openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

쓰기

openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

라면사리추…

07-01

2025-07-01 16:29:39

조회 337 추천 0

안녕하세요.

회사에서 mikrotik방화벽 아래에 시놀로지 나스를 설치하고, 시놀로지 vpn서버 패키지에 있는 openvpn을 세팅을 하고,

시놀로지 나스 컨테이너매니저의 docker로 git, 레드마인을 세팅을 해놨습니다.

레드마인은 무조건 사설ip대역(내부망)에서만 연결을 할거라 상관이 없는데, git같은경우 사설ip대역에서도 연결을 해야 되고,

IDC에 들어가 있는 서버에서도 연결을 해야 되서, git은 도메인을 사용해서 공인IP로 연결이 되게 해놨습니다.

mikrotik에서 시놀로지 나스에 대해서 헤어핀NAT 설정도 해서 내부망에서는 git도 도메인으로 문제 없이 연결 잘되고, 레드마인도, 시놀로지 나스도

문제 없이 잘 됩니다.

(git은 공인ip로 연결을 해야 되기 때문에, 특정 ip만 연결을 할수 있게 mikrotik에서 포트포워딩 할때 Src. Address List 설정 해놨습니다.)

문제는 외부 커피숍에서 와이파이 연결이나 집에서 vpn을 연결하면 git 도메인으로 연결이 되질 않습니다. 당연히 공인ip로도 연결이 되질 않구요..

하지만 나스의 사설ip로 연결하면 연결이 잘 되고, 또한 mikrotik에서 Src. Address List 를 해제를 하면 any로 열려서 인지 연결이 잘되는데,

여기서 방화벽 설정을 건드려야 하는건지, 시놀로지 설정을 건드려야 하는건지 감이 오지 않습니다...

혹시 아시는분 있으시면 공유좀 부탁 드립니다.

Mikrotik NAT 설정 입니다.

Mikrotik Src. Address List 입니다. (부득이 하게 공인ip는 블러 처리 했습니다.)

시놀로지 방화벽 설정 입니다.

여기서 10.8.0.0/255.255.0.0 이 vpn연결시 할당 받게 되는 ip 대역이고,

172.17.0.0/255.255.0.0 이 docker 컨테이너에서 할당 받게 되는 ip대역 입니다.



dateno1 07-01 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다



라면사리추… 07-02 감사합니다. 한번 확인해 보겠습니다. 감사합니다. 한번 확인해 보겠습니다.



라면사리추… 07-02 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요?? 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요??



MOONL 07-01 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다. 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다.



라면사리추… 07-02 src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다. src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다.



MOONL 07-02 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요. 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요.



dateno1 07-02 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요



dateno1 07-02 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라) 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라)



MOONL 07-02 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ



dateno1 07-02 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요



MOONL 07-02 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다! 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다!



dateno1 07-02 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

1/107

번호	제목Page 1/107	글쓴이	날짜	조회	추천
2138	아래 2137번 openvpn 관련 다시 질문 드립니다. (8)	라면사리추…	07-03	196	0
아래 2137번 openvpn 관련 다시 질문 드립… (8) 07-03 196 1 라면사리추…
2137	openvpn 및 mikrotik 방화벽 설정 질문 드립니다. (12)	라면사리추…	07-01	338	0
openvpn 및 mikrotik 방화벽 설정 질문 드… (12) 07-01 338 1 라면사리추…
2136	cisco 장비 펌웨어 업그레이드 관련 여쭐게있어서요. (5)	키리에	06-17	1391	0
cisco 장비 펌웨어 업그레이드 관련 여쭐… (5) 06-17 1391 1 키리에
2135	Cisco AIR-CAP2702I-K-K9 Autonomous ISO 이미지 (3)	한아리	06-06	2061	0
Cisco AIR-CAP2702I-K-K9 Autonomous ISO … (3) 06-06 2061 1 한아리
2134	PC에서 쿠팡사이트만 들어가면 공유기가 리부팅 되는데요 (10)	으아아악	06-06	2704	0
PC에서 쿠팡사이트만 들어가면 공유기가 … (10) 06-06 2704 1 으아아악
2133	FG-121G FortiCare 라이센스 구매 (6)	송주환	05-27	2927	0
FG-121G FortiCare 라이센스 구매 (6) 05-27 2927 1 송주환
2132	미크로틱 L2 설정(인터페이스 멀티플렉싱?) 관련 여쭙니다 (14)	구름IDE	05-21	3287	0
미크로틱 L2 설정(인터페이스 멀티플렉싱?… (14) 05-21 3287 1 구름IDE
2131	아마도 국내 최초의 FG-121G입니다 (8)	송주환	05-15	3923	0
아마도 국내 최초의 FG-121G입니다 (8) 05-15 3923 1 송주환
2130	정말 말도 안 되는 소리인 거 아는데요.. (15)	스린	05-05	3761	0
정말 말도 안 되는 소리인 거 아는데요.. (15) 05-05 3761 1 스린
2129	미크로틱 SFP+ 케이블 호환 여쭙니다 (6)	구름IDE	05-01	2422	0
미크로틱 SFP+ 케이블 호환 여쭙니다 (6) 05-01 2422 1 구름IDE
2128	홈랩용 Aruba 라이센스 적용 완료	송주환	04-09	3584	1
홈랩용 Aruba 라이센스 적용 완료 04-09 3584 1 송주환
2127	인터넷 통신 회선을 2개로 하면서 로드밸런싱 이라는 트래픽 분… (8)	다인	04-08	3693	0
인터넷 통신 회선을 2개로 하면서 로드밸… (8) 04-08 3693 1 다인
2126	인터넷 통신 회선을 2개로 하면서 로드밸런싱 이라는 트래픽 분…	드리데이	04-09	2790	0
인터넷 통신 회선을 2개로 하면서 로드밸… 04-09 2790 1 드리데이
2125	미크로틱 질문좀 드립니다. (3)	라면사리추…	04-06	2821	0
미크로틱 질문좀 드립니다. (3) 04-06 2821 1 라면사리추…
2124	2.5G 내부망 비대칭 질문 드립니다 (27)	율은커	04-04	3550	0
2.5G 내부망 비대칭 질문 드립니다 (27) 04-04 3550 1 율은커
2123	미크로틱(Mikrotik) 와이어가드 VPN 설정 관련 질문 드립니다. (10)	Babmabar	03-27	3628	0
미크로틱(Mikrotik) 와이어가드 VPN 설정 … (10) 03-27 3628 1 Babmabar
2122	미크로틱(mikrotik) LACP 설정 질문 (12)	HEXboy	03-24	2579	0
미크로틱(mikrotik) LACP 설정 질문 (12) 03-24 2579 1 HEXboy
2121	미크로틱 PCC 2 WAN 구성으로 NAS 접속 관련 질문합니다. (5)	데카오스	03-22	2823	0
미크로틱 PCC 2 WAN 구성으로 NAS 접속 관… (5) 03-22 2823 1 데카오스
2120	GBIC, 광케이블 등에 관련해서 질문드립니다.. (8)	스린	03-20	2990	0
GBIC, 광케이블 등에 관련해서 질문드립니… (8) 03-20 2990 1 스린
2119	10g bond 구성을 해서 사용합니다. LACP - 이때 4개를 묶어서 … (8)	다이어트중	03-19	2800	0
10g bond 구성을 해서 사용합니다. LACP -… (8) 03-19 2800 1 다이어트중