웹사이트 검색

Debian 11에서 OpenVPN 서버를 설정하는 방법


소개

팀이 사설 네트워크에 연결된 것처럼 신뢰할 수 없는 네트워크를 통해 원격 위치에서 내부 리소스에 비공개로 안전하게 액세스해야 합니까? VPN(가상 사설망)을 사용하면 바로 그렇게 할 수 있습니다. VPN 서버는 원격 사용자를 위한 사설 네트워크의 단일 진입점 역할을 하며 SSH 점프 서버보다 더 유연하고 적절한 솔루션입니다. 사용자를 인증하고 장치와 개인 네트워크 사이에 암호화된 터널을 생성하여 해당 네트워크뿐만 아니라 더 넓은 인터넷(구성된 경우)에 대한 보안 포털 역할을 합니다.

상용 VPN을 고려할 수도 있지만 이 튜토리얼에 있는 것과 같이 자신의 무료 VPN을 관리할 수도 있습니다. OpenVPN은 광범위한 구성을 수용하는 모든 기능을 갖춘 오픈 소스 SSL(Secure Socket Layer) VPN 솔루션입니다. 이 튜토리얼에서는 Debian 11 서버에 OpenVPN 서버를 설정한 다음 Windows, macOS, Linux, iOS 및/또는 Android에서 이에 대한 액세스를 구성합니다.

참고: DigitalOcean Droplet에 OpenVPN 서버를 설정하려는 경우 많은 호스팅 제공업체와 마찬가지로 대역폭 초과 요금을 부과한다는 점에 유의하세요. VPN에 연결되어 있는 동안 인터넷에서 수행하는 모든 작업은 DigitalOcean 대역폭을 소비하므로 VPN 사용자가 소비할 가능성이 있는 대역폭의 양을 염두에 두십시오(모든 트래픽을 VPN을 통해 라우팅한다고 가정).

자세한 내용은 이 페이지를 참조하십시오.

전제 조건

이 자습서를 완료하려면 다음이 필요합니다.

  • 두 개의 Debian 11 서버: 하나는 OpenVPN 서비스를 호스팅하고 다른 하나는 인증 기관(CA) 역할을 합니다.
  • 두 서버 모두에서 sudo 권한을 가진 루트가 아닌 사용자. Debian 11 초기 서버 설정 가이드에 따라 적절한 권한이 있는 사용자를 설정할 수 있습니다. 이 자습서에서는 이 가이드 전체에서 두 서버 모두에 있는 것으로 가정하는 방화벽도 설정합니다.
  • 두 서버 모두에 Easy-RSA가 설치되어 있습니다. 이것은 VPN의 인증서를 관리하는 데 사용할 유틸리티입니다. VPN 서버에서 이 가이드의 1~2단계를 따르고 CA 서버에서 1~3단계를 따릅니다.

기술적으로는 OpenVPN 서버 또는 로컬 컴퓨터에서 CA를 실행할 수 있지만 CA(개인 키)를 인터넷에 지속적으로 연결되지 않는 별도의 서버에 보관하는 것이 더 안전합니다. VPN 서버를 인터넷에 연중무휴 24시간 연결하도록 계획하고 있기 때문에 공격자에 의한 손상에 더 취약할 수 있습니다. 공격자가 개인 키에 대한 액세스 권한을 얻으면 이를 사용하여 새 인증서에 서명하고 VPN에 대한 액세스 권한을 부여할 수 있기 때문에 공개 서버에 CA의 개인 키를 보관하고 싶지 않습니다. 공식 OpenVPN 문서에 따라 인증서 요청 가져오기 및 서명 전용 독립 실행형 서버에 CA를 배치해야 합니다.

마지막으로, 이러한 서버를 구성하는 동안 암호 인증을 비활성화하면 이 가이드의 뒷부분에서 서버 간에 파일을 전송할 때 문제가 발생할 수 있습니다. 이 문제를 해결하기 위해 각 서버에서 암호 인증을 다시 활성화할 수 있습니다. 또는 각 서버에 대한 SSH 키 쌍을 생성한 다음 OpenVPN 서버의 공개 SSH 키를 CA 시스템의 authorized_keys 파일에 추가하거나 그 반대의 경우도 가능합니다. 이러한 솔루션을 수행하는 방법에 대한 지침은 Debian 11에서 SSH 키를 설정하는 방법을 참조하십시오.

이러한 사전 요구 사항이 준비되면 이 자습서의 1단계로 이동할 수 있습니다.

1단계 - OpenVPN 설치

시작하려면 VPN 서버의 패키지 인덱스를 업데이트하고 OpenVPN을 설치하세요. OpenVPN은 Debian의 기본 리포지토리에서 사용할 수 있으므로 설치에 apt를 사용할 수 있습니다.

  1. sudo apt update
  2. sudo apt install openvpn

그게 다야. 두 서버에 이미 Easy-RSA를 필수 구성 요소로 설치하고 CA도 초기화했으므로 VPN 서버의 인증서를 생성할 준비가 된 것입니다.

2단계 - 서버 인증서, 키 및 암호화 파일 생성

OpenVPN 서버에서 루트가 아닌 사용자의 홈 디렉토리 내의 /easy-rsa 디렉토리로 변경하고 gen-req와 함께 easyrsa 스크립트를 실행합니다. 옵션 다음에 시스템의 공통 이름이 옵니다. 이것은 당신이 좋아하는 무엇이든 될 수 있지만 그것을 설명하는 것으로 만드는 것이 도움이 될 수 있습니다. 이 튜토리얼 전체에서 OpenVPN 서버의 일반 이름은 단순히 "server\입니다. nopass 옵션도 포함해야 합니다. 그렇게 하지 않으면 요청 파일이 암호로 보호되어 다음이 발생할 수 있습니다. 나중에 권한 문제:

참고: 여기서 "server\ 이외의 이름을 선택하면 아래 지침 중 일부를 조정해야 합니다. 예를 들어 생성된 파일을 /etc/openvpn 디렉토리에 복사할 때 올바른 이름으로 대체해야 합니다. 또한 올바른 .crt를 가리키도록 나중에 /etc/openvpn/server.conf 파일을 수정해야 합니다. .key 파일.

