성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] The Windows Registry Adventure #1: ...
[정성태] systemd for Developers I ; https:/...
[정성태] 엄밀히 object 타입의 인스턴스가 다른 타입으로 형변환 가능...
[정성태] 아래의 글에서 나오는 "Windows Application Pa...
[정성태] The history of calling conventions,...
[정성태] Secure and Deploy .NET Windows Form...
[정성태] Get Started with Milvus Vector DB i...
[정성태] cyberark/PipeViewer - A tool that...
[정성태] WinForms in a 64-Bit world – our st...
[정성태] 예제에서 SELECT_SQL도 내부적으로는 SqlCommand/...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>윈도우에 OpenVPN 설치 - 서버 측 구성</h1> <p> 최근, 필요에 의해서 VPN을 설치해 봤는데 이에 대한 기록을 남깁니다. ^^ OpenVPN에 대해 검색해 보니 다음의 글이 잘 설명하고 있는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > OpenVPN Windows 서버 및 클라이언트 설치 ; <a target='tab' href='https://jacegem.github.io/blog/2017/openvpn-windows/'>https://jacegem.github.io/blog/2017/openvpn-windows/</a> </pre> <br /> 약간 살을 붙여서 ^^ 정리를 해보겠습니다. <br /> <br /> <hr style='width: 50%' /><br /> <br /> 우선 다음의 경로를 통해 설치 파일을 다운로드하고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > OpenVPN - Windows 10/Server 2016/Server 2019 installer (NSIS) GnuPG Signature openvpn-install-2.4.9-I601-Win10.exe ; <a target='tab' href='https://openvpn.net/community-downloads/'>https://openvpn.net/community-downloads/</a> </pre> <br /> 실행 후, 선택 옵션 중 "EasyRSA2 Certificate Management Scripts" 항목을 체크해 줍니다.<br /> <br /> <img alt='openvpn_install_1.png' src='/SysWebRes/bbs/openvpn_install_1.png' /><br /> <br /> 설치가 완료되면, 기본적으로 "C:\Program Files\OpenVPN"에 파일이 위치합니다. 그다음, "관리자 권한"으로 cmd.exe 창을 하나 열어 easy-rsa 폴더로 이동한 후, init-config과 vars를 실행해 명령행 환경 구성을 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Users\testusr> <span style='color: blue; font-weight: bold'>cd "C:\Program Files\OpenVPN\easy-rsa"</span> C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>init-config</span> C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat 1 file(s) copied. C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>vars</span> C:\Program Files\OpenVPN\easy-rsa> </pre> <br /> ("vars.bat"의 경우 향후에도 관련 작업을 할 때면 PATH 등의 환경 구성을 해주므로 미리 실행해 주면 됩니다.) 그다음 깨끗하게 기존 "keys" 폴더 환경을 초기화하고, <br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>clean-all</span> The system cannot find the file specified. 1 file(s) copied. 1 file(s) copied. </pre> <br /> Root CA 인증서부터 생성을 시작합니다. (Common Name은 임의의 값을 주면 됩니다.)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>build-ca</span> Can't load C:\Program Files\OpenVPN\easy-rsa/.rnd into RNG 2452:error:2406F079:random number generator:RAND_load_file:Cannot open file:crypto/rand/randfile.c:98:Filename=C:\Program Files\OpenVPN\easy-rsa/.rnd Generating a RSA private key ...................................................................................................................++++ .............++++ writing new private key to 'keys\ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]: State or Province Name (full name) [CA]: Locality Name (eg, city) [SanFrancisco]: Organization Name (eg, company) [OpenVPN]: Organizational Unit Name (eg, section) [changeme]: Common Name (eg, your name or your server's hostname) [changeme]:<span style='color: blue; font-weight: bold'>myca</span> Name [changeme]: Email Address [mail@host.domain]: C:\Program Files\OpenVPN\easy-rsa> </pre> <br /> 위의 과정을 마치면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에 "ca.crt", "ca.key" 파일이 생성됩니다.<br /> <br /> 그다음, VPN 서버 용 인증서를 만들고, 방금 생성했던 Root CA로부터 서명을 받습니다. (역시 이번에도 Common Name은 임의의 값을 줍니다.)