[미크로틱] 라우터(공유기) 하부 네트워크에서 L2TP VPN 설정법

최창현   
   조회 1468   추천 0    

안녕하세요? 스스로 메모 및 저장 차원에서 글을 작성 해봅니다.

ESXi에 미크로틱 CHR(가상화용 OS)를 Trial 버전으로 설치하고 띄우는것 까지는 매우매우 쉽습니다.

기본적인 인터넷 공유기 기능만 띄우는것 까지는 Quick Set 기능으로,

세간에 소문이 자자한 어렵다는 악명과는 다르게 IPTIME마냥 그냥 붙여서 써도 될만큼 간단하더군요 ^^


다만, 저는 L2TP VPN을 사용하고 싶어서 테스트용으로 미크로틱을 세팅해 본것이었고

여러가지 국내외 레퍼런스들을 참고하여 L2TP VPN도 어렵지 않게 세팅을 하였지만, 

여건상 인터넷 공유기 하부의 호스트컴퓨터(EXSi)안에 위치한 미크로틱 RouteOS에 설치된 L2TP로 외부에서 접속은 굉장히 어려웠습니다.

2CPU에서도 많은 분들이 L2TP 자체 버그라는 분들도 계시고, 해외 포럼에서는 미크로틱에서 기능을 지원하지 않는다는 의견도 있고

여하간 500, 1701, 4500번만 포트포워딩하고 방화벽 설정만 한다고 되는게 절대로 아니더군요 ^^


결론적으로 우선 L2TP VPN설정이 내부망에서는 원활하게 접속이 잘 된다는 가정하에서 시작 하겠습니다.


1. 우선 당연히 미크로틱 내부에서 해당 포트는 방화벽이 열려 있어야 하며, 공유기에서는 해당 포트가 미크로틱 WAN에 할당된 IP로 포트포워딩 되어 있어야 합니다.


2. (이부분이 핵심입니다) 포트가 물려 있지 않는 가상의 브릿지를 하나 생성합니다.

(저는 LAN2 포트는 사용하지 않아서 Disable 시켜둔 것이라 상관하지 않으셔도 됩니다)




3. 이 가상의 생성된 브릿지2에 미크로틱 RouteOS가 아닌 그 상단의 공유기에 할당된 공인IP를 배정 합니다.




4. IP > Firewall > NAT에서 (최상단에 생성해야 합니다!) 위와같은 규칙을 추가하면 끝입니다.

(빨간색으로 지운곳에 상단 공유기의 공인IP를 적으시면 됩니다)




결론은, L2TP VPN자체가 현재 다른 라우터의 NAT 하부에서는 연결이 되지 않기 때문에,

미크로틱에 가상의 이더넷장치를 하나 추가하고 그 장치에 상부 라우터의 공인IP를 가상으로 할당해주어

외부에서 L2TP VPN으로 접속 시,

NAT 규칙과 가상의 이더넷 장치에 할당한 공인 IP를 통한 Fake를 주어

미크로틱 RouteOS에서 스스로가 다른 NAT 하부에 있지 않다고 착각(?)하게 만들어 통과시켜 주게 해 줍니다.







이렇게 세팅 해본결과 현재 Windows10에서 접속이 잘 되고 있습니다 ^^

아이폰 등에서도 접속이 잘되고 동시 접속도 잘 되네요.

도움이 되시길 바라며 이만 줄이겠습니다.



참고한 토픽 : https://forum.mikrotik.com/viewtopic.php?t=149863







잘 정리하셨네요 추천합니다.
동일한 방식으로 여러가지 VPN 서버를 내부망에서 운영할 수 있습니다
L2TP/IPSEC  을 많이 쓰지만 요새는 SSTP 도 좋습니다. 특히 윈도우에 내장된 클라이언트 라는 측면에서 해볼만 합니다.
https://m.post.naver.com/viewer/postView.nhn?volumeNo=27114402&memberNo=2752366
https://m.post.naver.com/viewer/postView.nhn?volumeNo=27113922&memberNo=2752366
     
최창현 01-09
감사합니다 ^^ SSTP도 좋아보이지만, 윈도우에 특화 되어 있다고해서 우선 L2TP로 세팅 해보았습니다 ㅎㅎ
RIGIDBODY 01-09
공인IP가 고정이 아니고 흔히 가정에서 쓰는 유동IP인경우 바뀔때마다 수동으로 입력해줘야할 것 같은데요, DHCP로 지정할 수도 있는지요??
     
최창현 01-09
제가 일반 유동 IP로 세팅한 경우입니다.
사실 라우터는 저게 고정IP인지 유동IP인지 알길이 없지요. 그게 자동으로 바뀌냐 안바뀌냐의 불편함만 사용하는 유저에게 있을 뿐이지요 ㅠㅠ
근데 전 개인적으로 KT를 사용중인데 한번 IP를 할당받으면 몇개월씩 바뀌지 않더라구요.
그래서 가정에서 사용하는 경우라면 아주 크리티컬한 서비스가 아니기 때문에 몇개월에 한번씩 IP가 바뀌더라도 세팅에서 바뀐 IP를 적용만 간혹가다 같이 적용시켜주면 되는지라 크게 불편은 없을 것 같습니다 ^^
     
최창현 01-09
그리고 클라이언트에서 접속할때는 그냥 ddns의 도메인주소로 접속하면 됩니다 ㅎㅎ
RIGIDBODY 01-09
네 그렇죠 ㅋ 자동으로 할당받을 수 있는경우가 궁금했습니다. 역시 수동으로 넣어줘야겠군요 ㅋ




제목Page 8/60
01-20   1542   MikroTik이진
01-19   1891   딸긔꼬마
01-17   1155   코코짱
01-17   944   NeTe
01-15   978   Malice
01-13   1844   주쥬클럽
01-11   1021   Ballrok
01-09   929   김Jason
01-09   1469   최창현
01-04   2573   MikroTik이진
01-02   1870   리얼홀릭
01-01   2701   MikroTik이진
2019-12   2875   비누귀신
2019-12   1585   센치
2019-12   1365   희망의나래
2019-12   2546   yootopia
2019-12   1338   스톤콜드
2019-12   1418   학이v
2019-12   3145   새앙쥐
2019-12   1633   레몬트리7