흙수저의 엔지니어링

간단하지만, 아래의 구성에서 ping을 테스트 하기 위해서는 fortigate 방화벽 정책도 필요합니다.

이전 글에서 말했듯이 현재의 구성으로 테스트를 한다면, fortigate의 방화벽 기능도 같이 익힐 수 있게 됩니다.

그 예시로 한개 작성해 봅니다.

위의 구성에서 PC1이 인터넷이 되게 하기 위해선 아래의 작업이 필요합니다.

1. fortigate에서 PC1이 받아들여야할 새로운 네트워크 구성

2. PC1이 fortigate에서 구성한 네트워크의 IP를 받아오기

3. PC1이 fortigate를 통해서 통신이 가능하게할 정책 수립

4. PC1이 IP를 받아와 ping 테스트 하기

해보겠습니다.

1. fortigate에서 PC1이 받아들여야할 새로운 네트워크 구성

  - Port2를 새로운 대역으로 구성

2. PC1이 fortigate에서 구성한 네트워크의 IP를 받아오기

  - Port2에 DHCP Server 기능 활성화

3. PC1이 fortigate를 통해서 통신이 가능하게할 정책 수립

  - Port2(LAN) -> Port1(WAN)의 통신 가능 정책 적용

4. PC1이 IP를 받아와 ping 테스트 하기

  - Fortigate의 Port2를 PC1의 Ethernet0에 연결하기

  - PC1을 시작하고 IP를 DHCP로 가져오기

  - PC1으로 외부 IP에 ping 체크 하기

테스트 완료.

ping이 방화벽 정책에 의한 것인지 확인하려면, 방화벽 정책을 Disable로 변경해 보세요.

앞으로의 테스트는 fortigate의 구성에서 PC1이 아닌 Windows PC, L2, L3 장치들을 추가해서 새로운 테스트를 보여드리겠습니다.

이전 글에서 GNS3에 fortigate를 설치했습니다.

이제 사용해 보겠습니다.

(이 글 작성하는데, 거진 2일 걸렸네요.)

해당 글을 따라서 GNS3를 구성했다면, 이후에는 실제로 업무 환경과 마찬가지로 구색을 갖춰서 방화벽 테스트를 진행할 수 있을 것입니다.

왜 fortigate로 구성을 했냐하면, 많은 회사에서 fortigate 방화벽을 기본으로 사용합니다.

그래서 도움이 됐으면 하는 마음에 fortigate 방화벽 테스트 환경을 구축해 봤습니다.

사전에 아래의 글들을 보고 먼저 이행해 주시기 바랍니다.

proxmox 내부 네트워크 구성하기

https://dirt-spoon.tistory.com/310

GNS3에 fortigate 설치하기

https://dirt-spoon.tistory.com/311

proxmox에 내부 네트워크를 구성했다면 아래 그럼처럼 Cloud를 구성하고, configure를 확인합니다.

아래의 그림처럼 eth0, eth1이 보이면 정상입니다.

아래처럼 보이지 않는다면 GNS3의 서버에서 인터페이스를 추가해줍니다.

GNS3 서버에 인터페이스 추가합니다.

해당 인터페이스의 설정은 proxmox에서 별도로 추가한 vmbr1로 설정을 해줍니다.

proxmox의 인터페이스 vmbr1의 IP 대역도 확인해 두세요. 저는 10.10.10.1/24 입니다.

해당 네트워크 카드가 내부 네트워크의 Gateway가 되는 겁니다.

이제 아래의 그림처럼 fortigate를 구성해 줍니다.

이제 fortigate를 실행해 주고 terminal을 열어줍니다.

터미널을 보시면 로그인하라고 보입니다.

처음 계정 정보는 아래와 같습니다.

ID: admin

PW: 없음

이후 인터페이스 정보를 확인해 줍니다.

명령어는 아래 명령어인데, 실제 fortigate 콘솔에서는 ?가 먹히지 않고 명령어로 실행됩니다.

FortiGate-VM64-KVM # show system interface ?

아래 그림처럼 Port1 의 IP를 설정합니다.

FortiGate-VM64-KVM # config system interface
FortiGate-VM64-KVM (interface) # edit port1
FortiGate-VM64-KVM (port1) # set mode static
FortiGate-VM64-KVM (port1) # set ip 10.10.10.202/24
FortiGate-VM64-KVM (port1) # end
FortiGate-VM64-KVM # show system interface

이제 port1에 대한 gateway를 설정해 줘야 합니다.

