openvpn 으로 지사망 연결하기 질문 입니다. :: 2cpu, 지름이 시작되는 곳!

hardware more

쓰기

openvpn 으로 지사망 연결하기 질문 입니다.

일달

2020-02

2020-02-03 16:37:34

조회 6788 추천 0

위와 같은 네트워크 구성을 하려고 하는데, 안되는 부분이 고수님에게 질문의 구합니다.

openvpn 을 통해서 vpn server - vpn client 연결을 했습니다.

iptables -t nat -I POSTROUTING -o enp1s0 -s 10.8.0.0/24 -j MASQUERADE
설정을 하고 난 뒤에,
ping 을 통해서 vpn server 에서 ofice COM1 으로 연결이 됩니다.

그러나 IDC SERVER 1 ----- OFFICE COM1 으로 연결이 안됩니다.
이와 같은 경우에는 어떻게 잡아야 되나요?

OFFICE COM1 - IDC SERVER 1 로 연결하고 싶습니다.

2주동안 이것저것 해보고 있는데 보통 작동이 이뤄지지 않네요.

사용 OS는 centos 를 사용하고 있습니다.



송주환 2020-02 지금 구성은 1:1 연결인데, Site to Site VPN이 필요한 것으로 보입니다. 지금 구성은 1:1 연결인데, Site to Site VPN이 필요한 것으로 보입니다.



일달 2020-02 네. site to site 로 구성하려고 했습니다. 네. site to site 로 구성하려고 했습니다.



maronet 2020-02 라우팅 테이블 정확히 구성되어 있는지 확인해보세요 라우팅 테이블 정확히 구성되어 있는지 확인해보세요



일달 2020-02 라우팅 테이블을 제대로 구성했다고 생각했느데 뭐가 틀린 점이 있나봅니다. 라우팅 테이블을 제대로 구성했다고 생각했느데 뭐가 틀린 점이 있나봅니다.



찬이 2020-02 IDC의 VPN Server에서 ip route add 192.168.21.0/24 via 10.8.0.1 dev tun0 onlink IDC의 PC(Server 1)에서 ip route add 192.168.21.0/24 via 192.168.20.50 OFFICE의 vpn client에서 ip route add 192.168.20.0/24 via 10.8.0.2 dev tun0 onlink OFFICE의 COM1에서 ip route add 192.168.20.0/24 via 192.168.21.100 이런식으로 해보세요. 통신방향 상관없이 서로 라우팅설정이 되어야 하는게 중요합니다. 통신방향은 iptables 포워딩 룰로 정해야 하구요. IDC의 VPN Server에서 ip route add 192.168.21.0/24 via 10.8.0.1 dev tun0 onlink IDC의 PC(Server 1)에서 ip route add 192.168.21.0/24 via 192.168.20.50 OFFICE의 vpn client에서 ip route add 192.168.20.0/24 via 10.8.0.2 dev tun0 onlink OFFICE의 COM1에서 ip route add 192.168.20.0/24 via 192.168.21.100 이런식으로 해보세요. 통신방향 상관없이 서로 라우팅설정이 되어야 하는게 중요합니다. 통신방향은 iptables 포워딩 룰로 정해야 하구요.



일달 2020-02 server1 server2 com1 com2 에 모두 라우팅 세팅을 해줘야 하는 건가요? 혹시 윗단에 있는 router 에서 세팅을 해서 할 수는 없나요? server1 server2 com1 com2 에 모두 라우팅 세팅을 해줘야 하는 건가요? 혹시 윗단에 있는 router 에서 세팅을 해서 할 수는 없나요?



찬이 2020-02 위 설정에서 Server 1설정을 IDC의 Default Gateway에, Com 1설정을 Office의 Default Gateway에 동일하게 설정하시면 됩니다. 위 설정에서 Server 1설정을 IDC의 Default Gateway에, Com 1설정을 Office의 Default Gateway에 동일하게 설정하시면 됩니다.



일달 2020-02 어렵네요. 이것저것 해 봐도 안되고, 시간 날때마다 해보고 있는데 잘 안되네요. 기본 지식을 더 공부하고 해 봐야 되겠습니다. 어렵네요. 이것저것 해 봐도 안되고, 시간 날때마다 해보고 있는데 잘 안되네요. 기본 지식을 더 공부하고 해 봐야 되겠습니다.



