[OPNsense 시리즈 2편] Proxmox에 OPNsense VM을 만들고 WAN/LAN을 가르는 법

Proxmox 호스트에 OPNsense를 VM으로 올렸다고 해서 자동으로 안전해지는 것은 아닙니다. VM이 있더라도 내부 트래픽이 Proxmox 호스트를 거쳐 그대로 ISP 라우터로 나가 버리면 방화벽, NAT, VPN 정책이 전혀 적용되지 않습니다. Proxmox에는 일반적으로 외부망 쪽 브리지 vmbr0(WAN)와 내부망 쪽 브리지 vmbr1(LAN)이 존재하며, 이 두 브리지를 통해 모든 트래픽이 OPNsense를 지나도록 연결해야 합니다. 이 글은 그 과정을 단계별로 따라가며 "방화벽을 우회하지 않는 배선"을 완성하는 법을 설명합니다.

예를 들어 내부 VM이 기본 게이트웨이를 외부 라우터로 두면 OPNsense가 존재해도 전혀 의미가 없습니다. 브리지를 나눈 것만으로는 충분하지 않으며, 모든 내부 VM·LXC의 기본 게이트웨이를 OPNsense LAN IP로 고정해야 3계층 트래픽이 반드시 방화벽을 통과합니다. 반대로 모든 VM이 vmbr1을 통해 OPNsense LAN IP를 거쳐 나가면 방화벽, NAT, VPN 정책이 한곳으로 모이고, 추후 VLAN이나 물리 NIC를 늘리기에도 쉬워집니다.

대상 독자: Proxmox UI 사용법과 기본 Linux/FreeBSD 콘솔 조작에 익숙한 홈랩·소규모 인프라 운영자. 1편에서 개념을 이미 살펴봤다고 가정하지만, 선행 조건 체크리스트 1번에서 1편 링크를 다시 안내하니 필요하면 먼저 확인하세요.

이 글의 흐름

총 5단계, 약 20분이면 따라 할 수 있습니다. 이미 완료한 단계가 있다면 그 부분은 건너뛰어도 됩니다.

왜 WAN/LAN을 분리해야 하는가 (3분): 브리지를 나누지 않으면 생기는 실제 실패 사례를 이해합니다.
아키텍처 선택 (4분): 1 NIC 기본형을 기준으로 하고, 2 NIC/VLAN 확장 시 고려사항을 비교표로 정리합니다.
VM 생성과 설치 (8분): Proxmox에서 OPNsense VM을 만들고, 설치 마법사에서 어떤 값을 넣어야 하는지 확인합니다.
설치 후 최적화 (3분): VirtIO NIC, MTU, 스토리지와 같은 최적 옵션을 재확인하고 필요한 경우 조정합니다.
검증과 실수 교정 (2분): 설치 직후 트래픽이 정말 OPNsense를 거치는지 확인하고, 흔한 오류를 바로잡습니다.

읽기 카드

예상 소요 시간: 20분

읽고 나면: 최소 NIC 구성부터 확장형 배선, VM 생성값, 설치 후 검증 루틴까지 직접 따라 할 수 있습니다.

이 글을 읽기 전에: 선행 조건 체크리스트

이미 아래 조건을 만족한다면 바로 다음 섹션으로 넘어가도 됩니다. 아니라면 링크를 참고해 5~10분 안에 준비를 맞춰 두세요.

Proxmox 호스트에 최소 1개의 물리 NIC가 있고, /etc/network/interfaces에서 vmbr0(WAN), vmbr1(LAN)이 생성되어 있다. 없다면 OPNsense 시리즈 1편의 브리지 설정 단계를 먼저 따라 한다. 확인 요령: Proxmox UI에서 Datacenter > Node > System > Network를 열어 Bridge ports에 물리 NIC가 달린 vmbr0와 bridge_ports none 상태의 vmbr1이 모두 보이면 준비 완료다.
Proxmox 스토리지(local (iso) 등)에 ISO 파일을 업로드해 본 경험이 있다. 없다면 Proxmox 공식 문서의 ISO 업로드 절차를 먼저 숙지한다.
FreeBSD/OPNsense 콘솔에서 방향키, Tab, 스페이스바로 메뉴를 이동할 줄 안다. 그래픽 마우스 조작은 필요 없다.

