안녕하세요. 이번에 제조업에 취업한 신입 IT담당자입니다.
여태 IT담당없이 회사를 굴려왔다네용....ㅎㅎ
그래서 제가 인프라랑 네트워크 구성도를 아는 선 만큼 만들어봤습니다.
SK브로드밴드 - UTM(방화벽, ipsecVPN 사용중) - L3스위치(백본?인듯)로 시작되고 있습니다.
여기서 이해가 안되는 부분이 생겼습니다..
저희 본사는 192.168.250.x , 192.168.150.x, 192.168.100.x 대역대를 사용하고 있습니다.
이 세개는 백신(알약)서버와 통신이 되어서 정책을 불러받을 수 있는데요
공장지사는 192.168.0.x 대역대를 사용하고 있더라구요.
이 곳 지사는 백신서버와 통신이 안되어서 본사의 백신정책을 불러올수가 없습니다....(큰일...)
그나마 연락이 되는 백신유지보수 업체와 통화해보니
192.168.0.x 대역대의 서버와 통신하는 포트(ex, 9000, 9001)가 열려있는지 확인해보라고 하네용...
이 문제는 그냥 UTM관리자페이지의 방화벽 부분에서
192.168.0.x → 백신서버 통신 뚫으면서, 서버와 통신하는 포트(ex, 9000, 9001)만 열어두면 해결될까요?
제가 아직 신입 IT담당자라 많이 부족하여 자문을 구하려고 합니다!
놓치고 있는 부분이 있다면 알려주시면 감사하겠습니다
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
16개의 답변이 있습니다.
답변 참고하겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽 정책을 확인 하셔서 백신 업체에서 요구하는 정책을 설정 하셔야 할 듯 합니다.
대부분 통신이 안되는 문제는 방화벽 문제가 많더라구요....
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입본사 - 지사 부분은 본사 방화벽에서 정책을 세우면 됩니다.
지사(공장) 대표 IP <---> 본사 (방화벽) ---> 백신 ( 알약, V3) 관리 IP를 정책적으로 설정하면 됩니다.
다만 지사(공장) 대표 IP가 유동적으로 변경되면 안됩니다.
그러면 계속 변경해줘야 하거든요
그리고 지사(공장) 대표 IP <-----> 본사 (방화벽) 정책 설정 시 특정 포트만 허용하고 그외
부분은 차단 해야 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입공장쪽 다역에 대해 포트 열려 있는지 확인 하시면 됩니다 없으면 추가하세요.
넵 출근하면 공장쪽대역 포트가 열려있는지 확인하겠습니다! 감사합니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입공장 지사에서 본사로 IPSecVPN 연결하는 구조라면
IPSecVPN에 192.168.0.x에 백신서버쪽으로
IP, port 허용 되어야 통신이 가능할 것으로 보입니다.
넵! 답변 감사합니다 확인해보겠습니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입제가 봣을때 공장은 본사 utm과 ipsec vpn으로 연결이 되어 있고, 그래서 본사에 있는 백신서버와 통신을 할것오르 보입니다. 그런데 본사에 았는 백신서버가 접속이 안된다는 건 방화벽에서 ipsec vpn 연결을 한뒤 정책을 넣지 않았거나 ipsec vpn이 본사와 공장간 연결이 끊어져서 안되는것일 수도 있습니다.
기존엔 담당자없이 그냥 유지보수쪽에서 확인해주고 있다가 담당자가없으니 신경안써서 끊어져잇을수도 잇겟네요. 암튼 결론은 먼저 본사-공장 간 ipsec vpn 터널링이 제대로 연결되어있는지 확인하고 그뒤에 방화벽에서 정책과 라우팅 확인만 하면 백신 문제는 해결될 것으로 보입니다. 근데 제가 봣을땐 그전엔 되다가 지금안되는것이면 백프로 터널링 연결이 되어있지않아 안되고 있을 가능성이 크겠네요
1.방화벽에서 라우팅 정책이 들어가있는지 확인
2.VPN터널링이 되어있는지 확인
감사합니다!
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입서로 네트워크 통신이 되려면...
