KT 모바일 망에서 PPTP VPN이 먹히지 않는다 (?!) by 파란오이


예전엔 거들떠도 안봤지만, 한 번 맛을 보니 편리함에 취할 수밖에 없는 게 VPN입니다. VPN 터널만 하나 뚫어놓으면 외부로 해놓아야 할 서비스들의 포트 포워딩이 거의 필요가 없어지죠. 큰 보안 문제 없이 밖에서도 CIFS 공유 폴더를 쓸 수 있다거나, RDP 포트를 열지 않고 내부 서버에 접근한다든가, 혹은 믿음이 안가는 외부 wifi에서 최소한의 연결 보안을 확보할 수 있다거나 뭐 여러가지 있습니다. 저도 덕분에 집에 있는 대부분의 서비스를 외부에서는 VPN을 써서 하는 걸로 하기로 했습니다.

지금까지는 IPTIME 공유기의 PPTP VPN 기능을 쏠쏠하게 잘 썼습니다. 별다른 설정 없이 잘 되니까 제일 좋죠 뭐...접속하자마자 내부 네트워크에 잘 붙고, 별다른 설정도 없고, 어차피 공유기는 맨날 켜져 있는거니 별도로 서버 놓을 필요도 없고 장점이 많습니다. 문제는 이 PPTP가 보안적 약점 뿐 아니라, 최신 맥이나 iOS 환경에서는 퇴출되었다는 점, GRE 프로토콜의 지원이 시원찮은 공유기가 의외로 아직 남아있다는 점 등이 있었습니다.

.........그리고 새로운 약점이 이번에 추가. 아무래도 KT가 무선망에서 이걸 막은게 아닌가 좀 수상합니다. 아직도 지독하게 쓰고 있는 KT 3G 테더링을 사용할 때, SKT에서는 잘 되는 PPTP VPN 접속이 KT에선 튕기더군요. 방화벽인가 이것저것 해봤지만 결론은 의외로 회선을 바꾸니 잘 됩니다 (.....)

그리고 생각보다 L2TP VPN 구축할 만한 게 윈도우에선 은근 잘 없습니다.


1. PPTP VPN은 참으로 편리하게 쓸 수 있는 물건입니다. 별다른 설정 없이도 중급형 정도 되는 공유기면 다들 기능이 들어 있고, 윈도우나 안드로이드에서 별다른 설정 없이 바로 쓸 수 있죠. 물론 맥이나 iOS 최신버전들에서는 지원을 빼 버렸지만 말이죠. 그리고 공유기가 보통 회선 제일 앞에 붙고 매일 켜져 있어서, 별다른 서버 없이도 쓸 수 있습니다. 예를 들어, 시놀로지 NAS의 VPN 스테이션을 따로 쓰면, 여기에 VPN 접속하면 슬립모드의 NAS를 깨웁니다. 

지금까지는 IPTIME A2004 공유기의 PPTP VPN을 사용했습니다. 물론 성능이 좀 구리고, 접속 지연 등도 있고, 종종 튕기지만 제일 편하니까요. 뭐 그럭저럭 접속 되면 쓸만은 했습니다만, 이제 아예 접속이 잘 안됩니다. 밖에 나가서 공유기들이 GRE 프로토콜을 잘 못처리하거나 포트를 아예 막아놓거나 하면 사용할 수 있는 방법이 없어집니다. 

그리고 최근 KT의 3G 망에서 PPTP가 아예 막힌거 아닌가 좀 의심됩니다. 노트북에 방화벽 다 끄고 해도 안되더군요. 그러다가 마지막 방법으로 SKT걸 물려보니 바로 접속됩니다. 이런 허무함이란 (.....................................)


2. 문제를 알았으니 이제 해결을 해야죠. 이 KT 3G 망에서 L2TP는 또 잘 붙습니다. 회사의 원격지 시놀로지 NAS에 구축해놓은 L2TP는 잘 되는 거 보니 이건 쓸 수 있겠다 싶습니다. 집에서 이걸 써서 내부망에 접근해서 꿀빨고 하려면 따로 서버가 필요해서 좀 뼈아프지만, 사실 맨날 켜놓는 서버가 있긴 있습니다. 저전력도 아니지만 일단 컴퓨터를 너무 빡세게 굴리는 건 지양해야겠죠.

