openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

UnBoxing more

검색 목록

쓰기

openvpn 및 mikrotik 방화벽 설정 질문 드립니다.

라면사리추…

07-01

2025-07-01 16:29:39

조회 254 추천 0

안녕하세요.

회사에서 mikrotik방화벽 아래에 시놀로지 나스를 설치하고, 시놀로지 vpn서버 패키지에 있는 openvpn을 세팅을 하고,

시놀로지 나스 컨테이너매니저의 docker로 git, 레드마인을 세팅을 해놨습니다.

레드마인은 무조건 사설ip대역(내부망)에서만 연결을 할거라 상관이 없는데, git같은경우 사설ip대역에서도 연결을 해야 되고,

IDC에 들어가 있는 서버에서도 연결을 해야 되서, git은 도메인을 사용해서 공인IP로 연결이 되게 해놨습니다.

mikrotik에서 시놀로지 나스에 대해서 헤어핀NAT 설정도 해서 내부망에서는 git도 도메인으로 문제 없이 연결 잘되고, 레드마인도, 시놀로지 나스도

문제 없이 잘 됩니다.

(git은 공인ip로 연결을 해야 되기 때문에, 특정 ip만 연결을 할수 있게 mikrotik에서 포트포워딩 할때 Src. Address List 설정 해놨습니다.)

문제는 외부 커피숍에서 와이파이 연결이나 집에서 vpn을 연결하면 git 도메인으로 연결이 되질 않습니다. 당연히 공인ip로도 연결이 되질 않구요..

하지만 나스의 사설ip로 연결하면 연결이 잘 되고, 또한 mikrotik에서 Src. Address List 를 해제를 하면 any로 열려서 인지 연결이 잘되는데,

여기서 방화벽 설정을 건드려야 하는건지, 시놀로지 설정을 건드려야 하는건지 감이 오지 않습니다...

혹시 아시는분 있으시면 공유좀 부탁 드립니다.

Mikrotik NAT 설정 입니다.

Mikrotik Src. Address List 입니다. (부득이 하게 공인ip는 블러 처리 했습니다.)

시놀로지 방화벽 설정 입니다.

여기서 10.8.0.0/255.255.0.0 이 vpn연결시 할당 받게 되는 ip 대역이고,

172.17.0.0/255.255.0.0 이 docker 컨테이너에서 할당 받게 되는 ip대역 입니다.



dateno1 07-01 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다 일단 any로 바꾼후 log를 확인해서 클라쪽 주소를 확인해보세요 그게 화이트 리스트 처리해둔 목록에 포함이 안 되는게 아닌가 재확인이 필요합니다



라면사리추… 07-02 감사합니다. 한번 확인해 보겠습니다. 감사합니다. 한번 확인해 보겠습니다.



라면사리추… 07-02 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요?? 확인해 봤더니, dstnat: in:ether1 out:(unknown 0), connection-state:new src-mac 00:07:70:dc:c9:6a, proto TCP (SYN), 175.213.61.124:56743->xxx.xxx.xxx.xxx:5443, len 52 로그가 이렇게 찍히고 있습니다. 말씀하신대로 175.213.61.124가 화이트 리스트에 포함이 안되서 그런거 였습니다. 증상을 좀 확인해 보니, 내부의 사설 ip로 된 서비스에 연결시는 192대역의 사설 ip로 연결이 되는데, 회사의 대표 공인ip로 연결을 하려고 하면, 클라이언트 쪽의 대표 공인ip로 연결이 되는걸 확인 했느데, 이럴때는 어떻게 해야 할까요?? git이 내부에서 도메인을 통해서도 연결이 되고, vpn을 통해서도 연결이 되고, 외부 서버에서도 도메인을 통해 연결이 되야 되는데, 혹시 조언좀 해주실수 있을까요??



MOONL 07-01 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다. 어떤 상황인지 잘 이해가 안되요. src Address list는 내부로 되어 있는데 외부에서 접속이 안되는건 당연한거 아닌가요? VPN IP 대역도 10.8.0.0인데 192.168.10.0만 src로 허용되어 있으니 안되는거 아닌가요? 그리고 혹시 openVPN을 사용하시는 특별한 이유가 있으실까요? 도커로 wireguard 설정해서 사용하면 사용자 관리도 되고 해서 편하고 내부에 미니PC나 라즈베리파이 같은 ARM PC에 설치해도 속도가 빨라서 좋더라고요. wg-easy 이거 웹 인터페이스도 있어서 엄청 좋습니다.



