네트워크 보안문제로 인해 VPN 을 구성중에 있는 인원입니다.
이번에 VPN을 다수 구성하여 장비가 나가야하는 상황에 양산? 관련하여 문제가 있어
이론적으로 가능한지 알고싶어 문의드립니다.
현재 여러 지점에 각기 4대정도의 장비들이 들어가야 하고 해당 장비들의 출고시 IP세팅을 고정하기 위한 방안을 구상중에 있습니다.
각 지점들끼리는 LAN to LAN으로 VPN을 묶어서 사용을 할 예정에 있는 상황입니다.
그렇다보니 현재 IPsec으로 연결을 묶고 있는 상태인데
VPN이 IPSEC으로 연결하여 사용하게 될경우 라우터별로 다른 게이트웨이에 맞춰 내부 IP를 설정하여 연결 해줘야 하는것으로 알고습니다.
이 경우 라우터의 주소에 따라서 하위 IP가 변경되야 하는부분때문에 같은 펌웨어로 일괄 출고가 불가능한 상황입니다.
(ex. 라우터1 192.168.1.1 -> 하위PC1-1 192.168.1.2, 하위PC1-2 192.168.1.3
/ 라우터2 192.168.2.1 -> 하위PC2-1 192.168.2.2, 하위PC2-2 192.168.2.3)
>>IP의 세번째 자리가 계속 바뀜.
중간에 라우터를 하나 더 추가하여 라우터 하나를 고정적으로 사용하는것을 이야기 해봤으나
추가 라우터 없이 하나로 처리를 해야한다고 하며
그렇지만 연결된 VPN내에서 접속 주소는 다르되 내부 IP는 같아야하는 상황입니다.
(ex. 하위PC x-1이면 전부 192.168.1.1, 하위PCx-2 면 전부 192.168.1.2)
처리는 모두 VPN 라우터에만 세팅하여 원격으로 제어 할 수 있어야 하는 상황입니다.
IPsec 방식의 연결에서는 하위에 라우터 혹은 공유기를 추가하지 않는 한 힘든것으로 알고있으나
그외 VPN 방식으로 가능한 방법이 혹은 라우터 내에서 추가적으로 라우팅 해줄수 있는 VPN 장비가 있을지 알고자 문의드립니다.
ƯÈ÷, Àåºñ¿¡ ÀÓº£µùµÇ´Â OS¿ä.
Á¦Ç°ÀÌ Á¤È®ÇÏ°Ô Á¤ÇØÁøºÎºÐÀº ¾ø´Â »óÅÂÀ̸ç
Àӽ÷Πtp-link ÀÇ vpn ¶ó¿ìÅÍ Á¦Ç°À» È°¿ëÇؼ Å×½ºÆ®Áß¿¡ ÀÖ½À´Ï´Ù.
(½ÇÁ¦ »ç¿ëÇÒ Á¦Ç°Àº ¾Æ´Õ´Ï´Ù)
Àåºñ¸¦ Á¤Çϱâ À§Çؼ ÆľÇÇÏ°í ÀÖ´Â ºÎºÐÀ̱⵵ Çؼ Á¤È®ÇÑ OS¸¦ ¾ËÁö´Â ¸øÇÏ´Â »óÅÂÀÔ´Ï´Ù.
´õºÒ¾î Àӽ÷Πipsec¿¬°á°ú Àåºñ µ¿ÀÛ ÇÁ·ÎÅäÄÝÀ» È®ÀÎÇϱâ À§ÇØ »ç¿ëÁßÀÎ tp-link Á¦Ç°µµ os¸¦ ¾ËÁö´Â ¸øÇÏ´Â »óÅÂÀÔ´Ï´Ù.
¿©·¯ SITE¸¦ Site-Site VPNÀ¸·Î ±¸¼ºÀ» ÇÏ·Á¸é
±¸¼ºÇÏ´Â ¸ðµç ÀåºñÀÇ IP°¡ ´ç¿¬È÷ ´Þ¶ó¾ßÁÒ
Àåºñ¸¦ Ãâ°í ¼³Ä¡Çϴµ¥¿¡ ÀÖ¾î¼ ÆíÀǼº¶§¹®¿¡
´Ù¸¥ºÐµéÀº ´ç¿¬È÷ vpn ¶ó¿ìÅÍ¿¡¼ ¼ºê³Ý ÁÖ¼Ò¸¦ ´Ù½Ã ÇÒ´ç?ÇÏ´Â °ÍÀ» »ý°¢ÇÏ°í ÀÖ´Â°Í °°½À´Ï´Ù.
ÀÏ´Ü ¶ó¿ìÅͺ° °ÔÀÌÆ®¿þÀÌ´Â ´Ù ´Ù¸£°Ô °ü¸®µÈ´Ù´Â°Ç ´ç¿¬ÇÑ »óȲÀÔ´Ï´Ù.
°Å±â¿¡¼ ÇÏÀ§´Â °ÔÀÌÆ®¿þÀÌ¿Í ¾Õ 3ÀÚ¸®°¡ °°Áö ¾ÊÀº ȤÀº ¼¼¹ø° ÀÚ¸®°¡ °°Áö ¾ÊÀº »óÅ·Π¿¬°áÀÌ µÇ´Â°É ÇÏ·Á´Â »óȲÀÔ´Ï´Ù.
(ex. ¼ºê³Ý 192.168.100~200.0 -> ºÙÀº Àåºñµé 192.168.0.1)
»ý°¢¿¡´Â open VPNÀÇ redirect gateway ±â´É°°Àº°É·Î
°¢ Á¦Ç°µéÀÇ ÃÖÁ¾ ip´Â ¶È°°Àº °íÁ¤À¸·Î ¿¬°áÇÏ´Â°É »ý°¢ÇϽô°Ͱ°½À´Ï´Ù¸¸ ÀϹÝÀûÀκκÐÀº ¾Æ´Ï¶ó°í »ý°¢ÇÕ´Ï´Ù.
