본점과 지점을 ipsec vpn으로 연결하려고 합니다.
지점에 접근 시에 FW -> 본점 -> 지점 순으로 들어가고
지점이 인터넷 통신 시에도 지점 -> 본점 -> FW 순서대로 나갑니다.
본점 -> 지점: ping ssh telnet 등 다 가능합니다.
지점 -> 본점: ping만 갑니다.
현재 fw의 정책은 all accpet입니다.
지점에서 본점으로 ssh telnet이 안되는 이유를 모르겠습니다. 조언을 받을 수 있을까요?
본점과 지점을 ipsec vpn으로 연결하려고 합니다.
지점에 접근 시에 FW -> 본점 -> 지점 순으로 들어가고
지점이 인터넷 통신 시에도 지점 -> 본점 -> FW 순서대로 나갑니다.
본점 -> 지점: ping ssh telnet 등 다 가능합니다.
지점 -> 본점: ping만 갑니다.
현재 fw의 정책은 all accpet입니다.
지점에서 본점으로 ssh telnet이 안되는 이유를 모르겠습니다. 조언을 받을 수 있을까요?
5개의 답변이 있습니다.
방화벽 정책이 "모두 허용"으로 설정되어 있다고 언급했지만 다음 사항을 확인해 볼 필요가 있습니다.
■특히 SSH(포트 22) 및 Telnet(포트 23) 트래픽에 영향을 줄 수 있는 검사 또는 필터링 규칙이 있는지 확인하세요.
트래픽을 방해할 수 있는 NAT 규칙이 있는지 확인하세요.
■SSH 및 Telnet 트래픽이 통과할 수 있도록 NAT가 올바르게 구성되었는지 확인하세요.
■지점과 본사 간 VPN 트래픽에 대해 NAT 면제(no-NAT) 규칙이 있는지 확인하세요.
지점 및 본사 네트워크 모두의 라우팅 테이블이 올바르게 구성되었는지 확인하세요.
■지점 및 본사 네트워크에 대한 경로가 올바르게 알려지고 연결 가능한지 확인하세요.
■패킷이 대상으로 가는 한 경로와 다른 경로를 사용하여 방화벽에서 상태 저장 검사에 문제를 일으킬 수 있는 비대칭 라우팅이 발생하지 않는지 확인하세요.
VPN 구성 자체를 확인하세요.
■IPsec 터널이 올바르게 구성 및 설정되었는지 확인하세요.
■1단계 및 2단계 매개변수(암호화, 해싱 등)가 올바르게 설정되어 있고 양쪽에서 일치하는지 확인하세요.
■VPN과 관련된 VPN 정책 및 ACL(액세스 제어 목록)을 확인하여 SSH 및 Telnet 트래픽을 허용하는지 확인하세요.
이 외에도 MTU 크기 문제, 보안 정책 및 검사 엔진을 검사 등도 확인해보세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입여러 고객사를 다녀볼 때 방화벽에 문제가 없고 all accept 라고 항상 말하는데,
나중에 문제가 되어서 해결점을 찾아 보면 방화벽에서 막고 있는게 90% 이상이었습니다.
방화벽일 가능성이 제일 커 보이니 다시한번 처음부터 방화벽 설정 체크 한번 해 보세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입본점 -> 지점: ping ssh telnet 등 다 가능합니다.
지점 -> 본점: ping만 갑니다.
지점 내에서 ssh, telnet 연결되는지 체크해보세요.
지점 내에서도 ssh, telnet 연결이 안되면 서버내 서비스가 없거나 서버 방화벽에서 차단되고
있을 수 있습니다.
네트워크 방화벽도 all accept되어 있다하더라도 정책 우선순위에 따라 차단될 수 있으니
ipsec vpn 관련된 방화벽 정책이 없는지도 체크해보세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입일단 인터넷이 본점 FW을 통해서 나가고, Ping 이 간다는건 정상적으로 터널링이 되었다는 소리가 되겠고요,.
그럼 지점에서 본점의 서버쪽으로 ssh, telnet이 안된다고 하는건 해당 서버에서 ssh, telnet을 막아둬서 안된다고 밖에 설명이 안되네요.
지점에서 ssh, telnet했을때, 본점 서버에서 tcpdump를 실행했을때 정상적으로 syn 패킷이 들어오는지 보시고 syn들어오고 ack를 보냈을때 지점에서도 tcpdump를 실행해서 들어오는지 봐야 합니다.
만약 본점 서버에서 tcpdump시 아무런 패킷이 들어오지 않는다고 하면 방화벽에서 막혔을 수도 있으니 확인해보시면 되겠습니다.
그리고 방화벽도 ipsec vpn으로 연결해뒀으면 어떤 방화벽 장비를 사용하는지 모르겠지만 인터페이스별로 정책을 설정을 해야 될수도 있으니 그것도 확인해보시기 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입ping은 본점에서 지점으로도, 지점에서 본점으로 정상 연결된다는 내용이네요.
ssh 접속은 ssh 클라이언트와 ssh 서버와의 통신입니다.
ping이 정상적으로 찾아 갈 수 있는 네트워크 경로라면 ssh도 정상적으로 찾아 갈 수 있는 경로라 할 수 있겠고요.
단지, ping과 ssh는 사용하는 포트가 다를 뿐이기 때문에 방화벽에서 ssh가 사용하는 포트를 차단해 두었다거나... 아니면 ssh 서버 측에서 ssh 클라이언트가 연결할 수 있는 서비스 포트를 열지 않고 있는 등의 문제가 있는 경우가 아니라면 정상적으로 연결되어야 겠고요,
본사-지사 간의 VPN의 문제가 있는 것은 아닌걸로 보여지네요.
지사에 있는 ssh 서버가 정상적으로 서비스를 할 수 있는 상황이 아닌 걸로 보여집니다.
ssh 서버가 작동하고 있는 서버의 방화벽 소프트웨어가 ssh 서비스 포트를 차단하고 있을 수도 있겠고요.
nmap을 이용해서 본사의 클라이언서 컴퓨터에서 지사에 있는 서버 컴퓨터로 서비스 가능한 포트 점검을 해 보고, 문제 원인을 찾아 볼 필요가 있어 보이네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입