AWS(nginX)와 내부 서버를 reverse proxy로 연결하기(2)

앞서 게시한 글에 이어서 설정하는 법을 진행해 봅니다.

(이전 글 : 2018/07/30 - [Server/AWS] - AWS(nginX)와 내부 서버를 reverse proxy로 연결하기)

* 설정순서 1. 내부 네트워크에 있는 서버에 openVPN, easy-rsa를 설치 및 구성 2. EC2에 openVPN 설치 및 구성 3. EC2에 프록시 서버 역할을 할 nginX 설치 및 ssl 구성 4. 사내 방화벽(FG-60E)에서 내부서버로 포트포워딩 설정 5. iptables 설정 6. openVPN 연결 확인

2. EC2에 openVPN 설치 및 구성

우선, openvpn과 easy-rsa를 설치를 합니다.

#  sudo yum install openvpn

easy-rsa의 경우에는 yum install easy-rsa로 하였을 경우 “No package easy-rsa available.“이 떠서, 파일을 받아서 설치를 하였습니다.

#  wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.3/EasyRSA-3.0.3.tgz # tar -xvzf EasyRSA-3.0.3.tgz # sudo mv EasyRSA-3.0.3 /etc/openvpn/easy-rsa/

압축을 풀어준 다음, /etc/openvpn 하위의 폴더로 옮깁니다.

설치 후에, 서버와 마찬가지 방법으로 /etc/openvpn에 keys 폴더를 만들고, 설치한 easy-rsa폴더를 /etc/openvpn/easy-rsa로 복사를 해 놓습니다. 그리고 openvpn 서버에서 생성한 image.tlsauth와 ca.crt를 /etc/openvpn/keys에 옮깁니다.

그 후, easy-rsa로 이동하여 인증서 요청파일(req)를 만듭니다. (nopass 옵션은 선택입니다.)

#  ./easyrsa gen-req image.client [nopass]

생성된 image.client.req 파일을 openvpn서버(146)의 /etc/openvpn/easy-req/pki/reqs 디렉토리에 옮겨놓습니다.

그 후, 명령어를 통해서 CA서버에 클라이언트 요청서를 등록합니다.

#  ./easyrsa import-req ./pki/reqs/image.client.req image.client # ./easyrsa show-req image.client # ./easyrsa sign-req client image.client

위의 과정을 순서대로 진행하고 나면, image.client.crt 파일이 생기는데 이 파일을 /etc/openvpn/keys/에 옮겨주면 인증서 관련 설정은 마무리가 됩니다.

openvpn 기동시 필요한 client config 파일까지 만들어주면 끝이 납니다.

#  vi image.conf ----------------------------------- image.conf ------------------------ # client dev tun proto udp port 1194 remote [openVPN 서버 IP주소] tls-client key /etc/openvpn/keys/image.client.key cert /etc/openvpn/keys/image.client.crt ca /etc/openvpn/keys/ca.crt cipher AES-256-CBC tls-crypt /etc/openvpn/keys/image.tlsauth verify-x509-name myvpn.server name topology subnet pull

config 파일까지 마무리가 완료 되면 다음으로 서버를 설치합니다.

-- 이전 정리해놓은 글을 블로그에 게시하는부분이라 누락되어 있는 부분이 존재할수 있으니, 혹시 궁금하신 부분이 존재하면 댓글 남겨주세요.