| LAN to LAN VPN 망 구축에 관하여 조언을 구합니다.

쓰기

| LAN to LAN VPN 망 구축에 관하여 조언을 구합니다.

PL위즈

2023-06

2023-06-05 15:55:06

조회 9443 추천 0

네트워크 보안문제로 인해 VPN 을 구성중에 있는 인원입니다.

이번에 VPN을 다수 구성하여 장비가 나가야하는 상황에 양산? 관련하여 문제가 있어

이론적으로 가능한지 알고싶어 문의드립니다.

현재 여러 지점에 각기 4대정도의 장비들이 들어가야 하고 해당 장비들의 출고시 IP세팅을 고정하기 위한 방안을 구상중에 있습니다.

각 지점들끼리는 LAN to LAN으로 VPN을 묶어서 사용을 할 예정에 있는 상황입니다.

그렇다보니 현재 IPsec으로 연결을 묶고 있는 상태인데

VPN이 IPSEC으로 연결하여 사용하게 될경우 라우터별로 다른 게이트웨이에 맞춰 내부 IP를 설정하여 연결 해줘야 하는것으로 알고습니다.

이 경우 라우터의 주소에 따라서 하위 IP가 변경되야 하는부분때문에 같은 펌웨어로 일괄 출고가 불가능한 상황입니다.

(ex. 라우터1 192.168.1.1 -> 하위PC1-1 192.168.1.2, 하위PC1-2 192.168.1.3

/ 라우터2 192.168.2.1 -> 하위PC2-1 192.168.2.2, 하위PC2-2 192.168.2.3)

>>IP의 세번째 자리가 계속 바뀜.

중간에 라우터를 하나 더 추가하여 라우터 하나를 고정적으로 사용하는것을 이야기 해봤으나

추가 라우터 없이 하나로 처리를 해야한다고 하며

그렇지만 연결된 VPN내에서 접속 주소는 다르되 내부 IP는 같아야하는 상황입니다.

(ex. 하위PC x-1이면 전부 192.168.1.1, 하위PCx-2 면 전부 192.168.1.2)

처리는 모두 VPN 라우터에만 세팅하여 원격으로 제어 할 수 있어야 하는 상황입니다.

IPsec 방식의 연결에서는 하위에 라우터 혹은 공유기를 추가하지 않는 한 힘든것으로 알고있으나

그외 VPN 방식으로 가능한 방법이 혹은 라우터 내에서 추가적으로 라우팅 해줄수 있는 VPN 장비가 있을지 알고자 문의드립니다.



상석하대 2023-06 장비가 뭐예요? 특히, 장비에 임베딩되는 OS요. 장비가 뭐예요? 특히, 장비에 임베딩되는 OS요.



PL위즈 2023-06 장비는 일반 VPN 라우터라고 생각하시면 될것같습니다. 제품이 정확하게 정해진부분은 없는 상태이며 임시로 tp-link 의 vpn 라우터 제품을 활용해서 테스트중에 있습니다. (실제 사용할 제품은 아닙니다) 장비를 정하기 위해서 파악하고 있는 부분이기도 해서 정확한 OS를 알지는 못하는 상태입니다. 더불어 임시로 ipsec연결과 장비 동작 프로토콜을 확인하기 위해 사용중인 tp-link 제품도 os를 알지는 못하는 상태입니다. 장비는 일반 VPN 라우터라고 생각하시면 될것같습니다. 제품이 정확하게 정해진부분은 없는 상태이며 임시로 tp-link 의 vpn 라우터 제품을 활용해서 테스트중에 있습니다. (실제 사용할 제품은 아닙니다) 장비를 정하기 위해서 파악하고 있는 부분이기도 해서 정확한 OS를 알지는 못하는 상태입니다. 더불어 임시로 ipsec연결과 장비 동작 프로토콜을 확인하기 위해 사용중인 tp-link 제품도 os를 알지는 못하는 상태입니다.



