2019/12/09

PDC에서 OpenVPN 서버를 구성

PDC에서 OpenVPN 서버를 구성

OpenVPN은 가상 사설 네트워크를 통해 실행되는 Secure Socket Layer 프로토콜 기반으로하는 오픈소스이다.
사용중인 플랫폼 또는 운영체제와 상관없이 인터넷을 통해 중앙 조직 네트워크에 안전하게 연결할 수 있다.
리눅스, 유닉스, 맥, 윈도우, 안드로이에서 실행된다.
또한 TAP/TUN 장치를 사용하여 암호화 키 및 인증서 기반으로 엔드 포인트에서 암호화된 가상 터널을 생성하는 동시에 클라이언트 및 서버로 실행할 수 있다.

요구 사항
1. PDC (Primary Domain Controller)
보안장비 PDC(Primary Domain Controller) Windows 시스템 통합.

1. OpenVPN 서버 설치
2. Open VPN 서버 구성
2.1 생성
INFRASTRUCTRE -> VPN -> Server -> ADD New 클릭

체크: enable
name: pdc.vpn.udp

2.2 설정
Cofiguration 아이콘 클릭

Server Port = UD{ 프로토콜, 포트 1194 OpenVPN 기본 프로토콜 및 포트(UDP는 비 연결 상태로 인해 TCP 보다 빠르게 동작한다)

VPN Address = 10.10.10.0/24 -여기에서 원하는 개인 공간 네트워크 주소를 선택할 수 있지만 시스템이 동일한 네트워크 주소 공간을 사용하지 않도록 해야한다.

Server Certificate = 새 VPN 서버를 처음 자동으로 추가하면 VPN 서버 이름으로 인증서가 발급된다.

Client authorization by common name = 비활성화하면 Nemoos에서 생성 한 인증서가있는 모든 클라이언트가 연결할 수 있습니다.
                                      사용 가능한 경우 공통 이름이 선택한 값으로 시작하는 인증서에만 연결할 수 있습니다.

Check TUN interface = 네트워크 계층 장치를 시뮬레이션하고 OSI 모델의 계층 3에서 작동한다(체크되지 않은 경우 TAP 유형 인터페이스르 사용하는 경우 계층 2 브릿지와 유사)

Check Network Address Translation = VPN 서버가 기본 게이트웨이가 아닌 경우 활성화

Check Allow client-to-client connections = 원격 엔드 포인트에서 로컨 네트워크에 있는 다른 시스템을 볼 수 있다.

Interface to listen on = 모든 네트워크 인터페이스 선택

Check Redirect Gateway = Nemoos를 클라이언트의 기본 게이트웨이로 설정

First and Second Name Servers = 보안장비 DNS 서버 IP 추가

Search domain = 도메인 이름 추가.

2.2.1 실제 적용.
Server port : UDP prot=1194
VPN address: 10.10.10.0/24 ---> 이아이피 주소가 원격지 호스트 컴퓨터(클라이언트)의 DHCP로 설정이 된다.
Server certificate: pdc.vpn.udp ---> 방금전 생성한 pdc.vpn.udp 이름이다.
Client authorization by common: nemo
TUN interface: 활성화 체크
Network Address Translation : 활성화 체크
Allow client-to-client connections: 활성화 체크

Interface to listen on: All network interfaces
Redirect gateway: 활성화 체크
First nameserver: 172.16.1.165 ---> 접근서버의 외부망으로 설정했던 IP이다.

2.2.1.1 Advertised networks
ADD NEW -> Adding a new object : pdc.vpn
Network -> Objects -> ADD Nes -> pdc.vpn 멤버 아이콘 클릭
name: internal
IP address: CIDR : 172.16.30.0/24 ---> 이 아이피 설정은 접속 할 위치(서버)의 로컬 아이피 주소이다.

3. 방화벽 설정
보안장비 외부 내부로 OpenVPN 클라이언트 SSL 터널 기능을 통해 보연 연결을 할 수 있음.

3.1 서비스 추가
3.1.1 Network -> Service -> ADD New 클릭
pdc.vpn.udp
udp:any:1194

3.1.2 Network -> Service -> ADD New 클릭
vpn-pdc.tcp
udp:any:1194

3.1.3 방화벽 내부망 설정
ADD NEW ---> pdc.vpn.udp
Protocol: UDP
Source Port: Any
Destination Port: Single Port: 1194

ADD NEW ---> vpn-pdc.tcp
Protocol: TCP
Source Port: Any
Destination Port: Single Port: 1194

3.1.4 방화벽 외부망 설정
Protocol: UDP
Source Port: Any
Destination Port: Single Port: 1194

Protocol: TCP
Source Port: Any
Destination Port: Single Port: 1194

4. 윈도우 OpenVPN 클라이언트 구성.
4.1 소프트웨어 다운로드
보안장비 접근 -> INFRASTRUCTURE -> VPN -> SERVER -> Download client bundle 클릭

Client Type = Windows (리눅스 또는 맥 OS X를 선택할 수 있음)
Client’s Certificate = Fairline
번들에 OpenVPN 설치 프로그램 추가 확인(OpenVPN 소프트웨어 설치 프로그램 포함)
Connection Strategy = 무작위
Server Address = 보안장비 공유기 인터넷 주소(또는 유효한 DNS 호스트 이름) 즉, 접근할 서버이다.
Additional Server Address = 다른 publicIP 주소가 있는 경우에만
Second Additional Server Address = 다른 publicIP 주소가 있는 경우에만

보안장비에서 제공한 파일은 동작하지 않는다.

릴리즈 버전 https://build.openvpn.net/downloads/releases/
tap-windows-9.24.2-I601-Win7.exe 
openvpn-install-2.4.8-I602-Win7.exe

다운로드 받은 파일을 순서대로 설치
1. tap-windows-9.24.2-I601-Win7.exe 
2. openvpn-install-2.4.8-I602-Win7.exe

4.2 인증서 파일 설정.
Client's type: windows
Client's certificate: Nemoos
Connection strategy: Random
Server address: 172.16.1.165

다운로드 받은 파일을 다음 경로에 전부 이동 시킨다.
인증서 키 및 클라이언트 파일 구성 위치
D:\Program Files\OpenVPN\config

그후 vpn GUI 아이콘을 클릭한후, 착업창 이동 -> 연결을 누른다.

연결 실패시 로그를 확인한다.

pdc.vpn.udp-client.ovpn 파일을 열어 95번째 라인을 주석 처리한다.

댓글 없음:

댓글 쓰기