  1. cd ~/easyrsa
  2. ./easyrsa gen-req server nopass

스크립트는 인증서 서명 요청(CSR)에 표시하려는 일반 이름을 묻는 메시지를 표시합니다. 기본적으로 ./easyrsa gen-req에 전달한 이름(예: server)이 표시됩니다. ENTER를 입력하여 기본 이름을 수락하거나 다른 이름을 입력합니다.

이렇게 하면 서버용 개인 키와 server.req라는 인증서 요청 파일이 생성됩니다. 서버 키를 /etc/openvpn/ 디렉터리에 복사합니다.

  1. sudo cp ~/easy-rsa/pki/private/server.key /etc/openvpn/

안전한 방법(아래 예에서 SCP와 같은)을 사용하여 server.req 파일을 CA 시스템으로 전송합니다.

  1. scp ~/easy-rsa/pki/reqs/server.req sammy@your_CA_ip:/tmp

그런 다음 CA 시스템에서 ~/easy-rsa 디렉토리로 이동합니다.

  1. cd ~/easy-rsa

easyrsa 스크립트를 사용하여 server.req 파일을 가져오고 CSR을 만들 때 입력한 일반 이름이 있는 파일 경로를 따라갑니다.

  1. ./easyrsa import-req /tmp/server.req server

그런 다음 sign-req 옵션과 요청 유형 및 공통 이름이 뒤따르는 easyrsa를 실행하여 요청에 서명합니다. 요청 유형은 client 또는 server일 수 있으므로 OpenVPN 서버의 인증서 요청에 대해 server 요청 유형을 사용해야 합니다.

  1. ./easyrsa sign-req server server

출력에서 요청이 신뢰할 수 있는 소스에서 온 것인지 확인하라는 메시지가 표시됩니다. yes를 입력하고 ENTER를 눌러 다음을 확인합니다.

You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.

Request subject, to be signed as a server certificate for 825 days:

subject=
    commonName                = server


Type the word 'yes' to continue, or any other input to abort.
  Confirm request details: yes

전제 조건에 나열된 자습서를 따르는 동안 CA 키를 암호화한 경우 이 시점에서 암호를 묻는 메시지가 표시됩니다.

다음으로 안전한 방법을 사용하여 서명된 인증서를 VPN 서버로 다시 전송합니다.

  1. scp pki/issued/server.crt sammy@your_server_ip:/tmp

ca.crt 파일도 VPN 서버로 전송합니다.

  1. scp pki/ca.crt sammy@your_server_ip:/tmp

OpenVPN 서버는 server.crt에 서명한 엔터티를 신뢰할 수 있도록 ca.crt가 필요합니다.

다음으로 OpenVPN 서버에서 server.crtca.crt 파일을 /etc/openvpn/ 디렉터리에 복사합니다.

  1. sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/

그런 다음 ~/easy-rsa 디렉토리로 이동합니다.

  1. cd ~/easy-rsa

거기에서 다음을 입력하여 키 교환 중에 사용할 강력한 Diffie-Hellman 키를 만듭니다.

  1. ./easyrsa gen-dh

완료하는 데 몇 분 정도 걸릴 수 있습니다. 확인되면 HMAC 서명을 생성하여 서버의 TLS 무결성 확인 기능을 강화합니다.

  1. sudo openvpn --genkey secret ta.key

명령이 완료되면 두 개의 새 파일을 /etc/openvpn/ 디렉터리에 복사합니다.

  1. sudo cp ~/easy-rsa/ta.key /etc/openvpn/
  2. sudo cp ~/easy-rsa/pki/dh.pem /etc/openvpn/

이를 통해 서버에 필요한 모든 인증서 및 키 파일이 생성되었습니다. 클라이언트 시스템이 OpenVPN 서버에 액세스하는 데 사용할 해당 인증서와 키를 생성할 준비가 되었습니다.

3단계 - 클라이언트 인증서 및 키 쌍 생성

클라이언트 시스템에서 개인 키 및 인증서 요청을 생성한 다음 서명을 위해 CA로 보낼 수 있지만 이 가이드에서는 VPN 서버에서 인증서 요청을 생성하는 프로세스를 간략하게 설명합니다. 이것의 이점은 단일 파일에 필요한 모든 키, 인증서 및 구성 옵션을 포함하는 클라이언트 구성 파일을 자동으로 생성하는 서버 스크립트를 생성할 수 있다는 것입니다. 일반적으로 기본 클라이언트 구성 파일은 별도의 키 및 인증서 파일의 파일 이름을 지정한 다음 각 클라이언트에 여러 파일을 배포해야 합니다. 그러나 기본 구성 파일 자체에 키와 인증서의 전체 본문을 포함하여 VPN 가입 프로세스를 간소화할 수 있도록 하는 것이 훨씬 좋습니다. 8단계에서 단일 클라이언트 구성 파일을 생성합니다.

이 단계에서는 먼저 클라이언트 키와 인증서 쌍을 생성합니다. 클라이언트가 둘 이상인 경우 각 클라이언트에 대해 이 프로세스를 반복할 수 있습니다. 그러나 모든 클라이언트의 스크립트에 고유한 이름 값을 전달해야 한다는 점에 유의하십시오. 이 자습서 전체에서 첫 번째 인증서/키 쌍을 client1이라고 합니다.

VPN 서버에서 클라이언트 인증서와 키 파일을 저장할 홈 디렉토리 내에 디렉토리 구조를 생성하여 시작하십시오.

  1. mkdir -p ~/client-configs/keys

클라이언트의 인증서/키 쌍 및 구성 파일을 이 디렉터리에 저장하므로 보안 조치로 지금 해당 권한을 잠가야 합니다.

  1. chmod -R 700 ~/client-configs

다음으로, ~/easy-rsa 디렉토리로 돌아가서 gen-reqnopass와 함께 easyrsa 스크립트를 실행합니다. 옵션을 클라이언트의 일반 이름과 함께:

  1. cd ~/easy-rsa
  2. ./easyrsa gen-req client1 nopass

일반 이름을 확인하려면 ENTER를 누르십시오. 그런 다음 client1.key 파일을 이전에 만든 /client-configs/keys/ 디렉터리에 복사합니다.

