미크로틱(Mikrotik) 와이어가드 VPN 설정 관련 질문 드립니다.

쓰기

미크로틱(Mikrotik) 와이어가드 VPN 설정 관련 질문 드립니다.

03-27

2025-03-27 11:02:41

조회 510 추천 0

안녕하세요

미크로틱 라우터에 설정된 와이어가드 커넥션을 특정 이더넷 포트로 연결 하는 설정 방법을 질문드립니다.

현재 해외 거주 하고있고 넷플릭스 및 한국 IP에서만 접근 할 수 있는 컨텐츠 또는 웹서비스 때문에 한국 본가에 Asus 공유기(EBG15)로 와이어가드 VPN 서버로 설정 후 해외에서 한국 IP로 인터넷 접속이 필요 할 때 마다 따로 PC를 사용하여 VPN 접속하여 사용하였습니다.

그러다 기기마다 접속 설정을 바꿔가며 접속하는것이 불편하여 해외 거주중인 집의 오래된 넷기어 공유기를 한국 본가에 있는것과 같은 공유기(Asus EBG15)로 교체하여 Vlan 및 와이어가드 설정 후 사용 하였습니다. 하지만 성능상의 문제인지 (IOT기기와 모바일 기기로 인해 무선으로 AP를 통해 붙어 있는 기기가 50대 정도 됩니다.) 인터넷 접속이 불안정 하고 일주일에 한두번씩 작동을 멈춰 공유기 리부팅을 시켜줘야 하는 불편함으로 스트레스를 받아 가격이 그나마 저렴한 CCR2004 모델로 교체 하였습니다.

저는 네트워크에 대해 따로 교육받은적도 없고 라우터라는 물건을 처음 만져보았는데 인터넷에 있는 정보로 Vlan 및 다른 필요한 설정과 와이어가드VPN 설정까지는 수월하게 되어 핸드 쉐이크 까지 잘 되는데 설정된 와이어가드VPN 커넥션을 물리적인 특정 이더넷 포트로 어떻게 연결 시켜야 하는지 몰라 글을 남기게 되었습니다.

인터넷에 있는 몇몇글에는 기본 브릿지에서 연결할 포트 제거 후 격리된 서브넷 생성 한다음 라우팅 테이블 따로 만들고 라우팅설정 그리고 마스쿼레이드 설정해도 ping 조차도 넘어가지 않네요...

첨부한 다이어 그램의 빨간 네모칸에 있는 공유기를 없애고 Asus의 와이어가드VPN기능을 CCR2004에 넣어 Vlan에 연결 시키거나 특정 이더넷 포트로 빼내어 AP로 연결하고 싶은데 인터넷에 나와있는 방법을 몇번을 적용해도 저는 작동하지 않네요.

설정법을 조언 주시면 감사하겠습니다.



박건 03-27 wireguard는 Layer3 VPN이므로, 장비 내에서 이더넷 포트로 직접 연결할 수는 없습니다. 두가지 정도의 방법이 떠오르는데, 이 것이 인터넷에서 보신 내용일 듯 싶네요. 1. 별도의 이더넷 포트 또는 VLAN 인터페이스를 지정해서 한국으로 접속 가능한 내부 대역을 별도로 만들고 wireguard 인터페이스에 대하여 NAT 2. 접속할 한국 IP 대역을 지정해서 그쪽만 wireguard 인터페이스를 바라보도록 policy based routing 포트로 직접 연결이 필요한 경우에는 EoIP, L2TP 등 Layer2 VPN을 사용하셔야 합니다. wireguard는 Layer3 VPN이므로, 장비 내에서 이더넷 포트로 직접 연결할 수는 없습니다. 두가지 정도의 방법이 떠오르는데, 이 것이 인터넷에서 보신 내용일 듯 싶네요. 1. 별도의 이더넷 포트 또는 VLAN 인터페이스를 지정해서 한국으로 접속 가능한 내부 대역을 별도로 만들고 wireguard 인터페이스에 대하여 NAT 2. 접속할 한국 IP 대역을 지정해서 그쪽만 wireguard 인터페이스를 바라보도록 policy based routing 포트로 직접 연결이 필요한 경우에는 EoIP, L2TP 등 Layer2 VPN을 사용하셔야 합니다.



