AWS Client VPN 구성해보기

2025. 4. 12. 19:55ㆍAWS

이번에 회사에서 네트워크 망 분리에 따른 AWS의 SSL VPN을 구성하게 되어 내용을 공유한다.
내용 자체는 크게 어렵지 않고, 여기를 클릭해서 확인할 수 있다.

요약하자면 간단하다.

Client VPN의 특징

보안 연결: OpenVPN 클라이언트를 사용하여 어디에서든 안전한 TLS 연결을 제공한다.
관리형 서비스 : AWS에서 관리하는 서비스이기 때문에, 타사의 VPN 솔루션을 배포하고 관리하는 데 따른 운영상의 부담을 제거한다.
높은 가용성과 탄력성 : AWS 리소스와 On-premiss 리소스에 연결하는 사용자 수에 따라 자동으로 확장된다.
인증 : Active Directory, 인증서 기반 인증 등을 사용하여 클라이언트 인증을 지원한다.
세분화된 제어 : 네트워크 기반 엑세스 규칙을 정의하여 사용자 지정 보안 제어를 구현할 수 있고, Active Directory 그룹 단위로도 구성이 가능하다. 우리에게 익숙한 보안 그룹으로도 제어가 가능하다.
사용 편의성 : 단일 VPN 터널을 이용하여 AWS 리소스와 On-premiss 리소스에 엑세스 할 수 있다.
관리 기능 : 클라이언트 연결 시도에 대한 세부 정보를 제공하는 연결 로그를 볼 수 있다. 그리고 활성화된 클라이언트의 연결을 관리하고 연결을 종료할 수 있다.
심층적 통합 : AWS Directory Service & Amazon VPC를 포함한 기존 AWS Service와 통합된다.

구성

우리는 상호 인증방식을 사용할 예정이여서, AWS 에서도 OpenVPN easy-rsa 유틸리티를 사용해 서버 및 클라이언트 인증서를 생성하라고 한다. 이후 AWS Certificate Manager(ACM)으로 프로비저닝 하거나 가져와야 한다고 한다.

OpenVPN의 easy-rsa는 여기를 클릭하여 사이트의 Release 부분에서 OS에 맞는 내용을 다운로드 한다.

윈도우는 압축을 해제하고 EasyRSA-Start.bat를 터미널에서, Linux 환경에서는 easyrsa를 사용한다.

밑에 내용처럼 입력하자.

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa --san=DNS:server build-server-full server nopass
./easyrsa build-client-full client1.domain.tld nopass

exit

pki\ca.crt, pki\issued\, pki\private\ 폴더를 확인해 ACM에 인증서를 등록한다.