컨트롤러 모드의 Omada 게이트웨이에서 Site-to-Site Manual IPsec VPN Tunnel을 설정하는 방법

설정 가이드
수정일03-10-2023 07:44:18 AM 108768
본 내용은 다음 항목에 적용됩니다: 

참고: Omada SDN 컨트롤러 v 4.3 상위 버전 전용

서로 다른 위치에서 네트워크를 구축할 때, Omada SDN 컨트롤러의 Omada 게이트웨이에서 site-to-site IPsec VPN tunnels을 만드는 것을 권장합니다. Omada 관리형 게이트웨이는 두 가지 형식의 site-to-site VPN을 지원합니다: Auto IPsec 및 Manual IPsec

이 가이드는 컨트롤러 모드에서 Omada 게이트웨이를 Auto IPsec 을 구성하는 방법에 대해 다룹니다. Manual IPsec VPN 구성 방법에 대해서는 컨트롤러 모드의 Omada 게이트웨이에서 site-to-site Manual IPsec VPN Tunnels를 설정하는 방법은 무엇입니까?를 참고하세요.

 

적용 시나리오

 

어떤 회사의 지사에 본사 네트워크에 액세스할 수 있는 권한을 주려고 합니다. 본사는 Omada로 관리되는 게이트웨이를 사용하지만, 지사의 게이트웨이는 Omada 컨트롤러로 관리되고 있지 않습니다. 또한, 양쪽 게이트웨이는 어떠한 NAT 장치에도 연결되어 있지 않습니다. 즉, 양쪽 게이트웨이는 WAN 인터페이스에서 공공 IP 주소를 사용하고 있습니다. 이러한 경우, 인터넷으로 IPsec VPN 터널을 구성할 수 있습니다. 다음 토폴로지를 예로 들어보겠습니다. 

참고: 만일 Omada 게이트웨이가 NAT 장치에 연결되어 있는 경우 IPsec VPN 터널을 만들기 위해 UDP 포트 500과 UDP 포트 4500이 게이트웨이 상단의 NAT 기기에서 열려 있도록 하십시오. 그리고 Phase-1 환경설정에서 Local ID Type / Remote ID 타입을 Name으로 설정하십시오.

 

설정

Step 1. 수동 IPsec VPN에 필요한 설정 매개 변수를 받으십시오.

1) Omada 컨트롤러로 관리되는 게이트웨이 A: Devices에서 게이트웨이를 클릭하면 우측에 프로퍼티 창이 나타납니다. 게이트웨이 A의 WAN IP 주소를 받기 위해 Details > WAN에 접속하십시오. 

 

 

Settings > Wired Networks > LAN > Networks으로 접속하여 본사의 로컬 서브넷을 받으십시오(이것은 LAN 1입니다, 고객님의 네트워크 토폴로지에 따라 상응하는 LAN을 선택해 주십시오.)

 

2) 게이트웨이 B (다음의 예: ER7206): Status > System Status로 접속하여 지사의 게이트웨이 B의 WAN IP 주소를 받으십시오.

 

Network > LAN > LAN으로 접속하여 지사의 로컬 서브넷을 받으십시오(LAN 2).

 

2단계. 본사의 Omada 컨트롤러로 관리되는 게이트웨이 A에 대해서 새로운 VPN 정책을 만드십시오.

Settings > VPN으로 접속하여 + Create New VPN Policy를 클릭하십시오.

 

3단계. 게이트웨이 A의 새로운 VPN 정책을 위한 매개 변수를 설정하십시오. 

VPN 정책을 알아보기 위해 이름을 입력하고, 새로운 입력값의 목적을 Site-to-Site VPN으로, VPN 타입을 Manual IPsec으로 선택해 주십시오. 그다음, 상응하는 매개 변수를 설정한 후, Create을 클릭해 주십시오.

상태

VPN 터널을 활성화시키기 위해 박스에 체크하십시오. 

원격 게이트웨이

지사에 게이트웨이 B의 WAN IP 주소를 입력해 주십시오.  (100.100.100.100).

원격 서브넷

지사의 LAN에 IP 주소의 레인지를 입력해 주십시오. (192.168.10.1/24).

로컬 네트워크

본사의 네트워크를 선택하면(LAN 1), VPN 정책이 선택된 네트워크에 적용될 것입니다. 

사전 공유 키

인증 키로 쓰이는 사전 공유된 키(Pre-Shared Key, PSK)를 입력하십시오. 본사의 게이트웨이와 지사는 인증을 위하여 반드시 동일한 PSK를 사용해야 합니다.

WAN

VPN 터널이 만들어질 WAN 포트를 선택하십시오.

참고: 게이트웨이 B (ER7206)가 단독모드일 때, Phase-1 환경설정에서 Advanced Settings를 클릭하고, 키 교환 버전으로 IKEv1을 선택하십시오.

만일 Omada 게이트웨이가 NAT 기기 하단에 연결되어 있다면, UDP포트 500과 UDP 포트 4500dl NAT 기기에서 열려 있도록 해 주시고, Phase-1 환경설정에서 Local ID Type / Remote ID Type 을 Name으로 설정해 주십시오.

 

 

 

4단계. 지사의 게이트웨이 B에 새로운 VPN 정책을 만드십시오. 

여기서는 ER7206을 사례로 들고 있습니다. VPN > IPsec > IPsec Policy으로 접속하여 + Add.를 클릭하십시오.

 

5단계. 게이트웨이 B의 새로운 VPN 정책을 위한 매개 변수를 설정하십시오. 

VPN 정책을 구분하기 위한 정책명을 입력하고, 새로운 입력값의 모드를 LAN-to-LAN으로 선택하십시오. 그다음, 매개 변수를 설정하고, OK를 클릭하십시오.

원격

게이트웨이

본사의 게이트웨이 A에 WAN IP 주소를 입력하십시오 (100.100.100.100).

WAN

VPN 터널이 만들어질 자리에 WAN 포트를 선택해 주십시오.

로컬 서브넷

지사 네트워크의 IP 주소를 입력하면(192.168.10.1/24), VPN 정책이 네트워크에 적용됩니다.

원격 서브넷

본사 LAN의 IP 주소 범위를 입력하십시오 (192.168.0.1/24).

사전 공유 키

인증 키로 사용되는 사전 공유 키(Pre-Shared Key, PSK)를 입력하십시오. 본사와 지사의 게이트웨이는 인증을 위해 반드시 동일한 PSK를 사용해야 합니다.  

상태

VPN 터널을 활성화하기 위해 박스에 체크하십시오.

 

참고: 만일 공유기가 NAT 기기 하단에 연결되어 있다면, UDP 포트 500과 UDP 포트 4500이 NAT 기기에 열려 있도록 하십시오. 그다음, Phase-1 환경설정에서 Local ID Type / Remote ID Type 을 Name으로 설정해 주십시오.

 

 

 

수동 IPsec VPN 터널의 인증

Omada로 관리되는 본사의 게이트웨이는, Insight > VPN Status > IPsec SA로 접속하여 IPsec SA 항목을 확인하십시오.

 

ER7206은, VPN > IPsec > IPsec SA로 접속하여 IPsec SA 항목을 확인하십시오. 도표에 상응하는 항목들이 나타난다면, VPN 터널이 성공적으로 설치된 것입니다.

 

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

관련 제품