Babmabar 03-27 아 역시 안되는걸 하려고하니 제데로 되지 않는거였네요. Wireguard가 Layer3 VPN 인것도 처음 알았습니다. 박건님 덕분에 이제 안되는 이유가 해소 되었습니다. 다시 차근차근 설정을 해 봐야 겠습니다. 답변 감사 드립니다. 아 역시 안되는걸 하려고하니 제데로 되지 않는거였네요. Wireguard가 Layer3 VPN 인것도 처음 알았습니다. 박건님 덕분에 이제 안되는 이유가 해소 되었습니다. 다시 차근차근 설정을 해 봐야 겠습니다. 답변 감사 드립니다.



Babmabar 03-29 안녕하세요? 박건님 답글을 참고하여 차근차근 다시 설정을 변경해 보았습니다. 혹시 질문 하나만 더 드려도 괜찮을까요? 제시하신 1번의 방법으로 1) 이더넷 포트(Eth7)를 기본 브릿지에서 분리 2) 서브넷 생성(Address Pool 생성 / DHCP 서버 생성 / DHCP의 Network 탭에 서브넷 추가 및 DNS Servers -> 와이어가드 gateway 주소, 한국 내부 공유기주소 지정) 3) 생성된 서브넷을 1)번의 이더넷 포트에 설정(Address list 에 2)번 에서 생성한 대역 입력 후 Interface -> Eth 7 지정.) 4) 별도의 라우팅 테이블 생성(VPN_Table) 5) 라우트 룰 설정(새로 생성된 라우팅 테이블<VPN_Table>을 Lookup only in table 로 설정) 6) 라우트 리스트에서 터널링 된 Wireguard의 Address / gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정.<기본 생성된 설정이 삭제가 안되서 새로 추가함> 7) 라우트 리스트에서 한국쪽 내부네트워크 서브넷의 Address /gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정. 8) 라우트 리스트에서 Eth7 에 대해 2)에서 생성된 서브넷 Address / gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정. 9) 방화벽에서 Dst-net 설정(Src. Address -> 2)에서 생성된 서브넷 / To Address -> Wireguard IP주소) 9-1) 방화벽에서 마스커레이드(Src. Address -> 2)에서 생성된 서브넷 / Out Interface -> Wireguard) 의 경우에는외부 핑 테스트 안됨. 10) 방화벽에서 Forward / Accept 설정(Src. Address -> 2)에서 생성된 서브넷 / Out Interface -> Wireguard) 11) 방화벽에서 Forward / Accept 설정(Dst. Address -> 2)에서 생성된 서브넷 / In Interface -> Wireguard) * 새로 생성된 서브넷 대역은 한국/현지 네트워크의 서브넷 주소 대역 들과 겹치는 곳이 없습니다. * 한국의 Asus공유기의 Allow Server IP 에 현지 미크로틱 라우터에서 새로 생성한 서브넷 추가 하였습니다. * 한국의 Asus공유기의 Allow Client IP 에 0.0.0.0/0 으로 설정 되어 있습니다. 이렇게 설정하니 Eth7 에 연결된 디바이스에 한국 본가의 내부네트워크 접속(한국 공유기 설정페이지 접속 확인)과 외부 Ping 테스트까지 잘 되는데 인터넷이 왜 안되는지 모르겠습니다. 또한 Ping Test에서 IP주소가 아닌 "naver.com" 으로 입력하면 223.130.192.248 로 핑 테스트가 자동으로 IP주소로 변경하여 핑 테스트까지 잘 되는거 보면 DNS 문제는 아닌것 같다는 생각이 됩니다. 심지어 웹 브라우저에 직접 IP주소를 직접 입력해도 접속이 되지 않습니다. 혹시 어떤 부분이 문제인지 조언 주실 수 있을까요? 읽어주셔서 감사드립니다. 안녕하세요? 박건님 답글을 참고하여 차근차근 다시 설정을 변경해 보았습니다. 혹시 질문 하나만 더 드려도 괜찮을까요? 제시하신 1번의 방법으로 1) 이더넷 포트(Eth7)를 기본 브릿지에서 분리 2) 서브넷 생성(Address Pool 생성 / DHCP 서버 생성 / DHCP의 Network 탭에 서브넷 추가 및 DNS Servers -> 와이어가드 gateway 주소, 한국 내부 공유기주소 지정) 3) 생성된 서브넷을 1)번의 이더넷 포트에 설정(Address list 에 2)번 에서 생성한 대역 입력 후 Interface -> Eth 7 지정.) 4) 별도의 라우팅 테이블 생성(VPN_Table) 5) 라우트 룰 설정(새로 생성된 라우팅 테이블<VPN_Table>을 Lookup only in table 로 설정) 6) 라우트 리스트에서 터널링 된 Wireguard의 Address / gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정.<기본 생성된 설정이 삭제가 안되서 새로 추가함> 7) 라우트 리스트에서 한국쪽 내부네트워크 서브넷의 Address /gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정. 8) 라우트 리스트에서 Eth7 에 대해 2)에서 생성된 서브넷 Address / gateway 설정을 새로 생성된 라우팅 테이블<VPN_Table>로 설정. 9) 방화벽에서 Dst-net 설정(Src. Address -> 2)에서 생성된 서브넷 / To Address -> Wireguard IP주소) 9-1) 방화벽에서 마스커레이드(Src. Address -> 2)에서 생성된 서브넷 / Out Interface -> Wireguard) 의 경우에는외부 핑 테스트 안됨. 10) 방화벽에서 Forward / Accept 설정(Src. Address -> 2)에서 생성된 서브넷 / Out Interface -> Wireguard) 11) 방화벽에서 Forward / Accept 설정(Dst. Address -> 2)에서 생성된 서브넷 / In Interface -> Wireguard) * 새로 생성된 서브넷 대역은 한국/현지 네트워크의 서브넷 주소 대역 들과 겹치는 곳이 없습니다. * 한국의 Asus공유기의 Allow Server IP 에 현지 미크로틱 라우터에서 새로 생성한 서브넷 추가 하였습니다. * 한국의 Asus공유기의 Allow Client IP 에 0.0.0.0/0 으로 설정 되어 있습니다. 이렇게 설정하니 Eth7 에 연결된 디바이스에 한국 본가의 내부네트워크 접속(한국 공유기 설정페이지 접속 확인)과 외부 Ping 테스트까지 잘 되는데 인터넷이 왜 안되는지 모르겠습니다. 또한 Ping Test에서 IP주소가 아닌 "naver.com" 으로 입력하면 223.130.192.248 로 핑 테스트가 자동으로 IP주소로 변경하여 핑 테스트까지 잘 되는거 보면 DNS 문제는 아닌것 같다는 생각이 됩니다. 심지어 웹 브라우저에 직접 IP주소를 직접 입력해도 접속이 되지 않습니다. 혹시 어떤 부분이 문제인지 조언 주실 수 있을까요? 읽어주셔서 감사드립니다.



