설정 가이드
첫 시작 후 안전하게 사용을 시작하기 위한 절차입니다. WAN을 먼저 확정하고, WebGUI를 HTTPS로 보호하면서 단계적으로 설정합니다.
권장: 첫 번째 WebGUI 로그인 완료까지는 WAN / LAN 혼동 방지를 위해 WAN 측 NIC만 연결된 상태로 진행하십시오.
대상 및 전제 #
- 대상: 제공되는 OPNsense 템플릿
- 전제: 처음 할당된 NIC(vtnet0)를 WAN으로 사용합니다
- 첫 번째 WebGUI 로그인 완료까지는 WAN / LAN 혼동 방지를 위해 WAN 측 NIC만 연결된 상태로 진행하는 것을 권장합니다
- 필요에 따라 나중에 NIC를 추가하여 LAN(클라우드의 프라이빗 네트워크)을 생성할 수 있습니다
- 초기에는 HTTPS WebGUI로 로그인하여 설정합니다
- SSH는 필요 시에만. 본 절차에서는 SSH 설정을 모두 WebGUI에서 수행합니다
중요 사항(필독) #
본 템플릿은 초기에 수동 설정이 필요합니다. cloud-init에 의한 자동 투입을 전제로 하지 않습니다.
- 접근 소스 IP 제한을 권장합니다(클라우드 측 FW/SG와 OPNsense 측 FW 모두에서 443 / 22를 “고객님의 IP만” 허용하십시오)
- NIC를 나중에 추가한 경우 OPNsense 측에서 인식 및 할당이 반영되도록 재시작이 필요합니다(후술하는 “LAN NIC 추가하기” 참조)
- 본 템플릿은 보안 기본값으로 WebGUI를 WAN에만 바인딩합니다. LAN을 추가하여 IP를 설정한 후에도 의도하지 않게 WebGUI 수신이 LAN 측으로 변경되지 않았는지 반드시 확인하십시오
우려되는 점이나 불분명한 점이 있으시면 지원 티켓을 열어주십시오.
전체 흐름 #
- (선택) 포털에서 OPNsense 인스턴스 생성
- 포털에서 WAN 정보 및 관리 IP 확인
- 콘솔에서 root로 로그인
- 초기 설정 스크립트(
firstsetup.sh) 실행 - 클라우드 측 FW/SG에서 TCP 443을 “관리 IP만” 허용
- WebGUI(HTTPS)로 로그인
- (선택) LAN NIC 추가 → 재시작 → LAN 설정
- (필요 시에만) SSH를 WebGUI에서 활성화(키만) → OPNsense / 클라우드 측에서 22를 관리 IP만 허용
Step 1사전 준비(포털에서 확인) #
포털(할당 정보)에서 다음 정보를 확인하십시오.
※ 이미지의 빨간 테두리로 표시된 IP 주소 기재 부분을 클릭하면 프리픽스와 게이트웨이 정보가 표시됩니다.
WAN(Public) 정보 #
- IPv4 주소(예:
203.0.113.2) - 프리픽스 길이 또는 넷마스크(예:
27또는255.255.255.224) - 게이트웨이(예:
203.0.113.1) - DNS(지정이 없으면
1.1.1.18.8.8.8로 문제없습니다)
관리 IP(고객님 단말의 송신 IP) #
- 고정 글로벌 IP(권장): 회사 회선 / VPN 출구 등
- 예:
203.0.113.10/32
관리 IP가 변경되는 회선(모바일 회선 / 가정용 회선)을 사용하면 나중에 스스로 접근을 차단할 가능성이 높아집니다. 가능하면 고정 IP(회사 회선 / VPN)를 사용하십시오.
참고: CIDR → 넷마스크 변환 #
| CIDR | 넷마스크 |
|---|---|
| /29 | 255.255.255.248 |
| /28 | 255.255.255.240 |
| /27 | 255.255.255.224 |
| /26 | 255.255.255.192 |
| /24 | 255.255.255.0 |
Step 3초기 설정 스크립트 실행 #
프롬프트가 root@OPNsense:~ #인지 확인하고 firstsetup.sh를 실행합니다.
sh /root/firstsetup.sh
# (If not found) sh /root/firstboot.sh스크립트가 순서대로 질문하므로, 입력값에는 Step 1에서 기록한 내용을 사용합니다.
Step 3.1 root / WebGUI 비밀번호 설정 (필수) #
먼저 root / WebGUI 비밀번호 설정이 요구됩니다. WAN 측에서 WebGUI를 공개하기 전에 필수입니다.
Step 3.2 WAN 설정 입력 #
WAN은 vtnet0 고정(첫 번째 NIC)으로 처리됩니다.
- WAN IPv4 address: 포털의 IP (예:
203.0.113.2) - WAN netmask / prefix: 예
27또는255.255.255.224 - WAN gateway: 예
203.0.113.1 - DNS servers: 예
1.1.1.1 8.8.8.8 - Admin source IP / CIDR: 예
203.0.113.10/32
Step 3.3 WebGUI 인증서 및 SSH Host Key 재생성 (자동) #
보안상의 이유로 초기 설정 중 다음을 재생성합니다.
- WebGUI(HTTPS) 인증서
- SSH Host Key
따라서 브라우저에서 자체 서명 인증서 경고가 표시되지만, 정상적인 동작입니다.
