VPN Tunneling
VPN은 원본 패킷을 암호화된 터널 안에 넣는다
VPN은 사설망 패킷을 암호화하고 외부 IP 헤더로 다시 감싸 공용 인터넷을 통과시킨다. 외부 네트워크는 VPN 게이트웨이와의 통신은 볼 수 있지만, 터널 안의 목적지와 데이터는 보기 어렵다.
inner packet은 사설 IP와 실제 목적지를 담는다
outer packet은 공인 IP와 VPN 게이트웨이 주소를 담는다
full tunnel과 split tunnel은 라우팅 범위가 다르다
Encapsulation
원본 패킷을 암호화하고 새 패킷으로 감싼다
Inner packet10.0.1.5 → 10.0.2.10, 사설망 목적지와 애플리케이션 데이터
Encrypted tunnelVPN 프로토콜이 inner packet을 암호화하고 인증한다.
Outer packet공인 IP → VPN Gateway, 외부 네트워크가 볼 수 있는 정보
Traffic path
외부에서 보이는 것과 숨겨지는 것
1Client
회사 내부 주소로 가는 패킷을 VPN 인터페이스로 보낸다.
회사 내부 주소로 가는 패킷을 VPN 인터페이스로 보낸다.
2Public Internet
VPN 서버 IP, 패킷 크기, 타이밍 같은 메타데이터는 보일 수 있다.
VPN 서버 IP, 패킷 크기, 타이밍 같은 메타데이터는 보일 수 있다.
3VPN Gateway
복호화 후 사설망 라우팅으로 DB, 내부 API, 개발 서버에 전달한다.
복호화 후 사설망 라우팅으로 DB, 내부 API, 개발 서버에 전달한다.
Full tunnel전체 트래픽 VPN 경유인터넷 트래픽까지 회사 게이트웨이를 거친다. 통제는 쉽지만 지연과
부하가 늘 수 있다.
Split tunnel내부망 트래픽만 VPN 경유사설 대역만 터널로 보내고 일반 웹 트래픽은 로컬 인터넷으로
나간다.
Site-to-site네트워크끼리 연결지사망, VPC, 데이터센터를 라우터 수준에서 묶는다.
보호됨터널 내부의 사설 IP, payload, 내부 서비스 주소.
보일 수 있음VPN 서버 주소, 접속 시간, 트래픽 양, 패킷 타이밍.
운영 포인트라우팅 테이블, DNS, MTU, 인증서/키 관리가 품질을 좌우한다.
핵심: VPN은 “인터넷을 완전히 숨기는 마법”이 아니라, 특정 네트워크 경로를 암호화된 터널로 만들고 그 터널에 어떤 트래픽을 태울지 라우팅 정책으로 정하는 기술이다.