mikrotik 라우터 사용시 VPN은 어떤게 좋을까요?

UDION52   
   조회 2958   추천 0    

홈서버를 IDC로 옮기면서 보안대책을 생각하고 있습니다.

네트워크 구성은 미크로틱 라우터(hEX)가 방화벽/NAT/포트포워딩/VPN 서버 기능을 하고,

라우터에서 LAN으로 IPMI 랜포트와 서버 랜포트를 연결합니다

서버는 ESXi 하이퍼바이저 설치하고 guest VM들을 설치합니다.


외부에서 원격으로 서버 관리를 하기 위해서 아래와 같은 포트들은 외부 접속이 가능하도록 열어놓으려고 합니다.

- 미크로틱 라우터 WebFig 또는 Winbox 포트

- IPMI(HP iLO) Web 포트

- ESXi vCenter Web 포트


그래서 고정IP 및 VPN IP 를 이용한 방화벽 설정을 하려고 합니다.

VPN은 사실 긴급 상황 (고정IP 변경, 스마트폰을 통해 관리가 긴급히 필요한 경우 등..)을 대비한 옵션입니다.

평상시에는 고정IP를 이용해서 관리하려고 생각중입니다.


2cpu 유저 한분이 조언해주시길 미크로틱 라우터에서 L2TP/IPSec 으로 VPN을 구성하라고 조언해주셔서

미크로틱에서 설치/운영 가능한 VPN 프로토콜을 알아보니 아래와 같이 3가지가 있더라고요

1) L2TP/IPSec : 가장 쉽게 구성가능하나 프로토콜 자체에 대한 보안 문제.. NSA와 연관된 내용이 많이 나옴

2) OpenVPN : 미크로틱에서 설치/운영하기 굉장히 어려움.. 미크로틱에서도 더이상 업데이트(UDP 모드 등..)를 안하고 있는것으로 보아 지원을 포기한듯..

3) IKEv2 : 미크로틱에서 지원하는것 같긴 한데 관련 자료를 잘 못 찾아서 정확히 파악이 안됨... 설치하는게 LT2TP/IPSec 보다 어려운듯..


저는 VPN을 처음 설정해보는 초보자이고 어제 L2TP/IPSec까지는 해봤습니다.

보안적인 면을 봤을때 IKEv2를 써야할것 같은데..

미크로틱에서 IKEv2 설치하는게 어렵지 않은가요? 안정적인가요? 지원은 잘 되나요?

설치 및 운영에 대한 경험이 없다보니 2cpu 고수님들의 조언을 듣고 싶어서 이렇게 질문글을 올리게 되었습니다.


짧은글 일수록 신중하게.
병철 2022-02
L2TP/IPSec를 쓰는데 NSA가 봐서는 안 될게 있으면 이미 헬파이어 R9X를 맞지 않았을까요?
     
UDION52 2022-02
서버에 기밀정보는 없어서 헬파이어 맞을일은 없지만 보안에 문제가 있다는점이 꺼려져서요 ㅎㅎ
술이 2022-02
1번은 고정IP만 오픈해야 되는 케이스입니다. Site to Site 를 구성할때 사용하는 케이스에요. Client to Site 구성시에는 절대 비추입니다. 해킹시도에 결국 털립니다. 2번 3번은 인증서가 필요하기 때문에 인증서 없으면 인증 시도자체가 안되기에 상관은 없습니다.
미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다.
     
김현린 2022-02
10자리 해쉬값+id/pw 인증 방식인데 털리는데 얼마나 걸릴까요?
          
UDION52 2022-02
혹시 지속적으로 VPN 접속을 시도하는 IP들을 자동으로 차단하는 방법이 미크로틱 라우터에서 있을까요?
               
박건 2022-02
방화벽에서 L2TP/IPSec에 대한 ACL을 만들어도 되고, user forum을 찾아보면 로그를 파싱해서 그러한 brute force attack의 진원지 IP를 자동 차단하는 스크립트도 있던 것 같습니다.
개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다.

