OpenVPN 브리징

OpenVPN 브리징 

OpenVPN은 라우팅 모드 와 브리지 모드 의 두 가지 작동 모드를 허용 합니다 . 이 기사는 후자에 관한 것입니다.

브리지 모드 는 VPN 터널이 IP 패킷 (최대 1500 바이트)이 아닌 전체 이더넷 프레임 (최대 1514 바이트)을 캡슐화 함을 의미합니다. 그 자체로 VPN 트래픽에 약간의 오버 헤드가 추가됩니다. 그러나 실제로는 OS의 특정 구성 (나중에 설명)과 함께 VPN과 사용자를 데이터 링크 수준에서 실제 물리적 이더넷 네트워크에 연결하여 전체 시스템 (이더넷 네트워크 + VPN)을 효과적으로 전환 할 수 있습니다 )를 단일 브로드 캐스트 도메인으로

브리징? 

이 질문은 누군가가 브리지 VPN 구성에 대한 조언을 요청할 때 정기적으로 나타납니다. 브리지 모드는 레이어 2에서 작동하고 브로드 캐스트가 VPN으로 전송되므로 이미 언급 한 바와 같이 데이터 패킷은 최대 1514 바이트 일 수 있으므로 트래픽 오버 헤드가 더 높습니다. 일반적으로 브리지 모드는 두 가지 경우에만 필요합니다.

• 실제로 레이어 2 도메인을 만들어야합니다. 브로드 캐스트 또는 멀티 캐스트 (예 : netBIOS, LAN 게임)에 의존하는 프로토콜을 사용해야하기 때문일 수 있습니다.
• IP가 아닌 트래픽을 전송해야합니다 

이러한 요구 사항이 없으면 라우팅 모드를 사용할 수 있습니다. 그렇지 않으면 계속 읽으십시오.

브리지 설정 

이 예에서는 다음 시나리오를 가정합니다.

 

우리는 VPN 클라이언트가 LAN의 스테이션처럼 192.168.111.0/24 범위의 IP 주소 사용을 포함하여 물리적으로 이더넷 네트워크에있는 것처럼 연결하고 느끼기를 원합니다.

이 목표를 달성하기위한 첫 번째 단계는 VPN 게이트웨이에서 특수한 인터페이스를 만드는 것입니다. 이 인터페이스 (브리지라고도 함)는 "실제"레이어 2 도메인 (예 : LAN)과 레이어 2 VPN을 연결하거나 브리지합니다. 기본적으로 이와 같은 브리지는 포트가 호스트의 이더넷 인터페이스에 연결된 OS 내부의 미니 이더넷 스위치로 생각할 수 있습니다. 예를 들어, 두 개의 이더넷 인터페이스 (eth0 및 eth1)가있는 호스트에서 eth0 및 eth1을 특수 브리지 인터페이스 (예 : br0)에 종속시켜 2 포트 브리지를 만들 수 있습니다. 종속 된 인터페이스는 일반적으로 브리지에서 동적으로 추가 및 제거 할 수 있습니다. 효과적으로 때문에 다리 인터페이스는 이더넷 스위치 (물론 같은 동작 입니다이더넷 스위치) : 각 포트에있는 MAC 주소를 확인하고 그에 따라 프레임을 전달합니다 (브로드 캐스트 및 알 수없는 MAC이 모든 포트에 플러딩 됨). 브리지에 종속 된 인터페이스 (이 예에서는 eth0 및 eth1)는 계층 2에서 순수하게 작동하며 자체 IP 주소를 가질 수 없습니다. 그러나 브리지 인터페이스는 IP 주소를 가질 수 있으며 그렇지 않은 경우 일반적인 인터페이스이며 방화벽 규칙, 경로 등을 가질 수 있습니다.

OpenVPN에 연결하기 : OpenVPN이 브리지 모드에서 사용하는 가상 탭 인터페이스 는 이더넷 인터페이스 이며 브리지의 일부일 수 있습니다. 이것이 핵심입니다.이 시나리오에서는 게이트웨이의 eth0 LAN 인터페이스와 OpenVPN의 tap0 인터페이스를 포함하는 브리지 인터페이스를 만들 것입니다. 이것이 VPN을 LAN과 연결하는 것입니다.

브리지 인터페이스의 개념은 일반적이지만 실제로 브리지 인터페이스를 만드는 데 사용되는 방법은 OS에 따라 다릅니다. 다음 단락에서는 위 예제의 주소와 인터페이스 이름을 사용하여 가장 일반적인 시스템에 대한 지침을 제공합니다.

영구 대 과도 브리지 

OpenVPN에서 브리지를 사용하는 방법에는 두 가지가 있습니다. 하나는 OpenVPN이 시작하기 직전에 브리지를 생성하여 eth0과 tap0을 추가하고 OpenVPN이 종료되면 브리지를 삭제하는 것입니다. 두 번째 방법은 OpenVPN이 실행되는 동안 OpenVPN의 tap0이 추가되는 eth0만으로 구성된 영구 브리지 인터페이스를 갖는 것입니다.

첫 번째 방법에는 몇 가지 단점이 있습니다. 가장 큰 방법은 eth0 인터페이스에서 IP 주소를 제거하고 브리지 인터페이스에 할당하는 것입니다 (브릿지가 파괴 될 때 반대). 대부분의 시스템에서 인터페이스에서 IP 주소를 삭제하면 해당 인터페이스를 가리키는 모든 경로를 제거하는 효과가 있습니다. 이는 해당 경로를 설정할 때 브리지를 가리 키도록 다시 만든 다음 eth0을 가리 키도록 다시 만들어야 함을 의미합니다. 다리가 파괴되면 다시. 또한 일부 운영 체제에서는 STP로 인해 브릿지를 가져올 때 몇 초 지연되며 이는 OpenVPN 데몬의 시작을 지연시킵니다. 따라서 과도 브리지를 설정하는 작업은 복잡 할뿐만 아니라 일정 시간 동안 연결을 방해하기도합니다.

따라서 부팅시 영구 브리지를 만들고 tap0 만 추가 / 제거하는 것이 가장 바람직하며 이는 다음 지침에 따릅니다.