VPN(Virtual Private Network)은 원격 사용자가 인터넷을 통해 사설 네트워크에 가상으로 연결하는 방법입니다.클라이언트-게이트웨이 VPN은 VPN 클라이언트 소프트웨어를 사용하여 사용자의 데스크톱 또는 랩톱을 원격 네트워크에 연결합니다.클라이언트-게이트웨이 VPN 연결은 원격으로 사무실 네트워크에 안전하게 연결하려는 원격 직원에게 유용합니다.Shrew VPN 클라이언트는 쉽고 안전한 VPN 연결을 제공하는 원격 호스트 디바이스에 구성된 소프트웨어입니다.
이 문서의 목적은 RV042, RV042G 또는 RV082 VPN 라우터에 연결하는 컴퓨터에 대해 Shrew VPN 클라이언트를 구성하는 방법을 보여 주는 것입니다.
참고: 이 문서에서는 Windows 컴퓨터에서 Shrew VPN 클라이언트를 이미 다운로드한 것으로 가정합니다.그렇지 않으면 Shrew VPN을 구성하기 전에 클라이언트-게이트웨이 VPN 연결을 구성해야 합니다.클라이언트에서 게이트웨이 VPN을 구성하는 방법에 대한 자세한 내용은 RV042, RV042G 및 RV082 VPN 라우터의 VPN 클라이언트에 대한 원격 액세스 터널 설정(클라이언트-게이트웨이)을 참조하십시오.
· RV042
· RV042G
· RV082
· v4.2.2.08
1단계. 컴퓨터에서 Shrew VPN 클라이언트 프로그램을 클릭하고 엽니다.Shrew Soft VPN Access Manager 창이 열립니다.
2단계. 추가를 클릭합니다.VPN Site Configuration 창이 나타납니다.
1단계. 일반 탭을 클릭합니다.
참고:General 섹션은 원격 및 로컬 호스트 IP 주소를 구성하는 데 사용됩니다.이 매개변수는 클라이언트-게이트웨이 연결에 대한 네트워크 매개변수를 정의하는 데 사용됩니다.
2단계. Host Name 또는 IP Address 필드에 구성된 WAN의 IP 주소인 원격 호스트 IP 주소를 입력합니다.
3단계. Port 필드에 연결에 사용할 포트 번호를 입력합니다.그림 예에서 사용되는 포트 번호는 400입니다.
4단계. Auto Configuration 드롭다운 목록에서 원하는 구성을 선택합니다.
· Disabled(비활성화됨) — 비활성화된 옵션은 모든 자동 클라이언트 컨피그레이션을 비활성화합니다.
· IKE Config Pull — 클라이언트에서 컴퓨터에서 요청을 설정할 수 있습니다.컴퓨터에서 Pull 메서드를 지원하면 클라이언트에서 지원하는 설정 목록이 반환됩니다.
· IKE Config Push — 컴퓨터에서 컨피그레이션 프로세스를 통해 클라이언트에 설정을 제공할 수 있는 기회를 제공합니다.컴퓨터에서 Push 메서드를 지원하면 클라이언트에서 지원하는 설정 목록이 반환됩니다.
· DHCP Over IPSec — DHCP over IPSec을 통해 컴퓨터에서 설정을 요청할 수 있는 기회를 클라이언트에 제공합니다.
5단계. Adapter Mode(어댑터 모드) 드롭다운 목록에서 Auto Configuration(자동 컨피그레이션)을 기반으로 로컬 호스트에 대해 원하는 어댑터 모드를 선택합니다.
· Use a Virtual Adapter and Assigned Address(가상 어댑터 및 할당된 주소 사용) — 클라이언트가 지정된 주소의 가상 어댑터를 사용할 수 있습니다.
· Use a Virtual Adapter and Random Address(가상 어댑터 및 임의 주소 사용) - 클라이언트가 임의의 주소가 있는 가상 어댑터를 사용할 수 있습니다.
