SSL VPN 데몬 동작 원리

✅ SSL VPN 패킷 흐름 개요

SSL VPN은 SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security) 프로토콜을 사용해서 원격 사용자가 인터넷을 통해 사내 네트워크에 안전하게 접속할 수 있게 해주는 기술이다.

🔁 전체 흐름 정리

🎯 전제 조건

• SSL VPN Client IP: 192.168.98.10
• SSL VPN Gateway (Firewall 외부 인터페이스): 192.168.98.254
• VPN 사용자에게 부여된 가상 IP: 172.16.0.10 (SSL 터널 내부 주소)
• 내부망 서버: 30.30.30.30
• SSL VPN Proxy가 수신하는 포트: 0.0.0.0:500

📦 시간대별 패킷 구조 흐름도

📘 예시 환경 기준

• 클라이언트 가상 IP: 172.16.0.10
• 목적지 서버: 30.30.30.30
• SSL VPN Gateway: 192.168.98.254
• 클라이언트 실제 IP: 192.168.98.10
• SSL 포트: TCP 443 또는 500
• 모든 외부 트래픽은 터널 내 암호화됨

🕒 [T1] 클라이언트 → 내부 서버 요청 (앱 레벨: 예: ping 30.30.30.30)

내부 (가상 인터페이스) 패킷 구조

SSL VPN 클라이언트 내 생성된 원래 패킷:

L3: IP Header
  SRC: 172.16.0.10
  DST: 30.30.30.30
L4: TCP/ICMP 등
  데이터: 실제 요청 내용

암호화 후 외부 전송 (터널 밖에서 본 모습)

L3: IP Header
  SRC: 192.168.98.10
  DST: 192.168.98.254
L4: TCP (포트 443 또는 500)
  데이터: [SSL 암호화된 IP 패킷 (172.16.0.10 → 30.30.30.30)]

---

🕒 [T2] Gateway에서 복호화 → 내부망으로 전달

SSL VPN Gateway에서 암호화 해제 후, 내부망으로 다음 패킷 전달:

L3: IP Header
  SRC: 172.16.0.10  ← SNAT 된 클라이언트 IP
  DST: 30.30.30.30
L4: TCP/ICMP 등
  데이터: 원본 요청

---

🕒 [T3] 내부 서버 응답

내부 서버에서 응답을 다음과 같이 생성:

L3: IP Header
  SRC: 30.30.30.30
  DST: 172.16.0.10
L4: TCP/ICMP 등
  데이터: 응답 내용

---

🕒 [T4] Gateway에서 다시 암호화 후 외부로 전달

Gateway는 응답을 터널에 넣어 암호화하여 클라이언트에게 전달:

L3: IP Header
  SRC: 192.168.98.254
  DST: 192.168.98.10
L4: TCP 443/500
  데이터: [SSL 암호화된 응답 (30.30.30.30 → 172.16.0.10)]

---

🕒 [T5] 클라이언트에서 복호화 후 내부 앱에 전달

클라이언트에서 VPN 클라이언트가 복호화하여 OS에 다음과 같이 넘김:

yaml
L3: IP Header
  SRC: 30.30.30.30
  DST: 172.16.0.10
L4: TCP/ICMP
  데이터: 응답

---

🧩 한눈에 보기: 흐름 요약

╔════════════╦════════════════════════════════════════════════════╗
║ 시간       ║ 패킷 구조 요약                                       ║
╠════════════╬════════════════════════════════════════════════════╣
║ [T1]       ║ 클라 내부 생성 → VPN 터널로 암호화 전송                ║
║ [T2]       ║ VPN Gateway 복호화 후 내부망으로 SNAT된 패킷 전송      ║
║ [T3]       ║ 서버 응답 생성 (DST: 172.16.0.10)                    ║
║ [T4]       ║ 응답 암호화 → VPN 터널 통해 클라로 전송                ║
║ [T5]       ║ 클라에서 복호화 후 로컬 앱에 전달                      ║
╚════════════╩════════════════════════════════════════════════════╝

---

🧠 핵심 포인트 정리

• 실제 내부 통신은 항상 가상 IP (172.16.x.x) 기준
• 외부 전송되는 모든 데이터는 SSL로 암호화되어 포장된 형태
• 내부 서버는 클라이언트의 실제 IP를 모름, 가상 IP만 인지
• SSL VPN Gateway가 복호화/SNAT/DNAT/암호화 역할 전부 담당