IP도 GNS3 eth1 인터페이스의 IP가 아니라, proxmox vmbr1의 IP로 설정해 줘야 하네요.

FortiGate-VM64-KVM # config router static
FortiGate-VM64-KVM (static) # edit 1
FortiGate-VM64-KVM (1) # set gateway 10.10.10.1
FortiGate-VM64-KVM (1) # set device port1
FortiGate-VM64-KVM (1) # next
FortiGate-VM64-KVM (static) # show
config router static
    edit 1
        set gateway 10.10.10.1
        set device "port1"
    next
end
FortiGate-VM64-KVM (static) # end
FortiGate-VM64-KVM #

마지막으로 proxmox의 network 설정에 추가가 필요합니다.

아래 글 참고 하셔서 설정해주세요.

https://dirt-spoon.tistory.com/314

이제 웹으로 접속해야 하는데요.

여기서 문제가 있습니다.

저는 proxmox 서버로 내부 환경을 구성하려고 하는 것입니다.

그러다보니 proxmox에 윈도우를 별도로 설치한 상황입니다.

한마디로 제 윈도우 서버는 10.10.10.0/24 대역과 통신이 가능한 합니다.

저와 같은 상황일 때에만 10.10.10.0/24 대역의 웹에 접속이 가능합니다.

환경이 저와 같지 않을 경우에는 iptables를 이용하여 port를 forwarding 해서 방화벽의 웹에 접속해야 합니다.

아래의 환경은 proxmox의 윈도우서버에서 10.10.10.0/24 대역을 접속하기 위한 방법입니다.

proxmox의 윈도우 서버에 네트워크 디바이스를 아래와 같이 추가해 줍니다.

윈도우에 네트워크 카드가 자동으로 하나 생성이 됩니다.

IP를 수동으로 넣어주세요.

이후 윈도우에서 10.10.10.1로 ping 해보시면 아래와 같이 통신이 되는 것을 확인할 수 있습니다.

그런데 IP 10.10.10.202로는 ping이 되지 않네요??

GNS3 구성을 보면, 아직 선이 연결이 되어 있지 않습니다.

선을 연결해 줍니다.

Cloud1에서 GNS3 내부 네트워크 IP를 가진 eth1을 선택해 줍니다.

GNS3에 eth1를 추가하라는 것은 아래 글을 참조하세요.

https://dirt-spoon.tistory.com/313

fortigate는 Port1에 설정을 했기 때문에 Port1를 선택해주면 됩니다.

이후 윈도우에서 ping을 날리면~~ 정상적으로 통신이 되는 것을 확인할 수 있습니다.

이제 웹페이지로 접속해 봅니다.

https://10.10.10.202

처음 로그인 하면 라이선스 매뉴가 나옵니다.

우리는 "Evaluation license"를 선택합니다.

매뉴 아래에 Email, Password를 입력 후 OK를 누릅니다.

정상적으로 로그인이 된다면 화면과 같이 Confirm 매뉴와 함께 reboot 한다고 메시지가 나옵니다.

이후 OK를 누르면 reboot 되면서 설치 완료가 됩니다.

아래는 cli 방식으로  license를 갱신하는 방법입니다.

FortiGate-VM64-KVM # execute vm-license-options account-id 개인계정

FortiGate-VM64-KVM # execute vm-license-options account-password 패스워드

FortiGate-VM64-KVM # execute vm-license
This VM is using the evaluation license. This license does not expire.
Limitations of the Evaluation VM license include:
  1.Support for low encryption operation only
  2.Maximum of 1 CPU and 2GiB of memory
  3.Maximum of three interfaces, firewall policies, and routes each
  4.No FortiCare Support
This operation will reboot the system !
Do you want to continue? (y/n)y

Requesting FortiCare Trial license, proxy:(null)
VM license install succeeded. Rebooting firewall.


FGVMEVL6JNZCRT52 login:

The system is going down NOW !!

