vpr을 이용한 wan/vpn 선택적 라우팅

vpn policy routing을 이용하여 선택적으로 라우팅 하는 간단한 예제입니다. 우리가 웹브라우저를 통해 웹서핑(웹서핑이 됬든 뭐가 됬든)을 한다면 기본적으로 wan으로 트래픽을 라우팅을 합니다. 어떤 필요에 의해 해외의 vpn 서비스를 이용하는 경우라면 vpn이 라우팅한 경로를 따라 웹서핑을 하게 될 겁니다. vpn을 사용하는 특별한 사정이 있겠지만 vpn이 항상 필요한것은 아니며, 그 특별한 사정이 없는 경우라면 오히려 vpn 사용으로 ...

Read more

[firewall예제] Forward wireguard to ipsec/ikev2 tunnel

이전 글에서 방화벽 정책을 이해했으니 이번에는 routeA의 wg0 네트워크 인터페이스에 접속한 wireguard client를 xfrm0 네트워크 인터페이스를 사용하는 ipsec/ikev2 site-to-site vpn에 forward해서 routerB 내부 클라이언트에 접속해 보겠습니다. 관련글 구성 해결방법 routerA에서 wg0와 xfrm0를 연결해야 하는데 방화벽 정책 관련 글 내용에서 본 것 같지 않나요? 이렇게 하면 되겠네요. iptables 명령어로 표현하면 다음과 같습니다. 적용 위의 iptables 명령어를 ...

Read more

strongswan ipsec/ikev2 vpn site2site2site

3개의 OpenWrt 라우터를 strongswan 을 이용해 site2site2site 연결해 봤습니다. swanctl.conf 와 ipsec.conf를 이용한 설정 및 xfrm 를 활용한 라우팅기반 vpn 과 정책기반 vpn 연결을 병행했습니다. 설정화일이 많다보니 자세한 설명은 생략하고 설정화일 위주로 보여드리겠습니다. 구성 routerA, routerB간 연결은 xfrm 인터페이스를 이용한 라우팅기반 vpn 연결(xfrm은 OpenWrt V21.02 이상에서 지원하며 이전 버전에서는 라우팅기반 vpn 연결을 위해선 vti 인터페이스를 ...

Read more

Strongswan ipsec/ikev2 VPN site to site 연결

OpenWrt 라우터간 strongwan을 이용해 site to site vpn연결하는 설정입니다. 먼저 간단하게 사전공유키(preshared key) 를 이용한 연결과 뒤이어 인증서(certificate) 생성해 연결하는 방법을 소개합니다. 참고로 strongswan 설정은 /etc/ipsec.conf 화일을 이용하는 방법과 /etc/swanctl/swanctl.conf 를 이용하는 방법이 있는데 지금 소개하는 방법은 예전방식 /etc/ipsec.conf를 이용하는 방법입니다.(둘의 차이는 설정화일 형식만 다를뿐 다른 차이는 없습니다.) 사이트정보 routerAAA external IP : 57.57.57.57 internal ...

Read more

OpenWrt 라우터에 cloudflare warp 적용

cloudflare warp는 사용자와 사용자와 가까운 지역의 cloudflare 서버까지 wireguard 프로토콜을 이용하여 암호화 통신을 하고 사용자에게 넘겨받은 데이터를 cloudflare 서버가 대신 통신을 한 후 다시 사용자에게 암호화 통신으로 넘겨주는 방식입니다. 사용자와 cloudflare 서버간 통신시 dns는 물론 트래픽을 암호화해 인터넷 서비스 제공자나 네트워크를 공유하는 사용자로 부터의 프라이버시 침해를 방지하고 제3자가 공공 wifi 등에서의 감시를 막아줍니다. 또한 곧곧에 ...

Read more

OpenWrt openvpn 설치 및 설정

사전준비 설치에 앞서 vpn firewall 정책설정이 선행되어야 합니다. ddns 설정을 하지 않았다면 ddns설정을 참고하세요. (아래 예시는 myhost.duckdns.org를 사용합니다.) 설치구성 vpn 네트워크는 10.8.0.0/24 , udp 포트는 21194 사용 클라이언트의 dns는 서버(OpenWrt 라우터)의 dns 사용 (DoT로 구성한 192.168.1.1) openvpn 설치 openvpn-easy-rsa및 openvpn-openssl. OpenWrt GUI(luci)를 사용하는 경우 luci-app-openvpn도 설치하세요. opkg updateopkg install openvpn-easy-rsa openvpn-openssl luci-app-openvpn 키생성 디폴트 키 ...

Read more

strongswan 특정 클라이언트의 액서스 취소

간략한 설명 여러개의 클라이언트 인증서를 생성하고 인증서 기반으로 vpn을 구동중 특정 클라이언트의 액서스 권한을 취소하고 싶은 경우 인증서 취소 목록(CRL:Certificate Revocation List)을 생성하여 해당 클라이언트 인증서를 차단할 수 있습니다. 인증서를 해지하는 이유 key-compromise : client 인증키 손상 ca-compromise : CA 인증키 손상 affiliation-changed : CA 명칭 또는 기타 정보의 변경 superseded : 인증서를 대체하는 경우 ...

Read more

strongswan 클라이언트 설정

strongswan 클라이언트 설치구성 안드로이드 및 윈도우 pc에 ikev2 클라이언트 설치 클라이언트 인증은 pubkey 및 eap-tle 방식 OpenWrt에서 strongswan을 이용한 vpn 서버 설치/설정은 다음을 참고하세요. 안드로이드 클라이언트 설정 앱스토어에서 strongswan 을 다운받아 설치 후 인증서 생성시 생성한 /etc/ipsec.d/cacert/cacrt.pem 화일과 /etc/ipsec.d/p12/[email protected] 화일을 scp로 다운받아 핸드폰에 옮기고 설정에서 인증서를 설치합니다. 아래는 안드로이드 폰에 설치 완료한 모습입니다. 윈도우 클라이언트 ...

Read more

OpenWrt strongswan 으로 구성한 ikev2 vpn

사전준비 설치에 앞서 vpn firewall 정책설정이 선행되어야 합니다. ddns 설정을 하지 않았다면 ddns설정을 참고하세요. (아래 예시는 myhost.duckdns.org를 사용합니다.) 설치구성 클라이언트 인증은 인증서 기반 (pubkey 및 eap-tls) 클라이언트는 라우터와 같은 네트워크인 192.168.1.0/24 사용하며 dhcp로 자동할당 클라이언트의 dns는 서버(OpenWrt 라우터)의 dns 사용 (DoT로 구성한 192.168.1.1) strongswan 설치 opkg updateopkg install curl strongswan-default strongswan-pki ipset strongswan-mod-openssl strongswan-mod-curl strongswan-mod-dhcp ...

Read more

OpenWrt wireguard 설치 및 설정

사전준비 vpn을 위한 firewall zone 설정을 하지 않았다면 여기를 참고해 firewall zone설정을 먼저 하시기 바랍니다. ddns 설정을 하지 않은경우 ddns 설정을 먼저 하세요 wireguard 설치 opkg updateopkg install wireguard-tools kmod-wireguard luci-app-wireguard 개인키와 공개키 생성 개인키와 공개키 생성합니다. 라우터를 위한 server키와 모바일을 위한 client1키, 사무실에서 쓸 client2키를 생성해 보겠습니다. cd /etc/umask 077mkdir wgcd wgwg genkey | ...

Read more