  1. cp pki/private/client1.key ~/client-configs/keys/

다음으로 안전한 방법을 사용하여 client1.req 파일을 CA 시스템으로 전송합니다.

  1. scp pki/reqs/client1.req sammy@your_CA_ip:/tmp

CA 시스템에서 ~/easy-rsa 디렉토리로 이동하고 인증서 요청을 가져옵니다.

  1. cd ~/easy-rsa
  2. ./easyrsa import-req /tmp/client1.req client1

그런 다음 이전 단계에서 서버에 대해 수행한 것처럼 요청에 서명합니다. 하지만 이번에는 클라이언트 요청 유형을 지정해야 합니다.

  1. ./easyrsa sign-req client client1

프롬프트에서 yes를 입력하여 인증서 요청에 서명하고 신뢰할 수 있는 출처에서 온 것인지 확인합니다.

Output
Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes

다시 말하지만 CA 키를 암호화한 경우 여기에서 암호를 입력하라는 메시지가 표시됩니다.

이렇게 하면 client1.crt라는 클라이언트 인증서 파일이 생성됩니다. 이 파일을 서버로 다시 전송하십시오.

  1. scp pki/issued/client1.crt sammy@your_server_ip:/tmp

OpenVPN 서버에서 클라이언트 인증서를 /client-configs/keys/ 디렉터리에 복사합니다.

  1. cp /tmp/client1.crt ~/client-configs/keys/

다음으로 ca.crtta.key 파일도 /client-configs/keys/ 디렉터리에 복사합니다.

  1. sudo cp ~/easy-rsa/ta.key ~/client-configs/keys/
  2. sudo cp /etc/openvpn/ca.crt ~/client-configs/keys/

이를 통해 서버와 클라이언트의 인증서와 키가 모두 생성되어 서버의 적절한 디렉터리에 저장됩니다. 이러한 파일로 수행해야 하는 몇 가지 작업이 여전히 있지만 8단계에서 수행됩니다. 지금은 서버에서 OpenVPN 구성으로 이동할 수 있습니다.

4단계 - OpenVPN 서비스 구성

이제 클라이언트 및 서버 인증서와 키가 모두 생성되었으므로 이러한 자격 증명을 사용하도록 OpenVPN 서비스 구성을 시작할 수 있습니다.

샘플 OpenVPN 구성 파일을 구성 디렉토리에 복사하여 설정의 기초로 사용하십시오.

  1. sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

원하는 텍스트 편집기에서 서버 구성 파일을 엽니다.

  1. sudo nano /etc/openvpn/server.conf

tls-auth 지시문을 찾아 HMAC 섹션을 찾습니다. 이 줄은 이미 주석 처리가 되어 있어야 하지만 그렇지 않은 경우 ";”를 제거하십시오. 주석을 해제합니다.

tls-auth ta.key 0 # This file is secret

다음으로 주석 처리된 cipher 줄을 찾아 암호화 암호 섹션을 찾습니다. AES-256-CBC 암호는 우수한 수준의 암호화를 제공하며 잘 지원됩니다. 다시 말하지만, 이 줄은 이미 주석 처리가 되어 있어야 합니다. 그렇지 않은 경우 ";”를 제거하십시오. 그 앞에:

cipher AES-256-CBC

그 아래에 auth 지시문을 추가하여 HMAC 메시지 다이제스트 알고리즘을 선택합니다. 이를 위해 SHA256이 좋은 선택입니다.

auth SHA256

다음으로 Diffie-Hellman 매개변수를 정의하는 dh 지시문이 포함된 줄을 찾습니다. Easy-RSA에 대한 최근 변경 사항으로 인해 Diffie-Hellman 키의 파일 이름이 예제 서버 구성 파일에 나열된 것과 다를 수 있습니다. 필요한 경우 이전 단계에서 생성한 키와 일치하도록 2048을 제거하여 여기에 나열된 파일 이름을 변경합니다.

dh dh.pem

마지막으로 usergroup 설정을 찾아 \;” 각각의 시작 부분에서 다음 줄의 주석을 해제합니다.

user nobody
group nogroup

OpenVPN이 작동하려면 지금까지 샘플 server.conf 파일을 변경해야 합니다. 아래에 설명된 변경 사항은 선택 사항이지만 많은 일반적인 사용 사례에도 필요합니다.

DNS 변경 사항을 푸시하여 VPN을 통해 모든 트래픽 리디렉션(선택 사항)

위의 설정은 두 시스템 간에 VPN 연결을 생성하지만 터널을 사용하도록 연결을 강제하지는 않습니다. VPN을 사용하여 모든 트래픽을 라우팅하려는 경우 DNS 설정을 클라이언트 컴퓨터로 푸시할 수 있습니다.

server.conf 파일에는 이 기능을 활성화하기 위해 변경해야 하는 몇 가지 지시문이 있습니다. redirect-gateway 섹션을 찾아 세미콜론 ";”을 제거합니다. redirect-gateway 줄의 시작 부분에서 주석을 제거합니다.

push "redirect-gateway def1 bypass-dhcp"

바로 아래에서 dhcp-option 섹션을 찾습니다. 다시 말하지만 ";” 주석을 제거하려면 두 줄 앞에서 다음을 수행하십시오.

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

이렇게 하면 클라이언트가 DNS 설정을 재구성하여 VPN 터널을 기본 게이트웨이로 사용하는 데 도움이 됩니다.

포트 및 프로토콜 조정(선택 사항)

기본적으로 OpenVPN 서버는 포트 1194와 UDP 프로토콜을 사용하여 클라이언트 연결을 수락합니다. 클라이언트가 있을 수 있는 제한적인 네트워크 환경으로 인해 다른 포트를 사용해야 하는 경우 포트 옵션을 변경할 수 있습니다. OpenVPN 서버에서 웹 콘텐츠를 호스팅하지 않는 경우 포트 443은 일반적으로 방화벽 규칙을 통해 허용되므로 일반적으로 선택됩니다.

