IPsec VPN 연결이 실패하면 어떻게 해야 하나요?

문제 해결
수정일07-25-2024 09:22:09 AM FAQ view icon12476
본 내용은 다음 항목에 적용됩니다: 

목차

목표

요구 사항

개요

문제 해결 단계

Site to Site 모드

Client to Site 모드

결론

 

목표

본문에서는 IPsec VPN 연결 문제에 대한 자세한 문제 해결 단계를 안내합니다.

IPsec VPN 모드에 맞춰 문제 해결 단계를 따르세요.

요구 사항

  • Omada/Omada pro/Festa 게이트웨이

개요

IPsec(인터넷 프로토콜 보안)은 IP 네트워크에 보안을 제공하는 프로토콜 및 서비스로 보편적으로 쓰이는 가상 사설망(VPN) 기술입니다.

IPsec VPN을 사용하려면 원격 사용자가 전용 VPN 클라이언트를 설치하거나 사이트에 VPN 게이트웨이를 배치해야 합니다. 사용자 액세스는 클라이언트나 게이트웨이에서 사용자 인증 규칙, 보안 정책 규칙, 또는 콘텐츠 보안 필터링을 기준으로 확인됩니다.

문제 해결 단계

Site to Site 모드

1단계. 두 사이트 게이트웨이의 WAN IP 주소가 서로 핑할 수 있는지 확인하세요.

2단계. 컨트롤러에 로그인하고 설정 > 네트워크 보안 > 공격 방어로 이동하여 WAN에서 핑 차단을 비활성화합니다.

3단계. 게이트웨이 1에 연결된 PC에서 게이트웨이 2의 WAN IP를 핑합니다.

4단계. 게이트웨이 1에 공인 IP가 있으며, 게이트웨이 2가 NAT 장치 뒤에 위치해 있는지 확인합니다.

게이트웨이 1의 IPsec 설정에서 원격 게이트웨이 필드에 0.0.0.0 또는 게이트웨이 2 앞의 NAT 장치의 공인 IP를 입력하세요. 게이트웨이 1과 게이트웨이 2의 협상 모드를 각각 응답자(responder) 모드와 개시자(initiator) 모드로 설정하고, 식별자(Identity)로 "NAME"을 사용하세요.

참고: 로컬 ID 유형과 원격 ID 유형의 NAME 모드는 공급업체 장치마다 다른 이름(예:FQDN)을 가질 수 있습니다.

5단계. 게이트웨이 1과 게이트웨이 2가 모두 NAT 장치 뒤에 있는지 확인합니다.

게이트웨이 1 앞에 위치한 NAT 장치에 대한 NAT 포워딩 규칙(UDP 500, 4500)을 설정합니다. 다른 설정은 이전 단계와 동일합니다.

6단계. 두 사이트 게이트웨이의 기본 설정이 일치하는지 확인합니다: 원격 게이트웨이, 로컬 서브넷, 원격 서브넷, 사전 공유 키, WAN 인터페이스.

7단계. 두 사이트 게이트웨이의 Phase-1 설정이 일치하는지 확인합니다: IKE 버전, 제안, 교환 모드, 로컬 ID, 원격 ID. 두 게이트웨이 사이에 NAT 장치가 있는 경우, NAME 모드를 ID로 사용하세요.

8단계. 두 사이트 게이트웨이의 Phase-2 설정이 일치하는지 확인합니다: 캡슐화 모드, 제안, 완전 순방향 비밀성(PFS). 기본적으로 AH는 NAT를 통과할 수 없기 때문에 ESP 프로토콜이 사용됩니다.

9단계. 자동 IPsec을 사용 중인지 확인합니다. 자동 IPsec은 컨트롤러 모드에서 연결을 설정하지 못할 수 있습니다. 수동 IPsec을 사용하는 것이 좋습니다.

10단계. ISP가 IPsec 관련 트래픽(UDP 500, 4500)의 통과를 허용하는지 확인합니다.

11단계. 두 게이트웨이에 모두 IPSec 관련 트래픽을 차단하는 ACL 규칙이 포함되어 있는지 확인합니다.

Client to Site 모드

1단계. 클라이언트 장치가 게이트웨이의 WAN IP를 핑할 수 있는지 확인하세요.

컨트롤러 웹에서 설정 > 네트워크 보안 > 공격 방어로 이동하여WAN에서핑 차단을 비활성화한 다음 클라이언트 장치에서 게이트웨이의 WAN IP를 핑합니다.

2단계. 컨트롤러에 로그인하고 설정 > 네트워크 보안 > 공격 방어로 이동하여 WAN에서 핑 차단을 비활성화합니다.

3단계. 클라이언트 장치 모델을 확인합니다.

  • 클라이언트 장치가 iOS 운영 체제를 사용하는 경우 게이트웨이 앞에 NAT 장치가 존재할 수 있습니다. 로컬 ID 유형과 원격 ID 유형 모두 NAME 모드로 설정해야 합니다.
  • 클라이언트 장치가 Samsung 장치인 경우 게이트웨이 앞에 NAT 장치가 존재할 수 있습니다. 로컬 ID 유형과 원격 ID 유형 모두 기본 IP 주소 모드를 유지해야 합니다.
  • 클라이언트 장치가 Android 장치(Samsung 장치 제외)인 경우, 게이트웨이 앞에 NAT 장치가 없어야 합니다. 로컬 ID 유형을 IP 주소 모드로 설정하고 원격 ID 유형을 NAME 모드로 설정합니다.

4단계. 게이트웨이 설정을 확인합니다.

  • 기본 설정: 원격 호스트에 0.0.0.0 또는 클라이언트 장치 프론트엔드의 공인 IP를 입력합니다.
  • Phase-1 설정: IKE 버전이 클라이언트와 일치하는지 확인합니다. 제안은 sha256-aes256-dh14로 설정할 수 있습니다. 협상 모드에서 응답자 모드를 선택합니다. 2단계에 따라 로컬 ID 유형, 원격 ID 유형을 설정합니다.
  • Phase-2 설정: 제안은 sha256-aes256-dh14로 설정할 수 있습니다.

5단계. 제안이 일치하는지 확인합니다.

패킷 캡처를 위해 포트 미러링을 활성화하고 IPsec 항목과 연결된 WAN 인터페이스의 트래픽 패킷을 캡처합니다.

 

Wireshark를 사용하여 ISAKMP 패킷을 필터링합니다. 게이트웨이가 응답한 첫 번째 ISAKMP 패킷에 페이로드가 포함되어 있는 경우: 알림(41) - NOPROPOSALCHOSEN은 제안이 일치하지 않음을 의미합니다. 아래 그림에서 자세히 확인할 수 있습니다.

 

클라이언트가 시작한 첫 번째 ISAKMP 패킷에는 모든 보안 제안이 포함되어 있습니다. 패킷에 지정된 옵션을 포함하도록 게이트웨이의 제안을 설정할 수 있습니다.

결론

위의 단계를 수행해도 IPsec VPN 문제가 해결되지 않으면, 핫라인 또는 이메일을 통해 TP-Link에 문의하여 지원을 요청하세요.

각 기능 및 설정에 대한 자세한 내용은 다운로드 센터에서 해당 제품의 설명서를 다운로드하세요.

관련 FAQ

더 알아보기

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

관련 제품