OPNsense 설정 몇가지 팁
1. 플러그인
proxmox를 사용한다면 역시 geust agent가 있는게 좋죠. 플러그인에서 os-qemu-guest-agent 를 설치하시면 됩니다.
OPNsense의 WAN으로 dynamic DNS를 쓰도록 바꿨습니다. 플러그인에서 os-ddclient 를 설치하시면 됩니다.
그 외에 home assistant로 모니터링하려고 os-homeassistant-maxit, os-netdata를 설치했는데 큰 의미는 없는것 같습니다. 전자를 위해서는 저장소(mimugmail) 추가했는데 기억이 가물가물하네
2. HTTPS는 클라우드플레어를 통해서만 접속하도록 설정했습니다.
Alias에서 이렇게 설정해두고 NAT - Port Forward에서 443 포트를 NPM으로 전달할 때 source는 이 대역만 허용했습니다.
https://www.cloudflare.com/ips-v4
3. Unbound로 내부망 전용 DNS를 구현했습니다.
처음엔 DNS 캐싱으로만 사용했는데 이제 망 내부에서는 클라우드플레어를 경유하지 않는 설정을 추가했습니다. split 환경을 구축해야하나 했는데 쉽게 설정이 가능합니다. Unbound DNS - Overrides에서 Host는 *, Domain은 example.com 으로 설정하고 Value는 NPM의 IP를 입력하면 OPNsense를 DNS로 사용하는 내부망에서는 cloudflare 프록시 없이 바로 연결됩니다. 단 이때 cloudflare 인증서 말고 let's encrypt 인증서를 사용해야 합니다.
suricata까지는 아직 손을 못 대고 있는데 그래서인지 n100에서 cpu 20% 미만, 램 4GB 할당해도 사용률이 60% 이하로 안정화 된것 같네요.