질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

OPENVPN 도움 좀 부탁합니다.(홍보성 님^^)

작성자 정보

  • 홍보성 작성
  • 작성일

컨텐츠 정보

본문

파일/프린터 공유는 WindowsXP SP2 Firewall에서만 수정 해줘도 충분히 됩니다.

저희 회사는 WINS Server를 별도로 운영하여 로컬서브넷의 일원으로 인식하여 그냥 접근 되는가 봅니다. 별도로 신경써 본적이 없어서리...

윈도방화벽은 로컬네트웍만 허용 되어있는데 지사 네트워크에서 본사 네트워크에 자연스레 연결 되는군요.. 물론 IP가 NAT 된 것도 아니고 Routing 입니다.

PC에 네트워크 접속 상태를 보면 지사 네트워크 IP가 직접 연결 된걸 확인 할 수 있었습니다.

뭐 WINS Server를 운영하는게 가장 편하실 듯 하네요.

단순하게 Win2K Server를 P3급 이상 PC에 설치 하여 각각의 서브넷에 설치하여 싱크 하도록 구성하면 됩니다.

다음으로 윈도방화벽 설정을 스크립트로 하셨는데 레지스트리 배포만으로도 고정 적용 할 수 있습니다.

 Port Base : XPSP2_Firewall-portbase.reg

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"

=> 3389 - port : TCP - protocol : * - 모든 네트워크 : Enabled - 예외허용
"26675:TCP"="26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"

※  = 뒤에부터 3번째 필드가 네트워크 범위를 말합니다.

*(전체), 192.168.0.0/255.255.255.0 (범위), LocalSubNet(로컬)

Program Base  : XPSP2_Firewall-pgmbase.reg

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"%windir%\remote.exe"="%windir%\r_server.exe:*:Enabled:보안접속"

※ 이건 그냥 봐도 이해 되실 겁니다.

마지막 필드는 윈도우즈방화벽 GUI창에 보여지는 이름입니다.

%windir% 보시면 아시겠지만 env parameter 적용되고 디렉토리 구분자 는 2개씩 써야 인식합니다.

색깔부분만 빼고 복사해서 필요한 네트워크 범위만 수정하시고 레지스트리 파일 배포 하셔서 사용하셔도 되겠습니다. 네트워크 범위로 넣을때는 원격지와 로컬 전부 등록 하셔야 될겁니다.

이걸로 사용자 입장에서의 불편함은 해결 됬겠죠?

우선책은 WINS Service 사용이고 차선책은 레지스트리 등록이겠죠.

원격지 네트워크가 추가되거나 변경 될때마다 레지스트리 배포하는건 영 불편하겠죠.

WINS는 서버 관리자가 만들어서 서로 싱크 하도록만 구성하면 되니 사용자 입장은 전혀 무리가 없고 DHCP로 IP를 할당한다면 WINS Server의 IP 항목도 있으니 편하게 운영 하실 수 있을 겁니다.

NAT는 비추 합니다. 내 컴퓨터나 서버등에 접속 이력이 SNAT IP만 보이니 보안 관리상 여러모로 불편하실 겁니다.

NAT는 POSTROUTING Chain에 SNAT로 Rule 적용하고 FORWARD Chain으로 해당 포트나 네트워크에 대해 ACCEPT Rule을 같이 병행 하셔야 합니다.

추후 통합 관리 서버나 원격 관리, Mac 기반 네트워크 관리, 트래픽 관리 등등 통합 관리 쪽으로 운영하게 된다면 (해야겠지만) NAT로 구성했을때 여러 패널티를 인지하고 뒤늦게 수습하려 하게 될 겁니다.

추가 하신 DDNS는 제가 요즘 바빠서리 짬나면 다시 답글 달도록 하겠습니다.

김마현 님의 글



gateway-to-gateway VPN 서버 route 정보
서버1
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
121.128.109.0   *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
default         121.128.109.254 0.0.0.0         UG    0      0        0 eth0


서버2
10.0.0.1        *               255.255.255.255 UH    0      0        0 tun0
211.192.94.0    *               255.255.255.192 U     0      0        0 eth0
192.168.10.0    *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
default         211.192.94.62   0.0.0.0         UG    0      0        0 eth0


서버1과 서버2는 밑으론 윈도우 클라이언트들이 물려 있습니다.(마스커레이딩 적용)

문제는 윈도우 XP_SP2의 방화벽 설정의  139, 445 내 네트워크(서브넷)만 설정 때문에
서버1 네트웍에서 서버2 네트웍쪽으로 파일공유나 프린트 공유시 문제가 생깁니다.
그래서 서브넷을 둘로 쪼개어 아이피는 192.168.1.0 대역으로 해보았지만 이것 역시 동일 서브넷이 아니라
방화벽에서 막히더군요.
그래서 bat 파일을 아래와 같이 만들어 공유를 하고자 하는 PC에서 한번 실행을 하여 방화벽 문제는 해결은
했지만 문제는 사용자 입장에선 이것도 조금은 불편할 수 있다는 겁니다.


netsh -c firewall set portopening protocol = TCP 139 scope=custom address=192.168.0.0/255.255.0.0
netsh -c firewall set portopening protocol = TCP 445 scope=custom address=192.168.0.0/255.255.0.0

그래서 생각해 낸게 서버1 네트웍 -> 서버2 네트웍으로 접근시 인바운드에 대해 NAT를 걸어서 서버2 네트웍으로 접근케 하려 하는데 NAT 룰을 어떻게 적용을 해야 할지 잘 모르겠네요..?
                                      NAT
                   192.168.1.2  ->  192.168.10.253
                                                      ↕
                                              192.168.10.3(공유 PC)


원래는 이렇 습니다.(방화벽에 걸림)
                   192.168.1.2  -> 192.168.1.2
                                                    ↕
                                             192.168.10.3(공유 PC)


한가지 또, DDNS서버를 자체 구축하려고 생각중인데 dhcpcd 라는 프로그램을 통해 클라이언트의 ip를 update 하려구 하는데 잘 안되네요.
혹시 DDNS 서버 구축에 대해 아시는게 있으시면 조언 좀 부탁드립니다.(dyndns 와 같은 외부서버 의존 말구요..)

감사합니다 ^^




 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  59,982 명
  • 현재 강좌수 :  35,541 개
  • 현재 접속자 :  95 명