728x90

코로나 바이러스의 두번째 웨이브가 한창입니다. 다행히 오늘(9/3) 기준으로 확진자 수가 200명 밑으로 내려오긴 했지만, 긴장의 끈을 놓기에는 여전히 확진자 수가 많습니다. 많은 기업들이 원격 근무를 진행하고 있고 코로나 바이러스 초기에 각 VPN 회사들이 제공해 주었던 임시 라이센스 등을 잘 활용해 왔습니다. 

비용 지불 여력이 되면 유료 계약으로 라이센스를 추가하는 경우도 있겠지만, 소규모 사업장이나 여력이 되지 않는 곳에서는 다른 옵션을 찾아보는 것도 방법이 되겠습니다. 몇 개의 포스팅으로 나누어 소개할 OpenVPN 은 은근 손이 가긴 하지만 저렴하게 VPN 을 구축하는 방법이 될 수 있습니다.


AWS EC2 - OpenVPN 서버 구축 개요

본 포스팅은 OpenVPN 을 설치하여 사용하는 환경으로 IPv4 와 IPv6 를 모두 제공하는 것을 목표로 합니다. VPN 서버를 어디에 구축하느냐에 따라 달라지는 부분들이 있겠습니다만, 널리 사용되는 AWS 의 EC2 를 OpenVPN 서버로 활용하는 방법을 설명하도록 하겠습니다. 작업 순서는 아래와 같습니다.

  1. AWS 환경 준비
    • IPv6 대역을 갖고 있는 신규 VPC 생성
    • VPC 내에 Public Subnet 생성
    • Gateway 구성 : Internet Gateway / Egress Only Gateway
    • Routing Table 조정
    • IPv6 주소를 갖는 EC2 배포
  2. OpenVPN 설치 및 구성
  3. VPN 접속 시험
  4. 기타
    • 라우팅 조정

OpenVPN 을 IPv4 전용으로 사용하는 경우에는 절차가 조금 더 간단합니다. 하지만, 미래 지향적인 작업을 추구하는 동시에 AWS 환경에서 IPv6 를 어떻게 활성화 하는지 공부해 본다는 관점에서 단계를 따라해 주시면 좋겠습니다 ^^


1-1. IPv6 대역을 갖고 있는 신규 VPC 생성

AWS 콘솔에 접속후 VPC 를 먼저 생성하겠습니다. VPC 생성시 몇 가지 옵션 항목이 나오는데 <IPv6 CIDR Block> 의 두번째 옵션인 "Amazon provided IPv6 CIDR block" 을 선택합니다. 

IPv4 와 달리 IPv6 는 AWS 에서 자동으로 할당하는 대역을 이용하게 되며, 공인 IPv6 주소를 할당 받습니다. 이렇게 되는 이유는? 저도 조금 더 공부를 해보고 포스팅으로 정리해 보도록 하겠습니다. (요약 : 아직 잘 모르겠습니다) 

IPv4 와 IPv6 를 모두 할당하여 VPC 를 생성합니다.
VPC 생성이 잘 되었네요
IPv4 는 지정한대로, IPv6 는 /56 으로 임의 배정되었습니다

 

1-2. VPC 내에 Public Subnet 구성

VPC 가 생성되었으니 이번엔 Public Subnet 을 구성하도록 하겠습니다. 서비스에서 쓸 서버들이라면 역할에 맞게 Public, Private Subnet 을 구성해야하지만 OpenVPN 서버는 외부 접근이 필수인 서버이니 Public Subnet 만 구성하도록 하겠습니다.

 

Sunet 생성시 VPC 가 IPv6 를 활성화 해 둔 VPC 가 맞는지 확인하셔야 하구요, 가장 마지막에 있는 <IPv6 CIDR block> 을 "Custom IPv6" 로 선택하여 해당 Subnet 에 할당할 /64 블럭을 입력해 주어야 한다는 정도만 잘 챙기시면 됩니다. 제 경우에는 00 으로 지정을 했습니다.

