SharedIT | 묻고 답하기(AMP)

안녕하세요. 방화벽 도입시 이슈에 대해 질문 드리고자 합니다. 선배님



안녕하십니까,

2년차 네트워크 엔지니어 입니다.


다름아니라, 저희 사내에 포티넷이 있어 라이선스 활성화 하여 왼쪽에 있는 그림을 

오른쪽으로 도입하고자 하는데 여러가지 장애물이 있어 질문 드리러 왔습니다.


공인아이피 2개를 사용중이며, 중요한건 192.168.100.0/16 대역 입니다.

  • 1.Keypoint는, 192.168.100.1에 대한 공인아이피가 바뀌어선 안될것,

2. 192.168.100.0의 iptime에 DDNS 호스트 기능을 사용중인것,

3. iptime에서 VPN 기능을 사용중인것,

입니다.


방화벽에서는 2개의 WAN 포트가 있어 하나는 192 WAN(공인아이피), 하나는 172 WAN(공인아이피)를 

만들어 VLAN으로 각각 쪼개어 왼쪽 구성과 함께 사용하고자 하는 구성입니다.


위와 같이 설정하려고 할때 IPTIME 기능을 온전히 사용이 가능한 것 일까요 ?

상식적으로는 안될거 같아

포티넷에서 NAT나 포트포워딩이나 VPN은 진행하려고 하는데 

DDNS 기능쪽이 많이 걸리네요...


가능하다면 어떻게 해야할지 길라잡이 부탁드립니다...



4개의 답변이 있습니다.

앵그리파파
  0 추천 | 12일 전

여러 장치와 VLAN 및 VPN과 같은 복잡한 설정을 처리할 때 네트워크 구성을 신중하게 계획하고 문서화 하는 것이 중요합니다. 

우선, 고정 공용IP주소 구성할 수 있습니다. 192.168.100.1 의 공용IP주소가 고정으로 유지되고 변경되지 않는지 확인하세요.

192.168.100.0 네트워크에 대해 IPTime 라우터에서 DDNS를 구성합니다. 이렇게 하면 공용 IP주소가 변경되더라도 도메인 이름을 사용하여 네트워크의 장치에 접근 가능합니다.

방화벽에 VLAN을 설정하여 요구 사항에 따라 네트워크를 분할 합니다. 보안 정책에 따라 VLAN간의 트래픽이 허용되거나 제한되는지 확인하세요.

필요에 따라 iptime 및 포티넷 장치 모두에게 VPN을 구성합니다. VPN 트래픽이 두 장치 간에 적절하게 라우팅되고 VPN트래픽을 허용하는 적절한 방화벽 규칙이 마련되어 있는지 확인하세요.

특정 포트에서 실행되는 서버나 서비스와 같은 내부 리소스에 대한 외부 접근을 허용하도록 포티넷 방화벽에서 NAT 및 포트 전달 규칙을 구성합니다. 이러한 규칙이 iptime 라우터의 기존 구성과 충돌하지 않는지도 체크하세요.


미생
  0 추천 | 15일 전

공인IP 설정은 하기 나름인데 모델마다 다르지만 저희는 100E 사용중에 있구요.

일반적으로 쓰는 ISP 유동을 WAN으로 맞춰두고, 서버대역에 들어가는 고정망은 다른 포트를 이용해서 받아서 처리하고 있습니다.

어차피 방화벽 단에서 어느정도 필요한 부분은 설정으로 되는 부분이기 때문에 다른 경우의 사례들을 보시면 될 것으로 보이고, VPN의 경우는 어차피 포티 내부에서 구역을 나눠 쓰는게 가능하기 때문에 VPN으로 받아서 사용해야 할 VPN과 받을 곳만 잘 작업해주시면 되는거라서 기존의 구성에서 iptime을 이용해 무엇을 하느냐가 정리되어야 하실 거에요.

일단 어떤 기능들을 사용중인지 그리고 구성이 어떤지 그림이든 표든 텍스트든 작성을 하시고 이제 이걸 어떻게 정리할지 가이드 잡아주시면 됩니다.

