'openvpn'에 해당되는 글 2건

  1. 2016.10.12 Raspberry Pi를 OpenVPN 서버로 만들기 (제3부) by truerain 11
  2. 2016.10.10 Raspberry Pi를 OpenVPN 서버로 만들기 (제1부) by truerain 1

4. 서버 측 공유기 포트포워딩 및 라우팅 설정

     (1) 서버 측 공유기 포트포워딩 설정

          우리가 사용하는 인터넷 공유기는 외부 네트워크와 내부 네트워크를 연결해 주고, 내부 네트워크를 보호해 주는 역할을 합니다. 외부 네트워크에서 봤을 때, 우리의 내부 네트워크는 기본적으로 하나의 (외부)IP와 (공유기의) MAC 주소를 가진 하나의 단말기 혹은 디바이스로 보입니다. VPN이라는 것이 기본적으로 외부에서 내부 네트워크로 마치 빨대를 꽂아 빨아 먹듯 사설 파이프를 연결하여 쓰는 것이므로 내부 네트워크 안에 있는 우리의 라즈베리파이 (혹은 오렌지파이) OpenVPN 서버와 지정된 포트(기본적으로 UDP 1194)로 막힘없이 통신할 수 있어야 합니다. 따라서 서버 측 공유기의 포트포워딩 설정을 통해 외부 OpenVPN 클라이언트와 내부 OpenVPN 서버가 통신할 수 있도록 설정해 줍시다. 

          우리 주변에 설치된 공유기들은 너무나 종류가 다양하고 펌웨어 또한 파편화 되어 있어, 모든 종류의 공유기에 대하여 설명한다는 것은 불가능 합니다. 여기서는 우리나라에서 가장 널리 쓰이는 ipTIME 제품을 예로 설명합니다. 포트포워딩과 다음에 기술할 라우팅 테이블 설정은 공유기의 기본 중 기본 기능이므로 용어와 메뉴 위치만 다를 뿐 다른 공유기에도 대동소이하게 존재하는 기능일 것으로 생각됩니다. 이 글을 참고하실 분들은 여러분의 공유기의 메뉴를 찬찬히 살피시어 그 동일한 기능을 제공하는지를 확인하시기 바랍니다.

          아울러, 이 설명은 제1부 "환경"부분에서 제시한 바와 같이 외부에서 우리 공유기를 찾아 들어올 수 있도록 외부 고정IP가 서비스되고 있거나, Dynamic DNS 서비스 (DDNS)가 이미 설정되어 있고, OpenVPN 서버가 내부 고정IP로 설정되어 있거나 공유기 단의 dhcp 서비스에서 예약/지정된 내부 유동IP를 할당받은 상태(우리의 예시는 192.168.0.2) 에서의 설명임을 다시 한번 상기시켜 드립니다.

          웹브라우져를 열고 주소창에 공유기의 내부네트워크 주소(일반적으로 192.168.0.1 이지만 공유기에 따라 혹은 본인 설정에 따라 아닐 수도 있습니다.)를 입력하고 엔터를 치면 공유기 관리화면 로그인 화면이 나옵니다. 로그인한 후 "관리도구"를 선택하여 들어갑니다. 브라우져 왼쪽 프레임에 메뉴탐색기에서 하단의 "고급설정-NAT/라우터관리-포트포워드 설정"을 차례로 클릭하고 들어갑니다. 그러면 오른쪽에 "포트포워드 설정"이라는 프레임이 열립니다.

          "정의된 리스트" 항목에는 "사용자 정의"를 선택하여 주시고, 그 왼쪽 "규칙이름"란에는 "OpenVPN"이라고 기재해 주세요. 그 아래쪽 "내부 IP 주소" 란에는 우리의 파이 OpenVPN 서버의 내부 주소인 192.168.0.2를 네 칸에 맞추어 입력해 줍니다. 프로토콜은 서버와 클라이언트 설정파일에서 선언해 준 대로 "UDP", 외부포트는 클라이언트 설정파일에서 선언해 준 대로 "1194", 내부포트도 서버 설정파일에서 선언해 준 대로 "1194"를 입력해 주고 아래 "추가" 버튼을 눌러 주면 설정이 완료됩니다. 아래 그림을 참조해 주세요.

ipTIME 공유기 포트포워드 설정 화면ipTIME 공유기 포트포워드 설정 화면입니다.

