안녕하세요? 혼자 전산 업무를 하고 있는 전산쟁이 입니다..
VPN 장비 관련해서 궁금한게 있어.. 고수분들께 여쭤봅니다..
해외법인
1)WAN - VPN - 허브 - Server (본사에서 정상적으로 연결)
2)WAN - 방화벽(UTM) - VPN - 허브 - Server (본사에서 VPN 장비가 연결이 안됨)
VPN(L3)은 전용 장비 사용 중 입니다..
방화벽 port3번이 VPN 장비와 연결, port2번이 WAN
방화벽 port3 -> xxx.xxx.xxx.93/255.255.255.252 (피지컬 인터페이스)
VPN port1-> xxx.xxx.xxx.94/255.255.255.252/xxx.xxx.xxx.93
정책을 통해(port2->port3 모두 허용 nat 설정안함, port3->port2 모두 혀용 nat 설정안함)
참고로 방화벽 port3에 PC를 연결 후 IP설정을 VPN 장비와 동일하게 하면 인터넷은 정상적으로 사용 가능
VPN을 연결하면 연결이 안됨..
이 정도 정보만 있으면 되는건지 잘 모르겠지만..
방화벽을 통과하면 VPN장비에 ping 안들어갑니다.. (방화벽 없이 연결하면 ping 정상적으로 들어감)
혹시 방법이 있으면 알려주시면 정말 감사하겠습니다..ㅠㅠ
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
2개의 답변이 있습니다.
VPN 장비를 방화벽 포트에 꽂아 사용하고 싶다면...
방화벽의 특정 포트를 DMZ 설정을 해서 VPN 장비를 연결해서 사용하면 되겠고요.
방화벽 앞단에 스위치를 놓아서 사용하는 것 보다는 추가 스위치 장비가 없어도 된다는 장점이 있겠는데요.
개념상으로는 방화벽 앞에 스위치를 두고 방화벽과 VPN 장비를 연결해서 사용하는거랑,
방화벽의 특정 포트를 DMZ 설정해서 VPN 장비를 연결하는 거랑 비슷한 거라 생각하면 될것 같네요.
공인 IP를 방화벽이 가지고 있지 않나요..?
방화벽이 VPN 기능을 기본적으로 포함하고 있기 때문에 방화벽 따로 VPN 따로 구축하기 보다는 방화벽에 포함된 VPN을 이용하는게 일반적이지 싶고요.
VPN이 다른 사이트에 있는 VPN과 통신을 하려면 공인 IP가 할당되어 외부에서 VPN과 통신할 수 있는 환경이 되어 줘야 하는데... VPN이 방화벽 안쪽에 있다면 방화벽에 공인 IP가 할당되어 외부와 내부를 분리시키는 역할을 하게 되고, VPN은 방화벽 안쪽에서 방화벽 컨트롤을 받는 상황이 되어 버려서 VPN이 외부와 직접 통신하기에는 어려운 환경이 되어 제 기능을 하기 어렵게 될것 같아 보이네요.
탁구왕엣지 | 약 2년 전
방화벽이 갖고 있는 공인IP는 xxx.xxx.xxx.89/255.255.255.252 입니다..
사용할 수 잇는 공인IP 대역대가 xxx.xxx.xxx.88/29 라서 VPN 연결을 위해 나눴습니다..ㅠ
VPN장비가.. 다른 해외법인이랑 본사에서 쓰는 장비랑 동일하고.. 그걸로 연결해야 정상적으로 다 연결이 되게 때문에.. VPN 전용 장비를 사용하고 있습니다..
wansoo | 약 2년 전
그렇다면...
방화벽 앞쪽에 스위치(허브)를 하나 두고서...
방화벽과 VPN을 그 스위치에 함께 꽂아서 사용하면 될 것 같은데요.
- - VPN --
인터넷 - (외부)스위치 -| |-(내부)스위치- 서버 및 PC
--방화벽 --
VPN 통신을 원하는 내부 컴퓨터들은 VPN을 게이트웨이로해서 사용하면 될 것 같고...
VPN을 요구하지 않는 내부 컴퓨터들은 방화벽을 게이트웨이로 해서 사용하면 되겠고...
아니면...
기본 게이트웨이를 방화벽으로 사용하고,
VPN으로 연결되어야할 상대편 IP 대역들에 대해서 VPN을 통해서 통신이 되도록 VPN 필요한 컴퓨터들에만 라우팅 테이블을 등록해서 VPN을 통해서 나가야할 목적지 네트워크들을 찾을때에는 VPN을 게이트웨이로해서 나가도록 설정해 둔다면 접속하려는 목적지 컴퓨터 주소에 따라서 방화벽을 통해서 통신을 하거나 VPN 장비를 통해서 통신을 하게 되겠고요.
wansoo | 약 2년 전
말씀하신 내용 중에 잘못 알고 계신 내용이 있는 것 같은데요.
xxx.xxx.xxx.89/255.255.255.252 라고 하셨는데...