상석하대 2020-02 nat는 아닙니다. COM1이 클라이언트로 연결됐을 때 192.168.20.51이나 네트워크 대역에 대한 라우팅테이블을 가지고 있으면 SERVER에 접속할 수 있습니다. COM1에서 연결할 때 마다 일일이 라우팅을 올리고 내리는 대신 OpenVPN의 데몬이 이를 COM1에 강제하는 옵션이 있습니다. OpenVPN 서버쪽에 둔다면 다음(대역 예)입니다. push "route 192.168.20.0 255.255.255.0" COM1의 설정 파일에 넣겠다면 다음(대역 예) 입니다. route 192.168.20.0 255.255.255.0 OpenVPN에서 push, route가 뭔지 아시리라 봅니다. nat는 아닙니다. COM1이 클라이언트로 연결됐을 때 192.168.20.51이나 네트워크 대역에 대한 라우팅테이블을 가지고 있으면 SERVER에 접속할 수 있습니다. COM1에서 연결할 때 마다 일일이 라우팅을 올리고 내리는 대신 OpenVPN의 데몬이 이를 COM1에 강제하는 옵션이 있습니다. OpenVPN 서버쪽에 둔다면 다음(대역 예)입니다. push "route 192.168.20.0 255.255.255.0" COM1의 설정 파일에 넣겠다면 다음(대역 예) 입니다. route 192.168.20.0 255.255.255.0 OpenVPN에서 push, route가 뭔지 아시리라 봅니다.



일달 2020-02 지금 상황이 ssh 연결 접속 상태가 success ... vpn server -----> cpn client, com1, com2, com3 success ... vpn client -----> vpn server, server1, server2, server 3 .... failed ... com1 -----> server1 failed ... server1 -----> com1 이런 상태 입니다 저는 com1 ---> server1, server 로 연결하고 싶은데 route 정보만 세팅하고 iptables 는 설정 할 필요는 없었던 건가요? 지금 상황이 ssh 연결 접속 상태가 success ... vpn server -----> cpn client, com1, com2, com3 success ... vpn client -----> vpn server, server1, server2, server 3 .... failed ... com1 -----> server1 failed ... server1 -----> com1 이런 상태 입니다 저는 com1 ---> server1, server 로 연결하고 싶은데 route 정보만 세팅하고 iptables 는 설정 할 필요는 없었던 건가요?



상석하대 2020-02 거기서 nat는 필요없습니다. 위 그림이 nat할 필요가 있는지를 한번 다시 보십시오. 금방 답이 나옵니다. 외부에서 OpenVPN에 접속할 수 있도록 포트만 허용하면 그만인 것입니다. 접속이 되면 터널은 열린 것입니다. com1이 server1 이나 server 가 있는 네트워크와 통신하려면 해당 라우팅 경로를 지니고 있어야 합니다. 일일이 com1에서 route add 해도 되겠지만 이를 OpenVPN의 데몬에 맡기라는 것입니다. OpenVPN 서버 쪽 설정 파일에, push "route 192.168.20.0 255.255.255.0" 줄을 넣으면, 물론 conf 파일을 수정하면 OpenVPN 재시작 com1이 접속할 때 마다 이 네트워크 대역을 com1의 라우팅테이블에 OpenVPN 서버가 집어 넣습니다. 접속을 끊으면 역시 OpenVPN 서버가 해당 경로를 제거하기 위해서 route del을 실행합니다. 이를 서버쪽에서 하지 말고 com1의 클라이언트 쪽 OpenVPN이 하게 하려면 .ovpn 파일에 route 192.168.20.0 255.255.255.0 줄을 넣습니다. 거기서 nat는 필요없습니다. 위 그림이 nat할 필요가 있는지를 한번 다시 보십시오. 금방 답이 나옵니다. 외부에서 OpenVPN에 접속할 수 있도록 포트만 허용하면 그만인 것입니다. 접속이 되면 터널은 열린 것입니다. com1이 server1 이나 server 가 있는 네트워크와 통신하려면 해당 라우팅 경로를 지니고 있어야 합니다. 일일이 com1에서 route add 해도 되겠지만 이를 OpenVPN의 데몬에 맡기라는 것입니다. OpenVPN 서버 쪽 설정 파일에, push "route 192.168.20.0 255.255.255.0" 줄을 넣으면, 물론 conf 파일을 수정하면 OpenVPN 재시작 com1이 접속할 때 마다 이 네트워크 대역을 com1의 라우팅테이블에 OpenVPN 서버가 집어 넣습니다. 접속을 끊으면 역시 OpenVPN 서버가 해당 경로를 제거하기 위해서 route del을 실행합니다. 이를 서버쪽에서 하지 말고 com1의 클라이언트 쪽 OpenVPN이 하게 하려면 .ovpn 파일에 route 192.168.20.0 255.255.255.0 줄을 넣습니다.