Please stand by while rebooting the system.
Restarting system

System is starting...
The config file may contain errors.
Please see details by the command 'diagnose debug config-error-log read'.
Serial number is FGVMEVL6JNZCRT52


FGVMEVL6JNZCRT52 login:

fortigate가 재시작 되어 로그인 하시면 아래와 같이 진행하시면 초기 설정이 완료됩니다.

proxmox의 내부 네트워크는 아래 설정을 해야만이 인터넷 통신이 가능합니다.

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o vmbr0 -j MASQUERADE

어떻게 사용하는지는 아래 제 설정을 보시고 활용하세요.

root@13500T:~# cat /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

iface eno2 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.0.200/24
        gateway 192.168.0.1
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0

auto vmbr1
iface vmbr1 inet static
        address 10.10.10.1/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o vmbr0 -j MASQUERADE

#       post-up   iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
#       post-down iptables -t raw -D PREROUTING -i fwbr+ -j CT --zone 1

source /etc/network/interfaces.d/*
root@13500T:~#

GNS3에 VM들과 통신할 수 있는 랜을 추가하는 방법입니다.

GNS3에 Network Device를 추가해도 proxmox에 연결된 VM들과 통신하기 위해서는 proxmox에도 랜을 추가해 줘야 합니다. 아래 글 참조하세요.

https://dirt-spoon.tistory.com/310

proxmox에서 GNS3서버에 Network Device를 추가합니다.

제가 추가한 Device의 정보입니다.

추가된 랜은 GNS3 서버에서 ifconfig로 추가된 디바이스 명 (eth0, eth1 등)을 확인해 줍니다.

저는 eth1로 확인됐습니다.

이후 GNS3의 콘솔에서 Netowrk 매뉴를 통해 eth1의 IP 설정을 해줍니다.

아래 처럼 설정하시면 됩니다.

이후 내부 네트워크 대역은 GNS3의 VM이나 proxmox의 VM들은 Gateway를 10.10.10.1로 설정하면 됩니다.

proxmox를 통해서 fortigate 설치를 한 적이 있습니다.

(https://dirt-spoon.tistory.com/283 참조)

그런데, 저렇게 설치만 하면 테스트 할만한게 거의 없습니다.

그래서 제대로 fortigate를 테스트 할 수 있게 GNS3에 fortigate를 구축해보려합니다.

먼저, fortigate VM을 다운로드 합니다.

다운로드된 파일을 아래 화면처럼 압축을 풀어둡니다.

GNS3를 실행하여 아래처럼 선택해 줍니다.

위의 화면에서 클릭을 하면 아래 화면처럼 Version name 화면이 나옵니다.

다운로드된 fortigate 버전으로 수정해 줍니다.

위의 화면처럼 뜨면 아래 화면처럼 버전만 변경해 줍니다.

아래 화면에서는 그냥 "OK"를 눌러줍니다.

이후 화면을 맨 아래로 내리면 아래의 그림처럼 보입니다.

저는 이미 설치했던 이력이 있어서 자동으로 탐지하는 건지 처음부터 아래 화면처럼 보이는지 모르겠네요.

어쨌든, 처음에 다운로드 받은 파일을 import 하고 넘어가겠습니다.

이후 아래의 Fortigate 버전을 선택하고 다음으로 넘어갑니다.

설치 완료입니다.

원하는 네트워크의 분리를 위해서 내부 랜을 추가합니다.

저 같은 경우에는 GNS3에서 사용할 별도의 랜을 추가하려고 합니다.

 IPv4/CIDR 항목에 사용하고 싶은 IP 대역을 입력하면 됩니다.

Bridge Ports 항목은 사용하고 싶은 IP 대역이 인터넷이 되게하려면 입력하면 됩니다.

현재 제가 설정한 인터페이스 환경입니다.

multiotp 라는 게 있네요.

RDP 서비스에 2factor를 적용합니다.

신기방기... 이제 외부에서 그냥 RDP 접속할 수 있게 해도 되는....쿨럭...

문제가 발생하여 삭제하려면, 안전모드에서 해당 프로그램 삭제하면 됩니다. (저는 안해봤어요~)

아래 웹페이지에서 빨간색으로 표시한 링크를 따라가보세요.

https://github.com/multiOTP/multiotp/wiki

다운로드 페이지를 들어가서 화면 맨 아래로 내리면 다운로드 파일이 있습니다.

압축풀면 아래 파일 2개가 나옵니다.