끝의 252는 2진수로 1111 1100 입니다.
1의 갯수가 6개로...
앞에 있는 255.255.255. 에서 1의 갯수가 24개이기 때문에 마지막 252의 6개를 더하면
xxx.xxx.xxx.88/29가 아니라 xxx.xxx.xxx.88/30이 됩니다.
xxx.xxx.xxx.88/29 는 xxx.xxx.xxx.88/255.255.255.248이 됩니다.
255.255.255.252 (/30)는 할당 받은 공인 IP 갯수가
총 4개 ( xxx.xxx.xxx.88 ~ xxx.xxx.xxx.91 )이고,
그 중에 네트워크 IP 1개, 외부로 나가기 위해 설정되어 있는 게이트웨이 장치에 1개, Broad Cast IP 1개 해 버리면, 실제 할당할 수 있는 공인 IP는 1개 밖에 안되겠고요.
255.255.255.248(/29)는 할당 받은 공인 IP 갯수가 총 8개가 되기 때문에..
xxx.xxx.xxx.88 ~ xxx.xxx.xxx.95 의 공인 IP를 사용할 수가 있겠고요.
이중에서 네트워크 IP 1개(xxx.xxx.xxx.88), 브로드캐스터 IP 1개(xxx.xxx.xxx.95)와
게이트웨이에 할당된 IP 한개 빼고 나면...
내부에서 할당 가능한 공인IP가 5개가 되겠고요.
5개 중에 한개를 방화벽에, 또 한개를 VPN 장비에 할당해서 사용하면 될거라 생각되고요.
나머지 3개는 웹서버나 기타 등등의 다른 용도로 사용하면 될 것 같고요.
글 내용의 정황상... 공인 IP의 서브넷 마스크가 255.255.255.248 (/29) 일걸로 보여지네요.
탁구왕엣지 | 약 2년 전
넵 맞습니다.
공인 IP는 xxx.xxx.xxx.88/29 입니다.. port3을 dmz 로 사용하기 위해 ip를 30비트로 나눴습니다..
그래서 xxx.xxx.xxx.88/30 port2번(WAN)으로 설정하고, 방화벽에서 외부로 나가는 g/w는 89번, 그리고 방화벽이 갖고 있는 ip는 90번 입니다.
xxx.xxx.xxx.92/30 은 port3번(VPN)으로 설정했습니다..
port3의 g/w는 xxx.xxx.xxx.93 이고 VPN장비의 IP는 94 입니다..
저도 처음에는 위에 말씀하신대로
- - VPN --
인터넷 - (외부)스위치 -| |-(내부)스위치- 서버 및 PC
--방화벽 --
이 방식을 사용해서 정상적으로 사용했는데.. VPN이 방화벽을 거치지 않고 외부와 통신하면 내부의 서버와 PC들이 보안에 취약해진다고 생각해서.. VPN이 외부로 나가기전에 방화벽을 한 번 거치는 구조를 만들고 싶었습니다.
라우팅 테이블이 혹시 정적라우트에 등록하는 걸 말씀하시는건가요..? 이 부분은 제가 잘 몰라서.. 정적라우트 설정으로 이것저것 해보고 있는데.. 이 부분에 더 신경을 써봐야겠네요!
답변 감사드립니다..
wansoo | 약 2년 전
예를 들어
상대변 VPN쪽의 내부 IP가 192.168.10.x/24 라고 하고...
방화벽의 내부 IP가 192.168.0.1
VPN의 내부 IP가 192.168.0.2
라 했을때...
내부 컴퓨터들의 게이트웨이 주소를 192.168.0.1 ( 방화벽 )로 지정하고
window 컴퓨터라면 cmd 창을 관리자 권한으로 실행 시켜 주고,
route 명령을 사용해서
route add 192.168.10.0 mask 255.255.255.0 192.168.0.2 -p
명령을 한번 실행 시켜 주면되겠습니다.
그럼, 일반적인 인터넷을 접속할때는 기본 게이트웨이 (192.168.0.1)인 방화벽을 통해서 외부와 통신하게 되고,
VPN을 통해서 상대편 네트워크인 192.168.10.x에 접속하려 할때는 (192.168.0.2)인 VPN을 이용해서 상대편 네트워크에 접속할 수 있게 됩니다.
일반 사용자는 특별한 액션을 취하지 않아도
외부 인터넷에서 들어오는 트래픽을 방화벽을 통해 제어도 할 수 있고, 상대편 네트워크와 VPN 통신도 함께 사용할 수 있게 되는 것입니다.