openvpn 연결이 윈도우에서만 안됩니다(feat ovpn 파일 내용질문)

osthek83   
   조회 4293   추천 0    

1. 회사에서 제 집으로 vpn 연결을 하려는데,  맥에서는 정상적으로 vpn 연결이 되는데, 회사 윈도우 컴터에서는 안됩니다..컴터 자체 문제는 아닌거 같은게 다른 회사 고객 관련 vpn 은 잘됩니다...에러 메시지는 다음과 같습니다. 

2021-10-05 08:42:49 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.

2021-10-05 08:42:49 Flag 'def1' added to --redirect-gateway (iservice is in use)

2021-10-05 08:42:49 OpenVPN 2.5.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 17 2021

2021-10-05 08:42:49 Windows version 10.0 (Windows 10 or greater) 64bit

2021-10-05 08:42:49 library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10

Enter Management Password:

2021-10-05 08:42:54 TCP/UDP: Preserving recently used remote address: [AF_INET]88.125.10.133:48901

2021-10-05 08:42:54 UDP link local: (not bound)

2021-10-05 08:42:54 UDP link remote: [AF_INET]88.125.10.133:48901

2021-10-05 08:42:54 [Freebox OpenVPN server 639b5a73ac52022f9a87cf7f2afba338] Peer Connection Initiated with [AF_INET]88.125.10.133:48901

2021-10-05 08:42:54 There is a problem in your selection of --ifconfig endpoints [local=192.168.27.65, remote=212.27.38.253].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.

2021-10-05 08:42:54 Exiting due to fatal error


2 bridged mode 로 접속하면 연결은 되는데 처음에 아이피를 169.254.x.x 를 받아오길래(여기서 부터도 이미 문제인거 같습니다 dhcp 인식을 못하니까요) 강제로 lan local 영역이랑 같은 192.168.7.x 로 바꿔줬는데 전혀 영역으로 나가질 못합니다...



3, ovpn 파일 내용 자체에 대한 질문입니다. 

인증서에 보면 

<ca>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

<cert>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<extra-certs>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</extra-certs>

<key>

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

</key>


이렇게 되어있는데, ca 부분이야 최상위 인증서 발급기관이고, 그 다음 cert 는 vpn server 에서 공개키를 전달하는 부분으로 알고 있습니다.

extra certs 는 뭔가요? 그리고 더 이해가 안 가는 부분은 private key 가 왜 들어있는건지 모르겠네요. vpn server 쪽에서 건내준 공개키를 이용해, 난수만들어서 서로 교환하고 그 다음에 대칭키를 만들어서 그 다음부터 암호화 통신하는걸로 알고 있는데 저 개인키는 어떤 용도인지요?




짧은글 일수록 신중하게.
Ubuntu1804L… 2021-10
1. 해당 문제는 https://forums.openvpn.net/viewtopic.php?t=13557 이 글을 참고하세요.
2. 클라이언트 연결이 제대로 안된 상태이기때문에 당연한 결과인 것 같습니다.
3. extra certs는 intermediate CA 지정에 쓰이는 것으로 보입니다. / Private key는 암호화통신이 아닌 클라이언트 인증에 쓰입니다.
     
osthek83 2021-10
답변 감사합니다 ^^
흑기사 2021-10
ovpn과 인증서는 별개입니다.
ovpn은 VPN 접속관련 설정(서버는 어디, 내가 서버면 IP대역은 무엇 사용...)이고 인증서는 VPN에 연결된 각 서버 클라이언트를 구분하고 암호화 통신하는데 씁니다.
ovpn도 서버용과 클라이언트용이 틀리고 그 외에 P2P 등 다른 용도로 쓰이는 것들도 있습니다.
그리고 ovpn은 윈도우용 openvpn에서만 쓰는 확장자이고, 다른 os에서는 .conf 등등 다른 형태로 씁니다.

openvpn에서 사용하는 인증서는 vpn에 연결되는 모든 클라이언트와 서버가 공유하는 CA인증서(*.crt)와 각 서버/클라이언트별로 독립적으로 가지는 공개키 (*.crt), 비밀키(*.key) 로 구성됩니다. CA인증서는 새로운 서버/클라이언트 추가할 때에도 필요합니다. easy-rsa로 만들 수 있음.

에러 메시지로 보아서는 클라이언트 ovpn 열어서 ip 주소 지정해 놓은거 있는지 확인해 보시고, 서버쪽 vpn 설정파일에서 클라이언트에게 뿌릴 ip 대역도 확인하세요.
ip 대역은 서버측 ovpn에서만 지정하고, 클라이언트는 접속할때 서버로부터 ip 받습니다.

그리고 vpn에 부여되는 넷마스크로 보아서는 구식인 topology net30을 쓰고 있는거 같네요. 요즘은 topology subnet 많이 씁니다.
     
osthek83 2021-10
답변 감사합니다. topology subnet 으로 해결했습니다. ^^


QnA
제목Page 1583/5709
2014-05   5145394   정은준1
2015-12   1679504   백메가
2018-04   3947   김주현
2017-03   3948   린드버그
2015-04   3948   레브가스
2015-02   3948   푸르릉
2020-08   3948   isaiah
2016-08   3948   차평석
2015-01   3948   민가놈
2020-11   3948   영산회상
2014-08   3948   2cpumem
2018-07   3948   서울l승용
2016-08   3948   PCMaster
2014-01   3948   조지연
2021-10   3948   이하나
2017-02   3948   라면먹고갈래
2020-06   3948   moby
2016-03   3949   초록마을
2019-07   3949   화정큐삼
2015-04   3949   anydream
2017-03   3949   문재연
2017-10   3949   페르세우스