7. #VPN

#1 VPN 터미널 프로토콜

- VPN은 PPTP를 사용하여 인터넷과 같은 공용 네트워크를 통해 IP 패킷을 캡슐화합니다. PPTP(지점 간 터널링 프로토콜), L2TP(Layer Two Tunneling Protocol) 또는 SSTP SecureSocket Tunneling Protocol) 기반의 VPN 솔루션을 구성할 수 있습니다.

 

# 캡슐화

- 프레임 을 IP 데이터 그램에 캡슐화 하는 것

- GRE(Generic Routing Encapsulation)를 사용하여 터널링된 데이터에 대한 PPP 프레임을 캡슐화합니다

- 페이로드 : 패킷 # 암호 화 또는 압축을 수행하거나 둘을 모두 수행 할수 있다

 

# PPTP

- PPTP를 사용하면 다중 프로토콜 트래픽을 암호화한 다음 IP 헤더에 캡슐화하여 IP 네트워크나 인터넷과 같은 공용 IP 네트워크를 통해 전송할 수 있습니다

- PPTP는 원격 액세스 및 사이트 간 VPN 연결에 사용할 수 있습니다

 

# 암호화

- PPP 프레임은 MS-CHAP v2 또는 EAP-TLS 인증 프로세스에서 생성된 암화 키를 사용하여 MPPE(Microsoft 지점 간 암호화)로 암호화됩니다

 

# L2TP

- L2TP를 사용하면 다중 프로토콜 트래픽을 암호화한 다음 IP 또는 ATM(Asynchronous Transfer Mode)과 같은 지점 간 데이터그램 전달을 지원하는 모든 미디어를 통해 전송할 수 있습니다

- IPES : DEPS

 

# L2TP 준비

 

 

 

 

 

 

 

 

 

 

 

 

 

# PPTP -> L2TP 접속

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

​# svr1에서 인증서 MMC에서 인증서를 지우고 svr2에서 L2TP에 접속 하면 접속인한된다

# svr1에서 cmd에서 gpupdate /force로 인증서를 새로 받아와서 하고 나서 다시 SVR2에서 VPN을 접속하게 되면 다시 접속이 된다

 

 

# 네트워크 정책 (200P참조)

 

 # rgroup그룹 만들고 구성원을 r1으로 넣어준다

 

# r1계정 속성에 전화 전속 로그인 을 엑세스 허용으로 해준다

 

# svr1 서버관리자 에 역할 -> 네트워크 정책 및 액세스 -> 역할 서비스 추가 해준다

# 네트워크 정책 서버 체크 -> 설치

 

# svr1에서 네트워크 정책 서버 -> 정책 -> 네트워크 정책 우클릭으로 새로 만들기

 

# 정책 이름 설정 -> 네트워크 액세스 서버 유형 : Remote Acess Server 다음 

 

# 추가

 

#  Windows 그룹 # 생성 한 rgroup 추가

# 추가 -> 요일 시간제 한 선택 -> 추가 # 허용 범위 설정

# 추가 -> 터미널 종류 -> 추가 #L2TP # PPTP # SSTP 추가 해준다

 

 

 

 

 

 

 

 

# 액세스 허용  

 

#  최대 유휴 시간 후 연결 끊기 1분 체크

 

# 기본 암호화

# 강력한 암호화

# 가장 강력 한 암호화 체크

 

 

 

 

 

# IP필터

 

 

 

 

 

 

 

# SSTP를 이용한 VPN서버

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NYC-DC1 ->winodws 방화벽은 비활성화
AD 인증기관 역활(독립실행형)
VPN서버 역활(라우팅 및 원격 엑세스 설치)
DC 역활
DNS 서버 역활
호스트 생성
vpn1.itbank.vm 192.168.10.10

사설 IP
10.10.0.10
공인 IP
192.168.10.10
255.255.255.0

사용자 vpnuser 네트워크 엑세스 권한 허용
1. 서버용 인증서 발급
IIS
자체서명된 인증서를 이용해서 보안웹사이트 구성
1.1
https://localhost/certsrv -> 인증서 요청 ->고급 인증서 요청 ->이 CA에 요청을 만들어 제출합니다. ->이름 : vpn1.itbank.vm 국가 : kr -> 인증서 종류 -> 서버인증인증서 선택 : 키를 내보낼 수 있게 표시 -> 제출

1.2
관리도구 ->인증기관 ->보류중인 요청 ->보류중인 인증서 우클릭 -> 모든 작업 -> 발급 -> 발급된 인증서 확인

1.3 대기중인인증서 발급해서 설치
https://localhost/certsrv -> 보류 중인 인증서 요청 상태 확인 클릭 -> 서버 인증 인증서 클릭해서 설치

1.4 실행 -> MMC -> 인증서 -> 사용자/컴퓨터용 인증서 스냅인 -> 현재 사용자 : 개인용 : 인증서 vpn1,itbank.vm 인증서 복사 ->컴퓨터 : 개인용 : 인증서 붙여넣기 ->vpn1.itbank.vm 인증서를 제외한 나머지 인증서 제거

1.5 IIS-> 서버 인증서 : vpn1.itbank.vm 인증서 발급 확인 -> 바인딩 편집 443 편집 ->ssl인증서 : vpn1.itbank.vm 인증서로 변경

2.1 VPN 서버 구축(정적 패킷 필터 설정 해제)
정적구성 10.10.0.201-210
VPN 서버 구성 ->NYC-DC1 속성 -> 보안 ->SSL 인증서 바인딩 : 인증서 : VPN1.itbank.vm 변경-> 확인 ->라우팅 및 원격엑세스를 자동으로 시작

NYC-SVR1
VPN Client -> 신뢰된 루트 인증기관에 CA 인증서 등록..

192.168.10.20
255.255.255.0
GW 없음
기본 dns 192.168.10.10

1. 인증기관의 인증서 발급
https://vpn1.itbank.vm/certsrv ->CA 인증서, 인증서 체인... 클릭 ->CA 인증서 다운로드 ->

2. 실행->MMC -> 컴퓨터용 인증서 스냅인 ->신뢰할 수 있는 루트 인증 기관 클릭 ->인증서 -> 모든작업 -> 가져오기 ->다음 ->파일이름 : CA인증서 선택 ->다음 -> 마침 :ITBANK.NYC-DC1-CA 인증서 확인

3. VPN Client 연결 설정후 연결
회사에 연결 ->나중에 인터넷 연결 설정 ->인터넷 주소 :vpn1.itbank.vm-> 아이디 : vpnuser 암호 : 암호1234.

오류!! VPN접속시 해지서버 오프라인 관련 오류 나오면 아래와 같이 적용

4.실행 ->  regedit ->HKEY_LOCAL_MACHINE->SYSTEM->CurrentContorlSET ->Services->SstpSvc->Parameters -> 우클릭 -> 새로만들기 ->DWORD(32bit):NoCertRevocationCheck -> 값 1 -> 리부팅

5. VPN 접속