daily

fortigate dialup ipsec vpn 설정하기

Dialup vpn은 hub and spoke 구성에서 사용합니다.

위 구성도처럼 Dialup VPN server가 hub이고 branch office가 spoke입니다.

hub는 상대방의 공인 IP를 모르기 때문에 VPN 연결을 기다리고 있는 상태이고 spoke가 hub의 공인 IP로 VPN 연결을 시도합니다.

Fortigate GUI > VPN > IPsec Wizard > Template Type을 Custom으로 생성

이전의 site to site IPsec VPN과 설정은 거의 동일합니다.

IPsec VPN Phase 1설정

여기서 차이점은 Remote Gateway를 Dialup User로 변경하여 만들어줍니다.

그리고 Interface는 Wan1 설정

site to site 설정 시 상대방의 공인 IP를 입력해 주어야 했습니다.

dialup은 연결을 기다리고 있는 상태이기 때문에 먼저 연결 시도를 하지 않고 wan1으로 오는 연결에 대해서만 VPN을 맺습니다.

IPsec VPN Phase2 설정

여기서 참고해야 할 부분은 Local address와 remote address 부분

IP대역을 위 구성대로 설정하였지만 연결하려고 하는 spoke가 많을 경우

remote address를 0.0.0.0/0 으로 설정합니다.

이유는 다수의 spoke의 연결을 해야 하기 때문입니다.

VPN 정책 설정

Incoming Interface : Dialup-VPN

Outgoing Interface : DMZ

Source : all

Destination : dmz IP 대역 (10.1.100.0/24)

해당 설정 생성 후 Clone reverse 로 VPN 양방향 정책을 만들어줍니다.

여기까지 Dialup VPN Server(Hub)에서 IPsec VPN관련된 설정은 끝입니다.

라우팅의 경우는 VPN이 맺어지면 상대방 Remote address에 대한 라우팅이 static하게 자동으로 추가됩니다./ hub만 해당

Branch office(spoke)는 Dialup VPN Server의 Local address 대역을 수동으로 추가해줘야 합니다.

fortigate dialup ipsec vpn 설정하기

끝