IPsec vpn ±¸¼º.. À߸øµÈ Á¡À» ¾Ë·ÁÁÖ¼¼¿ä ¤Ð¤Ð

   Á¶È¸ 4999   Ãßõ 0    

 제가 IPsec vpn 을 구축을 하였습니다.


        서버 1.      <----->          aws site-to-site  <--------> aws instnace

       ip : 공인 IP1개                                                 ip 대역 : 10.30.0.0/16

       ip2: 10.100.0.2

 위와 같이 구성을 진행하였고, 서버1에 openswan를 사용해서 구축했습니다.

  정상적으로 vpn 이 연결이 됐습니다.

 문제는 10.100.0.2 에서 이제 10.100.0.0/24 대역의 IP를 가진 아래 서버들한테 트래픽 전송이 안됩니다.

 아래 서버들 끼리 통신은 잘 되지만, 10.30.0.0/16에서 넘어오는 트래픽만 수신이 안됩니다.

 ex) 10.100.0.10 -> 10.30.0.10 으로 ping을 요청할 경우,

     10.30.0.10 까지 잘 도달하지만 ping reply를 받을 경우, 10.100.0.2 까지만 트래픽이 오고 거기서 10.100.0.10으로 오질 않습니다.

      원인을 찾아봐도 모르겠습니다. 

     도움을 받고 싶습니다.

아래는 10.100.0.2 의 routing 정보입니다.

[root@set-hostname ~]# route

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

default         gateway         0.0.0.0         UG    100    0        0 eth0

10.100.0.0      0.0.0.0         255.255.255.0   U     101    0        0 eth1

<공인 IP대역>    0.0.0.0         255.255.255.0   U     100    0        0 eth0


서버는 xen 을 사용하여 vm을 띄워 사용중입니다.

NC은 2개의 서로 다른 물리 NIC이 꽂혀있고 eth0 (공인IP대역) 은 10G, eth1(사설IP대역) 1G nic으로 구성됐습니다.

net.ipv4.ip_forward = 1설정도 하였고, 모든 firewall 다 종료시키고 시도했었습니다..


감사합니다

     

openswan¿¡¼­ full-tunneling À¸·Î
ipsec Åë½ÅÀÌ ÀÌ·ïÁ®¼­ ±×·±°Í °°Àºµ¥...

¼­¹ö¿¡¼­ curl ifconfig.me ÀÔ·ÂÀ¸·Î
°øÀÎ ip È®ÀÎÇغ¸½Ã±â ¹Ù¶ø´Ï´Ù.

¾Æ¸¶...
°á°ú´Â aws¿¡¼­ ¾î¶»°Ô ¼³Á¤µÇ¾î ÀÖÀ»Áö´Â
¸ð¸£°ÚÀ¸³ª...
10.100.0.2¿¡ ´ëÇÑ ¿ÜºÎ °øÀÎ NAT¼³Á¤ÀÌ
¾ÈµÇ¾î À־ ÀÎÅÍ³Ý Åë½ÅÀÌ
¸ðµÎ ¾ÈµÉ °Ì´Ï´Ù.

ÇØ°áÃ¥À¸·Î´Â
openswan split-tunneling ¼³Á¤À» ÅëÇؼ­
aws Åë½Å ´ë¿ª¿¡ ´ëÇؼ­¸¸
ipsec Åë½ÅÀÌ ÀÌ·ïÁö°Ô ¼³Á¤ º¯°æÇϼžß
Á¤»ó Åë½ÅÀÌ ÀÌ·ïÁö½Ç°Ì´Ï´Ù.
     
¾Æ 10.100.0.0/24 ´ë¿ªÀÇ gateway ´Â 10.100.0.3 À¸·Î ¼³Á¤µÇ¾îÀÖ°í, 10.100.0.3 Àº NAT ¼­¹ö·Î ¿ÜºÎ¿Í Åë½ÅÀ» °¡´ÉÄÉ ÇØÁÖ°í ÀÖ½À´Ï´Ù.
±×·¡¼­ 10.100.0.10 ¼­¹ö¿¡ route add -net 10.30.0.0/16 gw 10.100.0.2 ¼³Á¤À» ÁÖ¾î 10.30.0.0 ´ë¿ªÀÇ Æ®·¡Çȸ¸ vpnÀ» Ÿ°Ô ¼³Á¤Çسù½À´Ï´Ù.

