윈도우에 OpenVPN 설치 - 서버 측 구성
최근, 필요에 의해서 VPN을 설치해 봤는데 이에 대한 기록을 남깁니다. ^^ OpenVPN에 대해 검색해 보니 다음의 글이 잘 설명하고 있는데요,
OpenVPN Windows 서버 및 클라이언트 설치
; https://jacegem.github.io/blog/2017/openvpn-windows/
약간 살을 붙여서 ^^ 정리를 해보겠습니다.
우선 다음의 경로를 통해 설치 파일을 다운로드하고,
OpenVPN - Windows 10/Server 2016/Server 2019 installer (NSIS) GnuPG Signature openvpn-install-2.4.9-I601-Win10.exe
; https://openvpn.net/community-downloads/
실행 후, 선택 옵션 중 "EasyRSA2 Certificate Management Scripts" 항목을 체크해 줍니다.
설치가 완료되면, 기본적으로 "C:\Program Files\OpenVPN"에 파일이 위치합니다. 그다음, "관리자 권한"으로 cmd.exe 창을 하나 열어 easy-rsa 폴더로 이동한 후, init-config과 vars를 실행해 명령행 환경 구성을 합니다.
C:\Users\testusr> cd "C:\Program Files\OpenVPN\easy-rsa"
C:\Program Files\OpenVPN\easy-rsa> init-config
C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat
1 file(s) copied.
C:\Program Files\OpenVPN\easy-rsa> vars
C:\Program Files\OpenVPN\easy-rsa>
("vars.bat"의 경우 향후에도 관련 작업을 할 때면 PATH 등의 환경 구성을 해주므로 미리 실행해 주면 됩니다.) 그다음 깨끗하게 기존 "keys" 폴더 환경을 초기화하고,
C:\Program Files\OpenVPN\easy-rsa> clean-all
The system cannot find the file specified.
1 file(s) copied.
1 file(s) copied.
Root CA 인증서부터 생성을 시작합니다. (Common Name은 임의의 값을 주면 됩니다.)
C:\Program Files\OpenVPN\easy-rsa> build-ca
Can't load C:\Program Files\OpenVPN\easy-rsa/.rnd into RNG
2452:error:2406F079:random number generator:RAND_load_file:Cannot open file:crypto/rand/randfile.c:98:Filename=C:\Program Files\OpenVPN\easy-rsa/.rnd
Generating a RSA private key
...................................................................................................................++++
.............++++
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [SanFrancisco]:
Organization Name (eg, company) [OpenVPN]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server's hostname) [changeme]:myca
Name [changeme]:
Email Address [mail@host.domain]:
C:\Program Files\OpenVPN\easy-rsa>
위의 과정을 마치면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에 "ca.crt", "ca.key" 파일이 생성됩니다.
그다음, VPN 서버 용 인증서를 만들고, 방금 생성했던 Root CA로부터 서명을 받습니다. (역시 이번에도 Common Name은 임의의 값을 줍니다.)
C:\Program Files\OpenVPN\easy-rsa> build-key-server server
Ignoring -days; not generating a certificate
Generating a RSA private key
............................................................................++++
........................................................++++
writing new private key to 'keys\server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [SanFrancisco]:
Organization Name (eg, company) [OpenVPN]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server's hostname) [changeme]:myvpn
Name [changeme]:
Email Address [mail@host.domain]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'US'
stateOrProvinceName :PRINTABLE:'CA'
localityName :PRINTABLE:'SanFrancisco'
organizationName :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'changeme'
commonName :PRINTABLE:'myvpn'
name :PRINTABLE:'changeme'
emailAddress :IA5STRING:'mail@host.domain'
Certificate is to be certified until Jun 8 23:57:57 2030 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
C:\Program Files\OpenVPN\easy-rsa>
위의 단계를 거치면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에 "server.crt", "server.csr", "server.key" 파일이 생성됩니다.
이어서 DH Parameter를 생성하는,
C:\Program Files\OpenVPN\easy-rsa> build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
......................................................................................................+.................
+.............................................................................................
+.......................................................................................................................
...생략]...
........+.............+....................+..+.............+...
+.............................................................................................................................
.........+.................................................................................
+...................................++*++*++*++*
C:\Program Files\OpenVPN\easy-rsa>
스크립트를 실행하면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에는 dh2048.pem 파일이 생성됩니다. 마지막으로 key 폴더로 이동해 ta 키 파일을 생성하면,
C:\Program Files\OpenVPN\easy-rsa> cd keys
C:\Program Files\OpenVPN\easy-rsa\keys> openvpn --genkey --secret ta.key
C:\Program Files\OpenVPN\easy-rsa\keys>
"C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에는 OpenVPN을 위해 필요한 인증서 및 키 파일들이 모두 마련됩니다.
