mikrotik 라우터 사용시 VPN은 어떤게 좋을까요?

BMT more

쓰기

mikrotik 라우터 사용시 VPN은 어떤게 좋을까요?

UDION52

2022-02

2022-02-18 15:58:45

조회 2459 추천 0

홈서버를 IDC로 옮기면서 보안대책을 생각하고 있습니다.

네트워크 구성은 미크로틱 라우터(hEX)가 방화벽/NAT/포트포워딩/VPN 서버 기능을 하고,

라우터에서 LAN으로 IPMI 랜포트와 서버 랜포트를 연결합니다

서버는 ESXi 하이퍼바이저 설치하고 guest VM들을 설치합니다.

외부에서 원격으로 서버 관리를 하기 위해서 아래와 같은 포트들은 외부 접속이 가능하도록 열어놓으려고 합니다.

- 미크로틱 라우터 WebFig 또는 Winbox 포트

- IPMI(HP iLO) Web 포트

- ESXi vCenter Web 포트

그래서 고정IP 및 VPN IP 를 이용한 방화벽 설정을 하려고 합니다.

VPN은 사실 긴급 상황 (고정IP 변경, 스마트폰을 통해 관리가 긴급히 필요한 경우 등..)을 대비한 옵션입니다.

평상시에는 고정IP를 이용해서 관리하려고 생각중입니다.

2cpu 유저 한분이 조언해주시길 미크로틱 라우터에서 L2TP/IPSec 으로 VPN을 구성하라고 조언해주셔서

미크로틱에서 설치/운영 가능한 VPN 프로토콜을 알아보니 아래와 같이 3가지가 있더라고요

1) L2TP/IPSec : 가장 쉽게 구성가능하나 프로토콜 자체에 대한 보안 문제.. NSA와 연관된 내용이 많이 나옴

2) OpenVPN : 미크로틱에서 설치/운영하기 굉장히 어려움.. 미크로틱에서도 더이상 업데이트(UDP 모드 등..)를 안하고 있는것으로 보아 지원을 포기한듯..

3) IKEv2 : 미크로틱에서 지원하는것 같긴 한데 관련 자료를 잘 못 찾아서 정확히 파악이 안됨... 설치하는게 LT2TP/IPSec 보다 어려운듯..

저는 VPN을 처음 설정해보는 초보자이고 어제 L2TP/IPSec까지는 해봤습니다.

보안적인 면을 봤을때 IKEv2를 써야할것 같은데..

미크로틱에서 IKEv2 설치하는게 어렵지 않은가요? 안정적인가요? 지원은 잘 되나요?

설치 및 운영에 대한 경험이 없다보니 2cpu 고수님들의 조언을 듣고 싶어서 이렇게 질문글을 올리게 되었습니다.

짧은글 일수록 신중하게.



병철 2022-02 L2TP/IPSec를 쓰는데 NSA가 봐서는 안 될게 있으면 이미 헬파이어 R9X를 맞지 않았을까요? L2TP/IPSec를 쓰는데 NSA가 봐서는 안 될게 있으면 이미 헬파이어 R9X를 맞지 않았을까요?



UDION52 2022-02 서버에 기밀정보는 없어서 헬파이어 맞을일은 없지만 보안에 문제가 있다는점이 꺼려져서요 ㅎㅎ 서버에 기밀정보는 없어서 헬파이어 맞을일은 없지만 보안에 문제가 있다는점이 꺼려져서요 ㅎㅎ



술이 2022-02 1번은 고정IP만 오픈해야 되는 케이스입니다. Site to Site 를 구성할때 사용하는 케이스에요. Client to Site 구성시에는 절대 비추입니다. 해킹시도에 결국 털립니다. 2번 3번은 인증서가 필요하기 때문에 인증서 없으면 인증 시도자체가 안되기에 상관은 없습니다. 미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다. 1번은 고정IP만 오픈해야 되는 케이스입니다. Site to Site 를 구성할때 사용하는 케이스에요. Client to Site 구성시에는 절대 비추입니다. 해킹시도에 결국 털립니다. 2번 3번은 인증서가 필요하기 때문에 인증서 없으면 인증 시도자체가 안되기에 상관은 없습니다. 미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다.



