못한다.

원문출처 : https://ebt-forti.tistory.com/249

Wildcard address object를 이용하여 방화벽 정책에 적용하였지만 제대로 작동하지 않는 경우, Session helper 기능에서 DNS가 disable 되어 있는지 확인해야 한다.

DNS에 대한 Session helper 기능은 default로 enable이지만, 만약 disable되어 있으면 Wildcard Address에 대해 DNS lookup이 제대로 되지않아 방화벽 정책이 동작하지 않는다.

아래와 같이 Wildcard address를 생성하고, DNS에 대한 Session helper가 enable 되어 있다면 정상적으로 IP address가 확인 되어 방화벽 정책이 정상적으로 동작한다. (실제로 dns query가 있어야 IP address를 확인)

만약 DNS에 대한 Session helper가 disalbe 이라면 아래처럼 IP address가 확인 되지 않아, Wildcard Object를 이용한 방화벽 정책이 정상적으로 동작하지 않는다.

원문출처 : https://ebt-forti.tistory.com/646

FortiGate각 FQDN 객체에 대해 IP를 얻는 방법은 2가지이다.

FortiGate에 설정된 DNS에 직접 Query를 하여 IP를 확인하거나, FortiGate를 통과하는 DNS query에서 IP를 얻기도 한다.

예를들어 아래의 Topology에서 FortiGate는 외부의 공용 DNS Server가 설정되어 있으며, 내부 사용자들은 FortiGate를 통과하는 Local DNS 서버가 설정되어 있다. 

FortiGate에 "www.example.com" 에 대해 FQDN Object를 설정할 경우, FortiGate는 자신에게 설정된 DNS Server에 Query를 보내 IP를 확인한다.

내부 사용자가 Local DNS Server에 DNS query를 하는 트래픽에서 FortiGate는 "www.example.com" 에 대한 IP를 추가적으로 얻는다.

만약 사용자의 Query에 의한 IP 확인을 해지하려면 아래의 2가지 방법이 있다. 

첫번째는 Session-helper 에서 DNS 항목을 삭제하는 것이고, 다른 방법은 아래의 명령어를 이용하는 것이다.

    config system network-visibility 

          set destination-visibility disable

    end

위 2가지 방법 모두 주의할 점은 WildCard FQDN값을 확인 할수  없다는 것이다.

주의) 위 설정을 바꿀경우 FortiGate에서는 아래의 명령어(DNS 데몬 재시작)를 사용해서 DNS로 획득한 값을 모두 삭제 해야 한다.

참고적으로 사용자 PC에 캐시되어 있는 DNS를 삭제하는 방법은 아래와 같다.

원문출처 : https://ebt-forti.tistory.com/659

WebFIlter 기능을 이용하여 검색엔진에서 검색하는 특정 단어를 차단하는 방법이다.

예를 들어 "game"이라는 검색어를 차단하는 방법은 다음과 같다.

1. Web FIlter Profle에서 Static URL FIlter를 Wildcard 형식으로 설정 한다.

      * www.google.com/search*game*

      * www.google.co.kr/search*game*

2. 방화벽 정책에 해당 profile을 적용한다. 단 SSL Inspection은 Deep Inspection을 설정한다.

Google에서 "game"을 검색하면 아래와 같이 차단되며, "디아블로 GAME" 이라고 검색해도 차단된다. (대•소문자 구분 안함)

다른 검색엔진도 마찬가지 이다.

예를 들어 네이버에서 "game"이라고 검색하여 URL주소를 확인하면 다음과 같다.

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=game

위 주소를 가지고 wildcard 형식으로 등록한다.

Naver 검색 차단 화면

이런 형식으로 다양한 검색엔진에서 검색하는 키워드를 이용하여 Web Filter가 가능하다.

원문출처 : https://www.linkedin.com/pulse/configuring-igmp-proxy-fortiwifi-30e-fortios-version-625-denys

원문출처 : https://ebt-forti.tistory.com/79

Product : FortiGate

Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법

    1. FortiGate Maintainer 계정에 대해서 

    2. 복구 방법

    3. FortiOS v7.2.4부터 Maintainer 계정 삭제

Solution :

    -1. FortiGate Maintainer 계정에 대해서

        FortiGate에서는 Admin권한 유저의 패스워드 분실을 해결하기 위해

        Maintainer라는 복구 전용 ID가 존재함.

        이는 제한된 권한만을 가진 특수계정으로 GUI 및 CLI상에서 유저로 표시되지 않음.

