이전질문글 요약)
안녕하세요 아는 것 이라고는 실무경험없이 정보처리기사 자격증이 다 인 초보 2CPU 회원입니다...
목표는 업장내의 PC 전량인 82대를 RDP로 묶는 것입니다. 다만 고작 8대인데도 네트워크가 뻗어서
수십초간 인터넷이 멎어버리는 증상이 지속적으로 나타났습니다. (UTM장비가 처리가능한 용량을 초과한것으로 추정)
이에 UTM과 L2스위치 사이에 L3라우터혹은 방화벽으로 해결해야겠다는 잠정결론을 얻었습니다.
현재 진행상황)
2CPU 선배님들의 조언덕분에 놀고있는 1U 짜리 4포트 이더넷 단자가 있는 J1900 CPU 탑재된 컴퓨터를 이용하여
OPNsense로 내부패킷을 라우팅해주어 UTM 과부하를 방지해줄 장비를 구성하였습니다.
OPNsense 설치까지 완료되고 내부망 구성중인데, 제가 지식이 너무 부족하다보니 이런 기초적인것조차 어렵더군요...
1번포트가 Wan 단자가 되었고, 0번포트는 Lan 단자가 되었습니다.
질문1) 이렇게 구성하면되는것일까요?
(UTM의 DHCP서버 ip대역은 192.168.1.1 ~ 192.168.1.253입니다. 게이트웨이는 192.168.1.254 입니다.)
UTM장비 - 자작라우터 Wan단자 > 자작라우터 Lan단자 - L2스위치 > 클라이언트 PC
이렇게 랜케이블을 연결하게 되면 맞는것일까요?
질문2) OPNsense DHCP서버, 게이트웨이, ip지정을 모르겠습니다 ㅠㅠ
설치 완료후 부팅된 화면입니다. 랜케이블을 연결하니 UTM장비 DHCP서버가 작동중이라서 자동으로지정되더군요
OPNsense에서 UTM으로부터 통신을 받을때 (Wan인지 Lan인지..) 고정ip로 빈대역 배정해서 받으면될까요?
게이트웨이는 UTM장비 게이트웨이인 192.168.1.254 를 넣으면되는것일까요?
질문3) 클라이언트PC들은 고정ip로 192.168.1.1 ~ 192.168.1.8X를 사용중인데요
UTM장비 - 자작라우터 Wan단자 > 자작라우터 Lan단자 - L2스위치 > 클라이언트 PC 이렇게 연결했는데
PC들이 전부 인터넷이 작동이 되지않더군요...
DHCP서버를 끄고? 브릿지모드? 같은걸로 설정을 바꾸어 UTM이 부여하게끔 해야할까요?...
구글링을 해보아도... 한국어 참고자료가 너무적고... 구글번역으로 해외원문자료를 읽어도
해결이 될 기미가 보이질않아 실례를 무릅쓰고 질문글을 올립니다 ㅠㅠ
주말안으로 꼭 해결해보고 싶네요... 주말엔 퇴근하고 가족들이랑 밥먹고 싶습니다ㅜㅜ
1 utp 연결은 그렇게 하시면 됩니다
2 bridge모드냐 l3구성이냐에 따라 달라집니다
3 opnsense에서 nat를 disable해서 처리하셔야 합니다.
이렇게 구성해보겠습니다 ㅎㅎㅎ!!!
브릿징 하면, 브릿지된 nic/포트들 중 성능 낮은놈으로 평준화 됩니다.
기본적으로, 1g/ 10g 브릿하면, 10g 성능을 약화하는식..
이라는 '소닉쿠'회원님의 답변이 있으시길래 L3로 구성하고있습니다!!
(VLan도 사용하지 않습니다) 덕분에 큰 도움이 되었습니다 ㅠㅠ
좀더 공부해보겠습니다... (하단 자료발견)
[구글링 검색결과]
Bridge Mode Firewall : Transparent 기능
방화벽 H./W는 2개 이상의 인터페이스를 가지고 있다. 각 인터페이스는 라우팅을 기본으로 패킷을 전달한다.
이를 위해 네트워크 변경작업이 필요하다.
하지만 이런 구조가 공격자들에게는 방화벽 설치유무, 위치를 노출한다.
이런 단점을 보완하기 위해 허브(Hub)나 L2 스위치처럼 IP를 부여하지 않고 방화벽을 설치한다.
Bridge 모드 or Transparent 모드다.
장점으로 제는 방화벽 설치를 위해 기존 네트워크를 변경하지 않는다. 구축시간이 빠르고 장애복구가 쉬운 환경이 만들어진다.
또한 IP계층(L3)으로 패킷을 전달하는 과정이 줄어들어 성능향상이 된다.
