Screen OS 방화벽 장비의 L2TP Tunnel
2014. 12. 18. 21:57
Juniper 장비 중 Screen OS를 사용하는 장비 SSG, ISG 등의 장비에서 지원하는 Client VPN Tool로는 Juniper와 협약을 맺어 무료로 사용 할 수 있는 Netscreen Remote라는 Tool과 NCP VPN Client라는 Tool이 있습니다. Netscreen Remote는 무료로 사용 할 수 있으나, Windows XP 까지만 지원이 되며, Windows Vista 이후 버전에서는 지원이 되지 않습니다. NCP VPN Client는 Windows의 모든 버전에 지원이 되지만, License에 대한 비용이 발생합니다.
그래서, Windows에 내장되어 있는 L2TP Tunnel을 이용하여 Screen OS 장비에 접속하여 통신 하는 방법에 대해 살펴 보겠습니다.
Windows에 내장되어 있는 L2TP는 Netscreen Remote나 NCP VPN Client 같은 별도의 Tool이 아니기 때문에 비용이 발생하지 않으며, Windows 모든 버전에서 지원하는 듯 합니다. L2TP를 설정 하는 방법은 단순 L2TP만을 사용하는 방법과 L2TP over IPSec을 사용하여 접속하는 방법으로 2가지가 있으며, 단순 L2TP 설정으로 통신하는 방법 중 Client PC에서 변경이 필요한 부분에 대해 잠시 살펴보겠습니다.
아래 구성도는 L2TP Test를 진행했던 구성도이며, L2TP Server 장비로는 SSG5를 사용했습니다.
Client PC에서 L2TP 연결을 위해 필요한 설정 입니다.
1. 레지스트리 값 추가
- Screen OS 방화벽 장비에 L2TP로 접속하기 위해서는 특정 레지스트리 값을 추가해야 합니다.
2. L2TP 인터페이스 설정 변경
- L2TP로 사용할 인터페이스를 생성 한 후 인터페이스 속성에서 VPN 종류를 L2TP로 변경 합니다.
- 인터페이스 설정을 위와 같이 변경 하면 통신하고자 하는 서버 또는 업무 망으로 접속이 됩니다. 하지만 업무 망과 인터넷 망이 분리되어 있지 않기 때문에, L2TP 인터페이스의 설정 변경과 서버 또는 업무망에 대해 수동으로 라우팅을 설정해야 하는 부분이 있습니다.
L2TP 설정을 완료 한 후 접속하고자 하는 서버로 가는 경로를 확인 해 보면, L2TP 서버가 되는 장비를 거쳐서 서버로 바로 접속하는 것을 확인 할 수 있습니다.
별도의 Client VPN Tool 없이 Windows에 내장 되어 있는 L2TP 기능 만으로 원격지에 있는 서버 등에 접속하는 데에 이상은 없었지만, 레지스트리 값 추가, 라우팅 수동 설정 등 PC에서 변경 해야 하는 부분이 있어 번거로운 듯한 면이 있습니다. 또한 단순 L2TP 만을 이용했기 때문에 데이터를 전송함에 있어 암호화는 되지 않는 부분이 있기 때문에 보안상 이슈 될만 한 부분이 없을 때 사용 해야 할 듯 합니다.
이상으로 포스팅을 마치겠습니다.
감사합니다.