김현린 2022-02 10자리 해쉬값+id/pw 인증 방식인데 털리는데 얼마나 걸릴까요? 10자리 해쉬값+id/pw 인증 방식인데 털리는데 얼마나 걸릴까요?



UDION52 2022-02 혹시 지속적으로 VPN 접속을 시도하는 IP들을 자동으로 차단하는 방법이 미크로틱 라우터에서 있을까요? 혹시 지속적으로 VPN 접속을 시도하는 IP들을 자동으로 차단하는 방법이 미크로틱 라우터에서 있을까요?



박건 2022-02 방화벽에서 L2TP/IPSec에 대한 ACL을 만들어도 되고, user forum을 찾아보면 로그를 파싱해서 그러한 brute force attack의 진원지 IP를 자동 차단하는 스크립트도 있던 것 같습니다. 개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다. IKEv2는 장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공. 단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요. 방화벽에서 L2TP/IPSec에 대한 ACL을 만들어도 되고, user forum을 찾아보면 로그를 파싱해서 그러한 brute force attack의 진원지 IP를 자동 차단하는 스크립트도 있던 것 같습니다. 개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다. IKEv2는 장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공. 단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요.



UDION52 2022-02 고정IP를 사용하지 못할때의 대응방안으로 L2TP/IPSec을 이용할거라서 ACL에서 이를 제어할수 있는 방법이 있을까요? port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다. 고정IP를 사용하지 못할때의 대응방안으로 L2TP/IPSec을 이용할거라서 ACL에서 이를 제어할수 있는 방법이 있을까요? port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다.



박건 2022-02 방화벽룰에 address list를 이용할 수 있는데, 여기에 DDNS주소를 넣으면 자동으로 resolve됩니다. 접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요. 방화벽룰에 address list를 이용할 수 있는데, 여기에 DDNS주소를 넣으면 자동으로 resolve됩니다. 접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요.



김현린 2022-02 박건님 말씀대로 유져 포럼에 있긴한데.. 제 지식 수준에서는 어떻게 해야할지 모르겠더군요. 그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다. 박건님 말씀대로 유져 포럼에 있긴한데.. 제 지식 수준에서는 어떻게 해야할지 모르겠더군요. 그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다.



dateno1 2022-02 어차피 헤쉬를 생성하는거니 Cipher나 프로토콜에 달린 부분입니다 그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다 요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요 어차피 헤쉬를 생성하는거니 Cipher나 프로토콜에 달린 부분입니다 그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다 요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요



김현린 2022-02 해쉬값+ id+pw까지 들어가는거라.. 제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요 해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데.. 3개중 하나라도 틀리면 접속 안대니까요. 해쉬값+ id+pw까지 들어가는거라.. 제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요 해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데.. 3개중 하나라도 틀리면 접속 안대니까요.



UDION52 2022-02 L2TP/IPSec에 연결하는 접근IP를 제한할수 없기 때문에 Broute-force 방식으로 털릴수밖에 없다라는 말씀이신거죠? L2TP/IPSec에 연결하는 접근IP를 제한할수 없기 때문에 Broute-force 방식으로 털릴수밖에 없다라는 말씀이신거죠?



박건 2022-02 보안+성능적으로는 순수 IPSec이 가장 좋습니다만, 초보자 입장에서 세팅하기는 조금 까다롭습니다. 편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다. 어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다. 작년초인가, hEX에 대하여 테스트해본 실측치입니다. PPTP 양방향 380Mbps(CPU 80%) L2TP 양방향 400Mbps(CPU 81%) L2TP/IPSec 양방향 110Mbps(CPU 50%) SSTP 양방향 34Mbps(CPU 30%) IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096 OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다. 보안+성능적으로는 순수 IPSec이 가장 좋습니다만, 초보자 입장에서 세팅하기는 조금 까다롭습니다. 편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다. 어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다. 작년초인가, hEX에 대하여 테스트해본 실측치입니다. PPTP 양방향 380Mbps(CPU 80%) L2TP 양방향 400Mbps(CPU 81%) L2TP/IPSec 양방향 110Mbps(CPU 50%) SSTP 양방향 34Mbps(CPU 30%) IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096 OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다.



UDION52 2022-02 말씀하시는 IPSec는 IKEv2인가요? 말씀하시는 IPSec는 IKEv2인가요?