어차피 UTM을 쓰실 생각이면 유지보수할 업체를 구하시고 계약전에 사항 논의하시면서 문의하고 가시는거도 좋긴 합니다. 구성이나 세팅을 문의하고 협의하시면 도움이 많이 되실건데 네트워크 엔지니어라고 하시니 좀 애매하긴 하네요. 

duyeong son | 15일 전

답변 감사드립니다. 충분히 궁금증이 많이 해소되었습니다 !

에이스퐝
  0 추천 | 15일 전

어짜피 공인IP가 두개여도 포티에서 WAN포트에 각각 꼽아서 사용하면 되니 큰 문제는 없습니다.

그리고 공인IP가 방화벽에서는 바뀔일이 없고요.. 만약 일반 기업용인터넷을 신청해서 사용한거면 당연히 IP가 유동IP라 바뀔거니, 인터넷업체에 이야기해서 고정IP를 사용할 수 있는 상품을 사용하셔야 됩니다.

그러면 바뀔일이 없으니 1번 문제는 해결.

2번 DDNS 호스트 기능은 일단, iptime GW가 방화벽을 바라보고 있어 ddns도 큰 문제가 없어 보이긴 할건데, 테스트를 한번 해보시면 될 것 같습니다.

3번은 굳이.. iptime의 VPN을 기능을 사용할 필요는 없고 포티넷에 기본적으로 있는 vpn기능을 쓰는걸 더 추천드립니다.


duyeong son | 15일 전

답변감사드립니다 여러가지 의문이 그나마 많이 해소되었습니다. 

wansoo
  0 추천 | 16일 전

공인 IP가 유동인가요??

유동 고인 IP는 언제든지 바뀔 수 있어요.

단지, 한번 할당 받은 IP가 방화벽 장비의 재부팅, IP 다시 받기등을 하지 않을 경우에 이전에 받았던 IP 정보를 계속 유지하는 경향이 있고요.

iptime 같은 저가형 장비보다는 포티넷 같은 제대로된 장비가 더 안정적으로 잘 해 준다고 할 수 있습니다.

정확한 내용은 좀 더 구체적인 설명이 있어야 알 수 있긴하지만...

WAN 포트가 2개인 방화벽 장비라면 원하는 기능을 구현할 수 있을 거라 생각되고요.

192, 172와 공인 IP의 연결은 포트 번호로 매칭 시켜서 연결시키게될 것이고... 

게이트웨이 주소 및 IP 주소 대역으로 192, 172를 선택하게 하면될 것이고... 

VPN은 게이트웨이와 연결되는 것이기 때문에... 연결된 게이트웨이의 VPN을 타고 상대편과 연결되게 되겠고요.

상대편 방화벽 장비와  VPN 호환되는 제품을 사용한다면 문제되지는 않을것 같고... 

단지, 유동 IP를 사용할 경우에 변경되는 IP를 잘 감지해서 상대편 VPN 장비에 잘 넣어 줄 수 있도록 하는 방법이 중요할 것같아 보이네요. 

duyeong son | 15일 전

1대역은 공인 고정 ip로 사용하고 있습니다!

걱정인것이.. iptime도 mesh로 엮어서 사용중인데 통신이 잘될지도 의문이고...
무언가 iptime에서도 포티넷으로 nat를 걸어줘야하는걸까 ? 이런생각도 들고 참어렵네요 ㅠㅠ 답변너무 감사드립니다! 

wansoo | 15일 전

고정 공인 IP를 사용하고 있을 경우에는 DDNS 기능이 필요하지는 않겠고요.

mesh 로 엮여있는 iptime은 사설 IP가 설정되어 있을 걸로 보여지고요.

사설 IP를 NAT으로 걸어주냐 아니냐 하는 것은 NAT 기능으로 설정된 장비를 사용할 것인지 말것인지와 관련된 내용이라 할 수 있겠고요.

NAT 기능으로 설정된 장비를 사용할 것인지, 어떤 NAT 기능의 장비를 사용할것인지 대한 것은 게이트웨이를 어떤 장치로해서 설정할지와 관련된 내용이 되겠고요.

duyeong son | 15일 전

감사합니다. 문제해결에 조금 더 가까워졌습니다!