세 항목 중 하나라도 아직 준비되지 않았다면 바로 위 링크로 돌아가 5~10분 사이에 맞춰 놓은 뒤 이 글을 계속 읽는 편이 좋습니다. 모두 충족되었다면 아래 핵심 용어 정리를 빠르게 훑고 넘어가면 됩니다.

이번 글에서 다루는 핵심 용어

용어	의미	이 글에서의 역할
WAN 브리지 (vmbr0)	외부 라우터/모뎀과 연결된 업링크용 가상 스위치	OPNsense의 WAN NIC가 붙는 지점
LAN 브리지 (vmbr1)	내부 VM·LXC가 붙는 내부 전용 가상 스위치	OPNsense의 LAN NIC와 내부 게스트가 만나는 곳
VirtIO NIC	Proxmox가 제공하는 고성능 가상 NIC 드라이버	OPNsense VM의 WAN/LAN 인터페이스로 선택
시리얼 ISO	`serial0` 콘솔로 설치 가능한 ISO 이미지	Proxmox 웹 콘솔만으로 설치 진행
VLAN aware bridge	VLAN 태깅을 통과시키는 브리지 설정	2 NIC 대신 VLAN으로 LAN을 확장할 때 사용

시작 전 준비: `vmbr0`와 `vmbr1` 점검하기

이 글의 모든 예제는 Proxmox 호스트에서 다음 두 브리지가 이미 만들어진 상태를 전제로 합니다. Proxmox 웹 UI의 Datacenter > Node > System > Network 화면에서 vmbr0는 물리 NIC를 포함하고, vmbr1은 물리 NIC 없이 내부 전용으로 남아 있는지만 확인해도 충분합니다. SSH로 확인하고 싶다면 ip link show | grep vmbr를 실행했을 때 vmbr0, vmbr1 두 줄이 나타나는지만 보면 됩니다. 아래 /etc/network/interfaces 예시는 참고용으로만 봐도 됩니다.

# vmbr0: Proxmox 호스트의 WAN IP (예시)
auto vmbr0
iface vmbr0 inet static
    address 192.0.2.10/24
    gateway 192.0.2.1
    bridge_ports enp6s0  # 실제 WAN NIC 이름
    bridge_stp off
    bridge_fd 0

# vmbr1: 내부 게스트가 사용할 LAN IP (예시)
auto vmbr1
iface vmbr1 inet static
    address 10.10.0.1/24
    bridge_ports none    # 내부 전용, 물리 NIC 없음
    bridge_stp off
    bridge_fd 0

vmbr0는 외부 라우터와 연결되는 업링크 브리지이고, vmbr1은 내부 VM·LXC만 붙는 가상 스위치입니다. 둘 다 준비되었는지 확인한 뒤 다음 단계로 넘어갑니다. 내부 VM에서 ip route | head -n1 또는 netstat -rn | head -n1으로 확인했을 때 기본 게이트웨이가 vmbr1에 붙은 OPNsense LAN IP여야 하며, 만약 ISP 라우터 주소가 나온다면 DHCP 범위를 바로잡거나 VM 설정을 수정합니다.

vmbr1에 IP를 주는 이유 Proxmox 호스트 자신이 vmbr1의 첫 번째 호스트(예: 10.10.0.1)가 되어야 OPNsense LAN IP(예: 10.10.0.2)와 통신하고 콘솔/웹 UI에 접근할 수 있습니다. IP를 비워 두면 Proxmox 호스트에서 OPNsense LAN으로 들어가는 경로가 없습니다.

왜 WAN과 LAN을 분리해야 하는가

OPNsense는 인터페이스별로 방화벽 규칙, NAT, VPN, DHCP, PPPoE 설정을 적용합니다. WAN과 LAN이 같은 브리지에 묶이거나, 내부 VM의 기본 게이트웨이가 ISP 라우터로 남아 있으면 다음 문제들이 생깁니다.

