mikrotik 라우터 사용시 VPN은 어떤게 좋을까요?

검색 목록

쓰기

mikrotik 라우터 사용시 VPN은 어떤게 좋을까요?

UDION52

2022-02

2022-02-18 15:58:45

조회 1946 추천 0

홈서버를 IDC/196; 옮기면서 보안대책1012; 생각Ȣ16;고 1080;습니다.

네트워크 구성1008; 0120;크/196;ᔘ1; 라우터(hEX)가 0169;화ǣ17;/NAT/포트포워딩/VPN 서버 기능1012; Ȣ16;고,

라우터에서 LAN1004;/196; IPMI 랜포트와 서버 랜포트를 연결합니다

서버ǉ16; ESXi Ȣ16;1060;6140;0148;1060;1200; 설치Ȣ16;고 guest VM들1012; 설치합니다.

외ǥ12;에서 원ᅄ1;1004;/196; 서버 관리를 Ȣ16;기 위해서 아래와 같1008; 포트들1008; 외ǥ12; 1217;속1060; 가능Ȣ16;도/197; 열Ǻ12;놓1004;/140;고 합니다.

- 0120;크/196;ᔘ1; 라우터 WebFig 또ǉ16; Winbox 포트

- IPMI(HP iLO) Web 포트

- ESXi vCenter Web 포트

그래서 고1221;IP 0143; VPN IP 를 1060;용한 0169;화ǣ17; 설1221;1012; Ȣ16;/140;고 합니다.

VPN1008; 사실 긴급 상황 (고1221;IP 변ᅆ1;, 스마트폰1012; 통해 관리가 긴급7176; 필요한 ᅆ1;우 መ1;..)1012; 대비한 Ꮢ1;션1077;니다.

Ȟ17;상시에ǉ16; 고1221;IP를 1060;용해서 관리Ȣ16;/140;고 생각1473;1077;니다.

2cpu 유1200; 한ǥ16;1060; 1312;Ǻ16;해1452;시길 0120;크/196;ᔘ1; 라우터에서 L2TP/IPSec 1004;/196; VPN1012; 구성Ȣ16;라고 1312;Ǻ16;해1452;셔서

0120;크/196;ᔘ1;에서 설치/운영 가능한 VPN 프/196;토콜1012; 알아보니 아래와 같1060; 3가1648;가 1080;더라고요

1) L2TP/IPSec : 가1109; 쉽,172; 구성가능Ȣ16;나 프/196;토콜 1088;체에 대한 보안 문1228;.. NSA와 연관.108; 내용1060; 많1060; 나옴

2) OpenVPN : 0120;크/196;ᔘ1;에서 설치/운영Ȣ16;기 ᅔ1;1109;7176; Ǻ12;/140;움.. 0120;크/196;ᔘ1;에서도 더1060;상 업데1060;트(UDP 모드 መ1;..)를 안Ȣ16;고 1080;ǉ16;,163;1004;/196; 보아 1648;원1012; 포기한Ǐ19;..

3) IKEv2 : 0120;크/196;ᔘ1;에서 1648;원Ȣ16;ǉ16;,163; 같긴 한데 관/144; 1088;료를 1096; 못 찾아서 1221;확7176; 파Ꮊ1;1060; 안.120;... 설치Ȣ16;ǉ16;,172; LT2TP/IPSec 보다 Ǻ12;/140;운Ǐ19;..

1200;ǉ16; VPN1012; 처1020; 설1221;해보ǉ16; 초보1088;1060;고 Ǻ12;1228; L2TP/IPSec까1648;ǉ16; 해봤습니다.

보안1201;1064; 면1012; 봤1012;ǐ12; IKEv2를 써야할,163; 같1008;데..

0120;크/196;ᔘ1;에서 IKEv2 설치Ȣ16;ǉ16;,172; Ǻ12;/157;1648; 않1008;가요? 안1221;1201;1064;가요? 1648;원1008; 1096; .104;나요?

설치 0143; 운영에 대한 ᅆ1;험1060; 없다보니 2cpu 고수님들1032; 1312;Ǻ16;1012; 듣고 ǳ10;Ǻ12;서 1060;/111;,172; 1656;문글1012; 올리,172; .104;었습니다.

짧은글 일수록 신중하게.



병철 2022-02 L2TP/IPSec를 쓰는데 NSA가 봐서는 안 될게 있으면 이미 헬파이어 R9X를 맞지 않았을까요? L2TP/IPSec를 쓰는데 NSA가 봐서는 안 될게 있으면 이미 헬파이어 R9X를 맞지 않았을까요?