· 기존 어댑터 및 현재 주소 사용 — 기존 어댑터 및 주소를 사용합니다.추가 정보를 입력할 필요가 없습니다.
6단계. 단계 5의 어댑터 모드 드롭다운 목록에서 Use a Virtual Adapter and Assigned Address(가상 어댑터 및 할당된 주소 사용)를 선택한 경우 MTU 필드에 MTU(최대 전송 단위)를 입력합니다. 최대 전송 단위는 IP 조각화 문제를 해결하는 데 도움이 됩니다.기본값은 1380입니다.
7단계(선택 사항) DHCP 서버를 통해 주소 및 서브넷 마스크를 자동으로 가져오려면 Obtain Automatically(자동 가져오기) 확인란을 선택합니다.일부 컨피그레이션에는 이 옵션을 사용할 수 없습니다.
8단계. 5단계의 Adapter Mode(어댑터 모드) 드롭다운 목록에서 Use a Virtual Adapter and Assigned Address(가상 어댑터 및 할당된 주소 사용)를 선택한 경우 Address(주소) 필드에 원격 클라이언트의 IP 주소를 입력합니다.
9단계. 5단계의 어댑터 모드 드롭다운 목록에서 가상 어댑터 및 할당된 주소 사용을 선택한 경우 Netmask 필드에 원격 클라이언트의 IP 주소의 서브넷 마스크를 입력합니다.
10단계. 저장을 클릭하여 설정을 저장합니다.
1단계. Client 탭을 클릭합니다.
참고: Client 섹션에서 Firewall 옵션, Dead Peer Detection, ISAKMP(Internet Security Association and Key Management Protocol) Failure Notifications를 구성할 수 있습니다.설정은 어떤 구성 옵션을 수동으로 구성할지, 자동으로 구성할지를 정의합니다.
2단계. NAT Traversal 드롭다운 목록에서 적절한 NAT(Network Address Translation) traversal 옵션을 선택합니다.
· Disable — NAT 프로토콜이 비활성화되어 있습니다.
· Enable — 게이트웨이가 협상을 통한 지원을 나타내는 경우에만 IKE 단편화가 사용됩니다.
· 강제 초안 — NAT 프로토콜의 초안 버전입니다.게이트웨이가 협상 또는 NAT 탐지를 통한 지원을 나타내는 경우 사용됩니다.
· Force RFC — NAT 프로토콜의 RFC 버전입니다.게이트웨이가 협상 또는 NAT 탐지를 통한 지원을 나타내는 경우 사용됩니다.
3단계. NAT Traversal Port 필드에 NAT에 대한 UDP 포트를 입력합니다.기본값은 4500입니다.
4단계. Keep -alive 패킷 속도 필드에 연결 유지 패킷이 전송되는 속도 값을 입력합니다.값은 초 단위로 측정됩니다.기본값은 30초입니다.
5단계. IKE Fragmentation(IKE 조각화) 드롭다운 목록에서 적절한 옵션을 선택합니다.
· Disable — IKE 단편화가 사용되지 않습니다.
· Enable — 게이트웨이가 협상을 통한 지원을 나타내는 경우에만 IKE 단편화가 사용됩니다.
· 강제 — IKE 프래그먼트화는 표시 또는 탐지에 관계없이 사용됩니다.
6단계. Maximum packet size(최대 패킷 크기) 필드에 최대 패킷 크기를 Bytes(바이트)로 입력합니다.패킷 크기가 최대 패킷 크기보다 크면 IKE 프래그먼트화가 수행됩니다.기본값은 540바이트입니다.
7단계. (선택 사항) 컴퓨터와 클라이언트가 다른 사용자가 더 이상 응답할 수 없는 경우를 탐지할 수 있도록 하려면 Enable Dead Peer Detection 확인란을 선택합니다.
8단계. (선택 사항) VPN 클라이언트에서 실패 알림을 보내려면 Enable ISAKMP Failure Notifications(ISAKMP 실패 알림 활성화) 확인란을 선택합니다.