 

     (2) 공유기 라우팅 테이블 설정

          지난 회에서 설명할 기회가 없었지만, 우리는 서버와 클라이언트의 설정파일을 만드는 과정에서 "client-to-client"라는 옵션을 선언해 주었습니다. (서버 .conf 파일과 클라이언트들의 .ovpn 파일들을 한번 열어서 확인해 보세요.) 이것이 의미하는 바는 클라이언트가 OpenVPN에 접속하면 OpenVPN 서버 컴퓨터인 우리의 파이뿐만 아니라, 서버 측 내부 네트워크의 다른 내부 IP를 가진 장치들 (예를 들어 192.168.0.3의 주소를 가진 리눅스 서버 혹은 192.168.0.154의 주소를 가진 윈도우 PC 등등...)에 서버측 내부 네트워크 주소체계로 접근하여 통신하겠다는 의미입니다. 더 구체적으로 설명하자면, 우리의 예처럼, 외부 윈도우클라이언트에서 내부의 파이로 만든 OpenVPN 서버에 성공적으로 접속하여 10.8.0.0/24의 VPN네트워크가 형성되었다면, 외부 윈도우 클라이언트는 OpenVPN 서버인 파이에 ssh 접속을 10.8.0.1로도 할 수 있고, 192.168.0.2로도 할 수 있게 됩니다. 이뿐 아니라, 서버측 윈도우 PC에 원격데스크톱 접속을 하고 싶다면 (공유기 방화벽에 관계 없이 OpenVPN 서버의 도움으로) 내부 주소인 192.168.0.154로 원격 접속이 가능하다는 의미입니다.

          이것이 가능하기 위해서는 두 가지 조건이 필요한데, 첫째는 클라이언트측이 사설 IP 주소를 사용하여 접속한 경우, 서버 측과 클라이언트측의 내부 네트워크 주소가 동일한 세그먼트를 사용해서는 안된다는 것입니다. 즉, 만약 서버와 클라이언트 각 각 다른 내부 네트워크에 있지만, 모두 192.168.0.0/24 주소체계를 사용한다면, client-to-client 접속은 불가능합니다. 따라서 애초에 공유기 설정을 통해 서버 측 내부 네트워크를 10.XXX 로 시작하는 내부 주소로 전환하여 구성한 뒤에 OpenVPN 서버를 설치하는 것을 권장하기도 합니다. 대부분의 공유기들이 192.168.XXX 로 시작하는 내부 주소체계를 기본으로 채택하기 때문입니다.

          client-to-client를 가능하게 하는 두번째 조건이 바로 우리의 주제인 공유기 라우팅 테이블 설정입니다. 서버와 클라이언트가 아무리 설정을 통해 선언하여도 외부클라이언트가 10.8.0.0/24 네트워크를 통해서 192.168.0.X에 보내오는 데이터를 어디로 보내야 될 지 모르면 그 데이터는 갈 곳을 잃고 사라지고 맙니다. 그래서 '이 길로 가라'라고 지정해 주는 것이 라우팅이고 그것이 표로 정리된 것을 '라우팅 테이블'이라고 합니다. 이 과정을 통해 우리는 10.8.0.0/24 네트워크를 통해 나오는 데이터는 공유기인 192.168.0.1이 게이트웨이가 아니고 OpenVPN 서버인 192.168.0.2가 게이트웨이임을 선언해 줄 것입니다.

          다시 ipTIME 공유기로 가 보겠습니다. 왼쪽 메뉴탐색기에서 하단의 "고급설정-NAT/라우터관리-라우팅 테이블 관리"로 들어갑니다. 역시 오른쪽에 "라우팅 테이블 관리" 화면이 생깁니다. 맨 앞 "Type"엔 "Net"을 선택해 주시고, "Target"에는 10.8.0.0을 네 칸에 맞게 입력하여 주시고, "Mask"에는 숫자 "24"를 입력합니다. 마지막 "Gateway"에는 192.168.0.2를 역시 네 칸에 맞추어 입력해 주고 아래 "추가"를 누르면 설정이 완료됩니다. 아래 그림을 참조해 주세요.

ipTIME 공유기 라우팅 테이블 관리 화면ipTIME 공유기 라우팅 테이블 관리 화면입니다.

