[VPN]WireGuard 설치

 

 

 

 

🚀 WireGuard 설치

    🔽 개요

        📦 소개

지난 시간에 [Network] OPNsense 설치 및 구성 으로 프로젝트를 위해 사용할 UTM을 구성해 보았어요.

OPNsense를 이용해서 WireGuard라는 VPN을 설치할 수 있어 이번 시간에는 해당 작업을 해보려고 해요.

기존에 Synology NAS를 통해 OpenVPN을 사용하여 내부 Server에 접속할 수 있었어요.

하지만, VPN을 연결하게 되면 인터넷이 불안정해지고, Server를 재부팅하면 VPN의 IP가 변경되는 등에 문제로 인해 WireGuard를 한번 설치하고 이용해 보려고 해요.

WireGuard는 OpneVPN보다 빠르고, 보안도 훨씬 더 강화가 되었다고 해요.

지원하는 Client Plaform 은 Windows, Linux, Android, IOS는 물론 각 종 F/W OS까지 거의 모두 지원한다고 합니다.

WireGuard는 Key 교환을 위해 Curve25519를 사용하고, 암호화를 위한 ChaCha20, Data 인증을 위한 Poly1305, Hash Table Key용으로 SipHash, Hashing용 BLAKE2 방식의 Checksum을 사용하며, UDP Protocol을 사용한다고 해요.

WireGuard는 양자 암호화의 향후 발전을 완화하기 위해 포함된 사전 공유 대칭 키 모드를 지원하는데, 단기적으로 공유된 대칭키가 손상되더라도 Curve25519 방식의 키는 충분한 보호 기능을 제공한다고 합니다.

또한 WireGuard는 터널 내부와 외부 모두 IPv6를 완벽하게 지원하며, IPv4, IPv6 모두에 대해 CLASS 3만 지원하고 있고, v4-in-v6 캡슐화 방식을 사용하고 있으며, 반대의 경우도 마찬가지라고 해요.

또한 여러 topologie를 지원한다고 합니다.

WireGuard는 Client가 Data 전송을 시작하기 전에 Client Endpoint를 정의할 필요가 없고, Endpoin는 정적으로 미리 정의할 수도 있어요. 또한, Mash 기능으로 지점 간 연결이 지원되기 때문에 다른 topologie을 만들 수 있지만, 동일한 터널에서는 만들 수 없다고 합니다.

WireGuard는 다른 프로그램 및 스크립트에 의해 확장이 가능하도록 만들어졌어요.
이는 보다 사용자 친화적 관리 인터페이스 (키 설정 용이 포함), Loging, Dynamic F/W Update와 LDAP 통합을 포함한 다양한 기능으로 WireGuard를 보강하는데, 사용되었고, 4000줄 밖에 안되는 적은 량에 Code를 가지고 있기 때문에 구축할 때 상당히 간결하고, 빠르게 작업할 수 있는 장점을 가지고 있다고 합니다.

 

 

 

    🔽 WireGuard

        📦 OPNsense를 통해 Plugin 설치하기

최초 OPNsense 관리자 Page에 접속하여 설정을 해주어야 해요.

System -> Firmware -> Plugins -> Plugins

 

최초 OPNsense 설치 시 Plugin을 사용하려면 Update를 해주어야 해요.

Status Tab으로 이동하여 Check for updates를 눌러 줍니다.

위와 같이 Update가 진행될 거에요.

위와 같이 나온다면 WAN을 통해 외부로 통신하는 것에 문제가 있을 수 있어요.

WAN 설정을 다시 한번 확인해 보아야 해요.

자동으로 Updates로 이동하게 되면 위와 같이 나올텐데, Update를 눌러 Update를 진행해 줄게요.

Update를 하면 재부팅이 된다고 해요.

OK를 눌러 진행해 줄게요.

Update가 완료되면 위와 같이 ***DONE***이라고 나올거에요.

이제 Plugins Tab으로 이동할게요.

Update가 완료되면 여러 Plugin들이 보일텐데, 위와 같이 os-wireguard를 검색해서 설치해 줄거에요.
주니쓰는 이미 설치를 했기 때문에 위와 같이 나오지만, 우측에 + 버튼을 누르면 설치할 수 있어요.

 

 

 

브라우저를 한번 새로고침하면 위와 같이 VPN Tab에 WireGaurd Tab이 생길거에요.
최초 General Tab에서 위와 같이 설정을 해 줄게요.

다음으로 Local Tab으로 이동해서 + 버튼을 눌러줄게요.

 

728x90

그런 뒤 위와 같이 VPN 이름을 적어주고,
Listen Port는 일단 이 곳에서는 51820 (WireGuard 기본 Port)로 해 주었는데, 보안 문제가 발생할 수 있으니
임의의 값으로 바꿔주는 것을 추천해요.

그런 뒤 Tunnel Address에는 Wireguard VPN이 연결되었을때
Client가 할당받는 IP 대역의 Network 주소 대역을 넣어주면 됩니다.

다른 IP랑 충돌나지 않도록 다르게 설정만해주시면 된답니다.

이렇게 설정하고, Save를 눌러 저장을 해 줄게요.

그리고, 다시 연필 모양을 눌러 해당 Page를 열어주면 Public Key와 Private Key가 만들어진 걸 볼 수 있어요.

Public Key는 추후 Client 설정 시 필요하니 따로 적어주는 것이 좋겠어요.

 

 

 

 

        📦 WireGuard Interface 추가

Interfaces -> Assignments

 

위의 Page에 들어가면 WireGuard 용 Interface wg1이 생겨 있을 거에요.
Description에 해당 인터페이스에 간략한 정보를 적어주고, + 버튼을 눌러 Import 해준 뒤 Save를 누르고, Apply 눌러 저장해 줄게요.

 

 

그런 뒤 만들어진 wg1 Inerface 이름을 클릭해 줄게요.

 

 

위와 같이 Enable, Lock Check Box를 활성화 해주고, 저장해 줍니다.

 

 

 

 

        📦 방화벽 정책 추가

이제 방화벽 정책을 추가해서 외부에서 들어오는 VPN 통신을 허용해 줄게요.

Firewall -> Rules -> WAN

 

위와 같이 WAN Page에서 + 버튼을 눌러줍니다.

TCP/IP Version은 IPv4를 사용하기 때문에 IPv4를 선택해 주고,
WireGuard는 UDP Protocol을 사용하기 때문에 UDP를 선택해 주어야 해요.

밑에 내리면 Destination port range가 있는데, 출발지(from) 즉, Client는 어떤 Port를 물고 올지 모르기 때문에 any를 선택하고, 도착지(to)는 WireGuard 용으로 설정한 Port 번호를 작성해 줍니다.

그런 뒤 Save를 누르고 나갈게요.

 

 

 

 

        📦 NAT 정책 추가

Firewall -> Outbound

 

위 Page에서 위와 같이 Hybrid outbound Nat rule generation을 활성화 하고, 저장 해 줄게요.

그럼 중간에 Manual rules가 생기는데, 위와 같이 + 버튼을 눌러줄게요.

반응형

다른 부분은 기본으로 두고, Source address 부분에 VPN 대역으로 묶인 이름을 선택해 줍니다.
그리고, 저장 해 줄게요.

만약 추가 설정이 필요하다면 Destination 부분만 건드려 주면 될 거 같아요.

 

여기까지 하였다면 일단은 OPNsense에서 WireGuard 설치 및 구성은 완료 한 것이에요.

다음에는 이 곳에서 Client 연결 방법에 대해 정리해 보도록 할게요.

[WireGuard] Client 설정