다양한 Cloud의 네트워크를 잇는다. OpenVPN

요즘은 클라우드 인프라를 사용해 본 사람이라면 여러 서비스에 가입해서 사용을 한 사람들이 더 많으리라..(나혼자만의 생각이려나??)
그러다보면 여러 네트워크를 묶어야 하는 환경이 있을때도 있다.
이 때 등장하는 것이 VPN서버!

Windows VPN이나 리눅스의 pptpd 를 사용하려고도 해보았다. 
하지만 클라우드 서비스 제공자중에 GRE Port를 열어주지 않는 경우가 많아 사용할 수가 없다. 
자기네의 VPN서비스를 활용해야만 하기 때문에 그럴 수도 있다. 
금액적인 이슈등으로 차라리 VM에 VPN을 넣는게 저렴할 때가 있다. 

그러다가 OpenVPN은 일반적인 1194포트만을 사용하면 된다는 장점에 Windows, Linux같은 설정으로 사용이 가능하다는 점등의 특징으로 사용을 하기로 하였다. 

일단은 내 클라이언트에서 Cloud A서비스에 묶는 것부터 시작해본다. 

Cloud A환경
  global : 111.111.111.0/24
  Local : 10.10.10.0/24

 내 PC
  222.222.222.0/24

VPN 에서 할당받는 IP
  10.8.0.0/24

OpenVPN설정은 많은 사이트에 나와있을테니 설명등은 생략한다. 
가장 손쉽게 설정할 수 있는 사이트를 링크한다. 

설치 참고사이트 : http://www.joinc.co.kr/modules/moniwiki/wiki.php/Site/System_management/VPN/OpenVPN

위 사이트에서 참고는 많이 되었지만, 결정적인 문제는 해결이 안되었다. 
즉, VPN의 구조를 잘 알고 있어야만 위의 페이지의 내용이 자연스럽게 이해가 간다. 

우선 Key를 생성하는 부분에서..
Server Key와 Client 키를 생성해주는 것이 좋고, 
패스워드 방식을 선택할지, 아니면 패스워드 없이 갈지를 만들때 선택해주어야 한다. 

나는 패스워드 없는 것은 root란 이름으로 key를 만들고, 
패스워드 있는 것은 client란 이름으로 key를 만들었다. 

위 페이지대로 진행하다가 key를 만드는 곳으로 가서..
cd /etc/openvpn/easy-rsa
source ./vars
./clean-all
./build-ca
./build-key-server server
무조건 엔터.. y/n에서는 y로만..
./build-dh
./build-key-pass client
./build-key root

이대로 복사해서 붙여넣으면 된다. 
build-key-pass client를 입력했다면 패스워드를 처음에 묻는다. 
이 패스워드로 설정한 뒤에 사람들에게 주면 그 키를 가진 사람들은 초기에 로그인시 패스워드를 물어본다. 

클라이언트를 다운로드 받아서 설치를 했다.
https://openvpn.net/index.php/open-source/downloads.html

설정대로 진행을 한 뒤에 접속을 해보면.. 

10.8.0.1로 Ping이 가지 않는다.. =ㅅ=;;
내가 받은 10.8.0.6으로는 잘 가는데...

바로 클라이언트 문제라는 사실을 뒤늦게 알았다. 
해외사이트등에서 찾다보니, OpenVPN의 Status를 보면 route.exe 실행후 오류가 떠있다는 사실을 알게 되었다. 
Sat Nov 13 11:31:05 2010 ROUTE: route addition failed using CreateIpForwardEntry
: Access denied.   [status=5 if_index=11]
The requested operation requires elevation.
Sat Nov 13 11:31:05 2010 ERROR: Windows route add command failed [adaptive]: ret
urned error code 1
Sat Nov 13 11:31:05 2010 Initialization Sequence Completed

출처 : https://community.openvpn.net/openvpn/ticket/68

즉, 권한이 없다는 것이다. 

시작>프로그램>OpenVPN>OpenVPN GUI 에 오른쪽 마우스 클릭, 
등록정보 클릭
호환성 탭 클릭
관리자로서 실행 체크
확인..

이렇게 하고나니 위의 에러가 사라졌다. 

그리고 재접속.. 
10.8.0.1로 핑이 간다!!!
그런데.. 내가 원하는 10.10.10.0/24로는 핑이 안간다 ㅠ.ㅠ

Routing설정도 제대로 되었는데..
Push "route 10.10.10.0 255.255.255.0"
openvpn.conf를 이렇게 설정하면 클라이언트로 push를 한다는 뜻이다. 
접속 즉시 내 PC에서 route print를 해보면 10.10.10.0에 대한 라우팅이 되었다는 이야기다. 
이렇게 설정하는 것은 OK

서버측에서 NIC이 여러개이고 Network Range가 여러개인 경우는 
route 10.10.11.0 255.255.255.0 10.10.10.9
등의 설정이 필요하다. 
이렇게 되면 10.10.10.9의 IP를 가진 NIC으로 10.10.11.0/24 의 트래픽을 던진다는 이야기다. 

이런 설정까지는 OK...
그런데 왜 안될까.. 하고 열심히 찾아보다보니..
L3설정때도 Routing table문제로 고심했던 기억이..

Linux에서는 IP Forward설정이 필요한 것이다. 
내가 받고 있는 Cloud 서비스에서는 FW서비스를 사용하고 있기 때문에 iptables를 사용하지 않는다. 
따라서 iptables는 완전 빈상태...

iptable테스트를 많이 하다보니 클리어해야할 필요가 있어서 service iptables restart부터 시작한다.
(이거 없이 했다가 꼬여서리 =ㅅ=)

service iptables restart
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 10.10.10.0/24 -j SNAT --to-source 10.10.10.46
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

이렇게 설정하면 tun0로 들어온 트래픽중에 10.10.10.0/24를 10.10.10.46이란 IP가 달린 NIC으로 NAT를 걸어주게 된다. 
iptables 파일을 수정하려 했는데.. -t nat 설정인 커맨드는 먹지만 설정값이 안들어가서 포기 ㅠ.ㅠ
걍  sh파일로 던지기로..

맨 아래의 
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
는 VPN의 gateway를 사용할 경우 인터넷 트래픽을 eth0 을 통해 나간다는 설정.. 즉, VPN에 접속해서 그쪽 네트워크로 인터넷을 사용하고 싶어서 설정한 것인데..
안되네...  =ㅅ=;;
redirect-gatway def1 이란 옵션을 클라이언트에 주거나, 
openvpn.conf 설정에서 

push "redirect-gateway def1" 

을 넣어주면 일단 게이트웨이는 VPN의 게이트웨이를 타는데.. 그다음 밖으로 안나간다는 것이 함정 ㅠ.ㅠ
아마 이것도 Routing의 문제려니.. 라고 생각만 하고 별로 해결할 필요는 못느껴서 패스..

일단은 접속에 성공.
그냥... 쓰기로 했다.. 
힘들..