9단계. (선택 사항) 게이트웨이와 연결이 설정될 때 클라이언트에서 로그인 배너를 표시하려면 Enable Client Login 확인란을 선택합니다.
10단계. 저장을 클릭하여 설정을 저장합니다.
1단계. 이름 확인 탭을 클릭합니다.
참고:이름 확인 섹션은 DNS(Domain Name System) 및 WIN(Windows Internet Name Service) 설정을 구성하는 데 사용됩니다.
2단계. DNS 탭을 클릭합니다.
3단계. Enable DNS(DNS 활성화)를 선택하여 DNS(Domain Name System)를 활성화합니다.
4단계. (선택 사항) DNS 서버 주소를 자동으로 가져오려면 Obtain Automatically(자동 가져오기) 확인란을 선택합니다.이 옵션을 선택하는 경우 6단계로 건너뜁니다.
5단계. Server Address #1 필드에 DNS 서버 주소를 입력합니다.다른 DNS 서버가 있는 경우 나머지 Server Address 필드에 해당 서버의 주소를 입력합니다.
6단계. (선택 사항) DNS 서버의 접미사를 자동으로 가져오려면 Obtain Automatically 확인란을 선택합니다.이 옵션을 선택한 경우 8단계로 건너뜁니다.
7단계. DNS Suffix 필드에 DNS 서버의 접미사를 입력합니다.
7단계. 저장을 클릭하여 설정을 저장합니다.
9단계. WINS 탭을 클릭합니다.
10단계. WINS 사용을 선택하여 WINS(Windows Internet Name Server)를 활성화합니다.
11단계(선택 사항) DNS 서버 주소를 자동으로 가져오려면 Obtain Automatically(자동 가져오기) 확인란을 선택합니다.이 옵션을 선택한 경우 13단계로 건너뜁니다.
12단계. Server Address #1 필드에 WINS 서버 주소를 입력합니다.다른 DNS 서버가 있는 경우 나머지 Server Address 필드에 해당 서버의 주소를 입력합니다.
13단계. 저장을 클릭하여 설정을 저장합니다.
1단계. Authentication 탭을 클릭합니다.
참고: Authentication 섹션에서 클라이언트가 ISAKMP SA 설정을 시도할 때 인증을 처리하도록 매개변수를 구성할 수 있습니다.
2단계. Authentication Method(인증 방법) 드롭다운 목록에서 적절한 인증 방법을 선택합니다.
· 하이브리드 RSA + XAuth — 클라이언트 자격 증명이 필요하지 않습니다.클라이언트가 게이트웨이를 인증합니다.자격 증명은 PEM 또는 PKCS12 인증서 파일 또는 키 파일 유형의 형식입니다.
· 하이브리드 GRP + XAuth — 클라이언트 자격 증명이 필요하지 않습니다.클라이언트가 게이트웨이를 인증합니다.자격 증명은 PEM 또는 PKCS12 인증서 파일 및 공유 비밀 문자열 형식입니다.
· 상호 RSA + XAuth — 클라이언트와 게이트웨이 모두 인증을 위해 자격 증명이 필요합니다.자격 증명은 PEM 또는 PKCS12 인증서 파일 또는 키 유형의 형식입니다.
· 상호 PSK + XAuth — 클라이언트와 게이트웨이는 모두 인증을 위해 자격 증명을 필요로 합니다.자격 증명은 공유 비밀 문자열 형식입니다.
· 상호 RSA — 클라이언트와 게이트웨이 모두 인증을 위해 자격 증명이 필요합니다.자격 증명은 PEM 또는 PKCS12 인증서 파일 또는 키 유형의 형식입니다.
· 상호 PSK — 클라이언트와 게이트웨이 모두 인증을 위해 자격 증명이 필요합니다.자격 증명은 공유 비밀 문자열 형식입니다.
로컬 ID 컨피그레이션
1단계. Local Identity 탭을 클릭합니다.
