미크로틱 l2tp ipsec 질문... :: 2cpu, 지름이 시작되는 곳!

쓰기

미크로틱 l2tp ipsec 질문...

빠시온

2017-04

2017-04-16 16:11:07

조회 3946 추천 1

l2tp ipsec pre-shared 키 방식으로 설정했습니다.

내부에서는 접속이 잘 됩니다.

로컬 주소를 192.168.0.1(공유기 게이트웨이 주소), 및 DNS도 192.168.0.1로 설정했습니다.

내부에서 192.168.0.1로 들어가면 접속이 잘 되고,

firewall connection 들어가면 1701(UDP), 500(UDP), ipsec-esp(protocol 50)이 잘 연결된걸 볼 수 있습니다.

외부에서도 당연히 VPN을 써야해서 filter rules에서

accept, input, 17(UDP), 500

accept, input, 17(UDP), 1701

accept, input, 50(ipsec-esp)

로 설정하고 공인IP 주소를 넣었는데도 접속이 전혀 안됩니다.....

왜그런지 알 수 있나요?

외부 접속만 안되네요.

#PPTP 접속의 경우 패스쓰루가 가능해서 서비스에서 PPTP 키면 되는데 l2tp는 그런게 없어요 방화벽을 설정해야되는데 잘 안되네요...

PPTP도 똑같이 로컬 주소 192.168.0.1 쓰고 외부에서는 공인IP 주소 쳐서 들어가면 잘 됐습니다.

짧은글 일수록 신중하게.



김윤술 2017-04 GRE47 처럼 ESP, AH 프로토콜을 오픈해야 가능할거 같습니다. 그리고 L2TP가 DMZ에 있지 않은 상태에서 포워딩이 될지가 관건이네요. site to site 를 할려면 PPTP를 IP만 허용하게 해서 붙게 하던가 랜덤 VPN이라면 SSTP를 이용하는게 편하지 않을까요? 실제 L2TP라고 해도 외부에서 공유키값이 전달될때 그 값이 암호화가 되지 않아서 노출될 우려가 있기 때문입니다. GRE47 처럼 ESP, AH 프로토콜을 오픈해야 가능할거 같습니다. 그리고 L2TP가 DMZ에 있지 않은 상태에서 포워딩이 될지가 관건이네요. site to site 를 할려면 PPTP를 IP만 허용하게 해서 붙게 하던가 랜덤 VPN이라면 SSTP를 이용하는게 편하지 않을까요? 실제 L2TP라고 해도 외부에서 공유키값이 전달될때 그 값이 암호화가 되지 않아서 노출될 우려가 있기 때문입니다.



빠시온 2017-04 일단 SSTP를 이용하지 않은 이유는 현재 스마트폰 안드로이드 와 라우터 간 VPN을 구축하기 위함인데, 안드로이드가 기본적으로 SSTP를 지원하지 않습니다. 가장 연결하기 쉬운 방식은 PPTP를 사용하는건데 PPTP를 사용하면 안드로이드에서 always on VPN 옵션이 작동되지 않더군요.... 결국 선택권은 L2TP였는데 이게 말씀하신대로 ESP, AH 프로토콜을 열어도 외부에서 접속이 잘 안됩니다. DMZ에 있지 않는이상 PPTP처럼 접속이 쉽게 되지는 않는 것 같네요.. 연구를 더 하던가 차선책을 마련해야겠습니다. 답변 감사합니다. 일단 SSTP를 이용하지 않은 이유는 현재 스마트폰 안드로이드 와 라우터 간 VPN을 구축하기 위함인데, 안드로이드가 기본적으로 SSTP를 지원하지 않습니다. 가장 연결하기 쉬운 방식은 PPTP를 사용하는건데 PPTP를 사용하면 안드로이드에서 always on VPN 옵션이 작동되지 않더군요.... 결국 선택권은 L2TP였는데 이게 말씀하신대로 ESP, AH 프로토콜을 열어도 외부에서 접속이 잘 안됩니다. DMZ에 있지 않는이상 PPTP처럼 접속이 쉽게 되지는 않는 것 같네요.. 연구를 더 하던가 차선책을 마련해야겠습니다. 답변 감사합니다.