설치파일로 설치하세요~

위의 바코드를 구글 OTP 같은 프로그램을 통해서 등록하시면 됩니다.

이후 로그인 할 때 아래와 같이 OTP를 추가 입력하라고 나옵니다.

이제 외부에서도 윈도우 접근 시 안전하게 접속이 가능하게 됩니다~~

아래 GNS3 사이트에서 vm 이미지 다운로드하기

https://www.gns3.com/software/download-vm

다운로드 받은 파일은 proxmox 서버에 업로드가 필요합니다.

확장자를 iso로 올려주신 후 파일을 proxmox 서버에 올려주시면 됩니다. (편법)

파일 업로드 후 아래 명령어로 파일 압축 해제 및 파일명 변경을 합니다.

(파일에 쉼표가 있어서 인식이 어려울 수 있어서 변경 해주는 것이 좋습니다.)

이후 폴더를 만들어 해당 파일을 복사한 후, tar 압축을 풀어줍니다.

root@13500T:~# mv /var/lib/vz/template/iso/GNS3.VM.VMware.Workstation.2.2.49.zip.iso .
root@13500T:~# mv ./GNS3.VM.VMware.Workstation.2.2.49.zip.iso ./GNS3.VM.VMware.Workstation.2.2.49.zip
root@13500T:~# unzip ./GNS3.VM.VMware.Workstation.2.2.49.zip 
Archive:  ./GNS3.VM.VMware.Workstation.2.2.49.zip
  inflating: GNS3 VM.ova             
root@13500T:~# ls 
 fortios.qcow2   GNS3.VM.VMware.Workstation.2.2.49.zip   OSX-PROXMOX
'GNS3 VM.ova'    i915-sriov-dkms
root@13500T:~# mv "GNS3 VM.ova" ./GNS3_VM.ova
root@13500T:~# ls
fortios.qcow2  GNS3.VM.VMware.Workstation.2.2.49.zip  OSX-PROXMOX
GNS3_VM.ova    i915-sriov-dkms
root@13500T:~# mkdir GNS3_VM
root@13500T:~# mv ./GNS3_VM.ova ./GNS3_VM
root@13500T:~# cd GNS3_VM
root@13500T:~/GNS3_VM# tar xvf ./GNS3_VM.ova
GNS3 VM.ovf
GNS3 VM.mf
GNS3_VM-disk1.vmdk
GNS3_VM-disk2.vmdk
root@13500T:~/GNS3_VM#

이후 vm을 하나 생성해줍니다. 아래는 제가 생성한 vm입니다.

vm 생성시 디스크 용량은 1GB로 하셔도 됩니다. (생성 후 삭제할 디스크 입니다.)

vm 생성 후 바로 디스크 삭제하시면 됩니다.

이후에 vm 생성 후 아래 명령어를 통해 디스크를 추가해주세요.

root@13500T:~# ls
fortios.qcow2  GNS3.VM.VMware.Workstation.2.2.49.zip  OSX-PROXMOX
GNS3_VM        i915-sriov-dkms
root@13500T:~# cd GNS3_VM/
root@13500T:~/GNS3_VM# ls
 GNS3_VM-disk1.vmdk   GNS3_VM-disk2.vmdk  'GNS3 VM.mf'   GNS3_VM.ova  'GNS3 VM.ovf'
root@13500T:~/GNS3_VM# qm importdisk 202 GNS3_VM
GNS3_VM-disk1.vmdk  GNS3_VM-disk2.vmdk  GNS3_VM.ova         
root@13500T:~/GNS3_VM# qm importdisk 202 GNS3_VM
GNS3_VM-disk1.vmdk  GNS3_VM-disk2.vmdk  GNS3_VM.ova         
root@13500T:~/GNS3_VM# qm importdisk 202 GNS3_VM-disk1.vmdk local-zfs
importing disk 'GNS3_VM-disk1.vmdk' to VM 202 ...
transferred 0.0 B of 19.5 GiB (0.00%)
transferred 200.0 MiB of 19.5 GiB (1.00%)
Successfully imported disk as 'unused1:local-zfs:vm-202-disk-1'
root@13500T:~/GNS3_VM# qm importdisk 202 GNS3_VM-disk2.vmdk local-zfs
importing disk 'GNS3_VM-disk2.vmdk' to VM 202 ...
transferred 0.0 B of 488.3 GiB (0.00%)
transferred 5.7 GiB of 488.3 GiB (1.17%)
transferred 488.3 GiB of 488.3 GiB (100.00%)
Successfully imported disk as 'unused2:local-zfs:vm-202-disk-2'
root@13500T:~/GNS3_VM#

이후 디스크의 방식을 SCSI에서 IDE로 변경해 줍니다.