epowergate 2023-06 설명이 많이 부족해 보입니다. 여러 SITE를 Site-Site VPN으로 구성을 하려면 구성하는 모든 장비의 IP가 당연히 달라야죠 설명이 많이 부족해 보입니다. 여러 SITE를 Site-Site VPN으로 구성을 하려면 구성하는 모든 장비의 IP가 당연히 달라야죠



PL위즈 2023-06 저도 그렇게 생각하고있는데 장비를 출고 설치하는데에 있어서 편의성때문에 다른분들은 당연히 vpn 라우터에서 서브넷 주소를 다시 할당?하는 것을 생각하고 있는것 같습니다. 일단 라우터별 게이트웨이는 다 다르게 관리된다는건 당연한 상황입니다. 거기에서 하위는 게이트웨이와 앞 3자리가 같지 않은 혹은 세번째 자리가 같지 않은 상태로 연결이 되는걸 하려는 상황입니다. (ex. 서브넷 192.168.100~200.0 -> 붙은 장비들 192.168.0.1) 생각에는 open VPN의 redirect gateway 기능같은걸로 각 제품들의 최종 ip는 똑같은 고정으로 연결하는걸 생각하시는것같습니다만 일반적인부분은 아니라고 생각합니다. 저도 그렇게 생각하고있는데 장비를 출고 설치하는데에 있어서 편의성때문에 다른분들은 당연히 vpn 라우터에서 서브넷 주소를 다시 할당?하는 것을 생각하고 있는것 같습니다. 일단 라우터별 게이트웨이는 다 다르게 관리된다는건 당연한 상황입니다. 거기에서 하위는 게이트웨이와 앞 3자리가 같지 않은 혹은 세번째 자리가 같지 않은 상태로 연결이 되는걸 하려는 상황입니다. (ex. 서브넷 192.168.100~200.0 -> 붙은 장비들 192.168.0.1) 생각에는 open VPN의 redirect gateway 기능같은걸로 각 제품들의 최종 ip는 똑같은 고정으로 연결하는걸 생각하시는것같습니다만 일반적인부분은 아니라고 생각합니다.



상석하대 2023-06 TP-LINK의 펌웨어를 커스텀으로 교체합니까?! 필요한 스크립트나 소프트웨어들을 넣어서요. 그러면, 본점에 OpenVPN 서버를 둡니다. 장비들이 부팅될 때 OpenVPN 클라이언트로서 서버에 접속되도록 합니다. OpenVPN 서버에서 네트워크를 정의한대로 서버와 각 장비들이 한 망에 들어오게 됩니다. (별도 망) 서버를 경유해서 장비들에 접근, 장비들 끼리 통신이 가능해집니다. IPSec 보다 보안이 떨어지지도 않습니다. 이 때 redirect-gateway 옵션은 필요없습니다. (장비는 장비대로 기존 실제 네트워크에 연결된 상태를 유지) 그저 끼리끼리(서버-장비, 장비-장비) 네트워킹만 되면 그만아니겠습니까. TP-LINK의 펌웨어를 커스텀으로 교체합니까?! 필요한 스크립트나 소프트웨어들을 넣어서요. 그러면, 본점에 OpenVPN 서버를 둡니다. 장비들이 부팅될 때 OpenVPN 클라이언트로서 서버에 접속되도록 합니다. OpenVPN 서버에서 네트워크를 정의한대로 서버와 각 장비들이 한 망에 들어오게 됩니다. (별도 망) 서버를 경유해서 장비들에 접근, 장비들 끼리 통신이 가능해집니다. IPSec 보다 보안이 떨어지지도 않습니다. 이 때 redirect-gateway 옵션은 필요없습니다. (장비는 장비대로 기존 실제 네트워크에 연결된 상태를 유지) 그저 끼리끼리(서버-장비, 장비-장비) 네트워킹만 되면 그만아니겠습니까.