라면사리추… 07-02 src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다. src Address list를 추가 한건 vpn을 통하지 않은 외부 접속 차단과, IDC에 있는 서버만 VPN없이 연결 하기 위해서 추가 했습니다. 내부 대역을 추가 하지 않으면 내부에서 연결이 되지 않아 추가 했던 걸로 기억이 납니다. VPN이 mikrotik의 내부 대역에 바로 구성이 되어 있는게 아니라, 시놀로지 나스에 설치가 되다 보니, 시놀로지 나스 내부에 구성된 또 다른 대역이 생기게 됩니다. 그래서 외부에서 VPN 연결을 하면 mikrotik방화벽에서 포트포워딩을 해서 시놀로지 나스에 설치된 Openvpn으로 연결을 하게 됩니다. 시놀로지 나스의 Openvpn을 구성하게되면 Directory Server를 통해서 사용자 관리를 할 수 있어서 입니다.



MOONL 07-02 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요. 접속이 되는 곳에서 traceroute나 접속 경로 확인해 보는 도구로 한번 확인해 보셔야 할거 같습니다. VPN에서 시놀로지 밖으로 못나가는거 아닌지도 의심되네요.



dateno1 07-02 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요 솔직히 말해서 시놀 패키지로 제공되는 서버 기능 전.혀. 추천하지 않습니다 일단 조금만 손 될려고하면 GUI에서 안 되서 수동으로 터미널 접속해서 작업해야하고, GUI에서 설정 고친후 저장하면 이게 덮어써져서 다시 손되어야하는 경우 허다합니다 거기다 버전업할떄 언제 시놀이 내놓은 자식 취급해서 보안 뺴고 아무것도 패치 안 해주거나, 아에 없에버릴지 모릅니다 어지간하면 Docker라도 써서 올리세요



dateno1 07-02 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라) 솔직히 속도만 애기하면 요즘 시대에 어떤 솔루션 쓰는가 따질 필요성 거의 없다고 봅니다 하드웨어 AES 가속만 되어도 속도는 잘 뽑히다보니 어떤 솔루션 써도 회선 상한이 문제지 시퓨 성능이 문제가 되진 않을꺼거든요 (굴러다니는 구형 산딸기조차 500Mbps채워버리는게 현실이라)



MOONL 07-02 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ 오!! openVPN도 구형 산딸기에서도 풀 속도 잘 나와주나요????? 속도차가 좀 난다고 알고 있었는데 ㅎㅎ



dateno1 07-02 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요 그건 어느쪽이냐면 내장 NIC가 USB2라 그런겁니다 USB3로 NIC 물려주세요 (이조차 불가능한 ~3는....답 없음 (묵념) ) 연식땜에 구형이라 적었지만 실질적으로 4는 되어야 합니다 다만 속도 상한이 걸리는 이유가 NIC의 인터페이스 문제라 솔루션 바꾸어도 속도 안 바뀔꺼에요



MOONL 07-02 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다! 아~ 그렇군요 ㅋㅋㅋ CPU성능을 많이 잡아 먹어서 openVPN이 좀 느린줄 알았는데 무조건 그런건 아닌가 보네요 ㅎㅎ 감사합니다!



dateno1 07-02 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다 더 먹는건 사실인데, 어차피 필요치 < 성능이라.... (저 시퓨 연산능이면 하드웨어 가속 없이 깡연산능으로 500 찍을 수 있어요) 물른 다른것 같이 돌릴꺼면 리소스 충분하지 않을 수 있으니 고민해봐야할 사항입니다 집에 있는 10년된 NUC도 VPN 스로풋 재보면 기가대로 찍혀요 (TB로 10G 물린후 측정) 현실이 이러다보니 하드웨어 가속 된다는 전재하에서 일정 스팩만 넘기면 성능은 충분하니, 편의성이나 기능으로 고르게 됩니다