¼±»ý´Ô ¸»¾¸Àº VPN¼­¹ö(10.100.0.2) ¿¡µµ NAT ±â´ÉÀ» Ãß°¡ÇؾßÇÑ´Ù´Â ¸»¾¸ÀÌ½Ç ±î¿ä??
¾Æ...
³»¿ë ÀçÈ®ÀÎ Çغ¸´Ï...
¾Æ·¡ ±¸Á¶ÀÎ°Í °°Àºµ¥
10.100.0.10ÀÎ VM¿¡¼­ Åë½Å ÇϽŠ°ÍÀÌ ¸Â´ÂÁö¿ä?

Xen VM 10.100.0.10  >> vSwitch(bridge) >> Xen svr 10.100.0.2
>> openswan >> IPsec Tunneling >> IPsec VPN(AWS site to site) >> AWS VPC 10.30.0.10

ÀÌ·² °æ¿ì Xen 10.100.0.2¿¡¼­ VM 10.100.0.10·Î °¡´Â
¶ó¿ìÆà Ãß°¡ÇØ ÁÖ¼Å¾ß µÉ °Í °°½À´Ï´Ù¸¸..
(´ÙÁß °ÔÀÌÆ®¿þÀÌ ¼³Á¤ Çʼö)

º¸Åë À§¿Í °°Àº Site to Site ±¸¼ºÀÇ °æ¿ì
Áö±Ý°ú °°Àº ¹®Á¦·Î ¸Å¹ø ¶ó¿ìÆÃÀ» Áö¼ÓÀûÀ¸·Î ¼³Á¤ °ü¸®ÇØ ÁÖ¾î¾ß µÇ±â ¶§¹®¿¡..
Xen°ú VMÀÇ Gateway IP¸¦ °¡Áø Ãø¿¡¼­ Site to Site IPsec VPN ±¸¼ºÀÌ º¸ÆíÀûÀÔ´Ï´Ù.

¿¹½Ã #1
https://duck99.tistory.com/96

¿¹½Ã #2
https://medium.com/saltware/openswan%EC%9C%BC%EB%A1%9C-aws-site-to-site-vpn-%EA%B5%AC%EC%B6%95%ED%95%98%EA%B8%B0-9220a506acb3

¿¹½Ã #3
https://blog.leedoing.com/32

´ÙÁß°ÔÀÌÆ®¿þÀÌ ¼³Á¤
https://warpnet.tistory.com/entry/Multiple-Gateway-%EB%8B%A4%EC%A4%91-%EA%B2%8C%EC%9D%B4%ED%8A%B8%EC%9B%A8%EC%9D%B4-%EC%84%A4%EC%A0%95
     
´äº¯ °¨»çµå¸³´Ï´Ù.
¼³¸íÀÌ ºÎÁ·ÇÑ °Í °°¾Æ Á¤¸®ÇØ µå¸³´Ï´Ù.

10.100.0.10(¹°¸®) >> 10.100.0.2(xen, vpn) >> openswan >> ipsec (aws) >> aws vpc 10.30.0.10 ÀÌ·¸°Ô Åë½ÅµÇ°í ÀÖ½À´Ï´Ù.

10.100.0.10 °ú 10.100.0.2 °¡ ÇöÀç ¼­·Î Åë½ÅÀÌ Àß µÇ°í ÀÖ´Â »óȲÀε¥ ¾î¶² ¶ó¿ìÆÃÀ» Ãß°¡ÇØÁà¾ßÇÒ±î¿ä..?

10.30.0.0/16 Æ®·¡ÇÈÀº vpnÀ» ÅëÇØ °øÀÎ IP nic À¸·Î µé¾î¿À°í ´Ù½Ã nic1(»ç¼³¸Á)À¸·Î ³ª°¡¾ß Çϴϱñ
nic °£ÀÇ ¶ó¿ìÆÃ(ºê¸´Áö???)À» ÀâÀ¸¶ó´Â ¸»¾¸À̽Ű¡¿ä??

