pfSense IKEv2/IPSec VPN 설정에 관해서 여쭤보고 싶습니다.

쓰기

pfSense IKEv2/IPSec VPN 설정에 관해서 여쭤보고 싶습니다.

Tetrahedrite

2022-12

2022-12-13 10:48:21

조회 1620 추천 0

pfSense에서 내부 네트워크는 172.16.0.0/16 대역 사용중이고...

IKEv2/IPSec 연결로 내부 네트워크와 외부 네트워크를 모두 접근할 수 있게 끔 설정하고 싶습니다.

PSK 방식으로 Mobile Client 접속까지는 성공시켰는데요...

VPN을 통해서 접속하는 모든 트래픽에 대해 내부 네트워크 대역은 내부 네트워크로 접근하고,

바깥으로 나가야 하는 나머지 트래픽에 대해서는 외부로 NAT 처리를 해줬으면 좋겠습니다.

그냥 일상적으로 저희가 생각하는 VPN처럼요...

Phase 2 설정에서 Transport로 하고 Virtual IP Address Pool을 172.16.4.1/24로 설정하면 외부로는 연결이 되는데 내부로는 연결이 안됩니다.

Virtual IP Address Pool을 172.17.0.1/16으로 설정하면 내부 네트워크에는 연결이 되는데 외부로는 연결이 안됩니다. ㅜㅜ

어떻게 설정해야 양쪽 모두 가능하게 만들 수 있을까요?

정 안되면 외부 네트워크로 가는 트래픽은 IPSec으로 라우팅 안하고 패스시키고 내부 네트워크 대역만 IPSec으로 돌릴 수도 있을까요?

구글링을 많이 해봤는데 pfSense 공식 문서에도 명쾌한 해답이 없습니다 ㅜㅜㅜ

짧은글 일수록 신중하게.



흥마 2022-12 구조를 정확히 이해가 안 되어서 확실한 답변 드리기 어려운데. VPN 설정 하면 OTPx 인터페이스가 추가 되고, 그 인터페이스에도 Routing 설정을 해 준 것 같습니다. 그리고, IPsec이 되면 당연히 방화벽에서도 통신 허용 정책을 추가 하셔야 합니다. 가능 하시면, 중간에 패킷 보면서 어디까지 통신이 되고 있는지 확인 하면서 하시는 것도 좋습니다. 구조를 정확히 이해가 안 되어서 확실한 답변 드리기 어려운데. VPN 설정 하면 OTPx 인터페이스가 추가 되고, 그 인터페이스에도 Routing 설정을 해 준 것 같습니다. 그리고, IPsec이 되면 당연히 방화벽에서도 통신 허용 정책을 추가 하셔야 합니다. 가능 하시면, 중간에 패킷 보면서 어디까지 통신이 되고 있는지 확인 하면서 하시는 것도 좋습니다.



Tetrahedrite 2022-12 VPN 연결을 휴대폰으로 하고 있는데 IKEv2/IPSec 연결 수립까지는 로그를 계속 보면서 프로토콜 맞추고 어떻게든 구성을 했는데... 패킷이 어떻게 움직이려고 하는지에 대한 정보는 전혀 모르겠습니다. 휴대폰에서 네트워크 툴 받아가지고 Traceroute를 찍어도 안가는 경로로는 아예 주소가 안찍히더라구요... OTPx 인터페이스는 뭔지 모르겠는데... GUI로 모바일 클라이언트 Enable하고 페이즈 1은 WAN으로 들어오는 설정, 페이즈 2는 Tunnel IPv4 > LAN subnet으로 구성하면 내부로만 통신이 되고 Transport로 설정하면 외부로만 통신이 되는걸로 확인했습니다 ㅜㅜ VPN 연결을 휴대폰으로 하고 있는데 IKEv2/IPSec 연결 수립까지는 로그를 계속 보면서 프로토콜 맞추고 어떻게든 구성을 했는데... 패킷이 어떻게 움직이려고 하는지에 대한 정보는 전혀 모르겠습니다. 휴대폰에서 네트워크 툴 받아가지고 Traceroute를 찍어도 안가는 경로로는 아예 주소가 안찍히더라구요... OTPx 인터페이스는 뭔지 모르겠는데... GUI로 모바일 클라이언트 Enable하고 페이즈 1은 WAN으로 들어오는 설정, 페이즈 2는 Tunnel IPv4 > LAN subnet으로 구성하면 내부로만 통신이 되고 Transport로 설정하면 외부로만 통신이 되는걸로 확인했습니다 ㅜㅜ