물리적으로 스위치를 통해서 서로 연결되어 있어야 하고요.
스위치에서 같은 VLAN에 있으면서 논리적으로 같은 네트워크 안에 있거나, VLAN으로 나눠져 있을 경우에 Switch가 L3로 라우팅이 되어 주거나...
192.168.250.x, 192.168.150.x, 192.168.100.x, 192.168.0.x 이 논리적으로 다른 네트워크에 있을 경우에는 게이트웨이에서 라우팅 테이블이 등록되어 있어서 서로 경로를 연결시켜 줄 수 있는 환경이 되거나, L3 스위치에서 서로간에 라우팅을 해 줄 수 있는 환경이어야 서로간에 통신이 가능하겠는데...
나열한 설명이 어렵게 느껴질 수 있을 것 같네요.
IP 주소들이 논리적으로 같은 네트워크에 있는지, 다른 네트워크에 있는지를 표현해 주는 것이 서브넷 마스크입니다.
그래서... 네트워크 통신을 언급할 때 IP 주소를 표시할때는 서브넷 마스크도 함께 알려 주는게 좋겠고요.
192.168.X.X IP는 C class 사설 IP를 분류하고 있는데요.
C Class의 서브넷 마스크는 255.255.255.0가 기본이 되겠는데요.
192.168.250.x, 192.168.150.x, 192.168.100.x, 192.168.0.x IP 주소들의 서브넷 마스크가 255.255.255.0이면 이 4가지 IP 주소들은 모두 서로 다른 서브 네트워크에 있는 상태이기 때문에 물리적으로 함께 연결되어 있는 스위치에 연결되어 있더라도 직접적으로 서로 통신을 할 수 없고, 게이트웨이 ( 라우터 )를 통해서만 서로 통신이 가능하게 됩니다.
네트워크 통신을 확인하려면 ping test 부터 먼저 해 보시는 것이 좋습니다.
그리고, VLAN이 나눠져 있지 않은 상태에서 같은 물리적인 네트워크에 있을 경우에 앞의 4가지 IP 주소가 서로 통신이 될 수 있게 하려면, 서브넷 마스크를 255.255.0.0으로 변경해 주면 됩니다.
먼저 ping test를 이용해서 서로 통신이 되는지를 확인해 보고요.
그리고, 통신하려는 IP가 설정된 기기에서 IP 주소 뿐만 아니라 서브넷 마스크도 함께 확인해서 255.255.255.0으로 되어 있다면 255.255.0.0으로 변경해서 ping test 해 보시고요.
답변 감사합니다!
퇴근을 하여서 제대로 확인하지는 못하지만, 저의 IP는 192.168.150.x 입니다.
제 pc에서 192.168.100.x과 192.168.250.x에 ping을 보냈을때에는 통신이 됩니다.
(제 기억상 192.168.100 / 150 / 250 의 서브넷마스크는 255.255.255.0 이였습니다!)
하지만 ,192.168.0.x에는 ping이 들어가지를 않습니다.
192.168.0.x의 서브넷마스크는 확인을 못하였습니당...
이럴때는,
192.168.100 / 150 / 250 / 0의 서브넷마스크를 255.255.0.0으로 변경하면 될까요?
아직은 어렵게 느껴지지만 차근차근 몇번 읽으면서 이해하도록 하겠습니다
감사합니다~!
물리적으로 서로 연결된 네트워크 환경이라면 서브넷 마스크를 255.255.0.0으로 바꾸면 서로 통신이 가능한 상태가 됩니다.
192.168.100 / 150 / 250 의 서브넷마스크가 255.255.255.0 으로 논리적으로 서로 다른 네트워크에 있음에도 불구하고 서로 통신이 될 수 있는 이유는 게이트웨이 기기가 서로 통신할 수 있게 라우팅을 해 주고 있기 때문입니다.
게이트웨이를 통해서 라우팅으로 통신되는지 아니면 직접 통신되는지를 확인해 보려면 tracert 명령을 이용해 보면 확인해 볼 수 있습니다.