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

네트웍

쓰기

1/6

번호	제목Page 1/6	글쓴이	날짜	조회	추천
103	2.5G 내부망 비대칭 질문 드립니다 (27)	율은커	04-04	3021	0
2.5G 내부망 비대칭 질문 드립니다 (27) 04-04 3021 1 율은커
102	2.5G 4포트 + 2포트 10G 허브 진짜 싸졌네요. (15)	고세삼	03-04	2957	0
2.5G 4포트 + 2포트 10G 허브 진짜 싸졌네… (15) 03-04 2957 1 고세삼
101	서버랑 컴터 간에 2.5기가 내부망 구축하려는 뉴비인데 질문드… (20)	율은커	01-09	3947	0
서버랑 컴터 간에 2.5기가 내부망 구축하… (20) 01-09 3947 1 율은커
100	라우터용 랜카드는 따로 있을까요? (5)	클래식	2024-12	3653	0
라우터용 랜카드는 따로 있을까요? (5) 2024-12 3653 1 클래식
99	홈네트워크 스위치 구성 질문 (8)	다비니	2024-07	4541	0
홈네트워크 스위치 구성 질문 (8) 2024-07 4541 1 다비니
98	[방화벽] 안랩 트러스가드 공인IP 설정 질문 (9)	ComoRoi	2024-05	8095	0
[방화벽] 안랩 트러스가드 공인IP 설정 질문 (9) 2024-05 8095 1 ComoRoi
97	openvpn 질문좀 올려보겠습니다. 도움이 절실 (7)	파이트복서	2024-03	4121	0
openvpn 질문좀 올려보겠습니다. 도움이 … (7) 2024-03 4121 1 파이트복서
96	[질문] 2.5G 멀티인터넷 관련 조언 부탁 드립니다. (11)	azchoi	2024-02	3656	0
[질문] 2.5G 멀티인터넷 관련 조언 부탁 … (11) 2024-02 3656 1 azchoi
95	[질문] 2.5G 스위칭 SFP 문의드려요. (7)	KGOON	2023-12	4902	0
[질문] 2.5G 스위칭 SFP 문의드려요. (7) 2023-12 4902 1 KGOON
94	시스코 AP가 미크로틱 ARP에는 보이나 DHCP서버의 lease에 안보… (2)	Rainwalk	2023-12	3448	0
시스코 AP가 미크로틱 ARP에는 보이나 DHC… (2) 2023-12 3448 1 Rainwalk
93	내부망 + 인터넷 2.5g 구축했습니다 (9)	엘레오노르	2023-12	5361	0
내부망 + 인터넷 2.5g 구축했습니다 (9) 2023-12 5361 1 엘레오노르
92	HPE 스위칭 허브 추천 부탁드릴 수 있을까요? (7)	Caig	2023-10	19213	0
HPE 스위칭 허브 추천 부탁드릴 수 있을까… (7) 2023-10 19213 1 Caig
91	알리발 2.5Gb 스위치 어떤가요? (8)	고세삼	2023-09	26839	1
알리발 2.5Gb 스위치 어떤가요? (8) 2023-09 26839 1 고세삼
90	2.5Gbe 어댑터를 이용해 간이 NAS와 PC에 직결하여 SMB 멀티채… (8)	gusoong	2023-08	16579	0
2.5Gbe 어댑터를 이용해 간이 NAS와 PC에 … (8) 2023-08 16579 1 gusoong
89	네트워크 구축 질문드립니다. (48)	난나야1424	2023-06	29063	0
네트워크 구축 질문드립니다. (48) 2023-06 29063 1 난나야1424
88	기가비트 내부망에서 OS용 스토리지 문의 (17)	Fentanest	2023-06	17978	0
기가비트 내부망에서 OS용 스토리지 문의 (17) 2023-06 17978 1 Fentanest
87	질문) 10g 스위치 성능 차이(Packet Buffer, Latency, Packet F… (7)	네온7	2023-06	14703	0
질문) 10g 스위치 성능 차이(Packet Buffe… (7) 2023-06 14703 1 네온7
86	CPE710 테스트 (2)	일국	2023-05	9363	0
CPE710 테스트 (2) 2023-05 9363 1 일국
85	네트워크 질문입니다. (13)	victor1	2023-05	10710	0
네트워크 질문입니다. (13) 2023-05 10710 1 victor1
84	아이피타임 nas200과 pc 직접 연결 (9)	uni8453	2023-05	21614	0
아이피타임 nas200과 pc 직접 연결 (9) 2023-05 21614 1 uni8453