EdgeRouter - USG와 EdgeRouter 사이의 사이트 투 사이트 VPN

download at 2017-04-10T22:25:49Z origin

Overview


이 문서는 EdgeRouter와 USG를 사용하여 사이트 투 사이트 VPN을 설정하는 방법을 서술합니다.

구현


예제는 UniFi 5.4.11 버전과 EdgeOS 1.5.0 버번을 기준으로 작성하였습니다. 하드웨어 플랫폼은 3 포트 USG와 5 포트 EdgeRouter를 기준으로 작성합니다.

아래 그림은 본 예제에서 사용한 네트워크 다이어그램입니다.

image0

ER-5-POE 네트워크 설정

EdgeOS의 네트워크 설정을 전부 확인하지 않지만, 다음 작업을 포함하고 있습니다:

  • eth1 IP를 설정합니다.
  • switch0을 eth3,4,5가 포함 되도록 하고, 192.168.202.1의 IP를 할당합니다.
  • 192.168.202.0/23 서브넷을 DHCP 서버에 설정합니다.
  • NAT를 설정합니다.

USG 네트워크 설정

UniFi 컨트롤러에서 "Settings" > "Networks" 을 선택하여 192.168.100.0/24 서브넷을 생성/수정 합니다.

EdgeRouter에서 사이트 투 사이트 VPN 생성하기

  1. "VPN"을 선택합니다.
  2. "IPsec Site-to-Site" 를 선택합니다.
  3. 위의 그림을 바탕으로 "eth1"을 IPsec 인터페이스로 사용합니다.
  4. USG를 위한 "Add Peer"를 선택합니다.
  5. Peer IP: 10.1.2.236    => USG WAN IP
  6. Local IP: 10.1.2.170   => EdgeRouter WAN IP
  7. Pre-shared secret: ubntUBNT   => 임의 값입니다, 변경하여 사용하세요
  8. Local subnet: 192.168.202.0/23     => EdgeRouter에 속하는 사이트
  9. Remote subnet: 192.168.100.0/24    => USG에 속하는 사이트
  10. "Apply"를 클릭합니다.

첨부 에서 EdgeRouter에서 사용된 설정 덤프 파일을 확인할 수 있습니다.

USG에서 사이트 투 사이트 VPN 생성하기

아래의 스크린샷과 같이 UniFi 컨트롤러의 UI에서 VPN을 설정할 수 있습니다:

image1

저장을 하면, USG는 IPsec VPN 설정으로 프로비저닝합니다. VPN을 상태를 확인하고 싶다면 USG로 SSH 접근 후 'show vpn ipsec sa' 명령어를 입력합니다. VPN의 2단계 상태로 진행이 되면, 트래픽이 터널로 전송됩니다.

VPN 연결 확인하기

"ping 192.168.100.1"을 EdgeRouter에 연결된 클라이언트에서 수행하고, "ping 192.168.202.1"을 USG에 연결된 클라이언트에서 수행해 봅시다. LAN 인터페이스에서 핑을 수행하지 않는한, EdgeRouter, USG로 핑을 수행하지 않을 것입니다. 핑을 올바르게 동작하게 하려면, VPN 을 실행하고, 동작하도록 해야 합니다. ICMP 허용 룰을 UniFi 컨트롤러의 WAN 로컬에 추가합니다. (Settings > Routing and Firewall > Firewall > WAN Local > Create new rule)