목차

소개

필수 사항

설정

수동 IPsec 설정

자동 IPsec 설정

IPsec 서버 설정

확인

결론

소개

IPsec 사이트 간 VPN은 지리적으로 분리된 네트워크 간의 연결을 가능하게 합니다. 엔터프라이즈에서는 지사와 본사 간에 안전한 VPN 연결을 구축하기 위해 이를 흔히 사용합니다. IPsec VPN은 공용 네트워크를 통해 지 라우터를 연결하여 사설 네트워크 데이터의 안전한 전송을 보장합니다.

Omada 라우터는 자동 IPsec과 수동 IPsec, 두 가지 유형의 사이트 간 IPsec VPN을 지원합니다. 이 문서에서는 Omada 컨트롤러를 사용하여 수동 및 자동 IPsec VPN을 설정하는 방법을 소개합니다.

필수 사항

• Omada 라우터
• Omada 컨트롤러(소프트웨어 컨트롤러, 하드웨어 컨트롤러 및 클라우드 기반 컨트롤러 v6.2 이상)

설정

예를 들어, 두 개의 라우터(라우터 A와 라우터 B)가 서로 다른 두 사이트에 배포되어 있다고 가정합니다. 아래 단계를 따라 수동 IPsec을 설정하고 두 라우터 간에 보안이 적용된 사설 터널을 설정하십시오.

수동 IPsec 설정

1단계. Omada 컨트롤러에 로그인하고, 사이트 뷰(Site View) > 장치로 이동하여 라우터 A의 LAN IP를 등록합니다. 라우터 A를 클릭하여 속성 창을 엽니다. 그런 다음 포트 탭으로 이동하여 라우터 A의 WAN IP를 찾습니다.

위의 단계를 반복하여 Site2_Gateway B의 WAN IP와 LAN IP를 확인합니다.

2단계. 네트워크 설정 > VPN > VPN > 사이트 간 VPN 으로 이동하여 라우터 A에서 IPsec VPN 정책을 생성하고 설정합니다.

3단계. 수동 모드를 선택하고 아래 설명 표를 참조하여 매개변수를 설정합니다.

참고:

• 두 라우터 모두 공인 IP를 사용하는 경우, 협상 모드를 '초기화 모드(Initiator Mode)'로 설정하십시오. 라우터 A와 B 중 적어도 하나는 초기화(Initiator) 모드여야 하며, 두 라우터 모두 동시에 응답자 모드(Responder mode)에 있을 수는 없습니다.
• 라우터 A만 공인 IP를 사용하는 경우, 라우터 A의 협상 모드를 응답자 모드로 설정하고 원격 라우터 필드에 0.0.0.0을 입력하여 모든 IP에서 시작된 IPsec 협상을 수락하도록 지정하십시오. 네트워크 요구 사항에 따라 로컬/원격 ID 유형을 이름으로 설정하십시오. 원격 라우터 필드에 원격 네트워크 장치의 공인 IP 주소를 입력할 수도 있습니다.

4단계. 사이트 보기를 변경하고, 설정 > VPN > VPN > 사이트 간 VPN 탭으로 이동하여 라우터 B에서 IPsec을 설정합니다.

참고:

• 피어 장치가 IKEv1 협상 모드만 지원하는 경우가 아니라면, 더 높은 보안성과 향상된 성능을 위해 IKEv2 모드를 사용하는 것이 좋습니다.
• IPsec IKEv1은 단일 터널 내에서 여러 원격 서브넷을 지원하지 않습니다. 여러 원격 서브넷이 필요한 설정의 경우, IKEv2 또는 대체 솔루션을 사용하는 것을 고려하십시오.
• 터널이 성공적으로 설정되려면 양쪽 끝의 라우터가 동일한 협상 모드, 사전 공유 키 및 암호화 알고리즘을 사용해야 합니다.
• 원격 서브넷과 로컬 서브넷 간의 충돌을 피하십시오

자동 IPsec 설정

설정 과정은 수동 IPsec과 동일합니다. 자동 모드를 선택하고, 필요에 따라 다른 설정을 구성한 다음 설정을 적용하십시오.

그러면 VPN 정책이 자동으로 표시됩니다.

