VPN은 가상 사설 네트워크(Virtual Private Network)입니다. 공용 인터넷 네트워크를 사용하여 서버와 클라이언트(주로 PC이지만, 다른 지능형 장치일 수도 있음) 사이에 가상 사설 네트워크를 구축할 수 있습니다. VPN 회로는 사용자와 접근한 서버 간의 통신이 다른 사람에 의해 이해될 수 없도록 보장합니다.

이러한 가상 채널을 구축하기 위해 배포된 많은 제품들이 있습니다. 그 중 하나는 커뮤니티에 의해 지원되는 무료 제품인 OpenVPN 입니다.

이에 대한 모든 정보는 http://openvpn.net/에서 확인할 수 있습니다.

상상할 수 있듯이, 두 가지 구성 요소가 있습니다:

• 서버
• 클라이언트

OpenVPN 서버는 이미 ASUS 펌웨어의 Merlin 버전에 설치되어 있습니다. “고급 설정” 아래 “VPN” 항목을 통해 접근할 수 있습니다. 해당 페이지에서는 두 가지 VPN 서버가 제공됩니다:

• ASUS 펌웨어에 포함된 것: PPTP.
• Merlin에 의해 추가된 것 (아마도 TOMATO 프로젝트/펌웨어에서 온 것일 것임).

OpenVPN은 PPTP보다 훨씬 효율적이고 유연하며 안전하다고 여겨집니다.

OpenVPN 서버가 이미 포함되어 있으므로, ASUS 라우터와 안전한 경로를 설정하기 위해 설치할 필요는 없습니다. 그러나 다음을 수행해야 합니다:

• 서버와 클라이언트 양쪽 끝에서 안전한 채널을 생성하고 유지하기 위해 필요한 모든 키와 인증서를 생성
• ASUS OpenVPN 서버를 구성하기 위해 이 키와 인증서 사용
• OpenVPN 서버에 접근이 필요한 장치에 OpenVPN 클라이언트 설치
• 클라이언트를 구성하기 위해 키와 인증서 사용

• 커뮤니티 페이지는 [http://openvpn.net/index.php/download/community-downloads.html]에 위치해 있습니다.
• 이 글을 작성하는 시점에서, 최신 버전(2013.01.08에 출시)은 2.3.0입니다.
• 해당 페이지에서 Windows 설치 프로그램을 다운로드할 수 있습니다.

OpenVPN 2.0 구성을 구축하는 첫 번째 단계는 PKI(공개 키 인프라)를 확립하는 것입니다. PKI는 다음으로 구성됩니다:

• 서버와 각 클라이언트에 대한 별도의 인증서(공개 키로도 알려짐)와 개인 키, 그리고
• 각 서버 및 클라이언트 인증서에 서명하는 데 사용되는 마스터 인증 기관(CA) 인증서와 키.

OpenVPN은 인증서를 기반으로 한 양방향 인증을 지원합니다. 즉, 클라이언트는 서버 인증서를 인증해야 하며 서버는 클라이언트 인증서를 인증해야 상호 신뢰가 확립됩니다.

서버와 클라이언트 모두 상대

방을 인증할 때, 제시된 인증서가 마스터 인증 기관(CA)에 의해 서명되었는지 먼저 확인한 다음, 이제 인증된 인증서 헤더의 정보, 예를 들어 인증서의 일반 이름(common name) 또는 인증서 유형(클라이언트 또는 서버)을 테스트합니다.

이 보안 모델은 VPN 관점에서 여러 가지 바람직한 기능을 가지고 있습니다:

• 서버는 자체 인증서/키만 필요하며, 연결할 수 있는 모든 클라이언트의 개별 인증서를 알 필요가 없습니다.
• 서버는 마스터 CA 인증서에 의해 서명된 클라이언트만 허용합니다. 그리고 CA 개인 키에 접근할 필요 없이 이 서명 확인을 수행할 수 있기 때문에, CA 키(전체 PKI에서 가장 민감한 키)는 네트워크 연결이 없는 완전히 다른 기계에 있을 수 있습니다.
• 개인 키가 손상된 경우, 해당 인증서를 CRL(인증서 철회 목록)에 추가하여 비활성화할 수 있습니다. CRL을 사용하면 전체 PKI를 다시 구축할 필요 없이 손상된 인증서를 선택적으로 거부할 수 있습니다.
• 서버는 일반 이름과 같은 내장된 인증서 필드를 기반으로 클라이언트별 액세스 권한을 적용할 수 있습니다.

서버와 클라이언트 시계가 대략 동기화되어 있지 않으면 인증서가 제대로 작동하지 않을 수 있음을 유의하세요.