게이트웨이 우회 예시

잘못된 흐름:  내부 VM → (기본 게이트웨이) ISP 라우터 → 인터넷
올바른 흐름:  내부 VM → OPNsense(LAN) → OPNsense(WAN) → ISP 라우터 → 인터넷

위처럼 기본 게이트웨이를 외부 라우터로 잡아 두면 OPNsense가 모든 정책을 적용할 기회를 잃습니다. 아래 목록의 다른 문제들도 결국 같은 원인으로 이어집니다.

게이트웨이 우회: 내부 VM이 ISP 라우터를 기본 게이트웨이로 설정할 기회가 생겨, OPNsense 정책을 우회하게 됩니다.
방향성 상실: 방화벽 규칙이 어느 인터페이스를 통과하는지 판단하지 못해 모든 트래픽이 허용되거나 막힐 수 있습니다. L3 라우팅 경계가 OPNsense가 아닌 곳에 생겨 버린 결과입니다.
프로토콜 충돌: PPPoE, VLAN 태깅, MTU 조정 같은 WAN 전용 설정이 LAN에도 영향을 주어 세션이 끊길 수 있습니다.

따라서 vmbr0에는 WAN NIC만, vmbr1에는 내부 게스트만 연결해 인터페이스 간 경계를 확실히 두는 것이 필수입니다. 아래 간단한 개념도를 떠올린 뒤 실제 아키텍처 섹션으로 넘어가면 이해가 빠릅니다.

인터넷/ISP → 물리 NIC → vmbr0 → OPNsense(WAN)
                                  ↓
                           OPNsense(LAN) → vmbr1 → 내부 VM/LXC

아키텍처 선택: 1 NIC 기본형을 기준으로 진행합니다

이 글의 기본 흐름은 물리 NIC 1개만 가진 상태에서 vmbr0와 vmbr1로 경계를 나누고, OPNsense가 두 브리지 사이의 유일한 3계층 라우터가 되도록 만드는 구조를 전제로 합니다. Proxmox 관리자는 여전히 vmbr0로 인터넷에 나가지만, 모든 게스트는 vmbr1을 통해 OPNsense를 거치게 만드는 방식입니다. 여기서 "방화벽을 우회하지 않는 배선"이란, vmbr1에 붙은 어떤 VM도 ISP 라우터를 기본 게이트웨이로 쓰지 않고 OPNsense LAN IP를 통과해 NAT·방화벽 정책을 반드시 거치는 상태를 의미합니다. 아래 다이어그램이 이 글의 나머지 단계(설치, 검증, 오류 점검)가 모두 의존하는 구조이며, 다이어그램 오른쪽 블록들이 모두 OPNsense 뒤 LAN 영역이라는 점만 기억하면 됩니다.

direction: right

wan: "ISP Router / ONT"
nic0: "Physical NIC 1"
vmbr0: "vmbr0 (WAN)
uplink only"
opn: "OPNsense VM
WAN = vmbr0
LAN = vmbr1"
vmbr1: "vmbr1 (LAN)
no physical port"
mgmt: "Proxmox UI / SSH"
svc1: "Reverse Proxy"
svc2: "Internal Apps"

wan -> nic0 -> vmbr0 -> opn
opn -> vmbr1
vmbr1 -> mgmt
vmbr1 -> svc1
vmbr1 -> svc2

핵심은 다음과 같습니다.

물리 NIC는 vmbr0 하나만 바라보고, Proxmox 호스트의 기본 게이트웨이는 OPNsense가 아닌 ISP 라우터여도 됩니다.
vmbr1은 물리 NIC 없이 만들어 내부 VM만 연결합니다.
OPNsense VM은 두 NIC를 가지고 각각 vmbr0, vmbr1에 연결합니다.
내부 게스트는 vmbr1을 통해 OPNsense LAN IP를 기본 게이트웨이로 받아야 NAT와 방화벽을 통과하게 됩니다.

