웹사이트 검색

Ubuntu 16.04에서 OpenVPN 서버를 설정하는 방법


소개

호텔이나 커피숍의 WiFi와 같이 신뢰할 수 없는 네트워크에 연결된 경우 스마트폰이나 노트북에서 안전하고 안전하게 인터넷에 액세스하고 싶습니까? VPN(가상 사설망)을 사용하면 마치 사설망에 있는 것처럼 비공개로 안전하게 신뢰할 수 없는 네트워크를 통과할 수 있습니다. 트래픽은 VPN 서버에서 나와 목적지까지 계속 이동합니다.

HTTPS 연결과 결합하면 이 설정을 통해 무선 로그인 및 거래를 보호할 수 있습니다. 지리적 제한 및 검열을 우회하고 신뢰할 수 없는 네트워크의 위치 및 암호화되지 않은 HTTP 트래픽을 보호할 수 있습니다.

OpenVPN은 광범위한 구성을 수용하는 완전한 기능을 갖춘 오픈 소스 SSL(Secure Socket Layer) VPN 솔루션입니다. 이 튜토리얼에서는 Droplet에 OpenVPN 서버를 설정한 다음 Windows, OS X, iOS 및 Android에서 이에 대한 액세스를 구성합니다. 이 자습서에서는 이러한 설정에 대해 설치 및 구성 단계를 가능한 한 간단하게 유지합니다.

참고: DigitalOcean Droplet에 OpenVPN 서버를 설정하려는 경우 많은 호스팅 제공업체와 마찬가지로 대역폭 초과 요금을 부과한다는 점에 유의하세요. 따라서 서버에서 처리하는 트래픽의 양을 염두에 두시기 바랍니다.

자세한 내용은 이 페이지를 참조하십시오.

전제 조건

이 자습서를 완료하려면 Ubuntu 16.04 서버에 대한 액세스 권한이 필요합니다.

이 가이드를 시작하기 전에 sudo 권한을 가진 루트가 아닌 사용자를 구성해야 합니다. Ubuntu 16.04 초기 서버 설정 가이드에 따라 적절한 권한이 있는 사용자를 설정할 수 있습니다. 링크된 자습서는 방화벽도 설정하며, 이 가이드에서는 방화벽이 있다고 가정합니다.

시작할 준비가 되면 sudo 사용자로 Ubuntu 서버에 로그인하고 아래에서 계속하십시오.

1단계: OpenVPN 설치

시작하려면 서버에 OpenVPN을 설치합니다. OpenVPN은 Ubuntu의 기본 리포지토리에서 사용할 수 있으므로 설치에 apt를 사용할 수 있습니다. 또한 VPN과 함께 사용할 내부 CA(인증 기관)를 설정하는 데 도움이 되는 easy-rsa 패키지를 설치할 것입니다.

서버의 패키지 색인을 업데이트하고 필요한 패키지를 설치하려면 다음을 입력하십시오.

  1. sudo apt-get update
  2. sudo apt-get install openvpn easy-rsa

이제 필요한 소프트웨어가 서버에 있으며 구성할 준비가 되었습니다.

2단계: CA 디렉터리 설정

OpenVPN은 TLS/SSL VPN입니다. 즉, 서버와 클라이언트 간의 트래픽을 암호화하기 위해 인증서를 사용합니다. 신뢰할 수 있는 인증서를 발급하려면 간단한 자체 인증 기관(CA)을 설정해야 합니다.

시작하려면 make-cadir 명령을 사용하여 easy-rsa 템플릿 디렉토리를 홈 디렉토리에 복사할 수 있습니다.

  1. make-cadir ~/openvpn-ca

새로 만든 디렉터리로 이동하여 CA 구성을 시작합니다.

  1. cd ~/openvpn-ca

3단계: CA 변수 구성

CA가 사용할 값을 구성하려면 디렉토리 내의 vars 파일을 편집해야 합니다. 이제 텍스트 편집기에서 해당 파일을 엽니다.

  1. nano vars

내부에는 인증서 생성 방법을 결정하기 위해 조정할 수 있는 몇 가지 변수가 있습니다. 우리는 이 중 몇 가지만 걱정하면 됩니다.

파일 아래쪽에서 새 인증서의 필드 기본값을 설정하는 설정을 찾습니다. 다음과 같아야 합니다.

. . .

export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"

. . .

빨간색으로 표시된 값을 원하는 대로 편집하되 공백으로 두지 마십시오.

. . .

export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="DigitalOcean"
export KEY_EMAIL="admin@example.com"
export KEY_OU="Community"

. . .

여기에 있는 동안 제목 필드를 채우는 이 섹션 바로 아래의 KEY_NAME 값도 편집합니다. 이를 간단하게 유지하기 위해 이 가이드에서는 server라고 합니다.

export KEY_NAME="server"

완료되면 파일을 저장하고 닫습니다.

