Proxmox + OPNsense 구축 팁

안녕하세요. 팡킨입니다.

이번에 알리익스프레스에서 N5105에 i226-v 4 포트 구성의 하드웨어를 구매했습니다. 서버에 방화벽을 구성할 목적으로 구매했는데 Proxmox 위에 구성하려니 어렵더군요. 그래서 Proxmox에 OPNsense 구성하면서 알게 된 팁들을 적어보려 합니다.

OVS Bridge를 사용하세요.

OVS Bridge는 스위치 허브가 하는 일을 소프트웨어가 하는 것으로 생각하시면 되는데요. OVS Bridge를 사용하지 않고 전부 패스스루하면 OPNsense VM이 죽으면 외부는 물론이고 내부망도 먹통이 됩니다.

OVS Bridge를 Proxmox에서 구성하고 OPNsense에 추가하면 메인 OS인 Proxmox만 켜져 있다면 적어도 내부망은 살아있어 Proxmox 웹에 접근할 수 있습니다. 아래 명령어로 openvswitch-switch를 설치하세요.

apt install openvswitch-switch

Proxmox 웹에서 노드-시스템-네트워크에서 기존 Linux Bridge의 내용을 기억하신 후 제거하세요. 기존에 사용하던 IP와 게이트웨이, 브릿지 포트를 입력하세요. 랜 포트가 여러 개라면 WAN으로 사용할 포트를 제외하고 입력하세요. 제 구성은 아래와 같습니다.

이제 구성 적용을 눌러 구성을 적용하세요. 기존 Linux Bridge와 동일하게 입력하셨으면 문제 없이 PVE에 접근할 수 있을겁니다. 이제 OPNsense 설치 후 설정하신 내용에 맞게 OVS Bridge 구성을 변경하시면 됩니다.

IDS를 사용하시려면 VM 설정을 바꿔야 합니다.

OPNsense를 구성하는 목적이라고 해도 과언이 아닌 IDS(침입감지 시스템)는 구성 중에 Pattern matcher 알고리즘을 정해줘야 합니다. 공식 문서에는 지원되는 경우 Hyperscan으로 설정하는 게 베스트 옵션이라고 하는데요. 프로세서 유형을 별도로 바꾸지 않았다면 에러가 납니다.

PVE 웹에 접속해서 OPNsense VM- 하드웨어-프로세서 편집을 누르시면 유형에 기본적으로 kvm64로 설정되어 있습니다. kvm64의 경우 사용할 수 있는 명령어 셋이 제한되어 있다는 데요. 아마 명령어 셋 때문에 오류가 나는 걸로 보입니다. 유형을 host로 바꾸고 재부팅 후 Hyperscan으로 설정하세요! 설정을 바꿔도 에러가 뜬다면 아쉽지만 사용하시는 CPU 자체가 지원되지 않는 겁니다.