호스트 경로 주의 이 구성에서는 Proxmox 호스트 자체(웹 UI, SSH 등)가 여전히 vmbr0를 통해 ISP 라우터로 바로 나갑니다. 즉 호스트는 OPNsense 뒤에 있지 않습니다. 호스트까지 OPNsense로 보호하고 싶다면 Proxmox 관리용 별도 VLAN을 두거나 vmbr1에도 관리 NIC를 추가해 기본 게이트웨이를 OPNsense LAN IP로 바꿔야 합니다. 운영 편의 vs 보안을 비교해, 장애 시 원격 복구 경로가 충분하면 vmbr1으로 옮기고, 그렇지 않다면 vmbr0에 남기되 방화벽·VPN·IPMI 기반의 대역외 접속 경로를 반드시 준비합니다. 이 글은 호스트/게스트 경로를 분리하는 구성을 기준으로 설명합니다.

2 NIC·VLAN 확장 시 참고

물리 장비나 별도 스위치까지 OPNsense 뒤로 넣고 싶다면 2번째 NIC나 VLAN 트렁크를 도입합니다.

이 확장형은 당장 따라 하지 않더라도, 지금의 1 NIC 기본형이 왜 안전한 기본선인지 이해하는 데 도움이 됩니다. 아래 비교표에서 본인 환경에 해당하는 항목을 먼저 체크해 두면 이후 설치 단계에서 무엇을 준비해야 할지 명확해집니다.

항목	물리 NIC 수	VLAN 필요	권장 환경
1 NIC 기본형	1	❌	홈랩, 테스트, VM만 보호하면 될 때
2 NIC 확장형	2	❌	물리 NAS, AP, 다른 서버까지 OPNsense 뒤로 묶고 싶을 때
VLAN 확장형	1 (trunk)	✅	스위치가 VLAN을 지원하고 서브넷을 다층으로 나눠야 할 때

3가지 선택지 모두 공통으로 "모든 내부 트래픽은 OPNsense를 거쳐야 한다"는 원칙이 필요합니다. Proxmox에서 VM을 생성한 뒤 기본 게이트웨이를 실수로 외부 라우터로 지정하면 트래픽이 OPNsense를 우회하여 방화벽 정책이 무력화됩니다. 이 글의 나머지 단계는 모두 1 NIC 기본형을 기준으로 설명하지만, 2 NIC/VLAN 환경이라도 VM 생성·설치 절차는 동일하며 차이는 브리지 연결 방법뿐입니다.

OPNsense VM 생성 순서

1단계: ISO 업로드와 VM 기본 정보

OPNsense 다운로드 페이지에서 최신 OPNsense-XX.X-dvd-amd64-serial.iso를 내려받은 뒤, Proxmox 웹 UI의 local (iso) 스토리지에서 Upload를 눌러 파일을 올립니다.
- -serial.iso: Proxmox serial0 콘솔 하나로 전체 설치를 진행할 수 있어 이 글의 기본 전제입니다.
- -vga.iso: 별도 VNC 콘솔을 열어야 하고 Proxmox 브라우저 콘솔과 분리되므로 불편합니다.
- -dvd.iso: 물리 모니터/키보드가 있는 장비용이므로 VM에서는 피하세요.
Create VM을 눌러 Name을 opnsense로, Resource Pool과 Node를 선택합니다.

2단계: BIOS/머신/디스크 선택 이유를 이해하기

기본적으로 Proxmox가 제안하는 값 그대로 두되, 아래 항목만 유의하면 됩니다.

항목	권장값	이유
BIOS	`OVMF (UEFI)` 권장, 구형에는 `SeaBIOS`	OPNsense 24.x/FreeBSD 14는 UEFI 부트를 완전히 지원합니다. 신규 설치는 `OVMF (UEFI)`를 쓰고, 23.x 이하 이미지를 재사용할 때만 `SeaBIOS`를 유지하세요.
Machine	`q35`	최신 VirtIO NIC와 디바이스 트리를 제대로 인식합니다. 구형 `i440fx`를 쓸 이유가 거의 없습니다.
SCSI Controller	`VirtIO SCSI`	디스크 IOPS와 대역폭을 안정적으로 확보할 수 있습니다.
Disk	8~16GB `VirtIO Block`	설정 백업과 로그를 고려하면 8GB가 최소입니다. Thin Provision으로 공간 효율을 높일 수 있습니다.