´ÙÁß °ÔÀÌÆ®¿þÀÌ ¼³Á¤À̶ó´Â °ÍÀÌ
[root@set-hostname ~]# route
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
default        gateway        0.0.0.0        UG    100    0        0 eth0
default        gateway        0.0.0.0        UG    101    0        0 eth1
10.100.0.0      0.0.0.0        255.255.255.0  U    101    0        0 eth1
115.68.158.0    0.0.0.0        255.255.255.0  U    100    0        0 eth0

ÀÌ·¸°Ô µÇ¸é µÈ °ÍÀϱî¿ä.. (Åë½ÅÀº ±×´ë·Î ¾ÈµË´Ï´Ù.)

Á¶¾ð ºÎŹµå¸³´Ï´Ù.
          
±×·¯´Ï±î...
¶ó¿ìÆÃÀº ´Ü¼ø IP Header Á¤º¸ ±â¹ÝÀ¸·Î ÇØ´ç °æ·Î·Î ¹«Á¶°Ç º¸³½´Ù°í º¸½Ã¸é µË´Ï´Ù.

ÀÌ »óȲ¿¡¼­..
ÇöÀç 10.100.0.10¿¡¼­ 10.30.0.10À¸·ÎÀÇ Åë½ÅÀÌ µÇ·Á¸é
ÇϳªÀÇ Åë½ÅÀÌ ÀÌ·ïÁö´Â °¡Àå ÀÛÀº ´ÜÀ§ÀÇ ÆÐŶ Åë½ÅÀÌ ¾Æ·¡ °úÁ¤À¸·Î Àü´ÞÀÌ µÇ¾î¾ß µË´Ï´Ù...

1Â÷ : 10.10.0.10¿¡¼­ 10.30.0.10À¸·ÎÀÇ Åë½Å½Ã 10.100.0.2·Î º¸³»¶ó´Â ¶ó¿ìÆÃ
2Â÷ : 10.100.0.2¿¡¼­´Â openswanÀ» ÅëÇØ 10.30.0.10À¸·Î Åë½Å½Ã ipsec service¸¦ ÅëÇØ ¾ÏȣȭµÇ¾î eth0 gateway °øÀÎIP¸¦ ÅëÇØ AWS Privite Gateway À¸·Î Àü´Þ
3Â÷ : AWS Privite Gateway¿¡¼­´Â ¾ÏȣȭµÈ ÆÐŶÀ» º¹È£È­ÇÏ¿© VPC 10.30.0.10À¸·Î Àü´Þ
4Â÷ : VPC 10.30.0.10¿¡¼­ 10.10.0.10À¸·Î ÀÀ´äÇÏ¿© ¶ó¿ìÆà Á¤º¸¸¦ ÅëÇØ AWS Privite Gateway·Î Àü´Þ
5Â÷ : AWS Privite Gateway¿¡¼­ ¾ÏȣȭÇÏ¿© 10.100.0.2ÀÇ Default gateway eth0 °øÀÎ IPÀ¸·Î Àü´Þ
6Â÷ : 10.100.0.2ÀÇ openswanÀ» ÅëÇØ º¹È£È­µÈ src 10.10.30.10À» ÅëÇÑ 10.10.0.10À¸·ÎÀÇ ÀÀ´ä ÆÐŶÀ» eth1À» ÅëÇØ Àü´ÞÇ϶ó´Â ¶ó¿ìÆÃ
7Â÷ : 10.100.0.10 ÃÖÁ¾ 1°³ ÆÐŶ ¼ö½Å

¿©±â¼­ ÇöÀç ¸ðµç ±¸°£ÀÇ ¶ó¿ìÆà ¹× Åë½Å¿¡ ´ëÇÑ È®ÀÎÀº ±âÁ¸ È®ÀÎ ÇϼÌÀ»°ÍÀ¸·Î À¯ÃߵǴ tcpdump¸¦ ÅëÇØ È®ÀÎÇÏ¼Å¾ß µÇ´Âµ¥...
ÇöÀç ¼³Á¤»ó 6Â÷¿¡ ´ëÇÑ ºÎºÐ¿¡¼­ 2Â÷ Åë½ÅÀÌ ÀÌ·ïÁö´Â ¶ó¿ìÆðú ¿¬°üµÇ¾î ÀÌ»óÀÌ ÀÖ´Â °ÍÀ¸·Î
ÇØ´ç ¼³Á¤ Åë½ÅÀÌ ÀÌ·ïÁö½Ã·Á¸é ´ÙÁß °ÔÀÌÆ®¿þÀÌ ¼³Á¤ ¹× °³º° ÀÎÅÍÆäÀ̽º¿¡ ´ëÇÑ ¶ó¿ìÆÃÀ» º°µµ·Î ó¸®ÇÏ¼Å¾ß µÇ´Â »óȲÀÔ´Ï´Ù.