5. 문제 해결 (Troubleshooting and Workarounds)

     (1) 데비안 Jessie의 systemd 도입에 따른 이슈

          데비안은 Jessie 버전부터 init 시스템 대신 systemd를 전면 도입했습니다. 이것이 의미하는 바는 이전 Wheezy 버전까지는 시스템이 부팅되면 init 스크립트 체계에 설정해 놓은 선후관계에 따라 디먼(윈도우의 서비스)을 자동 실행하는 체제였다면, Jessie 버전부터는 총사령관 역할을 하는 systemd라고하는 디먼(서비스)가 먼저 실행되어 똬리를 틀고 앉아서 각 서비스의 의존관계에 따라 유연하게 순서를 정하여 각 서비스들을 자동 실행하는 것으로 바뀐 것입니다. 우리 같은 문외한이 보면 어차피 순서대로 실행만 잘 되면 별로 느낌이 안오는 변화인데, 운영체제를 깊이 파고들면 굉장히 큰 변화라고 합니다. 이게 그런데 아직 완벽하게 잘 정착이 되지는 않은 모습입니다. 제 리눅스 데스크탑도 데비안 jessie 기반의 우분투 16.04나 민트18에서 시스템 종료/재부팅 시 심한 딜레이에 빠져 systemd 관련 설정파일을 수정해야 했습니다. 데비안 OpenVPN 패키지도 마찬가지 인데요. 이 녀석은 기존에 init 시스템이 openvpn 디먼 서비스를 시작하면 OpenVPN이 .conf 파일을 불러들여 시작하는 형태였습니다. 그런데 systemd 체제는 OpenVPN이 하나의 서비스로 시작되고, 설정파일들이 종속적인 다른 각각의 서비스로 시작되어야 하는 구조로 되어 있습니다. 패키지 설치시에는 당연히 .conf 설정파일이 존재하지 않으므로, 설치 스크립트에 의해서 systemd 서비스가 enable 될래야 될 수 없는 구조인 것이죠. 따라서 Jessie 버전 이후부터는 서버의 .conf 파일을 만들어 주고 난 후 이것을 서비스로 enable 해 주는 절차가 수작업으로 필요하게 되었습니다. 마치 윈도우즈용을 설치하고 난 후 제어판 서비스에 가서 "자동" 실행으로 변경해 주어야 하는 것처럼 말이죠. Raspbian이든 Armbian이든 Jessie 이후 버젼이라면 이 절차를 따라야 합니다. 기본적으로 Debian 운영체제이거든요.

          다시 파이에 접속해 봅니다. 우리가 서버 측 설정파일의 이름을 server.conf라고 했지요. 재부팅 필요 없이 지금 server.conf 설정을 구동하고 싶다면 아래와 같이 입력합니다.

1
$ sudo systemctl start openvpn@server.service 
cs

          아래와 같은 명령도 동일한 결과를 가져옵니다.

1
$ sudo service openvpn@server start 
cs

          OpenVPN 설정파일을 부팅시 자동시작하도록 하고자 한다면 아래와 같이 입력해 줍니다.

1
$ sudo systemctl enable openvpn@server.service  
cs

          위 명령이 실제 하는 일은, openvpn 패키지로 설치된 "/lib/systemd/system/openvpn@.service"라는 파일에 연결되는 심볼릭 링크를 /etc/systemd/system/multi-user.target.wants/openvpn@server.service라는 링크 파일로 만들어 주는 것입니다.

          이제 재부팅하여 OpenVPN 서버 설정 서비스가 잘 시작되는 지 봅시다.

1
$ sudo reboot 
cs

 

     (2) .conf 설정파일의 서비스가 active되지 않는 경우

          재부팅이 완료되면 다시 파이에 접속하여 server.conf 서비스가 부팅 시 정상적으로 실행되었는 지를 확인합니다. 이를 위하여 아래의 명령을 이용합니다.

1
$ systemctl status openvpn@server.service 
cs

          그 결과 초록색 점과 "Active"항목의 결과값이 초록글씨의 active (running) 이라면 정상적으로 실행이 된 것입니다. 그러나 빨간색으로 표시되며 inactive 하다고 나오는 경우가 있습니다. 그 이유는 대부분 systemd가 실시간으로 의존성을 분석해 시작한 순서에 문제가 있어서 즉, 너무 빨리 실행되어 의존성을 만족시키지 못해 오류가 났을 가능성이 가장 큽니다. 이때의 대처방안은 서비스설정파일 (Unit 파일)을 수정하여 의존성 추가로 실행 순서를 늦추어 주는 것입니다.

