본문 바로가기
운영체제 (LNX,WIN)

OpenVPN을 이용한 사내 VPN 구축 – 윈도우 환경 설정 구성법

by 날으는물고기 2009. 5. 20.

OpenVPN을 이용한 사내 VPN 구축 – 윈도우 환경 설정 구성법

728x90

윈도우 환경에서 OpenVPN을 설치하고 서버 및 클라이언트 설정을 수행하는 과정입니다.

1. OpenVPN GUI 다운로드 및 설치

1-1. 다운로드

1-2. 설치

  1. 설치 파일 실행 → 관리자 권한으로 실행 권장
  2. "EasyRSA", "OpenSSL Utilities", "OpenVPN GUI" 등을 선택하고 설치
  3. 설치 완료 후 C:\Program Files\OpenVPN\ 경로에 설치됨

2. 키 및 인증서(PKI) 생성

2-1. Easy-RSA 초기화

  1. Easy-RSA 디렉토리로 이동
    cd "C:\Program Files\OpenVPN\easy-rsa"
  2. 환경 초기화
    .\EasyRSA-Start.bat

2-2. PKI 디렉토리 생성 및 설정

./easyrsa init-pki
./easyrsa build-ca
  • Common Name 입력 시 예: OpenVPN-CA
  • 생성된 CA는 pki/ 폴더에 저장

3. 서버 인증서 및 키 생성

./easyrsa build-server-full server nopass
  • server는 인증서 이름입니다. Common Name에 해당
  • nopass는 인증서 비밀번호를 생략합니다 (자동 시작 시 유용)

4. 클라이언트 인증서 및 키 생성

예: client1

./easyrsa build-client-full client1 nopass
  • 동시 접속자 수만큼 client2, client3 등으로 반복 생성

5. DH 파라미터 및 TLS 인증서 생성

./easyrsa gen-dh
openvpn --genkey --secret ta.key
  • gen-dh: dh.pem 생성
  • ta.key: TLS Auth key (HMAC 보호)

6. 서버 config 준비

6-1. server.ovpn 구성 파일 생성

C:\Program Files\OpenVPN\config\server.ovpn에 아래와 같이 설정

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
keepalive 10 120
log-append openvpn.log
verb 3

7. 서버 실행

  1. openvpn.exe 명령어 또는 OpenVPN GUI에서 server.ovpn 실행
  2. cd "C:\Program Files\OpenVPN\bin" openvpn --config ..\config\server.ovpn
  3. 또는 서비스 등록
    • services.msc → OpenVPNService → 자동 시작 설정

8. 클라이언트 설정

8-1. 복사할 파일

서버에서 다음 파일들을 클라이언트 config 폴더로 복사

  • ca.crt
  • ta.key
  • client1.crt
  • client1.key

8-2. client.ovpn 설정 예시

client
dev tun
proto udp
remote [서버 IP] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3
  • [서버 IP]: 실제 서버 IP로 변경
  • 클라이언트마다 client2.ovpn, client3.ovpn 등으로 복사해 구분

9. 연결 확인

  • 클라이언트에서 OpenVPN GUI를 실행 후 트레이 아이콘 오른쪽 클릭 → Connect
  • 연결 성공 시 초록색 아이콘 표시
  • 서버 IP는 기본 설정 시 10.8.0.1

점검 포인트

항목 설명
TLS 인증 사용 ta.key를 통해 TLS Auth 적용 필수
암호화 알고리즘 AES-256-CBC, SHA256 등 최신 알고리즘 사용
키 갱신 주기 인증서 유효기간 관리, 정기적 갱신 필요
방화벽 설정 서버 포트(예: 1194/UDP) 허용 필요
사용자 관리 인증서 기반 접속 제한, 공용 인증서 재사용 금지

활용 팁

  • 접속 사용자별 분리된 인증서를 사용하면 추후 사용자 차단 시 키만 폐기하면 됨
  • 로그 분석을 통해 접속 이력 확인 가능 (log-append 설정)
  • nssm과 함께 사용하면 서비스 등록이 쉬움 (비 GUI 환경에서 유용)
728x90
그리드형(광고전용)

댓글