참고: 로컬 ID는 확인을 위해 게이트웨이로 전송되는 ID를 설정합니다.Local Identity 섹션에서 ID 전송 방법을 확인하기 위해 Identification Type and FQDN (Fully Qualified Domain Name) String이 구성됩니다.
2단계. Identification Type 드롭다운 목록에서 적절한 식별 옵션을 선택합니다.모든 인증 모드에서 일부 옵션을 사용할 수 있는 것은 아닙니다.
· Fully Qualified Domain Name(정규화된 도메인 이름) — 로컬 ID의 클라이언트 ID는 Fully Qualified Domain Name(정규화된 도메인 이름)을 기반으로 합니다.이 옵션을 선택한 경우 3단계를 수행한 다음 7단계로 건너뜁니다.
· 사용자 FQDN(Fully Qualified Domain Name) — 로컬 ID의 클라이언트 ID는 사용자 FQDN(Fully Qualified Domain Name)을 기준으로 합니다.이 옵션을 선택한 경우 4단계를 수행한 다음 7단계로 건너뜁니다.
· IP 주소 — 로컬 ID의 클라이언트 식별은 IP 주소를 기반으로 합니다.검색된 로컬 호스트 주소 사용을 선택하면 IP 주소가 자동으로 검색됩니다.이 옵션을 선택한 경우 5단계를 수행한 다음 7단계로 건너뜁니다.
· 키 식별자 — 로컬 클라이언트의 클라이언트 식별은 키 식별자를 기반으로 식별됩니다.이 옵션을 선택한 경우 6단계와 7단계를 따릅니다.
3단계. FQDN 문자열 필드에 DNS 문자열로 정규화된 도메인 이름을 입력합니다.
4단계. UFQDN 문자열 필드에 DNS 문자열로 사용자 정규화된 도메인 이름을 입력합니다.
5단계. UFQDN 문자열 필드에 IP 주소를 입력합니다.
6단계. 키 ID 문자열에서 로컬 클라이언트를 식별할 키 식별자를 입력합니다.
7단계. 저장을 클릭하여 설정을 저장합니다.
1단계. Remote Identity 탭을 클릭합니다.
참고: 원격 ID는 게이트웨이에서 ID를 확인합니다.Remote Identity(원격 ID) 섹션에서 ID가 확인되는 방법을 확인하기 위해 Identification Type(식별 유형)이 구성됩니다.
2단계. Identification Type 드롭다운 목록에서 적절한 식별 옵션을 선택합니다.
· Any — 원격 클라이언트는 인증을 위해 모든 값 또는 ID를 허용할 수 있습니다.
· ASN.1 고유 이름 — 원격 클라이언트는 PEM 또는 PKCS12 인증서 파일에서 자동으로 식별됩니다.Authentication 섹션의 2단계에서 RSA 인증 방법을 선택한 경우에만 이 옵션을 선택할 수 있습니다.Use the subject in the received certificate but don't compare it with a specific value 확인란을 선택하여 자동으로 인증서를 받습니다.이 옵션을 선택한 경우 3단계를 수행한 다음 8단계로 건너뜁니다.
· Fully Qualified Domain Name(정규화된 도메인 이름) — 원격 ID의 클라이언트 ID는 Fully Qualified Domain Name(정규화된 도메인 이름)을 기반으로 합니다.Authentication 섹션의 2단계에서 PSK 인증 방법을 선택한 경우에만 이 옵션을 선택할 수 있습니다.이 옵션을 선택한 경우 4단계를 수행한 다음 8단계로 건너뜁니다.
· 사용자 FQDN(Fully Qualified Domain Name) — 원격 ID의 클라이언트 ID는 사용자 FQDN(Fully Qualified Domain Name)을 기준으로 합니다.Authentication 섹션의 2단계에서 PSK 인증 방법을 선택한 경우에만 이 옵션을 선택할 수 있습니다.이 옵션을 선택한 경우 5단계를 수행한 다음 8단계로 건너뜁니다.
