1. 환경

 

     (1) 실행 하드웨어 및 운영체제

         - Raspberry Pi 2 (운영체제 : Raspbian Wheezy/Jessie) 또는,

           호환 확인된 유사 보드 : Orange Pi PC (운영체제 : Armbian Jessie)

         ※ 물론 ARM 계열 보드들 뿐만아니라 Debian의 Wheezy 혹은 Jessie 배포판을 사용하는 일반적인 PC환경에서도 동작할 것입니다.

 

     (2) 네트워크 – 공유기 (ipTIME) 내부 사설 네트워크

         - 공유기 게이트웨이 : 192.168.0.1

         - OpenVPN이 설치될 라즈베리파이 (혹은 오랜지 파이) 보드 :  

                                     192.168.0.2 (공유기 설정에서 사설IP 예약 할당)

           - 공인 고정 IP 혹은 DDNS (이 글에서는 my_network.iptime.org로

           DDNS 설정이 되어 있는 상황을 가정합니다.)

 

2. OpenVPN 설치

 

     (1) 데비안 Wheezy 버젼인 경우 

          easy-rsa가 openvpn 패키지에 포함되어 있으므로 별도로 설치할 필요가 없습니다.

1
$ sudo apt install openvpn
cs

 

 

     (2) 데비안 Jessie 버젼 이후의 경우 

          easy-rsa가 별도 패키지로 분리되었기때문에 함께 설치가 필요합니다.

1
$ sudo apt install openvpn easy-rsa    
cs

 

 

3. 설정 (A) : easy-rsa 관련파일 생성

 

     (1) root프롬프트 전환

          권한문제 등을 원활히 해결하기 위하여 아래와 같이 root 프롬프트 환경으로 진입합니다.

1
$ sudo –s    
cs

 

     (2) TLS기반 인증을 위한 easy-rsa 스크립트 폴더 복사

         - Wheezy의 경우

1
# cp –r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa   
cs

 

         - Jessie의 경우

1
# cp –r /usr/share/easy-rsa /etc/openvpn/easy-rsa   
cs

 

     (3) vars 파일 변수 설정 편집

1
2
# cd /etc/openvpn/easy-rsa
# nano ./vars
cs

          vars파일이 열리면 ‘EASY_RSA’라는 변수를 찾아 =표시 뒤의 값이 아래와 같이 되도록 바꾸어 줍니다.

1
export EASY_RSA=”/etc/openvpn/easy-rsa”
cs

 

(이때 줄 맨 앞에 #표시가 붙지 않아야 합니다. 설정파일 특정 행의 선두에 #이 붙어있다는 것은 그 행 전체가 주석이라는 의미입니다.)

vars파일의 EASY_RSA 변수 부분.vars파일의 EASY_RSA 변수 부분을 찾아 그 값을 변경해 준 이후의 모습입니다.

          계속해서 아래 내용이 나오는 부분을 찾습니다.

1
export KEY_COUNTRY="US"
cs

          위 변수 선언이 나오는 곳을 찾아 =부호 뒤 따옴표 안의 US를 서버가 위치한 곳의 국가코드로 바꾸어 줍니다. (반드시 2자리 국가코드 형태로 입력합니다. 우리나라는 KR이겠지요.)

          그 아래로 KEY_PROVINCE  변수는 =부호 뒤 따옴표 안의 CA를 서버가 위치한 특별/광역시/도 영어 이름으로 바꾸어 줍니다. 마찬가지 방법으로 도시도 바꾸어 주고, KEY_ORG는 영어 회사명 혹은 누구네 집 (~’s home)정도를 입력해 줍니다. KEY_EMAIL은 굳이 기재할 필요는 없는데 스크립트가 공란을 허용하지 않으므로, . 만 입력하고 넘어갑니다. KEY_OU는 부서명을 영어로 입력하거나 .를 입력하여 넘어갑니다. 아래 그림은 서울시 용산구에 위치한 용산(주) 영업부라는 가상 조직의 예를 var파일의 해당 변수에 입력한 예시 화면입니다.

vars파일 예시입니다.이 그림은 서울시 용산구에 위치한 용산(주) 영업부라는 가상 조직의 예를 var파일의 해당 변수에 입력한 예시 화면입니다.

