저는 A(제가 거주하는 주)와 B(보조, 1년에 한두 번 방문하는) 두 국가에 VPN을 설정했으며 VPN을 통해 내 장치에 SSH로 연결하고 싶습니다.
내 설정:
국가 A:
- 브리지 모드의 Adsl2 모뎀 > 전용 Pfsense 상자(purevpn에서 구성된 openvpn을 사용하여 dhcp 서버 및 방화벽 역할을 함)
- ASUS 무선 라우터 AP 모드
- 기가비트 스위치
- 네트워크의 나머지 부분은 Tor 릴레이를 실행하는 Pis 및 무선 카메라를 포함한 다양한 장치로 구성됩니다.
국가 B:
- Adsl 2 모뎀이 브리지 모드에 있지 않습니다.
- Linksys e1200 AP(dd-wrt를 사용하여 새로 고침하고 내 purevpn 계정을 사용하여 openvpn을 구성함)
- Pi는 Tor 릴레이를 실행하고 Wi-Fi를 통해 IP 카메라를 연결합니다. 혹시 모르니 무선 범위 확장기도 갖고 있어요.
내가 이미 알고 있는 것:
내 VPN 제공업체는 나에게 전용 IP를 제공해야 하며, 이는 한 달 안에 B 국가로 여행하기 직전에 얻을 수 있습니다.
내가 혼란스러워하는 것은 다음과 같습니다.
각 클라이언트/머신에 대해 두 방화벽의 관련 포트를 개별적으로 전달해야 합니까?
내가 알아야 할 사항:
- 이 설정이 가능한가요? 나는 정기적으로 LAN을 통해 클라이언트에 로그인하지만 다른 나라에서 릴레이와 카메라의 작동을 확인할 수 있으면 좋을 것입니다.
2. A 국가의 설정이 작동하고 테스트되었지만 다음 달까지는 B 국가를 방문하지 않을 것입니다. 하드웨어 및 일반 설정 측면에서 국가 B에 올바른 구성을 사용하고 있습니까? 그곳에 도착할 때까지는 테스트할 수 없고, 도착해도 추가 부품을 구입할 수 없습니다.
PS 추가 정보: 저는 두 국가의 ISP가 제공하는 고정 WAN IP를 가지고 있습니다.
답변1
우선, 고정 IP가 있을 때 VPN을 통해 이러한 장치에 직접 연결하지 않고 VPN 공급자를 통해 연결하는 이유가 약간 혼란스럽습니다. 그런 다음 원격 클라이언트와 LAN 간에 NAT 없이 트래픽을 라우팅할 수 있습니다. (아마도 개인 정보 보호를 위해 이 작업을 수행하는 것 같습니다. 이것이 제가 생각할 수 있는 유일한 이유입니다. 물론 VPN 제공업체가 고정 IP를 설정하는 경우 이는 어떤 방식으로든 개인 정보 보호를 침해하는 것으로 보입니다.)
그럼에도 불구하고 각 방화벽에 방화벽 규칙을 설정하고 각 NAT에 포트 전달을 설정해야 합니다. A 설정에는 pfsense 상자만 있고 B 설정에는 E1200 AP만 있는 것처럼 들립니다. (ADSL 모뎀의 경우에도 마찬가지일 수 있지만 E1200에서 종료되는 VPN으로 이를 우회했습니다.)
따라서 예를 들어 pfsense A 상자를 로 전달하도록 구성 vpn-ip:2222하고 VPN에서 포트 22의 pi로의 트래픽을 허용하도록 방화벽을 구성하면 pi에 액세스 pi-lan-ip:22할 수 있어야 합니다 .ssh -p 2222 vpn-ip
개인 정보 보호를 원한다면 Pi가 sshd를 Tor 숨겨진 서비스로 실행하도록 하는 또 다른 옵션이 있을 수 있습니다. (저는 Tor를 실제로 플레이해 본 적이 없으므로 여기서 설정하는 데 도움을 드릴 수 없습니다.)
이 기능을 활성화하기 전에 모든 비밀번호가 안전한지 확인하고 sshd 구성에서 비밀번호 인증을 완전히 비활성화하는 것을 심각하게 고려하는 것이 좋습니다.