(참고. IP계층 패킷 전달 4단계 과정)
#1. 커널 -> IP계층으로 패킷 전달
#2. 라우팅 테이블 검색 과정
#3. 데이터링크 계층(L2) 주소(Ethernet) 변환
#4. 프로토콜 재설정 과정
자연스럽게 내부의 사설IP를 NAT시키는 기능은 사용 불가한 단점이 있다.
Router Mode Firewall : Bridge Mode 방화벽과 반대로 IP라우팅을 함
가장 기본적인 방화벽이다. 네트워크에 대한 라우팅 기능을 한다. Route Mode 방화벽이라 한다.
보안때문에 정적라우팅을 기본으로 하고, RIP, OSPF 등 동적라우팅도 제공한다.
힌트를 얻어 이런저런 자료를 찾아 공부해보니 L3가 더 나을것 같아용...
자작라우터 사용목적이 UTM이 과부하로 죽어버리는것을 방지하는게 최우선이기 때문입니다~^^!!!
또한 클라이언트 PC들은 1G망이고 자작라우터 + 메인서버로둘 PC는 10G망이니 이것까지 감안하니
예상 트래픽 대역폭 (2500~4000Mbps)까지 고려한다면 브릿지보단 L3 구성이 맞을것같아용~!!!!
그렇다면 브릿지모드가 아니니 자연스레 DHCP 서버를 구성해주어야할것이고?...
NAT 서비스를 해주어서 라우터 DHCP 서버 내부망이지만 UTM과 통신할때는 다시 UTM의 IP를 받게끔? 해야겠네용?...
하지만 마지막 답변주신걸 보니깐...
opnsense에서 nat를 disable해서 처리하셔야 합니다. <- 이게 걸리는군요...
마지막 2가지 경우의수는 둘다 한번테스트해보겠습니다!!!
감사합니다 선배님 큰 도움이 되었습니다 ㅠㅠ!!!
하이온넷에서 셋팅해둔 OS로 VPN 서비스를 사용 하고있어서... 임의로 바꿀수가없다네요 ㅠㅠ
통신사 장비 -> UTM -> L2 -> 각 개별 PC 상태이시면
통신사 장비 남는 포트 -> 자작 라우터 > L2 -> 각 개별 PC로 연결하시고 VPN 장비는 VPN 용으로 따로 두시는 게 좋아 보입니다.
장비 스펙 보니 600Mbps 짜리인데.. 이거로 PC 80대는 택도 없습니다.
[참고로 VPN서비스는 100Mbps 속도제한 상품입니다...]
맞습니다... 그래서 L3스위치를 이용하여
개별PC들간의 RDP 패킷을 처리해주려고 하였습니다
UTM은 내-외부 인터넷 통신만 해야할 스펙이라고 보여서용... ㅠㅠ
질문을 보았을때 이중으로 DHCP가 생성된 것 같기도 하고 (간단히 공유기 두개 세개 달기 같은)
PC방에서 IP받을때 고정 IP인지 아니면 사설 IP인지도 모르겠고..
이래저래 복잡만 하고 정리가 안되어 있습니다..
종이 한장 놓고 망도 그려가면서 정리해보시고 장비들끼리 중첩되는 서비스나 충돌하는 서비스가 있을지도 확인해보세요..
현재 인터넷 라인의 속도(성능)가 얼마나 되는지 (어떤 속도의 제품을 사용하는지) 도 중요합니다..
트래픽은 아무리 솟구쳐도 그것을 받쳐 줄 인터넷 라인의 성능이 부족하면 말짱 꽝입니다..
1. UTM은 DHCP서버가 작동중입니다.
2. PC방 ip는 공인ip 입니다만... X.X.X.1 ~ X.X.X.155 처럼 동일대역으로 되어있어서
다중계정 접속시 모바일 게임 게임사 약관에 위반되므로 155번 ip를 UTM에 부여해 VPN 서비스를 이용중이였습니다.
VPN서비스가 UTM장비에 OS에 포함되어있습니다! 개인보유장비로는 안된다고 합니다...
3. 인터넷은 기가비트이나, VPN서비스가 100M 속도제한상품입니다 ㅠㅠ
4. 내부망은 현재 1기가비트로 구성중이나, 10기가 장비가 전부 구비되어있어 차후 성능을 올리려고합니다!
5. DHCP가 이중(?)으로 되어있으나 대역을 다르게해두었습니다.
UTM - 192.168.1.X // 공유기 - 192.168.1.1을 고정ip로 > 192.168.0.X로 사용중입니다!
이외의 장비는 다른망이며, DHCP구성중인 장비는 없습니다
감사합니다 지식이없다보니 명확한 질문을 하려고 노력해보았으나... 중구난방식으로 되어있었네요 ㅠㅠ