À̸¦ Á» ´õ ÆíÇÏ°Ô ÇϽ÷Á¸é...
10.100.0.2 ¹× 10.100.0.10 ÀÇ »ç¼³ Gateway Àåºñ¿Í  °øÀÎ IP Gateway¸¦ ´ÜÀÏ Àåºñ¿¡¼­ ó¸®ÇÏ°í
ÇØ´ç Àåºñ¿¡¼­ IPSec VPN ¼³Á¤À» ÅëÇØ AWS Privite Gateway¿Í IPsec TunnelingÀ» ±¸¼ºÇÏ´Â °Ì´Ï´Ù.

¸¸¾à 10.100.0.2 ¹× 10.100.0.10 ÀÇ »ç¼³ Gateway Àåºñ¿Í °øÀÎ IP Gateway¸¦ ´ÜÀÏ Àåºñ¿¡¼­ 󸮰¡ Èûµé¸é
´ÙÁß °ÔÀÌÆ®¿þÀÌ ¼³Á¤À» °¢ ¼­¹ö¿¡ ¼³Á¤ÇÏ°í »ç¼³ Gateway Àåºñ¿¡¼­ IPsec Tunneling ¼³Á¤À» ÅëÇØ

Ãß°¡ÀûÀÎ IPsec Åë½Å Àåºñ Áõ°¡¸¦ ´ëÀÀÇÏ´Â °ÍÀÌ ³×Æ®¿öÅ© ±âº» ¼³°èÀÇ °ü°ÇÀ̶ó°í º¸¿©Áý´Ï´Ù.
          
Áö±Ý ¶ó¿ìÆà Á¤º¸»ó Çϱâ ÀÌÀü URLÀÇ "¼³Á¤1" ¹æ½ÄÀ¸·Î
¿ì¼± ´ÙÁß °ÔÀÌÆ®¿þÀÌ ¼³Á¤Àº ¿Ï·á ÇϽŠ°ÍÀ¸·Î º¸ÀÔ´Ï´Ù.

https://warpnet.tistory.com/entry/Multiple-Gateway-%EB%8B%A4%EC%A4%91-%EA%B2%8C%EC%9D%B4%ED%8A%B8%EC%9B%A8%EC%9D%B4-%EC%84%A4%EC%A0%95

"¹æ½Ä2"·Î ¼³Á¤ÇÏ¼Å¾ß µÇ¸ç....
(»çÀ¯ : 6Â÷ °úÁ¤¿¡¼­ openswan¿¡¼­ º¹È£È­µÈ ÆÐŶÀÌ ¹«Á¶°Ç  eth0À¸·Î Àü´ÞµÊ)

ÇØ´ç ¼³Á¤¿¡¼­ 6Â÷ °ü·ÃµÈ ¼³Á¤
"´Ü°è" °úÁ¤¿¡¼­ 10.100.0.2 ¼³Á¤µÈ ÀÎÅÍÆäÀ̽º eth1¿¡ ´ëÇØ
¶ó¿ìÆü³Á¤ ³»¿ë¿¡ Ãâ¹ßÁö °ü·Ã µµÂøÁö ¼³Á¤À» Ãß°¡ÇÏ½Ã¸é µË´Ï´Ù¸¸ Àû¿ë½Ã ¸¹Àº Å×½ºÆ®°¡ ÇÊ¿äÇÒ °Ì´Ï´Ù;
dateno1 2022-03
route ¸ñ·Ï¿¡ 10.30.0.0¿¡ ´ëÇÑ ³»¿ëÀÌ ¾È º¸À̴µ¥¿ä?

