VPN / PF sense 정리

verve·2025년 4월 14일
0

VPN 연결 흐름 & 관련 개념 정리

VPN 실무 흐름 정리

1. 구성 목적

  • 외부망(예: 카페, 집, 출장지)에서 사내망, NAS, 인트라넷 등에 안전하게 접속하기 위한 터널
  • 암호화된 통신로를 만들고, 내부 자원에 대해 직접 연결된 것처럼 통신 가능하게 만듦

2. 기본 흐름 예시 (클라이언트 → 내부망)

[외부 노트북]
   ↓ (인터넷)
[VPN 서버 (예: window31.iptime.org:1194)]
   ↓ (VPN 터널)
[내부망 자원] → NAS / DB / 인트라넷
  • VPN 연결 이후 노트북은 내부망 IP를 할당받음 예: 192.168.0.101 이 상태에선 마치 직접 회사 내부에 있는 PC처럼 동작함

3. 라우팅 흐름 핵심 (경로 꺾임)

  • VPN 연결 전:
    인터넷 요청 → 공유기 → 공인망 → 목적지
  • VPN 연결 후:
    인터넷 요청 → 공유기 → VPN 터널 → 내부망 → 목적지
  • 이 과정을 "라우팅이 꺾였다"라고 표현함 (기본 게이트웨이는 그대로인데, 실제 통신 경로는 바뀌는 것)

4. VPN 연결 조건 (보안 정책)

회사 환경에서 VPN 연결 시 체크되는 조건들

항목설명
✅ 개인 인증서사용자 인증용. PKI 기반으로 많이 씀
✅ OTP 인증2차 인증 (예: Google OTP, 사내 OTP 앱)
✅ 백신 검사연결 전, 최신 백신 설치/실행 여부 확인
✅ 게이트웨이 전환 확인A지점 → B지점처럼 네트워크 경로 변경
✅ RDP 차단내부망 접속 중 파일 유출 방지 목적

5. VPN 접속 대상 예시

  • 망분리 PC → 인트라넷 접속
  • 집 노트북 → NAS 접근
  • 출장 중 → 사내 시스템 모니터링
  • 내부 관리사이트 / 백오피스 접속 등

6. VPN 종류 간단 비교

종류특징
PPTP빠르지만 보안 약함 (요즘 거의 안 씀)
L2TP/IPSec이중 터널링. 방화벽 통과 어려울 수 있음
IPSecSite-to-Site로 자주 씀 (지사 간 터널링)
OpenVPNSSL 기반. 유연하고 안정적
SSL-VPN브라우저만으로도 접속 가능.
→ 현재 실습 중심
SSTPWindows 친화적. 443포트 사용 (방화벽 우회 쉬움)

7. Site-to-Site VPN

  • 회사 본사 ↔ 미국 지사 ↔ 중국 지사 간 고정 연결 터널
  • 모든 사내 LAN끼리 연결됨 (서로 내부 IP로 통신 가능)
  • 중간에 중국처럼 감시 위험 있는 지역이 있어도 → 암호화된 터널로 실시간 매출 교환 가능

요약 한 줄

VPN은 "외부망에서 내부망으로 안전하게 들어오는 통로"

연결 후엔 내부망처럼 행동하게 되며, 경로가 꺾이는 구조로 동작한다.

pfSense

pfSense는 UTM 방화벽으로서 다음 기능 포함:

  • 방화벽, IDS/IPS, L2/L3 라우팅
  • 무선랜 보안, VPN, 웹 필터링
  • 안티바이러스, DLP
  • pfSense는 인터페이스 2개로 나뉨:
    • WAN: 브릿지 모드 (공유기와 연결, 192.168.0.x 대역)
    • LAN: Host-only 모드 (내부 VM들이 연결되는 내부망)
  • pfSense는 내부 VM들의 게이트웨이 역할 수행
    • NAT, DHCP, DNS, 방화벽 등 전부 여기서 처리
    • 내부 VM에서 인터넷 나가려면 pfSense를 통해야 함
  • ESXi에서 pfSense 올릴 때 문제 발생:
    • PXE boot 화면만 뜨고 OS 부팅 실패 → ISO 미연결이 원인
    • 해결: pfSense ISO 이미지 연결 + CD/DVD 부팅 우선순위 설정
  • 또 다른 이슈는 ESXi에 수동 IP를 설정해도 ping이 안 갔던 문제
    → 원인은 VM 네트워크 어댑터가 잘못된 브릿지 대상(Automatic)으로 연결되어 있었기 때문
  • 해결 방법:
    • VMware Virtual Network Editor에서 VMnet0을 수동으로 Realtek 유선 NIC에 브릿지
    • ESXi VM 설정에서 네트워크 어댑터를 Custom → VMnet0 으로 고정
profile
verve
보안과 개발 그 어디사이에
이전 포스트

TIL - HA 와 방화벽 룰 설정

다음 포스트

HIE 교환시스템 서비스 프로젝트 병동/200OK

0개의 댓글