· IP 주소 — 원격 ID의 클라이언트 식별은 IP 주소를 기반으로 합니다.검색된 로컬 호스트 주소 사용을 선택하면 IP 주소가 자동으로 검색됩니다.이 옵션을 선택한 경우 6단계를 수행한 다음 8단계로 건너뜁니다.
· 키 식별자 — 원격 클라이언트의 클라이언트 ID는 키 식별자를 기반으로 합니다.이 옵션을 선택한 경우 7단계와 8단계를 따릅니다.
3단계. ASN.1 DN String 필드에 ASN.1 DN 문자열을 입력합니다.
4단계. FQDN 문자열 필드에 DNS 문자열로 정규화된 도메인 이름을 입력합니다.
5단계. UFQDN 문자열 필드에 DNS 문자열로 사용자 정규화된 도메인 이름을 입력합니다.
6단계. UFQDN 문자열 필드에 IP 주소를 입력합니다.
7단계. 키 ID 문자열 필드에서 로컬 클라이언트를 식별할 키 식별자를 입력합니다.
8단계. 저장을 클릭하여 설정을 저장합니다.
1단계. Credentials(자격 증명) 탭을 클릭합니다.
참고: Credentials(자격 증명) 섹션에서 Pre Shared Key(사전 공유 키)가 구성됩니다.
2단계. 서버 인증서 파일을 선택하려면 다음을 클릭합니다. 아이콘을 Server Certificate Authority File(서버 인증 기관 파일) 필드 옆에 두고 PC에 서버 인증서 파일을 저장한 경로를 선택합니다.
3단계. 클라이언트 인증서 파일을 선택하려면 다음을 클릭합니다. Client Certificate File(클라이언트 인증서 파일) 필드 옆에 있는 아이콘을 선택하고 PC에 클라이언트 인증서 파일을 저장한 경로를 선택합니다.
4단계. 클라이언트 개인 키 파일을 선택하려면 다음을 클릭합니다. Client Private Key File(클라이언트 개인 키 파일) 필드 옆에 있는 아이콘을 선택하고 PC에 클라이언트 개인 키 파일을 저장한 경로를 선택합니다.
5단계. 사전 공유 키 필드에 사전 공유 키를 입력합니다.이 키는 터널을 구성하는 동안 사용하는 키와 동일해야 합니다.
6단계. 저장을 클릭하여 설정을 저장합니다.
1단계. 1단계 탭을 클릭합니다.
참고:Phase 1 섹션에서 클라이언트 게이트웨이가 있는 ISAKMP SA를 설정할 수 있도록 매개변수를 구성할 수 있습니다.
2단계. Exchange Type 드롭다운 목록에서 적절한 키 교환 유형을 선택합니다.
· Main — 피어의 ID가 보호됩니다.
· 적극적인 — 피어의 ID가 보호되지 않습니다.
3단계. DH Exchange 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 적절한 그룹을 선택합니다.
4단계. Cipher Algorithm 드롭다운 목록에서 VPN 연결 구성 중에 선택한 적절한 옵션을 선택합니다.
5단계. Cipher Key Length 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 옵션의 키 길이와 일치하는 옵션을 선택합니다.
6단계. Hash Algorithm 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 옵션을 선택합니다.
7단계. Key Life Time Limit(키 수명 제한) 필드에 VPN 연결을 구성하는 동안 사용된 값을 입력합니다.
8단계. Key Life Data Limit 필드에 보호할 값을 킬로바이트 단위로 입력합니다.기본값은 0이며, 이 경우 기능이 해제됩니다.
9단계. (선택 사항) Enable Check Point Compatible Vendor ID(체크포인트 호환 공급업체 ID 활성화) 확인란을 선택합니다.
10단계. 저장을 클릭하여 설정을 저장합니다.
1단계. 2단계 탭을 클릭합니다.
참고: 2단계 섹션에서 원격 클라이언트 게이트웨이가 있는 IPsec SA를 설정할 수 있도록 매개변수를 구성할 수 있습니다.
2단계. Transform Algorithm 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 옵션을 선택합니다.