Step 3.4 완료 메시지 확인 #
Step 4클라우드 측 방화벽 설정 (HTTPS) #
스크립트 완료 후, 클라우드 측(기반 FW / SG) 방화벽 설정에서 HTTPS를 허용합니다.
- 대상: 이 OPNsense 인스턴스(WAN 측)
- 출발지: 관리 IP (예:
203.0.113.10/32) - 허용: TCP 443
Step 5WebGUI(HTTPS)에 로그인 #
브라우저에서 다음 주소로 접속합니다.
https://<WAN_IP>/자체 서명 인증서 경고가 표시됩니다. 내용을 확인한 후 계속 진행하세요(브라우저 표시는 환경에 따라 다릅니다).
로그인 화면이 표시되면 사용자 root와 Step 3.1에서 설정한 비밀번호로 로그인합니다.
Step 5.1 WebGUI 수신 인터페이스 확인 (WAN만) #
WebGUI는 WAN에만 바인딩되는 설계입니다. 다음을 확인하세요.
- 메뉴:
System → Settings → Administration - 설정: Listen Interfaces = WAN(WAN만)
Step 6NIC를 추가하여 프라이빗 네트워크 구성 #
클라이언트 포털에서 NIC를 추가하여 NAT 환경이나 서버 간 L2 / L3 통신 환경을 구축할 수 있습니다.
프라이빗 네트워크는 10Gbps로 연결되어 있습니다.
Step 6.1 NIC 추가 후 반드시 재시작 #
NIC를 추가하는 것만으로는 OPNsense 측 인터페이스 할당이 올바르게 반영되지 않아 WebGUI가 응답하지 않을 수 있습니다. 반드시 VM을 재부팅한 후 OPNsense의 인터페이스 할당 / 주소 설정을 수행하십시오.
Step 6.2 OPNsense 측 GUI에서 LAN 인터페이스에 장치 연결하기 #
WebGUI에 로그인하여 인터페이스 → 할당 화면에서 추가된 NIC(vtnet1)를 LAN 인터페이스에 드롭다운 선택한 후 저장을 클릭하십시오.
다음으로 할당한 LAN 인터페이스에 IP 주소를 설정하십시오.
서버 개요에 표시된 프라이빗 네트워크 측 IP 주소와 프리픽스를 확인하고 입력한 후 저장 → 변경 사항 적용을 클릭하십시오.
Step 7(필요 시에만) SSH를 WebGUI에서 활성화하기(키만) #
방침: 키를 등록한 후 SSH를 활성화합니다. SSH를 사용하지 않는 운영이라면 이 장은 건너뛸 수 있습니다.
Step 7.1 사용자에게 SSH 공개 키 등록 #
WebGUI에서 다음을 열어 SSH 공개 키(ssh-ed25519 AAAA... 1줄)를 등록합니다.
- 메뉴 예:
System → Access → Users - 대상 사용자: root가 아닌 관리용 사용자 권장(필요에 따라 생성)
- 등록 위치: Authorized keys(공개 키)
비밀 키(id_ed25519 등)를 붙여넣지 마십시오.
Step 7.2 Secure Shell 활성화(비밀번호 금지) #
권장 설정은 다음과 같습니다.
- Enable Secure Shell: 필요 시에만 ON
- Permit password login: OFF(키만)
- Permit root user login: 가능하면 OFF(운영 요건상 ON인 경우도 키만)
- Listen Interfaces: 원칙적으로 WAN(또는 관리에 사용하는 IF만)
Step 7.3 OPNsense 측 FW와 클라우드 측 FW / SG에서 22번 포트를 관리 출발지 IP에만 허용 #
- OPNsense:
Firewall → Rules → WAN에 TCP 22 허용 규칙(Source = 관리 출발지 / Destination = This firewall (WAN address))이 존재하는지 확인합니다 - 클라우드 측 방화벽 설정에서도 TCP 22를 관리 출발지 IP에만 허용합니다
주의: 먼저 22번 포트를 전체 개방하지 마십시오. 키 등록과 OPNsense 측 제한이 완료된 후 개방하십시오.
Step 8설정 백업(권장) #
WebGUI에서 구성 파일(config.xml)을 다운로드할 수 있습니다.
백업에는 기밀 정보가 포함될 수 있으므로 보관 장소와 공유 범위에 주의하십시오.
- 메뉴 예:
System → Configuration → Backups
자주 발생하는 문제와 복구 #
WebGUI에 접속할 수 없음(타임아웃) #
먼저 의심할 순서는 다음과 같습니다.
- 클라우드 측 FW / SG에서 TCP 443이 관리 출발지 IP로부터 허용되어 있는지
- 관리 출발지 IP가 정말 맞는지(회선이 변경되지 않았는지)
- OPNsense 측에서 WebGUI가 WAN에 바인딩되어 있는지(Listen Interfaces = WAN)
콘솔 확인 예시:
sockstat -4 -l | egrep '(:443)\b'
pfctl -sr관리 출발지 IP가 변경되어 접속할 수 없게 된 경우 #
콘솔에서 다시 firstsetup.sh를 실행하여 관리 출발지 IP를 다시 입력하는 것이 가장 확실합니다.
운영에 맞춰 복구하시기 바랍니다. 판단이 어려운 경우 지원 티켓을 열어 상담해 주시기 바랍니다.