일단 L2TP 서버를 구축하려면 몇 가지 방법이 있겠습니다. 적당히 구글링해 보니 공유기나 NAS를 사용하거나, 리눅스, 윈도우 서버 기반이 많고, 보통의 윈도우 클라이언트 버전에서 서버 구축용 소프트웨어는 잘 보이지 않습니다. 그래서, 리눅스나 윈도우 서버, 혹은 짱깨놀로지를 VM으로 올려서 써야 되나 싶었는데, 괜찮은 방법을 찾았습니다. 그 유명한 Softether VPN Server 입니다. 리눅스와 윈도우 버전이 있는데, 전 윈도우 10 위에서 썼습니다.

설치하고 나면 사실 설정 방법 자체는 리눅스나 윈도우나 비슷하고, 꽤 다양한 기능을 제공하는데 당장 제가 필요한 건 L2TP VPN 접속 하나뿐입니다. 그래서 아주 심플하게 설정했습니다. 스탠드얼론 서버 모드에 버추얼 허브 하나, 계정은 한 개, VPN 서비스는 L2TP 하나만 켜고, 세션 수 정도만 적당히 제한, 그리고 로컬 브릿지 세팅을 넣었습니다. 이러면 일단 들어와서 접속을 물면 IP는 공유기의 DHCP 서버에서 받게 되어서 아무 것도 신경쓰지 않고 쓸 수는 있는 구조입니다.

SecureNAT 설정이 정석이긴 한데 공유기 뒤에서 포워딩해서 자체 서버 쪽으로 포워딩, DHCP 서버를 또 굴려서 IP를 받고 하면 네트워크 분리와 보안상으로는 좋긴 한데 포워딩 룰이 좀 꼬였습니다. 푸는 방법은 포워딩을 PC가 아닌 가상의 SecureVPN 호스트 인터페이스의 IP로 직접 하면 될 듯 한데, 로컬 브릿지 설정 이후에나 생각나서 귀찮아서 관뒀습니다. 잘 돌면 됐지 뭐...사실 성능에서는 로컬브릿지 세팅이 좋다고 합니다.

그리고 로컬 브릿지에서 VLAN Transparency 기능이 지원되는 인텔 등 몇몇 랜카드들에서 이 기능을 쓰면 트래픽 오프로드도 된다고 하던데, 아쉽게 제가 현재 쓰는 ASUS B150M-A 는 리얼텍 이더넷입니다. 진지하게 집에서 놀고 있는 애즈락 B250M Pro4로 다시 바꿀까도 고민했습니다. 인텔 이더넷 쓰거든요 (....). 암호화 부분에서 AES-NI 가속도 쓸 수 있는데 지금 쓰는 시퓨는 스카이레이크 펜티엄 G4400...AES-NI가 안되는 줄 알았더니 인텔 ark에서는 의외로 된다고 표기가 되어 있고, 실제로 활성화도 됩니다. 



3. 정말 약간의 공부 이후 날림으로 설정하고 나서 접속 테스트, 일단 잘 붙는 거 같습니다. 요즘 대세가 여러 모로 L2TP라고 하니 뭐 이쪽으로 넘어가는 것도 좋겠죠. 아, 방식은 이것저것 인증서 퍼나르기 귀찮아서 그냥 PSK 방식으로 했습니다 (....)

물론 윈도우 클라이언트도 추가 설정이 필요합니다. 라우터 뒤에 붙는 L2TP 서버를 라우터 뒤에 붙는 클라이언트가 접속하려면 레지스트리의 기본 캡슐레이션 설정을 바꿔줘야 되죠. 이거야 저번에 한 번 언급하기도 했고...



4. 최근 중국이 인터넷을 걸어 잠그고, VPN을 막고 있다는 소리도 들리는데, 막상 출장 가면 이제 강제로 통신단절의 편안함과 초조함을 느낄지, 이런 VPN 가지고 비벼 볼지의 선택의 시간이 오는 것 같습니다. 물론 진짜 중국이 다 틀어막겠다 하면 L2TP까지도 충분히 막힐 가능성 있다고 보고는 있습니다. 역시 그러면 클라이언트를 설치해야 하는 OpenVPN 마개조밖에 방법이 없나...싶기도 합니다. 애초에 OpenVPN 갈까 했다가 클라이언트 설치 안하고 운영체제 기본으로 해 볼 수 있어서 L2TP 정도로 타협한 건데 말이죠.

