미크로틱 ikev2 VPN 접속 후, NAT 설정 문의드립니다

쓰기

미크로틱 ikev2 VPN 접속 후, NAT 설정 문의드립니다

NightHawk

2024-01

2024-01-25 21:49:07

조회 3399 추천 0

간단하게 그림 그렸는데요.

미크로틱 외부IP는 DDNS로 유동ip를 사용하는 일반가정이고,

내부망은 192.168.0.1/24, VPN이 연결되면 10.0.0.1/24로 환경을 구성하였습니다. (아래 그림)

설정은 유튜브 MikroTik 채널의 "MikroTik IPSec ike2 VPN server: easy step-by-step guide"를 보고 설정하였습니다.

유튜브 보고 아래와 같이 firewall filter와 nat 설정을 따라 했을때, VPN 연결 후 인터넷은 되는데 내부망 PC 접근은 안되더라구요.

/ip firewall filter add chain=input src-address=10.0.0.0/24 ipsec-policy=in,ipsec action=accept comment="Allow ALL incoming traffic from 10.0.0.0/24 to this routerOS"

/ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=192.168.0.0/24 ipsec-policy=in,ipsec action=accept comment="Allow ALL forward traffic from 10.0.0.0/24 to local network"

/ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=0.0.0.0/0 ipsec-policy=in,ipsec action=accept comment="Allow ALLforward traffic from 10.0.0.0/24 to ANY network"

/ip firewall nat add place-before=0 chain=srcnat src-address=10.0.0.0/24 out-interface-list=WAN ipsec-policy=out,none action=masquerade

그래서 nat 설정의 out-interface-list=WAN을 빼고 out-interface=bridge로 아래와 같이 잡아 주었더니 문제가 해결되더군요.

/ip firewall nat add place-before=0 chain=srcnat src-address=10.0.0.0/24 out-interface=bridge ipsec-policy=out,none action=masquerade

그런데 다시 생각해보니, 위 WAN으로 나가는 설정은 그대로 두고

추가로 action이 masquerade가 아닌 src-nat 에 to-address 설정을 넣는게 맞는건가라는 생각이 들더라구요.

대충 아래와 같은...?!!

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 dst-address=192.168.0.0/24 ipsec-policy=out,none action=src-nat to-address=10.0.0.254

ip firewall nat 설정을 어떻게 하는 것이 맞나요?

아직 ikev2 연결후, 해결해야 되는 문제가 몇가지 더 있지만 우선 방화벽 nat 설정 여부를 확인하고 싶어 질문드립니다.

여담으로...

ikev2 vpn을 하는 이유는 예전에 쓰던 l2tp 설정을 다 날려서 새로 설정해야 되었고,

위의 링크의 유튜브 앞쪽에서 말하듯이 ikev2 가 security가 매우 강력하며, 빠르다는 소개에 선택하였습니다.

물론 lt2p 패스워드로 쓸때는 외부에서 자꾸 접속 시도 문제가 있기도 해서 인증서 기반의 ikev2 ipsec를 선택한 것도 있습니다.

iphone, macbook, windows arm(노트북) 정도에서 VPN 연결 및 사용 까지는 되었지만...

아직 24분 rekey 시 연결이 끊기는 문제가 ㅠㅠ

이것도 해결하려고 시간 날때마다 찾아보고 있고, 새 마음으로 새롭게 하려고 오늘 hw encryption을 풀로 지원하는 새 mikrotik 장비를 주문 넣었습니다.

현재 사용하는 장비는 RB493G 라는 라우터보드 이거든요 ;;;



제로섬 2024-01 macbook sonoma 버전 rekey 문제는 임시로 proposal lifetime=20m하시면 됩니다. macbook sonoma 버전 rekey 문제는 임시로 proposal lifetime=20m하시면 됩니다.



NightHawk 2024-01 맥 rekey 문제 이슈가 있었군요;;; 오늘 저녁에 적용해서 시험해봐야 겠네요. 좋은정보 감사합니다. 맥 rekey 문제 이슈가 있었군요;;; 오늘 저녁에 적용해서 시험해봐야 겠네요. 좋은정보 감사합니다.



