AWS 라이트세일에서 SoftEther VPN 서버 구축 (3) – 서버 설정
AWS Lightsail + SoftEther VPN 서버 설정하기
앞에서 SofEtherVPN서버를 설치했으면 셋팅을 해줌니다.콘솔은 어렵기 때문에 아무튼 GUI로 된 VPN Admin Tool을 사용하겠읍니다.
여기서 받을 수 있읍니다. (Windows 4.28 바로 받기)
관리모드로 접속하기
셋팅이름과 써버 Public IP와 포트를 입력해줍니다. 내 아이피는 13.124.244.119 이었네오.
비밀번호는 처음이라 설정되지 않았으므로 입력하지 않고 건너뛰세오.
처음 접속해서 관리자 비밀번호를 뭐로할지 물어보네오. 입력해주면됩니다.
반갑다고 뜨네요. 하지만 여기선 안 쓸거라서요. 닫아줌니다
본격적으로 설정에 들어갑시다.
먼저 로컬브릿지 설정으로 들어가요.
그 다음 난 TAP 디바이스를 만들거에요. 따라올거라면 똑같이 디바이스 이름에 sevpn 이라고 붙여줍시다.
VPN 설정하기 앞서
VPN 설정하기 앞서, VPN서버를 구축하면 가상네트워크를 구성하는데 아이피를 할당해줘야해요.
나는 아래와 같이 지정할거에요.
Public IP : 13.124.244.119 (라이트세일 콘트롤패널에 있음)
Private IP : 172.26.8.36 (라이트세일 콘트롤패널에 있음)
VPN 게이트웨이 IP : 192.168.151.254
VPN 서브넷마스크 : 255.255.255.0
VPN DHCP 아이피 범위 : 192.168.151.100 ~ 192.168.151.199
이 과정에서 Private IP 만 주의하면 아마도 따라하는게 문제는 없겠지오.
본격적으로 설정해봅시다
DHCP 서버 설치
참고 : https://www.server-world.info/en/note?os=Ubuntu_18.04&p=dhcp&f=1
sudo apt -y install isc-dhcp-server
를 입력해요.
앗! 이제부터 vi 에디터를 이용해서 설정파일을 수정해야하네요. vi 는 저도 자주 안쓰니 외워지지 않네요. 구체적인 설명은 생략하겠습니다. 기본상태는 ESC키에요. 기본상태에서 i 누르면 입력모드가 되구요 : (콜론)을 입력후 x! 를 입력하면 입력한 내용을 저장해요 그럼 이만.
sudo vi /etc/dhcp/dhcpd.conf
명령을 입력해서 dhcpd.conf 파일을 수정할 거에요.
2019.04.12 수정
이렇게 맨 위에추가하셔도 됩니다.
subnet 192.168.151.0 netmask 255.255.255.0 { authoritative; option domain-name "kerus.vpn"; option domain-name-servers 8.8.8.8, 8.8.4.4; option routers 192.168.151.254; option subnet-mask 255.255.255.0; range 192.168.151.100 192.168.151.199; }
ESC – :x! 로 저장을해요.
인터페이스 지정을 해줍니다. 안해주니까 dhcp 서버가 알아서 서버를 꺼버리네요.
vi /etc/default/isc-dhcp-server
이렇게 tap_sevpn 이라고 지정했으면 :x! 로 저장합니다.
NAT Forward 허용하기
VPN 을 쓰는데, 우리가 VPN을 사설망으로 다른개인과 보안통신하고 그럴 목적이아니라. AWS 네트워크를 통해 트래픽 우회용으로 쓸거잖아요? 그래서 NAT (192.168.151.0/24) 네트워크를 AWS (13.124.244.119)로 변환시켜주는 NAT 포워드를 허가시켜줘야해용.
귀찮으니 명령도 간단간단하게 설정해주자구요.
sudo sh -c "echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf"
아래 명령으로 잘 적용됐는지 확인해줘요.
sudo sysctl -p
VPN 트래픽이 AWS로 전달되도록 설정
NAT 트래픽이 변환되도록 허용하는 설정은 했지만, VPN 트래픽이 나간다고는 안했어요.
iptables 로 그걸 설정할거에요. 우분투에서는 iptables를 유지시켜주는 프로그램이 딱히 없어서 성가시네요. 그래서 그냥 안하기로 했어요. 서버가 꺼질 일도 없으니까요. 그냥 센토스로 할걸
그래서 서버 다시 실행할때마다 이 설정을 적용해야해요 ㅋㅋ
위에서 TAP 디바이스에 아이피할당도 안해줬는데요, 어차피 이것도 서버를 켤떄마다 해야되는거니깐요, 그냥 같이하도록 합시다.
sudo /sbin/ifconfig tap_sevpn 192.168.151.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -s 192.168.151.0/24 -j SNAT --to-source 172.26.8.36 sudo systemctl restart isc-dhcp-server
상기의 명령을 자신의 서버에 맞게 바꿔주고 적용하면 될 것 같아요.
2019.04.12 추가
– isc-dhcp-server먼저 켜면 tap_sevpn에 아이피 없다고 못 켜게함
SEVPN 계정을 만들고 접속을 해봅시다
계정만들기
참 쉽죠?
SEVPN Client 로 접속하기
Add VPN Connection 을 눌러서요 서버아이피, 포트, 가상허브이름을 입력하고, 위에서 만든 계정으로 설정을 만들어줍니다.
인터넷도 잘 될까요?
현재까지 설정으로 불가능한 것들
OpenVPN은 SEVPN 서버매니저에서 OpenVPN을 켜주시고,
OpenVPN 기본 포트가 1194이므로 라이트세일에서 TCP, UDP 각각 1194 포트를 허용해주면됩니다.
L2TP/IPSec 도 이용하고자하면, 서버매니저에서 설정하실 수 있습니다. 라이트세일에서 포트도 당연히 열어야하는데요, 이전포스팅에 있을거에요.
AWS 네트워크 vs KT 인터넷 일본서버 핑 비교
SoftLayer HONGKONG
KT
KT -> AWS SEOUL
Vultr Tokyo
KT
후술
현재까지의 가장 가성비 뛰어난 개인VPN이 될 수 밖에 없겠다. 해외망도 좋지.. 암튼 좋지.
주의해야할 것은
Amazon Lightsail의 트래픽 요금정책은 Amazon EC2 와 약간 차이가 있다.
$3.5 플랜 기준으로 1 TB 트래픽을 제공한다.
EC2 에서는 Inbound가 모두 무료이지만,
Lightsail은 첫 1 TB는 Inbound + Outbound 로 계산하고,
그 이후의 트래픽은 Outbound 요금을 계산한다. VPN은 따운받은게 있으면 똑같이 전달을 하기위한 업로드가 발생하므로 In+Out 두배의 트래픽이 발생하니깐 사용자들은 과금발생의 우려에 대해 경각심을 가져야한다. (이짓하는것 자체가 돈과 관련이 되니깐.. 돈많으면 전문VPN을 쓰지)
번거로워서
SoftEther VPN Server 및 시스템 재 시작을 고려하지 않았습니다.
softether 서버 재시작 후
ifconfig을 통한 아이피 부여명령 후
isc-dhcp-server 재시작명령해주세요.