본지사간 vpn 연동 기본 설명서<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
- pptp vpn 연동 일대다지원 본지사망 구축
본사는 고정 공인 주소 100메가 속도 기준이며, 본 건의 경우 총 4곳의 지사망과 연결하는것을 가정하여 지사당 c클라스 사설대역을 지원하여 최대 254 대의 컴퓨터와 네트워크 프린터를 지원하고 본사도 동일한 c클래스를 지원하도록 고안하였다. 지사는 모두 유동 공인 주소를 기준으로 지사 라우터는 본사 라우터와 pptp vpn으로 연동하고 본지사간 및 지사간 연동을 위해 총 22비트(c클래스 4배) 네트웍을 구성하였다.본건의 기본적인 네트워크 구성 필요사항과 현황은 아래와 같다.
address |
subnet mask |
gateway | |
본사 서버 공인 주소 |
111.111.111.2 |
255.255.255.248 (/29) |
111.111.111.1 |
본사 사설 주소 대역 |
192.168.0.1 |
255.255.255.0 (/24) |
192.168.0.1 |
adress |
subnet mask |
gateway | |
지사1 사설대역 |
10.0.0.0/24 |
255.255.255.0 (/24) |
10.0.0.1 |
지사 2 사설대역 |
10.0.1.0/24 |
255.255.255.0 (/24) |
10.0.1.1 |
지사 3 사설대역 |
10.0.2.0/24 |
255.255.255.0 (/24) |
10.0.2.1 |
지사 4 사설대역 |
10.0.3.0/24 |
255.255.255.0 (/24) |
10.0.3.1 |
본사설정
1.서버구성
pptp 서버를 구성하고 기본 인증모드 등을 설정
/ interface pptp-server server
set enabled=yes max-mtu=1460 max-mru=1460 authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption
2.지사용 사용자 설정
지사에서 접속시 사용할 ppp 사용자명은 branch1, branch2, branch3 이며 비밀번호는 1234qwer 로 동일하게 설정하며 본사 사설망 게이트웨이를 서버측 지사 사설망 게이트웨이를 클라이언트 측에 부여하여 본지사 사설망간 터널링을 구성한다. 지사는 세곳이 있는것으로 가정하여 구성하고 필요시 추가 가능하다.
/ ppp secret
add name="branch1" service=l2tp caller-id="" password="1234qwer" \
profile=default-encryption local-address=192.168.0.1 \
remote-address=10.0.0.1 routes="" limit-bytes-in=0 limit-bytes-out=0 \
comment="" disabled=no
add name="branch2" service=l2tp caller-id="" password="1234qwer" \
profile=default-encryption local-address=192.168.0.1 \
remote-address=10.0.1.1 routes="" limit-bytes-in=0 limit-bytes-out=0 \
comment="" disabled=no
add name="branch3" service=l2tp caller-id="" password="1234qwer" \
profile=default-encryption local-address=192.168.0.1 \
remote-address=10.0.2.1 routes="" limit-bytes-in=0 limit-bytes-out=0 \
comment="" disabled=no
add name="branch4" service=l2tp caller-id="" password="1234qwer" \
profile=default-encryption local-address=192.168.0.1 \
remote-address=10.0.3.1 routes="" limit-bytes-in=0 limit-bytes-out=0 \
comment="" disabled=no
3.본지사간 라우팅 설정
본사 사설망에서 지사 사설망간 라우팅을 구성한다.(지사 장비 접속시까지 유효하지 않으나 접속시 자동 활성화 한다.)
/ ip route
add dst-address=10.0.0.0/24 gateway=10.0.0.1 scope=255 target-scope=10 \
comment="" disabled=no
add dst-address=10.0.1.0/24 gateway=10.0.1.1 scope=255 target-scope=10 \
comment="" disabled=no
add dst-address=10.0.2.0/24 gateway=10.0.2.1 scope=255 target-scope=10 \
comment="" disabled=no
add dst-address=10.0.3.0/24 gateway=10.0.3.1 scope=255 target-scope=10 \
comment="" disabled=no
지사 설정
본 예제는 지사1을 대상으로 하며 지사2,3,4 는 본문서 처음에 지정된 사설대역 및 사용자명을 변경하여 구성하면 된다.
1.지사 인터넷 연결
dhcp 클아이언트로서 자동할당 받는다,
/ip dhcp-client
add add-default-route=yes default-route-distance=0 disabled=no interface=ether1 use-peer-dns=yes use-peer-ntp=yes
2.본사 공인주소를 대상으로 지사측 장비에 vpn 클라이언트를 설정한다.
이때 접속할 서버 주소는 본사 서버 공인주소를 사용하고 본사측 설정시 미리 정의한 사용자명과 비밀번호 인증방식 등을 정확히 설정한다.
/interface pptp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 comment=""
connect-to=111.111.111.2 disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name="pptp-out1" password="1234qwer" profile=default-encryption user="branch1"
3. 본지사간 라우팅 설정
지사 사설망에서 본사 사설망간 라우팅을 구성한다. 지사 장비 접속시까지 유효하지 않으나 접속시 자동 활성화 한다.)
/ip route
add comment="to Server Networks" disabled=no distance=1 dst-address=192.168.0.0/24 gateway=192.168.0.1 scope=255 target-scope=10
4.지사간 라우팅 설정
지사간 원활한 통신을 위해 라우팅을 구성한다. 이때 10.0.0.0/22 네트워크를 사용하여 최대 4개의 c클래스 규모 지사를 지원한다.
/ip route
add comment="to Branch Networks" disabled=no distance=1 dst-address=10.0.0.0/22 gateway=192.168.0.1 scope=255 target-scope=10
±Û ²÷±äÁö ¿À·¡µÇ´Ï.. ¸¹ÀÌ ¾î·Æ³×¿ä ^^