사내에서 인프라 구성 변경 작업이 있었다.
네트워크망 부터 서버까지 전 범위에서 작업이 있었는데 작업하며 기존 VPN 서버(OpenVPN)를 사용하지 않게 되어
VPN 접속이 불가하게 되었다.
OpenVPN 서버를 재구축할까 생각하던 중,
회사에서 사용하지 않던 FortiGate FW 장비를 통해서 VPN 설정을 진행해보려 한다.
현재 네트워크는 Switch에 연결이 되어 있다.
SSL-VPN 이란?
원격(외부)의 사용자가 VPN 터널을 통해 내부 네트워크에 액세스하는것.
자세한 설명은 다음 내용을 참고하세요.
https://cwpack0730.tistory.com/66
[NetWork] SSL VPN 개념과 유형
VPN이란? VPN은 Virtual Private Network의 약자로 물리적로는 전용선이 아니지만 가상으로 연결한 것 같은 효과를 내는 네트워크 기술이다. 다양한 VPN이 있지만 가장 많이 사용하는 VPN은 IPSEC과 SSL이다.
cwpack0730.tistory.com
SSL-VPN User 생성
User & Device 에서 Create New를 선택해 User를 생성한다.
본인은 cwVPN이라는 User를 생성하였다.
SSL-VPN Portal 설정
VPN 에서 SSL-VPN Portals를 선택한다.
기존에 생성되어있는 Potal를 수정하여도 되고, 새로 생성하여도 된다.
본인은 기존 full-access를 수정하였다.
- Enable Split Tunneling: 활성화 시 Routing Address에 설정된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음.
비활성화 시 SSL-VPN 접속 후 모든 트래픽을 VPN 터널을 통해 전달되기 때문에 인터넷 속도가 느릴 수 있음. - SSL VPN은 포탈과 터널 두 가지 형식이 존재한다. 자세한 내용은 상단 SSL VPN 개념 페이지에서…
SSL-VPN Settings 설정*
- Listen on Interface(s): 보통 인터넷 인터페이스를 설정. SSL-VPN 접속 시 인터넷 인터페이스 IP로 접근한다.
- Listen on Port: default 값은 443이다. 그러나 Fortigate의 GUI 접속 Port도 443이기 때문에 둘 중 하나는 변경해주어야 한다.
(동일하게 잡혀있다면 SSL-VPN 접속 화면이 열린다고 한다.) - Tunnel Mode Client Settings: VPN 접속 시 사용자가 할당 받을 IP이다.
- Automatically.. 를 선택 시 자동으로 생성된 대역대를 할당 받는다.
- Specify Custom…를 선택 시 다른 IP 대역을 할당해 줄 수 있다.
- Authentication/Portal Mapping: User 별로 Portal 적용이 가능하다.
본인은 cwVPN User에 수정한 full-access를 사용했다.
SSL-VPN 정책 생성
마지막 작업으로 정책을 생성한다.
* Split Tunneling(분할 터널링) 사용 여부에 따라 설정이 달라진다.
* 일부 트래픽만 VPN을 거치게 하고 나머지 트래픽은 곧바로 인터넷으로 들어가게 하는 방식
Split Tunneling 활성화 시
| Incoming Interface | SSL-VPN tunnel Interface |
| Outgoing Interface | Internal/내부 네트워크 인터페이스를 설정한다. |
| Source | 해당 정책을 사용하는 cwVPN User와 VPN 대역대를 추가한다. |
| Destination | 내부 네트워크 IP 대역 객체를 선택한다. |
| Schedule | 정책 스케쥴링으로, 특정 시간에만 SSL-VPN 접속 허용 등 설정이 가능하다. |
| Service | 서비스 포트를 설정한다. |
내부 네트워크이기 때문에 NAT는 활성화하지 않는다.
Split Tunneling 비활성화 시
Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 생성하여야 한다.
Outgoing Interface는 인터넷 인터페이스(WAN), Destination 부분을 All로 설정 후 NAT를 활성화한다.
공유기 포트포워딩
해당 VPN port를 외부로 포워딩 시킨다.
VPN 연결
FortiClient를 최신 버전으로 설치하고 SSL-VPN 연결 설정을 진행한다.
원격 게이트웨이와 사용자 정의 포트를 입력한다.
로그인하면 보안 경고창이 나타난다. 예를 누르고 계속 진행한다.
SSL-VPN 연결이 완료되었다.
이렇게 fotigate 장비를 이용하여 SSL-VPN 사용이 가능해졌다.
'DevOps > Network_네트워크' 카테고리의 다른 글
| [NetWork] IPSEC VPN 개념과 2가지 모드 (0) | 2023.07.18 |
|---|---|
| [NetWork] SSL VPN 개념과 유형 (0) | 2023.07.17 |
| [NetWork] Alteon L4 로드밸런싱 (0) | 2023.03.16 |
| [NetWork] Alteon L4 기본 설정 (0) | 2023.03.15 |
| 서버 티밍(teaming) & 본딩 (bonding) - 서버 랜카드 이중화 방식 (0) | 2023.02.17 |