          데비안 Jessie에 포함된 systemd 버전 상 Unit 파일을 수정해 주는 방법은 직접 해당 파일을 수정해 주는 것[각주:1]이므로 아래 명령으로 해당 파일을 에디터에 불러 들입니다.

1
$ sudo nano /lib/systemd/system/openvpn@.service 
cs

          열린 파일의 상단 쪽을 보시면,  [Unit] 섹션 아래 쪽 마지막에 "ReloadPropagatedFrom=openvpn.service" 이라고 하는 항목이 있습니다. 이 줄 맨 끝에 가서 엔터를 눌러 주어 한 줄을 더 만들어 줍니다. 새로 만들어 준 줄에 아래 내용을 복사하여 붙여 넣고 저장하고 닫습니다.

1
After=multi-user.target 
cs

          위 설정으로 server.conf 서비스의 부팅 시 실행 순서가 상당히 뒤로 갈 것입니다. 다시 한번 재부팅해 주고 서비스 실행 여부를 확인합니다.

 

     (3) 그래도 .conf 서비스가 active되지 않는 경우

          이론적으로는 사실 위의 설정만 제대로 해 주면 안될 이유는 없습니다. 다만, 그래도 server.conf 서비스가 부팅시에 active되지 않는다면 아래의 조치를 해 볼 필요가 있습니다.

          우선 서버 설정파일을 엽니다.

1
$ sudo nano /etc/openvpn/server.conf 
cs

          상단 "port 1194" 아래에 "local 192.168.0.2"라고 되어 있는 줄의 맨 앞에 "#"을 붙여 주어 그 줄 전체를 주석 처리하고 저장 후 닫습니다.

          한 해외 커뮤니티에 따르면, 원인을 알 수 없는 설정파일 서비스의 inactive 상황의 경우, 위와 같이 서버 설정파일에서 서버의 내부 IP 주소를 명시적을 선언해 주는 위 설정을 없애 주면 (주석처리해 주면) 정상적으로 작동한다는 경험자의 성공담이 있었습니다. inactive의 원인도 해결책의 원리도 밝혀진 것은 없지만, 서버가 내부 ip 주소체계를 확정하기 전에 설정파일 서비스가 시작될 경우 "local 192.168.0.2"라는 설정이 실행에 오류를 내기 때문으로 추정해 볼 수 있습니다.

          아무튼, 명시적인 서버 내부 주소의 선언이 없이도 OpenVPN 네트워크가 잘 돌아가므로, 다소 군더더기에 가까운 이 "local XXX.XXX.XXX.XX"라는 설정은 없애는 것이 오류를 줄이는 것임은 확실한 듯 합니다.

 

이상으로 Raspberry Pi를 OpenVPN 서버로 만들기의 3부작 모든 연재를 마칩니다. 부족한 지식으로 장황하게 쓴 글이지만, client-to-client 방식 접속을 위해 국내에  널리 쓰이는 공유기 관련된 OpenVPN 설정 문서가 부족하고 최신 Jessie 버전에 맞는 설정 방법에 대한 안내문도 부족한 현실에서 나름의 의의를 가지는 문서가 되기를 희망해 봅니다. 이 글을 참조해서 OpenVPN을 성공적으로 도입하시는 분들이 한 분이라도 생긴다면 감사하고 보람된 일이 될 것 같습니다.

          길고 어지러운 글 끝까지 읽어 주셔셔 감사합니다.

 

 

  1. systemd 218 버젼부터는 sudo systemctl edit openvpn@.service 라는 명령이 가능해 졌습니다. /lib/systemd/system/ 폴더에 있는 파일은 직접 수정하면 업데이트시 수정본이 사라지므로 간접 편집방식을 지원하게 된 것입니다. 자세한 사항은 systemd 관련 문서를 참조하세요. [본문으로]
Posted by truerain
l

1. 환경

 

     (1) 실행 하드웨어 및 운영체제

         - Raspberry Pi 2 (운영체제 : Raspbian Wheezy/Jessie) 또는,

           호환 확인된 유사 보드 : Orange Pi PC (운영체제 : Armbian Jessie)

         ※ 물론 ARM 계열 보드들 뿐만아니라 Debian의 Wheezy 혹은 Jessie 배포판을 사용하는 일반적인 PC환경에서도 동작할 것입니다.

