pfsense 의 dhcp server 아시는 분의 조언 부탁드립니다.

   조회 5683   추천 1    

사내 개발용 ESXi 서버 한 대와 IP 대역(static)을 제공받았습니다.


nic 을 한 개만 잡은 vm 하나를 만들고 pfsense 을 설치하고 ip 을 설정한 다음(wan) dhcp server 을 설정하려고 하니 subnet mask 가 0.0.0.0 으로 정해져있고, 이 상황에서 더 이상 진행이 안되더군요.

구글링을 통해 좀 찾아보니 pfsense 는 하나의 nic 에서는 dhcp server 가 안되고(방화벽이 기본이어서 그런건지...) 두 개의 nic 을 잡고서 lan 에 실제 ip 을, wan 에 임의의 IP 을 넣고 게이트웨이만 lan 으로 설정하라는...뭐 그런걸 봤습니다. 일단 이게 무슨 의미인지 몰라서 wan 과 lan 에 제공받은 ip 대역에서 2 개의 ip 을 각각 넣어주고, lan 의 ip 로 들어와서(wan ip 로는 웹 접속이 안되더군요) subnet mask 가 IP 에 맞는 정보가 나오고 아래 입력창에서 dhcp 시작~끝 ip 넣고 설정이 제대로 된 것을 확인하였습니다. 새로운 vm 만들 때 IP 을 해당 대역에서 받아오는 것 같았습니다. 즉, dhcp server 을 한 개의 스위치 내에서 직렬(?)로 연결됨을 확인하였습니다.


문제는 WAN 인데...IP 로 웹 접속도 안되고 "Block private networks and loopback addresses" 와 "Block bogon networks" 옵션이 체크가 되어 있으며 설정 변경 없이 저장도 안되는 상태입니다(IPv4 address wan IP/24 is being used by or overlaps with: LAN (lan IP/24)). 이 상태로 그냥 두고 쓰면 되는건지, 아니면 vm 콘솔에서 Set interface(s) IP address 에서 wan IP 을 0.0.0.0/0 으로 바꿔주고 gateway 을 lan IP 로 바꿔주는 걸 해야 할까요(이게 뭘 의미하는질 모르겠습니다).


나중에 추가로 해야할 것이 외부망과 pfsense vm 을 연결하고 pfsense 의 reverse proxy 같은 기능으로 내부의 다른 vm 의 특정 포트를 외부의 특정 포트로 나갈 수 있도록 설정하는 것인데...이것도 이 상태에서 가능할지 궁금합니다.

짧은글 일수록 신중하게.
김황중 2017-06
공유기와 똑같이 생각하시면
셋팅이 훨씬 쉬워지지 않을까 싶네요

물리랜은 무시하시고
일단 가상의 랜을 esxi상에서 만들어주신후
Pfsense에 할당해주신후
Pfsense 설정 해주심 됩니다

오늘은 몸이 살짝 아픈 상태여서
질문 내용을 자세히 못보고 남겨드리네요...^^;;
     
s김종화z 2017-06
물리랜이 아니라 가상랜이 1개일 경우 pfsense 에서 dhcp server 설정을 할 수 없어서입니다. 나중에 pfsense 를 이용해서 외부 인터넷을 내부의 vm 와 연결해주는 기능도 필요해서 좀 더 골치가 아프네요.
          
김황중 2017-06
싼 꽃게 랜이라도 하나 달아주세요...^^
Isp 설치기사님들에게 잘 얘기하면
그냥도 줍니다.
          
음...esxi 서버에 물리적인 랜이 한 개이고 가상머신으로 pfsense를 두고 vm들을 추가할때마다 인터넷을 연결(NAT)해주고 싶다는 말씀아닌가요?
말씀하시는 생성할 내부의 VM은 공인IP를 할당하는건가요 아니면 사설IP를 할당하는건가요?
사설 IP를 할당한다면 esxi에  가상스위치를 한개더 만드시고(vmnic할당없이)  pfsense에 nic추가하고 새로만든  가상스위치에 연결하시면 됩니다.
그 다음에 모든 VM은 vmnic할당없이 생성한 가상스위치에 붙이시면 됩니다.
               
s김종화z 2017-06
일단 물리적인 랜은 1개가 아니지만, 네트워크와 연결된 랜은 1개(vmnic0)입니다.

그리고 VM Network 라는 표준 포트 그룹을 하나 추가했구요.

pfsense 용 vm 을 하나 생성할 때 가상 NIC 을 하나만 만들었더니(em0, wan 이라는 이름으로 설정됨) 위에 언급한 것처럼 dhcp server 생성할 때 발급하는 subnet mask 가 0.0.0.0 으로 고정되고 원하는 형태대로 설정이 안되었습니다. 그래서 vm 을 끄고 가상 NIC 하나 추가해서(em1, lan 이라는 이름으로 설정됨) 설정했더니 subnet mask 가 정상적으로 보여서 설정을 마무리했습니다.

웹콘솔에서는 wan 의 정보를 변경할 수 없었고, vm 콘솔에서 wan 의 ip 정보를 뺀 뒤 웹콘솔에서 disabled 해놓은 상태입니다. 이 상태에서 리부팅까지는 안해봤네요.

요점은...pfsense 을 거쳐가는 형태가 아니라, pfsense 와 병렬로 위치한 다른 vm 에게 dhcp server 기능을 이용해 IP 을 분배하는 것, 그리고 pfsense 가 있는 vm 을 통해 특정 포트&도메인으로 접근할 경우 다른 vm 와 port forward or reverse proxy 로 접근할 수 있게 해주는 것입니다. 쉽게 가능할 걸로 봤는데, 생각처럼 안되네요.
음...제가 이해력이 부족한가 봅니다...

