¹ÌÅ©·Îƽ ikev2 VPN Á¢¼Ó ÈÄ, NAT ¼³Á¤ ¹®Àǵ帳´Ï´Ù

NightHawk   
   Á¶È¸ 2866   Ãßõ 0    

 간단하게 그림 그렸는데요.

 미크로틱 외부IP는 DDNS로 유동ip를 사용하는 일반가정이고,

 내부망은 192.168.0.1/24, VPN이 연결되면 10.0.0.1/24로 환경을 구성하였습니다. (아래 그림)

 설정은 유튜브 MikroTik 채널의 "MikroTik IPSec ike2 VPN server: easy step-by-step guide"를 보고 설정하였습니다.


유튜브 보고 아래와 같이 firewall filter와 nat 설정을 따라 했을때, VPN 연결 후 인터넷은 되는데 내부망 PC 접근은 안되더라구요. 

/ip firewall filter add chain=input src-address=10.0.0.0/24 ipsec-policy=in,ipsec action=accept comment="Allow ALL incoming traffic from 10.0.0.0/24 to this routerOS"

/ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=192.168.0.0/24 ipsec-policy=in,ipsec action=accept comment="Allow ALL forward traffic from 10.0.0.0/24 to local network"

/ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=0.0.0.0/0 ipsec-policy=in,ipsec action=accept comment="Allow ALLforward traffic from 10.0.0.0/24 to ANY network"

/ip firewall nat add place-before=0 chain=srcnat src-address=10.0.0.0/24 out-interface-list=WAN ipsec-policy=out,none action=masquerade


그래서 nat 설정의 out-interface-list=WAN을 빼고 out-interface=bridge로 아래와 같이 잡아 주었더니 문제가 해결되더군요.

/ip firewall nat add place-before=0 chain=srcnat src-address=10.0.0.0/24 out-interface=bridge ipsec-policy=out,none action=masquerade

그런데 다시 생각해보니, 위 WAN으로 나가는 설정은 그대로 두고

추가로 action이 masquerade가 아닌 src-nat 에 to-address 설정을 넣는게 맞는건가라는 생각이 들더라구요. 

대충 아래와 같은...?!!

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 dst-address=192.168.0.0/24 ipsec-policy=out,none action=src-nat to-address=10.0.0.254

ip firewall nat 설정을 어떻게 하는 것이 맞나요?

아직 ikev2 연결후, 해결해야 되는 문제가 몇가지 더 있지만 우선 방화벽 nat 설정 여부를 확인하고 싶어 질문드립니다.


여담으로...

ikev2 vpn을 하는 이유는 예전에 쓰던 l2tp 설정을 다 날려서 새로 설정해야 되었고, 

위의 링크의 유튜브 앞쪽에서 말하듯이 ikev2 가 security가 매우 강력하며, 빠르다는 소개에 선택하였습니다.

물론 lt2p 패스워드로 쓸때는 외부에서 자꾸 접속 시도 문제가 있기도 해서 인증서 기반의 ikev2 ipsec를 선택한 것도 있습니다.

iphone, macbook, windows arm(노트북) 정도에서 VPN 연결 및 사용 까지는 되었지만...

아직 24분 rekey 시 연결이 끊기는 문제가 ㅠㅠ 

이것도 해결하려고 시간 날때마다 찾아보고 있고, 새 마음으로 새롭게 하려고 오늘 hw encryption을 풀로 지원하는 새 mikrotik 장비를 주문 넣었습니다.

현재 사용하는 장비는 RB493G 라는 라우터보드 이거든요 ;;;

Á¦·Î¼¶ 01-26
macbook sonoma ¹öÀü rekey ¹®Á¦´Â Àӽ÷Πproposal lifetime=20mÇÏ½Ã¸é µË´Ï´Ù.
     
NightHawk 01-26
¸Æ rekey ¹®Á¦ À̽´°¡ ÀÖ¾ú±º¿ä;;;
¿À´Ã Àú³á¿¡ Àû¿ëÇؼ­ ½ÃÇèÇغÁ¾ß °Ú³×¿ä.
ÁÁÀºÁ¤º¸ °¨»çÇÕ´Ï´Ù.
     
