서버: Chatreey AN2P - Ryzen 5625u / 32GB ram / 2TB SSD / 8TB HDD (USB 3.1)
SDN Zone: dev, prod, redteam, soc, stage, vpn
구성도:
PVE의 nftables configuration
#!/usr/sbin/nft -f
flush ruleset
table ip nat {
chain prerouting {
type nat hook prerouting priority 0; policy accept;
udp dport 51820 dnat to 10.255.255.10:51820
}
chain postrouting {
type nat hook postrouting priority 0; policy accept; masquerade
}
}
table inet filter {
chain input {
type filter hook input priority filter;
}
chain forward {
type filter hook forward priority filter;
}
chain output {
type filter hook output priority filter;
}
}
*원래는 VPN server vm을 wlan과 bridge 하여, 192 대역으로 노출시키려 했었다. 결국은 실패하여, NAT 및 포트포워딩을 사용하는 방향으로.... ;_;
*VPN 서비스를 위해, AP에서 xxxxx/udp 포트에 대한 트래픽을 Zone:VPN에 존재하는 VPN 서버 VM 10.255.255.10:51820/udp 로 포워딩 함 (terminal 사용에는 문제가 없으나, LTE로 연결 시, GUI가 느린 경향이 있어, 디스플레이서버를 wayland로 모두 교체해야 할지...고민...)
*PVE를 제외한 모든 서비스는 VPN 연결 후에만 사용 가능 (조만간 PVE도 192 대역 연결을 블럭 할 예정)
*홈랩 연결의 경우, VM을 별도 생성 후, Wireguard, i3wm 및 kitty, chromium 정도만 설치하여 사용중
*뭔가 구성이 복잡한데, 어차피 혼자 사용하는 서버고, 상시 동작하는건 모니터링 및 로그 수집 등을 제외하고 거의 없는 관계로, 램만 충분하면 문제 없을 거라고 생각.... 부족할 경우, Mini PC를 추가 구매하던, 서버를 확장하던 해야 할 듯
*Samba를 이용한 AD 구성 및 DNS 설정 진행 중. 이후 KeyCloak 설치하여 SSO / MFA 활성화 예정. 아직...시간이...
*SOC 쪽은 Wazuh와 The Hive, MISP을 설치해놓고 일단 고민해볼 생각....
*xterm.js 연결이 안될 경우, /etc/default/grub 업데이트 및 Hardware에서 Serial port 0 (socket) 추가 후, VM을 완전히 STOP 후 다시 부팅 (재부팅을 해봤는데 Serial port가 인식안됨)
#in file, /etc/default/grub
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200"