직접 통신될 경우에는 경로 추적에서 추적되는 대상 기기가 상대편 기기 하나만 나오게 되지만 게이트웨이 기기를 통해서 연결될 경우에는 추적되는 대상 기기가 최소 2개 이상이 나오게 됩니다.
만약 서브넷 마스크를 255.255.0.0으로 변경했는데도 서로 다른 서브넷에 있는 기기들 간에 통신이 되지 않는다면 물리적으로 서로 분리되어 있는 상태이거나 스위치의 VLAN 설정에 의해 다른 VLAN에 있는 상황으로 서로 격리되어 있는 상태이기 때문이라 할 수 있습니다.
VPN(Virtual Private Network)은 가상 사설망으로 서로 다른 두개의 네트워크를 인터넷이라는 공중망을 통해서 가상의 전용선을 뚫어서 서로 다른 두개의 네트워크를 한개의 같은 네트워크에 있는 것 처럼 만들어 주는 기술이라 할 수 있겠고요.
VPN으로 서로 다른 두개의 네트워크를 연결 시킬 때는 두개 네트워크에 설정된 IP 대역이 논리적으로 서로 다른 네트워크에 있어야 한다는 전제 조건과 게이트웨이 역할을 하는 양쪽 지점의 VPN 장비가 인터넷을 통해서 가상의 전용선을 구성하고 있어야 한다는 전제 조건이 있습니다.
양쪽 지점의 IP 대역이 논리적으로 서로 다른 네트워크에 있어야 한다는 전제 조건의 의미는 공장 지사에 있는 192.168.0.X와 본사의 192.168.250.X 가 서로 다른 네트워크에 있어야 한다는 의미가 되기 때문에 서브넷 마스크가 255.255.255.0으로 해야 한다는 의미가 됩니다.
앞에 답변을 달때 인지 하지 못한 내용이 본사와 지점 간의 통신으로 VPN 연결되어 있다는 내용이었습니다.
VPN으로 연결되어 있을 경우라면 양쪽 네트워크의 IP 대역이 논리적으로 같은 네트워크로 통합되어 버릴 경우에 게이트웨이 역할을 하는 VPN 장비를 통하지 않고 직접 통신하려고 시도해 버리기 때문에 VPN 통신이 불가하게 됩니다.
VPN 통신이 될 수 있으려면 첫번째 전제 조건이 양쪽에 있는 IP 주소가 서로 다른 네트워크에 있어야 한다는 것입니다.
그래야만 상대편과 통신하기 위해 게이트웨이를 통해서 상대편과 통신을 시도하게 되고, 게이트웨이 역할을 하는 VPN 장비가 상대편 VPN 장비로 트래픽을 넘겨주어서 인터넷 넘어에 있는 상대편 기기의 응답을 받을 수 있게 됩니다.
다시 정리해서...
VPN으로 연결된 192.168.0.X와 192.168.150.X가 서로 통신할 수 있으려면 첫번째 전제 조건은 서브넷 마스크가 255.255.255.0 이어야 합니다. 255.255.0.0으로 하면 안됩니다.
그리고, 두번째 전제 조건은 VPN 통신을 하려는 기기 ( 컴퓨터 )의 Gateway 주소가 VPN 장비 ( 방화벽 장비 )의 IP 주소로 설정되어 있어야 합니다.
그리고, 마지막 전제 조건은 양쪽 지점의 방화벽 장비 ( VPN 장비 )가 정상적으로 인터넷에 연결되어 있는 상태이면서 VPN 통신이 가능하도록 설정이 되어 있어야 합니다.
1. VPN통신 조건
- 양쪽 IP주소가 논리적으로 같은 네트워크로 통합되면 게이트웨이(VPN)통하지않고, 직접 통신하므로 안됌.
- 양쪽 IP주소가 서로 다른 네트워크에 있어야 한다.
- 그러므로, 양쪽 IP주소의 서브넷마스크가 255.255.255.0 이여야한다. (서브넷마스크가 255.255.0.0 이면 같은 네트워크 대역으로 취급)
2. 192.168.0.x 대역의 컴퓨터의 게이트웨이 주소가 VPN장비의 IP주소로 설정되있어야 한다.
