OPNsense 설치

Proxmox를 처음 설치할 당시에는 보안을 위해 WAN선을 연결하지 않은 상태로 진행했습니다.

하지만 학교 생활로 외부에 있는 시간이 많다 보니, 밖에서도 제 홈랩에 안전하게 접근할 수 있는 환경이 필요했습니다.

그러기 위해서는 결국 외부 인터넷과 연결되는 WAN 연결이 필요했습니다.

다만, 별도의 보안 대책 없이 WAN선을 연결하는 것은 내부 네트워크를 외부에 그대로 노출하는 것과 다르지 않습니다.

홈랩에는 Proxmox 관리 페이지, 여러 VM, 테스트 서버, CML 같은 중요한 자원들이 있기 때문에

외부 접근 구조를 신중하게 설계할 필요가 있었습니다.

물론 Proxmox 자체 기능만으로도 어느 정도 보안 구성이 가능합니다.

하지만 방화벽, 라우팅, VPN, 트래픽 제어 등을 더 직관적으로 관리하기 위해

대표적인 오픈소스 방화벽인 OPNsense를 설치해 홈 네트워크를 구성해보려 합니다.

이번 글에서는 OPNsense를 어디서 다운로드하고,

Proxmox에 어떻게 올렸으며,

물리 LAN선 없이 Proxmox 내부 가상 브릿지를 이용해 어떤 네트워크 구조로 구성했는지 정리해보겠습니다.

먼저 이번 구성의 전체 구조부터 간단히 정리해보겠습니다.

처음에는 OPNsense를 사용하려면 WAN선과 LAN선을 모두 물리적으로 연결해야 한다고 생각할 수 있습니다.

하지만 제 구성에서는 물리적인 LAN선을 따로 연결하지 않았습니다.

이유는 홈랩에서 사용하는 주요 장비들이 대부분 Proxmox 위의 VM으로 동작하기 때문입니다.

즉, 내부 장비들이 물리적인 랜선으로 연결된 것이 아니라 Proxmox 내부에 가상으로 존재하는 구조입니다.

그래서 외부 인터넷으로 나가는 WAN 쪽은 실제 물리 NIC에 연결하고,

내부 네트워크인 LAN 쪽은 Proxmox 내부의 가상 브릿지로 구성했습니다.

구조를 단순하게 표현하면 다음과 같습니다.

인터넷 회선
→ 물리 WAN선
→ Proxmox 물리 NIC
→ Proxmox WAN 브릿지
→ OPNsense WAN
→ OPNsense 방화벽
→ OPNsense LAN
→ Proxmox 내부 가상 LAN 브릿지
→ Proxmox 관리망 / 내부 VM / CML

여기서 중요한 점은 LAN이라는 말이 반드시 물리 랜선을 의미하는 것은 아니라는 점입니다.

LAN은 내부 네트워크 방향이라는 의미입니다.

일반적인 공유기 환경에서는 공유기의 LAN 포트에 랜선을 꽂아 PC나 서버를 연결하지만,

Proxmox 환경에서는 물리 랜선을 꽂지 않고도 내부 가상 네트워크를 만들 수 있습니다.

이 역할을 하는 것이 바로 Proxmox의 브릿지입니다.

브릿지는 쉽게 말해 Proxmox 안에 있는 가상 스위치입니다.

VM들이 이 가상 스위치에 연결되면, 실제 랜선을 꽂은 것처럼 서로 통신할 수 있습니다.

제 구성에서는 다음과 같이 역할을 나누었습니다.

vmbr1 = WAN 방향 브릿지
vmbr0 = 내부 가상 LAN 브릿지

 

vmbr1은 실제 인터넷 회선이 들어오는 물리 NIC와 연결했습니다.

그래서 OPNsense의 WAN 인터페이스는 vmbr1에 연결했습니다.
반면 vmbr0은 물리 LAN선과 연결하지 않고,

Proxmox 내부에서만 사용하는 가상 LAN 브릿지로 구성했습니다.

 

nic1번을 vmbr0에 배치만 해놓은 이유는 혹시 모르는 경우를 대비하여 나중에 노트북으로 워크스테이션에

직결하여 문제를 해결하기 위해 배치해놨습니다.

 

OPNsense의 LAN 인터페이스와 Proxmox 관리망, 내부 VM들은 이 vmbr0을 통해 연결됩니다.