# Optional!
port 443

종종 프로토콜도 해당 포트로 제한됩니다. 그렇다면 proto를 UDP에서 TCP로 변경합니다.

# Optional!
proto tcp

프로토콜을 TCP로 전환하는 경우 explicit-exit-notify 지시문의 값을 1에서 0으로 변경해야 합니다. 지시문은 UDP에서만 사용됩니다. TCP를 사용하는 동안 이렇게 하지 않으면 OpenVPN 서비스를 시작할 때 오류가 발생합니다.

# Optional!
explicit-exit-notify 0

다른 포트와 프로토콜을 사용할 필요가 없다면 이 세 가지 설정을 기본값으로 두는 것이 가장 좋습니다.

기본이 아닌 자격 증명 가리키기(선택 사항)

2단계에서 서버 인증서에 대한 ./easyrsa gen-req 명령 중에 다른 이름을 선택한 경우 certkey 줄을 수정합니다. 적절한 .crt.key 파일을 가리키는 것으로 보입니다. 기본 이름 "server\를 사용한 경우 이미 올바르게 설정되어 있습니다.

cert server.crt
key server.key

완료되면 파일을 저장하고 닫습니다.

특정 사용 사례에 필요한 서버의 OpenVPN 구성을 변경하고 변경한 후 서버의 네트워킹을 일부 변경할 수 있습니다.

5단계 - 서버 네트워킹 구성 조정

OpenVPN이 VPN을 통해 트래픽을 올바르게 라우팅할 수 있도록 조정해야 하는 서버 네트워킹 구성의 일부 측면이 있습니다. 첫 번째는 IP 트래픽이 라우팅되어야 하는 위치를 결정하는 방법인 IP 전달입니다.

/etc/sysctl.conf 파일을 수정하여 서버의 기본 IP 전달 설정을 조정하십시오.

  1. sudo nano /etc/sysctl.conf

내부에서 net.ipv4.ip_forward를 설정하는 주석 처리된 줄을 찾습니다. 이 설정의 주석 처리를 제거하려면 줄 시작 부분에서 "#\ 문자를 제거하십시오.

net.ipv4.ip_forward=1

완료되면 파일을 저장하고 닫습니다.

파일을 읽고 현재 세션의 값을 조정하려면 다음을 입력하십시오.

  1. sudo sysctl -p
Output
net.ipv4.ip_forward = 1

전제 조건에 나열된 Debian 11 초기 서버 설정 가이드를 따랐다면 UFW 방화벽이 있어야 합니다. 원치 않는 트래픽을 차단하기 위해 방화벽을 사용하는지 여부(거의 항상 수행해야 함)에 관계없이 이 가이드에서는 서버로 들어오는 일부 트래픽을 조작하기 위해 방화벽이 필요합니다. 일부 방화벽 규칙은 클라이언트 연결을 올바르게 라우팅하기 위해 즉석에서 동적 네트워크 주소 변환(NAT)을 제공하는 iptables 개념인 매스커레이딩을 활성화하도록 수정해야 합니다.

가장 규칙을 추가하기 위해 방화벽 구성 파일을 열기 전에 먼저 시스템의 공용 네트워크 인터페이스를 찾아야 합니다. 이렇게 하려면 다음을 입력하십시오.

  1. ip route | grep default

공용 인터페이스는 명령 출력에서 "dev\ 다음에 나오는 문자열입니다. 예를 들어 아래 출력에는 강조 표시된 eth0라는 인터페이스가 표시됩니다.

Output
default via 203.0.113.1 dev eth0 proto static

기본 경로와 연결된 인터페이스가 있으면 /etc/ufw/before.rules 파일을 열어 관련 구성을 추가합니다.

  1. sudo nano /etc/ufw/before.rules

UFW 규칙은 일반적으로 ufw 명령을 사용하여 추가됩니다. 하지만 before.rules 파일에 나열된 규칙은 일반적인 UFW 규칙이 로드되기 전에 읽고 제자리에 배치됩니다. 파일 상단을 향해 아래에 강조 표시된 줄을 추가합니다. 이렇게 하면 nat 테이블의 POSTROUTING 체인에 대한 기본 정책이 설정되고 VPN에서 오는 모든 트래픽이 가장됩니다. 아래 -A POSTROUTING 줄의 eth0를 위 명령에서 찾은 인터페이스로 교체해야 합니다.

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors
*filter
. . .

완료되면 파일을 저장하고 닫습니다.

다음으로 기본적으로 전달된 패킷도 허용하도록 UFW에 알려야 합니다. 이렇게 하려면 /etc/default/ufw 파일을 엽니다.

  1. sudo nano /etc/default/ufw

내부에서 DEFAULT_FORWARD_POLICY 지시문을 찾아 값을 DROP에서 ACCEPT로 변경합니다.

DEFAULT_FORWARD_POLICY="ACCEPT"

완료되면 파일을 저장하고 닫습니다.

다음으로 OpenVPN에 대한 트래픽을 허용하도록 방화벽 자체를 조정합니다. /etc/openvpn/server.conf 파일에서 포트 및 프로토콜을 변경하지 않은 경우 포트 1194에 대한 UDP 트래픽을 열어야 합니다. 포트 및/또는 프로토콜을 수정한 경우 여기에서 선택한 값을 대체하십시오.

또한 필수 자습서를 완료할 때 SSH 포트를 추가하지 않은 경우 여기에 추가하십시오.

  1. sudo ufw allow 1194/udp
  2. sudo ufw allow OpenSSH

이러한 규칙을 추가한 후 UFW를 비활성화했다가 다시 활성화하여 UFW를 다시 시작하고 수정한 모든 파일에서 변경 사항을 로드합니다.

  1. sudo ufw disable
  2. sudo ufw enable

이제 서버가 OpenVPN 트래픽을 올바르게 처리하도록 구성되었습니다.

6단계 - OpenVPN 서비스 시작 및 활성화

드디어 서버에서 OpenVPN 서비스를 시작할 준비가 되었습니다. 이것은 systemd 유틸리티 systemctl을 사용하여 수행됩니다.