3. 양쪽 VPN장비가 서로 통신가능하도록 터널링 설정
===========================================================
감사합니다. 선생님. 월요일날 출근해서 바로 확인해보도록 하겠습니다!!!!
마지막으로 질문한개만 해도 될까요??
Q) 공장설비쪽 192.168.0.x 대역은 iptime 공유기(192.168.0.1)을 게이트웨이로 사용하고 있습니다.
그러면, iptime공유기 게이트웨이(192.168.0.1) 주소를 공장VPN IP주소로 변경하면 될까요?
공장설비쪽 iptime공유기와 공장VPN 장치간 터널링을 해야되지 않나요?
게이트웨이가 하는 역할은 해당 네트워크안에 있는 기기들이 다른 네트워크에 있는 기기와 통신을 할 수 있도록 길을 열어 주는 역할을 합니다.
인터넷에 있는 웹사이트 접속할때도 외부에 있는 서버와의 통신을 하는 것이기 때문에 게이트웨이가 인터넷으로 길을 열어 줘서 내부에 있는 기기와 외부에 있는 기기 사이에 통신을 하도록 해 주는 역할을 하는 것이고요.
공장 설비 쪽 기기들이 iptime 공유기를 사용해서 인터넷을 사용하기 때문에 게이트웨이가 iptime으로 설정되어 있는 것이라 보여지고요.
본사쪽에서 공장 설비 쪽 기기들과 직접적인 통신이 필요하다면 공장 설비쪽 기기들도 VPN 장비가 게이트웨이가 되도록 해 주어야 겠지만...
공장 설비쪽 기기들이 본사와 직접적인 통신이 필요한 상황이 아니라면 iptime 공유기를 이용해서 인터넷에 접속하도록 그대로 두어도 상관 없을 걸로 보이고요.
인터넷을 사용하는 회선에 대한 부하 분산을 하기 위해 VPN 장비 ( UTM 방화벽 장비 )와 IPTime에 연결된 인터넷 회선을 이중으로 사용하고 있는 경우인걸로 보이는데요.
설비쪽 장비들이 본사와의 VPN 통신도해야 하고, IPTime 공유기를 통해서 인터넷 회선 분산 이용도 함께 사용하고 싶을 경우라면...
설비쪽 기기들의 기본 게이트웨이는 그대로 두고, 설비쪽 기기들 각각에 route 경로를 등록해서 192.168.250.0의 네트워크를 찾을 때는 VPN 장비를 통해서 경로를 찾아라는 식의 라우팅 경로 등록을 해 주면 됩니다.
예를 들어 지사의 VPN 장비의 IP 주소가 192.168.0.2 라면...
설비쪽 각 컴퓨터에서 cmd 창을 관리자 계정의 권한으로 열고서
route add 192.168.250.0 mask 255.255.255.0 192.168.0.2 -p
와 같이 명령을 실행시켜 주면 되겠고요.
150/100 도 마찬가지가 되겠죠.
route add 192.168.150.0 mask 255.255.255.0 192.168.0.2 -p
route add 192.168.100.0 mask 255.255.255.0 192.168.0.2 -p
과 같이 등록시켜 주면,
일반적인 외부 네트워크와의 통신은 192.168.0.1 게이트웨이를 통해서 접속을 하게 될 것이고,
라우팅 경로를 추가해 준, 192.168.250.X와의 통신을 할 경우에는 192.168.0.2를 게이트웨이로 해서 통신을 할 수 있게 되기 때문에 접속하려는 상대편 기기가 어디에 있냐에 따라 서로 다른 게이트웨이를 사용하게 할수도 있겠고요.
1.설비쪽 기기들의 기본 게이트웨이는 그대로 둔다. (route 경로 등록해야 함)
2.본사의 백신 서버(192.168.100.10)의 네트워크를 찾기 위해서는
3.공장지사 쪽 VPN 장비를 통해서 192.168.100.10 경로를 찾아라는 식의 라우팅 경로 등록
결론은, 공장지사쪽 VPN장비에서 192.168.100.10으로 라우팅 뚫어주면 되겠네요!!!
정말 감사합니다 선생님. 월요일날 가서 시도해보겠습니다!!!😊
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입