          위 KEY_COUNTRY부터 KEY_OU까지는 아래에서 언급할 키 생성 스크립트들에서 사용자에게 물어보는 값들입니다. 이때 [ ]안에 우리가 var파일에 입력한 국가코드, 시도 이름, 도시 이름 등이 기본값으로 제시되며 그냥 엔터만 누르고 지나가면 기본값이 입력되고, 변경하고자 한다면 변경될 값을 입력한 후 엔터를 입력하면 변경된 값이 적용되는 방식입니다. 

          자, 이제 Control + X 키를 누른 뒤 nano 에디터가 저장할 지를 물으면 Y 키를 눌러 저장하고 나옵니다.

 

     (4) CA (Certificate Authority) 구축

1
2
3
# source ./vars
# ./clean-all
# ./build-ca
cs

          위 bash 명령어에서 첫 줄은 vars 파일에서 선언해 준 변수들을 읽어들여 참조하라는 의미이며, 두번째 줄은 서브디렉토리 keys/가 생성되어 있다면 해당 폴더의 내용을 전부 지우는 명령입니다. 따라서 처음 key들을 생성할 때 이외에는 실수로 이 명령어를 입력하지 않도록 주의하여야 하며, 반대로 모든 key작업을 처음부터 다시 시작하여야 할 필요가 있을 때, 유용하게 이 명령을 사용함으로써 초기화된 깨끗한 환경에서 새로 CA와 키들을 생성할 수 있습니다. 세번째 줄의 명령어는 CA (Certificate Authority)를 생성하라는 의미입니다.

          CA 생성을 시작하면, EASY_RSA 프로그램은 난수를 생성한 뒤, 위에서 우리가 변수로 선언한 국가코드 등을 어떻게 적용할지를 사용자에게 묻는 절차를 진행합니다. vars파일 편집을 잘 해 놓으셨다면 특별히 변경 없이 엔터를 입력하여 넘어가도 무방해 보입니다.

 

     (5) 서버 Certificate 및 KEY 생성

1
# ./build-key-server [서버_이름] 
cs

          이제 위 명령어를 통해 서버 인증서와 키를 생성해 줍니다.

          서버 이름은 해당 부서 혹은 회사 전산실에서 OpenVPN 서버로 사용할 컴퓨터를 네트워크 상에서 구분해서 부르는 영어(와 숫자로 된) 실제 이름을 붙여 기재합니다. 예를 들어, 그냥 Server라는 이름을 붙였을 경우 아래와 같이 입력합니다.

1
# ./build-key-server Server 
cs

          단, 서버 이름은 이 후에 만들 클라이언트들의 이름과 겹치지 않도록 하는 것이 관리 목적상 중요합니다. 아울러 이 명령에 입력하는 [서버_이름]이 서버키를 만드는 과정에서 스크립트가 CN (Common Name) 값을 물어볼 때 [ ]안에 들어가는 기본값이 되는데, 이 기본값을 유지해 주어야 합니다. 이 CN 값은 모든 클라언트와 서버가 각각 고유한 값을 가져야 합니다. (즉, 동일한 값을 입력하면 작동시 오류가 납니다.) 단, 설정파일에서 동일한 값을 갖을 수 있도록 옵션을 설정할 수는 있지만, 역시 관리목적상 바람직하지 않습니다.

          또한가지 중요한 것은, 스크립트가 사용자의 입력값을 요구하면서 아래와 같이 묻습니다.

1
A challenge password?
cs

          이때 어떠한 값도 입력하지 말고 엔터를 입력해야 합니다.

1
Sign the Certificate?
cs

          라는 질문에는 Y를 입력해야 합니다.

1
Sign the Cer1 out of 1 certificate requests certified, commit?
cs

          여기에도 Y를 입력하면 비로소 정상적으로 서버 인증서와 키가 완성됩니다.

 

     (6) Client Certificate 및 Key 생성

          이제 클라이언트용 키를 생성하는 단계입니다. 클라이언트용 키는 일반적으로 VPN에 접속할 VPN사용자 단위로 만들어 줍니다. 그래야 회사의 경우 VPN사용자 퇴사 시 해당 클라이언트 키만 무효화하여 서버와 다른 클라이언트를 유지할 수 있습니다. 따라서 이 경우 해당 VPN사용자의 고유한 값 (e.g. 사원번호)을 [클라이언트_이름]과 CN 값으로 입력하는 것이 현명해 보입니다.

