- SSTP (Secure Socket Tunneling Protocol) : 가상 사설망 중 하나로 보안이 가장 뛰어나다.
- 먼저 PPTP 환경을 먼저 설정 해준다. (https://insoobaik.tistory.com/11)에 PPTP 관련된 내용이 있다.
- 기본 구성은 위의 사진과 같이 할 것이다.
- PPTP 구성을 마쳤으면 SSTP 구성을 해볼 것이다.
- 이 페이지 다음을 누르게 되면 컴퓨터 이름을 바꾸면 안된다.
- 설치가 완료되면 스냅인에서 인증서를 추가한다.
인증서 추가시 내 사용자 계정, 컴퓨터 계정(로컬) 두가지를 생성해준다.
- 이제 실행창에서 http://서버 ip/certsrv (Client랑 연결되어 있는 곳)으로 접속한다.
- 우측 상단에 톱니바퀴를 클릭 -> 인터넷 옵션 -> 보안으로 들어간다.
- 인터넷에서 사용자 지정 수준을 들어간다.
- 스크립팅하기 안전하지 않는 것으로 ~~~ 항목을 사용으로 변경해준다. (경고문구는 일단 확인 해준다.)
(원래 보안상 사용하면 안되지만 실습을 위해 사용으로 임시로 변경한다.)
- 다음으로 신뢰할 수 있는 사이트도 마찬가지로 작업해준다.
- 다시 이 화면으로 돌아와서 인증서 요청을 누른다.
- 고급 인증서 요청을 누른다.
- 이 CA에 요청을 만들어 제출합니다를 누른다.
- 다음과 같은 화면이 뜰 것이다.
(이름(컴퓨터 이름), 국가 (kr), 필요한 인증서 종류(서버인증인증서), 키를 내보낼수 있게 표시 체크 -> 제출을 해준다.
- 이 화면이 출력 된다면 정상적으로 발급이 완료가 된 것이다.
- 실행창에서 certsrv.msc을 실행 시킨다.
- 보류중인 인증서 요청에 들어가서 인증서를 우클릭 -> 모든 작업 -> 발급을 누른다.
- 발급하게 되면 다음과 같이 사라질 것이다.
- http://192.168.100.10/certsrv/로 다시 돌아와서 보류 중인 인증서 요청 상태 확인을 누른다.
- 새 인증서 설치가 완료되면 (인증서 - 현재 사용자) 콘솔로 간다.
개인용 -> 인증서 -> 인증서 우클릭 후 모든 작업 -> 내보내기를 누른다.
- 파일을 원래는 본인만 아는 위치에 저장해야 하지만 실습을 위한 것이니 찾기 쉬운 곳에 저장한다.
- 인증서 저장을 마쳤으면 인증서(로컬 컴퓨터)에서 작업을 해준다.
인증서(로컬 컴퓨터) -> 개인용 -> 인증서 -> 용도칸에 <모두>라고 적혀있는 것은 전부 삭제 -> 흰 바탕에 우클릭 -> 모든 작업 -> 가져오기 -> 아까 자신이 저장한 인증서를 가져온다.
- 인증서 확장 파일이 .pfx이기 때문에 확장자를 바꾸게 되면 인증서가 보일 것이다.
- 인증서가 (로컬 컴퓨터)로 온 것을 확인할 수 있다.
- 다음으로 Client에 해당하는 컴퓨터로 가서 작업을 해준다.
- 실행창에 http://192.168.100.10/certsrv(http://서버 ip/certsrv)를 입력해준다.
- CA 인증서, 인증서 체인 또는 CRL 다운로드 클릭한다.
- CA 인증서 다운로드로 인증서를 다운 받는다. (기억할 수 있는 원하는 위치에 저장한다.)
- 인증서(로컬 컴퓨터) 콘솔을 생성한다.
- 인증서 (로컬 컴퓨터) -> 인증서 -> 신뢰할 수 있는 루트 인증 기관 우클릭 -> 모든 작업 -> 가져오기 -> 다운로드한 인증서를 가져온다.
- 맨 위에 인증서가 생성된 것을 알 수 있다.
- server와 마찬가지로 인터넷 옵션 - 보안에 들어가서 설정을 해준다.
- ncpa.cpl로 들어가서 VPN 연결을 끊어준다.
- 속성 -> 보안 -> SSTP로 변경한다.
- 다시 연결한다.
- 첫번째 오류의 원인 : 엑세스 허용이 되어 있지 않다. -> NPS 이용한 필터링 (SSTP)
- 해결 방법 : server 컴퓨터의 로컬 사용자 및 그룹(lusrmgr.msc)로 가서 administrator 더블 클릭 -> 전화 접속 로그인 -> nps 네트워크 체크
- 원격 액세스 로깅 및 정책 우클릭 -> nps 시작
- 네트워크 정책 우클릭 -> 새로 만들기
- 원하는 정책을 설정해주면 된다.
- 이후 라우터 재시작 -> VPN 다시 연결
- 오류 해결 방법
- VPN이 한번에 연결되면 좋겠지만 여러가지 오류가 뜨는 경우가 있다. 아래 모든 오류의 상황과 그에 대한 해결 방법이 명시되어 있다.
- 오류 1
- 원인 : 위의 내용 그대로 인증서의 CN 이름과 전달된 값이 다르기 때문이다.
- 해결 방법 :
1. 클라이언트의 VPN 연결 프로그램 우클릭 -> 속석 -> 일반탭 클릭 -> 대상 호스트 또는 IP 입력란에 IP(10.10.10.100)을 지우고 server 컴퓨터 이름을 작성(2012a)
- 오류 2
- 원인 : SSTP로 접속하기 위해서는 기본 레지스트리 값이 필요하다. SSTP/L2TP/PPTP 중에 하나라고 명시해야 접속이 가능하다. 기본적으로 존재 하지 않는다.
- 해결 방법 :
Client에서 실행창에 regedit을 입력한다.
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
SstpSvc
Parameters 에서 우클릭 후 새로 만들기
DWORD(32비트) 선택 후 이름은
NoCertRevocationCheck 입력 후 값 1 입력
- 오류 3
- 원인 : 비정상적인 접속 때문에 캐쉬가 남아있기 때문이다.
- 해결 방법 :
1. VPN 접속 인터페이스 삭제 후 새로 만든다.
2. 접속 인터페이스 - 보안 - 다음 프로토콜 사용 클릭 - CHAP version 2 클릭
- 오류 4
- 원인 : 인증서의 이름(컴퓨터 계정) 과 매핑된 전달한 값(서버의 IP Address)이 일치되지 않을 때 생기는 오류다.
- 방법 : client(접속할려는 컴퓨터)의 hosts 파일로 가서 직접 매핑 한다.
hosts 파일의 경로는 c:\windows\system32\drivers\etc\hosts 이다.
hosts 메모장으로 연 다음(관리자 권한) 맨 아래 아래와 같이 입력한다.
10.10.10.100(server 컴퓨터 IP) 2012a(server 컴퓨터 이름)
- 위의 방법을 마친다음 다시 VPN을 연결하면 연결 되는 것을 볼 수 있다.
'Network > WindowsServer' 카테고리의 다른 글
Windows Server 2019 - DHCP (0) | 2022.03.28 |
---|---|
server - DFS (0) | 2022.02.04 |
server - VPN (PPTP) (0) | 2022.01.20 |
server - 그룹 정책 (0) | 2022.01.19 |
server - 할당량 (0) | 2022.01.19 |