°æ·Î ÁöÁ¤µµ ¾È µÇ¾îÁ®ÀÖ¾¹´Ï´Ù
     
10.30.0.0/16 ¿¡ ´ëÇÑ ¶ó¿ìÆÃÀº openswanÀÌ ÇØÁÖ´Â °ÍÀ¸·Î ¾Ë°í À־ ¾ÈÇß½À´Ï´Ù.
½ÇÁ¦·Î 10.30.0.0/16 ¿¡°Ô ping À» ÇßÀ» ¶§, ÇØ´ç ¹üÀ§¿¡ ÀÖ´Â ¼­¹ö¿¡¼­ tcpdumpÇؼ­ ÇØ´ç Æ®·¡ÇÈÀ» ¹Þ´Â °ÍÀ» È®ÀÎÇß½À´Ï´Ù.

°æ·Î ÁöÁ¤Àº ¾îµð¼­ ¾îµð¸¦ ¸»¾¸ÇϽô °ÍÀϱî¿ä..?
          
dateno1 2022-03
10.100.0.2¿¡¼­ VPN °ü·Ã ¼ÒÇÁÆ®¸¦ µ¹¸®°í °è½Å°Í ¾Æ´Ñ°¡¿ä?

VPN ¼­¹ö/Ŭ¶ó¸¦ µ¹¸®¸é Á¦´ë·Î µÈ °æ¿ì route¿¡ Ãß°¡µÇ´Â°Ô º¸ÅëÀÔ´Ï´Ù

°°Àº ¼­ºê³ÝÀÌ ¾Æ´Ñ ÀÌ»ó gw ÁöÁ¤ ¾È µÇ¼­ route°¡ ¾øÀ¸¸é ¾Æ¹«¸® ÆÐŶÀ» ¹Ý´ëÆí ³×Æ®¿öÅ©·Î °¡°Ô »ý¼ºÇصµ ±æÀ» ¸ø ã¾Æ°©´Ï´Ù
               
openswan¿¡¼­´Â
ÆÐŶ ¼ö½Å½Ã ¾ÏȣȭÇϸ鼭
ÇØ´ç ¹Ý´ëÆí ipsec vpn °øÀÎ Åë½ÅµÇ´Â
¼­¹öÃø ¾ÆÀÌÇÇ·Î ÆÐÅ·ÇÏ¿© ¶ó¿ìÆÿ¡¼­´Â
¾Èº¸ÀÌ´Â °ÍÀ¸·Î ¾Ë°í ÀÖ½À´Ï´Ù^^;

Á¦°¡ ´Ù·ç´Â Æ÷Ƽ Àåºñ·Î ¿¹½Ã¸¦ µå¸®¸é...
openswan˼
º°µµ ÀÎÅÍÆäÀ̽º°¡ »ý¼º ¾ÈµÇ´Â
policy base ipsec vpn À¸·Î ÅͳθµµË´Ï´Ù.
                    
dateno1 2022-03
ÀÎÅÍÆäÀ̽º¸¦ »ý¼º ¾È ÇÏ´Â ¹æ½ÄÀΰ¡º¸³×¿ä

https://ibb.co/Nrzp99Q
ÀÎÅÍÆäÀ̽º¸¦ »ý¼ºÇÏ´Â ¹æ½Ä°æ¿ì ÀÌ·±½ÄÀ¸·Î Ãß°¡µÇ´Ùº¸´Ï ´ç¿¬È÷ µÉÁÙ ¾Ë¾Ò½À´Ï´Ù

¼ö½ÅÀº ¹ÞÀº´ÙÀ½ ó¸®ÇØÁØ´ÙÃĵµ ¹ß½ÅÇÒ¶§´Â ¾î¶»°Ô 󸮵dzª¿ä?

½Ã½ºÅÛÀÌ ¾Ë¾Æ¸ÔÀ»·Á¸é Æ÷Æ®¸¦ ÈÄÅ·ÇÏ´øÁö, À¯´Ð½º ÀåÄ¡¸¦ »ý¼ºÇÏ´øÁö, °¡»ó ÀÎÅÍÆäÀ̽º¸¦ ¸¸µé´øÁö ½Ã½ºÅÛÀÌ ¾Ë¾Æ¸ÔÀ» ¼ö ÀÖ´Â Çü½ÄÀ¸·Î ÇØÁà¾ß ȣȯ¼º º¸ÀåµÉ²¨¶ó »ý°¢µË´Ï´Ù
                         
º¸¿©ÁֽŠ¹æ½ÄÀÌ ±â¾ï»ó VtunÀ¸·Î ±¸¼ºÇÑ
Point to Point ¹æ½Ä ºñÇ¥ÁØ VPN ÇÁ·ÎÅäÄÝ·Î ±¸¼º½Ã È®ÀεǴ ¶ó¿ìÆÃÀ¸·Î ±â¾ïÇϴµ¥ ¸Â³ª¿ä?