 

     (2) 네트워크 – 공유기 (ipTIME) 내부 사설 네트워크

         - 공유기 게이트웨이 : 192.168.0.1

         - OpenVPN이 설치될 라즈베리파이 (혹은 오랜지 파이) 보드 :  

                                     192.168.0.2 (공유기 설정에서 사설IP 예약 할당)

           - 공인 고정 IP 혹은 DDNS (이 글에서는 my_network.iptime.org로

           DDNS 설정이 되어 있는 상황을 가정합니다.)

 

2. OpenVPN 설치

 

     (1) 데비안 Wheezy 버젼인 경우 

          easy-rsa가 openvpn 패키지에 포함되어 있으므로 별도로 설치할 필요가 없습니다.

1
$ sudo apt install openvpn
cs

 

 

     (2) 데비안 Jessie 버젼 이후의 경우 

          easy-rsa가 별도 패키지로 분리되었기때문에 함께 설치가 필요합니다.

1
$ sudo apt install openvpn easy-rsa    
cs

 

 

3. 설정 (A) : easy-rsa 관련파일 생성

 

     (1) root프롬프트 전환

          권한문제 등을 원활히 해결하기 위하여 아래와 같이 root 프롬프트 환경으로 진입합니다.

1
$ sudo –s    
cs

 

     (2) TLS기반 인증을 위한 easy-rsa 스크립트 폴더 복사

         - Wheezy의 경우

1
# cp –r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa   
cs

 

         - Jessie의 경우

1
# cp –r /usr/share/easy-rsa /etc/openvpn/easy-rsa   
cs

 

     (3) vars 파일 변수 설정 편집

1
2
# cd /etc/openvpn/easy-rsa
# nano ./vars
cs

          vars파일이 열리면 ‘EASY_RSA’라는 변수를 찾아 =표시 뒤의 값이 아래와 같이 되도록 바꾸어 줍니다.

1
export EASY_RSA=”/etc/openvpn/easy-rsa”
cs

 

(이때 줄 맨 앞에 #표시가 붙지 않아야 합니다. 설정파일 특정 행의 선두에 #이 붙어있다는 것은 그 행 전체가 주석이라는 의미입니다.)

vars파일의 EASY_RSA 변수 부분.vars파일의 EASY_RSA 변수 부분을 찾아 그 값을 변경해 준 이후의 모습입니다.

          계속해서 아래 내용이 나오는 부분을 찾습니다.

1
export KEY_COUNTRY="US"
cs

          위 변수 선언이 나오는 곳을 찾아 =부호 뒤 따옴표 안의 US를 서버가 위치한 곳의 국가코드로 바꾸어 줍니다. (반드시 2자리 국가코드 형태로 입력합니다. 우리나라는 KR이겠지요.)

          그 아래로 KEY_PROVINCE  변수는 =부호 뒤 따옴표 안의 CA를 서버가 위치한 특별/광역시/도 영어 이름으로 바꾸어 줍니다. 마찬가지 방법으로 도시도 바꾸어 주고, KEY_ORG는 영어 회사명 혹은 누구네 집 (~’s home)정도를 입력해 줍니다. KEY_EMAIL은 굳이 기재할 필요는 없는데 스크립트가 공란을 허용하지 않으므로, . 만 입력하고 넘어갑니다. KEY_OU는 부서명을 영어로 입력하거나 .를 입력하여 넘어갑니다. 아래 그림은 서울시 용산구에 위치한 용산(주) 영업부라는 가상 조직의 예를 var파일의 해당 변수에 입력한 예시 화면입니다.

vars파일 예시입니다.이 그림은 서울시 용산구에 위치한 용산(주) 영업부라는 가상 조직의 예를 var파일의 해당 변수에 입력한 예시 화면입니다.

