선배님들 안녕하세요~
지자체 산하기관에서 근무하고 있는 전산 새내기입니다.
IPSec VPN 구성하는데
업무시스템이 위치한 공공용 클라우드 네트워크에는 시큐아이 방화벽 장비가 위치해있고
저희 기관 청사 네트워크에는 엑스게이트 방화벽 장비가 있습니다.
IPSec VPN 터널링 할 때
장비마다 제조사 특성을 탄다고 들은적이 있는데
혹시 시큐아이<->엑스게이트 IPSec VPN 경험이 있으신 선배님들 계실까요?
(1) 큰 트러블슈팅 없이 되는지 궁금하고
(2) 어떤 포인트에서 해결하셨는지
(3) 그냥 IPSec VPN용으로 시큐아이 장비를 청사 네트워크에 하나 둬라 등
선배님들의 고견 부탁드립니다.
16개의 답변이 있습니다.
IPSec은 표준 프로토콜을 기반으로 합니다.
따라서 서로 다른 OS나 네트워크 장비에서도 서로간에 호환성을 유지할 수 있으며
VPN 설정이 가능 합니다.
다만 IPSec VPN 설정할 때 다음 사항에 대한 검토가 선행 되어야 합니다.
1.호환되는 프로토콜과 암호화 알고리즘 선택
2.PSK, EAP 등 인증 방법 설정
3.네트워크 설정
4.NAT 설정
위 4가지 정도 설정 등 검토가 필요하다고 할 수 있겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입실제 POC 결과를 공유합니다. 참고하세요.
1. (기존) 안랩 UTM <-> (신규) 시큐아이 = 간헐적 끊김현상 나타남
2. (기존) 안랩 UTM <-> (신규) 팔로알토 = 간헐적 끊김현상 나타남
3. (신규) 시큐아이 <-> (신규) 팔로알토 = 간헐적 끊김현상 나타남
4. (기존) 안랩 UTM <-> (추가) 안랩 UTM = 정상
(결과)
이론적으로는 가능하다고 하지만, 실제 제조사 IPSEC VPN 연결 시
암호화 방식 등이 상이하기 때문에 연결은 되지만 끊김 현상이 나타납니다.
따라서, 동일한 장비를 추가하여 구축했습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입이론적으로는 가능하나 아래 문제점들로 인해서 추천하지 않습니다.
동일 장비 구성을 권장합니다.
1.오류가능성 : 동일 장비구성보다 오류가능성이 훨씬 높아집니다.
2.책임전가 : 문제나 구성이슈발생시 서로 책임전가 가능성이 있습니다(담당자만 난처한 상황)
3.트러블슈팅 : 2번과도 연관되는데 중요한 트러블슈팅을 케이스가 없거나 기술지원이 안되서 해결 안되는 상황이 발생할 수 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입선배님들의 답변 모두 감사합니다!!!
그냥 VPN 전용으로 장비 하나 두는게 마음 편하겠군요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입여러 방화벽 업체분들을 만나서 얘기를 나누다 보면 이론적으로 이기종 IPSEC VPN 가능하기는 하나
안정적으로 운영할 수 있다 라는 보장을 못하기에 추천하지 않는다고 하네요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입업체통해서 진행하긴 했으니 엑스게이트 <-> 주니퍼 문제 없이 붙었었습니다.
붙고나서도 아주 간혹 핑빠짐 등의 현상이 있었으나 메이저한 이슈는 없었습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보통 국내 장비끼리는 이슈가 없긴 한데.
해외 <-> 해외 / 국내 <-> 해외의 경우 불가하거나 이슈 있는 장비들이 있기도 합니다.
각 장비 엔지니어 또는 납품 업체에 원하는 장비 간 vpn 연결 케이스 및 이슈 확인 해보시고
작업하시는 게 좋을 듯 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입이기종간에 연결에서 제일 문제되는 점은 향후 문제(장애)가 발생 했을 경우에
장애 원인에 대해서 핑퐁을 칠 수 있기 때문에 해결하는데 어려움을 겪으실 수 있습니다.
다들 자기네 장비는 문제 없다는 식으로 얘기할께 뻔하거든요....
