Mikrotik ½ºÀ§Ä¡·Î vlan ±¸¼ºÇؼ ¼³Á¤Çߴµ¥ ÀÎÅͳÝÀº µÇ´Âµ¥ ¿ÜºÎ¿¡¼ Á¢¼ÓÀÌ ¾ÈµÇ´Â ÀÌÀ¯°¡ ¹»±î¿ä?
안녕하세요 선생님들
도저히 안되는 원인을 몰라서 도움을 구합니다.
Proxmox로 pfsense, TrueNAS, Ubuntu, window를 가상화 하였습니다.
Pfsense에는 NIC를 하나 달아주고 나머지 가상 환경을 라우팅 해주려고 합니다.
또 ipmi 보안과 내부 네트워크 접속을 위해서 라즈베리파이로 vpn서버를 따로 만들어서 접속하려고 합니다.
서버의 전기가 많이 먹다 보니 밤에는 끄거나 안쓸때는 끄기 위해서 집에서 상시로 사용할 공유기도 따로 있습니다.
대략적인 그림은 아래와 같습니다.
Mikrotik CRS312-4C+8XG로 10G 8포트 sfp+(콤보) 4포트 있습니다.
KT모뎀에 4개의 연결 가능한 포트가 있어서 1개는 공유기, 1개는 미크로틱으로 연결했습니다.
1번 포트는 공유기 LAN에 연결된 포트 입니다.
2번 포트는 KT모뎀과 연결한 공용 IP를 받아오는 포트입니다.
그런데 ISP에서 주는 IP 주소가 다양합니다. KT 인터넷을 사용하다보니 공인 아이피를 주는듯 한데 첫자리가 119 혹은 210 혹은 183 입니다.
whatismyip등 공용 ip 확인하는 웹에 들어가보면 똑같이 나오긴 합니다.
라즈베리파이도 vlan 설정을 해줘서 trunk 포트에 연결해서 공용 ip 받아오고 pfsense에서도 받아옵니다.
현재 인터넷은 전부 접속 가능합니다.
pfsense도, 가상환경도 다 되지만 문제는 외부에서 공용 ip로 접속이 안됩니다.
외부에서 라즈베리파이와 pfsense가 받은 각각의 공용 ip로 접속하려고 ping을 날리면 request time out이 뜹니다.
하지만 pfsense도 인터넷이 잘 됩니다.
라즈베리파이를 물린 4번 포트를 access port로 만들어서 아이피를 받아오면 라즈베리파이의 외부접속은 잘됩니다.아래 셋팅 스크립트 올려드립니다.
조언 부탁드립니다 ㅠㅠ
/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan10 vlan-id=10
/interface bonding
add mode=802.3ad name=bonding_sfp12 slaves=combo1,combo2 \
transmit-hash-policy=layer-2-and-3
add mode=802.3ad name=bonding_sfp34 slaves=combo3,combo4 \
transmit-hash-policy=layer-2-and-3
/interface list
add name=ISP
add name=Trunk
add name=vlan10_list
add name=vlan20_list
add name=vlan100_list
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan10_list pvid=10
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan20_list pvid=20
add bridge=bridge ingress-filtering=no interface=ISP pvid=100
add bridge=bridge frame-types=admit-only-vlan-tagged interface=Trunk
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge tagged=ether3,bonding_sfp34,bridge,ether4 vlan-ids=10
add bridge=bridge tagged=ether3,bonding_sfp34,ether4 vlan-ids=20
add bridge=bridge tagged=ether3,bonding_sfp34,ether4 vlan-ids=100
/interface list member
add interface=ether2 list=ISP
add interface=ether3 list=Trunk
add interface=bonding_sfp34 list=Trunk
add interface=ether1 list=vlan10_list
add interface=ether5 list=vlan10_list
add interface=ether6 list=vlan10_list
add interface=bonding_sfp12 list=vlan10_list
add interface=ether7 list=vlan20_list
add interface=ether8 list=vlan20_list
add interface=ether4 list=Trunk
/ip address
add address=192.168.31.200/24 interface=vlan10 network=192.168.31.0
/system routerboard settings
set boot-os=router-os
vlan ³×Æ®¿öÅ© ³¢¸® Åë½Å °¡´ÉÇØ¿ä ..
ex) pfsense > ÀÎÅÍÆäÀ̽º > VLAN Gateway ¼³Á¤ ºÎºÐ ¾øÀ½À¸·Î ¼³Á¤
°ÔÀÌÆ®¿þÀÌ (pfsense) ¸¦ Ÿ°í´Â °¡´ÉÇÕ´Ï´Ù .
IPv4 ¾÷½ºÆ®¸² °ÔÀÌÆ®¿þÀÌ > None
¶óÁ¸®ÆÄÀÌ´Â pfsense¿¡ ¹°¸°°Ô ¾Æ´Ñµ¥ ¿ÜºÎ Á¢¼ÓÀÌ ¾ÈµË´Ï´Ù..
¶óÁ¸®ÆÄÀÌ, pfsense ¸ðµÎ °¢°¢ÀÇ °ø¿ë ip¸¦ ¹Þ½À´Ï´Ù.