1. pfsense에서 다른 VM에 IP를 분배할 때 사설IP를 분배하시려고 하는것인가요? 아니면 pfsense의 WAN과 동일한 공인IP대역을 분배하시려는 것인가요?

2. pfsense가 있는 VM을 통해 특정포트& 도메인으로 포트포워딩이나 리버스프록시로 접근한다는 말은 결국은  pfsense의 제어권안에 두려는것 아닌가요?

요점은...pfsense 을 거쳐가는 형태가 아니라, pfsense 와 병렬로 위치한 다른 vm 에게 dhcp server 기능을 이용해 IP 을 분배하는 것, 그리고 pfsense 가 있는 vm 을 통해 특정 포트&도메인으로 접근할 경우 다른 vm 와 port forward or reverse proxy 로 접근할 수 있게 해주는 것입니다. 쉽게 가능할 걸로 봤는데, 생각처럼 안되네요.

위의 내용은 서로 내용이 상충이 된다고 생각되는데요...흠...
     
s김종화z 2017-06
1. 공인이라고 하긴 그렇지만, WAN 과 같은 대역의 IP 을 분배하려고 합니다. 내부망이라 WAN IP 대역 자체가 사설망이지만, 말씀하신 내용을 제가 생각해보면..."동일한" 이라는 것이 정확하다고 생각합니다.

2. 제어권 안이라기 보다는 1에서 언급한 것처럼 내부망이다 보니, 외부와 실제 연결이 될 수 있는 IP 는 전체 IP 중 1 개만 가능하도록 설정이 될 것인데, 이걸 pfsense 에서 같이 처리하고자 하는 것입니다. 굳이 이렇게 하려는 이유는 WAN-pfsense WAN-pfsense LAN-(다른 가상서버) 형태로 종속적으로 둘 경우 망에 대한 설명도 길어지기도 하고...pfsense 의 성능에 따라 또 한 번 성능감소가 있을까봐 입니다.



pfsense 의 lan 을 통해 모든 vm 이 거쳐가는 형태를 만들지 않으려는 이유 중 하나는, 개발 서버이기 때문에 굳이 방화벽이 필요없는데다가 물리서버의 nic 을 통해 들어오는 회선 외부에 이미 방화벽이 있어서 이중으로 방화벽을 통했을 때 발생하는 복잡함을 근원적으로 없애기 위해서입니다.
          
아..어느정도 이해가 되는군요..결국은 방화벽이 필요없는 내부망인데 pfsense를 두실려고 하는거네요?
방화벽이 필요없는 환경에서 pfsense같은 방화벽을 두실려고 하는이유를 모르겠습니다만 기본적으로  pfsense 는  NAT 방화벽입니다.
따라서 WAN interface 는 dhcp 서버를 구동하지 못합니다. dhcp client나  static으로만 동작을 합니다.
어거지로 꼭 pfsense를 사용하겠다면 결국은  pfsense에 두개의 인터페이스를 할당하고 bridge로 동작시키면 되겠지만 이미  VM스위치가 가상 L2 스위치기 때문에
pfsense를 거치는 것은 오히려 성능을 더 떨어지게되기 할것이라 의미가 없는 셈이죠..

쉽게 동일한 네트워크 대역의 IP를 새로 생성되는 VM에 뿌려주겠다고 하신다면 간단히 Windows server나 리눅스 서버로 VM을 하나 생성하시고 dhcp 데몬만 띄우시면 끝입니다..
복잡해질 이유가 없죠...

외부와의 연결을 관장하는 것은 결국은  vmnic0 과 연결된 상단 방화벽에서 관장하는것이죠 로컬(VM network)에서 처리할 수는 없습니다.
               
s김종화z 2017-06
원래는 zentyal 을 설치할까 했는데(몇 번 설치해 본 적이 있습니다) 좀 더 가벼운걸 원했습니다.

저야 리눅스 설치 후 dhcp server, haproxy 등을 쉘에서 직접 관리하면 되지만, Web Console 이 있는 프로그램들이 아무래도 관리가 쉬우니까요. 그리고 라이센스 상에서도 상용 환경에서도 문제가 없는걸 골라야 했구요. (윈도우즈 서버 역시 매달 사용량 산정 후 과금되기 때문에 설치 불가라고 합니다)

제일 좋은건 mikrotik 같은걸 구입해서 설치하는 것이겠지만...돈 들어가는건 제 돈 내고 사는 것도 안되는거라(무조건 상신해야 함) 선택지가 별로 없긴 합니다. 그렇다고 webmin 같은걸 깔아놨다간 OS 을 어떻게 손댈지 감도 안와서요...


QnA
제목Page 2964/5708
2014-05   5143833   정은준1
2015-12   1677979   백메가
2017-01   5351   메이
2006-04   5351   곽선호
2008-06   5351   방효문
2005-09   5351   정남영
2013-10   5351   GEUN
2015-10   5351   thslr74
2006-04   5351   노형석
2018-10   5351   봉래
2022-08   5351   최재영
2006-05   5351   김건우
2006-09   5351   김융기
2007-11   5351   강대섭
2016-02   5351   휘리릭12
2021-03   5351   고민형티버
2014-10   5351   김황중
2006-03   5351   윤호용
2017-12   5351   Sakura24
2007-09   5351   이영규
2008-06   5351   박중필
2007-08   5352   문병채