미크로틱에 대한 환상이 사라졌습니다. (초보자 시점)

yootopia   
   조회 2090   추천 0    


전에 미크로틱 RB4011 공유기와 CRS305 스위치 하단에 물린 NAS 포트포워딩이 안되어 여러 회원분들의 도움을 받은 적이 있었습니다.

   (이전 글 : http://2cpu.co.kr/network/7688 )

도메인으로 시놀로지 웹서버로 접근이 안되고 공인 IP로만 접근이 가능해서 지레짐작으로 포트포워딩의 문제인 줄로 알고 해결방안을 찾아 헤맸습니다만, 

원인은 전혀 다른 곳에 있었습니다.


왜 그런지 아직 이유는 모르지만 시놀로지 나스에서 구동중인 DNS Server를 미크로틱이 제대로 읽어내지 못해서 발생하는 문제였습니다.

전에 쓰던 넷기어 공유기에서는 아무 문제없이 작동되던 것이 미크로틱으로 변경후부터 포트포워딩 등 필요한 부분을 맞게 세팅을 해도 안되었고  

결국 여러 시행착오 끝에 네임서버를 미크로틱 하단에 물려진 시놀로지 내부가 아닌 외부 서비스업체, DNSEver로 옮기고 나서야 

도메인을 통한 웹서버, 파일서버 접근이 정상적으로 동작하게 되었습니다.

전에는 시놀로지 내에서 다 되던 것이 외부업체까지 거쳐야 가능하다는 것이 매우 불편하게 느껴집니다.


미크로틱으로 옮기면서 다순히 이전에 쓰던 공유기의 역할을 그대로 대체하는 것도 이렇게 힘드리라고는 전혀 생각지 못했습니다.

넷기어 공유기에 설정된 내용을 미크로틱에 상응하는 메뉴에 잘 적용하면 아무 문제 없겠지 생각한 제가 순진한 것이지요.

이 분야에 전문가가 아닌 일반인이 미크로틱에 관심을 두고 계신다면 '결코 친절한 물건이 아니다'라는 점부터 아셔야 할 것 같습니다.

제품의 박스를 여는 순간, 깨알같이 작은 글자체의 지나치게 간략한 설명서를 보는 것부터 미크로틱은 막막함을 갖게 합니다. 

개인적으로 많은 기대를 했는데 환상도 사라지고, 혹시 비슷한 일, 수많은 시행착오로 고생하실 분이 계실까 싶어 몇 마디 남겼습니다. 

그리고 이번 일로, 짧은 지식으로 고생하던 저에게 자세한 내용으로, 자신의 일처럼 도움주셨던 분들께 다시한번 감사의 말씀을 올립니다.^^



<추가> hairpin nat 설정 화면


 

김제연 2019-12
전 다접고 iptime  왔네요
KIKI1140 2019-12
저도 라우터 로 배우고 있긴한데 너무어려워서 그냥 공유기 모드로 해놓고 사용하고 있습니다.. 너무 어렵네요 ..ㅠ
어드반 2019-12
다룰줄 모르면.... 아무 의미가 없습니다.
굳이 위와 같은 구성에 미크로틱 사양이 필요하나 싶은 의문이 들기도 합니다.
송주환 2019-12
도메인 접속 이슈면 hairpin-NAT 문제 아니었을까요
     
yootopia 2019-12
hairpin nat은 아래와 같이 이미 설정은 되어 있는데  다시 한번 살펴보겠습니다. 좋은 말씀 감사합니다.^^
/ip firewall nat add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\ !192.168.88.1 protocol=tcp src-address=192.168.88.0/24
전형준 2019-12
사줘서 고맙다는 종이 쪼가리 달랑 들어있는 패키징에서 알 수 있죠. 다룰 줄 아는 사람에게 가성비가 좋은 물건이 아닐까 합니다. 위 구성에서 솔직히 말하면 10Gbe때문에 쓰는 CRS305 제외하면 라우터는 아이피타임 쓰는게 편하죠.

Easy setup이 되는 web gui가 있어도 좋을법한데 아쉽긴 합니다.
     
