EdgeRouter - EdgeRouter와 pfSense 사이의 IPsec 정책기반 사이트 투 사이트 VPN ============================================================================== download at 2017-09-12T22:28:53Z `origin `_  Overview -------------- 이 문서는 EdgeRouter와 pfSense 사이의 정책 기반 사이트 투 사이트 IPsec VPN을 구성하는 방법에 대하여 서술합니다. 정책기반 VPN은 로컬, 원격지 서브넷과 Azure에 연결할 때 IKEv1의 사용도에 따라서 정의됩니다. VPN타입은 경로 기반 VPN의 가상 터널 인터페이스(VTI) 사용과 라우팅 엔트리로 결정되는 것과는 다릅니다. |book_25x25.png| **NOTES & REQUIREMENTS:** EdgeOS 1.9.7 이상의 펌웨어가 설치된 모든 EdgeRouter 모델에서 적용 가능합니다. 커맨드라인 인터페이스와 pfSense, 고급 네트워킹에 대한 지식이 요구됩니다. 해당 주제에 대한 내용은 `관련 문서 <#related%20articles>`__ 섹션의 문서를 확인하시기 바랍니다. 이 문서에서 사용한 장비: - `EdgeRouter-X (ER-X) `__ - pfSense 커뮤니티 에디션 2.3.4 (i386) - 피어의 테스트 클라이언트 (Host1, Host2, Server1) -------------- Table of Contents -------------- #. `네트워크 다이어그램 <#diagram>`__ #. `Steps - 정책 기반 VPN <#vlan%20interfaces>`__ #. `Steps - pfSense VPN <#vlan%20interfaces>`__ #. `Steps - 테스팅 및 검증 <#testing>`__ #. `관련 문서 <#related%20articles>`__ -------------- 네트워크 다이어그램 -------------- `맨위로 가기 <#top>`__ 네트워크 토폴로지는 아래와 같습니다. EdgeRouter (ER)와 Azure VPN 게이트웨이 (GW)의 인터페이스와 IP 주소는 다음과 같습니다: **ER-X** - eth0 (WAN) - 203.0.113.1 - eth1 (LAN) - 192.168.1.1/24 - eth2 (LAN) - 10.0.1.1/24 **pfSense** - em0 (WAN) - 192.0.2.1 - em1 (LAN) - 172.16.1.1/24 |image1| -------------- Steps - 정책 기반 VPN -------------- `맨위로 가기 <#top>`__ 라우팅과 인터페이스 설정은 이미 완료했으며, 서로 통신이 가능하다고 가정합니다. IPsec과 관련있는 UDP 포트와 프로토콜은 다음과 같습니다: #. UDP 500 (IKE) #. ESP (프로토콜 50) #. UDP 4500 (NAT-T) 생성할 VPN 타입은 정책 기반 VPN이며, 원격지, 로컬 서브넷을 사용하며 해당 서브넷 정보가 없으면 프록시 ID를 사용합니다. 이 값들은 정확하게 두 피어간에 일치해야하며, 서로 동일한 내용을 가지고 있어야합니다. 터널을 통해서 미리 정해진 프록시 ID에서 전송 가능합니다. ER 예제에서는 192.168.1.0/24 가 LAN에서 존재하며, pfSense에서는 172.16.1.0/24를 사용합니다. 2개의 터널이 피어 사이에서 생성이되어야 함을 의미합니다. 처음에는 ER의 환경설정에 대하여 설명하고 이후에는 Azure의 게이트웨이에 대하여 설정합니다. |info_i_25x25.png| .. Note:: pfSense에서는 경로 기반 (VTI) IPsec 사이트 투 사이트 설정이 가능하지 않습니다.   |www.png|  **GUI STEPS:** 라우터의 웹 관리 포털 (GUI)에 접속합니다. 1. ER의 IPsec 피어와 보안 설정을 정의합니다. (을 원하는 패스워드로 설정합니다.) **VPN > IPsec Site-to-Site > +Add Peer** - 고급 옵션 확인 - 자동 방화벽 개방과 NAT부터 얻는 트래픽을 제외 :: Peer: 192.0.2.1 Description: IPsec Local IP: 203.0.113.1 Encryption: AES-256 Hash: SHA1 DH Group: 14 Pre-shared Secret: Local subnet: 192.168.1.0/24 Remote subnet: 172.16.1.0/24 **+Add Subnets** :: Local subnet: 10.0.1.0/24 Remote subnet: 172.16.1.0/24   |image4|   |CLI_circle.png|  **CLI STEPS:** 커맨드라인 인터페이스에 접속합니다. GUI의 CLI 버튼을 사용하던가, PuTTY와 같은 프로그램을 사용합니다. 1. 환경설정 모드에 진입합니다. :: configure 2. 현재 IPsec VPN 피어 환경설정을 확인합니다. (관련 정보만 아래에 출력됩니다.) :: show vpn ipsec {    esp-group FOO0 {        lifetime 3600        pfs enable        proposal 1 {            encryption aes256            hash sha1        }    }    ike-group FOO0 {        key-exchange ikev1        lifetime 28800        proposal 1 {            dh-group 14            encryption aes256            hash sha1        }    } ...  |info_i_25x25.png| .. Note:: 보안 설정 사용은 VPN의 성능, 안전성, 보안을 주안점으로 선정해야합니다. IKE 프로포절은 보안(AES256 + SHA256)에 집중한 반면, ESP 프로포절은 성능 (AES128 + MD5)에 집중하였습니다. 어떤 보안 설정을 선택하던 관련없이 양쪽 커넥션에서 단계 1 (P1)과 단계 2(P2)에서 동일한 세팅을 사용하도록 해야합니다. 3. IKE 프로포절 (P1)과 보안 설정을 생성합니다. :: set vpn ipsec ike-group FOO0 lifetime 86400 set vpn ipsec ike-group FOO0 proposal 1 hash sha256 4. ESP 프로포절 (P2)과 보안 설정을 생성합니다. :: set vpn ipsec esp-group FOO0 lifetime 43200 set vpn ipsec esp-group FOO0 proposal 1 encryption aes128 set vpn ipsec esp-group FOO0 proposal 1 hash md5 5. 완전 순방향 비밀성(PFS)을 비활성화합니다. :: set vpn ipsec esp-group FOO0 pfs disable 6. (선택사항) 로컬 IPsec 인터페이스 주소를 변경합니다. 다음 명령어를 사용하여 IPsec 패킷이 원격지 피어로 접근할 로컬 IP 주소를 정의할 수 있습니다. \ **dhcp-interface**\ 와 \ **local-address**\ 명령어는 동시에 사용해서는 안되며, 상황에 따라서 맞는 명령어를 사용해야합니다: (A) 다중 WAN 인터페이스를 사용중이며 VPN이 다중 인터페이스에 응답해야한다. 시스템에 존재하는 어떤 IPv4 주소에도 VPN의 소스로 사용할 수 있습니다. 이 명령어를 PPPoE를 통해 받는 주소에서도 사용 가능합니다. :: set vpn ipsec site-to-site peer 192.0.2.1 local-address 0.0.0.0  |info_i_25x25.png| .. Note:: \ **local-address 0.0.0.0 **\ 와 \ **local-address any** 를 사용하기를 권장합니다. (B) DHCP를 통해서 WAN 인터페이스가 주소를 받는 경우 :: delete vpn ipsec site-to-site peer 192.0.2.1 local-address set vpn ipsec site-to-site peer 192.0.2.1 dhcp-interface eth0 7. (선택사항) IPsec 오프로딩을 활성화 하여 ESP 성능을 향상시킨다. :: set system offload ipsec enable (this requires a reboot to become active)  8. 변경 내역을 커밋합니다. :: commit 9. 환경설정을 저장합니다. :: save -------------- Steps - Azure 게이트웨이 -------------- `맨위로 가기 <#top>`__ pfSense가 최신 버전의 펌웨어를 사용하여 장비가 인터넷과 연결되어 있음을 확인하십시오. 이 문서에서는 VMware (pfSense-CE-2.3.4-RELEASE-i386)에서 2.3.4 커뮤니티에디션을 i386 (32-bit) 아키텍처에서 사용하였습니다. pfSense의 사이트 투 사이트 VPN 커넥션은 다음 문서를 확인하십시오: `VPN Capability IPsec `__   |www.png|  **GUI STEPS:** pfSense 관리 인터페이스 (GUI)에 접속합니다. 1. 방화벽 룰에 IPsec 관련 포트와 프로토콜을 추가합니다. **Firewall > Rules > WAN > Add** :: Action: Pass Interface: WAN Address Family: IPv4 Protocol: UDP Source: any Destination: any Destination Port Range: From ISAKMP (500) to ISAKMP (500) Description: IKE Action: Pass Interface: WAN Address Family: IPv4 Protocol: ESP Source: any Destination: any Description: ESP Action: Pass Interface: WAN Address Family: IPv4 Protocol: UDP Source: any Destination: any Destination Port Range: From IPsec NAT-T (4500) to IPsec NAT-T (4500) Description: NAT-T |image8| 2. P1 IKE 세팅을 정의합니다. (을 원하는 비밀번호로 변경합니다.) **VPN > IPsec > Tunnels > + Add P1** :: Key Exchange Version: IKEv1 Internet Protocol: IPv4 Interface: WAN Remote Gateway: 