박건 2022-02 결과만 남겨놓아서 기억이 가물가물합니다만, IKEv2일겁니다. 결과만 남겨놓아서 기억이 가물가물합니다만, IKEv2일겁니다.



UDION52 2022-02 SSTP도 좋은 방향일것 같네요 설정도 쉬운것 같고... 어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서.. 정보 주셔서 감사합니다 SSTP도 좋은 방향일것 같네요 설정도 쉬운것 같고... 어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서.. 정보 주셔서 감사합니다



박문형 2022-02 https://wiki.mikrotik.com/wiki/Manual:TOC 미크로틱 메뉴얼입니다.. 안보셨다면 VPN 관련 내용 확인해보세요.. https://wiki.mikrotik.com/wiki/Manual:TOC 미크로틱 메뉴얼입니다.. 안보셨다면 VPN 관련 내용 확인해보세요..



UDION52 2022-02 구글에서도 검색하면 미크로틱 위키들이 나와서 봤습니다만 제가 그 내용을 다 이해하기에는 배경 지식이 없어서 질문했습니다 또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요 구글에서도 검색하면 미크로틱 위키들이 나와서 봤습니다만 제가 그 내용을 다 이해하기에는 배경 지식이 없어서 질문했습니다 또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요



김현린 2022-02 openvpn은 vm으로 서버를 만들어야지 안그러면 성능 엄청 안나 옵니다.. 말씀 하신 용도로는 사용 할수 있을지 모르겠으나.. 별로 추천드리고싶지는 않네요. openvpn은 vm으로 서버를 만들어야지 안그러면 성능 엄청 안나 옵니다.. 말씀 하신 용도로는 사용 할수 있을지 모르겠으나.. 별로 추천드리고싶지는 않네요.



UDION52 2022-02 네... open vpn은 설정도 어렵고 운영도 어려운것 같아서 제외시켰습니다. 네... open vpn은 설정도 어렵고 운영도 어려운것 같아서 제외시켰습니다.



dateno1 2022-02 설정이나 운영 딱히 어려울건 없습니다 특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다 설정이나 운영 딱히 어려울건 없습니다 특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다



박문형 2022-02 https://www.google.co.kr/search?q=ikev2+mikrotik+server&ei=gUkPYsyCM4vy-QaNmZU4&oq=IKEv2+%E3%85%A1%E3%85%91%E3%85%8F&gs_lcp=Cgdnd3Mtd2l6EAEYADIFCAAQgAQ6BwgAEEcQsAM6BAgAEENKBAhBGABKBAhGGABQpxBYxj1gxVRoBXABeACAAYMBiAGQCJIBAzAuOZgBAKABAcgBCsABAQ&sclient=gws-wiz ikev2 mikrotik server 로 구글링하니 몇가지 나오네요.. https://www.google.co.kr/search?q=ikev2+mikrotik+server&ei=gUkPYsyCM4vy-QaNmZU4&oq=IKEv2+%E3%85%A1%E3%85%91%E3%85%8F&gs_lcp=Cgdnd3Mtd2l6EAEYADIFCAAQgAQ6BwgAEEcQsAM6BAgAEENKBAhBGABKBAhGGABQpxBYxj1gxVRoBXABeACAAYMBiAGQCJIBAzAuOZgBAKABAcgBCsABAQ&sclient=gws-wiz ikev2 mikrotik server 로 구글링하니 몇가지 나오네요..



UDION52 2022-02 IKEv2 가 미크로틱에서 운영해보신 경험담을 듣고 싶어서 질문글을 올렸습니다만, 댓글로 달아주신 글도 참조하겠스빈다 IKEv2 가 미크로틱에서 운영해보신 경험담을 듣고 싶어서 질문글을 올렸습니다만, 댓글로 달아주신 글도 참조하겠스빈다

