Classic 환경에서 이용 가능합니다.
IPsec VPN Tunnel 생성을 위해 고객 VPN 게이트웨이에서 리소스를 구성하는 방법을 설명합니다. VPN 게이트웨이 장비가 Fortinet 사의 FG 계열 제품이라면 다음의 내용을 참고해 주십시오.
참고
여기서는 로컬 네트워크가 고객 네트워크, 원격 네트워크가 네이버 클라우드 플랫폼 Private Subnet이 됩니다. Peer IP 또한 네이버 클라우드 플랫폼의 VPN 게이트웨이 공인 IP가 됩니다.
인터페이스 IP 설정
인터페이스 IP를 설정하는 방법은 다음과 같습니다.
config system interface
edit "<외부 인터페이스 이름 정의>"
set ip <공인 IP> <서브넷 마스크>
set allowaccess ping https ssh http
next
edit "<내부 인터페이스 이름 정의>"
set ip <내부 사설 IP> <서브넷 마스크>
set allowaccess ping https ssh http
next
end
IKE 설정
IKE를 설정하려면 IKEv1과 IKEv2를 구성해야 합니다.
참고
암호와 및 인증 알고리즘 설정값이 네이버 클라우드 플랫폼 콘솔에서 생성한 IPsec VPN Gateway의 설정값과 동일해야 합니다.
IKEv1 구성
IKEv1을 구성하는 방법은 다음과 같습니다.
config vpn ipsec phase1-interface
edit "<VPN 터널 이름 정의>"
set interface "<외부 인터페이스 이름>"
set keylife 28800
set peertype any
set proposal aes128-sha1
set dhgrp 2
set remote-gw <Peer IP>
set psksecret <Pre-shared 키 값>
next
end
- D-H 그룹: 2
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha-1
- lifetime: 28800
IKEv2 구성
IKEv2를 구성하는 방법은 다음과 같습니다.
config vpn ipsec phase2-interface
edit "<VPN 터널 이름 정의>"
set phase1name "<IKEv1 구성 시 입력한 VPN 터널 이름>"
set proposal aes128-sha1
set pfs disable
set replay disable
set keylifeseconds 28800
set src-subnet <내부 사설 IP>
set dst-subnet <원격 네트워크 사설 IP>
next
end
- 프로토콜: esp
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha-1
- lifetime: 28800
라우팅 설정
외부와 내부 라우팅을 각각 설정하고 방화벽 정책을 설정해 주십시오. 설정하는 방법은 다음과 같습니다.
-
외부 라우팅 설정
config router static edit 0 set gateway <VPN 게이트웨이 공인 IP> set device "<외부 인터페이스 이름>" next end -
내부 라우팅 설정(VPN 터널 생성 후)
config router static edit 0 set dst <원격 네트워크 사설 IP> <서브넷 마스크> set device "<VPN 터널 이름>" next end -
방화벽 정책 설정
config firewall address edit "<원격 네트워크 사설 IP 이름>" set subnet 192.168.100.0 255.255.255.0 next edit "<내부 사설 IP 이름>" set subnet 10.20.0.0 255.255.255.0 next end config firewall policy edit 0 set srcintf "<VPN 터널 이름>" set dstintf "<내부 인터페이스 이름>" set srcaddr "192.168.100.0/24" set dstaddr "10.20.0.0/24" set action accept set schedule "always" set service "ALL" next edit 0 set srcintf "<내부 인터페이스 이름>" set dstintf "<VPN 터널 이름>" set srcaddr "10.20.0.0/24" set dstaddr "192.168.100.0/24" set action accept set schedule "always" set service "ALL" next end- 원격 네트워크 사설 IP: 192.168.100.0/24
- 내부 사설 IP: 10.20.0.0/24
- 서브넷 마스크: 255.255.255.0
IKE 터널 확인
모든 과정을 마친 후 IKE 터널 상태를 확인할 수 있습니다. 확인 예시는 다음과 같습니다.
- IKEv1
hostname# get vpn ike gateway vd: root/0 name: <VPN 터널 이름> version: 1 interface: wan1 5 addr: <로컬 네트워크 공인 IP>:500 -> <원격 네트워크 공인 IP>:500 created: 82s ago IKE SA created: 1/1 established: 1/1 time: 0/0/0 ms IPsec SA created: 1/1 established: 1/1 time: 0/0/0 ms id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf direction: initiator status: established 82-82s ago = 0ms proposal: aes-128-sha1 key: 86c774a5b2e6deb9-a54dbbccef6c8c54 lifetime/rekey: 28800/28417 DPD sent/recv: 00000000/00000000 - IKEv2
hostname# get vpn ipsec tunnel details gateway name: <VPN 터널 이름> type: route-based local-gateway: <로컬 네트워크 공인 IP>: :0 (static) remote-gateway: <원격 네트워크 공인 IP>: :0 (static) mode: ike-v1 interface: 'wan1' (5) rx packets: 252 bytes: 30240 errors: 0 tx packets: 252 bytes: 15120 errors: 0 dpd: on-demand/negotiated idle: 20000ms retry: 3 count: 0 selectors name: <VPN 터널 이름> auto-negotiate: disable mode: tunnel src: 0:10.20.0.0/255.255.255.0:0 dst: 0:192.168.100.0/255.255.255.0:0 SA lifetime/rekey: 28800/28402 mtu: 1438 tx-esp-seq: fd replay: disabled inbound spi: c14a02a6 enc: aes-cb d196d60e927236afd6a54bdabf9de0c9 auth: sha1 315284852a4b4a331a3b7d2c6baa8f8cc9b91442 outbound spi: 31e9297d enc: aes-cb 72b17243e79a44583319efb28e3936f9 auth: sha1 4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1