정리하면 OPNsense 입장에서는 WAN과 LAN 인터페이스가 모두 존재합니다.

다만 WAN은 실제 물리 NIC를 통해 외부 인터넷과 연결되고, LAN은 Proxmox 내부의 가상 브릿지와 연결됩니다.

이 구조 덕분에 물리 LAN선을 따로 꽂지 않아도

Proxmox 내부 VM들을 OPNsense 뒤쪽 내부망에 배치할 수 있습니다.

제가 의도한 최종 구조는 다음과 같습니다.

[인터넷]
↓
[물리 WAN선]
↓
[Proxmox 물리 NIC]
↓
[vmbr1 - WAN 브릿지]
↓
[OPNsense WAN]
↓
[OPNsense Firewall / Router]
↓
[OPNsense LAN]
↓
[vmbr0 - 내부 가상 LAN 브릿지]
↓
[Proxmox 관리 IP / 내부 VM / CML / 테스트 서버]

설계를 어느정도 마무리했다면

이제 OPNsense 설치 이미지를 다운로드해야 합니다.

OPNsense는 공식 홈페이지에서 받을 수 있습니다.

https://opnsense.org/

 

다운로드 페이지에 들어가면 아키텍처와 이미지 타입을 선택할 수 있는데,

Proxmox VM에 설치할 목적이라면 일반적으로 amd64 아키텍처와 dvd 이미지 타입을 선택하면 됩니다.

amd64는 일반적인 64비트 PC나 서버에서 사용하는 구조입니다. dvd 이미지는 설치용 ISO 파일이라고 보면 됩니다.

ISO 파일은 운영체제를 설치할 때 사용하는 가상 설치 디스크입니다.

예전에는 CD나 DVD에 운영체제를 구워서 설치했다면,

지금은 ISO 파일을 VM에 연결해서 설치하는 방식이라고 생각하면 됩니다.

다운로드를 받으면 파일이 바로 .iso 형태가 아니라 .bz2로 압축되어 있을 수 있습니다.

이 경우에는 Proxmox에 올리기 전에 압축을 먼저 풀어야 합니다.

압축을 풀고 나면 최종적으로 .iso 파일이 생성됩니다.

이 ISO 파일을 Proxmox에 업로드해서 OPNsense VM 설치에 사용하게 됩니다.

다음으로 Proxmox 웹 관리 페이지에 접속합니다.

Proxmox에서는 VM을 만들 때 설치용 ISO 파일을 먼저 스토리지에 업로드해야 합니다.

저는 Proxmox 웹 화면에서 local 스토리지로 들어간 뒤,

ISO Images 메뉴에서 OPNsense ISO 파일을 업로드했습니다.

경로는 대략 다음과 같습니다.

Datacenter
→ Proxmox 노드
→ local
→ ISO Images
→ Upload

ISO 업로드가 끝났다면 이제 OPNsense VM을 생성할 차례입니다.

VM 생성 과정에서 가장 중요한 부분은 CPU나 메모리보다 네트워크 어댑터 설정입니다.

OPNsense는 일반적인 서버 VM과 다르게 방화벽과 라우터 역할을 해야 하기 때문에

WAN과 LAN 인터페이스가 구분되어야 합니다.

저는 OPNsense VM에 네트워크 장치를 두 개 추가했습니다.

첫 번째 네트워크 장치는 WAN용으로 vmbr1에 연결했습니다.
두 번째 네트워크 장치는 LAN용으로 vmbr0에 연결했습니다.

즉, OPNsense VM 입장에서는 랜카드가 두 개 있는 것처럼 보입니다.

하나는 외부 인터넷으로 나가는 WAN 포트이고, 다른 하나는 내부 가상 네트워크로 연결되는 LAN 포트입니다.

이때 물리적으로 꽂혀 있는 랜선은 WAN선 하나뿐입니다.

LAN 쪽은 실제 랜선을 꽂지 않고 Proxmox 내부 가상 브릿지인 vmbr0을 사용했습니다.

그래서 OPNsense LAN과 Proxmox 관리망, 내부 VM들이 모두 vmbr0을 통해 통신하게 됩니다.

이 구조가 중요한 이유는 Proxmox 관리 페이지가 WAN에 직접 노출되지 않기 때문입니다.

