SSLVPN 클라이언트에 내부 네트워크와 동일한 IP 할당

SSLVPN 터널 모드에서 클라이언트가 접속하면 SSLVPN 가상 인터페이스에 IP를 할당 받는데, 이를 내부 네트워크와 동일한 IP 대역으로 할당 하는 방법이다.

아래 구성도에서 내부 대역은 "192.168.39.0/24" 인데, SSLVPN 접속해서 할당 받는 대역은 "192.168.39.200~210" 할당하는 설정이다.

 

내부 네트워크와 SSL-VPN tunnel interface의 IP가 동일한 subnet임으로 이를 허용 하도록 설정한다.

# config system settings

     set allow-subnet-overlap enable

  end

 

Split-mode와 Full tunnel 모두 사용 가능하다.

 

사용자가 로그인하면 아래와 같이 IP를 할당 받고, 해당 IP로 통신한다.

 

이 상황에서 FortiGate의 kernel 라우팅 정보를 확인해보면,  "192.168.39.200~210"에 대해 ssl.root로 경로를 확인 할 수 있다.  

 

이와 같은 구성은 일반적인 구성이 아니기에 권장하지 않는다.

다만 꼭 사용해야 한다면  "192.168.39.200~210" IP가 다른 곳에서 사용 하지 못하도록 해야 하며, 해당 구성으로 다른 문제는 없는지 많은 테스트가 필요하다.