이 섹션에서는 마스터 CA 인증서/키, 서버 인증서/키, 그리고 3개의 별도 클라이언트 인증서/키를 생성합니다.

PKI 관리를 위해 OpenVPN과 함께 제공되는 일련의 스크립트를 사용합니다.

Linux, BSD 또는 유닉스 계열 OS를 사용하는 경우, 쉘을 열고 OpenVPN 배포판의 easy-rsa 하위 디렉토리로 cd=하세요. RPM 파일에서 OpenVPN을 설치한 경우, =easy-rsa 디렉토리는 보통 /usr/share/doc/packages/openvpn 또는 /usr/share/doc/openvpn-2.0=에서 찾을 수 있습니다. 편집하기 전에 이 디렉토리를 =/etc/openvpn=과 같은 다른 위치로 복사하는 것이 좋습니다. 그래야 OpenVPN 패키지 업그레이드 시 수정한 내용이 덮어쓰여지지 않습니다. =.tar.gz 파일에서 설치한 경우, easy-rsa 디렉토리는 확장된 소스 트리의 최상위 레벨 디렉토리에 있을 것입니다.

Windows를 사용하는 경우, 명령 프롬프트 창을 열고 =cd C:\Program Files\OpenVPN\easy-rsa=하세요.

다음 배치 파일을 실행하여 구성 파일을 적절한 위치로 복사합니다(이 작업은 기존의 vars 및 openssl.cnf 파일을 덮어씁니다):

init-config

이제 vars 파일(Windows에서는 vars.bat)을 편집하고 KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL 변수를 설정하세요. 이 매개변수들을 비워두지 마세요.

다음으로, PKI를 초기화합니다. Linux/BSD/Unix에서는:

. ./vars
./clean-all
./build-ca

Windows에서는:

vars
clean-all
build-ca

마지막 명령어인 (build-ca)는 대화형 openssl 명령어를 호출하여 인증 기관(CA) 인증서와 키를 생성합니다:

./build-ca

이는 다음과 같은 출력/프롬프트를 생성합니다:

1024비트 RSA 개인 키 생성 중
............++++++
...........++++++
새 개인 키를 'ca.key'에 기록 중
-----
인증서 요청에 포함될 정보를 입력하라는 요청을 받게 됩니다.
지금 입력하게 될 내용은 Distinguished Name 또는 DN이라고 불립니다.
상당히 많은 필드가 있지만 일부는 비워둘 수 있습니다.
일부 필드에는 기본값이 있습니다.
'.'을 입력하면, 해당 필드는 비워집니다.
-----
국가 이름 (2글자 코드) [KG]:
주 또는 지방 이름 (전체 이름) [NA]:
지역 이름 (예: 도시) [BISHKEK]:
조직 이름 (예: 회사) [OpenVPN-TEST]:
조직 단위 이름 (예: 부서) []:
공통 이름 (예: 당신의 이름 또는 서버의 호스트 이름) []:OpenVPN-CA
이메일 주소 [[email protected]]:

위의 시퀀스에서 대부분의 조회된 매개변수는 vars 또는 vars.bat 파일에 설정된 값으로 기본 설정되었습니다. 명시적으로 입력해야 하는 매개변수는 공통 이름뿐입니다. 위 예에서는 “OpenVPN-CA”를 사용했습니다.

다음으로, 서버용 인증서와 개인 키를 생성합니다. Linux/BSD/Unix에서는:

./build-key-server server

이전 단계와 마찬가지로 대부분의 매개변수는 기본 설정할 수 있습니다. 공통 이름이 조회될 때 server=를 입력하세요. 다른 두 질문에 대한 응답은 =y=로 해야 합니다: =인증서에 서명하시겠습니까? [y/n] 및 1개 중 1개의 인증서 요청이 인증되었습니다. 커밋하시겠습니까? [y/n].

3명의 클라이언트용 인증서 및 키 생성

클라이언트 인증서를 생성하는 것은 이전 단계와 매우 유사합니다.

./build-key client1
./build-key client2
./build-key client3

클라이언트 키를 비밀번호로 보호하려면 build-key-pass 스크립트를 대신 사용하세요.

각 클라이언트에 대해 프롬프트가 나타날 때 적절한 /공통 이름/을 입력하세요. 즉, client1, client2, 또는 =client3=입니다. 각 클라이언트에 대해 고유한 공통 이름을 사용하세요.

Diffie Hellman 매개변수 생성

OpenVPN 서버를 위해 Diffie Hellman 매개변수를 생성해야 합니다. Linux/BSD/