Proxmox 관리 IP는 OPNsense LAN 뒤쪽에 위치하게 됩니다.

그래서 외부에서 Proxmox에 바로 접근하는 것이 아니라, OPNsense를 통해 내부망으로 접근하는 구조가 됩니다.

저는 내부망 대역을 다음과 같이 구성했습니다.

OPNsense LAN IP: 192.168.20.1/24
Proxmox 관리 IP: 192.168.20.2/24
내부 네트워크 대역: 192.168.20.0/24

여기서 192.168.20.1은 내부 네트워크의 게이트웨이 역할을 합니다.

게이트웨이는 다른 네트워크로 나갈 때 거쳐가는 출구입니다.

내부 VM이나 Proxmox가 인터넷으로 나가려면 OPNsense를 거쳐야 하므로,

기본 게이트웨이는 OPNsense LAN IP인 192.168.20.1로 설정하는 것이 자연스럽습니다.

예를 들어 Proxmox의 관리 IP가 192.168.20.2라면,

Proxmox의 기본 게이트웨이는 192.168.20.1로 잡는 구조입니다.

OPNsense는 방화벽 OS이기 때문에 과하게 많은 자원을 줄 필요는 없습니다.

하지만 패키지 설치, 로그 저장, VPN 사용 등을 고려하면 너무 작게 잡는 것도 좋지 않습니다.

저는 처음 구성 기준으로 다음과 같이 잡았습니다.

CPU: 2 Core
Memory: 4GB
Disk: 32GB
Network 1: vmbr1
Network 2: vmbr0

이후 VM을 생성하고 OPNsense ISO로 부팅하면 설치 화면이 나타납니다.

설치 과정에서는 installer 계정으로 로그인한 뒤 설치를 진행하면 됩니다.

설치 과정 자체는 일반적인 OS 설치와 비슷합니다.

설치할 디스크를 선택하고, 기본 설치를 진행한 뒤, 설치가 완료되면 재부팅하면 됩니다.

설치가 완료되면 VM을 재부팅하기 전에 Proxmox에서 CD/DVD에 연결된 ISO를 제거해주는 것이 좋습니다.

ISO를 그대로 둔 상태로 재부팅하면 다시 설치 화면으로 들어갈 수 있기 때문입니다.

설치가 끝난 뒤에는 OPNsense가 가상 디스크에 설치되어 있으므로 ISO는 더 이상 필요하지 않습니다.

설치가 끝난 뒤에는 OPNsense 콘솔 화면에서 WAN과 LAN 인터페이스가 제대로 잡혔는지 확인했습니다.

여기서 인터페이스가 반대로 잡히면 WAN과 LAN이 뒤바뀌기 때문에 네트워크가 의도대로 동작하지 않을 수 있습니다.

만약 WAN과 LAN이 바뀌어 있다면 OPNsense 콘솔 메뉴에서 인터페이스를 다시 할당하면 됩니다.

이 부분은 처음 설정할 때 가장 헷갈릴 수 있는 부분입니다.

결국 중요한 것은 어떤 NIC가 외부 인터넷 방향이고, 어떤 NIC가 내부 네트워크 방향인지 정확히 맞추는 것입니다.

제 구성에서는 WAN은 vmbr1, LAN은 vmbr0에 연결되도록 맞췄습니다.

초기 설정이 끝나면 브라우저에서 OPNsense 웹 관리 페이지에 접속할 수 있습니다.

저는 OPNsense LAN IP를 192.168.20.1로 설정했기 때문에 다음 주소로 접속했습니다.

https://192.168.20.1

이 주소는 OPNsense의 LAN 쪽 관리 주소입니다. 만약 LAN IP를 다르게 설정했다면 해당 주소로 접속하면 됩니다.

웹 관리 페이지에 접속한 뒤에는 기본 비밀번호를 변경하고, 내부 네트워크 설정을 확인했습니다.

특히 먼저 확인한 부분은 LAN IP, WAN 상태, 게이트웨이, DHCP 서버 설정이었습니다.

DHCP는 내부 장비들에게 자동으로 IP를 나눠주는 기능입니다.

예를 들어 내부 VM이나 노트북이 네트워크에 연결되었을 때,

직접 IP를 입력하지 않아도 192.168.20.x 대역의 IP를 자동으로 받을 수 있게 해줍니다.

