pfSense에서 VPN서버 구축하기.(Open VPN)
안녕하세요. 달소입니다.
오늘은 pfSense에서 가장 구축하기 쉬운(?) Open VPN구축방법입니다.
기본적으로 pfSense에 OpenVPN서버가 탑재되어있고 Client를 쉽게 내보내는 패키지 하나만 설치하면 됩니다.
구축환경
pfSense 2.5.1
WAN : 192.168.1.230 포트는 1194 사용예정
LAN : 192.168.20.0/24
VPN_IP대역 : 10.0.0.0/24
1. Open VPN 서버 구축하기.
먼저 pfSense 웹 콘솔로 접근 후 VPN -> OpenVPN -> Wizards로 구축을 진행하겠습니다.
1) 유저 인증은 pfSense 사용자 계정으로.
2) CA 생성 - 인증서 생성인데 아래처럼 원하는대로 해주시면됩니다.
3) 서버 인증서 생성 - 위와 동일
4) VPN 인터페이스 생성 -> WAN IP, Port
5) Tunnel Network : VPN Client IP대역 / Local Network (내부 LAN 네트워크 대역 : VPN연결 후 통신하고싶은 대역)
6) Client 설정 : DNS 정보 입력
7) 해당 VPN 서버에 대한 방화벽 룰 및 VPN 룰 자동 생성 (필수 체크)
8,9) 완료
2. 사용자 계정생성
사용자는 System -> User Manager에서 만들어주시면됩니다.
인증서에대한 정보는 유저마다 다르게해주셔야 합니다.
3. Open VPN Client Export 패키지 설치
이제 Client 정보를 쉽게 내보내기 위한 패키지를 설치해주겠습니다.
System -> Package Manager -> Available Package -> openvpn 검색
4. 클라이언트 다운로드 및 접속하기.
아래로 주욱 내려서 Client User의 Export의 설정값을 다운로드 받아주세요.
VPN 설정파일 값 수정하기.
이제 이 설정값에서 몇가지 변경이 필요한데
외부에서 접근하려면 WAN IP(내부 IP)이기때문에 외부 공인 IP와 노출시켜줄 포트로 변경해줘야합니다.
ex) 저는 공인 ip -> 포트 11944로 접근하려고하는데
아래 192.168.1.230 1194 -> 공인 ip 11944 로 바꿔서 저장하면됩니다.
그리고 공유기 정책을 아래처럼 넣어주세요.
Open VPN 클라이언트로 접근하기.
클라이언트 다운로드 후 설정파일 불러오기 를 해주세요.
https://openvpn.net/community-downloads/
아래처럼 정상적으로 연결되면
아래처럼 인터페이스도 생기고 ping도 내부망에 잘 붙는걸 확인할 수 있습니다.
접근 현황은 Status -> OpenVPN에서 볼수있습니다.
고럼 여기까지~
하늘위의하늘 참고하셔서 안되는거 있으면 말씀해주세요~
달소
1등 내부 네트워크를 wan으로 붙이고 싶은데요
가능할까요?
로컬이라하면 저는 가상 lan인데요.
그걸로는 내부 ip로 접근이 안되는데요.
실제로wan으로 연결 되어야 내부 사용이 가능한 상태입니다 ㅎㅎ
내부네트워크를 WAN으로 붙이신다는게 정확히 어떤걸 말씀하시는걸까요?
연결 후에 내부망을 붙으면안되는건지..
Wan이 물리 망이고
Lan이 가상 스위치에서 나온
가상 ip입니다. 물리영역에 접속 하고 싶어서요
192.168.1.1 물리 ip
192.168.20.1 가상 ip
입ㄴㄱ다
아하... 저 상태로는 물리ip도 접근가능할텐데요.
게이트웨이가 192.168.1.1을 타고나가서 아마 인식할거같은데 테스트해봐야겠네요 ㅎㅎ
게이트웨이가 안붙더라고요. ㅜㅡ
Ip는 이전에 맞췋거든요
방금 핫스팟으로 테스트했는데
둘다 연결 잘됩니다~
2등 
Redirect IPv4 : GatewayForce all client-generated IPv4 traffic through the tunnel.
이부분 체크하고 Local Network 강제로 리다이렉트하는 걸로 했더니..
내부 연결되었습니다.
설정이 꼬인건지.. 알려주신대로 안되길래요.. ㅠㅠ
이것저것 만져보다가... 저옵션 켜니깐 연결되네요..
핫스팟으로 연결해서 / Host OS로 접속 / 내부 원격 접속해서 성공했습니다.
감사합니다. 신경 써주셔서..
3등 아 터널중간에 게이트웨이 부분이군요. 체크만해놓고 따로 적어놓지는않았네요 ㅠ
결과적으로 모든게 잘되었습니다. ㅎㅎ
감사합니다.
이제 posting 해주신대로 방화벽 자동으로 자동 업데이트 하는것과 surica? 모니터링 프로그램 정도 올리면 기본 세팅은 되는것 같습니다.
nginx도 세팅한번 확인하구요.
db랑 web 서버랑 분리해서 많이 사용하시는데요 분리 (내부 네트워크)해서 사용하시나요?
웹과 디비를 분리하는건 규모가 큰경우에는 그렇게 서버를 나누는데 하나의 esxi에서 나누는건 큰의미가 없습니다
성능보다는 보안쪽? 의미였습니다.
직접 접근이 어려워 지니깐요.
Host 권한 탈취시 아무 의미 없지만요 ㅎㅎ
보안측면에서는 확실히 나누는게 낫긴하지요 ㅎㅎ
오 역시 서버/보안 전문가시라
제의도를 빠르게 파악을 ㅎㅎ
보안측면에서는 ㅎㅎ 운영 / 관리 모두 분리하는게 최선이긴합니다만.. 귀차니즘이..
다음에 구축할때는 나눠봐야겠네요
오 단일 pc 에서도 나누는게 가능할까요?
리눅스서버를 하나 더 만드는방법밖에는 없지요 ㅎㅎ VLAN을 따로 나눠서요
Vlan이라하면 exsi 가상 스위치 인가요?
프로그램 마다 용어가 조금씩 개념도 좀 달라서 헷깔리네요 ㅎㅎ
Virtual LAN이라고 보시면 됩니다 ㅎㅎ
ESXi 에서 설정할수도있고pfSense에서도 구성가능합니다.
용어와 개념 정리 포스팅 어떠심니까?
서버 구성시
관련 관심이 막새로 생기신 저 같은 사람은 용어가 헷깔리더라고요.
Nat /dnat /브릿지/ 라우팅 /iptable /ddns/ dns/Wan/ lan /port/ port포워딩/ 스위치 /공유기 /라우터/Ap모드 / ip class /내부망 /외부망/ 공인 ip/사설 ip/방화벽 /inbound/ outbound
Tcp /udp /vpn /tunnel /tap
더는 기억이 ㅜㅡ
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
