포티넷 vpn의 터널링에 관해서 몇가지 궁금한게있습니다

Question

포티넷의 ipsec터널링 설정중 phase2부분에

local과 remote ip를 적는란에 포티넷장비의 하위장비중 어느장비의 대역을 넣어야하는지 궁금합니다

예를들면 포티넷1 장비의 ip가 10.10.10.10일때, 하위망1의 단말주소를 192.168.2.10이라고 가정,
하위망2의 단말주소를 172.16.2.10이라고 가정하고

포티넷2의 장비의ip가 10.10.10.20일때, 하위망1의 단말주소를 193.168.2.10이라고가정,

하위망2의 단말주소를 173.16.2.10 이라고 가정했을때

phase2의 주소입력란을 (장비1기준)

192.168.2.10

193.168.2.10

이렇게 적는게맞는지

아니면

172.16.2.10

173.16.2.10

이렇게 적는게 맞는지 궁금합니다

또한 위의 질문을 토대로 172와 173대역을 phase2에 적었을때 192,193대역도 서로 터널링을 통해 통신이 되는지도 궁금합니다

Answer 1

안녕하세요. 조규현 전문가입니다.

포티넷 VPN의 IPsec 터널링 설정에서 Phase2 부분의 Local과 Remote IP 대역은 서로 통신할 네트워크 주소 범위를 의미합니다. 귀하의 예시를 기준으로 설명드리면, Phase2에는 각 장비가 직접 연결되어 있고 터널을 통해 통신하려는 하위망 네트워크 대역을 입력하는 것이 일반적입니다. 따라서 포티넷1 장비에서 Phase2에 입력할 Local IP는 192.168.2.0/대역이나 172.16.2.0/대역 중 터널링을 원하는 구간을 지정하는 것이고, Remote IP에는 포티넷2 장비의 대응하는 하위망 대역인 193.168.2.0/대역이나 173.16.2.0/대역을 입력하는 것이 정확합니다.

만약 Phase2에 172.16.x.x와 173.16.x.x 대역을 지정했다면, 해당 설정 범위 내에서만 터널링 대상이 되므로, 만약 192.168.x.x와 193.168.x.x 대역이 포함되지 않으면 이 대역 간의 통신은 터널을 통해 이루어지지 않을 가능성이 큽니다. 각 네트워크 대역이 서로 통신되도록 하려면 Phase2 설정에 통신을 원하는 모든 네트워크 대역을 명확히 포함시켜야 하며, 그렇지 않으면 터널 경로가 설정되지 않아 통신이 차단됩니다. 즉, 원하는 네트워크들이 모두 포함되도록 Local과 Remote 주소를 포괄적으로 설정하는 방식을 권장드립니다.

참고 부탁드립니다.