4단계: 인증 기관 구축

이제 설정한 변수와 easy-rsa 유틸리티를 사용하여 인증 기관을 구축할 수 있습니다.

CA 디렉터리에 있는지 확인한 다음 방금 편집한 vars 파일을 소싱합니다.

  1. cd ~/openvpn-ca
  2. source vars

올바르게 소싱된 경우 다음이 표시되어야 합니다.

Output
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/sammy/openvpn-ca/keys

다음을 입력하여 깨끗한 환경에서 운영하고 있는지 확인합니다.

  1. ./clean-all

이제 다음을 입력하여 루트 CA를 구축할 수 있습니다.

  1. ./build-ca

이렇게 하면 루트 인증 기관 키 및 인증서를 만드는 프로세스가 시작됩니다. vars 파일을 작성했으므로 모든 값이 자동으로 채워져야 합니다. 프롬프트에서 ENTER를 눌러 선택 사항을 확인하십시오.

Output
Generating a 2048 bit RSA private key ..........................................................................................+++ ...............................+++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]: State or Province Name (full name) [NY]: Locality Name (eg, city) [New York City]: Organization Name (eg, company) [DigitalOcean]: Organizational Unit Name (eg, section) [Community]: Common Name (eg, your name or your server's hostname) [DigitalOcean CA]: Name [server]: Email Address [admin@email.com]:

이제 필요한 나머지 파일을 만드는 데 사용할 수 있는 CA가 있습니다.

5단계: 서버 인증서, 키 및 암호화 파일 생성

다음으로 서버 인증서 및 키 쌍과 암호화 프로세스 중에 사용되는 일부 추가 파일을 생성합니다.

OpenVPN 서버 인증서와 키 쌍을 생성하여 시작합니다. 다음을 입력하면 됩니다.

참고: 여기에서 서버 이외의 이름을 선택하면 아래 지침 중 일부를 조정해야 합니다. 예를 들어 생성된 파일을 /etc/openvpn 디렉토리에 복사할 때 올바른 이름으로 대체해야 합니다. 또한 올바른 .crt.key 파일을 가리키도록 나중에 /etc/openvpn/server.conf 파일을 수정해야 합니다.

  1. ./build-key-server server

다시 한 번, 프롬프트에는 방금 전달한 인수(server)와 소스로 가져온 vars 파일의 내용을 기반으로 하는 기본값이 있습니다.

ENTER를 눌러 기본값을 수락하십시오. 이 설정에 챌린지 암호를 입력하지 마세요. 마지막으로 인증서에 서명하고 커밋하려면 두 가지 질문에 y를 입력해야 합니다.

Output
. . . Certificate is to be certified until May 1 17:51:16 2026 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

다음으로 몇 가지 다른 항목을 생성합니다. 다음을 입력하여 키 교환 중에 사용할 강력한 Diffie-Hellman 키를 생성할 수 있습니다.

  1. ./build-dh

완료하는 데 몇 분 정도 걸릴 수 있습니다.

그런 다음 HMAC 서명을 생성하여 서버의 TLS 무결성 검증 기능을 강화할 수 있습니다.

  1. openvpn --genkey --secret keys/ta.key

6단계: 클라이언트 인증서 및 키 쌍 생성

다음으로 클라이언트 인증서와 키 쌍을 생성할 수 있습니다. 이 작업은 클라이언트 시스템에서 수행한 다음 보안 목적으로 서버/CA에서 서명할 수 있지만 이 가이드에서는 단순성을 위해 서버에서 서명된 키를 생성합니다.

이 가이드에 대해 단일 클라이언트 키/인증서를 생성하지만 클라이언트가 둘 이상인 경우 이 프로세스를 원하는 만큼 반복할 수 있습니다. 각 클라이언트의 스크립트에 고유한 값을 전달합니다.

나중에 이 단계로 돌아올 수 있으므로 vars 파일을 다시 소싱합니다. 이 가이드의 첫 번째 인증서/키 쌍 값으로 client1을 사용합니다.

암호 없이 자격 증명을 생성하고 자동화된 연결을 지원하려면 다음과 같이 build-key 명령을 사용하십시오.

  1. cd ~/openvpn-ca
  2. source vars
  3. ./build-key client1

대신 암호로 보호된 자격 증명 세트를 생성하려면 build-key-pass 명령을 사용하십시오.

  1. cd ~/openvpn-ca
  2. source vars
  3. ./build-key-pass client1

다시 말하지만 기본값이 채워져 있어야 ENTER 키를 눌러 계속할 수 있습니다. 챌린지 암호를 비워두고 인증서 서명 및 커밋 여부를 묻는 프롬프트에 y를 입력해야 합니다.

7단계: OpenVPN 서비스 구성

다음으로 생성한 자격 증명과 파일을 사용하여 OpenVPN 서비스 구성을 시작할 수 있습니다.

