ACL(Access Control List)은 허용 및 거부 조건의 모음입니다.ACL은 특정 리소스에 대한 액세스 권한을 부여할 사용자 또는 시스템 프로세스를 지정합니다.ACL은 네트워크 리소스에 도달하려는 비보증적 시도를 차단할 수 있습니다.이 상황에서 문제는 라우터에 ACL이 구성되어 있지만 라우터 중 하나가 ACL에서 허용하는 허용 및 거부된 트래픽 목록을 구별할 수 없을 때 발생할 수 있습니다.활성화된 패킷 필터/방화벽의 유형을 확인하는 데 사용되는 오픈 소스 툴인 Zenmap은 컨피그레이션을 테스트하는 데 사용됩니다.
이 문서에서는 두 VPN 라우터 간의 게이트웨이 간 VPN에서 작동하지 않는 허용되는 ACL의 문제를 해결하는 방법에 대해 설명합니다.
· RV016
· RV042
· RV042G
· RV082
· v4.2.2.08
1단계. 웹 구성 유틸리티에 로그인하고 Firewall(방화벽) > Access Rules(액세스 규칙)를 선택합니다.Access rule 페이지가 열립니다.
참고:기본 액세스 규칙은 편집할 수 없습니다.위 이미지에 언급된 사용자 구성 액세스 규칙은 다음 프로세스에서 수정할 수 있습니다.
2단계. 새 액세스 규칙을 추가하려면 Add(추가) 버튼을 클릭합니다.Access Rules(액세스 규칙) 페이지가 변경되어 Services(서비스) 및 Scheduling(일정) 영역을 표시합니다.다음 단계에서는 하나의 액세스 규칙을 추가할 수 있습니다.
3단계. Action(작업) 드롭다운 목록에서 Deny(거부)를 선택하여 서비스를 거부합니다.
4단계. Service 드롭다운 목록에서 규칙에 적용되는 필수 서비스를 선택합니다.
5단계. (선택 사항) 서비스 드롭다운 목록에 없는 서비스를 추가하려면 Service Management를 클릭합니다.서비스 관리에서 필요에 따라 서비스를 생성할 수 있습니다.서비스를 만든 후 확인을 클릭하여 설정을 저장합니다.
6단계. Log 드롭다운 목록에서 이 규칙과 일치하는 패킷을 선택하고 액세스 규칙과 일치하지 않는 로그에 대해 Not Log를 선택합니다.
7단계. 액세스 규칙의 소스인 Source Interface 드롭다운 목록에서 인터페이스 유형을 선택합니다.사용 가능한 옵션은 다음과 같습니다.
· LAN — 소스 인터페이스가 LAN인 경우 LAN을 선택합니다.
· WAN — 소스 인터페이스가 ISP인 경우 WAN을 선택합니다.
· DMZ — 소스 인터페이스가 Demilitarized 영역인 경우 DMZ를 선택합니다.
· ANY — 위에서 언급한 인터페이스 중 하나로 소스 인터페이스를 만들려면 ANY를 선택합니다.
8단계. Source IP(소스 IP) 드롭다운 목록에서 액세스 규칙에 적용되는 원하는 소스 주소를 선택합니다.사용 가능한 옵션은 다음과 같습니다.
· 단일 — 단일 IP 주소인 경우 Single(단일)을 선택하고 IP 주소를 입력합니다.
· 범위 — IP 주소 범위인 경우 범위를 선택하고 범위에 첫 번째 및 마지막 IP 주소를 입력합니다.
· ANY — 모든 소스 IP 주소에 규칙을 적용하려면 ANY를 선택합니다.
9단계. Destination IP(대상 IP) 드롭다운 목록에서 액세스 규칙에 적용되는 원하는 대상 주소를 선택합니다.사용 가능한 옵션은 다음과 같습니다.
· 단일 — 단일 IP 주소인 경우 Single(단일)을 선택하고 IP 주소를 입력합니다.
· 범위 — IP 주소 범위인 경우 범위를 선택하고 범위에 첫 번째 및 마지막 IP 주소를 입력합니다.
· ANY — 모든 대상 IP 주소에 규칙을 적용하려면 ANY를 선택합니다.
10단계. 시간 드롭다운 목록에서 규칙이 활성 상태일 때 정의할 방법을 선택합니다.제품:
· Always — Time 드롭다운 목록에서 Always를 선택하면 액세스 규칙이 항상 트래픽에 적용됩니다.
· Interval — Time 드롭다운 목록에서 Interval을 선택하면 액세스 규칙이 활성화되는 특정 시간 간격을 선택할 수 있습니다.시간 간격을 지정한 후 Effective On 필드에서 액세스 규칙을 활성화할 요일의 확인란을 선택합니다.
11단계. 저장을 클릭하여 설정을 저장합니다.
12단계. 2단계부터 10단계까지 반복하여 이미지에 표시된 것과 일치하는 필드를 나타냅니다.고객별 액세스 규칙이 여기에 적용됩니다.첫 번째 7에서는 일부 서비스를 허용하고 8일에는 다른 모든 트래픽을 거부합니다.이 컨피그레이션은 두 번째 라우터에서도 수행됩니다.IPSec 포트 500이 허용됩니다.
참고:두 라우터 모두에 대해 이 작업을 수행하여 액세스 규칙이 원하는 대로 구성되었는지 확인합니다.
VPN 라우터 # 1
VPN 라우터 # 2
13단계. http://nmap.org/download.html에서 Zenmap(NMAP)을 설치하고 192.168.2.0 LAN의 PC에서 시작합니다.
참고:이것은 7개의 추가 ACL이 있는 라우터 뒤의 LAN입니다.대상 IP(192.168.1.101)은 원격 게이트웨이 LAN의 PC입니다.
14단계. 프로파일에서 Quick Scan(빠른 스캔)을 선택하고 Scan(스캔)을 클릭합니다.이를 통해 ACL에 따라 열리거나 필터링된 포트를 알 수 있으며, 위에 표시된 결과는 위의 이미지에 표시됩니다.출력은 RV0xx # 1에 구성된 허용된 ACL에 관계없이 이러한 포트가 닫혔음을 보여줍니다. 원격 게이트웨이의 LAN IP(192.168.1.1)에 대한 포트를 확인하려고 하면 포트 80 및 443이 열려 있음을 확인합니다(PC 192.168.1.101에 닫힘).
ACL은 7번째 거부된 ACL을 제거한 후 올바르게 수행되며 출력에 표시된 대로 정상적으로 작동합니다.