박건 2023-06 가능하나, 관리 측면에서 매우 부적절해보입니다. MikroTik 라우터에서 테스트했습니다. R1 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.1.0/24) -IPSec Site to site tunnel, policy : Local 192.168.1.0/24, Remote 192.168.2.0/24 -NAT설정 Source NAT src : 192.168.88.0/24 dst : 192.168.2.0/24 action : netmap to 192.168.1.0/24 Destination NAT src : 192.168.2.0/24 action : netmap to 192.168.88.0/24 R2 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.2.0/24) -IPSec Site to site tunnel, policy : Local 192.168.2.0/24, Remote 192.168.1.0/24 -NAT설정 Source NAT src : 192.168.88.0/24 dst : 192.168.1.0/24 action : netmap to 192.168.2.0/24 Destination NAT src : 192.168.1.0/24 action : netmap to 192.168.88.0/24 다른 기업용 장비들도 비슷하게 구성 가능할 겁니다. 가능하나, 관리 측면에서 매우 부적절해보입니다. MikroTik 라우터에서 테스트했습니다. R1 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.1.0/24) -IPSec Site to site tunnel, policy : Local 192.168.1.0/24, Remote 192.168.2.0/24 -NAT설정 Source NAT src : 192.168.88.0/24 dst : 192.168.2.0/24 action : netmap to 192.168.1.0/24 Destination NAT src : 192.168.2.0/24 action : netmap to 192.168.88.0/24 R2 (내부주소 192.168.88.0/24, 가상 내부주소 192.168.2.0/24) -IPSec Site to site tunnel, policy : Local 192.168.2.0/24, Remote 192.168.1.0/24 -NAT설정 Source NAT src : 192.168.88.0/24 dst : 192.168.1.0/24 action : netmap to 192.168.2.0/24 Destination NAT src : 192.168.1.0/24 action : netmap to 192.168.88.0/24 다른 기업용 장비들도 비슷하게 구성 가능할 겁니다.



엑스게이트 2023-06 안녕하세요 엑스게이트입니다. 저희는 국내 VPN 1위 제조업체입니다. 저희 엔지니어에게 문의 결과, 각 지사 VPN 내부 네트워크대역을 동일하게 하는것은 여러 기술적인, 관리적인 차원에서 일반적으로 권장하지 않는다고 합니다. 네트웍 구성시에는 번거로우나, 각기 다른 대역대로 구성하시는게 장기적으로는 좀더 나을거라 생각됩니다. 그러나, 동일대역 IP세팅이 내부적으로 어쩔수 없이 사용해야만 한다고 하면 권장하진 않으나 기술적으로 불가능하지는 않다고 하네요. 추후 실제 도입시 제조사 엔지니어와 충분한 구성협의 후 진행하시면 큰 문제 없으리라 생각됩니다. 감사합니다. 안녕하세요 엑스게이트입니다. 저희는 국내 VPN 1위 제조업체입니다. 저희 엔지니어에게 문의 결과, 각 지사 VPN 내부 네트워크대역을 동일하게 하는것은 여러 기술적인, 관리적인 차원에서 일반적으로 권장하지 않는다고 합니다. 네트웍 구성시에는 번거로우나, 각기 다른 대역대로 구성하시는게 장기적으로는 좀더 나을거라 생각됩니다. 그러나, 동일대역 IP세팅이 내부적으로 어쩔수 없이 사용해야만 한다고 하면 권장하진 않으나 기술적으로 불가능하지는 않다고 하네요. 추후 실제 도입시 제조사 엔지니어와 충분한 구성협의 후 진행하시면 큰 문제 없으리라 생각됩니다. 감사합니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