        Maintainer 계정의 특징은 다음과 같음.

          -FortiGate의 물리적인 전원제거 후에만 접속 가능 (execute reboot 등으로는 접속 불가)

          -제한된 명령어만 사용가능 (Show 등의 명령어 사용 불가)

          -접속 비밀번호는 bcpb+각 장비의 Serial Number임. 대소문자 구분. (ex. bcpbFG80E4Q12345678)

          -모델별로 상이하지만, 재부팅 후, 약 60초 안에 로그인 완료하여야만 접속 가능

          -VM버전 등에서는 미지원. 스냅샷이냐 re-provisioning 사용할 것

    -2. 복구 방법

        1) 메모장 등의 택스트 편집기에 ID 및 비밀번호를 입력하여, 복사/붙여넣기 할 준비를 한다.

           (영문 타이핑이 느리거나, 오타로 인한 접속실패 가능성을 최소화)

        2) FortiGate에 물리적으로 콘솔 연결

        3) FortiGate 장비를 물리적으로 전원 제거 및, 10초 후 부팅 실시

        4) 이후 로그인 창이 뜨면, 메모장에 복사해둔 ID/PW를 입력

        5) 접속 후, 아래의 명령어를 참고하여, 비밀번호를 초기화 한다.

           (만일 VDOM이 설정된 장비일 경우, global로 이동하여 초기화를 진행)

        6) maintainer 접속 종료 후, 바뀐 패스워드로 정상 로그인 되는지 확인.

    추가적인 내용 및 주의사항은 Limit 항목 참조.

Link : kb.fortinet.com/kb/documentLink.do?externalID=FD34757

Limit :

    -이러한 maintainer 계정이 보안상 이슈가 된다면, 옵션을 통해 이를 disable도 가능.

    하지만 해당 기능 disable시, 관리자가 비밀번호 분실시 더이상 복구할 수 있는 방법이 없음.

    아래의 명령어 참조.

    -ID분실의 경우...

    관리자가 PW뿐만이 아니라, ID 또한 기억이 안날 경우에도 복구 방법이 없음.

    # config system admin 위치에서 [Show] 명령어를 통한, ID 확인 불가능. (보안상의 이유로 인해)

    반드시 ID는 기억하고 있어야, 비밀번호 복구 가능.

    (FortiGate의 default 계정의 ID는  'admin'임)

원문출처 : https://m.blog.naver.com/lastime1650/222637133133

원문출처 : https://dyjj.tistory.com/173

Fortigate Virtual IP

EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨

일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함

Fortigate Virtual IP

설정화면

GUI > Policy & Objects > Virtual IPs에서 설정이 가능

Name부분에는 Virtual IP 객체 이름

Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용

any로도 설정해서 사용이 가능하지만

예를 들어, wan1 wan2 두개의 interface에 VIP가 정상 작동하지 않을 수 있으니

Interface를 지정해서 설정해주는게 좋다.

Fortigate Virtual IP 설정 예시

wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정

목적지 IP(192.168.1.100)로 들어오는 모든 traffic은 NAT되어 10.10.10.1로 전달된다.

Fortigate Virtual IP Port Forwarding 예시

특정 Port에 대해서만 NAT 처리

목적지 IP 192.168.1.100 그리고 Port 10443으로 들어오는 traffic만 NAT처리

이 외 다른 traffic은 NAT처리하지 않음

Virtual IP에서 만들어주고 마지막으로 정책에 적용시켜 주어야 한다.

Incoming Interface - wan1(192.168.1.100)으로 적용되어야 하는게 맞음 / 현재 Test 장비가 SD-WAN 기능으로 wan1,2가 묶여있음

Outgoing Interface - 10.10.10.1이 포함된 internal interface

Source - All / 외부 어떤 사용자가 들어올지 모르기 때문

Destination - 만들었던 VIP 객체 선택

Service - Port Forwarding 했다면 해당 Port만 설정해놓으면 된다.

NAT - 비활성화 / NAT활성화 시 Source IP를 확인할 수 없음

이상 일반적인 Virtual IP 설정 알아보기 끝

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/569561/disable-all-cloud-communication

클라우드 통신 비활성화

하나의 명령으로 가능한 FortiGate에서 클라우드 통신을 모두 비활성화하고 싶을때 사용.

config system global
    set cloud-communication disable
end

Disable all cloud communication

All cloud communication can be disabled with the following CLI command:

config system global
    set cloud-communication disable
end

The forticldd and updated daemons are shutdown, and multiple settings are disabled.

