반응형

* 망 구성
10.100.30.101 -- VPN 1 -- ( Public ) -- VPN 2 (10.251.212.240) -- 10.90.65.182

10.100.30.101 -> 10.90.65.182로 pkt을 전송할 경우, 
VPN2 <-> 10.90.65.182 사이 망이 굉장히 복잡하여 10.100.30.101 - 10.90.65.182에 대한 라우팅을 설정할 수 없는 구간이다.

이에따라 아래와 같이 NAT를 설정했다.
NAT를 설정한 구간은, 10.100.30.101 --> 10.90.65.182 이며 'Use Outgoing Interface Address'를 설정했다.


* 설정방법
 . Policy & Objects > IPv4 Policy > 구간선택


* packet 확인
아래와 같이 10.100.30.101 -> 10.90.65.182 pkt이 인입될 경우
10.100.30.101은 10.251.212.240으로 Translation 되어 통신이 완료된다. 


FortiVPN # dia sniffer packet any 'host 10.90.65.182' 4
interfaces=[any]
filters=[host 10.90.65.182]
1.026395 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
1.026511 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121  
4.032451 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
4.032509 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121 
4.989417 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
4.989526 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 
7.990786 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
7.990834 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 

반응형
저작자표시

'직장생활 > VPN (Cisco, FortiGate)' 카테고리의 다른 글

[FortiGate VPN] Site-to-Site 설정 시 확인 필요 사항 (Local Network 라우팅)  (0) 2021.07.22
리눅스(우분투)에서 VPN 접속하는 방법 / How to connect Cisco VPN in Ubuntu  (0) 2021.07.22
[Cisco VPN] Asymmetric NAT rules matched for forward and reverse flows; ... denied due to NAT reverse 해결 방법  (0) 2021.07.14
[Cisco VPN] ASA5585-SSP-10 패킷 캡쳐 방법 및 실습(packet capture) in ASDM, CLI  (0) 2021.07.14
[Cisco VPN] Deny TCP (no connection) from ~ to ~ flags ACK on interface inside 현상 해결 (ASDM, CLI)  (0) 2021.07.14
반응형

1. NAT(Network Address Translation, NAT)

: 내부 네트웍 IP를 외부 IP대역으로 변환(translation)해주는 것.

변환해주는 이유는 내부 네트워크 보호 또는 Public IP 부족 등을 해결하기 위해.

여러 개의 내부 네트웍 대역이 1개의 Public IP를 port별로 나누어서 사용할 수 있다. (= PAT)

Static NAT는 하나의 내부 IP을 하나의 외부 IP와 1:1 매핑, Dynamic NAT는 N:N, PAT는 1:N이 가능하다.

- Static NAT

. 동작 방식

1) 내부 IP 주소에 따른 외부 IP주소를 미리 1:1 설정

2) 외부 주소에서 내부로 들어온 패킷을 NAT에서 내부 주소로 변환 후 전달

외부 -----------(NAT)-------------> 내부

- Dynamic NAT

. 내부 IP대역, 외부 IP대역을 N:N 설정 후, 실제로 패킷이 인입될 때 설정한 IP POOL에 있는 IP가 할당된다.

2. PAT(Port Address Translation)

: 일반적인 NAT는 내부 네트워크 주소와 외부로 변환되는 주소가 1:1로 매치되는 경우를 말한다.

만약, 다수의 내부 네트워크 주소가 하나의 주소로 변환되어 외부로 나갈 경우에는 오버로딩(Overloading) 또는 PAT (Port Address Translation) 기능이 필요하다.

PAT는 전송 계층 식별자인 TCP와 UDP의 포트 번호, ICMP 쿼리 식별자까지 변환함으로써 주소 변환의 개념을 한층 발전시켰다.

하나의 공인 IP 주소만 있어도 내부 네트워크 전체 주소를 변환할 수 있는 오버로딩 기능덕분에 IP 주소 고갈을 해결할 수 있다.

3. Cisco VPN에서 NAT 설정

Configuration 탭 > Firewall > NAT Rules 에서 인터페이스별 NAT 설정

any, any 설정은 대역마다 다른 IP를 할당할 수 없으므로, 처음부터 명확한 IP 대역을 설정하는 것이 좋음.