¿©Æ° ÇöÀç "Á¦¹ßµÇ¶ó"´Ô ±¸¼ºÀÌ Á¶±Ý ÀÌ»óÇÑ°Ô;;;
AWS Privite Gateway´Â
Site to Site IPsec VPN, Point to site IPsec VPN ±¸¼ºÀ¸·Î
AWS Privite GatewayÃøÀÌ Site·Î ±¸¼ºµË´Ï´Ù¸¸ ÇöÀç »ý°¢ÇϽŠ±¸¼ºÀÌ...

Point to Site IPsec VPN ±¸¼º¿¡¼­...
Point Ãø ÇØ´ç ´ë¿ª 10.100.0.0/24 ÀåºñµéÀÌ ¶ó¿ìÆÃÀ¸·Î Point Àåºñ¿¡ Åë½ÅÀ» º¸³»¸é Point Àåºñ°¡ Site·Î º¸³»¾ß µÇ´Â
°¢ ÆÐŶ 󸮸¦ »ó´çÈ÷ °ñÄ¡¾ÆÇÁ°Ô ÇϳªÀÇ ÀÎÅÍÆäÀ̽º¿¡¼­ ¶ó¿ìÆà 󸮸¦ 2ÁßÀ¸·Î ÇØÁà¾ß µÇ´Â »óȲÀ̶ó¼­...

Â÷¶ó¸® Gateway¿¡¼­ IPsec VPNÀÌ ÀÌ·ïÁö´Â Site to Site IPsec VPN ¹æ½ÄÀÌ ¸Â´Âµ¥...
ÇöÀç GatewayÀÎ 10.100.0.3ÀÌ IPsec VPN ¹ÌÁö¿øµÇ´Â ÀåºñÀ̽ÅÁö
À§¿Í °°Àº º°µµ ¶ó¿ìÆÃ󸮷Π10.100.0.2 ¼­¹ö ¶ó¿ìÆà ¼³Á¤À¸·Î Á׾°¡¼Å¾ß µÇ´Â »óȲÀ̳׿ä;

±×³ª¸¶ ÇØ´ç ±¸¼º¿¡¼­ ÆíÇÏ°Ô °ü¸®ÇϽ÷Á¸é...
strongswan, libreswan°ú °°ÀÌ PointÃø IPsec VPN µ¥¸ó¸¦ ¹Ù²ã¼­
Çϱâ¿Í °°ÀÌ ÀÎÅÍÆäÀ̽º »ý¼ºÇÏ°Ô ÇϽøé ÈÎ~~½Å ÆíÇϽŰ̴ϴٸ¸ ±âº» ±¸¼º¾È ÀÚü¸¦ ¹Ù²ã´Â°Í¸¸ ÇÏ°Ú³ª¿ä^^
https://docs.strongswan.org/strongswan-docs/5.9/features/routeBasedVpn.html
https://libreswan.org/wiki/Route-based_XFRMi
                         
dateno1 2022-03
Route·Î Æ÷ÀÎÆ® Àåºñ¶ó°í ¾ð±ÞÇÏ½Å°Í º¸¸é GW ¿ªÈ°À» ÁöÁ¤ÇØÁÖ°í, Ŭ¶ó´Â °Å±â¿¡ Route¸¦ ÁöÁ¤ÇÏ´Â ±¸Á¶Àΰ¡º¸³×¿ä

¿ø·¡ VPN GW°¡ µÇ´Â Àåºñ¶óµµ Ãß°¡·Î ´õ ÁöÁ¤ÇÒ·Á¸é »ó´çÈ÷ ±ÍÂúÀºµ¥, ¾Æ¿¡ ¾È µÇ´Â Àåºñ¸é ÆĶó¸ÞÅÍ¿¡¼­ router or GW·Î ÀÛµ¿Çϵµ·Ï route ¼³Á¤µµ ¸¸Áö´Âµî ´õ ±ÍÂú¾Ò´ø°É·Î ±â¾ïÇÕ´Ï´Ù