일달 2020-02 각 클라이언트(com1, com2) 마다 openvpn 로 접속하여야 한다는 말씀이신가요? 각 클라이언트(com1, com2) 마다 openvpn 로 접속하여야 한다는 말씀이신가요?



상석하대 2020-02 네, 위 이미지는 서버와 클라이언트 관계라서 입니다. 즉, 192.168.21.100 이라는 com1을 클라이언트로 OpenVPN에 접속한 것입니다. 이런(Stite To Site가 아닌) 식이라면 com2도 별도로 OpenVPN에 클라이언트로 연결해야 합니다. 혹시, Site To Site를 구성하려고 했습니까? 그렇다면 IDC와 지사 각각에 있는 OpenVPN이 Site To Stie 연결만으로 끝나지 않습니다. server1, server2에서는 지사 쪽 라우팅 정보를 지니고 있어야 합니다. 각각에서 route add 해줘야 합니다. 이때 G/W는 라우터가 아니고 OpenVPN의 NIC 실제 주소입니다. com1, com2에서도 역으로 마찮가지입니다. OpenVPN에서는 설정으로 자체 라우팅 정보를 지니게 되기 때문에 따로 라우팅를 설정할 필요는 없고 포워딩이 되도록 합니다. 그리고 거기 router에서는 뭐 할 게 없습니다. 네, 위 이미지는 서버와 클라이언트 관계라서 입니다. 즉, 192.168.21.100 이라는 com1을 클라이언트로 OpenVPN에 접속한 것입니다. 이런(Stite To Site가 아닌) 식이라면 com2도 별도로 OpenVPN에 클라이언트로 연결해야 합니다. 혹시, Site To Site를 구성하려고 했습니까? 그렇다면 IDC와 지사 각각에 있는 OpenVPN이 Site To Stie 연결만으로 끝나지 않습니다. server1, server2에서는 지사 쪽 라우팅 정보를 지니고 있어야 합니다. 각각에서 route add 해줘야 합니다. 이때 G/W는 라우터가 아니고 OpenVPN의 NIC 실제 주소입니다. com1, com2에서도 역으로 마찮가지입니다. OpenVPN에서는 설정으로 자체 라우팅 정보를 지니게 되기 때문에 따로 라우팅를 설정할 필요는 없고 포워딩이 되도록 합니다. 그리고 거기 router에서는 뭐 할 게 없습니다.



Th2n 2020-02 혹시 해결 하셨나요? 같은 경헙으로 구축 한 경험이 있습니다. 각각 IDS 서버들이 게이트를 못 찾기 때문 이런 현상이 납니다. Router(20.50) 에 10.8.0.1 는 VPN 게이트웨이 추가 해 주시면 됩니다. 혹시 해결 하셨나요? 같은 경헙으로 구축 한 경험이 있습니다. 각각 IDS 서버들이 게이트를 못 찾기 때문 이런 현상이 납니다. Router(20.50) 에 10.8.0.1 는 VPN 게이트웨이 추가 해 주시면 됩니다.



일달 2020-02 아니요!! 아직 해결 못 했어요! 아니요!! 아직 해결 못 했어요!



윤탱이 2020-02 현재 말씀과 설정상황을 보니, Site to Site 로 되어있는게아니고 반대편으로 넘어갈때 NAT 되어서 넘어가는것 같습니다. 현재 말씀과 설정상황을 보니, Site to Site 로 되어있는게아니고 반대편으로 넘어갈때 NAT 되어서 넘어가는것 같습니다.



윤탱이 2020-02 경로를 보시려면 routeprint 로 봐보시면 좋습니다. 경로를 보시려면 routeprint 로 봐보시면 좋습니다.



일달 2020-02 server쪽 설정 # server # proto udp proto tcp4-server port 443 dev tun key /etc/openvpn/keys/vpn.server.key cert /etc/openvpn/keys/vpn.server.crt ca /etc/openvpn/keys/ca.crt dh /etc/openvpn/keys/dh2048.pem cipher AES-256-CBC tls-crypt /etc/openvpn/keys/vpn.tlsauth crl-verify /etc/openvpn/keys/crl.pem topology subnet client-to-client server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd route 192.168.21.0 255.255.255.0 10.8.0.10 #persist-key #persist-tun #status openvpn-status.log #log /var/log/openvpn.log ~ //// ccd/vpn.client ifconfig-push 10.8.0.10 255.255.255.0 iroute 192.168.21.0 255.255.255.0 push "route 192.168.10.0 255.255.255.128" push "route 192.168.20.0 255.255.255.128" push "route 192.168.30.0 255.255.255.128" push "redirect-gateway def1" push "dhcp-option DNS 10.8.0.1" server쪽 설정 # server # proto udp proto tcp4-server port 443 dev tun key /etc/openvpn/keys/vpn.server.key cert /etc/openvpn/keys/vpn.server.crt ca /etc/openvpn/keys/ca.crt dh /etc/openvpn/keys/dh2048.pem cipher AES-256-CBC tls-crypt /etc/openvpn/keys/vpn.tlsauth crl-verify /etc/openvpn/keys/crl.pem topology subnet client-to-client server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd route 192.168.21.0 255.255.255.0 10.8.0.10 #persist-key #persist-tun #status openvpn-status.log #log /var/log/openvpn.log ~ //// ccd/vpn.client ifconfig-push 10.8.0.10 255.255.255.0 iroute 192.168.21.0 255.255.255.0 push "route 192.168.10.0 255.255.255.128" push "route 192.168.20.0 255.255.255.128" push "route 192.168.30.0 255.255.255.128" push "redirect-gateway def1" push "dhcp-option DNS 10.8.0.1"