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>build-key-server server</span> Ignoring -days; not generating a certificate Generating a RSA private key ............................................................................++++ ........................................................++++ writing new private key to 'keys\server.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]: State or Province Name (full name) [CA]: Locality Name (eg, city) [SanFrancisco]: Organization Name (eg, company) [OpenVPN]: Organizational Unit Name (eg, section) [changeme]: Common Name (eg, your name or your server's hostname) [changeme]:<span style='color: blue; font-weight: bold'>myvpn</span> Name [changeme]: Email Address [mail@host.domain]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from openssl-1.0.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'US' stateOrProvinceName :PRINTABLE:'CA' localityName :PRINTABLE:'SanFrancisco' organizationName :PRINTABLE:'OpenVPN' organizationalUnitName:PRINTABLE:'changeme' commonName :PRINTABLE:'myvpn' name :PRINTABLE:'changeme' emailAddress :IA5STRING:'mail@host.domain' Certificate is to be certified until Jun 8 23:57:57 2030 GMT (3650 days) Sign the certificate? [y/n]:<span style='color: blue; font-weight: bold'>y</span> 1 out of 1 certificate requests certified, commit? [y/n]<span style='color: blue; font-weight: bold'>y</span> Write out database with 1 new entries Data Base Updated C:\Program Files\OpenVPN\easy-rsa> </pre> <br /> 위의 단계를 거치면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에 "server.crt", "server.csr", "server.key" 파일이 생성됩니다.<br /> <br /> 이어서 DH Parameter를 생성하는,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>build-dh</span> Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time ......................................................................................................+................. +............................................................................................. +....................................................................................................................... ...생략]... ........+.............+....................+..+.............+... +............................................................................................................................. .........+................................................................................. +...................................++*++*++*++* C:\Program Files\OpenVPN\easy-rsa> </pre> <br /> 스크립트를 실행하면 "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에는 dh2048.pem 파일이 생성됩니다. 마지막으로 key 폴더로 이동해 ta 키 파일을 생성하면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\easy-rsa> <span style='color: blue; font-weight: bold'>cd keys</span> C:\Program Files\OpenVPN\easy-rsa\keys> <span style='color: blue; font-weight: bold'>openvpn --genkey --secret ta.key</span> C:\Program Files\OpenVPN\easy-rsa\keys> </pre> <br /> "C:\Program Files\OpenVPN\easy-rsa\keys" 폴더에는 OpenVPN을 위해 필요한 인증서 및 키 파일들이 모두 마련됩니다.<br /> <br /> <ul> <li>ca.crt</li> <li>ca.key</li> <li>dh2048.pem</li> <li>ta.key</li> <li>server.crt</li> <li>server.key</li> </ul> <br /> 위의 6개 파일을 "C:\Program Files\OpenVPN\config" 폴더에 복사하고, "C:\Program Files\OpenVPN\sample-config" 폴더에 있는 server.ovpn 파일도 "C:\Program Files\OpenVPN\config" 폴더에 복사해 줍니다.