파일을 OpenVPN 디렉토리에 복사

시작하려면 필요한 파일을 /etc/openvpn 구성 디렉토리에 복사해야 합니다.

방금 생성한 모든 파일로 시작할 수 있습니다. 이들은 생성될 때 ~/openvpn-ca/keys 디렉토리 내에 배치되었습니다. CA 인증서, 서버 인증서 및 키, HMAC 서명, Diffie-Hellman 파일을 이동해야 합니다.

  1. cd ~/openvpn-ca/keys
  2. sudo cp ca.crt server.crt server.key ta.key dh2048.pem /etc/openvpn

다음으로 샘플 OpenVPN 구성 파일을 구성 디렉터리에 복사하고 압축을 풀어 설정의 기초로 사용할 수 있도록 해야 합니다.

  1. gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

OpenVPN 구성 조정

이제 파일이 준비되었으므로 서버 구성 파일을 수정할 수 있습니다.

  1. sudo nano /etc/openvpn/server.conf

기본 구성

먼저 tls-auth 지시문을 찾아 HMAC 섹션을 찾습니다. ";”를 제거하십시오. tls-auth 줄의 주석을 해제하려면:

tls-auth ta.key 0 # This file is secret

다음으로 주석 처리된 cipher 줄을 찾아 암호화 암호 섹션을 찾습니다. AES-128-CBC 암호는 우수한 수준의 암호화를 제공하며 잘 지원됩니다. ";”를 제거하십시오. cipher AES-128-CBC 줄의 주석을 해제하려면:

cipher AES-128-CBC

그 아래에 auth 줄을 추가하여 HMAC 메시지 다이제스트 알고리즘을 선택합니다. 이를 위해 SHA256이 좋은 선택입니다.

auth SHA256

마지막으로 usergroup 설정을 찾아 \;” 해당 줄의 주석을 제거하려면 시작 부분에 다음을 수행하십시오.

user nobody
group nogroup

(선택 사항) DNS 변경 사항을 푸시하여 VPN을 통해 모든 트래픽 리디렉션

위의 설정은 두 시스템 간에 VPN 연결을 생성하지만 터널을 사용하도록 연결을 강제하지는 않습니다. VPN을 사용하여 모든 트래픽을 라우팅하려는 경우 DNS 설정을 클라이언트 컴퓨터로 푸시할 수 있습니다.

이를 수행하고 VPN을 통해 모든 웹 트래픽을 리디렉션하도록 클라이언트 시스템을 구성하는 몇 가지 지시문의 주석을 제거할 수 있습니다. redirect-gateway 섹션을 찾아 세미콜론 ";”을 제거합니다. redirect-gateway 줄의 시작 부분에서 주석을 제거합니다.

push "redirect-gateway def1 bypass-dhcp"

바로 아래에서 dhcp-option 섹션을 찾습니다. 다시 말하지만 ";” 주석 처리를 해제하려면 두 줄 모두 앞에서 다음을 수행하십시오.

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

이는 클라이언트가 VPN 터널을 기본 게이트웨이로 사용하도록 DNS 설정을 재구성하는 데 도움이 됩니다.

(선택 사항) 포트 및 프로토콜 조정

기본적으로 OpenVPN 서버는 포트 1194와 UDP 프로토콜을 사용하여 클라이언트 연결을 수락합니다. 클라이언트가 있을 수 있는 제한적인 네트워크 환경으로 인해 다른 포트를 사용해야 하는 경우 포트 옵션을 변경할 수 있습니다. OpenVPN 서버에서 웹 콘텐츠를 호스팅하지 않는 경우 일반적으로 방화벽 규칙을 통해 허용되기 때문에 포트 443이 널리 사용됩니다.

# Optional!
port 443

종종 프로토콜이 해당 포트로 제한되는 경우도 있습니다. 그렇다면 proto를 UDP에서 TCP로 변경합니다.

# Optional!
proto tcp

다른 포트를 사용할 필요가 없다면 이 두 가지 설정을 기본값으로 두는 것이 가장 좋습니다.

(선택 사항) 기본이 아닌 자격 증명 가리키기

이전에 ./build-key-server 명령 중에 다른 이름을 선택한 경우 가리키는 것으로 보이는 certkey 행을 수정합니다. 적절한 .crt.key 파일에. 기본 server를 사용한 경우 이미 올바르게 설정되어 있어야 합니다.

cert server.crt
key server.key

완료되면 파일을 저장하고 닫습니다.

8단계: 서버 네트워킹 구성 조정

다음으로 OpenVPN이 트래픽을 올바르게 라우팅할 수 있도록 서버 네트워킹의 일부 측면을 조정해야 합니다.

IP 전달 허용

먼저 서버가 트래픽을 전달하도록 허용해야 합니다. 이는 VPN 서버가 제공하고자 하는 기능에 매우 중요합니다.

/etc/sysctl.conf 파일을 수정하여 이 설정을 조정할 수 있습니다.