IPsec 서버 설정

대부분의 휴대폰은 IKEv2 VPN을 지원하며, 특히 Android에서 L2TP가 제거된 이후에는 더욱 그렇습니다. 집 밖에서 휴대폰을 사용하여 VPN을 통해 라우터에 연결하는 것은 네트워크에 접속하는 간단하고 안전한 방법입니다. 클라이언트-사이트 VPN을 설정하려면 다음 단계를 참조하십시오.

1단계. Omada 컨트롤러에 로그인하고, 네트워크 설정 > VPN > VPN > VPN 서버로 이동하여 새 VPN 서버를 생성하거나, IPsec 정책의 기본 매개변수를 구성하거나, 기본 설정을 사용합니다.

2단계. '고급 설정'을 클릭하여 다음 페이지를 불러온 후, Phase-1 설정을 다음과 같이 구성합니다:

• IKE 프로토콜 버전을 IKEv2로 선택합니다.
• VPN 클라이언트가 지원하는 제안(proposal)을 선택하십시오.
• 협상 모드를 응답자 모드로 지정합니다.
• 로컬 ID 유형을 IP 주소로 지정합니다.
• 원격 ID 유형을 '이름'으로 지정하고 원격 ID를 '123'으로 지정합니다.

참고:

1) 삼성 휴대폰의 경우 원격 ID 유형을 IP 주소로 선택해야 합니다.

2) 각 휴대폰마다 지원하는 제안(proposal)이 다르므로, 여기에는 몇 가지 일반적인 제안 조합만 나열합니다. 위의 네 가지 조합으로 연결에 성공하지 못할 경우, TP-Link 기술 지원팀에 문의해 주십시오.

3) Android용 IKEv2에서는 로컬 ID 유형을 편집할 수 없으므로 IP 주소만 사용할 수 있습니다. 따라서 Omada 라우터 앞단에 NAT 장치가 없어야 하며, 이는 클라이언트가 성공적으로 연결되려면 Omada 라우터의 WAN IP 주소가 공인 IP 주소여야 함을 의미합니다.

3단계. Phase-2 설정을 다음과 같이 구성하십시오:

• 캡슐화 모드를 터널 모드로 지정하십시오.
• VPN 클라이언트가 지원하는 제안을 선택하십시오.

안드로이드에서 IKEv2 VPN 설정 구성:

여기서는 Android 12가 설치된 휴대폰을 예시로 사용합니다. 다음 매개변수로 IKEv2 VPN을 설정하십시오. '저장'을 클릭하고 VPN 서버에 연결하십시오.

• 이름을 'test'로 지정합니다.
• VPN 유형을 IKEv2/IPsec PSK로 지정합니다.
• 서버 주소로 라우터 WAN IP를 지정합니다.
• IP 식별자(IP Identifier)를 123으로 지정합니다.
• IPsec 사전 공유 키를 지정합니다.
• 프록시를 '없음'으로 지정합니다.

iOS 기기에서 IKEv2 VPN 설정 구성:

iOS는 로컬 ID 유형 변경을 지원하므로, 1단계 설정에서 이를 NAME으로 설정하고 로컬 ID를 321로 지정합니다. 다른 설정은 위와 동일합니다.

• 유형을 IKEv2로 지정합니다.
• 설명(Description)을 'Test'로 지정합니다.
• 서버를 라우터 WAN IP로 지정합니다.
• 원격 ID를 321로 지정합니다.
• 로컬 ID를 123으로 지정합니다.
• 사용자 인증을 없음으로 지정합니다.
• '인증서 사용'을 비활성화합니다.
• 비밀을 IPsec 사전 공유 키로 지정합니다.
• PROXY를 Off로 지정합니다.

확인

네트워크 구성 > VPN > VPN 상태 > 사이트 간 VPN > IPsec 탭으로 이동하여 터널 상태를 확인합니다.

수동 IPsec VPN 터널:

자동 IPsec VPN 터널:

다른 사이트에 있는 PC에서 해당 장치의 IP로 ping을 보내 볼 수도 있습니다. 응답이 돌아오면 IPsec VPN 설정이 성공적으로 완료된 것입니다.

결론

이제 IPsec VPN을 통해 두 사이트를 성공적으로 연결했습니다.

각 기능 및 설정에 대한 자세한 내용을 확인하려면 다운로드 센터에서 해당 제품의 설명서를 다운로드하십시오.

이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.