  1. sudo systemctl start openvpn@server

구성 파일로 /etc/openvpn/server.conf를 사용하여 openvpn 서비스를 시작합니다. 예를 들어 openvpn@server2를 대신 지정했다면 systemd는 서비스를 시작할 때 파일 이름 /etc/openvpn/server2.conf를 사용했을 것입니다.

다음을 입력하여 서비스가 성공적으로 시작되었는지 다시 확인하십시오.

  1. sudo systemctl status openvpn@server

모든 것이 잘 되었다면 출력은 다음과 같을 것입니다.

Output
● openvpn@server.service - OpenVPN connection to server Loaded: loaded (/lib/systemd/system/openvpn@.service; disabled; vendor preset: enabled) Active: active (running) since Wed 2022-12-21 03:39:24 UTC; 29s ago Docs: man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Main PID: 3371 (openvpn) Status: "Initialization Sequence Completed" Tasks: 1 (limit: 3587) Memory: 1.2M CGroup: /system.slice/system-openvpn.slice/openvpn@server.service └─3371 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/

다음을 입력하여 OpenVPN tun0 인터페이스를 사용할 수 있는지 확인할 수도 있습니다.

  1. ip addr show tun0

이렇게 하면 구성된 인터페이스가 출력됩니다.

Output
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100 link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever inet6 fe80::dd60:3a78:b0ca:1659/64 scope link stable-privacy valid_lft forever preferred_lft forever

서비스를 시작한 후 부팅 시 자동으로 시작되도록 활성화합니다.

  1. sudo systemctl enable openvpn@server

이제 OpenVPN 서비스가 시작되어 실행 중입니다. 하지만 사용을 시작하기 전에 먼저 클라이언트 시스템에 대한 구성 파일을 생성해야 합니다. 이 자습서에서는 클라이언트에 대한 인증서/키 쌍을 만드는 방법에 대해 이미 설명했으며 다음 단계에서는 클라이언트 구성 파일을 생성할 인프라를 만드는 방법을 보여줍니다.

7단계 - 클라이언트 구성 인프라 생성

OpenVPN 클라이언트용 구성 파일 생성은 모든 클라이언트가 고유한 구성을 가지고 있어야 하고 각각이 서버의 구성 파일에 설명된 설정과 일치해야 하므로 다소 복잡할 수 있습니다. 이 단계에서는 하나의 클라이언트에서만 사용할 수 있는 단일 구성 파일을 작성하는 대신 즉시 구성 파일을 생성하는 데 사용할 수 있는 클라이언트 구성 인프라를 구축하는 프로세스를 간략하게 설명합니다. 먼저 "기본\ 구성 파일을 만든 다음 기본 구성 파일과 클라이언트의 고유한 인증서 및 키를 사용하여 고유한 클라이언트 구성 파일을 생성하는 스크립트를 실행합니다.

이전에 생성한 client-configs 디렉토리 내에 클라이언트 구성 파일을 저장할 OpenVPN 서버에 새 디렉토리를 생성하여 시작하십시오.

  1. mkdir -p ~/client-configs/files

다음으로 예제 클라이언트 구성 파일을 client-configs 디렉터리에 복사하여 기본 구성으로 사용합니다.

  1. cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

텍스트 편집기에서 이 새 파일을 엽니다.

  1. nano ~/client-configs/base.conf

내부에서 remote 지시문을 찾습니다. 이렇게 하면 클라이언트가 OpenVPN 서버 주소(OpenVPN 서버의 공용 IP 주소)를 가리킵니다. OpenVPN 서버가 청취하는 포트를 변경하기로 결정한 경우 1194도 선택한 포트로 변경해야 합니다.

. . .
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote your_server_ip 1194
. . .

프로토콜이 서버 구성에서 사용 중인 값과 일치하는지 확인하십시오.

proto udp

그런 다음 ";”를 제거하여 usergroup 지시문의 주석 처리를 제거하십시오. 각 줄의 시작 부분에:

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

ca, certkey 파일을 설정하는 지시문을 찾습니다. 곧 기본 파일에 인증서 및 키 파일의 전체 내용을 추가할 것이므로 다음 지시문을 주석 처리하십시오.

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
#ca ca.crt
#cert client.crt
#key client.key

마찬가지로 클라이언트 구성 파일에 ta.key를 직접 추가할 것이므로 tls-auth 지시문을 주석 처리합니다.

# If a tls-auth key is used on the server
# then every client must also have the key.
#tls-auth ta.key 1

/etc/openvpn/server.conf 파일에서 설정한 cipherauth 설정을 미러링합니다.

cipher AES-256-CBC
auth SHA256

다음으로 파일 어딘가에 key-direction 지시문을 추가합니다. VPN이 클라이언트 시스템에서 올바르게 작동하려면 이를 "1”로 설정해야 합니다.

key-direction 1

마지막으로 주석 처리된 몇 줄을 추가합니다. 모든 클라이언트 구성 파일에 이러한 지시문을 포함할 수 있지만 /etc/openvpn/update-resolv-conf 파일과 함께 제공되는 Linux 클라이언트에 대해서만 활성화하면 됩니다. 이 스크립트는 resolvconf 유틸리티를 사용하여 Linux 클라이언트에 대한 DNS 정보를 업데이트합니다.

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

클라이언트가 Linux를 실행 중이고 /etc/openvpn/update-resolv-conf 파일이 있는 경우 생성된 클라이언트 구성 파일에서 이 줄의 주석을 제거하십시오.

완료되면 파일을 저장하고 닫습니다.

다음으로 인증서, 키, 암호화 파일 및 ~/client-configs/files 디렉터리의 기본 구성을 포함하는 새 구성 파일을 만드는 간단한 스크립트를 만듭니다. ~/client-configs 디렉터리 내에서 make_config.sh라는 새 파일을 엽니다.

  1. nano ~/client-configs/make_config.sh

내부에 다음 콘텐츠를 추가하고 sammy를 서버의 루트가 아닌 사용자 계정으로 변경해야 합니다.