203.0.113.1 Description: IPsec Authentication Method: Mutual PSK Negotiation Mode: Main My Identifier: My IP address Peer Identifier: Peer IP address Pre-Shared Key: Encryption Algorithm: AES 256 bits Hash Algorithm: SHA256 DH Group: 14 (2048 bit) Lifetime (Seconds): 86400 Uncheck 'Dead Peer Detection' NAT Traversal: Auto 3. P1 IKE 세팅을 저장합니다. |image9|   |info_i_25x25.png| .. Note:: IKEv2를 사용한다면, 'Split Connection'을 확인하십시요. 그렇지 않으면 pfSense가 지속적으로 1개의 터널을 사용하여 양쪽 네트워크로 라우팅 하려 할 것입니다. ER은 반면에 2개의 터널을 사용할 것입니다. 4. P2 ESP 세팅을 첫번째 터널에 정의합니다. **VPN > IPsec > Tunnels > Show Phase 2 Entries > +Add P2** :: Mode: Tunnel IPv4 Local Network: Network 172.16.1.0/24 NAT/BINAT Translation: None Remote Network: Network 192.168.1.0/24 Protocol: ESP Encryption Algorithms: AES 128 bits Hash Algorithms: MD5 (uncheck SHA1) PFS Key Group: off Lifetime: 43200 5. P2 ESP 세팅을 첫 번째 터널에 저장합니다. |image10| 6. P2 ESP 세팅을 두번째 터널에 정의합니다. **VPN > IPsec > Tunnels > Show Phase 2 Entries > +Add P2** :: Mode: Tunnel IPv4 Local Network: Network 172.16.1.0/24 NAT/BINAT Translation: None Remote Network: Network 10.0.1.0/24 Protocol: ESP Encryption Algorithms: AES 128 bits Hash Algorithms: MD5 (uncheck SHA1) PFS Key Group: off Lifetime: 43200 7. P2 ESP 세팅을 두번째 터널에 저장합니다. |image11| 8. 'Enable' 버튼을 클릭하여 P1, P2 사이의 터널을 활성화 합니다. 9. 변경사항을 적용합니다. |image12|   |info_i_25x25.png| .. Note:: 결과는 위의 이미지와 같습니다. 'Enable'초록색 버튼이 보인다면, IPsec이 활성화 되지 않았음을 의미합니다. 10. IPsec 프로세스가 구동함을 검증합니다. **Status > Services** |image13| 11. 방화벽 룰을 추가하여 원격 서브넷에서 전송하는 IPsec 트래픽을 터널에서 허용합니다. **Firewall > Rules > IPsec > Add** :: Action: Pass Interface: IPsec Address Family: IPv4 Protocol: Any Source: Network 192.168.1.0/24 Destination: Network 172.16.1.0/24 Action: Pass Interface: IPsec Address Family: IPv4 Protocol: Any Source: Network 10.0.1.0/24 Destination: Network 172.16.1.0/24 11. 방화벽 룰을 추가하여 원격 서브넷에서 터널의 로컬 서브넷으로 향하는 IPsec 트래픽을 허용하도록 합니다. |image14|   -------------- Steps - 테스팅 및 검증 -------------- `맨위로 가기 <#top>`__ IPsec VPN은 이미 설정하였고 커넥션/상태를 다음 명령어로 검증합니다. 1. IPsec 보안 옵션을 검증하고 ER의 상태를 확인합니다: :: show vpn ipsec sa peer-192.0.2.1-tunnel-1: #4, ESTABLISHED, IKEv1, 13c7358806637c9a:273821a382aa6025 local '203.0.113.1' @ 203.0.113.1 remote '192.0.2.1' @ 192.0.2.1 AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 established 186s ago, reauth in 85238s peer-192.0.2.1-tunnel-1: #1, INSTALLED, TUNNEL, ESP:AES_CBC-128/HMAC_MD5_96 installed 186 ago, rekeying in 42449s, expires in 43014s in c92300a0, 420 bytes, 7 packets, 153s ago out c11f0c6c, 540 bytes, 9 packets, 153s ago local 192.168.1.0/24 remote 172.16.1.0/24 peer-192.0.2.1-tunnel-2: #2, INSTALLED, TUNNEL, ESP:AES_CBC-128/HMAC_MD5_96 installed 