[FortiGate] DHCP IP 할당 불가 이슈 (vci-match) (v7.2.10)

C.tril 2024. 10. 14. 10:35

2024. 10. 14. 10:35

어제.. 일요일 방화벽 교체 작업 진행 중 DHCP 관련 처음 보는 증상이 발생하여 처리 내역을 공유합니다.

1. 작업 내역

- 노후화 방화벽 교체 작업

# 기존: FG-100D (v5.6.13) -> 신규: FG-100F (v7.2.10)

2. 증상

- 방화벽 교체 (FG-100D -> FG-100F) 이후 특정 포트에서 DHCP IP 할당 불가 이슈 발생.

3. 확인 내역

1) port 67로 패킷 스니핑하여 DHCP Discover 패킷에 대해 정상적으로 방화벽이 응답을 주는지 확인

dia sni pack any 'port 67' 4

50.424415 internal in 0.0.0.0.68 -> 255.255.255.255.67: udp 300

위 패킷만 확인되고, 방화벽에서의 응답 패킷이 확인되지 않음.

2) DHCP 설정 이상 없고 임대할 IP가 충분함에도 방화벽이 응답을 주지 않는걸로 파악, dhcps debug 진행

dia debug application dhcps -1
dia debug enable

[debug]locate_network prhtype(1) pihtype(1)

[warn]Can't locate subnet in shared network of packet and packet is not a DHCPREQUEST and htype(1) != intf htype(1)..dropping

[debug]locate_network prhtype(1) pihtype(1)

??? 이게 뭐지. 방화벽에서 dropping 하는 Debug를 확인. 해당 내역 확인 결과 언제 설정된건지 모를 DHCP vci 패턴 매칭 설정으로 인한 이슈로 확인됨.

config system dhcp server
edit 2
    set dns-service default
    set ntp-service default
    set default-gateway 192.168.0.1
    set netmask 255.255.255.0
    set interface "internal"
    config ip-range
    	edit 1
        	set start-ip 192.168.0.2
            set end-ip 192.168.0.254
        next
    end
 set timezone-option default
 set vci-match enable   --> 문제의 Config 부분
 set vci-string "FortiSwitch" "FortiExtender" --> 문제의 Config 부분
 next

config system dhcp server

edit 2

set vci-match disable

end

명령어 입력 이후 정상 IP 할당 확인됨.

분명 Config 그대로 마이그레이션했는데 왜 이게 포함되었을까?

- 기존 장비 Config 확인 시에 해당 Config는 확인되지 않음.

- 펌웨어 버전도 v7.2.10 그대로 올렸기에 업그레이드 과정도 없었음

- 기존 장비 Config를 부분마다 스크립트 업로드로 올렸기에 이상하게 넣었을 리도 없음

- 다른 포트는 안들어가있으니 default로 넣어버리거나 하는 건 아닌 듯..

아무튼 저게 왜 들어갔는지는 의문이나 빠르게 해결 완료.

내용 추가 (24.10.16)

곰곰히 생각해보니 문제의 vci Config는 장비에 Default로 포함된 Fortiswitch 연동 관련 DHCP 컨피그입니다.

고객사의 DHCP ID와 Default 설정으로 된 FortiSwitch 연동을 위한 ID가 겹치면서 설정이 덮어씌워지며 발생된 증상으로 보입니다.

따라서, DHCP 서버 설정 관련하여 마이그레이션을 할 때, 모든 Default DHCP Server 설정을 지우고서 마이그레이션 하시는 것이 좋을 것 같습니다.

참고 링크

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Devices-are-unable-to-get-an-IP-address-from-DHCP/ta-p/230320

Devices are unable to get an IP address from DHCP server

This article gives information about the vci-match enable/disable option.ScopeFortiGate.Solution Connected devices are not able to get an IP address from DHCP server configured on FortiGate's interface and get the following error. SC-FG100F # [debug]locate

community.fortinet.com

https://docs.fortinet.com/document/fortigate/7.2.2/administration-guide/59285/vci-pattern-matching-for-dhcp-assignment

'Firewall > Foritgate' 카테고리의 다른 글

[FortiGate] SSL VPN 인터넷 불가 이슈 트러블슈팅 (Client DNS) (0)	2024.11.06
[FortiGate] Let's Encrypt를 통한 인증서 발급 (무료) (0)	2024.10.27
[FortiGate] keycloak + FortiClient SSL VPN SAML 연동 (0)	2024.10.27
[Fortigate] 최초 장비 세팅 시 NAT 모드 -> TP 모드 변환 방법 (0)	2024.10.11
[Fortigate] Fortiview 기능에서 실시간 트래픽이 정확하지 않을 경우 (0)	2022.05.11

IT 잡부의 취미공간