CPU는 2코어 이상, Memory는 4GB 이상을 주고 Ballooning을 끕니다(balloon: 0). FreeBSD/OPNsense는 Ballooning으로 메모리가 회수될 때 상태 테이블이나 패킷 버퍼가 부족해져 세션이 끊기거나 프로세스가 OOM에 걸리기 쉽습니다. 고정 메모리를 예약해 두고 필요하면 나중에 직접 증설하는 편이 안전합니다.

3단계: NIC 연결과 순서 고정

먼저 왜 MAC 주소를 기록해야 하는지 짚고 넘어가겠습니다. OPNsense 설치 마법사는 "어느 NIC가 WAN인가?"를 묻습니다. 이때 Proxmox가 보여 주는 Net0, Net1 순서와 설치 마법사에서의 vtnet0, vtnet1 순서가 항상 같지는 않으므로, MAC 주소(각 NIC의 고유 ID) 를 확인해 두면 WAN과 LAN을 뒤바꾸는 실수를 막을 수 있습니다.

Net0는 VirtIO (paravirtualized) + vmbr0, Net1은 VirtIO (paravirtualized) + vmbr1로 생성합니다. VirtIO를 쓰면 FreeBSD에서 기본으로 드라이버가 잡히고, E1000 대비 CPU 사용량이 훨씬 낮습니다. (23.x 이하 이미지를 쓰거나 VirtIO 드라이버가 없는 실험 버전이라면 E1000으로만 임시 진행하세요.)
Create VM 마법사를 마친 뒤 Hardware 탭에서 각 NIC를 클릭해 MAC address를 기록합니다. 화면 우측의 MAC 값 옆 복사 버튼을 눌러 텍스트 파일이나 패스워드 매니저에 저장해 두면 설치 중 NIC 순서를 혼동하지 않습니다. 예:
```
Net0 → 52:54:00:12:34:00 (vmbr0/WAN)
Net1 → 52:54:00:12:34:01 (vmbr1/LAN)
```
이후 설치 마법사 Assign Interfaces 화면에 아래 예시처럼 표시되므로, 메모와 비교해 WAN/LAN을 정확히 지정합니다.

Available network interfaces:
  vtnet0 - 52:54:00:12:34:00 (vmbr0에 연결됨) ← WAN 선택
  vtnet1 - 52:54:00:12:34:01 (vmbr1에 연결됨) ← LAN 선택

4단계: 부팅 순서와 콘솔 준비

Boot Order에서 ISO를 맨 위로 두고 나머지 디바이스는 디스크 > NIC 순으로 정리합니다.
VM을 생성한 뒤 Hardware > Serial port 0이 있는지 확인합니다. 없다면 Add > Serial port를 눌러 추가합니다. 설치 ISO가 시리얼 콘솔을 기본으로 사용하므로, Proxmox 웹 콘솔에서 바로 설치 과정을 볼 수 있습니다.

5단계: 설치 마법사에 진입

VM을 부팅하고 Console 탭을 열어 시리얼 화면을 확인합니다. 만약 그래픽 ISO를 잘못 올렸다면 콘솔에 아무 것도 보이지 않으므로, Stop 후 -serial.iso로 교체해야 합니다.

설치 마법사에서 선택할 것들

Keymap: 기본 US를 유지합니다. 웹 UI에서 IME를 쓰는 편이 훨씬 안정적입니다.
Disk Layout: ZFS 미러 등 고급 구성을 하지 않는다면 Guided Installation > UFS가 가장 빠릅니다. 추후 스냅샷은 Proxmox에서 관리하면 됩니다.
Interface Assignment: vtnet0를 WAN, vtnet1을 LAN으로 지정합니다. 앞단계에서 기록한 MAC 주소와 일치하는지 확인합니다. 만약 순서를 반대로 선택하면 설치 직후 네트워크가 완전히 뒤바뀌므로, 잘못 골랐다고 느껴지면 즉시 설치를 중단(Ctrl+C)하고 VM을 다시 부팅해 처음부터 진행하세요.
Admin Password: 설치 마법사가 끝날 때 묻는 관리자 암호를 비밀관리 도구에 즉시 저장합니다.
DHCP 범위 준비: 설치 마법사에서는 DHCP를 단순히 활성화만 하고, 실제 범위(예: 10.10.0.100~10.10.0.200)는 설치 직후 웹 UI에서 설정합니다. 아래 "설치 직후 빠르게 검증하기" 섹션에서 이어집니다.