          위 KEY_COUNTRY부터 KEY_OU까지는 아래에서 언급할 키 생성 스크립트들에서 사용자에게 물어보는 값들입니다. 이때 [ ]안에 우리가 var파일에 입력한 국가코드, 시도 이름, 도시 이름 등이 기본값으로 제시되며 그냥 엔터만 누르고 지나가면 기본값이 입력되고, 변경하고자 한다면 변경될 값을 입력한 후 엔터를 입력하면 변경된 값이 적용되는 방식입니다. 

          자, 이제 Control + X 키를 누른 뒤 nano 에디터가 저장할 지를 물으면 Y 키를 눌러 저장하고 나옵니다.

 

     (4) CA (Certificate Authority) 구축

1
2
3
# source ./vars
# ./clean-all
# ./build-ca
cs

          위 bash 명령어에서 첫 줄은 vars 파일에서 선언해 준 변수들을 읽어들여 참조하라는 의미이며, 두번째 줄은 서브디렉토리 keys/가 생성되어 있다면 해당 폴더의 내용을 전부 지우는 명령입니다. 따라서 처음 key들을 생성할 때 이외에는 실수로 이 명령어를 입력하지 않도록 주의하여야 하며, 반대로 모든 key작업을 처음부터 다시 시작하여야 할 필요가 있을 때, 유용하게 이 명령을 사용함으로써 초기화된 깨끗한 환경에서 새로 CA와 키들을 생성할 수 있습니다. 세번째 줄의 명령어는 CA (Certificate Authority)를 생성하라는 의미입니다.

          CA 생성을 시작하면, EASY_RSA 프로그램은 난수를 생성한 뒤, 위에서 우리가 변수로 선언한 국가코드 등을 어떻게 적용할지를 사용자에게 묻는 절차를 진행합니다. vars파일 편집을 잘 해 놓으셨다면 특별히 변경 없이 엔터를 입력하여 넘어가도 무방해 보입니다.

 

     (5) 서버 Certificate 및 KEY 생성

1
# ./build-key-server [서버_이름] 
cs

          이제 위 명령어를 통해 서버 인증서와 키를 생성해 줍니다.

          서버 이름은 해당 부서 혹은 회사 전산실에서 OpenVPN 서버로 사용할 컴퓨터를 네트워크 상에서 구분해서 부르는 영어(와 숫자로 된) 실제 이름을 붙여 기재합니다. 예를 들어, 그냥 Server라는 이름을 붙였을 경우 아래와 같이 입력합니다.

1
# ./build-key-server Server 
cs

          단, 서버 이름은 이 후에 만들 클라이언트들의 이름과 겹치지 않도록 하는 것이 관리 목적상 중요합니다. 아울러 이 명령에 입력하는 [서버_이름]이 서버키를 만드는 과정에서 스크립트가 CN (Common Name) 값을 물어볼 때 [ ]안에 들어가는 기본값이 되는데, 이 기본값을 유지해 주어야 합니다. 이 CN 값은 모든 클라언트와 서버가 각각 고유한 값을 가져야 합니다. (즉, 동일한 값을 입력하면 작동시 오류가 납니다.) 단, 설정파일에서 동일한 값을 갖을 수 있도록 옵션을 설정할 수는 있지만, 역시 관리목적상 바람직하지 않습니다.

          또한가지 중요한 것은, 스크립트가 사용자의 입력값을 요구하면서 아래와 같이 묻습니다.

1
A challenge password?
cs

          이때 어떠한 값도 입력하지 말고 엔터를 입력해야 합니다.

1
Sign the Certificate?
cs

          라는 질문에는 Y를 입력해야 합니다.

1
Sign the Cer1 out of 1 certificate requests certified, commit?
cs

          여기에도 Y를 입력하면 비로소 정상적으로 서버 인증서와 키가 완성됩니다.

 

     (6) Client Certificate 및 Key 생성

          이제 클라이언트용 키를 생성하는 단계입니다. 클라이언트용 키는 일반적으로 VPN에 접속할 VPN사용자 단위로 만들어 줍니다. 그래야 회사의 경우 VPN사용자 퇴사 시 해당 클라이언트 키만 무효화하여 서버와 다른 클라이언트를 유지할 수 있습니다. 따라서 이 경우 해당 VPN사용자의 고유한 값 (e.g. 사원번호)을 [클라이언트_이름]과 CN 값으로 입력하는 것이 현명해 보입니다.