  1. sudo nano /etc/sysctl.conf

내부에서 net.ipv4.ip_forward를 설정하는 줄을 찾습니다. 줄 시작 부분에서 "#\ 문자를 제거하여 해당 설정의 주석 처리를 제거합니다.

net.ipv4.ip_forward=1

완료되면 파일을 저장하고 닫습니다.

파일을 읽고 현재 세션의 값을 조정하려면 다음을 입력하십시오.

  1. sudo sysctl -p

UFW 규칙을 조정하여 클라이언트 연결을 위장

전제 조건에서 Ubuntu 16.04 초기 서버 설정 가이드를 따랐다면 UFW 방화벽이 설치되어 있어야 합니다. 원치 않는 트래픽을 차단하기 위해 방화벽을 사용하는지 여부(거의 항상 수행해야 함)에 관계없이 이 가이드의 방화벽은 서버로 들어오는 일부 트래픽을 조작하는 데 필요합니다. 규칙 파일을 수정하여 클라이언트 연결을 올바르게 라우팅하기 위해 즉각적인 동적 NAT를 제공하는 iptables 개념인 매스커레이딩을 설정해야 합니다.

가장을 추가하기 위해 방화벽 구성 파일을 열기 전에 시스템의 공용 네트워크 인터페이스를 찾아야 합니다. 이렇게 하려면 다음을 입력합니다.

  1. ip route | grep default

공개 인터페이스는 "dev\라는 단어를 따라야 합니다. 예를 들어 이 결과는 아래에 강조 표시된 wlp11s0라는 인터페이스를 보여줍니다.

Output
default via 203.0.113.1 dev wlp11s0 proto static metric 600

기본 경로와 연결된 인터페이스가 있으면 /etc/ufw/before.rules 파일을 열어 관련 구성을 추가합니다.

  1. sudo nano /etc/ufw/before.rules

이 파일은 기존 UFW 규칙이 로드되기 전에 설정해야 하는 구성을 처리합니다. 파일 상단을 향해 아래에 강조 표시된 줄을 추가합니다. 이렇게 하면 nat 테이블의 POSTROUTING 체인에 대한 기본 정책이 설정되고 VPN에서 오는 모든 트래픽이 가장됩니다.

참고: 아래 -A POSTROUTING 줄의 wlp11s0을 위 명령에서 찾은 인터페이스로 교체해야 합니다.

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to wlp11s0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o wlp11s0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors
*filter
. . .

완료되면 파일을 저장하고 닫습니다.

기본적으로 전달된 패킷도 허용하도록 UFW에 알려야 합니다. 이를 위해 /etc/default/ufw 파일을 엽니다.

  1. sudo nano /etc/default/ufw

내부에서 DEFAULT_FORWARD_POLICY 지시문을 찾습니다. 값을 DROP에서 ACCEPT로 변경합니다.

DEFAULT_FORWARD_POLICY="ACCEPT"

완료되면 파일을 저장하고 닫습니다.

OpenVPN 포트를 열고 변경 사항을 활성화하십시오.

다음으로 OpenVPN에 대한 트래픽을 허용하도록 방화벽 자체를 조정합니다.

/etc/openvpn/server.conf 파일에서 포트 및 프로토콜을 변경하지 않은 경우 포트 1194에 대한 UDP 트래픽을 열어야 합니다. 포트 및/또는 프로토콜을 수정한 경우 여기에서 선택한 값을 대체하십시오.

필수 자습서를 따를 때 추가하는 것을 잊은 경우를 대비하여 SSH 포트도 추가합니다.

  1. sudo ufw allow 1194/udp
  2. sudo ufw allow OpenSSH

이제 UFW를 비활성화했다가 다시 활성화하여 수정한 모든 파일에서 변경 사항을 로드할 수 있습니다.

  1. sudo ufw disable
  2. sudo ufw enable

이제 서버가 OpenVPN 트래픽을 올바르게 처리하도록 구성되었습니다.

9단계: OpenVPN 서비스 시작 및 활성화

드디어 서버에서 OpenVPN 서비스를 시작할 준비가 되었습니다. systemd를 사용하여 이 작업을 수행할 수 있습니다.

시스템 단위 파일 이름 뒤에 구성 파일 이름을 인스턴스 변수로 지정하여 OpenVPN 서버를 시작해야 합니다. 서버의 구성 파일은 /etc/openvpn/server.conf이므로 @server 를 추가합니다. 호출할 때 유닛 파일의 끝으로:

  1. sudo systemctl start openvpn@server

다음을 입력하여 서비스가 성공적으로 시작되었는지 다시 확인하십시오.

  1. sudo systemctl status openvpn@server

모든 것이 잘 되었다면 출력은 다음과 같아야 합니다.

