TIL
배운 내용
VPN(Virtual Private Network)
- 마치 내가 다른 사설 네트워크에 존재하는 것처럼 여겨질 수 있도록 하는 매커니즘
- 2가지 VPN (서버 - 클라이언트 VPN , Site-to-Site VPN)
- 터널링 방식 = L2TP(Layer 2 Tunneling Protocol)
- 암호화 방식 = IPsec
vyos@vyos# set vpn ipsec ipsec-interfaces int eth0
# ipsec 암호화를 할 인터페이스. vpn server의 외부인터페이스.
vyos@vyos# set vpn ipsec nat-traversal enable
# 사설 대역에 대해서도 VPN을 허용하겠다.
# 원래 IPsec 암호화를 할때 보통 공인아이피끼리 구성하는데, 공인아이피가 아닌, NAT가 된(=사설대역) 상대도 허용하겠다.
vyos@vyos# set vpn ipsec nat-networks allowed-network 0.0.0.0/0
# nat-traversal을 허용할 사설대역. 모두 허용하겠다.
vyos@vyos# set vpn l2tp remote-access client-ip-pool start 10.10.2.200
# VPN을 통해 내부로 진입하는 client(mint)가 받게될 시작아이피(dhcp의 range와 비슷)
# 내가 그 '네트워크에 속해있다' 라고 말할 수 있으려면, 그 네트워크에 맞는 논리적 IP를 부여받고, 물리적인 장치에 연결 되어있어야 하기때문에 해당 클라이언트가 부여받을 IP범위를 지정하는 것.
vyos@vyos# set vpn l2tp remote-access client-ip-pool stop 10.10.2.220
# 만약에 vpn 접속에 성공했다면, client는 10.10.2.200~220 사이의 아이피를 부여받을 것이다.
vyos@vyos# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret chan
# 사전공유키 = chan
vyos@vyos# set vpn l2tp remote-access authentication mode local
# 사용자 식별은 로컬 방식 = ID/PASS
vyos@vyos# set vpn l2tp remote-access authentication local-users username min password min
# ID = min , PASSWORD = min
vyos@vyos# set vpn l2tp remote-access outside-address 211.183.3.252
# 터널링을 할 외부 주소
# vpn client들이 접속할 VyOS의 eth0(외부) 주소VyOS의 eth1을 구성하기위해 Network Adapter 추가
vyos@vyos# set int eth eth1 add 10.10.2.252/24
vyos@vyos# commitmint에서
sudo -i
password for user1: user1
root@user1-virtual-machine:~#
관리자 권한으로 변경해준다.
root@user1-virtual-machine:~# apt install -y network-manager-12tp-gnome
# 이후 mint에서 VPN설정을 해준다.
root@user1-virtual-machine:~# ifconfig
# ip할당을 확인한다.오늘은 VPN 특히 서버-클라이언트 VPN에 대해서 배웠다. 지금 작성한 부분은 이론 수업을 하면서 강사님과 같이 한 부분에 대해서 설명했다. 순서를 생각해보면
ipsec 암호화 할 인터페이스를 찾고 사설 대역에 대해서도 VPN을 허용을 해준다. 우리는 NAT가 된 상태도 허용해주기 때문이다.
모든 사설대역을 허용해준다.
VPN을 통해 내부로 진입하는 client가 받게 될 시작IP 범위를 설정해주고 사전 공유키와 로컬 방식으로 식별을 하기 때문에 ID와 PASS를설정하고 터널링할 외부 주소를 설정한다.
나를 한줄로