ÇÊ¿äÇÑ ½ºÅ©¸³Æ®³ª ¼ÒÇÁÆ®¿þ¾îµéÀ» ³Ö¾î¼¿ä.
±×·¯¸é,
º»Á¡¿¡ OpenVPN ¼¹ö¸¦ µÓ´Ï´Ù.
ÀåºñµéÀÌ ºÎÆÃµÉ ¶§ OpenVPN Ŭ¶óÀ̾ðÆ®·Î¼ ¼¹ö¿¡ Á¢¼ÓµÇµµ·Ï ÇÕ´Ï´Ù.
OpenVPN ¼¹ö¿¡¼ ³×Æ®¿öÅ©¸¦ Á¤ÀÇÇÑ´ë·Î ¼¹ö¿Í °¢ ÀåºñµéÀÌ ÇÑ ¸Á¿¡ µé¾î¿À°Ô µË´Ï´Ù.
(º°µµ ¸Á)
¼¹ö¸¦ °æÀ¯Çؼ Àåºñµé¿¡ Á¢±Ù,
Àåºñµé ³¢¸® Åë½ÅÀÌ °¡´ÉÇØÁý´Ï´Ù.
IPSec º¸´Ù º¸¾ÈÀÌ ¶³¾îÁöÁöµµ ¾Ê½À´Ï´Ù.
ÀÌ ¶§ redirect-gateway ¿É¼ÇÀº ÇÊ¿ä¾ø½À´Ï´Ù.
(Àåºñ´Â Àåºñ´ë·Î ±âÁ¸ ½ÇÁ¦ ³×Æ®¿öÅ©¿¡ ¿¬°áµÈ »óŸ¦ À¯Áö)
±×Àú ³¢¸®³¢¸®(¼¹ö-Àåºñ, Àåºñ-Àåºñ) ³×Æ®¿öÅ·¸¸ µÇ¸é ±×¸¸¾Æ´Ï°Ú½À´Ï±î.
MikroTik ¶ó¿ìÅÍ¿¡¼ Å×½ºÆ®Çß½À´Ï´Ù.
R1 (³»ºÎÁÖ¼Ò 192.168.88.0/24, °¡»ó ³»ºÎÁÖ¼Ò 192.168.1.0/24)
-IPSec Site to site tunnel, policy : Local 192.168.1.0/24, Remote 192.168.2.0/24
-NAT¼³Á¤
Source NAT src : 192.168.88.0/24 dst : 192.168.2.0/24 action : netmap to 192.168.1.0/24
Destination NAT src : 192.168.2.0/24 action : netmap to 192.168.88.0/24
R2 (³»ºÎÁÖ¼Ò 192.168.88.0/24, °¡»ó ³»ºÎÁÖ¼Ò 192.168.2.0/24)
-IPSec Site to site tunnel, policy : Local 192.168.2.0/24, Remote 192.168.1.0/24
-NAT¼³Á¤
Source NAT src : 192.168.88.0/24 dst : 192.168.1.0/24 action : netmap to 192.168.2.0/24
Destination NAT src : 192.168.1.0/24 action : netmap to 192.168.88.0/24
´Ù¸¥ ±â¾÷¿ë Àåºñµéµµ ºñ½ÁÇÏ°Ô ±¸¼º °¡´ÉÇÒ °Ì´Ï´Ù.
¿¢½º°ÔÀÌÆ®ÀÔ´Ï´Ù.
ÀúÈñ´Â ±¹³» VPN 1À§ Á¦Á¶¾÷üÀÔ´Ï´Ù.
ÀúÈñ ¿£Áö´Ï¾î¿¡°Ô ¹®ÀÇ °á°ú, °¢ Áö»ç VPN ³»ºÎ ³×Æ®¿öÅ©´ë¿ªÀ» µ¿ÀÏÇÏ°Ô Çϴ°ÍÀº ¿©·¯ ±â¼úÀûÀÎ, °ü¸®ÀûÀÎ Â÷¿ø¿¡¼ ÀϹÝÀûÀ¸·Î ±ÇÀåÇÏÁö ¾Ê´Â´Ù°í ÇÕ´Ï´Ù.
³×Æ®¿÷ ±¸¼º½Ã¿¡´Â ¹ø°Å·Î¿ì³ª, °¢±â ´Ù¸¥ ´ë¿ª´ë·Î ±¸¼ºÇÏ½Ã´Â°Ô Àå±âÀûÀ¸·Î´Â Á»´õ ³ªÀ»°Å¶ó »ý°¢µË´Ï´Ù.
±×·¯³ª, µ¿Àϴ뿪 IP¼¼ÆÃÀÌ ³»ºÎÀûÀ¸·Î ¾î¿¼ö ¾øÀÌ »ç¿ëÇؾ߸¸ ÇÑ´Ù°í ÇÏ¸é ±ÇÀåÇÏÁø ¾ÊÀ¸³ª ±â¼úÀûÀ¸·Î ºÒ°¡´ÉÇÏÁö´Â ¾Ê´Ù°í Çϳ׿ä.
ÃßÈÄ ½ÇÁ¦ µµÀԽà Á¦Á¶»ç ¿£Áö´Ï¾î¿Í ÃæºÐÇÑ ±¸¼ºÇùÀÇ ÈÄ ÁøÇàÇϽøé Å« ¹®Á¦ ¾øÀ¸¸®¶ó »ý°¢µË´Ï´Ù.
°¨»çÇÕ´Ï´Ù.