<br /> <br /> <ul> <li>ca.crt</li> <li>ca.key</li> <li>dh2048.pem</li> <li>README.txt</li> <li>server.crt</li> <li>server.key</li> <li>ta.key</li> <li><span style='color: blue; font-weight: bold'>server.ovpn</span></li> </ul> <br /> 이것으로 파일은 모두 준비되었으니, 이제 최종적으로 OpenVPN 서비스를 위한 환경 설정을 server.ovpn 파일에 반영하는 일만 남았습니다.<br /> <br /> (참고로, 이 글에서는 인증서 구성을 "Program Files" 영역에 했지만 2.4 버전부터 %USERPROFILE% 경로에 하는 기능이 추가되었다고 합니다.)<br /> <br /> <hr style='width: 50%' /><br /> <br /> 이제 파일 편집기가 필요한데, 아쉽게도 server.ovpn의 개행이 유닉스 양식을 따르기 때문에 Windows Server 2016 이하에 포함된 notepad.exe로는 정상적으로 편집할 수 없습니다. (반면 Windows 10, Windows Server 2019에 포함된 notepad.exe는 LF만 포함하고 있는 파일 편집을 할 수 있습니다.)<br /> <br /> 따라서 그런 환경이라면 간편하게 Visual Studio Code 등의 편집기를 설치해 server.ovpn 파일의 설정 값을 바꾸면 됩니다. 대충 다음의 값들만 추가하거나 주석을 제거해 줍니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > push "dhcp-option DNS 168.126.63.1" push "dhcp-option DNS 8.8.8.8" client-to-client </pre> <br /> (나머지 설정들은 여러분의 환경에 맞게 변경하고) 마지막으로 관리자 권한의 cmd.exe 명령행에서 다음의 명령어로 VPN 서비스를 시작하면 끝입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\OpenVPN\config> <span style='color: blue; font-weight: bold'>openvpn server.ovpn</span> Thu Jun 11 09:24:27 2020 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020 Thu Jun 11 09:24:27 2020 Windows version 6.2 (Windows 8 or greater) 64bit Thu Jun 11 09:24:27 2020 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10 Thu Jun 11 09:24:27 2020 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet. Thu Jun 11 09:24:27 2020 Diffie-Hellman initialized with 2048 bit key Thu Jun 11 09:24:27 2020 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 11 09:24:27 2020 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 11 09:24:27 2020 interactive service msg_channel=0 Thu Jun 11 09:24:27 2020 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=6 HWADDR=11:22:48:05:54:f0 Thu Jun 11 09:24:27 2020 open_tun Thu Jun 11 09:24:27 2020 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{46031156-4155-4C7D-BC88-2750C4B95502}.tap Thu Jun 11 09:24:27 2020 TAP-Windows Driver Version 9.24 Thu Jun 11 09:24:27 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {46031156-4155-4C7D-BC88-2750C4B95502} [DHCP-serv: 10.8.0.2, lease-time: 31536000] Thu Jun 11 09:24:27 2020 Sleeping for 10 seconds... Thu Jun 11 09:24:37 2020 Successful ARP Flush on interface [10] {46031156-4155-4C7D-BC88-2750C4B95502} Thu Jun 11 09:24:37 2020 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2 Thu Jun 11 09:24:37 2020 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4 Thu Jun 11 09:24:37 2020 Route addition via IPAPI succeeded [adaptive] Thu Jun 11 09:24:37 2020 Could not determine IPv4/IPv6 protocol. Using AF_INET6 Thu Jun 11 09:24:37 2020 Socket Buffers: R=[65536->65536] S=[65536->65536] Thu Jun 11 09:24:37 2020 setsockopt(IPV6_V6ONLY=0) Thu Jun 11 09:24:37 2020 UDPv6 link local (bound): [AF_INET6][undef]:1194 Thu Jun 11 09:24:37 2020 UDPv6 link remote: [AF_UNSPEC] Thu Jun 11 09:24:37 2020 MULTI: multi_init called, r=256 v=256 Thu Jun 11 09:24:37 2020 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0 Thu Jun 11 09:24:37 2020 IFCONFIG POOL LIST Thu Jun 11 09:24:37 2020 Initialization Sequence Completed </pre> <br /> <hr style='width: 50%' /><br /> <br /> 화면 출력에도 나오지만, OpenVPN은 기본적으로 UDP 프로토콜에 1194 포트를 사용합니다. 따라서 외부에서 접근하려면 반드시 방화벽 등에서 제약을 풀어줘야 합니다. 가령, Azure 상의 VM에 OpenVPN을 설치했다면 1) 운영체제 자체의 방화벽뿐만 아니라, 2) Azure VM 설정의 Networking 옵션에서 "Inbound port rules"도 열어줘야 합니다.<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1430
(왼쪽의 숫자를 입력해야 합니다.)