          만약 가정에서 운용하고, 접속하는 VPN사용자는 극히 적고 변동될 가능성이 없는데 동일한 VPN사용자가 PC, MAC,  모바일 기기 등 여러 디바이스로 접속한다면, 접속하는 디바이스의 고유 이름대로 클라이언트 키를 만들어 줄 수도 있을 것입니다. 물론, 이 경우 접속하던 디바이스를 처분할 때, 해당 클라이언트 인증서와 키를 폐기하는 스크립트를 실행해 주어야 하겠지요. 특히 비밀번호 없이 클라이언트를 생성할 경우 폐기 절차는 보안에 절대적으로 필요합니다.

           아래 명령어는 참고만 하십시오.

1

# ./build-key-pass [클라이언트_이름] 

cs

          역시 [클라이언트_이름]으로 입력해 준 값이 CN 기본값이 됩니다.  위 명령은 클라이언트 키를 생성하는 스크립트가 진행될 때 PEM 패스워드를 만들도록 되어 있습니다. 위 방식으로 클라이언트 키를 만들면, VPN사용자는 OpenVPN 서버에 접속할 때마다 PEM 패스워드를 입력하여야 합니다. 또한 위 방식으로 만든 클라이언트가 iOS, 안드로이드 등 모바일기기에서 서버에 접속하고자 한다면, 3des 파일을 한 번 더 만들어 줘야 한다고 합니다. 이 글에서는 위 방식은 다루지 않고 아래와 같이 PEM 패스워드를 입력하지 않고 접속하는 클라이언트 생성방법을 설명합니다.

1
# ./build-key [클라이언트_이름] 
cs

          [클라이언트_이름]은 전술한 바와 같이 적절하고 고유한 클라이언트의 실제 이름으로 치환하여 입력하여야 합니다. 예를 들어, Client1 이라는 이름으로 클라이언트 키를 생성하기 위해 아래와 같이 입력합니다.

1
# ./build-key Client1 
cs

          그러면 스크립트가 난수 생성과정을 진행한 뒤 서버키 생성때와 마찬가지로 사용자의 입력값을 쭉 요구하고 나서 아래와 같이 묻습니다.

1
A challenge password?
cs

          역시 이때 어떠한 값도 입력하지 말고 엔터를 입력해야 합니다.

1
Sign the Certificate?
cs

          라는 질문에는 Y를 입력해야 합니다.

 

     (7) Diffie-Hellman key exchange 생성

1
# ./build-dh 
cs

          우리가 var파일에서 해당 변수에 특별한 변경을 하지 않았다면, 위 명령을 입력했을 때, 스크립트가 2048 비트로 암호화하는 dh2048.pem 파일을 keys 디렉토리 내에 생성합니다. 이 파일의 생성시간이 상대적으로 서버, 클라이언트 난수 생성보다 꽤 길게 느껴질 것입니다. 그래서 데비안 wheezy 때까지만 해도 암호화 수준을 1024 비트 수준으로 하는 것이 var파일의 기본값이었고 권장값이었는데, Jessie로 넘어오면서는 기본값이 2048 비트로 되어 있더군요. 아마 하드웨어의 성능이 비약적으로 향상되면서 1024 비트의 암호해독 속도도 줄었을 것이고, 반대로 2048 비트로 암호화 하는 체감 속도도 과거 보다는 빨라졌기 때문에 생긴 변화일 것이라 생각해 봅니다. (순식간에 완료하겠구나 하고 오해하는 것은 금물입니다. 과거보다 빨라졌을 뿐, 2048비트 암호화 파일 생성시간이 orange pi pc 기준으로 12~13분 가량 이상은 됩니다.) 아무튼 보안 수준이 높아진다는 것은 나쁠 것은 없지요.  

 

     (8) ta.key 파일 생성

1
# openvpn –-genkey –-secret keys/ta.key 
cs

          이제 해커의 DoS (Denial of Service) 공격을 대비하기 위해 서버와 클라이언트가 공유하는 파일인 ta.key 파일을 위와 같은 명령으로 만들어 줍니다.

 

   이상으로 Raspberry Pi를 OpenVPN 서버로 만들기 제1부 내용을 마칩니다. 이어질 2부에서는 서버와 클라이언트 설정파일을 생성하는 과정까지 마치고 3부에서는 실제로 운용해보고 발생하는 문제에 대한 대처 등을 다루어 볼까 합니다.

Posted by truerain