안정적이고 확장 가능한 VPN 보안 터널링

게시자 Zevenet | 18 년 2020 월 XNUMX 일

WeGO 소개

인터넷 제공 업체를 통해 인터넷에 연결할 때이 제공 업체가 귀하의 연결이 안전한지 확인하기 위해 모든 것을 고려할 것임을 의심하지 않습니다.하지만 비공개 서비스에 연결하려면 어떻게해야합니까? 공용 인프라의 클라이언트에서 서버로 트래픽이 안전한지 확인하는 방법은 무엇입니까? 언제 여기에 VPN 서비스 또는 가상 개인 네트워크 기술이 필요합니다. 외부 에이전트가 적절한 정보를 얻는 트래픽을 차단하지 않도록 두 노드간에 보안 연결이 설정됩니다.

VPN 서비스는 다음과 같은 여러 기능을 제공합니다.

기밀 유지: 다른 사람이 데이터를 읽지 못하게합니다. 이것은 암호화로 구현됩니다.
인증: 지점 간을 만드는 구성원이 합법적 인 장치인지 확인합니다.
진실성: 전송 중에 VPN 패킷이 변경되지 않았는지 확인합니다.
재생 방지: 누군가가 트래픽을 캡처하고 다시 보내지 못하게하고 합법적 인 기기 / 사용자로 표시하려고합니다.

시장 기반의 민간 및 공개 표준에는 다양한 종류의 구현이 있으며, 우리는이 기사를 공개 솔루션에 중점을 둘 것입니다. 아래에서 가장 관련성이 있습니다.

IPSEC: 인터넷에 VPN을 설치하는 데 사실상 표준이되었으며 많은 암호화 알고리즘을 구현하며 주요 취약점은 알려지지 않았습니다.
OpenVPN: 매우 인기가 있지만 표준을 기반으로하지는 않지만 사용자 지정 보안 프로토콜을 사용하며 Openssl과 함께 TLS / SSL 및 수많은 암호화 알고리즘을 지원합니다.
L2TP: PPTP의 확장으로 IPSec을 보안 계층으로 사용할 수 있으며 주로 ISP에서 과거에 사용했습니다. 현재 더 나은 성능의 더 나은 옵션이 있습니다.
와이어 가드: 매우 빠른 VPN이며 설치가 매우 쉽고 Linux 커널에 이미 포함 된 암호화 알고리즘을 사용하며 UDP를 사용하며 모든 포트에서 구성 할 수 있습니다.

확장 가능한 VPN 환경

이 기사의 목표는 고 가용성 설정으로로드 밸런싱 서비스를 작성하는 방법을 설명하는 것입니다. VPN 서비스 ZEVENET로드 밸런서. 우리는이 기사에 중점을 둡니다. 와이어 가드포트를 사용하는 51820 UDP그러나 다른 프로토콜 및 포트를 사용하여 다른 유사한 솔루션으로 확장 할 수 있습니다.

이 기사에서는 VPN 서버는 생략되었지만 확장하려면 다음 사항을 고려해야합니다. VPN 고 가용성에서 성공적으로 :

그리고, VPN 서버 구성 파일을 복제해야합니다 모든 VPN 균형을 잡을 서버.
VPN 클라이언트 트래픽은 NAT되어야합니다 VPN 서버에서 APN 클라이언트의 모든 인바운드 및 아웃 바운드 연결이 풀의 동일한 VPN 서버를 통과하는지 확인하십시오.

다음 다이어그램은 도달 가능한 확장 가능한 아키텍처를 설명합니다.

VPN Wireguard 아키텍처

1.와이어 가드 동일한 구성을 공유하는 서버
2. 각각의 와이어 가드 서버는 동일한 개인 네트워크를 만듭니다 192.168.2.0/24.
3. 각각의 VPN 클라이언트는 IP의 NAT로 연결됩니다 VPN 연결된 서버.
4. 클라이언트는 하나의 공개 IP에 연결 vpn.company.com 를 통해 51820 UDP이 연결은 제 베네트 (192.168.100.10).
5. 제 베네트 사용 가능한 클라이언트 연결을로드 밸런스합니다 VPN 마지막으로 서버 중 하나에 대해 터널이 생성됩니다.

이 기사에서는이 VPN 확장 가능 서비스를 구성하는 두 가지 방법을 자세히 설명합니다. 제 베네트: 하나를 통해 웹 GUI 그리고 다른 통해 명령 행 인터페이스.

ZEVENET을 사용한 VPN 가상 서비스 구성

이 섹션에서는 명령 줄 인터페이스를 사용하여 올바른 구성에 도달하는 방법에 대해 설명합니다.

다음을 고려하십시오. VPN 프로토콜 필요 지속성 세션 동일한 클라이언트가 동일한 클라이언트에 연결되도록하는 기능 백엔드 이 클라이언트가 트래픽을 생성하지 않더라도 일정 기간 동안.

광고를 만들려면 VPN 가상 서비스라는 새로운 농장 VPNLB + l4xnat 프로필 듣고 51820 UDP 에 바인딩 VPN 가상 IP 192.168.100.10스나 트 방화벽은 다음 명령으로 클라이언트와 NAT 연결을 NAT합니다.