Output
● openvpn@server.service - OpenVPN connection to server Loaded: loaded (/lib/systemd/system/openvpn@.service; disabled; vendor preset: enabled) Active: active (running) since Tue 2016-05-03 15:30:05 EDT; 47s ago Docs: man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Process: 5852 ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/%i.conf --writepid /run/openvpn/%i.pid (code=exited, sta Main PID: 5856 (openvpn) Tasks: 1 (limit: 512) CGroup: /system.slice/system-openvpn.slice/openvpn@server.service └─5856 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid May 03 15:30:05 openvpn2 ovpn-server[5856]: /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2 May 03 15:30:05 openvpn2 ovpn-server[5856]: /sbin/ip route add 10.8.0.0/24 via 10.8.0.2 May 03 15:30:05 openvpn2 ovpn-server[5856]: GID set to nogroup May 03 15:30:05 openvpn2 ovpn-server[5856]: UID set to nobody May 03 15:30:05 openvpn2 ovpn-server[5856]: UDPv4 link local (bound): [undef] May 03 15:30:05 openvpn2 ovpn-server[5856]: UDPv4 link remote: [undef] May 03 15:30:05 openvpn2 ovpn-server[5856]: MULTI: multi_init called, r=256 v=256 May 03 15:30:05 openvpn2 ovpn-server[5856]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0 May 03 15:30:05 openvpn2 ovpn-server[5856]: IFCONFIG POOL LIST May 03 15:30:05 openvpn2 ovpn-server[5856]: Initialization Sequence Completed

다음을 입력하여 OpenVPN tun0 인터페이스를 사용할 수 있는지 확인할 수도 있습니다.

  1. ip addr show tun0

구성된 인터페이스가 표시되어야 합니다.

Output
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 100 link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever

모든 것이 잘 되었다면 부팅 시 자동으로 시작되도록 서비스를 활성화합니다.

  1. sudo systemctl enable openvpn@server

10단계: 클라이언트 구성 인프라 생성

다음으로 클라이언트 구성 파일을 쉽게 만들 수 있는 시스템을 설정해야 합니다.

클라이언트 구성 디렉토리 구조 생성

파일을 저장할 홈 디렉터리 내에 디렉터리 구조를 만듭니다.

  1. mkdir -p ~/client-configs/files

클라이언트 구성 파일에는 클라이언트 키가 내장되어 있으므로 내부 디렉터리에 대한 권한을 잠가야 합니다.

  1. chmod 700 ~/client-configs/files

기본 구성 만들기

다음으로 예제 클라이언트 구성을 디렉터리에 복사하여 기본 구성으로 사용하겠습니다.

  1. cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

텍스트 편집기에서 이 새 파일을 엽니다.

  1. nano ~/client-configs/base.conf

내부에서 몇 가지 조정이 필요합니다.

먼저 remote 지시문을 찾습니다. 이것은 클라이언트가 OpenVPN 서버 주소를 가리키도록 합니다. 이것은 OpenVPN 서버의 공용 IP 주소여야 합니다. OpenVPN 서버가 청취하는 포트를 변경한 경우 1194를 선택한 포트로 변경하십시오.

. . .
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote server_IP_address 1194
. . .

프로토콜이 서버 구성에서 사용 중인 값과 일치하는지 확인하십시오.

proto udp

다음으로 ";”를 제거하여 usergroup 지시문의 주석 처리를 제거합니다.

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

ca, certkey를 설정하는 지시문을 찾으십시오. 파일 자체에 인증서와 키를 추가할 것이므로 이러한 지시문을 주석 처리합니다.

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
#ca ca.crt
#cert client.crt
#key client.key

/etc/openvpn/server.conf 파일에서 설정한 cipherauth 설정을 미러링합니다.

cipher AES-128-CBC
auth SHA256

다음으로 파일 어딘가에 key-direction 지시문을 추가합니다. 서버에서 작동하려면 "1\로 설정해야 합니다.

key-direction 1

마지막으로 주석 처리된 몇 줄을 추가합니다. 모든 구성에 이를 포함하고 싶지만 /etc/openvpn/update-resolv-conf 파일과 함께 제공되는 Linux 클라이언트에 대해서만 활성화해야 합니다. 이 스크립트는 resolvconf 유틸리티를 사용하여 Linux 클라이언트에 대한 DNS 정보를 업데이트합니다.

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

클라이언트가 Linux를 실행 중이고 /etc/openvpn/update-resolv-conf 파일이 있는 경우 생성된 OpenVPN 클라이언트 구성 파일에서 이 줄의 주석을 제거해야 합니다.

완료되면 파일을 저장하십시오.

구성 생성 스크립트 생성

다음으로 관련 인증서, 키 및 암호화 파일로 기본 구성을 컴파일하는 간단한 스크립트를 생성합니다. 이렇게 하면 생성된 구성이 ~/client-configs/files 디렉터리에 배치됩니다.

~/client-configs 디렉터리 내에서 make_config.sh라는 파일을 만들고 엽니다.

