일반적으로 MikroTik에서 터널(예: VPN, GRE 터널 또는 기타 유형의 지점 간 터널)을 구성하려면 엔드포인트 중 하나 이상이 고정 공용 IP 주소를 갖는 것이 매우 유용합니다.
그러나 항상 꼭 필요한 것은 아니며 엔드포인트에 동적 또는 개인 IP가 있는 상황을 처리할 수 있는 방법이 있습니다.
방법을 설명합니다.
한쪽 또는 양쪽 끝이 고정된 공인 IP를 갖는 경우
- 이상적인 상황: 한쪽 끝이 고정 공용 IP를 갖고 있는 경우, 이 끝이 다른 쪽 끝(동적 또는 개인 IP 사용)이 연결할 수 있는 터널의 안정적인 앵커 역할을 할 수 있기 때문에 터널의 구성 및 유지 관리가 더 쉽습니다.
양쪽 끝에 동적 IP가 있는 경우
- DDNS 서비스 이용: 두 엔드포인트 모두 동적 IP 주소를 가지고 있는 경우, 동적 DNS(DDNS) 서비스를 사용하여 IP 변경에도 불구하고 일관된 주소를 유지할 수 있습니다. MikroTik은 여러 DDNS 서비스를 지원하므로 각 엔드포인트가 IP 변경 시 자동으로 DNS 레코드를 업데이트하여 터널 접근성을 유지할 수 있습니다.
- 동적 시작을 통한 VPN 피어링: OpenVPN 또는 IPsec과 같은 일부 VPN 프로토콜을 사용하면 터널이 양쪽 끝에서 시작될 수 있으며 고정 주소 없이도 IP 주소 변경을 처리할 수 있습니다. 이는 일반적으로 라우터가 주기적으로 터널 설정 또는 재설정을 시도하도록 구성하거나 연결이 끊어진 것을 감지하여 수행됩니다.
양쪽 끝이 NAT 뒤에 있는 경우
- NAT 통과 사용: 한쪽 또는 양쪽 끝이 NAT 뒤에 있는 상황에서는 IPsec용 NAT-T(NAT Traversal) 또는 포트 전달 구성과 같은 기술이 터널을 설정하고 유지하는 데 도움이 될 수 있습니다. NAT-T를 사용하면 UDP 패킷 내에 IPSec 패킷을 캡슐화하여 IPsec이 NAT 장치를 통해 트래픽을 수행할 수 있습니다.
- 포트 포워딩 구성: 일부 유형의 GRE 터널과 같이 기본적으로 NAT-T를 지원하지 않는 터널을 사용하는 경우 내부 MikroTik 장치로 들어오는 트래픽을 허용하도록 NAT에서 포트 전달을 구성해야 합니다.
고려
- 보안 및 안정성: 고정 IP를 사용하는 엔드포인트가 하나 이상 있으면 구성 복잡성과 IP 주소 변경으로 인한 중단 위험이 줄어들므로 터널의 보안과 안정성이 향상됩니다.
- 모니터링 및 유지 관리: 동적 IP를 사용한 구성에는 터널이 계속 작동하고 안전하게 유지되도록 하기 위해 더 많은 모니터링과 더 많은 유지 관리가 필요합니다.
요약하자면, MikroTik의 터널 한쪽 끝에 고정 공용 IP를 갖는 것이 유익하고 덜 복잡하지만, 이것이 불가능할 때 터널을 구성하고 유지 관리할 수 있는 다양한 기술 솔루션이 있습니다.
이 게시물에는 태그가 없습니다.