¾÷½ºÆ®¸² °ÔÀÌÆ®´Â NoneÀ¸·Î ¼³Á¤ÇØ ³õ¾Ò½À´Ï´Ù.
ÀÌ°Ô ¼³Á¤ÀÌ µÇ¾î ÀÖÀ¸¸é ¾ÖÃÊ¿¡ pfsense ¾Æ·¡ ÀÖ´Â °¡»ó¸Ó½ÅÀÌ ÀÎÅͳÝÀÌ ¾ÈµÇ¼ NoneÀ¸·Î ¹Ù²Ù´Ï Àß µÇ¾ú½À´Ï´Ù.
pfsenseÀÇ ¼³Á¤ÀÌ ¹®Á¦°¡ ¾Æ´Ï¶ó mikrotikÀÇ ¼³Á¤ ¹®Á¦·Î º¸ÀÔ´Ï´Ù ¤Ð
1. ¹ÌÅ©·Îƽ ¼ÂÆà ¹®Á¦
¹ÌÅ©·Îƽ ¼ÂÆÃÀº Àß µÈµí ÇÕ´Ï´Ù.
À§ ¼ÂÆÿ¡¼ Á» ´õ ¼öÁ¤À» ÇßÁö¸¸ ¾Æ·¡ ¸µÅ© ¹®¼¸¦ Âü°íÇؼ ¼öÁ¤ º¸¿ÏÇß½À´Ï´Ù.
¹ÌÅ©·Îƽ vlan ¼³Á¤ °ü·ÃÇؼ ¾Æ·¡ ¿¹Á¦¸¦ Âü°íÇϽøé Å« µµ¿òÀÌ µÇ½Ç°Å °°½À´Ï´Ù!
https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table
2. raspberry pi ¿ÜºÎ Á¢¼Ó ¹®Á¦
raspberry pi¿¡ vlan ÆÐÅ°Áö¸¦ ¼³Ä¡Çؼ vlanÀ» Àâ´Â °ÍÀº ¼º°øÇßÁö¸¸ ÀÌ»óÇÏ°Ô ¿ÜºÎ¿¡¼ Á¢¼ÓÀÌ Àß ¾ÈµÇ¾ú½À´Ï´Ù.
³»ºÎ °ü¸® Å͹̳ηΠraspberry pi¸¦ ¼³Ä¡Çß°í wireguard·Î vpn ¿¬°áÀ» ÇßÁö¸¸ trunk port·Î Çϸé Àß µÇÁö ¾È¾Ò½À´Ï´Ù.
À§¿¡ ¹ÌÅ©·Îƽ ¿¹Á¦ÀÇ hybrid port·Î ¼³Á¤ÇÏ°í isp¿¡¼ ¿À´Â ÀÎÅͳÝÀ» untagged·Î ¹Þ¾Æ¿À´Ï ¹®Á¦ ¾øÀÌ Àß µÇ¾ú½À´Ï´Ù.
wireguard·Î ³»ºÎ ³×Æ®¿öÅ©¸¦ ¿¬°áÇÏ´Â ¼ÂÆÃ(iptable ¼³Á¤?)À» ÇØÁÖ´Ï vlanÀ¸·Î µ¥ÀÌÅ͸¦ Àß ÁÖ°í ¹Þ´Â °ÍÀ» È®ÀÎÇß½À´Ï´Ù.(¹ÌÅ©·ÎƽÀ¸·Î Æ®·¡ÇÈ È®ÀÎ)
3. pfsense Á¢¼Ó ¹®Á¦
pfsenseÀÇ vlan20¿¡ ¹°¸° vm¿¡ ±×¸²ÀÇ vlan10µµ ÀâÇô ÀÖ¾ú½À´Ï´Ù. µå¶óÀ̹ö ¼³Ä¡µî ÆíÀÇ»óÀÇ ÀÌÀ¯·Î vlan10µµ Àâ¾Æ³ù´Âµ¥ ÀÌ°Ô ¹®Á¦°¡ µÇ¾ú½À´Ï´Ù.
ÀÌ°É »©ÁÖ´Ï Á¤»óÀûÀ¸·Î Àß ¿¬°áµÇ¾ú½À´Ï´Ù.
À̹ø »ðÁúÀ» 1ÁÖÀÏ µ¿¾È ÇÏ¸é¼ ¸¹Àº°ÍÀ» ¹è¿ü³×¿ä..
raspberry pi¿¡ isp¸¦ vlanÀ¸·Î ³Ö¾îÁÖ¸é wireguard°¡ ¾ÈµÇ´Â°Ç »ó»óµµ ¸øÇß½À´Ï´Ù..
´Ù¾çÇÑ º¯¼ö ¶§¹®¿¡ Àß ¼³Á¤µÈ ¹ÌÅ©·Îƽ¸¸ Å¿ÇßÀ¸´Ï ¤Ð¤Ð¤Ð
¾Æ¹«Æ° ¸¹ÀÌ ¹è¿ö¼ Å« µµ¿òÀÌ µÇ¾ú³×¿ä ¤¾¤¾¤¾
¹ÌÅ©·ÎƽÀº ³×Æ®¿öÅ© °øºÎÇϱâ ÁÁÀº Àåºñ °°½À´Ï´Ù ¤¾¤¾