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

550/5680

번호	제목Page 550/5680	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1480765	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1480765 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4944028	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4944028 1 정은준1
102602	ssh 접속 관련 (4)	Smilesanta	2022-01	2014	0
ssh 접속 관련 (4) 2022-01 2014 1 Smilesanta
102601	dell storage에 대해서 문의 드립니다. (5)	EYESSHOT	2023-08	1202	0
dell storage에 대해서 문의 드립니다. (5) 2023-08 1202 1 EYESSHOT
102600	[비컴] 캡슐 커피 머신 선택에 대한 조언 (20)	송상병	2020-08	3225	0
[비컴] 캡슐 커피 머신 선택에 대한 조언 (20) 2020-08 3225 1 송상병
102599	슈마 X9SCM-F 보드에 관하여 질문이 있습니다. (3)	이상영	2013-06	10489	0
슈마 X9SCM-F 보드에 관하여 질문이 있습… (3) 2013-06 10489 1 이상영
102598	백업용 nas설치 위치에 대해서 질문 드립니다. (5)	슬루프	2018-03	3425	0
백업용 nas설치 위치에 대해서 질문 드립… (5) 2018-03 3425 1 슬루프
102597	HP DL320 G8 v2 시스템 이상 질문. [해결] (4)	2CPUI김세훈	2020-08	3828	0
HP DL320 G8 v2 시스템 이상 질문. [해결] (4) 2020-08 3828 1 2CPUI김세훈
102596	HP z800 에 관한 초보 질문드립니다. (1)	Midabo	2014-11	4964	0
HP z800 에 관한 초보 질문드립니다. (1) 2014-11 4964 1 Midabo
102595	바이오스 업데이트방법... (5)	Won낙연	2014-11	3642	0
바이오스 업데이트방법... (5) 2014-11 3642 1 Won낙연
102594	superdome이나 enclosure에서 IOX는 ARP테이블에 안보이던데 포트맵정리할때 현장에…	MnkRed	2018-04	3450	0
superdome이나 enclosure에서 IOX는 ARP테… 2018-04 3450 1 MnkRed
102593	장터에서 싸게 구매했던 lg 외장 블루레이구매하신분? (1)	청춘	2022-01	1367	0
장터에서 싸게 구매했던 lg 외장 블루레이… (1) 2022-01 1367 1 청춘
102592	NFC유심vs NFC본체 (3)	pumkin	2023-09	1673	0
NFC유심vs NFC본체 (3) 2023-09 1673 1 pumkin
102591	벤더 워크스테이션은 정가제인가요? (6)	오홍식	2014-11	4077	0
벤더 워크스테이션은 정가제인가요? (6) 2014-11 4077 1 오홍식
102590	컴퓨터/노트북 내부 청소 관련질문이요. (4)	이대범	2017-01	6264	0
컴퓨터/노트북 내부 청소 관련질문이요. (4) 2017-01 6264 1 이대범
102589	소비 전력을 측정하려고 하는데 추천좀 부탁드립니다. (5)	검은콩	2010-07	7212	0
소비 전력을 측정하려고 하는데 추천좀 부… (5) 2010-07 7212 1 검은콩
102588	팬성능 좋은 노트북 추천좀요 .ㅠㅠ 소리가 너무 시르요 (7)	별혼	2018-04	5249	0
팬성능 좋은 노트북 추천좀요 .ㅠㅠ 소리… (7) 2018-04 5249 1 별혼
102587	Asrock EP2C602-4L/D16 2011지원하는 쿨러하고 케이스 추천해주세요. (14)	메이	2017-02	5135	0
Asrock EP2C602-4L/D16 2011지원하는 쿨러… (14) 2017-02 5135 1 메이
102586	프린터 잉크가 흐리게 나옵니다. (5)	inquisitive	2020-08	2374	0
프린터 잉크가 흐리게 나옵니다. (5) 2020-08 2374 1 inquisitive
102585	2CPU 사이트만 유독 느립니다. 정확하게는 페이지 새로고침 시 딜레이 15~20초 정도 … (12)	풀로드시스템	2022-02	2004	0
2CPU 사이트만 유독 느립니다. 정확하게는… (12) 2022-02 2004 1 풀로드시스템
102584	OTG 마이크로USB충전하면서 USB기기들 쓰기 (9)	나파이강승훈	2016-02	24941	0
OTG 마이크로USB충전하면서 USB기기들 쓰기 (9) 2016-02 24941 1 나파이강승훈
102583	2u 샷시 택배거래 해보신분 있나요? (6)	Nikon	2013-07	5332	0
2u 샷시 택배거래 해보신분 있나요? (6) 2013-07 5332 1 Nikon