IKEv2는
장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공.
단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요.
                    
UDION52 2022-02
고정IP를 사용하지 못할때의 대응방안으로 L2TP/IPSec을 이용할거라서 ACL에서 이를 제어할수 있는 방법이 있을까요?
port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다.
                         
박건 2022-02
방화벽룰에 address list를 이용할 수 있는데, 여기에 DDNS주소를 넣으면 자동으로 resolve됩니다.
접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요.
               
김현린 2022-02
박건님 말씀대로 유져 포럼에 있긴한데..
제 지식 수준에서는 어떻게 해야할지 모르겠더군요.
그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다.
          
dateno1 2022-02
어차피 헤쉬를 생성하는거니 Cipher나 프로토콜에 달린 부분입니다

그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다

요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요
               
김현린 2022-02
해쉬값+ id+pw까지 들어가는거라..
제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요
해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데..
3개중 하나라도 틀리면 접속 안대니까요.
     
UDION52 2022-02
L2TP/IPSec에 연결하는 접근IP를 제한할수 없기 때문에 Broute-force 방식으로 털릴수밖에 없다라는 말씀이신거죠?
박건 2022-02
보안+성능적으로는 순수 IPSec이 가장 좋습니다만, 초보자 입장에서 세팅하기는 조금 까다롭습니다.
편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다.
어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다.

작년초인가, hEX에 대하여 테스트해본 실측치입니다.
PPTP 양방향 380Mbps(CPU 80%)
L2TP 양방향 400Mbps(CPU 81%)
L2TP/IPSec 양방향 110Mbps(CPU 50%)
SSTP 양방향 34Mbps(CPU 30%)
IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096
OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다.
     
UDION52 2022-02
말씀하시는 IPSec는 IKEv2인가요?
          
박건 2022-02
결과만 남겨놓아서 기억이 가물가물합니다만, IKEv2일겁니다.
     
UDION52 2022-02
SSTP도 좋은 방향일것 같네요 설정도 쉬운것 같고...
어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서..
정보 주셔서 감사합니다
박문형 2022-02
https://wiki.mikrotik.com/wiki/Manual:TOC

미크로틱 메뉴얼입니다..

안보셨다면 VPN 관련 내용 확인해보세요..
     
UDION52 2022-02
구글에서도 검색하면 미크로틱 위키들이 나와서 봤습니다만 제가 그 내용을 다 이해하기에는 배경 지식이 없어서  질문했습니다
또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요
김현린 2022-02
openvpn은 vm으로 서버를 만들어야지 안그러면 성능 엄청 안나 옵니다..
말씀 하신 용도로는 사용 할수 있을지 모르겠으나..
별로 추천드리고싶지는 않네요.
     
UDION52 2022-02
네... open vpn은 설정도 어렵고 운영도 어려운것 같아서 제외시켰습니다.
          
dateno1 2022-02
설정이나 운영 딱히 어려울건 없습니다

특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다
박문형 2022-02
     
UDION52 2022-02
IKEv2 가 미크로틱에서 운영해보신 경험담을 듣고 싶어서 질문글을 올렸습니다만, 댓글로 달아주신 글도 참조하겠스빈다


QnA
제목Page 833/5708
2014-05   5139142   정은준1
2015-12   1673637   백메가
2022-04   2900   민지파파
2020-12   2900   장동건2014
2021-10   2900   오준호5
2020-04   2901   NGC
2023-10   2901   신은왜
2018-11   2901   황진우
2019-06   2901   김준유
2019-05   2901   online9
2021-03   2901   정진환
2019-11   2901   엠브리오
2020-12   2901   삐돌이슬픔이
2020-10   2902   머라카는데
2020-03   2902   김동자맨
2015-06   2902   주영진영아빠
2022-10   2902   나우마크
2022-12   2902   명랑
2020-07   2902   김효수
2020-02   2902   퍼싱글
2020-12   2902   굴렁쇠
2019-09   2902   나비z