openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

검색 목록

쓰기

openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

라면사리추…

07-01

2025-07-01 16:29:39

조회 320 추천 0

안녕Ȣ16;세요.

회사에서 mikrotik0169;화ǣ17; 아래에 시놀/196;1648; 나스를 설치Ȣ16;고, 시놀/196;1648; vpn서버 패Ȗ12;1648;에 1080;ǉ16; openvpn1012; 세ᔚ1;1012; Ȣ16;고, 

시놀/196;1648; 나스 컨테1060;너매니1200;1032; docker/196; git, /112;드마1064;1012; 세ᔚ1;1012; 해놨습니다. 

/112;드마1064;1008; 무1312;,148; 사설ip대역(내ǥ12;ኖ1;)에서만 연결1012; 할,144;라 상관1060; 없ǉ16;데, git같1008;ᅆ1;우 사설ip대역에서도 연결1012; 해야 .104;고, 

IDC에 들Ǻ12;가 1080;ǉ16; 서버에서도 연결1012; 해야 .104;서, git1008; 도메1064;1012; 사용해서 공1064;IP/196; 연결1060; .104;,172; 해놨습니다.

mikrotik에서 시놀/196;1648; 나스에 대해서 헤Ǻ12;핀NAT 설1221;도 해서 내ǥ12;ኖ1;에서ǉ16; git도 도메1064;1004;/196; 문1228; 없1060; 연결 1096;.104;고, /112;드마1064;도, 시놀/196;1648; 나스도

문1228; 없1060; 1096; .121;니다.

(git1008; 공1064;ip/196; 연결1012; 해야 .104;기 ǐ12;문에, 특1221; ip만 연결1012; 할수 1080;,172; mikrotik에서 포트포워딩 할ǐ12; Src. Address List 설1221; 해놨습니다.)

문1228;ǉ16; 외ǥ12; 커피숍에서 와1060;파1060; 연결1060;나 1665;에서 vpn1012; 연결Ȣ16;면 git 도메1064;1004;/196; 연결1060; .104;1656; 않습니다. Ǌ17;연7176; 공1064;ip/196;도 연결1060; .104;1656; 않구요..

Ȣ16;1648;만 나스1032; 사설ip/196; 연결Ȣ16;면 연결1060; 1096; .104;고, 또한 mikrotik에서 Src. Address List 를 해1228;를 Ȣ16;면 any/196; 열/140;서 1064;1648; 연결1060; 1096;.104;ǉ16;데,

여기서 0169;화ǣ17; 설1221;1012; ,148;드/140;야 Ȣ16;ǉ16;,148;1648;, 시놀/196;1648; 설1221;1012; ,148;드/140;야 Ȣ16;ǉ16;,148;1648; 감1060; 오1648; 않습니다...

ᕬ1;시 아시ǉ16;ǥ16; 1080;1004;시면 공유1328; ǥ12;ᓠ1; 드립니다.

Mikrotik NAT 설1221; 1077;니다.

Mikrotik Src. Address List 1077;니다. (ǥ12;ሖ1;1060; Ȣ16;,172; 공1064;ipǉ16; 블러 처리 했습니다.)

시놀/196;1648; 0169;화ǣ17; 설1221; 1077;니다.

여기서 10.8.0.0/255.255.0.0 1060; vpn연결시 할Ǌ17; 0155;,172; .104;ǉ16; ip 대역1060;고,

172.17.0.0/255.255.0.0 1060; docker 컨테1060;너에서 할Ǌ17; 0155;,172; .104;ǉ16; ip대역 1077;니다. 



dateno1 07-01 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다



라면사리추… 07-02 감사합니다. 한번 확인해 보겠습니다. 감사합니다. 한번 확인해 보겠습니다.



라면사리추… 07-02 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요?? 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요??



MOONL 07-01 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다. 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다.



라면사리추… 07-02 src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다. src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다.