설치 후 최적화(옵션)

가상 NIC 비교

드라이버	장점	단점	추천 상황
VirtIO	FreeBSD 13+ 기본 지원, 낮은 CPU 사용률, 고속 처리량	구버전 OS 호환성 제한	OPNsense 23.x 이상 기본 선택
E1000	구형 FreeBSD/Windows 호환성	CPU 오버헤드 큼, 1Gbps 이상에서 병목	레거시 OS 테스트용
Realtek 8139	대부분 OS가 인식	100Mbps 제한, CPU 부담	긴급 호환성 확인 외 비권장

Multiqueue: WAN 대역폭이 1Gbps 이상이면 /boot/loader.conf에 hw.virtio.net.mq_disable=0을 추가해 다중 큐를 켜고 재부팅합니다. 런타임에 ifconfig로 조정할 수는 없습니다.
MTU: VLAN 태깅을 사용하면 OPNsense 게스트의 인터페이스 MTU를 1496으로 낮춰 4바이트 태그를 감당하세요. Proxmox 브리지의 MTU는 별도로 설정해도 됩니다.
스토리지: SSD 백엔드를 쓴다면 VirtIO SCSI + SSD-backed storage로 두고 Proxmox에서 TRIM 전달이 가능한지 확인한 뒤, OPNsense에서 autotrim=on 또는 수동 fstrim을 실행하세요.

설치 직후 빠르게 검증하기

아래 검증은 Linux/FreeBSD 콘솔 명령에 익숙하다는 전제하에 진행합니다. 익숙하지 않다면 명령과 예시 출력만 보고 동일한 패턴이 나오는지 비교해도 충분합니다.

Proxmox 콘솔에서 ifconfig vtnet0와 ifconfig vtnet1을 확인하여 각각 WAN, LAN 대역의 IP가 맞는지 봅니다. 정상 출력 예시는 아래와 같습니다.

vtnet0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 203.0.113.50 netmask 0xffffff00 broadcast 203.0.113.255  ← WAN 대역

vtnet1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.10.0.1 netmask 0xffffff00 broadcast 10.10.0.255        ← LAN 대역

OPNsense 웹 UI(https://<LAN IP>)에 접속해 Interfaces > Assignments에서 WAN = vtnet0, LAN = vtnet1인지 다시 확인합니다.
LAN에 붙은 테스트 VM에서 traceroute 1.1.1.1을 실행해 첫 홉이 OPNsense LAN IP인지 확인합니다.

$ traceroute 1.1.1.1
1  10.10.0.1 (10.10.0.1)  1.123 ms  1.201 ms  1.298 ms  ← OPNsense LAN IP여야 함
2  203.0.113.1 (203.0.113.1)  4.832 ms  4.910 ms  4.977 ms

Diagnostics > Ping에서 내부 게스트, 외부 DNS 양쪽을 모두 ping 해 보며 NAT 동작을 검증합니다.

검증 체크리스트

콘솔에 OPNsense 로그인 프롬프트가 보이고, ifconfig vtnet0/vtnet1 결과가 각각 WAN/LAN 대역을 가리킨다.

https://<LAN IP>에서 웹 UI가 열리고, Interfaces > Assignments가 WAN = vtnet0, LAN = vtnet1이다.

테스트 VM에서 traceroute 1.1.1.1의 첫 홉이 OPNsense LAN IP다.

curl https://ifconfig.me 결과가 OPNsense WAN IP와 일치한다.

어느 하나라도 틀리면 바로 아래의 문제 해결 섹션으로 이동해 원인을 교정한다.