166 ago, rekeying in 41989s, expires in 43034s in cff79744, 360 bytes, 6 packets, 87s ago out c1461735, 720 bytes, 12 packets, 87s ago local 10.0.1.0/24 remote 172.16.1.0/24 sudo ipsec statusall Status of IKE charon daemon (strongSwan 5.2.2, Linux 3.10.14-UBNT, mips): uptime: 27 minutes, since Jan 02 04:02:43 2015 malloc: sbrk 376832, mmap 0, used 273520, free 103312 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4 Listening IP addresses: 203.0.113.1 192.168.1.1 10.0.1.1 Connections: peer-192.0.2.1-tunnel-1: 203.0.113.1...192.0.2.1 IKEv1 peer-192.0.2.1-tunnel-1: local: [203.0.113.1] uses pre-shared key authentication peer-192.0.2.1-tunnel-1: remote: [192.0.2.1] uses pre-shared key authentication peer-192.0.2.1-tunnel-1: child: 192.168.1.0/24 === 172.16.1.0/24 TUNNEL peer-192.0.2.1-tunnel-2: child: 10.0.1.0/24 === 172.16.1.0/24 TUNNEL Routed Connections: peer-192.0.2.1-tunnel-2{2}: ROUTED, TUNNEL peer-192.0.2.1-tunnel-2{2}: 10.0.1.0/24 === 172.16.1.0/24 peer-192.0.2.1-tunnel-1{1}: ROUTED, TUNNEL peer-192.0.2.1-tunnel-1{1}: 192.168.1.0/24 === 172.16.1.0/24 Security Associations (1 up, 0 connecting): peer-192.0.2.1-tunnel-1[5]: ESTABLISHED 2 minutes ago, 203.0.113.1[203.0.113.1]...192.0.2.1[192.0.2.1] peer-192.0.2.1-tunnel-1[5]: IKEv1 SPIs: d5f32fbc2a3954aa_i* b77873a4d9f9a023_r, pre-shared key reauthentication in 23 hours peer-192.0.2.1-tunnel-1[5]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 peer-192.0.2.1-tunnel-1{1}: INSTALLED, TUNNEL, ESP SPIs: c1ff794a_i c7f2ce03_o peer-192.0.2.1-tunnel-1{1}: AES_CBC_128/HMAC_MD5_96, 3840 bytes_i (64 pkts, 108s ago), 3840 bytes_o (64 pkts, 108s ago) peer-192.0.2.1-tunnel-1{1}: 192.168.1.0/24 === 172.16.1.0/24 peer-192.0.2.1-tunnel-2{2}: INSTALLED, TUNNEL, ESP SPIs: c65139f1_i cc099181_o peer-192.0.2.1-tunnel-2{2}: AES_CBC_128/HMAC_MD5_96, 120 bytes_i (2 pkts, 1s ago), 120 bytes_o (2 pkts, 1s ago) peer-192.0.2.1-tunnel-2{2}: 10.0.1.0/24 === 172.16.1.0/24 2. pfSense IPsec 보안 설정과 상태를 검증합니다: |image15| 3. ER IPsec strongSwan 환경설정을 검증합니다: :: sudo cat /etc/ipsec.conf # generated by /opt/vyatta/sbin/vpn-config.pl config setup conn %default keyexchange=ikev1 conn peer-192.0.2.1-tunnel-1 left=203.0.113.1 right=192.0.2.1 leftsubnet=192.168.1.0/24 rightsubnet=172.16.1.0/24 ike=aes256-sha256-modp2048! keyexchange=ikev1 ikelifetime=86400s esp=aes128-md5! keylife=43200s rekeymargin=540s type=tunnel compress=no authby=secret auto=route keyingtries=%forever #conn peer-192.0.2.1-tunnel-1 conn peer-192.0.2.1-tunnel-2 left=203.0.113.1 right=192.0.2.1 leftsubnet=10.0.1.0/24 rightsubnet=172.16.1.0/24 ike=aes256-sha256-modp2048! keyexchange=ikev1 ikelifetime=86400s esp=aes128-md5! keylife=43200s