이후 부팅 순서를 ide0으로 잡아주시면 됩니다.

이후 VM 구동시키면 아래와 같이 정상적으로 부팅이 됩니다.

접속은 화면에 나온 정보로 접속을 하시면 아래와 같이 보이면 정상입니다.

macOS를 간단하게 설치하는 스크립트를 발견하여 설치해 봤습니다.

proxmox shell에서 아래 명령어를 실행합니다.

/bin/bash -c "$(curl -fsSL https://install.osx-proxmox.com)"

아래 화면처럼 기다리면, proxmox가 재시작됩니다.

재시작이 되면 위의 화면에서 안내 하는 것처럼 proxmox shell에서 osx-setup을 실행하면 됩니다.

osx-setup

명령어를 실행하면 아래의 화면처럼 보여집니다.

우선, 200을 입력하고, 다시 osx-setup 명령어를 실행한 후에 201을 입력하여 opencore를 설치합니다.

opencore를 설치하지 않고 진행하면 아래와 같이 설치 오류가 발생합니다.

recovery image를 "N"로 하면 아래와 같이 설치 오류가 발생합니다.

이 후에 원하는 macOS의 버전을 설치하면 됩니다.

참고로 저는 6 번으로 했습니다. (macOS Ventura - 13) / 7번으로 하니까 proxmox 콘솔에서 작동이 안되네요.

옵션 선택 후 아래처럼 VM의 스펙을 고르시면 됩니다.

옵션 지정 시 숫자만 입력됩니다. 숫자 이외 문자를 입력하니 오류납니다~

이후 proxmox 콘솔에서 실행하면 됩니다.

개인적으로 실행 전 Hardware를 보니 Network Device가 VMware vmxnet3 로 되어 있어 virtIO로 변경하였습니다.

이후 실행화면 입니다.

이후 그냥 엔터를 치면 설치화면으로 넘어가게 됩니다.

Disk Utility를 선택하여 설치 디스크 초기화를 진행합니다.

아래 그림과 같은 형태로 디스크를 포멧합니다.

Reinstall macOS Ventura를 선택하여 설치를 진행합니다.

이후 다 설치가 되면 재시작되고, 아래 매뉴가 보일겁니다.

여기에서 2번 선택하고 다시 설치합니다.

이후 다시 재부팅이 됩니다.

이번에는 2번 매뉴 이름이 변경되어 있습니다. 2번 매뉴 실행하시면 됩니다.

macOS Installer -> macOS

이번에는 아래의 화면처럼 나옵니다.

이제 보통의 macOS 설치 방법대로 진행하면 됩니다.

설치 완료 이후 가장 중요한 작업이 남아 있습니다.

현재 상태에서 재시작을 할 경우 OpenCore를 사용하여 부팅하고 있습니다.

그래서 매번 OpenCore Boot Menu를 통해서 부팅하게 됩니다.

이를 개선하기 위한 작업입니다.

아래의 사이트에서 MountEFI를 설치해 줍니다.

https://github.com/corpnewt/MountEFI

git clone https://github.com/corpnewt/MountEFI
cd MountEFI
chmod +x MountEFI.command
MountEFI.command

macOS 설치 후 처음 실행한다면 xcode가 없다고 설치한다고 나옵니다.

설치 후 재실행 시켜주시면 됩니다.

정상적으로 실행이 된다면 아래의 화면처럼 나옵니다.

화면에서 내 macOS가 설치되어 있는 드라이브를 선택해주면 됩니다.

저는 3번 입니다.

3번 실행 후 아래의 화면처럼 바뀌었습니다.

프로그램 종료 후 macOS를 종료한 후 아래의 화면처럼 디스크 디바이스를 없애셔도 됩니다.

이 후 macOS를 실행할 경우 처음처럼 OpenCore Menu가 보이지 않고 바로 부팅이 됩니다.