yootopia 2019-12
저도  CRS305와 10Gbe 염두에 둔 것인데, 잘 사용하던 넷기어도 살짝 노후화된 듯하여 겸사겸사 호환성을 고려해서 RB4011 까지 이르게 되었습니다. 말씀대로 공유기는 아이피타임을 사용해도 충분한데 제 욕심이 과했습니다.~ㅎ 감사합니다.^^
NGC 2019-12
라우터는 라우터입니다
방대한 네트웍을 다룰수 있는 장비다 보니 관련 지식이 적으면 너무나 어려울수밖에 없죠..
gentoo 2019-12
말씀하신 접속 문제는 hairpin nat라고 해서 내부에서 외부 공인ip로 다시 돌아서 접속할때 생기는 주소 변환 이슈에 해당합니다. 저걸 dns로 해결하는 임시방편이라고 한다면 미크로틱 자체 dns서버나 기타 운영중인 dns서버 static table에 도메인이랑 내부 ip를 매칭하는 별 의미 없는 방법을 사용하던가 아니면 미크로틱 위키를 참고하셔서 hairpin nat을 설정해주시는 방법이 있습니다.
한가지 팁을 드리자면 유동ip를 공인 ip로 사용하시는 상황이라면 hairpin nat을 구성할 때 lan단 브리지로 나가는 인터페이스 masquerade할 때 dst-address-list를 하나 주시고 그 address-list에 도메인을 넣으시면 저게 자동으로 dynamic으로 ip를 업데이트 합니다.(저도 최근에 알았네요)
커맨드로 정리하면 이런 식이죠
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24(lan 네트워크 주소) action=masquerade dst-address-list=hairpin dst-port=80(시놀로지에 접속하시게 될 포트들) protocol=tcp out-interface=br0(lan 인터페이스-보통 브리지)
/ip firewall address-list add address=mydomain.kr(사용하시는 도메인) list=hairpin
도메인에 ddns 업데이트가 잘 되고 있다고 가정한다면 그나마 시중에 나와있는 공유기들처럼 내부에서 외부 공인ip로 접속하여 사용할 수 있는 가장 좋은 방법입니다.
참고가 되시면 좋겠네요.
     
yootopia 2019-12
hairpin nat은 아래와 같이 이미 설정은 되어 있는데  address-list에 도메인을 넣는 것은 다시 한번 살펴보겠습니다. 좋은 말씀 대단히 감사합니다.^^
/ip firewall nat add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\ !192.168.88.1 protocol=tcp src-address=192.168.88.0/24
          
느낌 01-02
공인 IP : 1.1.1.1
내부 IP : 192.168.1.2
외부 회선에 연결된 인터페이스 : WAN
내부 네트워크의 인터페이스 : LAN
포트포워딩은 80이라고 했을 경우

일반적인 공유기의 NAT룰은 아래와 같이 하시고
/ip firewall
nat add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerad

그다음 아래 줄을 추가 해주시면 됩니다.
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=80 out-interface=LAN action=masquerade
엠브리오 2019-12
인터넷 공유기와 라우터는 다릅니다.
요즘 이 두 물건을 혼란스럽게도 뭉뚱그려서 라우터 라고 부르는 일이 부쩍 많아졌습니다만 엄연히 다른 물건이죠.
찬이 2019-12
애초에 기업용으로 나온 제품입니다.
비교해야 하려면 시스코 라우터랑 비교해야 하는데 시스코 써보신분은 알겠지만 gui는 있으나마나이고 cli로만 컨트롤 할 수 있습니다. 완전 전문가아님 못쓰니 참으로 불친절하죠...
     
yootopia 2019-12
미크로틱이 포지셔닝에 있어서 기업용에 특화되어 있는 것은 말씀대로 맞습니다. 그런데 RB4011 만큼은 기업과 가정 사용을 동시에 겨냥한 것으로 보여집니다. 무선을 장착한 것도 그렇고 퀵메뉴 설정에도 "Home AP Dual", "Home Mesh" 등을 기본값으로 두고 있어서 가정용 사용을 염두에 둔 것은 분명해 보입니다. 그렇다면 일반사용자에 대해 좀더 친절한 접근이 필요하지 않나 생각하고 있습니다. 좋은 말씀 감사합니다.^^
          
가정용으로는 전혀 생각 안하고 만든 물건입니다.
미크로틱의 모든 기기는 기본적으로 서비스 프로바이더와 미크로틱을 잘알만한 전문가 파워유저 용입니다.
우리나라 빼고는 그런 파워유저의 층이 수백만이니 가정에도 쓰일뿐이지요.
아싸조쿠나 2019-12
미크로틱 샀다가 한 3시간 해보고 아 이건 공부해야 하는거다 생각하고 바로 팔아버렸던 기억이 나네요
넷기어에서 됬다면 미크로틱에서 안될리가 없습니다. (까다롭긴 하지만요..)

DMZ 설정을 해도 안되나요?
/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=192.168.88.249 protocol=tcp dst-address=!192.168.88.1 dst-address-type=local
add chain=srcnat action=masquerade dst-address=!192.168.88.1

+) 저도 미크로틱 라우터에 스위치 물리고, 스위치 아래에 시놀로지 사용하고 있습니다.
시놀로지랑 넷기어 셋팅 더 알려주시면 테스트해보고 알려드리겠습니다.
     