rekeymargin=540s type=tunnel compress=no authby=secret auto=route keyingtries=%forever #conn peer-192.0.2.1-tunnel-2 4. pfSense IPsec strongSwan 환경설정과 프로세스룰 검증합니다: :: cat /var/etc/ipsec/ipsec.conf # This file is automatically generated. Do not edit config setup uniqueids = yes conn bypasslan leftsubnet = 172.16.1.0/24 rightsubnet = 172.16.1.0/24 authby = never type = passthrough auto = route conn con1000 fragmentation = yes keyexchange = ikev1 reauth = yes forceencaps = no mobike = no rekey = yes installpolicy = yes type = tunnel dpdaction = none auto = route left = 192.0.2.1 right = 203.0.113.1 leftid = 192.0.2.1 ikelifetime = 86400s lifetime = 43200s ike = aes256-sha256-modp2048! esp = aes128-md5,aes128-md5! leftauth = psk rightauth = psk rightid = 203.0.113.1 aggressive = no rightsubnet = 192.168.1.0/24 leftsubnet = 172.16.1.0/24 conn con1001 fragmentation = yes keyexchange = ikev1 reauth = yes forceencaps = no mobike = no rekey = yes installpolicy = yes type = tunnel dpdaction = none auto = route left = 192.0.2.1 right = 203.0.113.1 leftid = 192.0.2.1 ikelifetime = 86400s lifetime = 43200s ike = aes256-sha256-modp2048! esp = aes128-md5,aes128-md5! leftauth = psk rightauth = psk rightid = 203.0.113.1 aggressive = no rightsubnet = 10.0.1.0/24 leftsubnet = 172.16.1.0/24 ipsec statusall Status of IKE charon daemon (strongSwan 5.5.1, FreeBSD 10.3-RELEASE-p19, i386): uptime: 37 minutes, since Aug 17 12:20:00 2017 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2 Listening IP addresses: 192.0.2.1 172.16.1.1 Connections: bypasslan: %any...%any IKEv1/2 bypasslan: local: uses public key authentication bypasslan: remote: uses public key authentication bypasslan: child: 172.16.1.0/24|/0 === 172.16.1.0/24|/0 PASS con1000: 192.0.2.1...203.0.113.1 IKEv1 con1000: local: [192.0.2.1] uses pre-shared key authentication con1000: remote: [203.0.113.1] uses pre-shared key authentication con1000: child: 172.16.1.0/24|/0 === 192.168.1.0/24|/0 TUNNEL con1001: child: 172.16.1.0/24|/0 === 10.0.1.0/24|/0 TUNNEL Shunted Connections: bypasslan: 172.16.1.0/24|/0 === 172.16.1.0/24|/0 PASS Routed Connections: con1001{11}: ROUTED, TUNNEL, reqid 11 con1001{11}: 172.16.1.0/24|/0 === 10.0.1.0/24|/0 con1000{10}: ROUTED, TUNNEL, reqid 10 con1000{10}: 172.16.1.0/24|/0 === 192.168.1.0/24|/0 Security Associations (1 up, 0 connecting): con1000[5]: ESTABLISHED 9 minutes ago, 192.0.2.1[192.0.2.1]...203.0.113.1[203.0.113.1] con1000[5]: IKEv1 SPIs: 9a7c63068835c713_i 2560aa82a3213827_r*, pre-shared key reauthentication in 23 hours con1000[5]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 con1000{12}: INSTALLED, TUNNEL, reqid 10, ESP SPIs: c11f0c6c_i c92300a0_o con1000{12}: AES_CBC_128/HMAC_MD5_96, 540 bytes_i (9 pkts, 566s ago), 840 bytes_o (7 pkts, 566s ago) con1000{12}: 172.16.1.0/24|/0 === 192.168.1.0/24|/0 con1001{13}: INSTALLED, TUNNEL, reqid 11, ESP SPIs: c1461735_i cff79744_o con1001{13}: AES_CBC_128/HMAC_MD5_96, 720 bytes_i (12 pkts, 500s ago), 720 bytes_o (6 pkts, 500s ago) con1001{13}: 172.16.1.0/24|/0 === 10.0.1.0/24|/0 5. ER 외부 WAN 인터페이스를 통해서 수신하는 IKE 트래픽을 캡쳐합니다: :: sudo tcpdump -i eth0 -n udp dst port 500    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident[E] IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident[E] IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 2/others I oakley-quick[E] IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 2/others R oakley-quick[E] |info_i_25x25.png| .. Note:: 실시간 캡쳐의 결과이므로 아무런 결과가 발견되지 않는다면 클라이언트가 트래픽을 생성하지 않거나 트래픽 업스트림이 차단당한 것일수도 있습니다. 6. ER IPsec VPN 로그를 확인합니다: :: sudo swanctl --log [KNL] creating acquire job for policy 192.168.1.10/32[icmp/8] === 172.16.1.10/32[icmp/8] with reqid {1} [IKE] initiating Main Mode IKE_SA peer-192.0.2.1-tunnel-1[4] to 192.0.2.1 [ENC] generating ID_PROT request 0 [ SA V V V V ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (160 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (140 bytes) [ENC] parsed ID_PROT response 0 [ SA V V V ] [IKE] received XAuth vendor ID [IKE] received DPD vendor ID [IKE] received NAT-T (RFC 3947) vendor ID [ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (396 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (396 bytes) [ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] [ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (108 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (92 bytes) [ENC] parsed ID_PROT response 0 [ ID HASH ] [IKE] IKE_SA peer-192.0.2.1-tunnel-1[4] established between 203.0.113.1[203.0.113.1]...192.0.2.1[192.0.2.1] [IKE] scheduling reauthentication in 85424s [IKE] maximum IKE_SA lifetime 85964s [ENC] generating QUICK_MODE request 3938124991 [ HASH SA No ID ID ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (188 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (188 bytes) [ENC] parsed QUICK_MODE response 3938124991 [ HASH SA No ID ID ] [IKE] CHILD_SA peer-192.0.2.1-tunnel-1{1} established with SPIs c9200a0_i c11f0c6c_o and TS 192.168.1.0/24 === 172.16.1.0/24 [ENC] generating QUICK_MODE request 3938124991 [ HASH ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (76 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (188 bytes) [ENC] parsed QUICK_MODE request 3677282270 [ HASH SA No ID ID ] [ENC] generating QUICK_MODE response 3677282270 [ HASH SA No ID ID ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (188 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (76 bytes) [ENC] parsed QUICK_MODE request 3677282270 [ HASH ] [IKE] CHILD_SA peer-192.0.2.1-tunnel-2{2} established with SPIs cff9744_i c1461735_o and TS 10.0.1.0/24 === 172.16.1.0/24 |info_i_25x25.png| .. Note:: 실시간 캡쳐 결과이므로 출력이 보이지 않는다면, 트래픽이 방화벽을 통해서 허용되었는지 확인하십시오. 