구축 조건
① 기본적으로 폐쇄망 환경 (외부통신 불가)
공인 IP 1개로 운영 중인 Windows Server Standard 2019 서버로 폐쇄망 환경 운영
② OpenVPN Client를 이용하여 사설 IP로 운영
OpenVPN Server가 별도로 존재하며, 본 윈도우 서버는 Client로 privat IP를 받아 사설 통신을 주로 하도록 설정
외부 통신 모두 차단하기
모든 연결 차단 설정
가장 간단한 방법, 방화벽에서 모든 연결을 차단하고 VPN 서버의 IP만 허용하는 것입니다.
wf.msc
[Windows Defender 방화벽 속성] → 모든 프로필 방화벽 사용/인,아웃 바운드 연결 차단 설정
모든 연결 차단으로 설정해야 확실하게 고립됩니다.
VPN Server 방화벽 허용
OpenVPN Port인 UDP 1194와 IP를 모두 지정합니다. 테스트 구축이므로 단순히 IP 기준으로만 허용하였습니다.
인바운드 정책과 아웃바운드 정책 모두 등록합니다.
VPN 어댑터 프로필 분리 후 허용
곰곰히 생각해보니 보통의 클라이언트가 VPN을 생각할 때 사설 IP로 운영된다고 설명하면 일반 L2 스위치에 연결된 것처럼 그냥 연결이 될거라고 생각하는 경우가 많았습니다.
비슷하게 구현하기 위해 OpenVPN Windows 에서 사용하는 네트워크 어댑터를 공용 프로필에서 분리하여 개인 프로필로 넣은 뒤, 개인 프로필은 모든 정책을 허용하도록 설정하기로 하였습니다.
OpenVPN Windows 어댑터 확인
일반적으로 OpenVPN TAP-Windows6 이름으로 생성됩니다.
ncpa.cpl
오픈스택 기반 가상서버에서 테스트하고 있어서 Virtio 어댑터가 보이지만, 혼동하지 않고 이름을 확인합니다.
프로필 분리
gpedit.msc
[컴퓨터 구성] → [Windows 설정] → [보안 설정] → [네트워크 목록 관리자 정책] → 어댑터 선택
[네트워크 위치] → [위치 유형] 개인으로 변경
방화벽 개인 프로필 허용 설정
wf.msc[Windows Defender 방화벽 속성] → [개인 프로필] → 모두 허용 설정
보호된 네트워크 연결 [사용자 지정] 클릭
OpenVPN 어댑터 외 타 네트워크 어댑터는 해제
테스트 시 공인 IP로는 외부 접근 또는 내부 인터넷 통신이 안되지만, VPN Client 끼리는 원격지에서도 접근이 가능하였습니다.
추가적으로 VPN 연결 후 외부 통신이 되는 상태라면 VPN 서버에서 NAT 라우팅 룰셋을 확인해보셔야 합니다.
