VPN: Netbird

#Proxy

Netbird는 VPN 구축에 사용되는 프록시 도구 중 하나다. tailscale의 경쟁자로 빠르게 부상했다.
Go로 만들어져있고, BSD 라이센스의 오픈소스다.

클라우드 서비스를 제공하지만, 기본적으로 오픈소스라서 Self-Hosted 구축도 가능하다.

기본 원리

기본적인 논리는 그다지 어려울 것은 없다.
여러개의 Peer(컴퓨터)가 단일 netbird를 중계기로 삼아 연결되는 것이다.

등록된 Peer들은 netbird에서 할당한 전용 IP들을 갖는다.

그러면 Peer들끼리는 Netbird 서버를 중계기로 삼아서 Peer ID를 통해 서로 통신할 수 있게 되는 것이다.

이 통신은 하드웨어 환경에 따라서, hole punching으로 직접 통신을 할 수도 있고, netbird를 relay로 삼아서 간접 통신을 할 수도 있다. 아무튼 핵심은 Peer끼리 은밀한 통신을 수행할 수 있다는 것이다.

vs Tailscale

netbird의 가장 강력한 경쟁자는 전통의 강자인 tailscale이다.
https://blog.naver.com/sssang97/224169470281
netbird가 후발주자라서 그런지 tailscale에 비하면 안정성이나 구현 수준에서 모자란 모습을 좀 보여준다.
특히 Android를 비롯한 앱 환경에서는 기능이 불완전하다는 것이 지금도 계속 지적되고 있다.

하지만 완전한 오픈소스라는 것이 가장 강력한 장점이고, 타사에 의존하지 않고 비용/보안 독립적으로 VPN 중계기를 구성할 수 있다.

비용 (Cloud)

https://netbird.io/pricing
이것도 tailscale과 마찬가지로 매우 널널하고 후한 무료 사용량을 제공해준다.

Free Plan의 경우에는 팀 계정을 5개까지 등록할 수 있고, 기기 제한은 100개다.
tailscale이 계정 제한이 3개라는 것을 생각하면 꽤 괜찮다.

팀 플랜은 유저 한명당 월 5달러.
비즈니스 플랜은 유저 한명당 월 10달러다.

팀에 속한 유저당 비용이 주된 비용 발생 지점이고, 트래픽에 대한 비용 과금 구조는 없다.
중소규모 조직에서는 무료로도 괜찮게 사용할 수 있을 것이다.

설치

설치는 간편하게 제공된다.
https://app.netbird.io/install

Windows는 인스톨러를 통해 설치 가능하고, Mac, Linux에서는 커맨드로 설치할 수 있다.

# MacOS
brew install netbirdio/tap/netbird

# Linux
curl -fsSL https://pkgs.netbird.io/install.sh | sh

그 이후에는 다음 명령을 사용해서 초기 세팅을 완료할 수 있다.

sudo netbird service install
sudo netbird service start
netbird up

netbird up을 치면 로그인 창 뜨면서 로그인을 요구한다.

그럼 타고 들어가서 적절히 로그인을 하면 된다.
유의할 점은, 이렇게 UI로 로그인하는 것은 인증에 만료 시간이 있다는 것이다.

그래서 이건 통신이 끊겨도 되는 일시적 client인 경우에만 유효하고, 실제로 서비스에 적용할 때는 API Key를 발급받아서 그걸로 up을 해야한다.

사용

netbird 등록이 잘 됐다면, status 명령을 통해 피어의 연결 상태를 확인해볼 수 있다.

내 netbird IP도 할당되어있고, 다른 peer들도 더 있다는 것이 뜬다.

d 플래그를 주면 더 상세하게 peer 목록 정보를 조회할 수 있다.

보안 옵션을 포함한 고급 제어들은 전용 netbird 콘솔 화면에서 처리할 수 있다.
대부분의 액션에는 관리자 권한이 필요하다.

아무튼 peer가 등록이 되었다면, 상기했듯이 Peer IP를 통해 다른 Peer와 소통할 수 있다.
peer를 아무거나 하나 잡고 ping을 날려봤다.

이렇게 잘 간다면, 연결 자체는 잘 엮였다는 것이다.
그럼 이제 저 IP를 써서 HTTP API를 날리거나 하는 이런저런 네트워크 통신을 다 쓸 수 있다.

ssh

netbird는 SSH 연결도 지원한다. 만약 현재 장비를 ssh로 들어올 수 있게 구성하고 싶다면, up을 할때 플래그를 활성화하면 된다. 이렇게 말이다.

netbird down
netbird up --allow-server-ssh --enable-ssh-root

아마 netbird나 tailscale 같은 중계기를 쓰는 가장 큰 이유가 이게 아닐까 싶다.
이렇게 피어를 등록해놨다면, 다른 피어는 이 피어의 netbird IP를 통해 ssh 접근이 가능해진다.

참조
https://github.com/netbirdio/netbird
https://docs.netbird.io/manage/peers/ssh