- ca.crt
- ca.key
- dh2048.pem
- ta.key
- server.crt
- server.key
위의 6개 파일을 "C:\Program Files\OpenVPN\config" 폴더에 복사하고, "C:\Program Files\OpenVPN\sample-config" 폴더에 있는 server.ovpn 파일도 "C:\Program Files\OpenVPN\config" 폴더에 복사해 줍니다.
- ca.crt
- ca.key
- dh2048.pem
- README.txt
- server.crt
- server.key
- ta.key
- server.ovpn
이것으로 파일은 모두 준비되었으니, 이제 최종적으로 OpenVPN 서비스를 위한 환경 설정을 server.ovpn 파일에 반영하는 일만 남았습니다.
(참고로, 이 글에서는 인증서 구성을 "Program Files" 영역에 했지만 2.4 버전부터 %USERPROFILE% 경로에 하는 기능이 추가되었다고 합니다.)
이제 파일 편집기가 필요한데, 아쉽게도 server.ovpn의 개행이 유닉스 양식을 따르기 때문에 Windows Server 2016 이하에 포함된 notepad.exe로는 정상적으로 편집할 수 없습니다. (반면 Windows 10, Windows Server 2019에 포함된 notepad.exe는 LF만 포함하고 있는 파일 편집을 할 수 있습니다.)
따라서 그런 환경이라면 간편하게 Visual Studio Code 등의 편집기를 설치해 server.ovpn 파일의 설정 값을 바꾸면 됩니다. 대충 다음의 값들만 추가하거나 주석을 제거해 줍니다.
push "dhcp-option DNS 168.126.63.1"
push "dhcp-option DNS 8.8.8.8"
client-to-client
(나머지 설정들은 여러분의 환경에 맞게 변경하고) 마지막으로 관리자 권한의 cmd.exe 명령행에서 다음의 명령어로 VPN 서비스를 시작하면 끝입니다.
C:\Program Files\OpenVPN\config> openvpn server.ovpn
Thu Jun 11 09:24:27 2020 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020
Thu Jun 11 09:24:27 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jun 11 09:24:27 2020 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Thu Jun 11 09:24:27 2020 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jun 11 09:24:27 2020 Diffie-Hellman initialized with 2048 bit key
Thu Jun 11 09:24:27 2020 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 11 09:24:27 2020 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 11 09:24:27 2020 interactive service msg_channel=0
Thu Jun 11 09:24:27 2020 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=6 HWADDR=11:22:48:05:54:f0
Thu Jun 11 09:24:27 2020 open_tun
Thu Jun 11 09:24:27 2020 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{46031156-4155-4C7D-BC88-2750C4B95502}.tap
Thu Jun 11 09:24:27 2020 TAP-Windows Driver Version 9.24
Thu Jun 11 09:24:27 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {46031156-4155-4C7D-BC88-2750C4B95502} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Thu Jun 11 09:24:27 2020 Sleeping for 10 seconds...
Thu Jun 11 09:24:37 2020 Successful ARP Flush on interface [10] {46031156-4155-4C7D-BC88-2750C4B95502}
Thu Jun 11 09:24:37 2020 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Thu Jun 11 09:24:37 2020 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Thu Jun 11 09:24:37 2020 Route addition via IPAPI succeeded [adaptive]
Thu Jun 11 09:24:37 2020 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Thu Jun 11 09:24:37 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Jun 11 09:24:37 2020 setsockopt(IPV6_V6ONLY=0)
Thu Jun 11 09:24:37 2020 UDPv6 link local (bound): [AF_INET6][undef]:1194
Thu Jun 11 09:24:37 2020 UDPv6 link remote: [AF_UNSPEC]
Thu Jun 11 09:24:37 2020 MULTI: multi_init called, r=256 v=256
Thu Jun 11 09:24:37 2020 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Thu Jun 11 09:24:37 2020 IFCONFIG POOL LIST
Thu Jun 11 09:24:37 2020 Initialization Sequence Completed
화면 출력에도 나오지만, OpenVPN은 기본적으로 UDP 프로토콜에 1194 포트를 사용합니다. 따라서 외부에서 접근하려면 반드시 방화벽 등에서 제약을 풀어줘야 합니다. 가령, Azure 상의 VM에 OpenVPN을 설치했다면 1) 운영체제 자체의 방화벽뿐만 아니라, 2) Azure VM 설정의 Networking 옵션에서 "Inbound port rules"도 열어줘야 합니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]