The following settings are automatically changed:

config system global
    set endpoint-control-fds-access disable
    set fds-statistics disable
    unset fgd-alert-subscription
    set security-rating-result-submission disable
end
config system central-management
    set type none
    set include-default-servers disable
end
config system fortiguard
    set service-account-id ''
    set auto-join-forticloud disable
    set sandbox-region ''
    set antispam-force-off enable
    set outbreak-prevention-force-off enable
    set webfilter-force-off enable
end
config system email-server
    set server ''
end
config system ntp
    set ntpsync disable
end
config system autoupdate push-update
    set status disable
end
config system autoupdate schedule
    set status disable
end
config system autoupdate tunneling
    set status disable
end
config log fortiguard setting
    set status disable
end
config vpn ocvpn
    set status disable
end
config log fortiguard override-setting
    set override disable
end

To reenable cloud communications, each individual setting must be changed after running the following CLI command:

config system global
    set cloud-communication enable
end

For example, to reenable automatically connecting and logging in to FortiCloud:

config system global
    set cloud-communication enable
end
config system fortiguard
    set auto-join-forticloud enable
end

<아래것 CLI에 입력>

config system fortiguard
    set auto-join-forticloud disable
end

원문출처 : https://www.2cpu.co.kr/network/15105

주의: CLI 명령어는 펌웨어 버전에 따라 자주 달라지므로, 입력 전에 해당 명령어가 올바른지 확인하는 것이 좋습니다.

Fortigate는 GUI에서 FortiGuard 외의 NTP 서버를 지정하는 인터페이스를 제공하지 않습니다.
만약 내부 NTP 서버와 방화벽을 연동해야 한다면, CLI를 통해 설정을 적용해야 합니다.

Step 1. NTP 구성 진입

config system ntp

Step 2. NTP 설정 변경

set type custom

Step 3. ntpserver 구성 진입

config ntpserver

Step 4. 서버 입력

edit 1

set server <IP_Addr>

end

end

설정 완료 후 구성 정보의 예시

NTP Status

번외

set ntpv3: NTPv4가 아닌 NTPv3를 이용해 서버와 통신합니다.

set interface-select-method: specify로 변경한 뒤 NTP 연결을 위해 사용할 인터페이스를 지정할 수 있습니다

set source-ip: NTP 패킷의 Source Address로 사용할 IP 주소를 지정할 수 있습니다.

원문출처 : https://realforce111.tistory.com/70

FortiGate 방화벽 초기 상태에서 Firmware 설치 방법을 알아보겠습니다.

운영 중인 방화벽은 Firmware Upgrade Path에 따라 firmware 버전을 업그레이드하면 되며, 아래에서 설명하는 방법은 설치된 Firmware를 Format 하여 삭제하고 새로운 Firmware 파일을 설치하는 방법입니다.

설정 내용이 초기화될 수 있으므로 Config Backup 후 Restore 하시거나, 신규로 설치하는 경우에 아래 방법을 사용하시기 바랍니다.

FortiGate-100E 인터페이스

방화벽의 Console Port와 MGMT 포트를 확인하고 PC와 연결합니다.

PC에서 방화벽 MGMT 포트와 연결한 네트워크 인터페이스에 IP를 임의로 설정합니다. ex) 192.168.1.100/24

TFTP를 실행하고 Directory는 방화벽 Firmware 파일이 저장된 경로를 선택합니다.

콘솔창(console port speed is 9600 bits per second)을 연결한 뒤 방화벽 전원을 on 합니다.

이후에는 아래 절차에 따라 Firmware 포맷 및 설치 진행하시면 됩니다.

1) 부팅 과정에서 "Press any key to display configuration menu..." 부분에서 아무 키나 입력

2) 부팅 선택 메뉴에서 F 키 입력

3) It will erase data in boot device. Continue? [yes/no]: -> yes 입력

4) 포맷 완료 후 다시 부팅 선택 메뉴에서 G 키 입력

5) Enter TFTP server address [192.168.1.168]: -> TFTP를 실행하는 PC의 IP 입력, ex) 192.168.1.100

6) Enter Local Address [192.168.1.188]: -> 방화벽 IP를 임의로 입력, ex) 192.168.1.99

7) Enter File Name [image.out]: -> 방화벽 Firmware 파일 이름 입력(확장자 포함)

8) Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? -> D 입력

방화벽 Firmware 설치 완료 후 버전 확인(get system status)

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://$server:$port$request_uri;
client_max_body_size 0;
proxy_read_timeout 1200;
}

또다른 세팅

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass_header Authorization;
proxy_pass_header Server;
proxy_buffering off;
proxy_redirect off;
proxy_pass http://$server:$port$request_uri;
client_max_body_size 0;
proxy_read_timeout 36000s;
}

아래것 사용하세요.