#!/bin/bash

# First argument: Client identifier

KEY_DIR=/home/sammy/client-configs/keys
OUTPUT_DIR=/home/sammy/client-configs/files
BASE_CONFIG=/home/sammy/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

완료되면 파일을 저장하고 닫습니다.

계속 진행하기 전에 다음을 입력하여 이 파일을 실행 파일로 표시해야 합니다.

  1. chmod 700 ~/client-configs/make_config.sh

이 스크립트는 당신이 만든 base.conf 파일의 복사본을 만들고, 클라이언트에 대해 만든 모든 인증서와 키 파일을 수집하고, 내용을 추출하고, 기본 구성의 복사본에 추가합니다. 파일을 만들고 이 모든 콘텐츠를 새 클라이언트 구성 파일로 내보냅니다. 즉, 클라이언트의 구성, 인증서 및 키 파일을 별도로 관리하지 않고 필요한 모든 정보를 한 곳에 저장합니다. 이것의 이점은 나중에 클라이언트를 추가해야 하는 경우 중앙 위치에서 이 스크립트를 실행하기만 하면 배포하기 쉬운 단일 파일에 필요한 모든 정보가 포함된 구성 파일을 빠르게 만들 수 있다는 것입니다.

새 클라이언트를 추가할 때마다 이 스크립트를 실행하고 구성 파일을 생성하기 전에 새 키와 인증서를 생성해야 합니다. 다음 단계에서 이 스크립트를 사용하여 몇 가지 연습을 하게 됩니다.

8단계 - 클라이언트 구성 생성

가이드를 따라 수행한 경우 3단계에서 각각 client1.crtclient1.key라는 클라이언트 인증서 및 키를 생성했습니다. 구성 파일을 생성할 수 있습니다. ~/client-configs 디렉토리로 이동하고 이전 단계의 끝에서 만든 스크립트를 실행하여 이러한 자격 증명을 얻으십시오.

  1. cd ~/client-configs
  2. sudo ./make_config.sh client1

이렇게 하면 ~/client-configs/files 디렉토리에 client1.ovpn이라는 파일이 생성됩니다.

  1. ls ~/client-configs/files
Output
client1.ovpn

이 파일을 클라이언트로 사용하려는 장치로 전송해야 합니다. 예를 들어 로컬 컴퓨터나 모바일 장치일 수 있습니다.

이 전송을 수행하는 데 사용되는 정확한 응용 프로그램은 장치의 운영 체제와 개인 기본 설정에 따라 다르지만 신뢰할 수 있고 안전한 방법은 백엔드에서 SFTP(SSH 파일 전송 프로토콜) 또는 SCP(보안 복사)를 사용하는 것입니다. 그러면 암호화된 연결을 통해 클라이언트의 VPN 인증 파일이 전송됩니다.

다음은 로컬 컴퓨터(macOS 또는 Linux)에서 실행할 수 있는 client1.ovpn 예제를 사용하는 예제 SFTP 명령입니다. 홈 디렉터리에 .ovpn 파일을 배치합니다.

  1. sftp sammy@your_server_ip:client-configs/files/client1.ovpn ~/

다음은 서버에서 로컬 컴퓨터로 파일을 안전하게 전송하기 위한 몇 가지 도구 및 자습서입니다.

  • SFTP를 사용하여 원격 서버와 파일을 안전하게 전송하는 방법
  • WinSCP
  • 파일질라
  • 사이버덕

9단계 - 클라이언트 구성 설치

이 섹션에서는 Windows, macOS, Linux, iOS 및 Android에 클라이언트 VPN 프로필을 설치하는 방법을 설명합니다. 이러한 클라이언트 지침은 서로 의존하지 않으므로 장치에 적용 가능한 것으로 건너뛰십시오.

OpenVPN 연결은 .ovpn 파일과 이름이 동일합니다. 이 자습서와 관련하여 이것은 연결 이름이 client1.ovpn임을 의미하며 생성한 첫 번째 클라이언트 파일과 일치합니다.

윈도우

설치 중

OpenVPN의 다운로드 페이지에서 Windows용 OpenVPN 클라이언트 애플리케이션을 다운로드하세요. Windows 버전에 적합한 설치 프로그램 버전을 선택하십시오.

참고: OpenVPN을 설치하려면 관리자 권한이 필요합니다.

OpenVPN을 설치한 후 .ovpn 파일을 다음 위치에 복사합니다.

C:\Program Files\OpenVPN\config

파일 전송 프로그램(예: WinSCP)을 관리자로 실행하지 않는 경우 파일을 이 위치로 직접 전송하지 못할 수 있습니다. 관리자로 실행하거나 관리자가 아닌 사용자의 홈 디렉토리로 파일을 전송한 다음 C:\\Program Files\\OpenVP에 복사할 수 있습니다.

OpenVPN을 실행하면 자동으로 프로필을 보고 사용할 수 있게 됩니다.

관리 계정으로도 OpenVPN을 사용할 때마다 관리자 권한으로 실행해야 합니다. VPN을 사용할 때마다 마우스 오른쪽 버튼을 클릭하고 관리자 권한으로 실행을 선택하지 않고 이 작업을 수행하려면 관리 계정에서 이를 미리 설정해야 합니다. 이것은 또한 표준 사용자가 OpenVPN을 사용하려면 관리자 암호를 입력해야 함을 의미합니다. 반면 표준 사용자는 클라이언트의 OpenVPN 애플리케이션에 관리자 권한이 없으면 서버에 제대로 연결할 수 없으므로 상승된 권한이 필요합니다.

OpenVPN 애플리케이션이 항상 관리자 권한으로 실행되도록 설정하려면 바로 가기 아이콘을 마우스 오른쪽 버튼으로 클릭하고 속성으로 이동합니다. 호환성 탭 하단에서 모든 사용자에 대한 설정 변경 버튼을 클릭합니다. 새 창에서 이 프로그램을 관리자로 실행을 선택하고 적용을 클릭합니다.

