시놀로지 NAS의 PPTP VPN에서 스플릿 터널링 적용하기 (split tunneling)

이따금씩 집 밖에서 노트북을 이용해 집에 있는 NAS 또는 VMWare ESXi를 사용할 때 NAS에 설정해 놓은 VPN을 통해 접속하곤 한다. 그런데 이때 약간 심리적으로 거슬리는 부분이 있다. 외부에서 사용하고 있는 노트북과 NAS 사이에 VPN 터널이 생성될 때 기본적으로 Full Tunneling이 구성된다는 거다.

 

Full Tunneling 이란 ?

외부에서 사용중인 노트북 컴퓨터에서 인터넷을 통해 집에 있는 시놀로지 NAS까지  VPN 터널이 생기면 그 이후 노트북에서 이루어지는 모든 인터넷 접속 등 통신이 모두 (Full) 터널을 통해 집에 있는 NAS를 거쳐 다시 인터넷으로 나간다는 이야기다. 즉 모든 통신이 VPN 터널을 통해 이루어지고 노트북에 연결된 기본 인터넷 회선을 통해 NAS를 거치지 않고 인터넷을 사용할 수 없다는 의미다.

 

이런 풀 터널링은 "정보보안"에서 매우 중요하다. 회사 외부에서 VPN을 통해 회사의 정보시스템에 접속하는 것은 인터넷과의 연결이 제한되어야 하는 회사의 네트워크가 인터넷과 별다른 통제 없이 연결된다는 것과 같기 때문이다. 때문에 회사의 네트워크에 VPN을 통해 연결되는 시점에 해당 컴퓨터의 인터넷 접속트래픽을 모두 회사 네트워크를 통하게 하여 회사에 위치한 업무용 컴퓨터와 동일한수준의 인터넷 접속 통제를 하는 것이 바람직하다고 보는 것이다.

 

시놀로지 NAS에서 PPTP 등의 VPN 서버를 설정하면 기본적으로 Full Tunneling이 되도록 VPN이  구성된다.

 

Split Tunneling 설정하기

하지만 집에 있는 NAS나 다른 IOT 기기에 접속하기 위해 개인적으로 VPN 을 사용하는데 궂이 Full Tunneling을 할 필요는 없다. 개인적으로 매우 중요한 정보가 있다면 모르겠지만 말이다.

 

이 포스트에서는 시놀로지 NAS에 PPTP VPN서버를  설정하고 VPN 클라이언트로 사용되는 윈도11 자체의 VPN 설정을 이용해 구성된 PPTP VPN에서 Split Tuneling을 적용하는방법에 대해 설명한다. (Windows 10도 대동소이함)

 

먼저 다음과 같이 Synology NAS의 VPN 서버에서 PPTP VPN을 설정하여 사용하고 있다.

시놀로지NAS의 PPTP VPN설정
Synology NAS VPN Server의 PPTP 설정

 

VPN IP대역은 172.16.1.0/24 네트워를 사용한다.

 

이렇게 IP대역이 설정한 상태에서 Windows 11에서 VPN 설정 후 NAS의 VPN 서버에 접속하면 다음과 같이 172.16.1.X의 IP가 할당되며 PPP 어댑터가 생성된다.

시놀로지 VPN 서버에 접속한 PC의 PPP 어댑터

 

DS220PLUS가 바로 Windows에서 설정한 VPN 프로파일 이름이다.  이렇게 VPN 설정을 해두면 윈도의 네트워크 환경에 PPP 어댑터가 생성된다. 이 정보를 찾아들어가야 한다.

 

Windows 11의 경우 네트워크 및 인터넷 정보에 들어가면 이런 화면이 보인다. 

 

 

맨 하단의 고급 네트워크 설정으로 들어간다.

 

아직 멀었다.

고급 네트워크 설정

 

맨 하단의 기타 네트워크 어댑터 옵션을 클릭한다.

 

드디어 눈에 익숙한 네트워크 어댑터 정보가 보이는 창이 보인다.

네트워크 연결 - 어댑터 정보

 

윈도의 VPN 설정에서 PPTP VPN 설정을 추가하면 위 화면처럼 "WAN Miniport(PPTP)" 어댑터가 생성되고 VPN 연결 이름이 표시된다. 물론 물리적으론 존재하지 않는 가상의 어댑터다. 위 화면에서 상태가 "연결끊김"인 이유는 VPN 연결이 되지 않았기 때문이다. 만약 연결한 상태라면 연결을 끊고 작업하는 것이 좋겠다.

