션한맥주 2023-06

라우팅, 보안정책으로 될 것 같은데,
어렵지 않으니 설정이 가능하면 일단 해보세요.

dateno1 2023-06

route만으로 가능합니다

전에 OpenVPN으로 비슷하게 한적 있습니다

상위 VPN=IPSec, 하위 VPN=OpenVPN
이런 구성이었습니다

소프트적으로는 하위쪽에 상위의 사설 네트워크 주소대를 route 추가해줬습니다

물리적 구성은 상위 VPN Router-Lan-WAN2-하위 VPN Router (1은 인터넷에 연결)~(인터넷)~VPN Router-Lan-Client 이런 구조였습니다 (하위 VPN에 접속하는건 Router 안 쓰고 소프트 클라로도 괜찮았음)

VPN을 통해 하위 VPN에 접근후 해당 라우터의 Route설정에 따라 해당 주소대로 갈 패킷은 WAN2로 가는 구조입니다

일달 2023-06

$ traceroute 10.34.1.10
traceroute to 10.34.1.10 (10.34.1.10), 64 hops max, 52 byte packets
 1  10.10.11.10 (10.10.11.10)  3.472 ms  2.772 ms  2.946 ms
 2  * * *
 3  * * *
제대로 패킷이 가는 걸 확인하기 위해서 이렇게 명령어를 입력했는데.. 소식이 없네요..

상석하대 2023-06

우선, 192.168.21.0과 10.34.0.0은 서로 되지요?!
VPN으로 Site to Site를 제대로 연결했을 테니까요.
그리고...
VPN CLIENT가 쓸 IPSec클라이언트 소프트웨어가 있어요.
포티에서 제공해요.
LT2P는 필요없어 져요.
따로 라우팅을 안 넣어도192.168.21.0나 10.34.0.0 어디든 돼요.

상석하대 2023-06

소프트웨어 이름은 FortiClient 입니다.

일달 2023-06

vpn client 클라이언트를 사용하는 것이 linux 에서는 지원되지 않아서 들어냈고, l2tp protocol 을 이용해서 연결하고 있어요.

상석하대 2023-06

FortiClient 리눅스 거 있어요.

일달 2023-06

라우팅 설정이 부족해서 forticlient 로 접속을 해도 안되네요.

상석하대 2023-06

192.168.21.0 <---> 10.34.0.0 은 이상없이 잘 되고 있습니까?
그리고 FortiClient 할당 아이피은 어떻게 됩니까.

일달 2023-06

정상으로 잘 되고 있구요.
l2tp 로 접속을 하면 아이피를 10.10.11.11 로 받고 있어요.

상석하대 2023-06

클라우드와 로컬이 IPSec으로 구성된 상태라서,
VPN 클라이언트를 IPSec으로 192.168.21.0 대역을 이용하게 하면,
별도로 라우팅이 필요 없어져서 드렸던 의견이었습니다.

IPSec이든 L2TP던 VPN 클라이언트를 10.10.11.0 대역으로 하겠다면,
생각할 게 있습니다.
10.10.11.11가 10.34.0.0 대역을 몰라요.
클라우드 쪽에 VPN과 10.34.0.0 VM에서도 10.10.11.0을 몰라요.
이를 라우팅으로 잡아 주는 게 관건이에요.

일달 2023-06

10.34.0.0 으로 가는 라우팅을 잡아줘야 하는데, 어떻게 설정을 해야 할지 모르겠어요.

HEUo김용민 2023-06

현재 설정이 아래 2가지와 같이 설정되었다는 가정으로 답변드리면...
(만약 Policy 방식으로 설정하셨으면,Policy 설정이 간편해서 해당 방법으로 설정하셨으면...
sniffing 으로 통신구간 이상 확인 및 트러블슈팅을 위한 flow 분석시 제한이 있어서
Policy 방식은 L2모드인 Transparent에서만 사용하는게 정신 건강상 좋습니다;)

1. Fortigate 장비간 Site to Site 연결을 IPsecVPN  Interface 방식으로 설정
  > Interface 방식의 IPsec VPN 설정이 정상적으로 완료되어 있으면
    210.111.111.110 장비와 통신이 이뤄지는  IPsec VPN Tunnel Interface로 10.34.0.0/16  라우팅 설정이 기존에 설정되어 있습니다.
  > 설정예시 : https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/913287/basic-site-to-site-vpn-with-pre-shared-key

2. L2TP IPsecVPN 설정을 Interface 방식으로 설정
  > 설정 예시 : https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/386346/l2tp-over-ipsec

==================================================================================================

추가 설정 1단계 : Fortigate 204.22.30.101 정책 추가 생성
- Src Interface :  L2TP VPN 인터페이스
- Dst Interface : 210.111.111.110과 연결된  IPsec VPN 인터페이스
- Src Address : L2TP VPN IP 범위
- Dst Interface : 10.34.0.0/16


기존 설정 확인 :  Fortigate 204.22.30.101 라우팅 내역 확인
- Destination IP/Mask :  10.34.0.0/16
- Device :  210.111.111.110과 연결된  IPsec VPN 인터페이스


추가 설정 2단계 : Fortigate 210.111.111.110  정책 추가 생성 또는 수정
- Src Interface : 204.22.30.101과 연결된 IPsec VPN 인터페이스
- Dst Interface : 10.34.0.0/16 대역 할당 인터페이스
- Src Address : L2TP VPN IP 범위 또는 10.10.1.0/24
- Dst Interface : 10.34.0.0/16


기존 설정 확인 :  Fortigate 210.111.111.110 라우팅 내역 확인
- Destination IP/Mask :  192.168.21.0/24
- Device :  204.22.30.101과 연결된  IPsec VPN 인터페이스


추가 설정 3단계 : Fortigate 210.111.111.110 라우팅 추가 생성
- Destination IP/Mask : 10.10.1.0/24
- Device :  204.22.30.101과 연결된 IPsec VPN 인터페이스


추가 설정 4단계 : Fortigate 210.111.111.110 정책 추가 생성 또는 수정
- Src Interface : 10.34.0.0/16 대역 할당 내부 인터페이스
- Dst Interface : 204.22.30.101과 연결된 IPsec VPN 인터페이스
- Src Address : 10.34.0.0/16
- Dst Interface : L2TP VPN IP 범위 또는 10.10.1.0/24

상석하대 2023-06

+1
설정할 게 좀 되죠.