설치 중 자주 겪는 문제 해결

시리얼 콘솔이 비어 있음: -serial.iso가 아닌 ISO를 올렸거나 Serial port 0 디바이스가 없습니다. ISO를 교체하고 Hardware 탭에서 Serial 포트를 추가한 뒤 다시 부팅합니다.
NIC 순서가 뒤바뀜: ifconfig 결과에서 WAN 대역이 vtnet1에 붙었다면 전원을 끄고 Proxmox Hardware 탭에서 Net0와 Net1을 맞교환한 뒤 재부팅합니다. MAC 기록을 다시 확인하세요.
설치가 디스크 단계에서 멈춤: 스토리지 컨트롤러가 VirtIO SCSI인지 확인하고, 로컬 스토리지가 noatime 등 튜닝으로 잠겨 있지 않은지 점검합니다.
부팅 후 DHCP가 동작하지 않음: 설치 마법사에서는 DHCP 범위가 비어 있으므로, Services > DHCPv4 > LAN에서 범위를 입력하고 Enable을 켠 뒤 서비스를 재시작합니다.

방화벽을 우회하지 않게 유지하기

VM을 다 만들고 설치했다고 끝이 아닙니다. 관리망과 사용자망을 분리하지 않으면 여전히 일부 VM이 ISP 라우터로 직행할 수 있습니다. 아래 체크리스트를 순서대로 따라가 "모든 트래픽이 OPNsense를 거치는지" 한 번 더 확정하세요.

Proxmox 호스트 관리 IP를 어디에 둘지 결정합니다. 복구 편의가 우선이면 vmbr0에 두되 VPN/IPMI로 보호하고, 보안이 우선이면 vmbr1이나 관리 VLAN으로 옮기고 콘솔·OOB 경로를 확보합니다.
내부 VM/LXC의 기본 게이트웨이를 모두 OPNsense LAN IP로 설정합니다.
임시로 vmbr0에 직결된 VM이 없는지 확인합니다. 있다면 LAN 브리지로 옮겨 NAT를 거치게 합니다.
OPNsense에서 Firewall > Rules > WAN을 열어, 허용 규칙이 정말 필요한 서비스만 대상으로 하는지 점검합니다.
Firewall > NAT > Outbound를 Hybrid 모드로 두고, 꼭 필요한 경우에만 수동 규칙을 추가합니다.
Proxmox 호스트 자체는 여전히 ISP 라우터를 기본 게이트웨이로 두어 OPNsense VM 장애 시에도 외부에서 접근할 수 있게 합니다. 만약 호스트까지 OPNsense 뒤로 넣는다면 IPMI/iLO 같은 대역외(OOB) 관리망이나 물리 콘솔을 반드시 확보하세요.

흔한 실수

LAN 브리지를 만들었지만 DHCP를 켜지 않음: 내부 VM이 여전히 외부 라우터에서 IP를 받으면서 방화벽을 우회합니다. 설치 직후 DHCP를 켜고 기본 게이트웨이가 OPNsense인지 확인합니다.
Proxmox 관리 IP를 WAN 브리지에 둠: 관리 UI가 공인망에 그대로 노출됩니다. vmbr1 또는 별도 관리 VLAN으로 즉시 옮겨야 합니다.
설치 ISO를 그래픽 버전으로 선택: 시리얼 콘솔이 비어 있어 Proxmox 웹 콘솔에서 화면을 못 보고 VNC를 따로 열어야 합니다. -serial.iso 파일명을 다시 확인하세요.
VirtIO NIC 순서를 뒤바꿈: 일반적으로 Proxmox Net0=OPNsense vtnet0, Net1=vtnet1이지만, 드물게 PCI 슬롯 변경 등으로 순서가 달라질 수 있습니다. 설치 중 인터페이스 선택 화면에서 MAC 주소를 확인하고, 설치 후 Interfaces > Assignments에서도 동일한 순서를 유지했는지 재점검하세요.

마무리 및 다음 글 안내

이제 Proxmox에서 OPNsense VM을 만들고, vmbr0와 vmbr1 사이에 WAN/LAN 경계를 두는 방법을 확정했습니다. 설치 마법사에서 어떤 드라이버와 옵션을 골라야 하는지도 살펴봤습니다. 다음 글에서는 이렇게 만든 OPNsense를 통해 NAT, 포트포워딩, 리버스 프록시 트래픽을 어떻게 다루는지 실제 규칙 작성 관점에서 이어가겠습니다.