연결 중

OpenVPN GUI를 실행할 때마다 Windows는 프로그램이 컴퓨터를 변경할 수 있도록 허용할지 묻는 메시지를 표시합니다. 예를 클릭합니다. OpenVPN 클라이언트 응용 프로그램을 시작하면 애플릿이 시스템 트레이에 나타나므로 필요에 따라 VPN을 연결 및 연결 해제할 수 있습니다. 실제로 VPN 연결을 만들지는 않습니다.

OpenVPN이 시작되면 시스템 트레이 애플릿으로 이동하고 OpenVPN 애플릿 아이콘을 마우스 오른쪽 버튼으로 클릭하여 연결을 시작합니다. 상황에 맞는 메뉴가 열립니다. 메뉴 상단에서 client1(client1.ovpn 프로필)을 선택하고 연결을 선택합니다.

연결이 설정되는 동안 로그 출력을 보여주는 상태 창이 열리고 클라이언트가 연결되면 메시지가 표시됩니다.

같은 방법으로 VPN에서 연결 해제: 시스템 트레이 애플릿으로 이동하여 OpenVPN 애플릿 아이콘을 마우스 오른쪽 버튼으로 클릭하고 클라이언트 프로필을 선택한 다음 연결 해제를 클릭합니다.

맥 OS

설치 중

Tunnelblick 다운로드 페이지. 다운로드한 .dmg 파일을 두 번 클릭하고 지시에 따라 설치합니다.

설치 프로세스가 끝날 무렵 Tunnelblick은 구성 파일이 있는지 묻습니다. 답변 구성 파일이 있고 Tunnelblick이 완료되도록 합니다. Finder 창을 열고 client1.ovpn을 두 번 클릭합니다. Tunnelblick이 클라이언트 프로필을 설치합니다. 관리 권한이 필요합니다.

연결 중

응용 프로그램 폴더에서 Tunnelblick 아이콘을 두 번 클릭하여 Tunnelblick을 시작합니다. Tunnelblick이 실행되면 화면 오른쪽 상단의 메뉴 표시줄에 연결 제어를 위한 Tunnelblick 아이콘이 표시됩니다. 아이콘을 클릭한 다음 Connect client1 메뉴 항목을 클릭하여 VPN 연결을 시작합니다.

리눅스

설치 중

Linux를 사용하는 경우 배포판에 따라 사용할 수 있는 다양한 도구가 있습니다. 데스크탑 환경 또는 창 관리자에는 연결 유틸리티도 포함될 수 있습니다.

그러나 가장 보편적인 연결 방법은 OpenVPN 소프트웨어를 사용하는 것입니다.

Debian에서는 다음을 입력하여 서버에서와 마찬가지로 설치할 수 있습니다.

  1. sudo apt update
  2. sudo apt install openvpn

CentOS에서 EPEL 리포지토리를 활성화한 다음 다음을 입력하여 설치할 수 있습니다.

  1. sudo yum install epel-release
  2. sudo yum install openvpn

구성

배포에 /etc/openvpn/update-resolv-conf 스크립트가 포함되어 있는지 확인하십시오.

  1. ls /etc/openvpn
Output
update-resolv-conf

다음으로 전송한 OpenVPN 클라이언트 구성 파일을 편집합니다.

  1. nano client1.ovpn

update-resolv-conf 파일을 찾을 수 있는 경우 추가한 세 줄의 주석을 제거하여 DNS 설정을 조정합니다.

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

CentOS를 사용하는 경우 배포의 사용 가능한 그룹과 일치하도록 group 지시문을 nogroup에서 nobody로 변경합니다.

group nobody

파일을 저장하고 닫습니다.

이제 openvpn 명령을 클라이언트 구성 파일로 지정하여 VPN에 연결할 수 있습니다.

  1. sudo openvpn --config client1.ovpn

이렇게 하면 VPN에 연결됩니다.

아이폰 OS

설치 중

iPhone 또는 iPad의 App Store에서 Apple의 이 지원 문서를 검색하고 설치하여 client1.ovpn 파일을 로컬 시스템에서 iOS 장치로 전송하고 특히 OpenVPN 애플리케이션에 복사합니다.

이제 iOS 기기에서 OpenVPN 앱을 실행하세요. 가져올 준비가 된 새 프로필이 있는지 확인해야 합니다. 추가하려면 추가를 탭하세요.

연결 중

이제 OpenVPN을 새 프로필과 함께 사용할 준비가 되었습니다. CONNECT를 탭하여 연결을 시작합니다. 그렇게 하면 iOS는 OpenVPN이 시스템 설정을 통해 VPN 구성을 추가하려고 한다고 알려줍니다. 허용을 탭하고 FaceID 또는 TouchID를 사용하여 변경 사항을 승인합니다.

참고: 설정 > 일반 > VPN 및 장치 관리 > VPN 아래의 VPN 스위치는 연결을 성공적으로 켜고 끌 수 있지만 OpenVPN Connect 앱에서 스위치를 사용하는 것이 가장 좋습니다.

기계적 인조 인간

설치 중

Google Play 스토어를 엽니다. 공식 Android OpenVPN 클라이언트 애플리케이션인 Android OpenVPN Connect를 검색하고 설치합니다.

USB로 Android 장치를 컴퓨터에 연결하고 파일을 복사하여 .ovpn 프로필을 전송할 수 있습니다. 또는 SD 카드 리더가 있는 경우 기기의 SD 카드를 제거하고 프로필을 복사한 다음 카드를 Android 기기에 다시 삽입할 수 있습니다.

연결 중

OpenVPN 앱을 시작하면 프로필 가져오기 화면에서 시작됩니다. 파일 탭을 누른 다음 찾아보기를 눌러 client1.ovpn 파일을 찾아 선택합니다.

파일을 선택하면 앱에서 프로필을 가져오라는 메시지를 표시합니다. 확인을 누릅니다.

가져온 프로필 화면에서 가져오기 후 연결 체크박스를 체크한 후 우측 상단의 추가를 누르세요.

OpenVPN 애플리케이션을 신뢰하는지 묻는 메시지가 표시됩니다. 확인을 선택하여 연결을 시작합니다. VPN 연결을 끊으려면 프로필 페이지에서 스위치를 토글합니다.