  1. nano ~/client-configs/make_config.sh

내부에 다음 스크립트를 붙여넣습니다.

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

완료되면 파일을 저장하고 닫습니다.

다음을 입력하여 파일을 실행 가능으로 표시합니다.

  1. chmod 700 ~/client-configs/make_config.sh

11단계: 클라이언트 구성 생성

이제 클라이언트 구성 파일을 쉽게 생성할 수 있습니다.

가이드를 따라 진행했다면 ./build-key < 6단계에서 mark>client1 명령을 사용합니다. ~/client-configs 디렉토리로 이동하고 우리가 만든 스크립트를 사용하여 이러한 자격 증명에 대한 구성을 생성할 수 있습니다.

  1. cd ~/client-configs
  2. ./make_config.sh client1

모든 것이 잘 되었다면 ~/client-configs/files 디렉토리에 client1.ovpn 파일이 있어야 합니다.

  1. ls ~/client-configs/files
Output
client1.ovpn

클라이언트 장치로 구성 전송

클라이언트 구성 파일을 해당 장치로 전송해야 합니다. 예를 들어 로컬 컴퓨터나 모바일 장치일 수 있습니다.

이 전송을 수행하는 데 사용되는 정확한 애플리케이션은 사용자의 선택과 장치의 운영 체제에 따라 다르지만 애플리케이션이 백엔드에서 SFTP(SSH 파일 전송 프로토콜) 또는 SCP(보안 복사)를 사용하기를 원합니다. 그러면 암호화된 연결을 통해 클라이언트의 VPN 인증 파일이 전송됩니다.

다음은 client1.ovpn 예제를 사용하는 SFTP 명령의 예제입니다. 이 명령은 로컬 컴퓨터(OS X 또는 Linux)에서 실행할 수 있습니다. 홈 디렉터리에 .ovpn 파일을 배치합니다.

  1. sftp sammy@openvpn_server_ip:client-configs/files/client1.ovpn ~/

다음은 서버에서 로컬 컴퓨터로 파일을 안전하게 전송하기 위한 몇 가지 도구 및 자습서입니다.

  • WinSCP
  • SFTP를 사용하여 원격 서버와 파일을 안전하게 전송하는 방법
  • Filezilla를 사용하여 VPS에서 안전하게 파일을 전송하고 관리하는 방법

12단계: 클라이언트 구성 설치

이제 Windows, OS X, iOS 및 Android에 클라이언트 VPN 프로필을 설치하는 방법에 대해 설명합니다. 이러한 클라이언트 지침은 서로 의존하지 않으므로 해당하는 항목으로 건너뛰어도 됩니다.

OpenVPN 연결은 .ovpn 파일의 이름이 무엇이든 호출됩니다. 이 예에서 이것은 우리가 생성한 첫 번째 클라이언트 파일에 대한 연결이 client1.ovpn이라는 것을 의미합니다.

윈도우

설치 중

Windows용 OpenVPN 클라이언트 애플리케이션은 OpenVPN의 다운로드 페이지에서 찾을 수 있습니다. Windows 버전에 적합한 설치 프로그램 버전을 선택하십시오.

OpenVPN을 설치하려면 관리자 권한이 필요합니다.

OpenVPN을 설치한 후 .ovpn 파일을 다음 위치에 복사합니다.

C:\Program Files\OpenVPN\config

OpenVPN을 실행하면 자동으로 프로필을 보고 사용할 수 있게 됩니다.

OpenVPN은 관리자 계정으로도 사용할 때마다 관리자 권한으로 실행해야 합니다. VPN을 사용할 때마다 마우스 오른쪽 버튼을 클릭하고 관리자 권한으로 실행을 선택하지 않고 이 작업을 수행하려면 미리 설정할 수 있지만 이 작업은 관리 계정에서 수행해야 합니다. 이것은 또한 표준 사용자가 OpenVPN을 사용하려면 관리자 암호를 입력해야 함을 의미합니다. 반면 표준 사용자는 클라이언트의 OpenVPN 애플리케이션에 관리자 권한이 없으면 서버에 제대로 연결할 수 없으므로 상승된 권한이 필요합니다.

OpenVPN 애플리케이션이 항상 관리자 권한으로 실행되도록 설정하려면 바로 가기 아이콘을 마우스 오른쪽 버튼으로 클릭하고 속성으로 이동합니다. 호환성 탭 하단에서 모든 사용자에 대한 설정 변경 버튼을 클릭합니다. 새 창에서 이 프로그램을 관리자로 실행을 선택하십시오.

연결 중

OpenVPN GUI를 실행할 때마다 Windows는 프로그램이 컴퓨터를 변경할 수 있도록 허용할지 묻는 메시지를 표시합니다. 예를 클릭합니다. OpenVPN 클라이언트 애플리케이션을 시작하면 애플릿이 시스템 트레이에 배치되므로 필요에 따라 VPN을 연결하고 연결을 끊을 수 있습니다. 실제로 VPN 연결을 만들지는 않습니다.

