AXGATE Dcube VPN 터널 설정
AXGATE 장비에서 제공하는 Dcube VPN은 IPsec 기반의 암호화된 터널 기능으로, 본사와 지사 간의 안전한 내부망 통신을 제공하는 기능입니다.
본 매뉴얼에서는 본사 ↔ 지사 간 Dcube VPN 터널을 구성하는 방법을 다룹니다.
아래의 내용에서 적용되어 있는 부분은 본사 터널 IP ( 111.111.111.1/24 ) 지사 터널 IP ( 111.111.111.2/24 ) 입니다.
Zone 의 경우 ipsecvpn 이라는 임의의 존을 지정하여 안내하였습니다.
개요
- Dcube VPN은 IPsec 프로토콜을 기반으로 하는 AXGATE 전용 터널 방식입니다.
- 본사 장비에 Dcube 터널을 생성하고, 지사 장비는 본사 공인 IP를 목적지로 설정하여 연결합니다.
- 본사와 지사 모두 동일한 포트, 키(Key), 암호화 방식으로 설정해야 정상적인 통신이 가능합니다.
- 지사 → 본사 방향으로만 터널 연결이 이루어지며, 본사는 수신 역할을 수행합니다.
본사 Dcube VPN 설정
본사 장비에서는 VPN 인터페이스를 생성하고, IP 주소 및 암호화 방식을 지정합니다.
- 인터페이스명: dcb (예: dcb1)
- Security Zone: ipsecvpn ( 예시로 임의의 zone 이름을 설정 )
- IPv4 주소: Static IPv4 선택 후 터널용 IP 지정 ( 111.111.111.1/24 )
- Load Balancing: Round-Robin
- 프로토콜: UDP (포트 지정 예: 4500)
- Key: 지사와 동일하게 지정 (예: Dcube1234!)
- 암호화: AES256 / SHA256
설정 완료 후 적용(Apply) 버튼을 클릭하여 저장합니다.
지사 Dcube VPN 설정
지사 장비에서는 본사 공인 IP를 목적지로 지정하여 터널을 연결합니다.
- 인터페이스명: dcb (예: dcb1)
- Security Zone: ipsecvpn ( 예시로 임의의 zone 이름을 설정 )
- IPv4 주소: Static IPv4 선택 후 터널용 IP 지정 ( 111.111.111.2/24 )
- Dcube 목적지(Dcube Target): 본사 공인 IP
- 포트, Key, 암호화 방식은 본사와 동일하게 설정
본사와 지사 설정이 동일해야만 정상적으로 터널이 형성되며, 설정이 다를 경우 연결이 실패합니다.
설정 확인
설정을 모두 완료한 후, 다음 경로에서 터널 상태를 확인할 수 있습니다.
- 경로: VPN → Dcube VPN
- 상태(Status) 항목이 Active 또는 Connected로 표시되면 연결 성공
- 비정상 시 로그 메뉴에서 IKE / IPsec 로그를 확인하여 원인을 분석
구성 요약
| 항목 | 본사 | 지사 |
|---|---|---|
| VPN 타입 | Dcube | Dcube |
| Security Zone | ipsecvpn | ipsecvpn |
| 목적지 IP | 지사 공인 IP 기입시 문제 발생될 수 있음 | 본사 공인 IP |
| 포트 | 동일 (예: 4500) | |
| 암호화 | AES256 / SHA256 | |
| Key | 동일 (예: Dcube1234!) | |
Axgate(특히 D-Cube 기반 IPsec 터널) 구성 시, 센터와 서브 양쪽에서 동일한 상대 피어를 등록하면 터널이 불안정하게 반복적으로 끊기는 현상이 발생할 수 있습니다.
이 포스팅에서는 해당 현상의 원인과 올바른 구성 방법을 정리했습니다.
본사 목적지 IP 작성에 따른 터널 다운 현상 관련 정리
구조 이해 – 터널의 피어 정의
Axgate의 IPsec 터널은 “자기 입장에서의 피어(상대방)”를 기준으로 설정되며, 내부적으로 IKE SA(Security Association)를 생성합니다.
| 장비 | 로컬 IP | 원격(피어) IP |
| A | 1.1.1.1 | 2.2.2.2 |
| B | 2.2.2.2 | 1.1.1.1 |
이처럼 양쪽에서 서로를 피어로 등록하면, 양방향 IKE 협상(Dual Initiation)이 동시에 발생하게 됩니다.
문제 현상 – IKE 세션 충돌
- 터널이 Up → Down → Up → Down 상태로 반복
- 로그 메시지 예시:
IKE_SA_INIT request collision detected
Delete SA due to duplicate session이는 한쪽이 이미 SA를 맺은 상태에서 상대 장비가 다시 Initiator로 협상을 시도할 경우, 기존 세션을 “중복 세션(Duplicate SA)”로 인식하여 삭제하기 때문입니다.
결과적으로 양쪽 모두 터널이 안정적으로 유지되지 않습니다.
해결 방법 – Initiator / Responder 분리
IPsec 터널은 반드시 한쪽만 Initiator, 다른 한쪽은 Responder로 설정해야 합니다.
| 구분 | 역할 | 설정 방식 |
| A (센터) | Initiator | 피어 IP: 2.2.2.2 등록 |
| B (서브) | Responder | 피어 IP 비워두거나, 센터 Initiation에 응답만 수행 |
D-Cube 구조에서는 기본적으로 센터에서 터널을 생성(Initiate)하고, 서브는 응답(Respond)만 수행하는 단방향 구조로 설계되어 있습니다.
일반적으로는 한쪽의 피어를 비워두는 것을 권장드립니다.
결론 요약
| 항목 | 내용 |
| 현상 | 센터/서브 양쪽에서 피어를 중복 등록 시 터널 충돌 발생 |
| 원인 | 양쪽에서 동시에 IKE Initiation 발생 → SA 충돌 |
| 해결 | 한쪽만 Initiator로 지정, 반대쪽은 Responder 모드 |
| 추천 구성 | D-Cube 구조에서는 센터 → 서브 단방향 생성만 사용 |
이처럼 Axgate D-Cube 환경에서는 터널 양단의 역할 구분이 매우 중요합니다.
중복 피어 등록을 피하고, 센터에서만 Initiate하도록 설계하면 안정적인 터널 유지가 가능합니다.
이상으로 AXGATE 장비를 이용한 Dcube VPN 터널 구성 방법을 살펴보았습니다.
본사와 지사 간 동일한 암호화 설정 및 Key를 유지하는 것이 가장 중요하며, 통신 불가 시 포트(UDP 4500) 개방 여부와 IP 설정을 우선 확인하시기 바랍니다.
감사합니다.
'Firewalls > Axgate' 카테고리의 다른 글
| [Axgate] Axgate 계정 설정 (0) | 2025.11.03 |
|---|---|
| [Axgate] Axgate ACL 설정 (0) | 2025.11.02 |
| [Axgate] Axgate 기본 설정 매뉴얼 (1) | 2025.10.14 |