정책 기반 라우팅

라우터를 OpenVPN 클라이언트로 구성할 때 (예를 들어 LAN 전체를 OpenVPN 터널 공급 업체에 연결하기 위해), 특정 클라이언트 또는 특정 대상이 터널을 통해 라우팅되어야 하는지를 결정하는 정책을 정의할 수 있습니다. 모든 트래픽이 자동으로 터널을 통해 라우팅되지 않도록 할 수 있습니다. 이것은 가끔 "분할 터널링"이라고도 불립니다.

OpenVPN 클라이언트 페이지에서 "터널을 통한 인터넷 트래픽 강제" (이전에 "인터넷 트래픽 리디렉션")을 "정책 규칙" 또는 "정책 규칙 (엄격)" 중 하나로 설정합니다. 엄격 모드는 터널을 우회할 수 있는 추가 경로가 없도록 하기 위해 특정하게 터널의 네트워크 인터페이스를 대상으로 하는 경로만 허용함으로써 추가 단계를 취합니다. 이것이 일반적으로 선호되지만 WAN 인터페이스에 수동으로 구성한 경로와 충돌할 수 있기 때문에 별도의 옵션으로 제공됩니다.

정책 규칙을 활성화하면 아래에 새로운 섹션이 나타납니다. "소스 IP"는 로컬 클라이언트(컴퓨터, 모바일 등)이며, "대상"은 인터넷의 원격 서버입니다. 필드는 "어떤 IP"를 나타내도록 비워 둘 수 있거나 (또는 0.0.0.0으로 설정할 수 있음) "어떤 IP"를 나타내기 위한 것입니다. CIDR 표기법으로 전체 하위네트워크도 지정할 수 있습니다 (예: 74.125.226.112/30).

"Iface" 필드(인터페이스의 약어)는 일치하는 트래픽이 VPN 터널을 통해 전송되거나 정규 인터넷 액세스(WAN)를 통해 전송되어야 하는지를 결정합니다. 이를 통해 VPN 규칙 이전에 WAN 규칙이 처리되는 예외를 정의할 수 있습니다.

기본적으로 모든 트래픽은 WAN을 통해 이동합니다. VPN _Iface_로 정의하는 것은 VPN을 통해 라우팅될 것입니다. VPN을 통해 라우팅하도록 구성한 경우에도 /24를 VPN을 통해 라우팅하도록 구성하지만 /24 내의 한 IP가 WAN을 통해 라우팅되도록 하려는 경우 WAN _Iface_를 사용합니다.

정책 라우팅을 활성화할 때 노트해야 할 다른 설정은 VPN 터널이 끊어지면 라우팅된 클라이언트가 인터넷에 액세스하지 못하도록 하는 것입니다. 이를 위해 "터널이 끊어지면 라우팅된 클라이언트 차단"을 활성화합니다.

또한 이 기능은 TUN 인터페이스를 사용하는 OpenVPN 터널과만 호환됩니다. TAP 인터페이스를 사용하여 설정한 구성과는 호환되지 않습니다.

"Accept DNS Configuration" 정의

"Accept DNS Configuration" 필드 값의 정의는 다음과 같습니다:

• 비활성화: VPN에서 제공하는 DNS 서버가 무시됩니다.
• 릴렉스: VPN에서 제공하는 DNS 서버가 현재 DNS 서버 목록 앞에 추가되며, 어떤 DNS 서버를 사용해도 됩니다.
• 엄격: VPN에서 제공하는 DNS 서버가 현재 DNS 서버 목록 앞에 추가되며, 순서대로 사용됩니다. VPN에서 제공하는 DNS 서버가 응답하지 않는 경우에만 기존 DNS 서버가 사용됩니다.
• 배타: 제공된 VPN DNS 서버만 사용됩니다.

