VyOS의 IPSecsite-to-site VPN으로 VPN 상대방의 다른 세션을 라우팅하는 방법
개시하다
VyOS를 활용하면 IaS와 VPN에 Site-to-Site(거점 간 연결)의 IPSec 라우터를 구축할 수 있다.
예를 들어 IDCF 클라우드는 여기.에서 VyOS를 이용해 자사 서비스에서 거점 간 VPN을 연결하는 방법을 소개했고여기.에는 연결 안내서를 공개했다.
상기 연결지침에 따라 설정하면 IaS와 자사 간에 VPN을 간단하게 구축할 수 있으나 연결지침을 따라 설정한 경우 자사 맞은편에 서로 다른 네트워크 세그먼트가 따로 존재하는 경우 다른 세그먼트에서 IaS까지의 루트,IaS가 다른 세션을 통과하지 못하는 라우팅 문제가 발생할 수 있습니다.
까닭
vpn ipsec site-to-site peer ... tunnel ? 이 경우,remote에 설정된 세그먼트 이외의 루트를 진행하지 않습니다.
(후술 NG 모드 1)
또한 하나의 퍼에 대해 여러 개의 터널을 지정할 수 없습니다.
(후술 NG 모드 2)
측면에 여러 세션이 있는 경우 모든 세션을 라우팅하려면 tunnel 대신 vti(Virtual Tunnel Interface)를 사용해야 합니다.
설정
다음은 YAMAHA RT/RTX 시리즈 연결 단계에 대한 변경 사항IDCF 클라우드 연결 가이드입니다.
먼저 연결 지침에 따라 설정한 다음에 본 설정을 참고하여 변경점을 반영하면 된다.
또한 다음 네트워크 그림의 (2), (3), (4) 각 공유기에서 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24의 공유를 통과할 수 있도록 정적 루트 등을 미리 설정한다.
네트워크 다이어그램
인터페이스 설정
interfaces {
ethernet eth0 {
address dhcp
duplex auto
smp_affinity auto
speed auto
}
tunnel tun0 {
address 192.168.123.1/24
encapsulation ipip
local-ip 192.168.1.1
mtu 1422
multicast disable
remote-ip 172.16.1.2
}
vti vti0 {
}
}
정적 라우팅 설정
protocols {
static {
interface-route 192.168.2.0/24 {
next-hop-interface vti0 {
}
}
interface-route 192.168.3.0/24 {
next-hop-interface vti0 {
}
}
}
}
터널 설치
vti {
bind vti0
}
NG 모드
NG 모드 1
vpn ipsec site-to-site peer ... tunnel ? 이 경우,remote에 설정된 세그먼트 이외의 루트를 진행하지 않습니다.
(후술 NG 모드 1)
또한 하나의 퍼에 대해 여러 개의 터널을 지정할 수 없습니다.
(후술 NG 모드 2)
측면에 여러 세션이 있는 경우 모든 세션을 라우팅하려면 tunnel 대신 vti(Virtual Tunnel Interface)를 사용해야 합니다.
설정
다음은 YAMAHA RT/RTX 시리즈 연결 단계에 대한 변경 사항IDCF 클라우드 연결 가이드입니다.
먼저 연결 지침에 따라 설정한 다음에 본 설정을 참고하여 변경점을 반영하면 된다.
또한 다음 네트워크 그림의 (2), (3), (4) 각 공유기에서 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24의 공유를 통과할 수 있도록 정적 루트 등을 미리 설정한다.
네트워크 다이어그램
인터페이스 설정
interfaces {
ethernet eth0 {
address dhcp
duplex auto
smp_affinity auto
speed auto
}
tunnel tun0 {
address 192.168.123.1/24
encapsulation ipip
local-ip 192.168.1.1
mtu 1422
multicast disable
remote-ip 172.16.1.2
}
vti vti0 {
}
}
정적 라우팅 설정
protocols {
static {
interface-route 192.168.2.0/24 {
next-hop-interface vti0 {
}
}
interface-route 192.168.3.0/24 {
next-hop-interface vti0 {
}
}
}
}
터널 설치
vti {
bind vti0
}
NG 모드
NG 모드 1
interfaces {
ethernet eth0 {
address dhcp
duplex auto
smp_affinity auto
speed auto
}
tunnel tun0 {
address 192.168.123.1/24
encapsulation ipip
local-ip 192.168.1.1
mtu 1422
multicast disable
remote-ip 172.16.1.2
}
vti vti0 {
}
}
protocols {
static {
interface-route 192.168.2.0/24 {
next-hop-interface vti0 {
}
}
interface-route 192.168.3.0/24 {
next-hop-interface vti0 {
}
}
}
}
vti {
bind vti0
}
NG 모드 1
인터페이스 설정
interfaces {
ethernet eth0 {
address dhcp
duplex auto
smp_affinity auto
speed auto
}
tunnel tun0 {
address 192.168.123.1/24
encapsulation ipip
local-ip 192.168.1.1
mtu 1422
multicast disable
remote-ip 172.16.1.2
}
}
정적 라우팅 설정
protocols {
static {
interface-route 192.168.2.0/24 {
next-hop-interface tun0 {
}
}
interface-route 192.168.3.0/24 {
next-hop-interface tun0 {
}
}
}
}
터널 설치
tunnel 1 {
allow-nat-networks disable
allow-public-networks disable
local {
prefix 192.168.1.0/24
}
remote {
prefix 192.168.2.0/24
}
}
NG 모드 2
인터페이스 설정
interfaces {
ethernet eth0 {
address dhcp
duplex auto
smp_affinity auto
speed auto
}
tunnel tun0 {
address 192.168.123.1/24
encapsulation ipip
local-ip 192.168.1.1
mtu 1422
multicast disable
remote-ip 172.16.1.2
}
}
정적 라우팅 설정
protocols {
static {
}
}
터널 설치
tunnel 1 {
allow-nat-networks disable
allow-public-networks disable
local {
prefix 192.168.1.0/24
}
remote {
prefix 192.168.2.0/24
}
}
tunnel 2 {
allow-nat-networks disable
allow-public-networks disable
local {
prefix 192.168.1.0/22
}
remote {
prefix 192.168.3.0/24
}
}
Reference
이 문제에 관하여(VyOS의 IPSecsite-to-site VPN으로 VPN 상대방의 다른 세션을 라우팅하는 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/tabimoba/items/e3c9457fe21ec29136f5텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