박건 03-31 일본에 우분투 vps를 하나 파서, 대략 이러한 느낌으로 테스트해봤더니 잘 됩니다. #기본 인터넷 설정(내부망 192.168.200.0/24) #Wireguard 통신용 물리 인터페이스 분리 #Wireguard 통신용 물리 인터페이스에 IP부여(192.168.201.1/24) #Wireguard 통신용 물리 인터페이스에 DHCP설정(DNS : google DNS) #Wireguard 설정, 사용할 Wireguard 를 wireguard 인터페이스에(wireguard1) 부여 #라우팅 테이블 및 라우팅 설정 /routing table add disabled=no fib name=wg /ip route add ddst-address=0.0.0.0/0 gateway=wireguard1 routing-table=wg suppress-hw-offload=no /ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.200.0/24 new-routing-mark=wg passthrough=yes src-address=192.168.201.0/24 /routing rule add action=lookup disabled=no routing-mark=wg table=wg #NAT 추가 (기본 NAT룰 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1은 그대로 둠) /ip firewall nat add action=masquerade chain=srcnat out-interface=wireguard1 #우분투 VPS의 wireguard설정파일 [Interface]에 추가 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE 일본에 우분투 vps를 하나 파서, 대략 이러한 느낌으로 테스트해봤더니 잘 됩니다. #기본 인터넷 설정(내부망 192.168.200.0/24) #Wireguard 통신용 물리 인터페이스 분리 #Wireguard 통신용 물리 인터페이스에 IP부여(192.168.201.1/24) #Wireguard 통신용 물리 인터페이스에 DHCP설정(DNS : google DNS) #Wireguard 설정, 사용할 Wireguard 를 wireguard 인터페이스에(wireguard1) 부여 #라우팅 테이블 및 라우팅 설정 /routing table add disabled=no fib name=wg /ip route add ddst-address=0.0.0.0/0 gateway=wireguard1 routing-table=wg suppress-hw-offload=no /ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.200.0/24 new-routing-mark=wg passthrough=yes src-address=192.168.201.0/24 /routing rule add action=lookup disabled=no routing-mark=wg table=wg #NAT 추가 (기본 NAT룰 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1은 그대로 둠) /ip firewall nat add action=masquerade chain=srcnat out-interface=wireguard1 #우분투 VPS의 wireguard설정파일 [Interface]에 추가 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE



Babmabar 03-31 와ㅠㅠ 직접 해주셨군요... 정말 진심으로 감사드립니다. 무엇을 해도 안되서 포기하려던 찰나 박건님 설명데로 mangle 설정 하니 바로 됩니다. 다시한번 이렇게 알려주셔서 정말 감사드리며 좋은하루 되시길 바랍니다. 와ㅠㅠ 직접 해주셨군요... 정말 진심으로 감사드립니다. 무엇을 해도 안되서 포기하려던 찰나 박건님 설명데로 mangle 설정 하니 바로 됩니다. 다시한번 이렇게 알려주셔서 정말 감사드리며 좋은하루 되시길 바랍니다.



박건 04-01 잘 해결되셨다니 다행입니다. 좋은 하루 되십시오:) 잘 해결되셨다니 다행입니다. 좋은 하루 되십시오:)



dateno1 03-27 질문이랑 좀 다르지만 특정 컴에서 보실꺼라면 재생 전용 포터블 브라우저 준비후 클라 설치하고, 브라우저 설정에서 프록시로 잡아서 해당 브라우저 트래핑을 터널링 시키세요 아마 더 간단하고, 확실하게 될꺼에요 질문이랑 좀 다르지만 특정 컴에서 보실꺼라면 재생 전용 포터블 브라우저 준비후 클라 설치하고, 브라우저 설정에서 프록시로 잡아서 해당 브라우저 트래핑을 터널링 시키세요 아마 더 간단하고, 확실하게 될꺼에요



Babmabar 03-27 오.. 이런 방법도 있었네요. 한번 참고하여 설정 해 보겠습니다. 가족 구성원이 사용하기에도 간단할 것 같습니다. 답변 주셔서 감사드립니다. 오.. 이런 방법도 있었네요. 한번 참고하여 설정 해 보겠습니다. 가족 구성원이 사용하기에도 간단할 것 같습니다. 답변 주셔서 감사드립니다.



dateno1 03-27 여러대를 처리할려면 네트워크에 적용하는게 맞고, 1~3대정도라면 그냥 클라에서 소프트 돌리는게 간단할꺼에요 여러대를 처리할려면 네트워크에 적용하는게 맞고, 1~3대정도라면 그냥 클라에서 소프트 돌리는게 간단할꺼에요



Babmabar 03-28 네 감사합니다. 현재 가족 구성원들이 한국 IP를 사용하려 할때 사진속의 넷기어(WAX206)의 AP로 접속을 하는 중이라 미크로틱에서 삽질을 먼저 하고 있습니다. 한국 쪽 공유기 내부 네트워크 까지는 접속이 되는데 인터넷 접속이 안되네요... 역시 비전공 자에겐 너무 어려운것 같습니다.. ㅠㅠ 허브랙이 작아서 asus 공유기를 빼내고 싶은데 욕심인가 봅니다.. 네 감사합니다. 현재 가족 구성원들이 한국 IP를 사용하려 할때 사진속의 넷기어(WAX206)의 AP로 접속을 하는 중이라 미크로틱에서 삽질을 먼저 하고 있습니다. 한국 쪽 공유기 내부 네트워크 까지는 접속이 되는데 인터넷 접속이 안되네요... 역시 비전공 자에겐 너무 어려운것 같습니다.. ㅠㅠ 허브랙이 작아서 asus 공유기를 빼내고 싶은데 욕심인가 봅니다..

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

245/107