MOONL 07-02 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요. 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요.



dateno1 07-02 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요



dateno1 07-02 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라) 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라)



MOONL 07-02 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ



dateno1 07-02 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요



MOONL 07-02 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다! 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다!



dateno1 07-02 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

네트웍

쓰기

5/97

번호	제목Page 5/97	글쓴이	날짜	조회	추천
1859	cisco ap 3802i 세팅 도움이 필요합니다 ㅠ (15)	하이준	2024-06	6844	0
cisco ap 3802i 세팅 도움이 필요합니다 ㅠ (15) 2024-06 6844 1 하이준
1858	표준 기반의 이더넷 케이블 설치 가이드라인 (2)	송주환	2024-06	7499	3
표준 기반의 이더넷 케이블 설치 가이드라인 (2) 2024-06 7499 1 송주환
1857	공유기 대역폭 제한 관련 질문드려요. (5)	야생고양이	2024-06	6687	0
공유기 대역폭 제한 관련 질문드려요. (5) 2024-06 6687 1 야생고양이
1856	라우팅을 고려한다면 ping이 갈 것 같기도 한데.... (4)	redalert3	2024-06	6342	0
라우팅을 고려한다면 ping이 갈 것 같기도… (4) 2024-06 6342 1 redalert3
1855	[방화벽] 안랩 트러스가드 공인IP 설정 질문 (9)	ComoRoi	2024-05	8107	0
[방화벽] 안랩 트러스가드 공인IP 설정 질문 (9) 2024-05 8107 1 ComoRoi
1854	유쁠 오피스넷 설치했습니다. (9)	닉네임	2024-05	8566	0
유쁠 오피스넷 설치했습니다. (9) 2024-05 8566 1 닉네임
1853	혹시 멜라녹스 onyx 관련 펌웨어 조회 가능하신분이 계실까요?? (1)	윤탱이	2024-05	6778	0
혹시 멜라녹스 onyx 관련 펌웨어 조회 가… (1) 2024-05 6778 1 윤탱이
1852	TPLINK Omada 클라우드 컨트롤러를 미크로틱 라우터 하단에 놓… (6)	고래1006	2024-05	8134	0
TPLINK Omada 클라우드 컨트롤러를 미크… (6) 2024-05 8134 1 고래1006
1851	ipTIME UI가 바뀌었네요? (8)	새하얀구름	2024-04	10722	0
ipTIME UI가 바뀌었네요? (8) 2024-04 10722 1 새하얀구름
1850	소호 네트워크 장비 및 구성 문의 (17)	자근자근	2024-04	10528	0
소호 네트워크 장비 및 구성 문의 (17) 2024-04 10528 1 자근자근
1849	이거 사양 차이가 많이 날까요? (1)	김승현1	2024-04	9076	0
이거 사양 차이가 많이 날까요? (1) 2024-04 9076 1 김승현1
1848	멜라녹스 x3 fcbt 펌웨어를 찾습니다 (4)	카이제린	2024-04	7391	0
멜라녹스 x3 fcbt 펌웨어를 찾습니다 (4) 2024-04 7391 1 카이제린
1847	OPNSense 구축해보았습니다 (12)	김승현1	2024-04	9636	0
OPNSense 구축해보았습니다 (12) 2024-04 9636 1 김승현1
1846	미크로틱 서로 다른 IP 대역 연결 질문 드립니다. (11)	백마구루마	2024-04	5292	0
미크로틱 서로 다른 IP 대역 연결 질문 드… (11) 2024-04 5292 1 백마구루마
1845	KT 오피스넷은 원래 포트 다 막아 놓나요? (24)	데카오스	2024-04	6449	0
KT 오피스넷은 원래 포트 다 막아 놓나요? (24) 2024-04 6449 1 데카오스
1844	KT 아이피 할당 제한 관련 질문 (9)	dpp0548	2024-03	4835	0
KT 아이피 할당 제한 관련 질문 (9) 2024-03 4835 1 dpp0548
1843	C9800 컨트롤러 DHCP 기능 관련 문의드립니다. (2)	네에엥트트…	2024-03	4009	0
C9800 컨트롤러 DHCP 기능 관련 문의드립… (2) 2024-03 4009 1 네에엥트트…
1842	미크로틱 라우터 구성 질문 드립니다. (13)	백마구루마	2024-03	4062	0
미크로틱 라우터 구성 질문 드립니다. (13) 2024-03 4062 1 백마구루마
1841	L? 스위치를 이용한 LACP 질문올립니다.... (11)	율은커	2024-03	4333	0
L? 스위치를 이용한 LACP 질문올립니다.... (11) 2024-03 4333 1 율은커
1840	openvpn 질문좀 올려보겠습니다. 도움이 절실 (7)	파이트복서	2024-03	4124	0
openvpn 질문좀 올려보겠습니다. 도움이 … (7) 2024-03 4124 1 파이트복서