모바일 망에서 VPN이야 말도 많고 탈도 많고 하지만, 뭐 이렇게 슬슬 PPTP의 시대는 확실히 저물고 있나 싶기도 합니다. 사실 별 상관 없어 보이긴 하지만...

덧글

  • ㅇㅇ 2017/08/30 22:32 # 삭제

    요즘 보안용 vpn 서비스들이 탐나더군요

    컴맹이라 포트포워딩이나 그런쪽은 모르겠지만 단순 보안이유로요

    근데 공유기를 vpn서버로 쓰는건 공유기쪽이 털릴까봐 좀 무서울거같네요

    유료vpn솔루션들은 매달 돈이 나가는게 두렵고.. 결국 공용wifi같은건 안쓴지 몇년 된거같은느낌일까요
  • 파란오이 2017/08/31 09:19 #

    사실 그래서 털려도 다른 네트워크로 못들어오게 하는게 softether의 securevpn 입니다. 실상은 망분리죠.
    L2TP쯤 되면 PSK도 ID/PW/시큐어키 세가지 조합이라 꽤 힘들어집니다. 아예 인증서 기반으로도 가능하고 말이죠,
  • 나인테일 2017/08/31 00:49 #

    PPTP를 일부러 막는다는건 중국 같은 막장이 아닌 이상 있을 수 없는 일이겠죠. 아마 회선 에러가 아닐까 싶습니다.
  • 파란오이 2017/08/31 09:22 #

    뭐 예전 와이브로나 이런데서도 사례가 있었던 듯 합니다. 당장 핸드폰과 노트북 연결방식이나 방화벽 등 전부 체크하고 SKT 회선으로 동일 체크했는데 KT쪽은 전부 안되고 SKT쪽은 전부 되면 이건 회선 차원의 문제라 봐야...

    에러라고 해도 손 못대면 뭐 막힌거죠 (...) 정책 차원의 이야기일수도 있겠다는 느낌도 있습니다만 iOS 10 기반 디바이스에서 다이렉트로 PPTP를 붙여볼 방법도 없죠.
  • XeO3 2017/08/31 11:23 #

    일본 도코모도 PPTP접속이 안되더군요.
    뭔가 회사 정책이랑 관계있는듯 합니다.
  • 파란오이 2017/08/31 15:09 #

    사실 이 VPN이 패킷 모니터링을 꽤 무력화하는지라 mVoIP 카운트같은거 깐깐하게 하는 데서는 꽤 눈에 가시같은 존재일 듯 싶습니다.
  • 다져써스피릿 2017/08/31 18:50 #

    PPTP가 L2TP나 OpenVPN 같은거랑 비교하면 보안상 너무 취약해서 이제는 버리는 패여야 한다...가 어차피 정설인듯 합니다만,
    그래도 KT가 고갱님의 그런 보안상 이유로 PPTP를 막았다고 보는건 무리이긴 하네요ㅎㅎㅎ
  • 파란오이 2017/08/31 20:12 #

    뭐 굳이 이유를 찾자면 고갱님의 이유보다는 자기들의 관리나 과금 이유 등으로 47번 포트 gre 지원만 빼버리지 않았겠나 싶습니다. SDN 형태로 리스트럭처링 되는 과정에서 의외로 저거 지원이 꽤 많이 번거롭다고도 합니다.
  • 손님 2017/12/16 20:21 # 삭제

    지나가다 검색으로 동일한 증상을 겪고 계시길래 덧글을 남겨봅니다.
    아무래도 KT가 모바일망에서 뭔가 막기 시작한게 맞는것 처럼 보입니다 ㅠㅠ

    분명 잘만 사용하던게 꼭 KT 모바일 망에서만 붙질 않더군요
    요즘들어 VOIP도 막기 시작한거같고... 점점더 힘들어지네요
  • 파란오이 2017/12/19 23:26 #

    요즘 KT 모바일은 품질이나 이런 면에서 전부 영 마음에서 점점 떠나는 느낌입니다 (...)
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

최근 포토로그