OpenVPN이 시작되면 시스템 트레이 애플릿으로 이동하고 OpenVPN 애플릿 아이콘을 마우스 오른쪽 버튼으로 클릭하여 연결을 시작합니다. 상황에 맞는 메뉴가 열립니다. 메뉴 상단에서 client1(client1.ovpn 프로필)을 선택하고 연결을 선택합니다.

연결이 설정되는 동안 로그 출력을 보여주는 상태 창이 열리고 클라이언트가 연결되면 메시지가 표시됩니다.

같은 방법으로 VPN에서 연결 해제: 시스템 트레이 애플릿으로 이동하여 OpenVPN 애플릿 아이콘을 마우스 오른쪽 버튼으로 클릭하고 클라이언트 프로필을 선택한 다음 연결 해제를 클릭합니다.

OS X

설치 중

Tunnelblick 다운로드 페이지. 다운로드한 .dmg 파일을 두 번 클릭하고 지시에 따라 설치합니다.

설치 프로세스가 끝날 무렵 Tunnelblick은 구성 파일이 있는지 묻습니다. 아니요라고 대답하고 Tunnelblick이 종료되도록 하는 것이 더 쉬울 수 있습니다. Finder 창을 열고 client1.ovpn을 두 번 클릭합니다. Tunnelblick이 클라이언트 프로필을 설치합니다. 관리 권한이 필요합니다.

연결 중

응용 프로그램 폴더에서 Tunnelblick을 두 번 클릭하여 Tunnelblick을 시작합니다. Tunnelblick이 실행되면 화면 오른쪽 상단의 메뉴 표시줄에 연결 제어를 위한 Tunnelblick 아이콘이 표시됩니다. 아이콘을 클릭한 다음 연결 메뉴 항목을 클릭하여 VPN 연결을 시작합니다. client1 연결을 선택하십시오.

리눅스

설치 중

Linux를 사용하는 경우 배포판에 따라 사용할 수 있는 다양한 도구가 있습니다. 데스크톱 환경이나 창 관리자에는 연결 유틸리티도 포함될 수 있습니다.

그러나 가장 보편적인 연결 방법은 OpenVPN 소프트웨어를 사용하는 것입니다.

Ubuntu 또는 Debian에서는 다음을 입력하여 서버에서와 마찬가지로 설치할 수 있습니다.

  1. sudo apt-get update
  2. sudo apt-get install openvpn

CentOS에서 EPEL 리포지토리를 활성화한 다음 다음을 입력하여 설치할 수 있습니다.

  1. sudo yum install epel-release
  2. sudo yum install openvpn

구성

배포에 /etc/openvpn/update-resolv-conf 스크립트가 포함되어 있는지 확인하십시오.

  1. ls /etc/openvpn
Output
update-resolve-conf

다음으로 전송한 OpenVPN 클라이언트 구성 파일을 편집합니다.

  1. nano client1.ovpn

update-resolv-conf 파일을 찾을 수 있는 경우 DNS 설정을 조정하기 위해 배치한 세 줄의 주석을 제거하십시오.

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

CentOS를 사용하는 경우 배포의 사용 가능한 그룹과 일치하도록 groupnogroup에서 nobody로 변경합니다.

group nobody

파일을 저장하고 닫습니다.

이제 openvpn 명령을 클라이언트 구성 파일로 지정하여 VPN에 연결할 수 있습니다.

  1. sudo openvpn --config client1.ovpn

이렇게 하면 서버에 연결됩니다.

아이폰 OS

설치 중

iTunes App Store에서 공식 iOS OpenVPN 클라이언트 애플리케이션인 OpenVPN Connect를 검색하여 설치합니다. iOS 클라이언트 구성을 장치로 전송하려면 컴퓨터에 직접 연결하십시오.

iTunes로 전송을 완료하는 방법은 여기에 설명되어 있습니다. 컴퓨터에서 iTunes를 열고 iPhone > 앱을 클릭합니다. 파일 공유 섹션까지 아래로 스크롤하고 OpenVPN 앱을 클릭합니다. 오른쪽의 빈 창인 OpenVPN 문서는 파일 공유를 위한 것입니다. .ovpn 파일을 OpenVPN 문서 창으로 드래그합니다.

이제 iPhone에서 OpenVPN 앱을 실행하세요. 새 프로필을 가져올 준비가 되었다는 알림이 표시됩니다. 녹색 더하기 기호를 탭하여 가져옵니다.

연결 중

이제 OpenVPN을 새 프로필과 함께 사용할 준비가 되었습니다. 연결 버튼을 켜짐 위치로 밀어서 연결을 시작합니다. 동일한 버튼을 끔으로 밀어서 연결을 끊습니다.

설정 아래의 VPN 스위치는 VPN에 연결하는 데 사용할 수 없습니다. 시도하면 OpenVPN 앱을 사용해서만 연결하라는 알림을 받게 됩니다.

