[Fortinet-Fortigate] Reasons for FortiClient SSL-VPN connection failure. (sorting by percente(%))
FortiGate SSL-VPN이 특정 비율에서 협상을 중지하는 오류의 일반적인 원인과 해결방안을 제공합니다.
일반적으로 10%, 31%, 40%, 48%, 80%, 98%으로 시점이 나누어지고, 중지되는 시점에 따라서 원인이 달라집니다.
1. 10% (Unable to establish the VPN connection. The VPN server may be unreachable.)
– 일반적인 네트워크 연결 (설정) 문제
– FortiClient 설정 문제 (게이트웨이, 포트 확인)
– SSL-VPN 터널 인터페이스 정책 설정 문제
-> PC 인터넷 access, 물리적 포트 활성화 여부를 체크한다.
FortiClient 에서 Remote Gateway 및 포트 설정 정보가 올바른지 확인한다.
FortiGate SSL-VPN 설정에서 서버 인증서가 선택되었는지 확인한다.
수신 인터페이스를 SSL-VPN 터널 인터페이스(ssl.root)로 사용하는 정책이 하나 이상 있는지 확인한다.
2. 31%
– (-5029) 오류로 인한 중단.
-> TLS version 일치 여부에 대한 내용. FortiGate에서 사용 중인 TLS 버전이 클라이언트에서 활성화되어 있는지 확인한다.
3. 40%
– (-5029) 오류로 인한 중단. 해당 메시지는 TLS version 일치 여부에 대한 내용. FortiGate에서 사용 중인 TLS 버전이 클라이언트에서 활성화되어 있는지 확인한다.
– FortiClient가 사용자가 신뢰할 수 없는 TLS/SSL 인증서를 사용할지 여부를 확인하는 새 팝업 창을 생성할 때 발생할 수 있음.
– 응용 프로그램이나 FortiGate로 인해 이 오류가 발생.
-> FortiClient를 셧다운(종료) 후 다시 실행한다.
4. 48% (Credential or SSL VPN configuration is wrong.)
– 2단계 인증(two-factor authentication)에 문제가 있는 경우
– (-7200) 오류로 인한 중단
– (-7200) 오류와 sslvpn_login_cert_checked_error 메세지가 팝업된 경우
-> 사용자의 계정 or 비밀번호를 다시 한번 확인한다.
제대로 입력해도 되지 않을 경우, VPN -> SSL-VPN Settings -> SSL-VPN Settings 이동 disabling Require Client Certificate 선택 후 적용한다.
5. 80%
– 사용자 계정 or 비밀번호가 FortiGate 장비에 제대로 설정되어 있지 않을 경우
– 사용자 권한 문제로 인한 협상 중지된 경우
– SSL-VPN 인증 규칙과 방화벽 정책간의 사용자 불일치인 경우
– 정책이 제대로 구성되지 않은 경우
– Host check / MAC address check / Anti-Virus 설정 활성화로 인해 제한된 경우
– 특정 OS (Windows, Mac) 제한이 된 경우
-> 위의 사항들을 다시 체크
6. 98% (Unable to log on to the server.)
– FortiClient 설치파일 손상 or 알 수 없는 OS 문제
– FortiGate와 Client 및 EMS 간의 호환성 문제
– FortiClient 무료 version과의 SSL-VPN 협상시 오류 발생
-> FortiClient를 다시 설치한다.
<참고자료>
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN/ta-p/211965
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-When-logging-in-with-SSL-VPN-the-error/ta-p/260630
https://community.fortinet.com/t5/FortiClient/Technical-Tip-How-to-limit-the-SSL-and-TLS-versions-of/ta-p/197656?cmd=displayKC&docType=kc&externalId=FD38852
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Failure-to-connect-via-SSL-VPN-with/ta-p/282593