저는 range를 192.168.20.100~200 DHCP 자동 ip 할당 범위로 지정했습니다.

다만 제 경우에는 Proxmox 관리 IP처럼 중요한 장비는 고정 IP로 두는 것이 좋다고 판단했습니다.

Proxmox 관리 주소가 계속 바뀌면 웹 관리 페이지에 접속할 때 불편하고,

방화벽 룰을 만들 때도 관리가 어려워지기 때문입니다.

그래서 Proxmox는 192.168.20.2로 고정하고, OPNsense LAN은 192.168.20.1로 설정했습니다.

이렇게 구성하면 내부 VM들은 OPNsense를 게이트웨이로 사용하고,

Proxmox 역시 OPNsense LAN 뒤쪽 관리망에 위치하게 됩니다.

이번 구성에서 핵심은 단순히 OPNsense를 설치하는 것이 아닙니다.

중요한 것은 Proxmox와 내부 VM들을 OPNsense 뒤쪽에 배치했다는 점입니다.

기존에는 Proxmox가 네트워크의 중심에 가까웠다면,

이제는 OPNsense가 외부와 내부 사이의 출입구 역할을 하게 됩니다.

외부와 내부 사이에 OPNsense를 두면서 방화벽, 라우팅, VPN, 트래픽 제어 같은 기능을

더 체계적으로 관리할 수 있는 구조가 만들어졌습니다.

최종적으로 의도했던 것과 그대로 제가 구성한 흐름은 다음과 같습니다.

외부 인터넷
→ 물리 WAN선
→ Proxmox WAN 브릿지
→ OPNsense WAN
→ OPNsense 방화벽
→ OPNsense LAN
→ Proxmox 내부 가상 LAN 브릿지
→ Proxmox 관리망
→ 내부 VM 및 홈랩 서비스

물리 LAN선을 따로 연결하지 않았기 때문에 처음에는 조금 헷갈릴 수 있습니다.

하지만 Proxmox 위에서만 홈랩 VM들을 운영하는 구조라면,

LAN을 반드시 물리 랜선으로 구성할 필요는 없습니다.

Proxmox 내부 가상 브릿지를 LAN처럼 사용하면 OPNsense 뒤쪽에 내부망을 만들 수 있습니다.

다만 이 구조에서는 OPNsense가 정상적으로 동작해야 내부망 접근이 원활합니다.

만약 OPNsense 설정을 잘못하거나 VM이 내려가면 Proxmox 관리 페이지 접근이 어려워질 수 있습니다.

그래서 추후에는 비상 상황을 대비해 별도의 관리용 포트를 구성하거나,

직접 콘솔로 접근할 수 있는 방법을 마련해두는 것도 좋다고 생각했습니다.

(위에 미리 설명했듯이 nic1번을 비상용 물리 포트로 지정했습니다.)

 

추가로 OPNsense세팅 후 proxmox관리페이지에서 

vmbr0에 Proxmox관리페이지 할당해놓고

게이트웨이 ip (OPNsense ip)를 할당안해서 왜 안돼지 이러면서 2시간을 썼습니다.

하하...

잘 세팅해놓고 왜 안된다면 게이트웨이를 ip를 잘 할당했는지 확인해보시길 바랍니다.

이번 글에서는 OPNsense를 다운로드하고, Proxmox에 ISO를 업로드한 뒤,

물리 WAN선 하나와 Proxmox 내부 가상 LAN 브릿지를 이용해 OPNsense를 설치하는 과정까지 정리했습니다.

처음에는 WAN과 LAN을 모두 물리적으로 나누어야 한다고 생각했지만,

Proxmox 위에서 VM 중심으로 홈랩을 구성한다면 내부 LAN은 가상 브릿지로 충분히 만들 수 있었습니다.

네트워크 설계는 완벽할 순 없지만 나중의 편의와 확장성을 위해

완벽한 설계를 하기 위해 노력하는 것이 중요한 것 같습니다.

 

더 큰 네트워크 설계에서도 나중의 편의와 확장성을 위해(삽질하지 않기위해) 더 열심히 공부해서 

확장성과 보안성이 좋게 처음부터 설계를 잘 해야 되겠다고 다시 한번 느끼게 해준 OPNsense설치 과정이였습니다.

읽어주셔서 감사합니다:)