UDION52 2022-02 서버에 기밀정보는 없어서 헬파이어 맞을일은 없지만 보안에 문제가 있다는점이 꺼려져서요 ㅎㅎ 서버에 기밀정보는 없어서 헬파이어 맞을일은 없지만 보안에 문제가 있다는점이 꺼려져서요 ㅎㅎ



술이 2022-02 1번은 고정IP만 오픈해야 되는 케이스입니다. Site to Site 를 구성할때 사용하는 케이스에요. Client to Site 구성시에는 절대 비추입니다. 해킹시도에 결국 털립니다. 2번 3번은 인증서가 필요하기 때문에 인증서 없으면 인증 시도자체가 안되기에 상관은 없습니다. 미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다. 1번은 고정IP만 오픈해야 되는 케이스입니다. Site to Site 를 구성할때 사용하는 케이스에요. Client to Site 구성시에는 절대 비추입니다. 해킹시도에 결국 털립니다. 2번 3번은 인증서가 필요하기 때문에 인증서 없으면 인증 시도자체가 안되기에 상관은 없습니다. 미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다.



김현린 2022-02 10자리 해쉬값+id/pw 인증 방식인데 털리는데 얼마나 걸릴까요? 10자리 해쉬값+id/pw 인증 방식인데 털리는데 얼마나 걸릴까요?



UDION52 2022-02 혹시 지속적으로 VPN 접속을 시도하는 IP들을 자동으로 차단하는 방법이 미크로틱 라우터에서 있을까요? 혹시 지속적으로 VPN 접속을 시도하는 IP들을 자동으로 차단하는 방법이 미크로틱 라우터에서 있을까요?



박건 2022-02 방화벽에서 L2TP/IPSec에 대한 ACL을 만들어도 되고, user forum을 찾아보면 로그를 파싱해서 그러한 brute force attack의 진원지 IP를 자동 차단하는 스크립트도 있던 것 같습니다. 개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다. IKEv2는 장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공. 단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요. 방화벽에서 L2TP/IPSec에 대한 ACL을 만들어도 되고, user forum을 찾아보면 로그를 파싱해서 그러한 brute force attack의 진원지 IP를 자동 차단하는 스크립트도 있던 것 같습니다. 개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다. IKEv2는 장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공. 단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요.



UDION52 2022-02 고정IP를 사용하지 못할때의 대응방안으로 L2TP/IPSec을 이용할거라서 ACL에서 이를 제어할수 있는 방법이 있을까요? port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다. 고정IP를 사용하지 못할때의 대응방안으로 L2TP/IPSec을 이용할거라서 ACL에서 이를 제어할수 있는 방법이 있을까요? port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다.



박건 2022-02 방화벽룰에 address list를 이용할 수 있는데, 여기에 DDNS주소를 넣으면 자동으로 resolve됩니다. 접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요. 방화벽룰에 address list를 이용할 수 있는데, 여기에 DDNS주소를 넣으면 자동으로 resolve됩니다. 접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요.



김현린 2022-02 박건님 말씀대로 유져 포럼에 있긴한데.. 제 지식 수준에서는 어떻게 해야할지 모르겠더군요. 그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다. 박건님 말씀대로 유져 포럼에 있긴한데.. 제 지식 수준에서는 어떻게 해야할지 모르겠더군요. 그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다.



dateno1 2022-02 어차피 헤쉬를 생성하는거니 Cipher나 프로토콜에 달린 부분입니다 그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다 요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요 어차피 헤쉬를 생성하는거니 Cipher나 프로토콜에 달린 부분입니다 그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다 요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요



김현린 2022-02 해쉬값+ id+pw까지 들어가는거라.. 제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요 해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데.. 3개중 하나라도 틀리면 접속 안대니까요. 해쉬값+ id+pw까지 들어가는거라.. 제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요 해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데.. 3개중 하나라도 틀리면 접속 안대니까요.



UDION52 2022-02 L2TP/IPSec에 연결하는 접근IP를 제한할수 없기 때문에 Broute-force 방식으로 털릴수밖에 없다라는 말씀이신거죠? L2TP/IPSec에 연결하는 접근IP를 제한할수 없기 때문에 Broute-force 방식으로 털릴수밖에 없다라는 말씀이신거죠?