기계적 인조 인간

설치 중

Google Play 스토어를 엽니다. 공식 Android OpenVPN 클라이언트 애플리케이션인 Android OpenVPN Connect를 검색하고 설치합니다.

.ovpn 프로필은 Android 기기를 USB로 컴퓨터에 연결하고 파일을 복사하여 전송할 수 있습니다. 또는 SD 카드 리더가 있는 경우 기기의 SD 카드를 제거하고 프로필을 복사한 다음 카드를 Android 기기에 다시 삽입할 수 있습니다.

OpenVPN 앱을 시작하고 메뉴를 탭하여 프로필을 가져옵니다.

그런 다음 저장된 프로필의 위치(스크린샷에서는 /sdcard/Download/ 사용)로 이동하여 파일을 선택합니다. 앱에서 프로필을 가져왔다는 메모를 작성합니다.

연결 중

연결하려면 연결 버튼을 누르기만 하면 됩니다. OpenVPN 애플리케이션을 신뢰하는지 묻는 메시지가 표시됩니다. 확인을 선택하여 연결을 시작합니다. VPN 연결을 끊으려면 OpenVPN 앱으로 돌아가서 연결 끊기를 선택하세요.

13단계: VPN 연결 테스트

모든 것이 설치되면 간단한 점검으로 모든 것이 제대로 작동하는지 확인합니다. VPN 연결을 활성화하지 않은 상태에서 브라우저를 열고 DNSLeakTest로 이동합니다.

사이트는 귀하의 인터넷 서비스 제공업체가 할당한 IP 주소를 귀하가 다른 세계에 표시되는 대로 반환합니다. 동일한 웹사이트를 통해 DNS 설정을 확인하려면 확장 테스트를 클릭하면 사용 중인 DNS 서버를 알려줍니다.

이제 OpenVPN 클라이언트를 Droplet의 VPN에 연결하고 브라우저를 새로 고칩니다. 이제 VPN 서버의 완전히 다른 IP 주소가 나타납니다. 그것이 이제 당신이 세상에 나타나는 방식입니다. 다시 말하지만 DNSLeakTest의 확장 테스트는 DNS 설정을 확인하고 현재 VPN에서 푸시하는 DNS 확인자를 사용하고 있는지 확인합니다.

14단계: 클라이언트 인증서 해지

경우에 따라 OpenVPN 서버에 대한 추가 액세스를 방지하기 위해 클라이언트 인증서를 취소해야 할 수도 있습니다.

이렇게 하려면 CA 디렉토리를 입력하고 vars 파일을 리소싱하십시오.

  1. cd ~/openvpn-ca
  2. source vars

그런 다음 취소하려는 클라이언트 이름을 사용하여 revoke-full 명령을 호출합니다.

  1. ./revoke-full client3

이렇게 하면 오류 23으로 끝나는 일부 출력이 표시됩니다. 이는 정상적인 현상이며 프로세스는 keys 하위 디렉터리 내의 crl.pem 파일에 저장되는 필요한 해지 정보를 성공적으로 생성해야 합니다.

이 파일을 /etc/openvpn 구성 디렉터리로 전송합니다.

  1. sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn

다음으로 OpenVPN 서버 구성 파일을 엽니다.

  1. sudo nano /etc/openvpn/server.conf

파일 하단에 crl-verify 옵션을 추가하여 OpenVPN 서버가 연결 시도가 있을 때마다 생성한 인증서 폐기 목록을 확인하도록 합니다.

crl-verify crl.pem

파일을 저장하고 닫습니다.

마지막으로 OpenVPN을 다시 시작하여 인증서 폐기를 구현합니다.

  1. sudo systemctl restart openvpn@server

이제 클라이언트는 이전 자격 증명을 사용하여 더 이상 서버에 성공적으로 연결할 수 있습니다.

추가 클라이언트를 취소하려면 다음 프로세스를 따르십시오.

  1. ~/openvpn-ca 디렉토리에서 vars 파일을 소싱한 다음 revoke-full을 호출하여 새 인증서 해지 목록을 생성합니다. 클라이언트 이름에 대한 스크립트.
  2. 새 인증서 해지 목록을 /etc/openvpn 디렉토리에 복사하여 이전 목록을 덮어씁니다.
  3. OpenVPN 서비스를 다시 시작합니다.

이 프로세스는 서버에 대해 이전에 발급한 모든 인증서를 취소하는 데 사용할 수 있습니다.

결론

축하해요! 이제 스누퍼와 검열자로부터 신원, 위치 및 트래픽을 보호하면서 인터넷을 안전하게 통과하고 있습니다.

더 많은 클라이언트를 구성하려면 각각의 추가 장치에 대해 6단계와 11-13단계만 수행하면 됩니다. 클라이언트에 대한 액세스 권한을 취소하려면 14단계를 따르십시오.