È®½ÇÈ÷ Àú·±½ÄÀ¸·Î ¼öµ¿ ÁöÁ¤ÇØÁÖ¸é Á¤ÀûÀ¸·Î ÁöÁ¤ÇÑ°Å´Ï Å« ¹®Á¦ ¾øÀ»²¨°°³×¿ä (ÀÛµ¿ »óÅ ȮÀÎÀ̳ª ¼³Á¤ È®Àεµ ´õ ÆíÇÔ)
Dreaday 2022-03
iptraf-ng ¼³Ä¡ÇÏ°í ¸ð´ÏÅ͸µ ÇÏ½Ã¸é ¾Æ½Ã°ÚÁö¸¸  ¤·

¾Æ¸¶ ¸ñÀûÁö Á¤º¸¸¦ ÀÒ¾ú´Ù°í ¶ß½Ç°Å¿¡¿ä .

Àú¶û °°Àº ÄÉÀ̽º·Î ÃßÁ¤µË´Ï´Ù.
 
10.100.10.2·Î Á¢±ÙÇÒ ´ë»ó ¼­¹öÀÇ ¶ó¿ìÆÃÀ» Ãß°¡ÇØÁֽøé ÁÁÀ»µíÇÕ´Ï´Ù.
1. °³¿ä
 1) °øÀÎ IP º°µµ ºÎ¿©¿Í ÇÔ²² »ç¼³ IP¸¦ ºÎ¿©ÇÏ°í ½ÍÀ» ¶§ÀÇ ¹æ¹ýÀ» Á¤ÀÇÇÑ´Ù.
 2) ¼³°è
  - ¿ÜºÎ¸Á NIC Ãß°¡
  - ³»ºÎ¸Á DB NIC Ãß°¡
2. ó¸®
 1) IP ÇÒ´ç ÀÌÈÄ ¶ó¿ìÆÃÀ» ÀÌ¿ëÇÏ¿© °ÔÀÌÆ® ¿þÀÌ(GW)À» ÅëÇØ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù.(¹æÈ­º® Á¦¾î)
 2) ¸í·É¾î
  - ¶ó¿ìÆà °íÁ¤ ÆÄÀÏ
ADDRESS0=172.16.33.0
NETMASK0=255.255.255.0
GATEWAY0=172.16.31.1
ADDRESS1=172.16.30.0
NETMASK1=255.255.255.0
GATEWAY1=172.16.31.1
  - ¸í·É¾î
route add -net 172.16.33.0 netmask 255.255.255.0 gw 172.16.30.1 dev ens192
Ãâó: https://devs.tistory.com/44 [³»¸Ú´ë·Î ³»°¡ °¡´Â´ë·Î]
³×Æ®¿öÅ©¿¡ °üÇؼ­´Â ¹®¿ÜÇÑÀÔ´Ï´Ù¸¸.. aws¸¦ ÇÑ ¹Ý ³â ±ò¦°Å·È´ø ±â¾ï¿¡ Ȥ½Ã³ª ¸î ÀÚ Àû½À´Ï´Ù.
Ȥ½Ã.. ¾îÀ̾ø°Ôµµ.. awsÀÇ Security Group ¹®Á¦´Â ¾Æ´Ï°ÚÁÒ? ^^;;
´Ùµé µµ¿ÍÁּż­ Á¤¸» °¨»çÇÕ´Ï´Ù.
¾Ë·ÁÁֽŠ¹æ¹ý´ë·Î Çغ¸¾ÒÁö¸¸ ¾Ë°íº¸´Ï.. ¸®´ª½º rp_filter ±â´ÉÀ» Á¾·á½ÃÄÑÁà¾ß Çß½À´Ï´Ù..
Á¦°¡ vpn¿¡ ¹«ÁöÇÏ¿© Åͳθµ¸¸ Çü¼º°ú net.ipv4.ip_forward = 1 󸮸¸ ÇÏ¸é ´Ù Åë½ÅÀÌ µÇ´Â ÁÙ ¾Ë¾Ò´Âµ¥ ¾Æ´Ï¾ú³×¿ä..
     