3단계. Transform Key Length 드롭다운 목록에서 VPN 연결 구성 중에 선택한 옵션의 키 길이와 일치하는 옵션을 선택합니다.
4단계. HMAC Algorithm 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 옵션을 선택합니다.
5단계. PFS Exchange 드롭다운 목록에서 VPN 연결을 구성하는 동안 선택한 옵션을 선택합니다.
6단계. Key Life Time Limit(키 수명 제한) 필드에 VPN 연결 컨피그레이션 중에 사용되는 값을 입력합니다.
7단계. Key Life Data 제한 필드에 보호할 값을 킬로바이트 단위로 입력합니다.기본값은 0이며, 이 경우 기능이 해제됩니다.
7단계. 저장을 클릭하여 설정을 저장합니다.
1단계. Policy(정책) 탭을 클릭합니다.
참고: Policy(정책) 섹션에서 클라이언트가 사이트 컨피그레이션을 위한 호스트와 통신하는 데 필요한 IPSEC 정책이 정의됩니다.
2단계. Policy Generation Level 드롭다운 목록에서 적절한 옵션을 선택합니다.
· Auto — 필요한 IPsec 정책 레벨이 자동으로 결정됩니다.
· 필요 — 각 정책에 대한 고유한 보안 연관은 협상되지 않습니다.
· 고유 — 각 정책에 대한 고유한 보안 연계가 협상됩니다.
· 공유 — 필요한 레벨에서 적절한 정책이 생성됩니다.
3단계. (선택 사항) IPSec 협상을 변경하려면 Maintenance Security Associations 확인란을 선택합니다.활성화된 경우 연결된 후 직접 각 정책에 대해 협상이 수행됩니다.비활성화되면 필요에 따라 협상이 수행됩니다.
4단계. (선택 사항) 디바이스에서 자동으로 제공된 네트워크 목록을 수신하거나 모든 패킷을 RV0XX에 기본적으로 전송하려면 Obtain Topology Automatically 또는 Tunnel All 확인란을 선택합니다.선택하지 않은 경우 컨피그레이션을 수동으로 수행해야 합니다.이 확인란을 선택한 경우 10단계로 건너뜁니다.
5단계. Add(추가)를 클릭하여 테이블에 토폴로지 항목을 추가합니다.Topology Entry 창이 나타납니다.
6단계. 유형 드롭다운 목록에서 적절한 옵션을 선택합니다.
· 포함 — VPN 게이트웨이를 통해 네트워크에 액세스합니다.
· 제외 — 로컬 연결을 통해 네트워크에 액세스합니다.
7단계. Address 필드에 RV0XX의 IP 주소를 입력합니다.
8단계. Netmask 필드에 디바이스의 서브넷 마스크 주소를 입력합니다.
9단계. 확인을 클릭합니다.RV0XX의 IP 주소와 서브넷 마스크 주소가 Remote Network Resource(원격 네트워크 리소스) 목록에 표시됩니다.
10단계. Save(저장)를 클릭합니다. 그러면 사용자가 새 VPN 연결이 표시되는 VPN Access Manager 창으로 돌아갑니다.
이 섹션에서는 모든 설정이 구성된 후 VPN 연결을 설정하는 방법에 대해 설명합니다.필요한 로그인 정보는 디바이스에 구성된 VPN 클라이언트 액세스와 동일합니다.
1단계. 원하는 VPN 연결을 클릭합니다.
2단계. 연결을 클릭합니다.
VPN Connect 창이 나타납니다.
3단계. Username(사용자 이름) 필드에 VPN에 대한 사용자 이름을 입력합니다.
4단계. Password(비밀번호) 필드에 VPN 사용자 계정의 비밀번호를 입력합니다.
5단계. 연결을 클릭합니다.Monitoring Soft VPN Connect(Shrew 소프트 VPN 연결) 창이 나타납니다.
6단계(선택 사항) 연결을 비활성화하려면 연결 끊기를 클릭합니다.