          만약 가정에서 운용하고, 접속하는 VPN사용자는 극히 적고 변동될 가능성이 없는데 동일한 VPN사용자가 PC, MAC,  모바일 기기 등 여러 디바이스로 접속한다면, 접속하는 디바이스의 고유 이름대로 클라이언트 키를 만들어 줄 수도 있을 것입니다. 물론, 이 경우 접속하던 디바이스를 처분할 때, 해당 클라이언트 인증서와 키를 폐기하는 스크립트를 실행해 주어야 하겠지요. 특히 비밀번호 없이 클라이언트를 생성할 경우 폐기 절차는 보안에 절대적으로 필요합니다.

           아래 명령어는 참고만 하십시오.

1

# ./build-key-pass [클라이언트_이름] 

cs

          역시 [클라이언트_이름]으로 입력해 준 값이 CN 기본값이 됩니다.  위 명령은 클라이언트 키를 생성하는 스크립트가 진행될 때 PEM 패스워드를 만들도록 되어 있습니다. 위 방식으로 클라이언트 키를 만들면, VPN사용자는 OpenVPN 서버에 접속할 때마다 PEM 패스워드를 입력하여야 합니다. 또한 위 방식으로 만든 클라이언트가 iOS, 안드로이드 등 모바일기기에서 서버에 접속하고자 한다면, 3des 파일을 한 번 더 만들어 줘야 한다고 합니다. 이 글에서는 위 방식은 다루지 않고 아래와 같이 PEM 패스워드를 입력하지 않고 접속하는 클라이언트 생성방법을 설명합니다.

1
# ./build-key [클라이언트_이름] 
cs

          [클라이언트_이름]은 전술한 바와 같이 적절하고 고유한 클라이언트의 실제 이름으로 치환하여 입력하여야 합니다. 예를 들어, Client1 이라는 이름으로 클라이언트 키를 생성하기 위해 아래와 같이 입력합니다.

1
# ./build-key Client1 
cs

          그러면 스크립트가 난수 생성과정을 진행한 뒤 서버키 생성때와 마찬가지로 사용자의 입력값을 쭉 요구하고 나서 아래와 같이 묻습니다.

1
A challenge password?
cs

          역시 이때 어떠한 값도 입력하지 말고 엔터를 입력해야 합니다.

1
Sign the Certificate?
cs

          라는 질문에는 Y를 입력해야 합니다.

 

     (7) Diffie-Hellman key exchange 생성

1
# ./build-dh 
cs

          우리가 var파일에서 해당 변수에 특별한 변경을 하지 않았다면, 위 명령을 입력했을 때, 스크립트가 2048 비트로 암호화하는 dh2048.pem 파일을 keys 디렉토리 내에 생성합니다. 이 파일의 생성시간이 상대적으로 서버, 클라이언트 난수 생성보다 꽤 길게 느껴질 것입니다. 그래서 데비안 wheezy 때까지만 해도 암호화 수준을 1024 비트 수준으로 하는 것이 var파일의 기본값이었고 권장값이었는데, Jessie로 넘어오면서는 기본값이 2048 비트로 되어 있더군요. 아마 하드웨어의 성능이 비약적으로 향상되면서 1024 비트의 암호해독 속도도 줄었을 것이고, 반대로 2048 비트로 암호화 하는 체감 속도도 과거 보다는 빨라졌기 때문에 생긴 변화일 것이라 생각해 봅니다. (순식간에 완료하겠구나 하고 오해하는 것은 금물입니다. 과거보다 빨라졌을 뿐, 2048비트 암호화 파일 생성시간이 orange pi pc 기준으로 12~13분 가량 이상은 됩니다.) 아무튼 보안 수준이 높아진다는 것은 나쁠 것은 없지요.  

 

     (8) ta.key 파일 생성

1
# openvpn –-genkey –-secret keys/ta.key 
cs

          이제 해커의 DoS (Denial of Service) 공격을 대비하기 위해 서버와 클라이언트가 공유하는 파일인 ta.key 파일을 위와 같은 명령으로 만들어 줍니다.

 

   이상으로 Raspberry Pi를 OpenVPN 서버로 만들기 제1부 내용을 마칩니다. 이어질 2부에서는 서버와 클라이언트 설정파일을 생성하는 과정까지 마치고 3부에서는 실제로 운용해보고 발생하는 문제에 대한 대처 등을 다루어 볼까 합니다.

Posted by truerain
l