NightHawk 2024-01 와!!! 24분 rekey 문제가 없어졌네요. ㅎㄷㄷ 20분으로 수정하고 지금 테스트 중인데, 16분, 32분에 rekey 하고 spi 갱신 되고 계속 잘되네요. 이게 mac 최신 os 버그였다니... 3주 넘게 삽질하고 있었네요. ... 추가 ... 48분 rekey에서 또 중단되네요. 24 배수 rekey면 실패하는 건지... lifetime 바꿔가면서 시험해봐야겠네요. ^^ … 추가 … 설정한 시간보다 4분-4분30초 전에 rekey가 발생하네요. 그리고 시간 바꾸면서 몇번 해봤는데 23분으로 설정시 2시간까지도 문제 없이 되네요. 개인적으로 2시간 이상씩 연속으로 사용하는 일은 없어서 우선 이정도에서 마무리 해야겠네요. 와!!! 24분 rekey 문제가 없어졌네요. ㅎㄷㄷ 20분으로 수정하고 지금 테스트 중인데, 16분, 32분에 rekey 하고 spi 갱신 되고 계속 잘되네요. 이게 mac 최신 os 버그였다니... 3주 넘게 삽질하고 있었네요. ... 추가 ... 48분 rekey에서 또 중단되네요. 24 배수 rekey면 실패하는 건지... lifetime 바꿔가면서 시험해봐야겠네요. ^^ … 추가 … 설정한 시간보다 4분-4분30초 전에 rekey가 발생하네요. 그리고 시간 바꾸면서 몇번 해봤는데 23분으로 설정시 2시간까지도 문제 없이 되네요. 개인적으로 2시간 이상씩 연속으로 사용하는 일은 없어서 우선 이정도에서 마무리 해야겠네요.



죠슈아 2024-02 ikev2 프로토콜은 .. 좀 ... VPN 서비스 회사에도 이젠 거의 지원하지 않는 것으로 ikev2 프로토콜은 .. 좀 ... VPN 서비스 회사에도 이젠 거의 지원하지 않는 것으로



NightHawk 2024-03 그런가요?최근에 WireGuard 를 찾아보기는 했는데... 어떤 VPN 프로토콜을 추천하시나요? 음... 우선, 전 아래 이유 때문에 그냥 쓰려구요. 1. ios, windows 에서 따로 앱 설치 없이 연결할 수 있고- 2. 인증서 방식이라, 인증서만 탈취 안당하면 안전한 것 같고- 3. 이미 설정을 다해서 다른 것으로 넘어가기도 귀찮기도 하고- (<- 이게 제일 큰 이유인듯 ;;; ) 그런가요?최근에 WireGuard 를 찾아보기는 했는데... 어떤 VPN 프로토콜을 추천하시나요? 음... 우선, 전 아래 이유 때문에 그냥 쓰려구요. 1. ios, windows 에서 따로 앱 설치 없이 연결할 수 있고- 2. 인증서 방식이라, 인증서만 탈취 안당하면 안전한 것 같고- 3. 이미 설정을 다해서 다른 것으로 넘어가기도 귀찮기도 하고- (<- 이게 제일 큰 이유인듯 ;;; )