상석하대 2020-02 client-to-client는 com1과 com2가 각각 OpenVPN 서버에 접속했을 때 서로 통신하는 옵션으로 위 경우에는 필요없습니다. route 192.168.21.0 255.255.255.0 10.8.0.10은 방향이 바뀌었습니다. vpn.client의 아이피는 ccd에 의해 접속시 위 그림에서 10.8.0.2가 아니고 10.8.0.10이어야 합니다. push "redirect-gateway def1"와 push "dhcp-option DNS 10.8.0.1"는 필요한 경우가 아닙니다. redirect-gateway def1 때문에 라우팅이 꼬일 수 있으니 제거합니다. client-to-client는 com1과 com2가 각각 OpenVPN 서버에 접속했을 때 서로 통신하는 옵션으로 위 경우에는 필요없습니다. route 192.168.21.0 255.255.255.0 10.8.0.10은 방향이 바뀌었습니다. vpn.client의 아이피는 ccd에 의해 접속시 위 그림에서 10.8.0.2가 아니고 10.8.0.10이어야 합니다. push "redirect-gateway def1"와 push "dhcp-option DNS 10.8.0.1"는 필요한 경우가 아닙니다. redirect-gateway def1 때문에 라우팅이 꼬일 수 있으니 제거합니다.



일달 2020-02 10.8.0.10 은 하도 안되서 제가 바꿔 봤어요. 10.8.0.10 은 하도 안되서 제가 바꿔 봤어요.



상석하대 2020-02 개념은 다 언급한 것 같습니다. 위 이미지를 기준으로 정리하자면 다음입니다. OpenVPN 데몬은 자기의 백그라운드 네트워크가 있다는 것을 클라이언트에게 알려야 합니다. route 입니다. 방화벽에서는 OpenVPN 서비스 포트만 허용하면 됩니다. nat는 하지 않고 실제 서버의 커널에서 패킷만 포워딩합니다. net.ipv4.ip_forward=1 입니다. IDC에 있는 각 서버는 OpenVPN 네트워크의 라우팅 정보를 지녀야 합니다. (클라이언트 쪽은 route 로 해결된 상태) OpenVPN 서버 설정에서 OpenVPN의 네트워크(server와 push route 옵션)만 있으면 되지 ccd 옵션으로 뭘 넣을 필요까지는 없습니다. 만약, Site To Site라면 IDC의 서버와 클라이언트 컴퓨터 각각은 양쪽 네트워크의 라우팅을 OpenVPN 서버의 실제 주소로 해야 합니다. 개념은 다 언급한 것 같습니다. 위 이미지를 기준으로 정리하자면 다음입니다. OpenVPN 데몬은 자기의 백그라운드 네트워크가 있다는 것을 클라이언트에게 알려야 합니다. route 입니다. 방화벽에서는 OpenVPN 서비스 포트만 허용하면 됩니다. nat는 하지 않고 실제 서버의 커널에서 패킷만 포워딩합니다. net.ipv4.ip_forward=1 입니다. IDC에 있는 각 서버는 OpenVPN 네트워크의 라우팅 정보를 지녀야 합니다. (클라이언트 쪽은 route 로 해결된 상태) OpenVPN 서버 설정에서 OpenVPN의 네트워크(server와 push route 옵션)만 있으면 되지 ccd 옵션으로 뭘 넣을 필요까지는 없습니다. 만약, Site To Site라면 IDC의 서버와 클라이언트 컴퓨터 각각은 양쪽 네트워크의 라우팅을 OpenVPN 서버의 실제 주소로 해야 합니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