정희섭 2017-04 2 chain=input action=accept protocol=udp dst-port=500,1701,4500 log=no 3 chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 자꾸 브루트포스 걸려와서 꺼놓고 안쓰긴 하는데 방화벽은 4500 도 풀었습니다 2 chain=input action=accept protocol=udp dst-port=500,1701,4500 log=no 3 chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 자꾸 브루트포스 걸려와서 꺼놓고 안쓰긴 하는데 방화벽은 4500 도 풀었습니다



빠시온 2017-04 4500도 풀었는데 안되더군요...ㅡ.ㅡ;; 하하...댓글 감사합니다!! 4500도 풀었는데 안되더군요...ㅡ.ㅡ;; 하하...댓글 감사합니다!!



정희섭 2017-04 그렇다면 다른 문제 아닐까 싶네요 방화벽은 저 두줄로 끝냈었어요 ^^; 그렇다면 다른 문제 아닐까 싶네요 방화벽은 저 두줄로 끝냈었어요 ^^;



빠시온 2017-04 근데 기본적으로 내부에서는 접속이 되는데 외부에서는 왜 안되는지 모르겠습니다.. 보통 그러면 방화벽 문제인데... 혹 L2TP 구성해서 지금도 사용중이시면 setting file 좀 보내주실수 있나요? 근데 기본적으로 내부에서는 접속이 되는데 외부에서는 왜 안되는지 모르겠습니다.. 보통 그러면 방화벽 문제인데... 혹 L2TP 구성해서 지금도 사용중이시면 setting file 좀 보내주실수 있나요?



김윤술 2017-04 L2TP 는 nat 하단에 구성해서 안되는 이슈는 미크로틱만이 아니고 모든 장비들이 갖고 있는 이슈입니다. WAN 인터페이스는 가능하지만 포워딩은 안되는게 대부분입니다. 윈도우 서버 VPN도 안되더라구요. 그래서 L2TP 대신 IKEv를 쓰는건가 싶습니다. 그래서 방화벽 이슈가 아니고 NAT지원 불가가로 의심하고 있습니다 L2TP 는 nat 하단에 구성해서 안되는 이슈는 미크로틱만이 아니고 모든 장비들이 갖고 있는 이슈입니다. WAN 인터페이스는 가능하지만 포워딩은 안되는게 대부분입니다. 윈도우 서버 VPN도 안되더라구요. 그래서 L2TP 대신 IKEv를 쓰는건가 싶습니다. 그래서 방화벽 이슈가 아니고 NAT지원 불가가로 의심하고 있습니다



빠시온 2017-04 그렇군요.. 일단 차선책은 마련했습니다...^^; 감사합니다. 그렇군요.. 일단 차선책은 마련했습니다...^^; 감사합니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1825/5679