다른 방법으로는 \ **show vpn log \| no-more**\ 명령어를 통해서 전체 IPsec 로그 히스토리를 확인할 수 있습니다. 7. Server1 과 Host1, Host2사이에 터널을 통해 트래픽을 전송해봅니다: :: ping 192.168.1.10 PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data. 64 bytes from 192.168.1.10: icmp_seq=1 ttl=63 time=45.9 ms 64 bytes from 192.168.1.10: icmp_seq=2 ttl=63 time=45.2 ms 64 bytes from 192.168.1.10: icmp_seq=3 ttl=63 time=45.5 ms ping 172.16.1.10 PING 172.16.1.10 (172.16.1.10) 56(84) bytes of data. 64 bytes from 172.16.1.10: icmp_seq=1 ttl=63 time=45.9 ms 64 bytes from 172.16.1.10: icmp_seq=2 ttl=63 time=45.2 ms 64 bytes from 172.16.1.10: icmp_seq=3 ttl=63 time=45.5 ms ping 10.0.1.10 PING 10.0.1.10 (10.0.1.10) 56(84) bytes of data. 64 bytes from 10.0.1.10: icmp_seq=1 ttl=63 time=43.9 ms 64 bytes from 10.0.1.10: icmp_seq=2 ttl=63 time=44.1 ms 64 bytes from 10.0.1.10: icmp_seq=3 ttl=63 time=44.4 ms -------------- 관련 문서 -------------- `맨위로 가기 <#top>`__ - `EdgeRouter - 하드웨어 오프로딩 `__ - `네트워킹 개론 - SSH로 커넥션 생성하기 `__ .. |book_25x25.png| image:: /hc/article_attachments/115012686207/book_25x25.png .. |image1| image:: /hc/article_attachments/115022170068/mceclip0.png .. |info_i_25x25.png| image:: //p6.zdassets.com/hc/theme_assets/77613/200012210/info_i_25x25.png .. |www.png| image:: //p6.zdassets.com/hc/theme_assets/77613/200012210/www.png .. |image4| image:: /hc/article_attachments/115022111447/mceclip1.png .. |CLI_circle.png| image:: //p6.zdassets.com/hc/theme_assets/77613/200012210/CLI_circle.png .. |info_i_25x25.png| image:: /hc/article_attachments/115018511548/info_i_25x25.png .. |info_i_25x25.png| image:: //p6.zdassets.com/hc/theme_assets/77613/200012210/info_i_25x25.png .. |image8| image:: /hc/article_attachments/115022171008/mceclip2.png .. |image9| image:: /hc/article_attachments/115022171268/mceclip3.png .. |image10| image:: /hc/article_attachments/115022111887/mceclip4.png .. |image11| image:: /hc/article_attachments/115022171568/mceclip5.png .. |image12| image:: /hc/article_attachments/115022111927/mceclip7.png .. |image13| image:: /hc/article_attachments/115022171628/mceclip8.png .. |image14| image:: /hc/article_attachments/115022172288/mceclip10.png .. |image15| image:: /hc/article_attachments/115022112567/mceclip11.png .. |info_i_25x25.png| image:: /hc/article_attachments/115018511548/info_i_25x25.png