52/105

번호	제목Page 52/105	글쓴이	날짜	조회	추천
1064	L3 스위치 외부통신 질문드립니다 (8)	수촌마을	2020-02	5548	0
L3 스위치 외부통신 질문드립니다 (8) 2020-02 5548 1 수촌마을
1063	1개 랜선을 2개로 분리해서 사용할 때 질문입니다. (5)	라천민	2020-02	7550	0
1개 랜선을 2개로 분리해서 사용할 때 질… (5) 2020-02 7550 1 라천민
1062	사무실용 쉬운 네트워크 관리프로그램 있을까요? (8)	한강한뺨뷰	2020-02	4825	0
사무실용 쉬운 네트워크 관리프로그램 있… (8) 2020-02 4825 1 한강한뺨뷰
1061	언탱글 너무 좋으네요(2)~ (7)	gowork	2020-02	7317	0
언탱글 너무 좋으네요(2)~ (7) 2020-02 7317 1 gowork
1060	사내 WIFI망 구축 질문 드립니다. (10)	Synkc	2020-02	5516	0
사내 WIFI망 구축 질문 드립니다. (10) 2020-02 5516 1 Synkc
1059	허브를 통해 인터넷은 공유하는법을 알고 싶습니다. (14)	limCAN	2020-02	11737	0
허브를 통해 인터넷은 공유하는법을 알고 … (14) 2020-02 11737 1 limCAN
1058	untangle uefi 바이오스 지원이 안되나 봅니다? 혹시 uefi 에서… (3)	슬기로운생활	2020-02	4264	0
untangle uefi 바이오스 지원이 안되나 봅… (3) 2020-02 4264 1 슬기로운생활
1057	메일서버 네트워크 이중화 문의 (8)	Hyunjins	2020-02	4907	0
메일서버 네트워크 이중화 문의 (8) 2020-02 4907 1 Hyunjins
1056	1코어? 2코어? 지빅질문드립니다. (5)	NeTe	2020-02	6951	0
1코어? 2코어? 지빅질문드립니다. (5) 2020-02 6951 1 NeTe
1055	신개념(?) 신발장 Rack System 구축 (18)	곰삼촌	2020-02	5597	1
신개념(?) 신발장 Rack System 구축 (18) 2020-02 5597 1 곰삼촌
1054	라우터에 1개의 랜 포트만으로도 wan lan 둘다 가능할까요? (9)	슬기로운생활	2020-02	4584	0
라우터에 1개의 랜 포트만으로도 wan lan … (9) 2020-02 4584 1 슬기로운생활
1053	40G 스위치 속도 테스트 (9)	MikroTik이진	2020-02	4936	1
40G 스위치 속도 테스트 (9) 2020-02 4936 1 MikroTik이진
1052	Aquantia 10Gbe 칩셋의 안정성이 어떨지 모르겠습니다. (10)	sbg2005	2020-02	4572	0
Aquantia 10Gbe 칩셋의 안정성이 어떨지 … (10) 2020-02 4572 1 sbg2005
1051	인텔님들께서 열일하셔서 윈도우 10 PRO 1909 에서 랜 티밍을 … (12)	아나벨가토	2020-02	6878	0
인텔님들께서 열일하셔서 윈도우 10 PRO 1… (12) 2020-02 6878 1 아나벨가토
1050	도저히 무엇이 문제인지 모르겠습니다. 도움을 구합니다. ㅠㅠ (29)	권승철	2020-02	3700	0
도저히 무엇이 문제인지 모르겠습니다. 도… (29) 2020-02 3700 1 권승철
1049	HP Procurve manager 설치본 가진 분 계실 지요? (1)	냠냠	2020-02	3255	0
HP Procurve manager 설치본 가진 분 계실… (1) 2020-02 3255 1 냠냠
1048	특정 도메인만 헤어핀 넷이 안되는 경우 (4)	dulgi	2020-02	3415	0
특정 도메인만 헤어핀 넷이 안되는 경우 (4) 2020-02 3415 1 dulgi
1047	안녕하십니까? 이 문제를 파고파고~ 절실한 도움 부탁드립니다. (26)	PC천재되고…	2020-02	4968	0
안녕하십니까? 이 문제를 파고파고~ 절실… (26) 2020-02 4968 1 PC천재되고…
1046	openvpn 으로 지사망 연결하기 질문 입니다. (21)	일달	2020-02	6789	0
openvpn 으로 지사망 연결하기 질문 입니… (21) 2020-02 6789 1 일달
1045	컴퓨존에 중고 넷기어 gs724t 있다고 해서 하나 구입했습니다. (2)	helloju	2020-01	4316	0
컴퓨존에 중고 넷기어 gs724t 있다고 해서… (2) 2020-01 4316 1 helloju