본문 바로가기
Windows

네트워크 분할 LAN Routing, NAT, VPN [ Active Directory ]

by Nirah 2022. 12. 2.

 

VPN (Virtual Private Network)

 

암호화 통신

사용자 정보 은닉

 

분류

IPSEC(3계층) : Header 까지 암호화

                          site to site (장비 대 장비) 

SSL VPN(4계층): payload(Data) 암호화

                             point to point (사용자 대 장비)

                             외근 중 내부인력이 내부 서버에 안전하게 접속하게 하는 방식에 주로 사용

                             Web Browser 실행 후 인증서를 이용해서 ID, PW를 통한 인증하여 내부 서버에 접속

 

 

 

0. VMware 구성

1. LAN Routing 

2. NAT

3. Redirection

4. VPN

 

 

우선 회사의 네트워크 환경은 다음과 같다고 가정하고 구성한다

VMware 머신 여러대를 다른 IP대역으로 연결할 때는 이런 방식으로 어뎁터를 추가해서 연결해주면 된다.

 

다음과 같이 vmnet 카드 2,3,4 번을 만든다.

사진에 잘못 찍혔지만 vmnet2도 커스텀이다

 

AD 머신의 어뎁터 카드 설정을 커스텀 - vmnet2로 바꾼다.

 

Member-1 머신의 어뎁터 카드 설정을 커스텀 - vmnet3으로 바꾼다.

 

Window -10 머신의 어뎁터 카드 설정을 커스텀 - vmnet4로 바꾼다.

 

Member-2 머신의 어뎁터 카드를 기존 NAT 카드 하나를 두고, 하단의 add 버튼을 눌러 3개를 추가한 뒤,

아래와 같이 costom으로 vmnet 카드 2,3,4 번을 만든다.

 

 

Member-2 머신에 접속하여 네트워크 카드 3개에 대해 그림에 따라 각각 ip를 입력해 준다.

추가된 3개의 카드는 host-only 카드이므로 어차피 자체적으로 외부와 통신 불가하니까 게이트웨이를 비워준다.

0번 카드는 nat 카드이므로 10.0.0.12 ip를 주고, 게이트웨이 주소인 10.0.0.254를 적었다. 

 

AD 머신의 네트워크 설정

Member-1 머신의 네트워크 설정

Window -10 머신의 네트워크 설정

 

 

 

 

======================================================================

 

 

< < 머신간 통신 구성 >>

 

 

0.원격 Access 설치

 

구성 토폴로지에서 가운데에 위치한 MEM2 머신에 다른 머신들의 네트워킹이 가능하게 하는 서비스를 설치한다.

설치한 뒤 3가지 방법으로 서로 통신 시켜볼 것이다.

 

 

도메인 컨트롤러를 AD 머신에 구성한다.

 

그 후 Mem2 머신에 다음과 같은 기능을 추가한다.

 

 

 

만약 오류코드 나오면서 설치 안되면

 

설치 버튼 누르기 전에 아래 파란색 글씨의

'대체 원본 경로 지정' 을 누르고

D:\sources\sxs

 

 

 

=======================================================================

 

이제부터 세 가지 통신방법을 각각 적용해서 머신간에, 또는 외부와 통신하는 지 볼 것이다.

1.LAN Routing

2. NAT

3. VPN 

 

 

 

1. LAN Routing 설정

 

 

 

이렇게 LAN Routing 구성이 완료 되면,

MEM1 머신에서 AD 머신으로 LAN Routing 을 통한 통신으로 AD 멤버 가입을 시도해 본다.

이렇게 원래라면 네트워크가 나뉘어 있어서 통신이 안 될 상황에

LAN Routing 덕분에 통신이 수립되고 DNS도 받고 AD 가입도 할 수 있게 된 것이다.

 

이렇게 LAN Routing 만으로 내부간 통신이 가능한 것을 증명했다.

 

 

 

 

==========================================================================

 

 

 

 

2. NAT 설정

 

이번엔 NAT 설정을 더해서 외부와도 통신해 볼 것이다.

전부 삭제한 후 다시 깐 다음 아래와 같이 한다. 토폴로지 가운데의 Mem2에서 설정한다.

 

 

NAT 우클릭- 새 인터페이스

 

Ethernet 0을 NAT로 (원래 NAT 카드)

 

Ethernet 3번을 개인 인터페이스로 (Win 10 머신쪽)

 

다음과 같이 Win10머신이 외부와 통신이 가능하게 되었다.

 

 

 

 

=======================================================================

 

 

 

3. VPN

 

외근 중 내부인력이 내부 서버에 안전하게 접속하게 하는 방식에 주로 사용하므로 그런 시나리오로 하겠다.

예를 들어 다른 지사로 출장을 갔는데, 그 지사의 네트워크에선 본인의 계정이나

원래 본사에서 쓰던 자원들을 쓸 수가 없을 것이다.