가능하다면 동일 벤더 제품으로 가시는게 당연히 좋죠....
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입VPN 연동 자체는 문제없이 가능
●시큐아이 <-> 엑스게이트 간 IPSec VPN은 표준 프로토콜을 기반으로 하므로,
설정 값(Phase1, Phase2, 암호화 도메인, NAT-T)만 맞추면 큰 문제 없이 동작합니다.
트러블슈팅 포인트
●IKE/Phase1·IPSec/Phase2 암호화·인증·DH 그룹, 라이프타임 등 상호 일치
●NAT-T(Nat-Traversal) 적용 여부
●암호화 도메인(로컬-리모트 대역)의 정확한 설정
●디버그 로그/실시간 모니터링 적극 활용
장애 모니터링 방안
●방화벽 콘솔/웹 UI의 VPN 터널 상태 실시간 체크 및 터널 Down 알림
●로그·이벤트 서버(예: Syslog/SIEM) 연동으로 이슈 시점 파악 용이
●SNMP Trap 설정으로 NMS 연동, CPU·메모리·트래픽 사용량도 함께 관리
●주기적 Ping Monitoring 등을 통한 터널 헬스체크
새 장비 추가 여부
●청사 측에 시큐아이 장비를 추가 배치하면 통일된 벤더 환경으로 장점이 있으나,
●예산과 운영 관점에서 기존 Xgate 방화벽만으로도 충분히 가능하므로 필수적이지는 않음.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입일단 이기종(국내산 제품)간 IPSEC VPN은 문제 없습니다.
국내산 제품과 외산 장비는 IPSEC VPN에 문제가 있을 순 있습니다.
IPSEC VPN이라는게 특정 포트 통신만 잘되면 되는데.. 이게 외산 장비는 잘 받아주는 반면, 국산 장비는 잘 안되더라고요..
암튼 보통 외산 장비끼리는 잘되는데.. 국산장비는 확인해보는게 좋겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입이기종이면 아마도 이슈가 있을겁니다~네트워크 엔지니어나 유지보수 업체에 문의 해보는것도 좋을듯합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입장비 엔지니어들과 같이 작업을 하시는게 좋을것 같네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입이기종간 문제점은 다양할수 있을것 같습니다.
여러 문제는 있겠지만 지원하는 암호화 알고리즘 종류의 차이점과 각 벤더별 IPSec 표준 구현방식과
키 교환 방식의 차이점이 있을것 같네요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입동일 모델이 아닐경우에 동일한 프로토콜을 이용하더라도 안정성에 문제가 있는걸로 알려져 있습니다.
그리고, 운이나 여러가지 환경에 영향을 많이 받을 수도 있겠고...
장비 모델이나 소프트웨어 버전에 따라 차이가 있을 수도 있겠고요.
남이 큰 문제 없이 사용한다해서 우리도 문제 없을거라 단정하기도 어려울거라 생각되고, 남이 문제있다고 우리도 문제있다 단정하기도 어려울거라 생각되네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입모두 똑같은 경우는 아니지만
경험상 이기종의 경우 정상적인 연결 후 일정 시간 후에 연결이 끊기는 문제가 자주 발생합니다.
이런 경우 새로 서비스를 올려주면 다시 연결되긴 한데 반복적으로 발생하다 보니
안정적인 서비스 운영이 되지 않아 끝내 동일 기종으로 구매해서 구성했습니다.
이기종간의 연결 시 문제는 다양합니다.
암호화 및 인증 알고리즘 불일치, IKE 버전 차이, 인증 방식 차이, MTU 크리 불일치 등
뭐라고 딱 말씀드리기가 어렵네요.
그리고 문제 발생 시 양쪽을 다 점검해야 하는데 이거 여간 번거로운게 아니고 상대방쪽도
비협조적이라 문제 해결하는데 시간이 많이 소요 되더군요.
그다지 비싼 장비가 아니니 정신 건강상 동일 모델로 구매해서 구성하시길 추천드립니다.
급한 연결이 아니시라면
잘될 수도 있으니
시큐아이<->엑스게이트 IPSec VPN 연결 시도는 먼저 해시는 것도 나쁜진 않습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입