yootopia 2019-12
저번도 그렇고 이번도 그렇고 말씀 정말 감사드립니다. 많은 도움이 되었습니다.^^ 그리고 DMZ을 하지 않더라도 당초 넷기어에서 구현하던 것을 조금 다르기는 하지만 대부분 구현을 했기에 이 정도에서 마무리 지을려고 합니다. 거듭 감사합니다. 행복한 주말 되십시오.^^
gentoo 2019-12
일단 hairpin nat을 잘못 설정 하셨습니다. 원리를 이해하시는것이 필요해 보입니다. 여기서 제일 중요한 지점이 out-interface를 lan쪽 브리지로 잡아주는건데 그게 빠져있고 dst-address에 사설망 ip가 들어가 있네요. 위에 제가 써드린 커맨드와 꼼꼼하게 비교해보시고 미크로틱 매뉴얼 페이지 제 기억에 hairpin nat관련해서 한글 번역이 트루네트웍스에서 해놓은게 있을겁니다. 미크로틱 위키랑 트루네트웍스 위키 둘다 같은 문서이니 영어/한글 편하신거 골라서 위에 어째서 nat 패킷 처리를 따로 해줘야하는지에 대해 정확히 이해하신 뒤에 관련 설정을 제검토하시기 바랍니다. l1부터 l7까지 패킷이 흐르는 단계 즉 네트워크에 대해 완벽하게는 아니더라도 최소한 l2,l3에서 대략적으로 패킷이 어떻게 처리되는지 정도는 아셔야 미크로틱 장비를 기본적으로 셋업/사용하시는데에 문제가 없습니다. 특히 이런 패킷 필터가 관여하는 문제는 패킷을 필터링하는 조건을 꼼꼼하게 설정하지 않으시면 자칫 통신 전체에 장애를 불러와서 시리얼 콘솔로 접속하셔야 하는 상황이 벌어질 수도 있습니다. 위에 설정하신 rule 같은 경우 라우터에 lan 브리지(이하 br0로 칭함)의 ip가 192.168.88.1이라고 가정했을 때 192.168.88.0/24 즉 내부 네트워크 전체에서 라우터로 내부적으로 통신하는 규칙에 대해 nat처리를 하셨습니다. 특히 out-interface가 빠졌기 때문에 masquerade 정책은 변환할 주소를 찾지 못하기 때문에 nat처리가 이루어지지 않을 뿐더러 저기서 만약에 out-interface를 lan으로 지정했다고 하면 라우터랑 내부 장비간 통신이 안되게 되지요. 왜냐하면 masquerade 정책에 따라 각 노드에서 오는 출발지 ip를 br0의 ip인 88.1로 nat할것이고 응답 패킷은 고로 88.1 즉 자기자신에게 다시 보내지면서 경로가 완전히 꼬여버립니다.
     
yootopia 2019-12
살펴보니 out-interface는 bridge로 되어 있는데 제가 댓글에는 빠뜨린 모양입니다. 본문에 캡쳐를 추가하였습니다.  그리고 dst-address 값에는 !(느낌표, 부정의 표시) 가 있다면 문제가 없는 것 아닌가 싶은데요. 제가 잘못 알고 있을까요? 아주 자세한 설명 감사합니다.^^
     
헤어핀 셋팅 이렇게 해도 됩니다.
/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.88.1 protocol=tcp src-address=192.168.88.0/24
이미 대부분을 다른 방법으로 해결하셨다고 하셨지만..
갑자기 생각나서 적어봅니다. (혹시 다음에 셋팅하거나, 이 글을 보는 누군가에게 도움이 됬으면 하는 마음으로..)

DNS는 TCP와 UDP 53번 포트를 사용합니다.
UDP 프로토콜도 포트포워딩이 필요했었는데 그걸 놓친것 같네요..
     
yootopia 2019-12
레몬트리7님 저번 글에서 올렸던 설정스크립트에는 포트포워딩 수가 27개나 되어 hairpin이랑 웹서버용 443, 80번대만 남기고 다 생략해서 올렸던 것입니다.^^
/ip firewall nat add action=dst-nat chain=dstnat comment="Nas-DNS Server" dst-address=\!192.168.88.1 dst-address-type=local dst-port=53 protocol=tcp \ to-addresses=192.168.88.249 to-ports=53 로 설정되어 있습니다.  올리신 글들로 인해 처음 접하는 분들이 많은 도움이 될 듯 합니다. 정말 정말 감사합니다.^^
          
그렇군요 ㅎㅎ
그런데 protocol=tcp 말고 protocol=udp도 있나요?
DNS 쿼리에서는 udp가 더 중요합니다.
기리짱 2019-12
저도 rb4011 구입해놓고 아직 건드리질 못하고 있네요
설정 문제가 맞습니다...

저도 동일한 문제가 있어서 설정 찾아서 해결 했습니다.
gentoo 2019-12
아. 제가 느낌표 부분을 놓쳤네요. 지금 그러면 공인ip로 사설망에서 접속했을때 돌아서 잘 접속이 되는 상황이신가요? 만약 그렇다면 말씀하신것처럼 dns관한 셋업을 손보셔도 될거 같습니다.
딸기대장 2019-12
저도 창고속에 예비물자로 한개 박혀있습니다.
언젠가 쓰겠죠 머....




제목Page 4/56
01-23   739   re0201
01-23   938   SiCMOS
01-21   1577   장운기
01-20   1030   audacity
01-20   1181   MikroTik이진
01-19   1260   딸긔꼬마
01-17   880   코코짱
01-17   671   NeTe
01-15   730   Malice
01-13   1455   주쥬클럽
01-11   838   Ballrok
01-09   720   김Jason
01-09   1101   최창현
01-04   2071   MikroTik이진
01-02   1421   리얼홀릭
01-01   2216   MikroTik이진
2019-12   1954   비누귀신
2019-12   1283   센치
2019-12   1134   희망의나래
2019-12   2091   yootopia