11/106

번호	제목Page 11/106	글쓴이	날짜	조회	추천
1909	홈랩(Homelab) 업데이트 정보입니다. (11)	곰삼촌	2023-06	14567	1
홈랩(Homelab) 업데이트 정보입니다. (11) 2023-06 14567 1 곰삼촌
1908	집에 10기가 홈 네트워크를 구축하는 계획... 아닌 망상 (6)	모맵	2023-06	13439	0
집에 10기가 홈 네트워크를 구축하는 계획… (6) 2023-06 13439 1 모맵
1907	질문) 10g 스위치 성능 차이(Packet Buffer, Latency, Packet F… (7)	네온7	2023-06	14016	0
질문) 10g 스위치 성능 차이(Packet Buffe… (7) 2023-06 14016 1 네온7
1906	EdgeRouter CLI 명령어 적용 후 저장 방법이 있나요? (7)	농부76	2023-06	12006	0
EdgeRouter CLI 명령어 적용 후 저장 방법… (7) 2023-06 12006 1 농부76
1905	가정에서 쓸만한 저렴한 스위치 추천좀 해주세요 (10)	원탱이방굴이	2023-06	11748	0
가정에서 쓸만한 저렴한 스위치 추천좀 해… (10) 2023-06 11748 1 원탱이방굴이
1904	집에서 적당히 사용할 10GBase-T 지빅이 있을까요? (12)	모맵	2023-06	9591	0
집에서 적당히 사용할 10GBase-T 지빅이 … (12) 2023-06 9591 1 모맵
1903	집에서 적당히 사용할 10GBase-T 지빅이 있을까요? (1)	박문형	2023-06	5948	0
집에서 적당히 사용할 10GBase-T 지빅이 … (1) 2023-06 5948 1 박문형
1902	10G 공유기 다른 옵션이 있을까요? (6)	농부76	2023-06	6346	0
10G 공유기 다른 옵션이 있을까요? (6) 2023-06 6346 1 농부76
1901	미크로틱이 리눅스 베이스다보니 리눅스 본딩의 브로드캐스팅 … (3)	MikroTik이진	2023-06	5953	1
미크로틱이 리눅스 베이스다보니 리눅스 … (3) 2023-06 5953 1 MikroTik이진
1900	mikrotik + opnsense wireguard 내부망 연결 문의 (1)	유영근	2023-06	7600	0
mikrotik + opnsense wireguard 내부망 연… (1) 2023-06 7600 1 유영근
1899	\| LAN to LAN VPN 망 구축에 관하여 조언을 구합니다. (7)	PL위즈	2023-06	9444	0
\| LAN to LAN VPN 망 구축에 관하여 조언… (7) 2023-06 9444 1 PL위즈
1898	Unifi UXG Pro 라우터 로그인 (adoption) 도와주실 분을 절실히… (9)	농부76	2023-06	11265	0
Unifi UXG Pro 라우터 로그인 (adoption) … (9) 2023-06 11265 1 농부76
1897	Mikrotik RB750GR3 설정 도움 주실 분 찾습니다. (2)	denver	2023-05	14414	0
Mikrotik RB750GR3 설정 도움 주실 분 찾… (2) 2023-05 14414 1 denver
1896	안녕하세요. 기업용 네트워크 구성 관련하여 조언구합니다. (ip… (14)	hooneydev	2023-05	15098	0
안녕하세요. 기업용 네트워크 구성 관련하… (14) 2023-05 15098 1 hooneydev
1895	뒷북\| IPTime에서 wireguard 사용 (4)	witbox	2023-05	14898	0
뒷북\| IPTime에서 wireguard 사용 (4) 2023-05 14898 1 witbox
1894	혹시 뉴렐릭으로 SMNP 모니터링 사용하시는 분 있으신가요?	날퍼	2023-05	9734	0
혹시 뉴렐릭으로 SMNP 모니터링 사용하시… 2023-05 9734 1 날퍼
1893	hp 스위치 질문입니다.전문가님들 조언좀 부탁 드리겠습니다. (2)	개념탈출	2023-05	8676	0
hp 스위치 질문입니다.전문가님들 조언좀 … (2) 2023-05 8676 1 개념탈출
1892	CPE710 테스트 (2)	일국	2023-05	8845	0
CPE710 테스트 (2) 2023-05 8845 1 일국
1891	iperf3 측정해보니 의문점이 생겼습니다. 병렬 테스트 추가 (8)	현정사랑	2023-05	11206	0
iperf3 측정해보니 의문점이 생겼습니다. … (8) 2023-05 11206 1 현정사랑
1890	네트워크 질문입니다. (13)	victor1	2023-05	10242	0
네트워크 질문입니다. (13) 2023-05 10242 1 victor1