| LAN to LAN VPN 망 구축에 관하여 조언을 구합니다.

PL위즈   
   조회 9446   추천 0    

 

네트워크 보안문제로 인해 VPN 을 구성중에 있는 인원입니다.

이번에 VPN을 다수 구성하여 장비가 나가야하는 상황에 양산? 관련하여 문제가 있어

이론적으로 가능한지 알고싶어 문의드립니다.



현재 여러 지점에 각기 4대정도의 장비들이 들어가야 하고 해당 장비들의 출고시 IP세팅을 고정하기 위한 방안을 구상중에 있습니다.

각 지점들끼리는 LAN to LAN으로 VPN을 묶어서 사용을 할 예정에 있는 상황입니다.

그렇다보니 현재 IPsec으로 연결을 묶고 있는 상태인데

VPN이 IPSEC으로 연결하여 사용하게 될경우 라우터별로 다른 게이트웨이에 맞춰 내부 IP를 설정하여 연결 해줘야 하는것으로 알고습니다.


이 경우 라우터의 주소에 따라서 하위 IP가 변경되야 하는부분때문에 같은 펌웨어로 일괄 출고가 불가능한 상황입니다.

(ex. 라우터1 192.168.1.1 -> 하위PC1-1 192.168.1.2, 하위PC1-2 192.168.1.3

   / 라우터2 192.168.2.1 -> 하위PC2-1 192.168.2.2, 하위PC2-2 192.168.2.3)

  >>IP의 세번째 자리가 계속 바뀜.


중간에 라우터를 하나 더 추가하여 라우터 하나를 고정적으로 사용하는것을 이야기 해봤으나

추가 라우터 없이 하나로 처리를 해야한다고 하며

그렇지만 연결된 VPN내에서 접속 주소는 다르되 내부 IP는 같아야하는 상황입니다.

(ex. 하위PC x-1이면 전부 192.168.1.1, 하위PCx-2 면 전부 192.168.1.2)


처리는 모두 VPN 라우터에만 세팅하여 원격으로 제어 할 수 있어야 하는 상황입니다.


IPsec 방식의 연결에서는 하위에 라우터 혹은 공유기를 추가하지 않는 한 힘든것으로 알고있으나

그외 VPN 방식으로 가능한 방법이 혹은 라우터 내에서 추가적으로 라우팅 해줄수 있는 VPN 장비가 있을지 알고자 문의드립니다.

상석하대 2023-06
장비가 뭐예요?
특히, 장비에 임베딩되는 OS요.
     
PL위즈 2023-06
장비는 일반 VPN 라우터라고 생각하시면 될것같습니다.
제품이 정확하게 정해진부분은 없는 상태이며
임시로 tp-link 의 vpn 라우터 제품을 활용해서 테스트중에 있습니다.
(실제 사용할 제품은 아닙니다)

장비를 정하기 위해서 파악하고 있는 부분이기도 해서 정확한 OS를 알지는 못하는 상태입니다.
더불어 임시로 ipsec연결과 장비 동작 프로토콜을 확인하기 위해 사용중인 tp-link 제품도 os를 알지는 못하는 상태입니다.
epowergate 2023-06
설명이 많이 부족해 보입니다.
여러 SITE를 Site-Site VPN으로 구성을 하려면
구성하는 모든 장비의 IP가 당연히 달라야죠
     
PL위즈 2023-06
저도 그렇게 생각하고있는데
장비를 출고 설치하는데에 있어서 편의성때문에
다른분들은 당연히 vpn 라우터에서 서브넷 주소를 다시 할당?하는 것을 생각하고 있는것 같습니다.

일단 라우터별 게이트웨이는 다 다르게 관리된다는건 당연한 상황입니다.
거기에서 하위는 게이트웨이와 앞 3자리가 같지 않은 혹은 세번째 자리가 같지 않은 상태로 연결이 되는걸 하려는 상황입니다.
(ex. 서브넷 192.168.100~200.0 -> 붙은 장비들 192.168.0.1)
 
생각에는 open VPN의 redirect gateway 기능같은걸로
각 제품들의 최종 ip는 똑같은 고정으로 연결하는걸 생각하시는것같습니다만 일반적인부분은 아니라고 생각합니다.
상석하대 2023-06
TP-LINK의 펌웨어를 커스텀으로 교체합니까?!
필요한 스크립트나 소프트웨어들을 넣어서요.
그러면,
본점에 OpenVPN 서버를 둡니다.
장비들이 부팅될 때 OpenVPN 클라이언트로서 서버에 접속되도록 합니다.
OpenVPN 서버에서 네트워크를 정의한대로 서버와 각 장비들이 한 망에 들어오게 됩니다.
(별도 망)
서버를 경유해서 장비들에 접근,
장비들 끼리 통신이 가능해집니다.
IPSec 보다 보안이 떨어지지도 않습니다.
이 때 redirect-gateway 옵션은 필요없습니다.
(장비는 장비대로 기존 실제 네트워크에 연결된 상태를 유지)
그저 끼리끼리(서버-장비, 장비-장비) 네트워킹만 되면 그만아니겠습니까.
박건 2023-06
가능하나, 관리 측면에서 매우 부적절해보입니다.
MikroTik 라우터에서 테스트했습니다.

R1 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.1.0/24)
-IPSec Site to site tunnel, policy : Local 192.168.1.0/24, Remote 192.168.2.0/24
-NAT설정
  Source NAT src : 192.168.88.0/24 dst : 192.168.2.0/24 action : netmap to 192.168.1.0/24
  Destination NAT src : 192.168.2.0/24 action : netmap to 192.168.88.0/24

R2 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.2.0/24)
-IPSec Site to site tunnel, policy : Local 192.168.2.0/24, Remote 192.168.1.0/24
-NAT설정
  Source NAT src : 192.168.88.0/24 dst : 192.168.1.0/24 action : netmap to 192.168.2.0/24
  Destination NAT src : 192.168.1.0/24 action : netmap to 192.168.88.0/24

다른 기업용 장비들도 비슷하게 구성 가능할 겁니다.
엑스게이트 2023-06
안녕하세요
엑스게이트입니다.
저희는 국내 VPN 1위 제조업체입니다.

저희 엔지니어에게 문의 결과, 각 지사 VPN 내부 네트워크대역을 동일하게 하는것은 여러 기술적인, 관리적인 차원에서 일반적으로 권장하지 않는다고 합니다.
네트웍 구성시에는 번거로우나, 각기 다른 대역대로 구성하시는게 장기적으로는 좀더 나을거라 생각됩니다.
그러나, 동일대역 IP세팅이 내부적으로 어쩔수 없이 사용해야만 한다고 하면 권장하진 않으나 기술적으로 불가능하지는 않다고 하네요.

추후 실제 도입시 제조사 엔지니어와 충분한 구성협의 후 진행하시면 큰 문제 없으리라 생각됩니다.
감사합니다.


제목Page 11/106
2023-06   17353   Fentanest
2023-06   14568   곰삼촌
2023-06   13441   모맵
2023-06   14019   네온7
2023-06   12007   농부76
2023-06   11749   원탱이방굴이
2023-06   9593   모맵
2023-06   5950   박문형
2023-06   6346   농부76
2023-06   5953   MikroTik이진
2023-06   7600   유영근
2023-06   9447   PL위즈
2023-06   11266   농부76
2023-05   14416   denver
2023-05   15098   hooneydev
2023-05   14901   witbox
2023-05   9738   날퍼
2023-05   8680   개념탈출
2023-05   8848   일국
2023-05   11208   현정사랑