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

7/107

번호	제목Page 7/107	글쓴이	날짜	조회	추천
2002	nat 구성 질문 (4)	원탱이방굴이	2024-02	2930	0
nat 구성 질문 (4) 2024-02 2930 1 원탱이방굴이
2001	가정용 네트워크 통합 문제 사진을 첨부했습니다 (23)	piedPiper	2024-02	3756	0
가정용 네트워크 통합 문제 사진을 첨부했… (23) 2024-02 3756 1 piedPiper
2000	가정집 네트워크 통합 문제 좋은 방법이 있을까요 (4)	piedPiper	2024-02	2701	0
가정집 네트워크 통합 문제 좋은 방법이 … (4) 2024-02 2701 1 piedPiper
1999	홈 네트워크 구성(SKT) 관련 (4)	langrisser	2024-01	3866	0
홈 네트워크 구성(SKT) 관련 (4) 2024-01 3866 1 langrisser
1998	[질문] 아파트 매립 전화 및 랜 선 연결 (8)	마칼바람	2024-01	3589	0
[질문] 아파트 매립 전화 및 랜 선 연결 (8) 2024-01 3589 1 마칼바람
1997	무선공유기랑 SFP+스위치랑 어떻게 연결하고 쓰시나요? (6)	paramax	2024-01	2977	0
무선공유기랑 SFP+스위치랑 어떻게 연결하… (6) 2024-01 2977 1 paramax
1996	미크로틱 ikev2 VPN 접속 후, NAT 설정 문의드립니다 (5)	NightHawk	2024-01	3400	0
미크로틱 ikev2 VPN 접속 후, NAT 설정 문… (5) 2024-01 3400 1 NightHawk
1995	10기가 내외부망 구성 질문 (7)	Apltre	2024-01	6041	0
10기가 내외부망 구성 질문 (7) 2024-01 6041 1 Apltre
1994	25G 테스트 속도관련 (16)	센토우노	2024-01	6648	0
25G 테스트 속도관련 (16) 2024-01 6648 1 센토우노
1993	IP포트스캔했을때 나오는 포트관련된정보 (3)	돈대신몸으로	2024-01	5710	0
IP포트스캔했을때 나오는 포트관련된정보 (3) 2024-01 5710 1 돈대신몸으로
1992	인터넷 창이 안열리는데 어떤게 문제일까요:: (6)	지펜	2024-01	6148	0
인터넷 창이 안열리는데 어떤게 문제일까… (6) 2024-01 6148 1 지펜
1991	인피니밴드 스위치 Mellanox QM8700 질문드립니다! (7)	이푸우	2024-01	5733	0
인피니밴드 스위치 Mellanox QM8700 질문… (7) 2024-01 5733 1 이푸우
1990	SoftEther VPN 정말 좋네요 (13)	생맥주	2024-01	3930	0
SoftEther VPN 정말 좋네요 (13) 2024-01 3930 1 생맥주
1989	[질문] 2.5G 스위칭 SFP 문의드려요. (7)	KGOON	2023-12	4297	0
[질문] 2.5G 스위칭 SFP 문의드려요. (7) 2023-12 4297 1 KGOON
1988	[후속 보고] 1Gb 인터넷 환경을 만드는 것이 생각보다 만만치 … (2)	생맥주	2023-12	4156	1
[후속 보고] 1Gb 인터넷 환경을 만드는 것… (2) 2023-12 4156 1 생맥주
1987	[질문] 포티게이트 100D - LAN to LAN 통신 허용 정책을 만들고… (5)	라이크유	2023-12	4735	0
[질문] 포티게이트 100D - LAN to LAN 통… (5) 2023-12 4735 1 라이크유
1986	내부망 라우터 추천부탁드림니다. (10)	INMD	2023-12	4546	0
내부망 라우터 추천부탁드림니다. (10) 2023-12 4546 1 INMD
1985	(완료) 시스코 AP 펌웨어/Mobility Express OS관련.. (5)	Rainwalk	2023-12	3474	0
(완료) 시스코 AP 펌웨어/Mobility Expres… (5) 2023-12 3474 1 Rainwalk
1984	1Gb 인터넷 환경을 만드는 것이 생각보다 만만치 않네요 (14)	생맥주	2023-12	4333	0
1Gb 인터넷 환경을 만드는 것이 생각보다 … (14) 2023-12 4333 1 생맥주
1983	시스코 AP가 미크로틱 ARP에는 보이나 DHCP서버의 lease에 안보… (2)	Rainwalk	2023-12	3025	0
시스코 AP가 미크로틱 ARP에는 보이나 DHC… (2) 2023-12 3025 1 Rainwalk