"Accept DNS Configuration" 동작

"Accept DNS configuration"을 _Exclusive_로 설정하고 정책 기반 라우팅과 결합하면 VPN을 통해 구성된 모든 클라이언트는 VPN 터널에서 제공하는 DNS 서버를 사용하고, WAN을 통해 구성된 클라이언트는 ISP의 DNS를 계속 사용합니다. "Accept DNS configuration"을 "Exclusive"로 설정하는 단점은 VPN 터널이 VPN 공급자의 DNS만 사용하기 때문에 dnsmasq이 우회될 것이라는 것입니다. Asuswrt-Merlin 펌웨어용으로 작성된 인기 있는 Diversion 광고 차단 프로그램은 dnsmasq의 기능을 필요로 하기 때문에 작동하지 않을 것입니다. 그러나 하나의 예외가 있습니다 - "Accept DNS Configuration"을 "Exclusive"로 설정하고 "Force Internet traffic through tunnel"을 "Yes"로 설정하여 정책 규칙을 비활성화한 경우 VPN 터널을 통해 Diversion이 작동할 것입니다.

정책 규칙과 함께 dnsmasq 사용하기

dnsmasq를 정책 규칙과 함께 사용하려면 "Accept DNS Configuration"을 "Relaxed", "Strict", 또는 "Disabled" 중 하나로 설정합니다. 하나의 단점은 이로 인해 VPN 클라이언트에 할당된 클라이언트의 DNS 정보가 "누출"될 수 있다는 것입니다.

DNS 누출 문제를 완화하기 위해 LAN 페이지에서 사용 가능한 DNSFilter 기능을 사용하여 각 LAN 클라이언트에 대한 사용자 정의 DNS를 구성할 수 있습니다. VPN을 사용하도록 할당된 LAN 클라이언트는 VPN 서버 엔드포인트에서 DNS를 받고 WAN 인터페이스를 사용하도록 할당된 LAN 클라이언트는 WAN 인터페이스와 동일한 지역에서 DNS를 받습니다.

특정 클라이언트의 IP에 대해 여러 규칙이 있는 경우 (예를 들어 해당 트래픽이 모두 VPN을 통해 전달되어야 한다는 규칙과 특정 대상 IP에 대한 예외 규칙이 있는 경우), 해당 클라이언트의 모든 이름 해결은 여전히 VPN 서버에서 지정한 DNS를 통해 이루어집니다. 이것은 라우터가 DNS 쿼리가 특정 대상과 관련이 있는지를 알 수 없기 때문입니다. 따라서 가장 안전한 동작이 사용되며 해당 클라이언트에 의한 모든 쿼리는 VPN 서버의 DNS를 사용합니다.

기타 정책 라우팅 솔루션

• 웹 사용자 인터페이스를 통해 포트를 기반으로 정책을 구성할 수 없습니다. 오직 IP 주소(또는 하위네트워크)를 기반으로 할 수 있습니다. 규칙에 더 많은 유연성이 필요한 경우, 포트 라우팅을 위한 이 방법을 참조할 수 있습니다.
• x3mRouting ~ Asuswrt-Merlin 펌웨어용 선택적 라우팅 솔루션은 선택적 라우팅을 위한 IPSET 기술을 활용하며 LAN 클라이언트, OpenVPN 클라이언트 및 OpenVPN 서버에 대한 추가적인 선택적 라우팅 기능을 포함하고 있습니다.
• YazFi는 게스트 WiFi 네트워크를 VPN 클라이언트로 라우팅할 수 있는 기능을 제공합니다.

예시

Google에 속하는 IP 주소 블록에 액세스하려는 모든 클라이언트가 VPN 터널을 사용하도록하려면 다음과 같이 구성할 수 있습니다:

RouteGoogle	0.0.0.0		74.125.0.0/16	VPN

또는 특정 컴퓨터를 터널을 통해 라우팅하되, ISP의 SMTP 서버로 보낸 요청은 터널을 통과하지 않게하려면 (가정에서 ISP의 SMTP 서버의 가상 IP 주소를 10.10.10.10으로 가정):

PC1		192.168.1.100	0.0.0.0		VPN
PC1-bypass	192.168.1.100	10.10.10.10	WAN

전체 LAN을 VPN을 통해 전달하려는 일반적인 구성 설정, 그러나 라우터 자체는 예외인 경우:

LAN		192.168.1.0/24	0.0.0.0		VPN
Router		192.168.1.1	0.0.0.0		WAN