[Fortigate] SSL VPN Forticlient에서 접속 진행률(%)에 따른 실패 이유 및 점검 항목

참조한 사이트나 경험을 바탕으로 작성된 글로 다소 맞지 않는 내용이 있을수 있습니다.

참조한 사이트 : 
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN/ta-p/211965

 

 

10% 

---

 

에러 메세지

• Unable to establish the VPN connection. The VPN server may be unreachable.
• VPN 연결이 실패하였습니다. VPN 서버에 도달할 수 없습니다.

 

원인

• VPN 서버와 Forticlient 같의 초기 커넥션 생성에 문제가 발생한 경우로 네트워크나 설정상의 문제로 VPN 서버까지 도달하지 못하는 경우 발생.

 

클라이언트 확인 사항

• 클라이언트 PC에서 외부로의 통신(인터넷)에 문제가 없는지 확인
• VPN 연결 설정(원격게이트웨이 IP, PORT 등)에 문제가 없는지 확인

 

서버 확인 사항

• SSL VPN 설정에 이상이 없고 실제로 Listen 주소로 접속이 되는지 확인
• 방화벽 정책(ssl.root)에서 허용되어 있는지 확인
• SSL-VPN Settings - Restrict Access 에서 "Limit access to specific hosts"의 허용호스트 확인
• SSL-VPN Settings - Server Certificate 에서 인증서가 적용되어 있는지 확인

 

 

 

31%, 40%

---

 

에러 메세지

• Unable to establish the VPN connection. The VPN server may be unreachable or your identity certificate is not trusted. (-5)
• VPN 연결이 실패하였습니다. VPN 서버에 도달할 수 없거나 서버 인증에 실패했을수 있습니다.(-5)
• TLS 버전 불일치로 (-5029) 로 표시 될수도 있음.

 

원인

• VPN 서버와 클라이언트의 TLS 버전 불일치로 발생.

 

클라이언트 확인 사항

• 제어판 - 인터넷 옵션에서 VPN 서버에서 지원하는 TLS 버전이 체크되어 있는 확인
• VPN 서버에서 TLS 1.2를 지원하는 경우 인터넷 옵션에서 TLS 1.2 체크 후 적용

 

서버 측 확인 사항

1. 지원하는 TLS 버전을 확인하고 필요한 경우 수정한다.

•  아래 설정은 최소 TLS 1.2 ~ 1.3 까지를 지원한다.

config vpn ssl settings
    set ssl-max-proto-ver tls1-3
    set ssl-min-proto-ver tls1-2

 

2. sslvpnd 프로세스의 과도한 CPU 사용이 지속되는지 확인 한다.

diagnose sys top 

Run Time:  13 days, 15 hours and 19 minutes
6U, 0N, 6S, 88I, 0WA, 0HI, 0SI, 0ST; 7979T, 2656F
         sslvpnd      354      R      99.8     0.3    0

• 이 경우 sslvpnd를 재시작 해보는 것도 도움이 될 수 있다.

fnsysctl killall sslvpnd

 

3. 간혹 VPN Port가 Well Known(1~1024) 포트로 설정 된것 때문에 발생할 수도 있으니 VPN Port를 만번대 이후로 설정한다.

 

 

 

40%

---

에러메시지 없이 40%에 멈춰 있는 경우

 

클라이언트 측 확인 사항

• 클라이언트 측에서 아무런 에러 팝업팡이 뜨지 않고 40%에서 멈춰 있다면 인증서 관련 보안 경고창이 나타난 경우일 수 있다.

• 인증서 관련 보안경고 창이 나타나면 "예"를 클릭(보안경고 창이 전면에 나타나지 않고 가려져 있는 경우가 있으니 FortiClient 아이콘을 클린하여 찾아야 할수도 있음)

 

 

48%

---

 

에러 메세지

• Credential or SSL VPN configuration is wrong.(-7200)

 

원인

• 사용자 인증에 관련된 에러

 

클라이언트 측 확인사항

• 입력한 ID/PW가 정확한지 확인
• 2차 인증에 사용하는 토큰이 제대로 기입되었는지 확인
• <인증안된 서버 Cerificate에 대한 경고 하지 않음('Require Client Certificate')>에 체크 후 다시 시도

• Permission denied.(-455) 에러메세지가 출력 되는 경우는 2차인증 토큰이 만료 된 경우로 재시도한다.

 

서버 측 확인사항

• 2fa를 적용 하였을 경우 설정에 문제가 없는지 확인
• 원격 인증서버(RADIUS, LDAP)를 사용할 경우 인증서버까지 네트워크가 문제없고 원활히 인증이 되는지 확인

 

 

 

60%, 68%

---

 

에러메세지

• Unable to establish the VPN connection. The VPN server may be unreachable.(-8)
• VPN 연결이 실패하였습니다. VPN 서버에 도달할 수 없습니다.(-8)

 

원인

• VPN 서버에서 허용한 사용자 인증 재시도 횟수를 초과하여 계정이 잠긴 경우

 

클라이언트 측 확인 사항

• 계정 잠금 시간 이후 정확한 ID/PW로 재시도.

 

 

 

80%

---

 

에러메세지

• Unable to logon to the server. Your user name or password may not be configured properly for this connection(-12)

 

원인

• 클라이언트의 ID/PW가 맞지 않는 경우 발생
• 사용자의 권한이 없는 경우

 

클라이언트 측 확인 사항

• ID/PW를 제대로 기입했는지 확인 후 재시도

 

서버 측 확인 사항

• 사용자가 올바른 사용자 그룹에 포함되었는지 확인
• VPN 설정에 사용자 포털이 제대로 맵핑 되었는지 확인
• 사용자 포털에 호스트 체크나 특정 OS 제한등의 설정 확인

 

 

 

98%

---

에러메세지

• Unable to log on to the server.

 

원인

• 설치된 FortiClient의 손상
• Fortigate와 Forticlient 혹은 Forticlient와 클라이언트 OS와의 호환성 문제
• 클라이언트 PC NIC에 IPv6가 활성화 되어 있는 경우

 

클라이언트 측 확인 사항

• Forticlient를 재설치하거나 다른버전의 Forticlient를 설치한다.
• 클라이언트 PC NIC에 IPv6를 비활성화 한다. (현재 사용중인, 게이트웨이를 가지고 있는 NIC)