구성 환경
- Platform : VPC
- 서버 OS : CentOS 7.8
- 클라이언트 OS : Windows 11 Pro
- 온프레미스 VPN 장비 : FortiGate 30E
VPC - IPsecVPN 네이버 클라우드 설정
1. 서버생성
Platform에서 VPC를 선택 후 서버를 생성합니다. 서버 생성에 대한 자세한 사항은 해당 문서에서 다루지 않습니다. 서버 생성 가이드 참고 부탁드립니다.
(※실습은 VPC, Subnet, 서버 생성이 완료된상태로 진행됩니다.)
2. Virtual Private Gateway 생성
콘솔 → VPC → Virtual Private Gateway
이름입력 및 VPC를 선택하고 생성합니다.
생성 후 현재 상태는 미사용중이 맞습니다. 다음으로 넘어갑니다.
3. Virtual Private Gateway Group 생성
콘솔 → VPC → Virtual Private Gateway → Virtual Private Gateway Group
이름설정 및 VPC, Default 여부 선택하여 추가하고 생성합니다.
Group생성이 완료되면 2번항목에서 생성한 Virtual Private Gateway도 운영중으로 변경됩니다.
4. Route Table 설정
콘솔 → VPC → Route Table
VPC를 생성하면 아래와같이 default로 해당 VPC의 Public, Private Table이 기본으로 생성되어있습니다.
IPsecVPN 연결을위해 생성한 서버가 소속된 default-table에 목적지인 사무실대역을 추가하여 경로를 지정합니다.
5. IPsec VPN Gateway 생성
콘솔 → IPsec VPN → IPsec VPN Gateway
이름 및 Group를 선택하고 생성합니다.
생성완료되어 상태가 운영중이면 다음으로 넘어갑니다.
6. IPsecVPN Tunnel 생성
콘솔 → IPsecVPN → IPsecVPN Tunnel
VPN 연결 정보 입력 후 다음으로 넘어갑니다.
(※ 아래 입력한 정보는 임의 설정값입니다.)
최종 입력 정보를 확인 후 생성합니다.
생성된 정보를 확인하여 상태가 운영중이면 다음으로 넘어갑니다.
FortiGate IPsec VPN 장비설정
1. 가상사설망 생성
FortiGate → 가상사설망 IPsec Wizard → Custom
Template Type은 Custom으로 진행합니다.
네이버 클라우드에서 생성한 IPsecVPN Tunnel 정보와 동일하게 설정합니다. 서로의 정보가 하나라도 다를경우 연결에 실패할 수 있습니다.
네이버 클라우드 IPseVPN Gateway 공인 IP 확인
콘솔 → IPsec VPN → IPsec VPN Gateway
계속하여 FortiGate VPN 장비 정보 입력하겠습니다.
2. 라우팅 설정
FortiGate → 네트워크 → 정적 경로 → 새로 생성
Interface 부분부터 위에서 생성한 test-vpn을 선택합니다.
목적지로 가기위한 정보 입력 후 생성합니다.
3. 정책설정
Local>VPN, VPN>Local의 접근을 제어하기위한 설정을 합니다.
(가이드에서는 all로 설정하고 진행하겠습니다)
FortiGate → Policy & Objects → IPv4 Policy → 새로 생성
Loca l> VPN 정보 입력 후 생성
VPN > Local 정보 입력 후 생성
4. VPN 모니터링
FortiGate → 모니터 → IPsec 모니터 → Bring UP
Bring UP하여 상태가 Down에서 UP 으로 변경되면 정상적으로 연결이 완료되었습니다.
ACG 설정
VPN연결이 되어도 아래와같이 Ping테스트에 실패하게됩니다. 이유는 네이버클라우드 서버는 ACG 정책에 따라 접근이 통제되므로 추가 설정이 필요합니다.
콘솔 → Server → ACG → ACG 선택 → ACG 설정
사무실PC에서 네이버클라우드 서버로 ping 테스트를 위해 서버에 매핑된 ACG에 아래와 같이 사무실의 사설대역을 입력하고 추가합니다.
접근소스에 프로토콜 - ICMP, 접근소스 - 사무실의 사설대역으로 추가합니다.
이후 핑테스트결과 아래와같이 정상적으로 통신이가능합니다.
※ 추가로 프로토콜 - TCP, 접근소스 - 사무실 사설대역, 허용포트 22를추가하면 아래와같이 서버에 접근이 가능합니다.