10단계 - VPN 연결 테스트(선택 사항)

참고: VPN 연결을 테스트하는 이 방법은 옵션 섹션인 Push DNS Changes to Redirect All Traffic Through the VPN을 통해 4단계에서 VPN을 통해 모든 트래픽을 라우팅하도록 선택한 경우에만 작동합니다.

모든 것이 설치되면 간단한 점검으로 모든 것이 제대로 작동하는지 확인합니다. VPN 연결을 활성화하지 않은 상태에서 브라우저를 열고 DNSLeakTest로 이동합니다.

사이트는 귀하의 인터넷 서비스 제공업체가 할당한 IP 주소를 반환하고 귀하가 다른 세계에 표시되는 대로 반환합니다. 동일한 웹 사이트를 통해 DNS 설정을 확인하려면 확장 테스트를 클릭하면 사용 중인 DNS 서버를 알려줍니다.

이제 OpenVPN 클라이언트를 OpenVPN 서버에 연결하고 브라우저를 새로 고칩니다. 이제 완전히 다른 IP 주소(VPN 서버의 IP 주소)가 표시되고 이것이 세상에 표시되는 방식입니다. 다시 말하지만 DNSLeakTest의 확장 테스트는 DNS 설정을 확인하고 현재 VPN에서 푸시하는 DNS 확인자를 사용하고 있는지 확인합니다.

기억하세요: OpenVPN 서버를 통해 모든 VPN 클라이언트 트래픽을 라우팅하도록 선택했고 OpenVPN 서버가 DigitalOcean Droplet에서 실행 중인 경우 VPN에 연결되어 있는 동안 VPN 클라이언트가 인터넷에서 수행하는 모든 작업은 DigitalOcean 대역폭을 소비합니다. 활성 클라이언트가 많은 경우 대역폭 초과가 발생할 수 있습니다.

11단계 - 클라이언트 인증서 해지

경우에 따라 OpenVPN 서버에 대한 추가 액세스를 방지하기 위해 클라이언트 인증서를 취소해야 할 수 있습니다.

이렇게 하려면 CA 시스템에서 ~/easy-rsa 디렉토리로 이동합니다.

  1. cd ~/easy-rsa

다음으로 revoke 옵션과 함께 easyrsa 스크립트를 실행하고 취소하려는 클라이언트 이름을 입력합니다.

  1. ./easyrsa revoke client2

그러면 를 입력하여 취소를 확인하라는 메시지가 표시됩니다.

Output
Please confirm you wish to revoke the certificate with the following subject: subject= commonName = client2 Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes

CA 개인 키가 암호로 보호되는 경우 메시지가 표시되면 암호를 입력하십시오.

조치를 확인한 후 CA는 클라이언트의 인증서를 완전히 해지합니다. 그러나 OpenVPN 서버는 현재 클라이언트의 인증서가 취소되었는지 여부를 확인할 방법이 없으며 클라이언트는 여전히 VPN에 액세스할 수 있습니다. 이 문제를 해결하려면 CA 시스템에 CRL(인증서 해지 목록)을 만듭니다(필요한 경우 CA 암호를 다시 입력).

  1. ./easyrsa gen-crl

이렇게 하면 crl.pem이라는 파일이 생성됩니다. 이 파일을 OpenVPN 서버로 안전하게 전송하십시오.

  1. scp ~/easy-rsa/pki/crl.pem sammy@your_server_ip:/tmp

OpenVPN 서버에서 이 파일을 /etc/openvpn/ 디렉터리에 복사합니다.

  1. sudo cp /tmp/crl.pem /etc/openvpn

다음으로 OpenVPN 서버 구성 파일을 엽니다.

  1. sudo nano /etc/openvpn/server.conf

파일 하단에 crl-verify 옵션을 추가하면 OpenVPN 서버가 연결 시도가 있을 때마다 생성한 인증서 해지 목록을 확인하도록 지시합니다.

. . .
crl-verify crl.pem

파일을 저장하고 닫습니다.

마지막으로 OpenVPN을 다시 시작하여 인증서 폐기를 구현합니다.

  1. sudo systemctl restart openvpn@server

클라이언트는 더 이상 이전 자격 증명을 사용하여 서버에 성공적으로 연결할 수 없습니다.

추가 클라이언트를 취소하려면 다음 프로세스를 따르십시오.

  1. ./easyrsa revoke client_name 명령을 사용하여 인증서를 취소합니다.
  2. 새 CRL 생성
  3. crl.pem 파일을 OpenVPN 서버로 전송하고 /etc/openvpn 디렉토리에 복사하여 이전 목록을 덮어씁니다.
  4. OpenVPN 서비스를 다시 시작합니다.

이 프로세스를 사용하여 서버에 대해 이전에 발급한 모든 인증서를 취소할 수 있습니다.

결론

원격 팀 구성원은 이제 사설 네트워크에 직접 연결된 것처럼 내부 리소스에 안전하게 연결할 수 있습니다. 새 VPN을 도입하면 현재 개방형 인터넷에 액세스할 수 있는 특정 리소스(방금 설정한 공개 키 인프라보다 덜 강력한 것(예: HTTP 기본 인증)로 보호됨)를 개인용으로 이동하는 것을 고려할 수 있습니다. 네트워크와 VPN 뒤에 있습니다. 단 하나의 서버와 일부 오픈 소스 소프트웨어만 있으면 중요한 데이터와 인프라를 보호하는 데 큰 발걸음을 내디뎠습니다.

VPN과 유사한 또 다른 종류의 보안 및 개인 정보 보호 도구는 웹 프록시입니다. VPN과 마찬가지로 웹 프록시는 최종 사용자와 액세스하려는 인터넷 리소스 사이에서 중개자 역할을 하여 최종 사용자에게 익명성을 제공합니다. 웹 프록시는 웹 트래픽 전용이며 암호화를 제공하지 않지만 팀에서 VPN이 필요하지 않을 때 사용할 가치가 있는 도구일 수 있습니다. 궁금한 점이 있으면 Ubuntu 22.04에서 개인 연결용 Squid 프록시를 설정하는 방법 튜토리얼을 확인하세요.