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

또는 웹 GUI를 통해 :

을 수정 전역 매개 변수 사용하기 위해 농장의 UDP 그런 다음 구성 지속성 세션 by 소스 IP 그리고 간단한 로드 밸런싱 알고리즘 by 무게.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

또는 웹 GUI를 통해 :

두 추가 백엔드 서버 192.168.100.11192.168.100.12 이미 생성 된 팜에 VPN 로드 밸런싱 서비스. 포트 로 구성 할 필요가 없습니다 l4xnat 에서와 같은 것을 사용하려고합니다 가상 포트 구성되었습니다.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

또는 웹 GUI를 통해 :

정상적인 백엔드 만 선택하기 위해 포트를 보장하는 백엔드에 대한 간단한 상태 확인을 구성하겠습니다. 51820 UDP 백엔드 측에서 사용할 수 있습니다. 현재 일반 및 사전로드 된 상태 점검 사본을 작성하십시오. check_udp 편집하십시오. 우리는 변경하는 것이 좋습니다 간격 ~에 필드 21 각 건강 검진은 시간 제한 of 10 초그래서 10 초 * 2 개의 백엔드 + 1 초 = 21 초.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

또는 웹 GUI를 통해 :

마지막으로, 이미 생성 된 상태 점검을 추가하십시오. check_udp_vpn 현재 농장으로 VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

IPDS 모듈을 사용한 DDoS 공격 완화

VPN 서비스는 일반적으로 원격 연결을 이용하여 조직 네트워크에 들어가기위한 공격 및 사이버 보안 위협의 대상입니다.

따라서 확장 가능한 VPN 외부 공격으로부터 조직을 보호하기 위해 보안 시스템을 갖춘 서비스. 현재 섹션에서는 제 베네트 IPDS 모듈 그리고 완화 DDoS 공격 ...에 대한 공공 VPN 서비스 아주 쉽게.

이 섹션에는 다음과 같은 두 가지 보호 기능이 자세히 설명되어 있습니다. 화이트리스트연결 제한.

지정된 허용 목록에서 퍼블릭 VPN 서비스에 대한 액세스 허용

사용법 블랙리스트/허용 된 사이트 목록 클라이언트 목록을 공개 할 수있는 서비스에서 사용할 수 있습니다 (예 : 공개) VPN 서비스 특정 국가의 조직에서 재택 근무를 허용합니다.

화이트리스트를 구성하려면 독일 다른 사람의 트래픽을 거부 IP 주소 국가 범위는 다음을 적용하십시오.

1. IPDS> 블랙리스트로 이동 블랙리스트를 찾으십시오 geo_ES_독일. 그때 편집 이 블랙리스트 규칙과 정책 필드를 허용 화이트리스트로 사용됩니다.
2. 같은 목록에서 탭으로 이동 농장 농장을 옮기고 VPNLB 열에서 사용 가능한 농장팜 사용.
3. 를 누르십시오 플레이 아이콘에 포함 행위 화이트리스트를 활성화합니다.
4. 이 링크를 방문하십시오. IPDS> 블랙리스트 블랙리스트를 찾으십시오 전체탭으로 이동 농장 농장을 옮기고 VPNLB 열에서 사용 가능한 농장팜 사용.
5. 를 누르십시오 플레이 아이콘 행위 블랙리스트를 활성화합니다.

이 구성을 사용하면 이름이 하나 인 화이트리스트 geo_ES_독일 이미 사전로드 제 베네트 해당 국가의 모든 IP 범위와 함께 팜에 추가됩니다. VPNLB 추가 블랙리스트 전체 나머지 IP 주소는 팜에 추가되므로 클라이언트 IP가 독일의 어떤 범위에서도 일치하지 않으면 삭제됩니다.

연결 제한으로 퍼블릭 VPN 서비스에 대한 액세스 허용

이런 종류의를 적용하기 위해 DDoS 보호 예를 들어 공공 서비스가 어떻게 작동하는지 아는 것이 좋습니다. 와이어 가드 만 사용 클라이언트 당 하나의 UDP 연결. 따라서 동일한 소스 IP에서 여러 개의 동시 연결을 수신하면 둘 이상의 재택 근무자가 트래픽을 가장하는 NAT 뒤에 연결되어 있거나 UDP 플러드 공격. 어쨌든 소스 IP 당 10 개 이상의 연결이 합법적 인 트래픽이 아님을 이해할 수 있습니다.

우리의 소스 IP 당 동시 연결의 제한을 구성하기 위해 VPN 가상 서비스 다음을 수행하십시오 :

1. 이 링크를 방문하십시오. IPDS> DoS> DoS 규칙 작성이름으로 새 규칙을 만듭니다. limit_per_source_IP 선택하고 규칙 유형 소스 IP 당 총 연결 제한 키를 누릅니다 만들기.
2. 규칙 개정 양식의 필드에 원하는 동시 연결 제한을 입력하십시오. 소스 IP 당 총 연결 제한우리의 경우 10 키를 누릅니다 제출.
3. 탭으로 이동 농장 농장을 옮기고 VPNLB 열에서 사용 가능한 농장팜 사용.

이 구성에서는 소스 IP 당 동시 연결 수를 10 개로 제한했으며 10 개 이상의 VPN 연결을 설정하려는 클라이언트 IP를 신뢰하지 않습니다. 둘 이상의 클라이언트가 공용 NAT를 통해 연결을 실행하지 않도록 할 수있는 경우 limit_per_source_IP 1로만 구성 할 수 있습니다.

확장 성, 고 가용성 및 보안 VPN 서비스를 즐기십시오 제 베네트!

공유 :

GNU Free Documentation License의 조건에 따른 문서.

이 글이 도움 되었나요?

관련 기사