그럴때 출장간 지사에서 마치 본사쪽 네트워크에 접속해 있는 것 처럼 쓱 VPN연결을 하여 본사 자원을 쓸 수 있다.

 

토폴로지에는 없는 Win11 머신 (다른 지사로 온 노트북 역할 )이 선만 꼽혀있는 상태에서

VPN으로 Mem2를 통해 외부망과 통신을 해 보는 것이 목표이다.

vpn 한다음 어느쪽 인터페이스로 내보낼 지 리디렉션 해야 한다.

 

 

 

계정 생성

 

도메인 멤버인 Mem1 서버에 공유폴더를 만들고, 도메인 컨트롤러인 AD 서버에서 만든 user 계정으로 접근할것이다.

Mem2 서버에서 만든 계정은 VPN 접속할 때 외부에서 Mem2 서버(가운데)로 접속하는 데에 쓸 계정이다.

 

compmgmt.msc

 

mem 2 서버에 공유폴더 접속에 쓸 사용자 계정 kk 생성

kk 속성 - 전화 접속 로그인 항목 -  네트워크 엑세스 권한 - 엑세스 허용 ( 아직 NPS 설정을 안했기 때문)

 

 

도메인 컨트롤러인 AD 서버에 맴버의 공유폴더 접속에 쓸 aa 계정 생성

 

mem1 서버에 aa유저의 수정 허용을 한 공유폴더를 만든다. (이전 공유폴더 만드는 게시글 참조)

 

 

 

 

 

VPN 설정

 

위에서 Win10을 쓰고 있으니 잠시 Win11 머신을 쓰겠다.

Win11 은 NAT카드 어뎁터만 꼽혀있는 상태고, 도메인에도 가입돼있지 않은 상태다.

그러니 통신을 위해 토폴로지의 mem1 네트워크 대역을 일부 할당하여 mem1의 내부 내트워크인 척 하려고 한다.

 

인터넷 어뎁터 설정을 다음과 같이 바꿔준다.

 

NAT와 마찬가지의 관리- 라우팅 및 원격 설정이다.

 

아래와 같은 위치에서 사용할 VPN 프로토콜들을 확인하고 설정할 수 있다.

 

제일 만만한건 사실 PPTP이다.

 

VPN을 사용할 때 토폴로지 구성도에는 없는 Win 11 머신을 통해 접속할 것이다.

그렇기 때문에 일단 Win11에게 토폴로지 내부 네트워크에 있는 것 처럼 DHCP로 할당해 줘야한다.

 

MEM2 서버에는 DHCP가 없기 때문에 고정 주소 풀로 설정하도록 한다.

(내부에서 사용하지 않는 IP 범위를 골라 할당해 준다)

 

IP를 받아서 내보낼 방향은 Ethernet3 을 선택해 준다.

쉽게 말해서 연결할 자원 서버쪽 방향 어뎁터를 고르면 된다.

 

 

win11에서 VPN 추가

 

연결이름: test

서버주소: 10.0.0.12

VPN 종류: 자동

사용자 이름: kk

비번 입력

 

이러면 네트워크 카드가 1개 더 생긴다.

 

test어뎁터 속성 -> 네트워킹 -> IPv4 -> 고급 -> 기본 게이트웨이 사용이 디폴트 체크 돼있다.

체크 해제하면 게이트웨이 IP를 자동으로 받아온다.

 

아래와 같이 Mem2의 라우팅 및 원격 엑세스 - 포트의 VPN 프로토콜 목록에서 PPTP 하나가 활성화돼있는 것을 확인한다.

 

Win11 머신이 DHCP 2.2.2.102 ip를 받아왔다

 

 

외부 통신 테스트

 

 

공유 폴더 테스트

 

현재 VPN을 이용해 Win11머신이 2.2.2.0 대역의 네트워크에 접속해 있는 것처럼 설정되어 있다.

그래서 \2.2.2.1 (Mem1) 공유폴더에도 접근 가능한 상태다.

VPN 폴더 사용권한이 있는 shrshr.shop\aa 도메인 ID를 사용하여 로그인이 가능하다.

 

 

접속 및 수정 권한 휘두르기

 

 

 

 

 

 

트러블 슈팅

 

라우팅 이전에 각 머신이 각자 자기 게이트웨이로 핑이 가는지가 제일 첫 관문이다. 확인하자.

 

'Windows' 카테고리의 다른 글

Linux FTP로 Windows AD 로그인  (0) 2022.12.06
DHCP 이중화 [ Active Directory ]  (0) 2022.12.05
리디렉션  (0) 2022.12.02
그룹 정책 [ Active Directory ]  (0) 2022.12.01
[Active Directory ] 메타데이터 삭제  (0) 2022.11.25