rp_fillter Á¾·á½ÃÅ°¸é...
½ºÀ§Äª Ĩ¼Â´Ü¿¡¼­ ÆÐŶ µå·ÓÀ¸·Î 󸮵Ǿî OS´ÜÀ¸·Î ¾È¿Ã¶ó¿À´ø ÆÐŶµµ OS¿¡¼­ ó¸®µÉ ÅÍÀε¥...
ÀÌ·¯¸é OS´Ü ¶Ô·Á¼­ Á»ºñ ¼­¹ö·Î
°ø°ÝÀÚ IP¸¦ º¯Á¶ÇÏ¿© Ÿ ¼­¹ö °ø°Ý¿¡ ¾Ç¿ëµÇ¾î ÀÛµ¿µÉ ¿©Áö°¡ ÀÖ½À´Ï´Ù. (IP Spoofing °ø°Ý)

¶§¹®¿¡ Â÷¶ó¸® º°µµ °¡»ó ÀÎÅÍÆäÀ̽º »ý¼º ¹× ÇØ´ç ÀÎÅÍÆäÀ̽º¿¡ rp_fillter ÇØÁ¦ ¹æ½ÄÀ¸·Î
IPsec Client¸¦ ÀÛµ¿½ÃÅ°´Â ¹æ¹ýÀ¸·Î ¿î¿µÇϽô °ÍÀ» Ãßõµå·Á¿ä^^;

Ãß°¡ÀûÀ¸·Î
¸®´ª½º ³×Æ®¿öÅ© Ä¿³Î´Ü º¸¾È¼³Á¤ °ü·Ã Á¤º¸ °øÀ¯µå¸³´Ï´Ù~
http://zos.kr/bbs/board.php?bo_table=study&wr_id=112
´Ù½Ã µ¹¾Æ¿Ô½À´Ï´Ù...
rp_filter ¸¦ Á¾·á½ÃÅ°¸é ÀÏÁ¤½Ã°£ ¿¬°áÀÌ µÇ´Ù°¡ ´Ù½Ã ²÷±â³×¿ä.. (10ÃÊ ³»¿Ü)
¿øÀÎÀ» ¾Ë ¼ö°¡ ¾ø½À´Ï´Ù..

¸ðµç ºÐµéÀÌ ¾Ë·ÁÁֽŠ¹æ¹ýÀ» ´Ù »ç¿ëÇغôµ¥ Àß ¾ÈµÇ³×¿ä ¤Ð¤Ð
vpn ±¸¼ºÀ» ´Ù½ÃÇÏ´Â°Ô ÁÁÀ» °Í °°Àºµ¥..
¾Æ·¡¿Í °°Àº ±¸¼ºÀÌ¸é ¾î¶»°Ô ÇÏ´Â °ÍÀÌ ÁÁÀ»Áö Á¶¾ð ÇØÁÖ½Ç ¼ö ÀÖ³ª¿ä??

aws ÀνºÅϽº <---> site to site  <------------> idc vpn ¼­¹ö(xen °¡»ó¼­¹ö) <----------> idc ¹°¸® ¼­¹ö
10.30.0.0/16                                                            10.100.0.2                                        10.100.0.0/24
                                                                              + °øÀÎIP
qmjs 2022-03
¾Æ¸¶Á¸ EC2´Â ¼Ò½º ´ë»óÀ» È®ÀÎÇÕ´Ï´Ù.
ÇØ´ç ±¸¼ºÀ» À§Çؼ± EC2¿¡¼­ ¿øº» ¼Ò½º¸¦ È®ÀÎÇÏ´Â ¼³Á¤À» ²¨ ÁÖ¼Å¾ß ÇÕ´Ï´Ù
ÀνºÅϽº -> ÀÛ¾÷ -> ³×Æ®¿öÅ© ->  ¼Ò½º/´ë»ó È®ÀÎ ¿¡¼­ ¼Ò½º/´ë»ó È®ÀÎÀ» ÁßÁö ½ÃÄÑÁÖ¼¼¿ä.


Á¦¸ñPage 5505/105
°Ô½Ã¹°ÀÌ ¾ø½À´Ï´Ù.