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass_header Authorization;
proxy_pass_header Server;
proxy_buffering off;
proxy_redirect off;
proxy_pass http://$server:$port$request_uri;
proxy_max_temp_file_size 0;
client_max_body_size 0;
proxy_read_timeout 1800;
proxy_connect_timeout 1800;
proxy_send_timeout 1800;
proxy_request_buffering off;
}

원문출처 : https://www.youtube.com/watch?v=BbDnBxlBTdY&t=351s 

DNS over HTTPS(DoH)용 테스트 사이트 - https://1.1.1.1/help

개요

이 문서에서는 OPNsense에서 LAN 브리지를 활성화하는 방법을 다룹니다. LAN 브리지는 Vault의 선택적 포트를 사용하여 스위치 역할을 합니다. 별도의 물리적 스위치를 사용하는 것에 비해 최적은 아니지만 필요한 경우 작동합니다.

참고: 웹 인터페이스에 액세스하는 데 사용되는 포트가 브리지에 추가된 경우 볼트에 대한 물리적 액세스가 필요합니다.

OPNsense에서 LAN 브리지를 만드는 방법

이 예에서는 Vaults 추가 포트 OPT1 및 OPT2 를 포함하는 브리지 에 LAN 인터페이스를 할당합니다 . 이 예의 아이디어는 약간의 변형으로 모든 Vault 모델에서 사용할 수 있습니다.

• 웹 인터페이스에 액세스합니다. 기본 IP 주소: 192.168.1.1 , 사용자 이름: root , 암호: opnsense
• 볼트 옵션 인터페이스( OPT1 , OPT2 등)가 기본 설정으로 할당되었는지 확인합니다. ' + '를 클릭한 다음 저장 을 클릭하여 할당할 수 있습니다.

OPNsense 인터페이스 할당 메뉴(FW4A)

• 인터페이스 트리에서 OPT1 메뉴 를 엽니다.
• 인터페이스 활성화 를 확인 하십시오 . 모든 설정을 기본값으로 두십시오.
• 저장 을 클릭 한 다음 적용 을 클릭 하면 상단이 변경됩니다.
• 브리지에 포함될 추가 인터페이스에서 반복

OPNsense 인터페이스 메뉴

• 인터페이스 트리에서 기타 유형 을 선택한 다음 브리지 를 선택 합니다.
• 추가 를 클릭 하고 OPT1, OPT2 등을 선택한 다음 저장 을 클릭합니다.

OPNsense 브리지 메뉴

• 인터페이스 트리에서 할당 을 선택 합니다.
• LAN 인터페이스를 bridge0 으로 변경하고 저장 을 클릭 합니다.

참고: 이 시점에서 웹 인터페이스에 대한 액세스가 손실됩니다. 다시 액세스하려면 OPT1 또는 OPT2 포트에 연결하십시오.

OPNsense 할당 메뉴

• Assignments 메뉴에서 이전에 LAN 에 할당된 포트( em1 )를 추가 합니다 . 저장 클릭
• 이제 OPT3 이 할당 되었는지 확인
• 기본 설정으로 OPT3 를 활성화 합니다. 변경 사항 저장 및 적용
• Bridge 메뉴로 돌아가서 bridge0 을 편집하십시오 . OPT3 추가 및 저장

• 이제 LAN 포트에 웹 인터페이스 액세스 권한이 있는지 확인하십시오.

• 시스템 > 설정 > 조정 가능 항목 으로 이동합니다.
• net.link.bridge.pfil_member를 찾아 해당 설정을 Default 에서 0 으로 변경합니다 . 변경 사항 저장 및 적용
• 이전 설정 바로 아래에 있는 net.link.bridge.pfil_bridge 를 찾아 설정을 Default 에서 1 로 변경합니다 . 변경 사항 저장 및 적용

시스템 튜너블 메뉴

• 재부팅
• 브리지된 포트가 작동하는지 확인