 

VPN 연결 이름의 WAN Miniport (PPTP)에서 마우스 우클릭을 통해 "속성" 창을 실행시킨다.

 

역시 친숙한 창이 보인다. 

어댑터 속성

 

이 창에서 "인터넷 프로토콜 버전 4(TCP/IPv4)"를 선택하고 "속성" 버튼을 누른다.

 

속성 창이 실행되면 하단의 "고급(V)..." 버튼을 누른다.

 

고급 설정

 

드디어 다 왔다. "원격 네트워크에 기본 게이트웨이 사용" 에 v 체크를 아래 화면처럼 해제한다. 문장의 의미 자체는 조금 난해할 수 있다.

풀 터널링 해제하는 창

 

여기서 "원격 네트워크"는 PPTP VPN을 연결했을 때 네트워크 즉 172.16.1.0/24가 아닌 그 이외의 네트워크를 의미한다. 쉽계 말하자면 VPN을 연결했을 때 할당되는 172.16.1.X의 IP 이외의 IP 모두를 말한다.

다음으로 "기본 게이트웨이'는 PPTP VPN 네트워크의 기본네트워크 즉 172.16.1.0을 말한다.

종합하면 목적지가 172.16.1.0/24의 IP가 아닌 패킷들을 이 기본 게이트웨이로 보내지 않고 PPTV VPN 연결 이전의 게이트웨이로 보낸다는 의미로 이해해도 된다.

 

다른말로 하면 이 옵션을 해제하는 것은 PPTP VPN 연결 이전의 기본 게이트웨이를 VPN 연결 이후에도 그대로 사용하겠다는 의미다.

 

이렇게 옵션을 해제한 뒤 PPTP VPN을 연결하고 윈도의 라우팅 테이블을 보면 다음과 같다.

.

Full Tunneling 해제 후 VPN 접속 시 라우팅 테이블

 

기본 게이트웨이가 PPTP VPN 연결 이전의 게이트웨이인 10.10.20.1 로 변경되거나 추가되지 않았다. 시놀로지 NAS의 PPTP VPN 서버에 VPN 연결 후 추가된 라우팅 정보는 두번째 상자, 네트워크 대상(목적지)이 172.16.0.0/255.255.255.0 인 패킷을 172.16.1.0 으로 보내라는 라우팅 정보와 자기자신을 의미하는 바로 다음 라인의 라우팅 정보 딱 두줄이다.

 

홈 네트워크로 가는 라우팅 정보 추가

문제는 여기서 발생한다. 시놀로지 NAS가 위치한 집의 네트워크는 192.168.219.0/24다. 그런데 집을 제외한 다른 웹사이트는 다 접속이 되지만 집에 있는 VMWare나 IOT기기에 에 접속이 안된다. 그 이유는 집의 VMWare와 IOT기기들은 192.168.219.0/24 대역의 IP를 갖고 있기 대문이다. 즉 홈 네트워크(192.168.219.0/24)를 네트워크 대상(목적지)로 하는 패킷을 게이트웨이 인 NAS의 IP, 172.16.1.0 으로 보내줘야 하는데 그런 역할을 하는 라우팅 정보가 없기  때문이다.

 

그래서 다음과 같이 라우팅 정보를 윈도의 라우팅 테이블이 넣어줘야 한다.

 

Windows에 라우팅 정보 추가

 

이 route 명령의 의미는 목적지IP 대역이 192.168.219.0/24 (즉 집~)인 패킷은 172.16.1.1 (자기자신)으로 보내라는 의미다. 이 명령을 수행하면 라우팅 테이블은 다음과 같이 변경된다.

 

수정된 라우팅 테이블

 

172.16.1.1로 보내진 패킷은 172.16.0.0/16의 기본 게이트웨이인 172.16.1.0 즉 NAS로 보내진다. 이후 NAS에는 목적지가 192.168.219.0/24인 패킷에 대한 라우팅 정보가 있기 때문에 알아서, 잘~ 처리되는 것이다.

 

이후 에는 집에 있는 IoT기기나 VMWare ESXi의 가상머신 등에 잘~ 접속이 된다.

 

그리고 이후에는 네이버, 다음 등 포털과 기타 인터넷에 있는 웹사이트 등에 접속할 때 트래픽이 집으로 들어갔다 다시 나오는 과정을 거치지 않게 된다. 

 

 

 

#PPTPVPN #SynologyVPN #시놀로지VPN #스플릿터널링 #풀터널링

댓글(0)

Designed by JB FACTORY