오브리닷넷(Obbli.net)

액티브 디렉터리(Active Directory) 그리고 사무실 나스(NAS) - (5) 하나의 네트워크로(Site to Site openVPN) 본문

기억소품/사용기

액티브 디렉터리(Active Directory) 그리고 사무실 나스(NAS) - (5) 하나의 네트워크로(Site to Site openVPN)

아주가끔은 2019. 7. 10. 09:22
반응형

각각 서로 다른 네트워크로 구성된 환경일 경우 액티브 디렉터리를 적용시키려면 서로 다른 네트워크를 하나로 묶는 네트워크 구성을 별도로 준비해야 하는것 같다. 물리적으로 다른 네트워크를 하나의 네트워크로 인식 시키는데는 다른 방법도 많이 있겠지만, 널리 통용되는 VPN 기술을 사용해서 묶기로 했다.

PPTP, L2TP 있는데 왜 openVPN 이냐? - VPN의 선택

처음엔 PPTP 구성을 맞춰놨었다. ID, PASS 형태로 각각의 계정을 생성하고 그에 따른 조치를 취하는 형태로 했는데, 아무래도 SMB와 PPTP 그리고 NAS 내부의 비번이 별도로 각각 돌아가는 상황에, 이 중 사용자가 비번을 바꿔버리면 다른 계정의 비번도 별도로 바꿔줘야 한다는 단점이 존재했다. 아니면 이것과 이것은 다릅니다 라고 설명 해줘야 하는데, 설명의 의미가 없다. 사용자가 그 정보를 습득할리가 없다. 또, 보안성이 약해 사용이 꺼려지는 부분이 있다. 물론 보안성 강화를 하면 된다지만 이 다음으로 서버와 클라이언트의 호환성 문제가 또 생긴다. 이정도 까지의 문제만 보더라도 이것은 불필요한 관리를 야기시키기 때문에 당연히 제외 대상이다.

L2TP는 반면에 너무 복잡하다. 물론 이러면 제외 대상이다. VPN을 공부하기 위해 이 작업을 하는게 아니다. 어마어마한 보안성을 갖춘 네트워크 구성이 필요 없기 때문이기도 하고, 추측이지만 많이 사용되지 않는것 같다.

그래서 최종적으로 openVPN 을 선택했다. 보안성도 준수하고, 속도도 잘 나온다고 한다. 오픈소스라는 점은 관리의 차원에서 추가점수를 줄만한 요소였다. SSH 인증키(공개키, 개인키) 방식과 비슷한 방법으로 작동하는데, 키 인증 방식으로 비밀번호 관리할 필요 없다는 점이 선택의 이유로 굳혀졌다.

Site to Site 라는 - VPN 네트워크의 구성

처음엔 내가 하려는 방식이 VPN Gateway 아닐까 라고 생각했는데 그건 아니고, Site to Site 라는 이름이 별도로 있었다.

물리적으로 서로 다른 네트워크를 하나의 군집 단위(Site - 해당 구역의 게이트웨이 되시겠다.)로 나누고 그 군집을 서로 이어 주는데 이 때 터널링이라는 구성으로 이어서 전체적으로 하나의 가상 네트워크가 되도록 묶어내는 기술인거 같다.

흔히 Host 가 있으면 Client 가 Host 에 연결하는것인데, 이것을 Site to Client

물론 Site to Client 방식으로 각각의 컴퓨터에 VPN 인증을 걸어서 일일이 VPN으로 연결하여 사용 하는건 가능하겠지만, 네트워크 관리 인력도 없고, 아무리 단순하더라도 사용자가 네트워크 사용법 숙지를 할만한 능력도 안되거니와 의지도 없기 때문에 최소한의 VPN 연결로 관리에 드는 자원을 축소하는게 좀 더 효율적이라고 생각되었다.

이후 적은 비용으로 Site to Site 를 실현 해보려고 NAS에서는 서버기능을 클라이언트 기능을 지원하는 공유기를 찾아 보게 되는데, 클라이언트 기능을 지원하는 공유기는 고가형 뿐이었다. iptime 에 물어보니 VPN 클라이언트 지원 하는 공유기는 (당시만 해도) 존재하지 않았다.(지금은 VPN 클라이언트를 지원하는 펌웨어를 공급하고 있다고 한다. 그것도 무려 openVPN 기능을 사용할 수 있다고 한다.) 어쩔수 없이 최종적으로 ASUS 고가의 공유기를 사용하여 3개월 정도를 시험 작동 시켜보았다. 테스트 결과는 공유기의 클라이언트 기능이 너무 불안정 하더라는 결론에 도달하였다. 원인은 모르지만 연결이 끊어져도 너무 끊어져서 사용에 문제가 많았다.

결국 Site to Site 실현은 실패로 돌아가고 적정한 수준에서 VPN 종류를 섞어가며 액티브 디렉터리 그룹 네트워킹을 마무리 짓게 되었다. 현재 액티브 디렉터리 그룹에 속한 PC는 완벽하게 액티브 디렉터리 인증으로 컴퓨터를 사용하고 있으며, 원격지는 VPN 으로 인증하여 컴퓨터를 사용하고 있다. (사용 연한은 22년 9월 현재 4년 정도 되었는데 별도의 문제는 한 번도 발생하지 않았다.)

오래전 글을 다시 꺼내 글을 마무리 지으려고 보니 지금쯤은 테스트 해봐도 좋지 않을까 싶을 정도의 환경이 된것 같은데... 조금 여유가 생기면 다시 Site to Site 를 시도해볼까..... 를 생각 하며 글을 마무리 한다.

반응형