번호	제목Page 1825/5679	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1479536	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1479536 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4942716	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4942716 1 정은준1
77085	부품을 어떤 경로로 보통 구하시는지 궁금합니다. (4)	비와서코털…	2016-04	3946	0
부품을 어떤 경로로 보통 구하시는지 궁금… (4) 2016-04 3946 1 비와서코털…
77084	윈도우 창이 완전히 열린것을 알수 있는 방법이 뭘까요? (8)	미수맨	2015-05	3946	0
윈도우 창이 완전히 열린것을 알수 있는 … (8) 2015-05 3946 1 미수맨
77083	Ssd 포맷을 했는데 포맷전으로 복구가능할까요 (7)	공백기	2020-07	3946	0
Ssd 포맷을 했는데 포맷전으로 복구가능할… (7) 2020-07 3946 1 공백기
77082	3.5인치 USB 2.0 확장포트 국내에 구할 곳이 있을까요? (3)	오준호5	2014-05	3946	0
3.5인치 USB 2.0 확장포트 국내에 구할 곳… (3) 2014-05 3946 1 오준호5
77081	임베디드 리눅스 로직을 일반 리눅스에서 구현이 가능할까요? (13)	겨울나무	2016-08	3946	0
임베디드 리눅스 로직을 일반 리눅스에서 … (13) 2016-08 3946 1 겨울나무
77080	해석 좀부탁합니다 (2)	제타	2016-11	3946	0
해석 좀부탁합니다 (2) 2016-11 3946 1 제타
77079	서버용 보드를 사용하는게 일반 x79보드 등을 사용하는 것에 비해 차별적인게 뭐가 … (13)	monet	2017-08	3947	0
서버용 보드를 사용하는게 일반 x79보드 … (13) 2017-08 3947 1 monet
77078	dell z600 쓰시는분들중에 녹투아 쿨러 쓰시는분 계신가요?? (4)	JAYON	2016-11	3947	0
dell z600 쓰시는분들중에 녹투아 쿨러 쓰… (4) 2016-11 3947 1 JAYON
77077	3D 스캐너 (5)	경111	2020-08	3947	0
3D 스캐너 (5) 2020-08 3947 1 경111
77076	하드디스크 속도질문이요. (4)	정연	2016-09	3947	0
하드디스크 속도질문이요. (4) 2016-09 3947 1 정연
77075	쪽지 (6)	윤노리	2017-01	3947	0
쪽지 (6) 2017-01 3947 1 윤노리
77074	DELL PERC H800 계열 카드 일반PC 메인보드에 장착 사용해 보신분 없으신가요? (2)	카머	2015-05	3947	0
DELL PERC H800 계열 카드 일반PC 메인보… (2) 2015-05 3947 1 카머
77073	미크로틱 l2tp ipsec 질문... (8)	빠시온	2017-04	3947	1
미크로틱 l2tp ipsec 질문... (8) 2017-04 3947 1 빠시온
77072	통신 사업자에서 PC를 어떻게 구분하는 걸까요? (8)	회로쟁이	2015-12	3947	0
통신 사업자에서 PC를 어떻게 구분하는 걸… (8) 2015-12 3947 1 회로쟁이
77071	Hp나 델 웍스에 I7-E 호환이 되나요? (6)	깜박깜박가	2016-08	3947	0
Hp나 델 웍스에 I7-E 호환이 되나요? (6) 2016-08 3947 1 깜박깜박가
77070	피코느셋의 뷰로탭 이라는 절전탭의 설정 프로그램 혹시 가지고 계신분 계신가요? (1)	스톤콜드	2018-04	3947	0
피코느셋의 뷰로탭 이라는 절전탭의 설정 … (1) 2018-04 3947 1 스톤콜드
77069	원거리 AP 사용해보신 분 계신지요... (9)	으라차차차	2018-04	3947	0
원거리 AP 사용해보신 분 계신지요... (9) 2018-04 3947 1 으라차차차
77068	노키아 N5800 패스워드 해제 아시는 분 (4)	박정길infoeyes	2014-02	3947	0
노키아 N5800 패스워드 해제 아시는 분 (4) 2014-02 3947 1 박정길infoeyes
77067	동영상을 동일조컨으로 인코딩을 하면 완벽히 같은 결과물이 나올까요? (14)	Sikieiki	2018-03	3947	0
동영상을 동일조컨으로 인코딩을 하면 완… (14) 2018-03 3947 1 Sikieiki
77066	HP XW8400 워크스테이션에 최신 그래픽 카드 지원 유무 (2)	타잔보이	2016-09	3947	0
HP XW8400 워크스테이션에 최신 그래픽 … (2) 2016-09 3947 1 타잔보이