네~ 역시 잘 생성되었네요

 

Subnet 이 생성되었으면 Subnet 의 속성을 조정해 주어야 합니다. IPv6 를 지원해야 하기 때문에 Subnet 에 생성되는 자원에 IPv6 주소를 자동으로 할당하도록 해보겠습니다. 네, 유심히 보셨다면 아시겠지만 "Public" 이라는 단어가 나오지 않습니다. IPv6 주소 체계는 IPv4 와 묘하게 다른 점들이 있는데, 조금 더 공부하고 포스팅으로...

Subnet 을 선택 > Actions > Modify auto-assign IP settings 를 선택합니다.

자동 할당 정책들 중 가장 마지막에 있는 <Auto-assign IPv6> 의 체크박스를 체크해 줍니다. 이후 해당 Subnet 에 자원이 생성되면 IPv6 주소를 자동으로 할당 받게 되고, Network ACL, Security Group 에 문제가 없다면 할당된 주소로 Public 에서 접근할 수 있게 됩니다. 


여기까지 문제 없으셨나요? 다음 포스팅에서는 인터넷 구간으로의 통신을 위해 필요한 두가지 Gateway 설정을 해보도록 하겠습니다. 하나는 쉘 접근을 위한 Internet Gateway 이고, 다른 하나는 IPv6 터널링시 외부로의 통신에 필요한 Egress Only Internet Gateway 입니다. 왜 두개를 따로 써야 하는지는 다음 포스팅! 에서 말씀 드리겠습니다.

2020.12.25 - 다음 포스팅이 올라왔습니다. 아래의 링크로 고고!

 

AWS EC2 를 이용한 IPv6 지원 OpenVPN 구축 #2

9월에 첫 포스팅을 올리고 시간이 너무 많이 흘렀습니다. 기억이 더 가물가물 해지기 전에 OpenVPN 구축 포스팅을 마무리 해볼까 합니다. 지난 포스팅에서 우리는 `IPv6 대역을 갖고 있는 VPC 생성`

ondemand.tistory.com

Stay tuned..!

 

728x90
728x90

최근 보안의 화두로 다시 DNS 가 떠오르고 있습니다. DNS 는 쉽게 생각하면 인터넷 상의 자원 주소를 모두 외울 수 없기 때문에 사용되는 일종의 데이터베이스입니다. 따라서 이 DNS 가 망가지거나 악용되었을 경우 인터넷 서비스에 큰 영향을 줄 수 밖에 없겠지요! DNS 가 악용되는 대표적인 사례중 하나가 DNS 를 통해 잦은 질의를 던져 서비스 도메인의 정보를 소유한 DNS 서버가 더이상 응답할 수 없는 상황이 되어, 사용자의 접속이 차단되는 케이스 일겁니다. 


이런 케이스를 막기 위해서는 인터넷 망 사업자가 아닌이상 사설 DNS, 기업 DNS 운영시 순환질의(Recursive Query)에 대한 옵션을 조정해 둘 필요가 있습니다. 순환질의가 활성화 되어 있는지 손쉽게 확인해 볼 수 있는 웹사이트가 있으니 혹시 불필요하게 순환질의 옵션이 켜져있는지 확인해 보시고 필요 없는 경우 설정을 꺼두는게 좋을 것 같습니다!




순환질의 활성화 여부를 테스트 하기 위해서 웹 사이트에 접근 후 DNS 서버의 주소를 입력하기만 하면 됩니다. 제출 버튼을 누르면 입력한 DNS 서버의 설정이 순환질의를 활성화 해두었는지를 리턴해 주게 됩니다. ISP 인 KT 의 DNS 는 당연히 순환질의가 켜져 있을거라 예상이 됩니다. KT 의 DNS 를 넣고 제출을 눌렀더니...




네 역시나 예상대로 켜져 있다는 응답이 왔습니다. DNS 서버를 운영중이시라면 꼭 한번씩 테스트 해보시기 바랍니다


DNS 서버의 순환질의 여부 테스트 해보기 [바로가기]


728x90

+ Recent posts