Source Intf는 내부 대역으로 설정하고 Dest Intf는 외부 대역으로 설정 및 Dynamic PAT로 설정을 해야 ip 고갈을 해결할 수 있다.

+ Description은 미래에 이걸 왜 설정했는지 까먹는 경우가 생기므로.. 미리미리 작성해두는 것이 좋다.

4. Cisco VPN에서 NAT된 내역 조회

Monitoring 탭 > VPN > VPN Statistics > Sessions에서 VPN 접속 방식(Site-to-Site, Remote Access 등)에 따라 조회 가능하다.

각 접속된 방식 및 User에 따라 Assigned IP Address, Public(Peer) IP Address를 함께 확인할 수 있다.

5. NAT Policy 및 실제 사용되는 packet량 조회

Tolls > Command Line Interface 에서 "show nat"

Result of the command: "show nat"

Manual NAT Policies (Section 1)

1 (trial) to (outside) source dynamic DM_INLINE_NETWORK_20 interface

translate_hits = 8996, untranslate_hits = 3

2 (AT_S) to (outside) source dynamic DM_INLINE_NETWORK_3 interface destination static 8.8.0.0 8.8.0.0 description Ms.YR for_DNS__by Jane_200518

translate_hits = 124663, untranslate_hits = 124664

3 (AT_S) to (outside) source dynamic any interface inactive

translate_hits = 0, untranslate_hits = 0

4 (AT_S) to (any) source static 172.20.20.0 172.20.20.0 destination static NETWORK_OBJ_172.20.62.232_29 NETWORK_OBJ_172.20.62.232_29 unidirectional description Mr.Choi_Jongtak__by_Jane_200513

translate_hits = 0, untranslate_hits = 161

5 (AT_S) to (outside) source static any any destination static NETWORK_OBJ_172.20.38.128_29 NETWORK_OBJ_172.20.38.128_29 no-proxy-arp route-lookup

translate_hits = 0, untranslate_hits = 0

6 (AWS) to (outside) source static NETWORK_OBJ_20.20.20.50 NETWORK_OBJ_20.20.20.50 no-proxy-arp route-lookup description For_mobile__by_S

translate_hits = 3554, untranslate_hits = 9901

7 (AT_S) to (outside) source static any any destination static NETWORK_OBJ_172.20.38.80_28 NETWORK_OBJ_172.20.38.80_28 unidirectional description Mr.Jung__by_Jane_200515

translate_hits = 0, untranslate_hits = 18

8 (DEMO) to (outside) source dynamic 50.50.50.0 interface description Mr.cho__by_Jane_200519

translate_hits = 0, untranslate_hits = 0

* 참고

• translate_hits: counter for real to mapped IP addresses       // 내부 --> 외부

• untranslate_hits: counter for mapped to real IP addresses  // 내부 <-- 외부

즉, 외부에서 내부로 서비스 접속을 시도하게 되면 untranslate_hits count가 발생된다.

예를 들어 아래의 IP에 대해서 Inside to Outside NAT 설정돼 있다면, hits가 되는 방향은 아래와 같다.

Inside Real IP = 172.20.43.10

Outside Mapping IP = 1.1.1.1

=

Translate_hits = 172.20.43.10 to 1.1.1.1

Untranslate_hits = 1.1.1.1 to 172.20.43.10

반응형
저작자표시

'직장생활 > VPN (Cisco, FortiGate)' 카테고리의 다른 글

[Cisco VPN] Asymmetric NAT rules matched for forward and reverse flows; ... denied due to NAT reverse 해결 방법  (0) 2021.07.14
[Cisco VPN] ASA5585-SSP-10 패킷 캡쳐 방법 및 실습(packet capture) in ASDM, CLI  (0) 2021.07.14
[Cisco VPN] Deny TCP (no connection) from ~ to ~ flags ACK on interface inside 현상 해결 (ASDM, CLI)  (0) 2021.07.14
[Cisco VPN] Split Tunneling (Split VPN): VPN에서 트래픽 분리 설정 (ASDM)  (1) 2021.07.06
[Cisco VPN] Access-List 개념 및 설정 방법 + ASDM  (3) 2021.07.04

+ Recent posts

티스토리툴바