Sophos OSPF 기초
[Sophos] Sophos 기초 설정 [마스커레이딩 / 방화벽 / DNAT]
- 설치 및 기본적인 설정을 바탕으로 외부와의 통신까지 가능하도록 테스트를 했다. 이번에는 GNS3에 연동하여 Sophos UTM과 Cisco Router 간 OSPF를 구성하고, 외부까지 통신이 가능하도록 테스트한다.
[구성도]
0. UTM 인터페이스 수정
- UTM에서는 Vmnet8(NAT) / VMNet1(host-only)를 사용할 수 없다고 한다. 그래서, 다음과 같이 변경하였다.
- 이름만 저렇게 지정한 것이고, 이름처럼 망을 구성하지는 않았다. VMnet8은 MGMT , 관리대역으로 사용한다.
1. UTM 구성
1.1) 인터페이스 및 라우팅
- 왼쪽 메뉴에서 [인터페이스 및 라우팅] 안에 있는 [인터페이스]에서 UTM의 인터페이스를 설정한다. IP와 기본 게이트웨이를 지정할 수 있다.
1.2) 네트워크 보호 - ICMP
- 왼쪽 메뉴에서 [네트워크 보호] 안에 있는 [방화벽] 으로 이동한다. 상단에 있는 [ICMP] 탭으로 이동하여, 테스트를 진행하기 위해 모든 체크 박스에 체크하고 적용한다.
1.3) 네트워크 보호 - 규칙
- 왼쪽 메뉴에서 [네트워크 보호] 안에 있는 [방화벽] 으로 이동한다. 테스틀 위하여 모든 서비스를 허용한다.
1.4) 인터페이스 및 라우팅
1.4.1) 동적 라우팅(OSPF) - 고급
- 왼쪽 메뉴에서 [인터페이스 및 라우팅] 안에 있는 [동적 라우팅 (OSPF)]로 이동하여 OSPF 설정을 진행한다.
- 먼저, [고급] 탭으로 이동하여, [기본값 라우트 고지]를 체크한다. 이 설정은 광고하는 각각의 라우터에서 Default Route 설정이 자동적으로 들어가게 한다
1.4.2) 동적 라우팅(OSPF) - 인터페이스
- OSPF 라우팅에 등록할 인터페이스를 지정한다. 3개의 인터페이스 모두 등록한다.
1.4.3) 동적 라우팅(OSPF) - 영역
- OSPF의 영역을 지정한다. Area 0으로 설정하고, 위에서 지정한 3개의 인터페이스를 Area 0에 포함시킨다.
1.4.4) 동적 라우팅(OSPF) - 글로벌
- Router-ID를 설정하고, 기능을 켠다. Router-ID는 Interface IP 중 가장 큰 IP를 입력했다.
2. Router 설정
2.1) IOU1 설정 및 결과
router ospf 1
network 192.168.2.0 0.0.0.255 area 0
network 200.200.200.0 0.0.0.255 area 0
!
2.2) IOU2 설정 및 결과
router ospf 1
network 100.100.100.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
!
2.3) IOU3 설정 및 결과
router ospf 1
network 192.168.4.0 0.0.0.255 area 0
default-information originate
!
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
default-information originate
= 해당 Configuration으로 Default Routing(0.0.0.0/0)를 OSPF Area에 광고한다. IOU3 Router가 OSPF Router의 기본 게이트웨이가 된다.
3. OSPF 연동 결과
3.1) UTM 결과
- 정상적으로 연결이 된 것을 확인하기 위해, [디버그] 탭으로 이동한다. 그러면, OSPF와 관련한 정보를 확인할 수 있다. Routing과 Neighbor 모두 정상적으로 맺어졌다.
3.2) 인터넷 접속 완료
- Linux에서 인터넷 접속이 가능하다.
3.3) 외부 원격 데스크톱 허용하기
- DNAT 설정으로 외부에서 내부에 있는 Win2003의 원격 데스크톱을 이용하려고 한다. 조건을 선언하고 목적지를 Windows의 IP로 설정하여 DNAT 설정을 완료한다.
- UTM 입장에서 외부와 연결되어 있는 Interface의 IP인 192.168.4.253을 입력하면 다음과 같이 원격 데스크톱 연결을 이용할 수 있다.
4. 더 알아보기
* IOU3에서 D/W 설정을 하지 않았을 때
- 위의 구성에서는 IOU3가 실질적인 Default Gateway Router가 된다. 이 곳에 Default Routing 설정을 하지 않으면, IOU3 조차도 UTM에서 설정한 [기본값 라우트 고지] 에 의하여 Default Routing이 UTM을 바라본다.
- 따라서, 내부에서 외부로 통신할 때 출구가 없기 때문에 TTL이 0이 되어서 통신이 안 된다.
- Wireshark에서도 TTL이 시간초과가 되었다는 것을 알 수 있다.
* IOU3에서 Default Routing을 재분배했을 때
- default-information과 Redistribute static subnet과의 차이점을 알아보았다. OSPF에서 default-information을 넣기 전에 static routing을 재분배해서 통신했는데 default-information originate를 발견하여서 차이점을 알아보았다.
요약하자면 다음과 같다.
- 기술적으로는 기본 경로를 OSPF로 재배포하는 데 문제가 없다. 어쨌든 기본 경로는 다른 외부 경로일 뿐이다. 그러나 재배포를 수행할 때 기본 경로가 OSPF로 재배포되지 않도록 보장하는 것은 의도적인 안전 검사이며, 기본 경로를 OSPF에 주입하는 유일한 방법은 default-information origin 명령을 사용하는 것이다.
- redistribute static subnets 명령어은 OSPF에서 정적 경로를 재배포하는 데 사용되지만 정적 기본 경로(iproute 0.0.0.0.0...)는 OSPF 토폴로지 데이터베이스에 주입되지 않는다. OSPF에서 Default Routing 경로를 재배포하려면 라우터 ospf 구성에서 해당 명령어을 사용해야 한다.
- 큰 문제는 없지만, 차이점은 Routing Table에만 등록되는 것인지, OSPF Database에도 등록이 되는 것인지의 차이다. 그래서, 실제로 적용해보니 그 차이점이 보였다.
default-information originate 설정 O
default-information originate 설정 X
redistribute static subnets 설정 O
'IT > ㄴ Sophos' 카테고리의 다른 글
[Sophos] Sophos 기초 설정 [마스커레이딩 / 방화벽 / DNAT] (0) | 2023.09.11 |
---|---|
[Sophos] Sophos UTM 설치하기 (0) | 2023.09.11 |