상석하대 2022-12 "바깥으로 나가야 하는 나머지 트래픽에 대해서는 외부로 NAT 처리를 해줬으면 좋겠습니다" <--- 클라이언트의 트래픽이 pfSense를 거치지 않게 한다는 뜻인가요? "바깥으로 나가야 하는 나머지 트래픽에 대해서는 외부로 NAT 처리를 해줬으면 좋겠습니다" <--- 클라이언트의 트래픽이 pfSense를 거치지 않게 한다는 뜻인가요?



상석하대 2022-12 의도하는 게 Split Routing인지 모호해서 입니다. 의도하는 게 Split Routing인지 모호해서 입니다.



Tetrahedrite 2022-12 제가 원하는 가장 큰 목표는 VPN에 접속 후 내부 네트워크에 연결하면 내부로 연결되고, 외부로 연결하면 제 망을 타고 외부로 연결되었으면 좋겠고... 그 방법이 만약 어렵다고 하면 VPN을 통해서는 내부만 접속되고, 외부는 기존 망으로 접속되는 방법으로 검토중입니다 ㅜㅜ 제가 원하는 가장 큰 목표는 VPN에 접속 후 내부 네트워크에 연결하면 내부로 연결되고, 외부로 연결하면 제 망을 타고 외부로 연결되었으면 좋겠고... 그 방법이 만약 어렵다고 하면 VPN을 통해서는 내부만 접속되고, 외부는 기존 망으로 접속되는 방법으로 검토중입니다 ㅜㅜ



흥마 2022-12 IPsec VPN으로는 직접 Routing을 추가 해야 합니다. 예) 0.0.0.0 0.0.0.0 {자신 망 IP} // Default Routing 172.16.0.0 255.255.0.0 {IPsec Tunnel IP}. // Site to Site가 아니고, Client(PC & Mobile)인 경우에는 차라리 OpenVPN으로 해서 Local Network 설정 하시는게 좋을 것 같습니다. Local Network 설정만 해 두면 해당 대역만 VPN을 타고 내부 접근 합니다. IPsec VPN으로는 직접 Routing을 추가 해야 합니다. 예) 0.0.0.0 0.0.0.0 {자신 망 IP} // Default Routing 172.16.0.0 255.255.0.0 {IPsec Tunnel IP}. // Site to Site가 아니고, Client(PC & Mobile)인 경우에는 차라리 OpenVPN으로 해서 Local Network 설정 하시는게 좋을 것 같습니다. Local Network 설정만 해 두면 해당 대역만 VPN을 타고 내부 접근 합니다.



상석하대 2022-12 클라이언트 쪽에서 처리하도록 해야 합니다. "VPN에 접속 후 내부 네트워크에 연결하면 내부로 연결되고, 외부로 연결하면 제 망을 타고 외부로 연결되었으면 좋겠고" <--- 라우팅 또는 SNAT "그 방법이 만약 어렵다고 하면 VPN을 통해서는 내부만 접속되고, 외부는 기존 망으로 접속되는 방법으로 검토중입니다" <--- Split Tunnel 사용 여부 클라이언트 쪽에서 처리하도록 해야 합니다. "VPN에 접속 후 내부 네트워크에 연결하면 내부로 연결되고, 외부로 연결하면 제 망을 타고 외부로 연결되었으면 좋겠고" <--- 라우팅 또는 SNAT "그 방법이 만약 어렵다고 하면 VPN을 통해서는 내부만 접속되고, 외부는 기존 망으로 접속되는 방법으로 검토중입니다" <--- Split Tunnel 사용 여부