박건 2022-02 보안+성능적으로는 순수 IPSec이 가장 좋습니다만, 초보자 입장에서 세팅하기는 조금 까다롭습니다. 편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다. 어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다. 작년초인가, hEX에 대하여 테스트해본 실측치입니다. PPTP 양방향 380Mbps(CPU 80%) L2TP 양방향 400Mbps(CPU 81%) L2TP/IPSec 양방향 110Mbps(CPU 50%) SSTP 양방향 34Mbps(CPU 30%) IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096 OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다. 보안+성능적으로는 순수 IPSec이 가장 좋습니다만, 초보자 입장에서 세팅하기는 조금 까다롭습니다. 편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다. 어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다. 작년초인가, hEX에 대하여 테스트해본 실측치입니다. PPTP 양방향 380Mbps(CPU 80%) L2TP 양방향 400Mbps(CPU 81%) L2TP/IPSec 양방향 110Mbps(CPU 50%) SSTP 양방향 34Mbps(CPU 30%) IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096 OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다.



UDION52 2022-02 말씀하시는 IPSec는 IKEv2인가요? 말씀하시는 IPSec는 IKEv2인가요?



박건 2022-02 결과만 남겨놓아서 기억이 가물가물합니다만, IKEv2일겁니다. 결과만 남겨놓아서 기억이 가물가물합니다만, IKEv2일겁니다.



UDION52 2022-02 SSTP도 좋은 방향일것 같네요 설정도 쉬운것 같고... 어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서.. 정보 주셔서 감사합니다 SSTP도 좋은 방향일것 같네요 설정도 쉬운것 같고... 어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서.. 정보 주셔서 감사합니다



박문형 2022-02 https://wiki.mikrotik.com/wiki/Manual:TOC 미크로틱 메뉴얼입니다.. 안보셨다면 VPN 관련 내용 확인해보세요.. https://wiki.mikrotik.com/wiki/Manual:TOC 미크로틱 메뉴얼입니다.. 안보셨다면 VPN 관련 내용 확인해보세요..



UDION52 2022-02 구글에서도 검색하면 미크로틱 위키들이 나와서 봤습니다만 제가 그 내용을 다 이해하기에는 배경 지식이 없어서 질문했습니다 또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요 구글에서도 검색하면 미크로틱 위키들이 나와서 봤습니다만 제가 그 내용을 다 이해하기에는 배경 지식이 없어서 질문했습니다 또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요



김현린 2022-02 openvpn은 vm으로 서버를 만들어야지 안그러면 성능 엄청 안나 옵니다.. 말씀 하신 용도로는 사용 할수 있을지 모르겠으나.. 별로 추천드리고싶지는 않네요. openvpn은 vm으로 서버를 만들어야지 안그러면 성능 엄청 안나 옵니다.. 말씀 하신 용도로는 사용 할수 있을지 모르겠으나.. 별로 추천드리고싶지는 않네요.



UDION52 2022-02 네... open vpn은 설정도 어렵고 운영도 어려운것 같아서 제외시켰습니다. 네... open vpn은 설정도 어렵고 운영도 어려운것 같아서 제외시켰습니다.



dateno1 2022-02 설정이나 운영 딱히 어려울건 없습니다 특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다 설정이나 운영 딱히 어려울건 없습니다 특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다



박문형 2022-02 https://www.google.co.kr/search?q=ikev2+mikrotik+server&ei=gUkPYsyCM4vy-QaNmZU4&oq=IKEv2+%E3%85%A1%E3%85%91%E3%85%8F&gs_lcp=Cgdnd3Mtd2l6EAEYADIFCAAQgAQ6BwgAEEcQsAM6BAgAEENKBAhBGABKBAhGGABQpxBYxj1gxVRoBXABeACAAYMBiAGQCJIBAzAuOZgBAKABAcgBCsABAQ&sclient=gws-wiz ikev2 mikrotik server 로 구글링하니 몇가지 나오네요.. https://www.google.co.kr/search?q=ikev2+mikrotik+server&ei=gUkPYsyCM4vy-QaNmZU4&oq=IKEv2+%E3%85%A1%E3%85%91%E3%85%8F&gs_lcp=Cgdnd3Mtd2l6EAEYADIFCAAQgAQ6BwgAEEcQsAM6BAgAEENKBAhBGABKBAhGGABQpxBYxj1gxVRoBXABeACAAYMBiAGQCJIBAzAuOZgBAKABAcgBCsABAQ&sclient=gws-wiz ikev2 mikrotik server 로 구글링하니 몇가지 나오네요..



