How to install Netgate Security Gateway SG-2100

우연한 기회에 netgate SG-2100을 세팅하게 되었네요~ ^_______^;; 

 

일반 공유기를 사용하고 있던 곳이고 내부에 서버와 NAS를 사용한다고 하시며 서비스 지연 현상 때문에

 

담당자님이 검색하여 직접 구매하였지만 세팅에 한번 실패하시고 도움 요청을 주셨습니다! 

 

공유기와 방화벽의 중간(?) 정도 느낌입니다. 

 

 

설정 환경

WAN

Mode : Static

IP : 58.x.x.187

Netmask : 255.255.255.248

Gateway : 58.x.x.185

 

LAN

Mode : DHCP

IP : 192.168.50.1

Netmask : 255.255.255.0

일부 대역 static으로 혼용

 

 

1. 처음 연결

장비 부팅 후 PC를 LAN1 ~ 4중 한 곳에 연결

연결된 PC의 네트워크 인터페이스는 DHCP 또는 192.168.1.100/255.255.255.0으로 설정

 

2. Web 접속

URL : https://192.168.1.1

기본 계정 : admin / pfsense

 

3. Wizard 설정 진행 

Hostname / DNS Server

TimeZone

WAN

사설 IP로 WAN 설정할 경우 최하단 체크 박스 두 개를 해제하여 사용

외부와 연결된 인터페이스 세팅입니다. 상단에서 자동으로 IP를 할당받으신다면 DHCP로 하시고 특정 IP대역을 받으셨다면 Static으로 설정하시면 됩니다.

LAN

내부를 DHCP로 설정하고 특정 IP들만 고정으로 사용 예정이지만 위자드에서는 네트워크 대역만 설정하고 이후 재설정하겠습니다.

Completed

Finish를 누르면 적용이 됩니다.

 

4. 추가 설정 

재접속 

각자 설정한 변경된 LAN IP로  접속합니다.

https://192.168.50.1

> 접속되지 않을 경우 PC에 세팅된 IP가 192.168.50.x인지 확인하고 IP가 다르면 DHCP인 경우 랜선 재 연결. Static일 경우 192.168.50.x로 재설정합니다. 

첫 화면 WAN & LAN IP 확인 

WebManageMentPort 변경

추후 443 포트를 내부 서버로 PortFowarding 예정이므로 기본 web 접속 포트를 변경합니다. 

 

위치 : System > Advanced / Admin Access

TCP Port 443 -> 8443 변경

WebGUI Redirect : Check ( 80 포트의 자동 활성화 disable )

Passlist : 로그인 보호 모드 예외 주소 ( 1800초 동안 30회 로그인 실패 시 120초 동안 차단 )

변경된 포트로 재접속 https://192.168.50.1:8443

 

LAN DHCP Setting

위치 : Service > DHCP Server > LAN

Range 192.168.50.50 ~ 192.168.240

  > 2번 ~ 49번까지는 Static 사용을 위해 남겨 두었습니다. ( 필요 없다면 기본 설정으로 진행 )

 

공식 매뉴얼에 따르면 DHCP Pool 범위에 포함되는 IP는 Web에서 Static으로 할당할 수 없으며

콘솔 모드에서 php 파일을 수정하여 설정이 가능하도록 만들 수 있다고 합니다. 개인적으로 추천드리지는 않습니다. 

 

STATIC 설정되어있더라도 원치 않는 클라이언트가 미리 IP를 먼저 받아간 상황에 대해 언급하고 있네요.

 

 

공식 매뉴얼 발췌

Static Mappings Inside DHCP Pools While ISC dhcpd will allow a static mapping to be defined inside the DHCP range/pool, it can result in unexpected behavior. ISC dhcpd only checks via ping to ensure that an IP is not actively in use when making assignments. Making a static mapping does not “reserve” that IP out of the pool. The static mapping in this case merely represents a preference for an IP and others are not prevented from taking the IP if it is not in use. An example: If the DHCP pool is from 192.168.0.10 to 192.168.0.250, and a static mapping is defined for 192.168.0.25. If the PC that normally has 192.168.0.25 is ever offline another device could be assigned 192.168.0.25. When the other machine powers back up it will not be able to get 192.168.0.25 because it is currently in use. As such, it is best to only make assignments outside the range/pool, and the GUI enforces this practice. If assignments absolutely must be made inside the pool, and the risks involved are worth taking and want to do so anyway, the input validation check may be removed from the PHP file that drives the DHCP editor page. The details of this unsupported change are left out as an exercise for the reader.

 

DNS Server 입력

 

DHCP Static 설정

위치 : Service > DHCP Server > LAN 

하단 static 설정 쪽 ADD 버튼

 

내부에서 사용 중인 NAS가 192.168.50.42을 사용하고 있어 Static으로 설정해 줍니다.

각 장비의 MAC Address를 확인할 수 있는 방법은 각 아래와 같습니다.

 

> Windows : ipconfig /all

> Linux : ifconfig 

 

DHCP 할당 현황 확인

위치 : Status > DHCP Leases

 

Port forward

위치 : Firewall > NAT > Port Worward

Destination port Randge : 80 ~ 80 ( 외부 포트 )

Redirect target IP : 192.168.x.x ( 원하는 IP )

Redirect target Port : 80

 

Filter Rule association 옵션은 PortFoward 정책 추가에 대한 옵션이다. 기본은 신규 추가.

 

 

정책 확인

위치 : Firewall > Rules > WAN

 

PortForwad정책 확인.

가장 상단의 거부 정책은 WAN 설정 시 하단의 2가지 체크박스를 체크하게 되면 생성된다.

 

NAT reflection

내부 PC 또는 서버에서 PortFowarding 된 WAN IP:Port 호출이 필요한 경우

 

위치 : System > Advanced > Firewall & NAT

 

NAT Reflection mode for port forwards : Disable -> NAT + Proxy로 변경

 

정책 추가

외부에서 ManageMent Web 접속이 필요한 경우

 

위치 : Firewall > Rules 

Add 버튼 클릭

 

Source : 접속자 PC IP

Destination : WAN Address 

Destination Port Range : 8443 - 8443

 

ETC

별도 보안 정책 추가 시

Inbound : Firewall / Rule / WAN

Outbound : Firewall / Rule / LAN

> 정책은 상단부터 순차 적용

> 정책 추가 후 Drag & Drop 하여하여 순서에 맞게 적용

> PortFoward 정책 수정 불가

 

 

TIP1. 콘솔 연결 방법

putty, Mobaxterm, securecrt, xshell 등 serial 콘손 연결이 가능한 프로그램 사용

동봉된 전용 케이블 사용 

 

putty > Serial / Silicon Labs CP210x / Speed 115200

3번과 4번을 그나마 가장 많이 사용할 것 같네요.

 

TIP2. SAVE 및 Apply Change

모든 설정은 Save 버튼으로 저장하며 Apply Change를 통해 적용

 

TIP3. 공유기 교체 후 통신 불가

DHCP로 사용 중이던 인터넷 전화기 및 기타 기기들은 공유기가 변경된 후 IP를 받아가지 못하는 경우에

재부팅 또는 랜선 재연결 등을 통해 IP를 다시 받아야 할 수 있다.