NightHawk 01-26
¿Í!!! 24ºÐ rekey ¹®Á¦°¡ ¾ø¾îÁ³³×¿ä. ¤¾¤§¤§
20ºÐÀ¸·Î ¼öÁ¤ÇÏ°í Áö±Ý Å×½ºÆ® ÁßÀε¥, 16ºÐ, 32ºÐ¿¡ rekey ÇÏ°í spi °»½Å µÇ°í °è¼Ó Àߵdz׿ä.
ÀÌ°Ô mac ÃֽŠos ¹ö±×¿´´Ù´Ï... 3ÁÖ ³Ñ°Ô »ðÁúÇÏ°í ÀÖ¾ú³×¿ä.
...
Ãß°¡
...
48ºÐ rekey¿¡¼­ ¶Ç Áߴܵdz׿ä. 24 ¹è¼ö rekey¸é ½ÇÆÐÇÏ´Â °ÇÁö...
lifetime ¹Ù²ã°¡¸é¼­ ½ÃÇèÇغÁ¾ß°Ú³×¿ä. ^^
¡¦
Ãß°¡
¡¦
¼³Á¤ÇÑ ½Ã°£º¸´Ù 4ºÐ-4ºÐ30ÃÊ Àü¿¡ rekey°¡ ¹ß»ýÇϳ׿ä.
±×¸®°í ½Ã°£ ¹Ù²Ù¸é¼­ ¸î¹ø Çغôµ¥ 23ºÐÀ¸·Î ¼³Á¤½Ã 2½Ã°£±îÁöµµ ¹®Á¦ ¾øÀÌ µÇ³×¿ä.
°³ÀÎÀûÀ¸·Î 2½Ã°£ ÀÌ»ó¾¿ ¿¬¼ÓÀ¸·Î »ç¿ëÇÏ´Â ÀÏÀº ¾ø¾î¼­ ¿ì¼± ÀÌÁ¤µµ¿¡¼­ ¸¶¹«¸® Çؾ߰ڳ׿ä.
ÁÒ½´¾Æ 02-22
ikev2 ÇÁ·ÎÅäÄÝÀº .. Á» ...
VPN ¼­ºñ½º ȸ»ç¿¡µµ ÀÌÁ¨ °ÅÀÇ Áö¿øÇÏÁö ¾Ê´Â °ÍÀ¸·Î
     
NightHawk 03-01
±×·±°¡¿ä?ÃÖ±Ù¿¡ WireGuard ¸¦ ã¾Æº¸±â´Â Çߴµ¥... ¾î¶² VPN ÇÁ·ÎÅäÄÝÀ» ÃßõÇϽóª¿ä?

À½... ¿ì¼±, Àü ¾Æ·¡ ÀÌÀ¯ ¶§¹®¿¡ ±×³É ¾²·Á±¸¿ä.
1. ios, windows ¿¡¼­ µû·Î ¾Û ¼³Ä¡ ¾øÀÌ ¿¬°áÇÒ ¼ö ÀÖ°í-
2. ÀÎÁõ¼­ ¹æ½ÄÀ̶ó, ÀÎÁõ¼­¸¸ Å»Ãë ¾È´çÇÏ¸é ¾ÈÀüÇÑ °Í °°°í-
3. ÀÌ¹Ì ¼³Á¤À» ´ÙÇؼ­ ´Ù¸¥ °ÍÀ¸·Î ³Ñ¾î°¡±âµµ ±ÍÂú±âµµ ÇÏ°í- (<- ÀÌ°Ô Á¦ÀÏ Å« ÀÌÀ¯Àεí ;;; )


Á¦¸ñPage 5/105
2017-07   19521   Àß»ì¾Æº¸¼¼
2023-05   19445   uni8453
2021-07   19277   °­³²»çÂ¥
2016-05   19156   Power¸à¼Ö
2014-08   19054   s±èÁ¾È­z
2023-05   18940   ¼ÛÁÖȯ
2017-01   18864   Çϴûö²Þ
2014-04   18771   Nicoffeine
2022-11   18756   JHKWAK
2023-11   18746   ¹Ú¹®Çü
2017-05   18730   TLaJ3KtYGr
2019-04   18632   ±èÇö¿ì1
2014-08   18588   ymini
2023-10   18486   3241aasd3
2022-12   18421   DEVKAT
2015-01   18369   ÁÒ¯
2017-10   18318   ¹Ú³²±Ô
2023-04   18249   Ãʺ¸Àü»ê
2017-08   18241   ÇÏÀÌÇÏÀÌ
2017-07   18216   Å«°õÇϿ콺