주식회사 리눅스랩

18/09/2024

KT IDC 에 리눅스 서버를 코로케이션 하고 있는 운영자 님들을 위해 씁니다.

리눅스랩에서 IKEv2 VPN 서비스를 하기위해 운영하는 리눅스 서버가 총 15 대이다. IDC 만 5 군데를 쓰고 있다.

이유는 VPN 을 연결하는 국가 및 통신사마다 한국의 어느 ISP 가 빠른지 다르기 때문이다.
즉 KT, LG, SK 가 다 국제망이 다르므로 세군데 다 서버를 놓기 때문이다.

CPU 는 zeon 을 쓰고 있고 보드는 다 랜 카드가 4 개씩 장착된 서버용 보드이다. 조립은 모두 본인이 직접 했다.

랜카드를 4 개를 써야 될 이유가 있는데 KT 의 경우 물리적인 이더넷 카드 하나당 IP 주소를 하나만 인식하기 때문이다.

IKEv2 의 경우 O/S 별로 인증 방식이 다르므로 서버 하나에 최소 3 개의 IP를 필요로 한다.

물론 MAC VLAN 으로 가상 이더넷 장치를 늘릴수는 있지만 KT 의 경우는 라우터를 리셋하면 MAC VLAN 으로 생성한 IP는 KT 라우터에서 인식을 못해 리눅스 서버에서 KT 라우터로 해당 IP에서 ping 을 쏘아 주어야 한다.

전에 금요일에 아침 일찍 시골로 가는 기차를 타려고 수서역에 갔는데 갑자기 회사에서 일부 서버가 연결이 안된다는 연락이 왔다.

열차 출발 10 분 전에 표를 환불하고 회사에 와 체크해 보니 새벽 두 시에 KT 에서 IDC 전원을 전부 껏다 다시 켠 것이었다.

(리눅스에서 uptime 명령을 주면 몇 시에 파워가 나갔는지 알수 있다.)

사전에 통보를 안 해주니 미리 대비를 못했다.

서버는 전원을 껏다 써도 자동으로 부팅을 해서 문제가 없었으나
KT에서 라우터도 리부팅했으므로 MAC VLAN 에서 할당한 IP를 라우터에서 인식을 못하니 해당 IP에서 KT 라우터로 ping 을 쏘아 주어야 한다.

LG 나 SK 는 이런 문제가 없는데 KT 만 문제다.

리눅스 서버 15 대 중 현재 가장 오래동안 부팅을 않고 사용한 서버는 7 년이 넘었다.

28/03/2024

VPN 과 프록시(proxy)를 명확히 구분 못하는 IT 업계 종사자들이 있는거 같아 여기에 글 올려 봅니다.

*. 국내에서 외국인과 합자로 몇 개 국에 쉐도우 삭스 서비스하는 업체의 홈페이지를 보니 프록시도 VPN 의 일종이라고 버젓이 쓴 글을 보고 여기에 글 올립니다.
아래 글 원문입니다.(약간 수정합니다.)

http://linuxlab.kr/user/bbs.php?bid=3&mid=&uid=11267&page=1&act=view&keyfield=&key=

학문적으로 정확한 답은 VPN 은 OSI 7 계층에서 3 번째 계층인 네트워크 레벨이고 프록시는 7 계층(응용 프로그램) 입니다.

다른 쉬운 설명 없습니다.
아래 글 보십시오.

https://ko.wikipedia.org/wiki/OSI_%EB%AA%A8%ED%98%95

조금 쉽게 애기하면 3 계층은 라우터가 하는 일입니다.
7 계층은 우리가 쓰는 워드, 액셀, 게임 등등 입니다.
아래 설명은 네트워크 비전공자는 이해하기 힘드나
질문을 했으므로 답변 합니다.

네트워크 계층은 라우터처럼 목적지 IP 주소에 따라 경로를
바꾸는 역할만 합니다.

공유기도 여기에 속하는데 단 공유기는 NAT 기능이 하나 더 들어가므로 공유기의 학문적 용어는 NAT 라우터입니다.

따라서 VPN 사용시 VPN 을 적용할지 안할지는 목적지 IP 주소로만
가능합니다.

예를 들어 네이버로 가는 데이타는 VPN 적용을 않으려면 네이버의 IP 주소를 알아야 합니다.
윈도우에서 경로 변경 명령입니다.

route add [목적지 아이피] mask [서브넷 마스크] [게이트웨이] -p

*. 윈도우 전문가 아니면 사용 힘듭니다.
네트워크 계층에서는 프로그램 별로는 경로 설정 (즉 VPN 적용 여부) 불가능합니다.

프로그램은 TCP/UDP 포트 번호를 알아야 제어가 되는데
네트워크 계층은 포트별 제어를 못합니다.
프록시는 7 계층이므로 이 계층에서는 TCP/UDP 포트별로 제어가 됩니다.

특정 앱이 사용하는 TCP/UDP 포트 번호를 알면 그 포트에 대해서 프록시를 적용 않을지 선택 가능합니다.
단 두 앱이 우연히 같은 포트를 사용한다면 그 경우는
구별이 안되므로 둘다 동시 적용 됩니다

재택근무에서 회사 내 사설IP 서버를 집에서 접근하려면 VPN 을 사용해야 합니다. 프록시는 사용 안됩니다. VPN 은 라우터 역할을 하지만 프록시는 안됩니다.

마찬가지로 사설 IP 를 사용하는 본지사를 인터넷으로 연결 해서
사설 IP 끼리 데이타를 주고받으려면 두 가상 IP 네트워크를 VPN 을 사용해서 라우팅 해야 합니다.
프록시는 사용 안됩니다.

프록시의 대표로는 쉐도우삭스(shadowsocks)가 있습니다.

국내 VPN 업체의 절반 이상이 쉐도우 삭스를 서비스하니
앱 별로 VPN 적용 여부를 선택하려면 프록시 사용하십시오.

국내의 쉐도우삭스 서비스 업체 중 하나는 프록시도 VPN 의 일종이라고 홈페이지에 주장하는데 OSI 7 계층도 모르는 회사가 VPN(사실은 프록시)서비스를 하고 있으니 한심합니다.

OSI 모형(Open Systems Interconnection Reference Model)은 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것이다. 일반적으로 OSI 7 계층이라고 한다.

14/02/2022

중국에 본사가 있는 국내 재벌 계열사에 IKEv2 서버 1 년 임대 계약을 갱신했습니다. (7년 정도 되었을 겁니다.)