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

368/5681

번호	제목Page 368/5681	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1486103	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1486103 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4949394	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4949394 1 정은준1
106275	해외직구 미개봉 중고로 파는분들이 여럿보이는데 (12)	범이님	2023-01	1481	0
해외직구 미개봉 중고로 파는분들이 여럿… (12) 2023-01 1481 1 범이님
106274	장치관리자에서 리소스 부족은 cpu 레인이 딸리는건가요? (10)	일론머스크	2023-01	4524	0
장치관리자에서 리소스 부족은 cpu 레인이… (10) 2023-01 4524 1 일론머스크
106273	윈도우에서 추가 기능이 설치가 되지 않습니다..openssh server (4)	osthek83	2023-01	1752	0
윈도우에서 추가 기능이 설치가 되지 않습… (4) 2023-01 1752 1 osthek83
106272	장터 미니 망분리 pc (2)	삐돌이슬픔이	2023-01	1871	0
장터 미니 망분리 pc (2) 2023-01 1871 1 삐돌이슬픔이
106271	중소기업 홈페이지를 굴리기 위한 웹서버 사양은? (11)	shaner	2023-01	3285	0
중소기업 홈페이지를 굴리기 위한 웹서버 … (11) 2023-01 3285 1 shaner
106270	한번 인식 불량난 SD카드는 안쓰는게 좋을까요? (7)	LevinF	2023-01	1922	0
한번 인식 불량난 SD카드는 안쓰는게 좋을… (7) 2023-01 1922 1 LevinF
106269	Dell 7820 Tower 워크스테이션 Onboard Lan Port 교체 작업 가능한 업체 있을까요? (3)	jbj1	2023-01	1905	0
Dell 7820 Tower 워크스테이션 Onboard La… (3) 2023-01 1905 1 jbj1
106268	서버성능 괜찮을까요(i5 7500t ,12gb ram, ssd 256gb) (5)	Revelion	2023-01	1684	0
서버성능 괜찮을까요(i5 7500t ,12gb ram,… (5) 2023-01 1684 1 Revelion
106267	프린터 인쇄품질 관련 (19)	saint	2023-01	1319	0
프린터 인쇄품질 관련 (19) 2023-01 1319 1 saint
106266	ax210을 구매했는데 속도가 제대로 안나오네요 (4)	ginyunas	2023-01	2847	0
ax210을 구매했는데 속도가 제대로 안나오… (4) 2023-01 2847 1 ginyunas
106265	문의 드립니다. 포멧관련 ( 파티션 삭제가 안됩니다.) (13)	노재현	2023-01	1407	0
문의 드립니다. 포멧관련 ( 파티션 삭제가… (13) 2023-01 1407 1 노재현
106264	휴대폰이나 노트북 배터리 교체하시고 나면 쓰던건 어떻게 처리하시나요? (5)	김진영JK	2023-01	1375	0
휴대폰이나 노트북 배터리 교체하시고 나… (5) 2023-01 1375 1 김진영JK
106263	HP Z8 G4 히트싱크 1번 2번 소켓 다를가요 ? (4)	짱님	2023-01	1325	0
HP Z8 G4 히트싱크 1번 2번 소켓 다를가요… (4) 2023-01 1325 1 짱님
106262	Vmware NVME Command 오류 관련 문의	드리데이	2023-01	1599	0
Vmware NVME Command 오류 관련 문의 2023-01 1599 1 드리데이
106261	[속보]세탁기 서거.. (21)	고양시	2023-01	2427	0
[속보]세탁기 서거.. (21) 2023-01 2427 1 고양시
106260	Lenovo SR650 rockylinux 9 화면아웃 (4)	올닉스	2023-01	1933	0
Lenovo SR650 rockylinux 9 화면아웃 (4) 2023-01 1933 1 올닉스
106259	마소 로그인 로그기록보니 쩌네요. (1)	행복하세	2023-01	1519	0
마소 로그인 로그기록보니 쩌네요. (1) 2023-01 1519 1 행복하세
106258	알리발 Wifi 드라이버 다운로드 (8)	무법자	2023-01	1523	0
알리발 Wifi 드라이버 다운로드 (8) 2023-01 1523 1 무법자
106257	혹시 gigabyte ga-x99-ud3p 메인보드에 32GB UDIMM 혹은 32GB RDIMM 모듈로 사용하고… (9)	겜돌맨	2023-01	1865	0
혹시 gigabyte ga-x99-ud3p 메인보드에 32… (9) 2023-01 1865 1 겜돌맨
106256	외부에서 들어오는 network의 도메인 기반 포워딩 관련 질문입니다. (11)	통신보안	2023-01	1782	0
외부에서 들어오는 network의 도메인 기반… (11) 2023-01 1782 1 통신보안