UDION52 2022-02 IKEv2 가 미크로틱에서 운영해보신 경험담을 듣고 싶어서 질문글을 올렸습니다만, 댓글로 달아주신 글도 참조하겠스빈다 IKEv2 가 미크로틱에서 운영해보신 경험담을 듣고 싶어서 질문글을 올렸습니다만, 댓글로 달아주신 글도 참조하겠스빈다

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

QnA

쓰기

18/437

번호	제목Page 18/437	글쓴이	날짜	조회	추천
8387	이 알리HDD 구매해도 괜찮을려나요? (14)	소이치로	2023-10	2676	0
이 알리HDD 구매해도 괜찮을려나요? (14) 2023-10 2676 1 소이치로
8386	원드라이브 디렉토리를 공유폴더로 쓸수 없나요?? (8)	공백기	2022-10	1201	0
원드라이브 디렉토리를 공유폴더로 쓸수 … (8) 2022-10 1201 1 공백기
8385	본딩관련 신기한 현상... (3)	케치	2023-10	1678	0
본딩관련 신기한 현상... (3) 2023-10 1678 1 케치
8384	lily85 pro 키보드는 어떤가요? (2)	이매망량2	2022-10	1043	0
lily85 pro 키보드는 어떤가요? (2) 2022-10 1043 1 이매망량2
8383	구형 CPU의 FSB와 배수고정 패턴 트릭 가능할까요? (12)	뚜앙	2023-10	1414	0
구형 CPU의 FSB와 배수고정 패턴 트릭 가… (12) 2023-10 1414 1 뚜앙
8382	하드에 바로 설치 가능한 레트로게임용os는? (4)	오성기	2022-10	1575	0
하드에 바로 설치 가능한 레트로게임용os… (4) 2022-10 1575 1 오성기
8381	같은 layer 단에서 허브 교체시 네트워크 연결이 끊기는 이유가 궁금합니다, (9)	Caig	2023-10	1366	0
같은 layer 단에서 허브 교체시 네트워크 … (9) 2023-10 1366 1 Caig
8380	서버 파워서플라이 소음관련으로 질문드립니다. (13)	한승재	2022-10	1045	0
서버 파워서플라이 소음관련으로 질문드립… (13) 2022-10 1045 1 한승재
8379	선물로 백신을 사주고 싶은데 요즘은 어떤거 쓰시나요? (14)	민호양	2023-10	2336	0
선물로 백신을 사주고 싶은데 요즘은 어떤… (14) 2023-10 2336 1 민호양
8378	[정상작동] Nak Plus 제품 써 보신분 있나요? (5)	재원	2022-10	940	0
[정상작동] Nak Plus 제품 써 보신분 있나… (5) 2022-10 940 1 재원
8377	LG에어컨 필터에 사용되는 벌집구조 플라스틱(?) 이름이 뭘까요? (1)	라혼	2023-10	1226	0
LG에어컨 필터에 사용되는 벌집구조 플라… (1) 2023-10 1226 1 라혼
8376	문의드립니다.(cisco l2 스위치관련) (5)	김동혁1	2022-10	1731	0
문의드립니다.(cisco l2 스위치관련) (5) 2022-10 1731 1 김동혁1
8375	네트워크 공부해보려는데 이 책 어떤가요? (18)	Caig	2023-10	1785	0
네트워크 공부해보려는데 이 책 어떤가요? (18) 2023-10 1785 1 Caig
8374	대용량 파일 센터간 전송 문의 (14)	푸뽀	2022-09	1284	0
대용량 파일 센터간 전송 문의 (14) 2022-09 1284 1 푸뽀
8373	안녕하세요. G8 파워 질문. (5)	BMW330E	2023-10	1574	0
안녕하세요. G8 파워 질문. (5) 2023-10 1574 1 BMW330E
8372	비컴 건축관련질문입니다. (7)	눈부신아침	2022-09	929	0
비컴 건축관련질문입니다. (7) 2022-09 929 1 눈부신아침
8371	슈마 X10dri 메인보드 쿨러 4개의 발 (feet)	박문형	2023-10	1111	0
슈마 X10dri 메인보드 쿨러 4개의 발 (fee… 2023-10 1111 1 박문형
8370	윈10인데 랙이 심합니다. (6)	pibang	2022-09	1042	0
윈10인데 랙이 심합니다. (6) 2022-09 1042 1 pibang
8369	소프트웨어는 이런 경우는 사기에 해당할까요? 머 확인을 해 볼 건데요. 일단 (12)	신은왜	2023-10	2149	0
소프트웨어는 이런 경우는 사기에 해당할… (12) 2023-10 2149 1 신은왜
8368	문자인코딩 (6)	고양이상비	2022-09	797	0
문자인코딩 (6) 2022-09 797 1 고양이상비