반응형

* 망 구성
10.100.30.101 -- VPN 1 -- ( Public ) -- VPN 2 (10.251.212.240) -- 10.90.65.182

10.100.30.101 -> 10.90.65.182로 pkt을 전송할 경우, 
VPN2 <-> 10.90.65.182 사이 망이 굉장히 복잡하여 10.100.30.101 - 10.90.65.182에 대한 라우팅을 설정할 수 없는 구간이다.

이에따라 아래와 같이 NAT를 설정했다.
NAT를 설정한 구간은, 10.100.30.101 --> 10.90.65.182 이며 'Use Outgoing Interface Address'를 설정했다.


* 설정방법
 . Policy & Objects > IPv4 Policy > 구간선택


* packet 확인
아래와 같이 10.100.30.101 -> 10.90.65.182 pkt이 인입될 경우
10.100.30.101은 10.251.212.240으로 Translation 되어 통신이 완료된다. 


FortiVPN # dia sniffer packet any 'host 10.90.65.182' 4
interfaces=[any]
filters=[host 10.90.65.182]
1.026395 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
1.026511 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121  
4.032451 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
4.032509 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121 
4.989417 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
4.989526 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 
7.990786 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
7.990834 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 

반응형
저작자표시

'직장생활 > VPN (Cisco, FortiGate)' 카테고리의 다른 글

[FortiGate VPN] Site-to-Site 설정 시 확인 필요 사항 (Local Network 라우팅)  (0) 2021.07.22
리눅스(우분투)에서 VPN 접속하는 방법 / How to connect Cisco VPN in Ubuntu  (0) 2021.07.22
[Cisco VPN] Asymmetric NAT rules matched for forward and reverse flows; ... denied due to NAT reverse 해결 방법  (0) 2021.07.14
[Cisco VPN] ASA5585-SSP-10 패킷 캡쳐 방법 및 실습(packet capture) in ASDM, CLI  (0) 2021.07.14
[Cisco VPN] Deny TCP (no connection) from ~ to ~ flags ACK on interface inside 현상 해결 (ASDM, CLI)  (0) 2021.07.14
반응형

* VPN에서 Local Network로 Ping 되더라도, VPN Interface - Local Network간 대역이 다를 경우
Local Network에 대한 Routing을 추가해놓아야 한다.
왜?  VPN - Local Network간에는 대역이 동일 or 라우팅 설정 등으로 ping이 이미 되는 상황일 수 있으나,
Site-to-Site는 Remote Network 대역을 Source IP로, 우리 Local Network 대역에 붙어야 하기 때문.
따라서, Local Network <-- VPN <-- Remote Network로 pkt이 올 경우
정확한 가이드를 위해 VPN에서도 Local Network에 대해 라우팅 추가를 미리 설정해준다.

  
* 문제 현상
VPN에 Local Network와 ping이 되지만, 대역이 다른 경우에,
그리고 라우팅이 설정 안 되어 있을 경우, 아래와 같이 수신된 packet을 out 시킬 수 없다.
FortiVPN# dia sniffer packet nay 'host 10.100.30.101' 4
intefaces=[any]
filters=[host 10.100.30.101]
1.140135 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request
6.142442 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request
11.134851 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request
21.124414 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request


* 보완
Local Network에 대한 Routing을 설정 후, 아래와 같이 packet은 정상 out된다.
FortiVPN # dia sniffer packet any 'host 10.100.30.101' 4
interfaces=[any]
filters=[host 10.100.30.101]
73.304160 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request
73.305211 iTest_server out 10.90.65.182 -> 10.100.30.101: icmp: echo reply
74.309417 iTest_server in 10.100.30.101 -> 10.90.65.182: icmp: echo request
74.312548 iTest_server out 10.90.65.182 -> 10.100.30.101: icmp: echo reply
249.096258 iTest_server out 10.90.65.182 -> 10.100.30.101: icmp: echo reply
250.098714 iTest_server out 10.90.65.182 -> 10.100.30.101: icmp: echo reply
^C
6 packets received by filter
0 packets dropped by kernel

반응형
저작자표시

'직장생활 > VPN (Cisco, FortiGate)' 카테고리의 다른 글

[FortiGate VPN] NAT 설정 후 Packet 경로 (IPv4 Policy)  (0) 2021.07.22
리눅스(우분투)에서 VPN 접속하는 방법 / How to connect Cisco VPN in Ubuntu  (0) 2021.07.22
[Cisco VPN] Asymmetric NAT rules matched for forward and reverse flows; ... denied due to NAT reverse 해결 방법  (0) 2021.07.14
[Cisco VPN] ASA5585-SSP-10 패킷 캡쳐 방법 및 실습(packet capture) in ASDM, CLI  (0) 2021.07.14
[Cisco VPN] Deny TCP (no connection) from ~ to ~ flags ACK on interface inside 현상 해결 (ASDM, CLI)  (0) 2021.07.14

+ Recent posts

티스토리툴바