Gyeyang's

대충 이틀쯤 붙들고 있던 삽질을 잊지 않기 위해, 10여 년만의 포스팅.

뭐 다른 이유는 없고 따로 둘 데가 생각이 안 나서다.

1. 발단

집에서는 라우터를 2대 쓰고 있다, 메인으로 ipTIME AX2004M, 내 방에 브리지 AP 용도로 ipTIME A8004T.
원래 후자 자리에는 스위칭허브만 있었는데, 랩탑으로 일 하는 도중에 와이파이 끊어지는 꼬라지 보고 열받아서, 구석에서 먼지 쓰고 있던 거 꺼내서 박아버렸다.

A8004T의 OpenWRT는, 24.10 현재도 설정 변경으로 무선 장치가 소프트 리셋되면 2.4 GHz가 뭔 짓을 해도 안 살아나서 전원을 한 번 끊어줘야 하는 문제가 있는데, 어차피 여기서는 5 GHz만 쓸 건데 알 게 뭐야.

어쨌든 그렇게 내 방에서 데스크탑, 홈 서버, 내 무선 기기들에서 쏟아낸 패킷이 브리지 AP에 모여서 UTP 케이블 한 가닥을 타고 가는 구조가 돼 있었다.

홈 서버도 돌리고 홈 오토메이션도 좀 깔짝이고 개인이 가진 장치도 인당 몇 대씩인데 이걸 한 네트워크에 모아두면 브로드캐스트가 너무 멀리 퍼져나간다든가, 접근 권한 문제라든가 있긴 하니까……라는 명분으로, 초반에는 SSID 분리 정도만 하다가, 전에 어디서 VLAN이라는 개념을 주워들은 게 있어서, 요새는 LLM이 정보를 먹기 좋게 잘 썰어서 갖다 주니까 해 볼 만하지 않을까라는 생각이 들어서 네트워크를 갈아엎기로 했다.

생각보다 할 만했지만 생각보다 환각에 휘둘렸는데, 그건 어쩌다 이 글을 보게 될 사람이 궁금해할 건 아닌 것 같으니 생략. 나도 딱히 나중에 궁금하진 않을 것 같고.

2. 기존 구성

원래 내부 네트워크와 WAN 전용 네트워크 정도만 두고, 10.15.0.0/22 범위 내에서 적당히 IP 주소 범위만 보기 좋게 잘라서 아는 장치 모두에 Static Lease를 설정해 두고, IP 기반으로 방화벽 설정 같은 걸 해 두고 쓰고 있었다.

이렇게 하면 어느 장치가 어디 붙었는지 보기도 좋고, Hostname이 하나씩 붙는 거니까 불러내기도 좋…긴 한데 어디까지나 개인이 여가시간에 관리하는 거니까 할 수 있는 거겠지.

3. 설계

/22라는 가정용 네트워크로는 쓸데없이() 거대한 단일 서브넷을 쪼개기로 했다.

• 10.15.0.0/24: [lan] 관리용. 네트워크 장비나 서버.
• 10.15.1.0/24: [lan3] 사용자 장치. PC, 스마트폰 등.
• 10.15.5.0/24: [lan2] 게스트, 혹은 C2C IoT 장치 격리.
• 10.15.6.0/24: [iot] IoT 장치. ESPHome 등.
• 10.15.4.0/24: [vpn] WireGuard 피어. Masquerading으로 서버 IP만 보이는 게 마음에 안 들어서, 이 기회에 합쳐 보기로 했다.

VLAN ID는 알기 쉽게 IP 주소의 세 번째 부분을 따서, 1, 10, 50…으로 하기로 했다. WireGuard의 통제는 IP 단위라 VLAN을 안 써도 된다. 순서 이상한 건 레거시 탓임.

방화벽 Zone과 트래픽 규칙은 다음을 기본으로 해서 정했다.

기본값인 lan에 더해, user(사용자), iot(IoT 기기), vpn(WireGuard 피어), guest(WAN 전용)을 추가 설정한 형태다.

각 존의 관계는 이렇다.

• lan에서
  • user: 지금은 안 쓰지만 장기 계획으로, Open Home Foundation Matter Server를, 보더 라우터인 네스트허브 2가 있어야 할 user로 내보내고, 통신용 WebSocket 포트를 열어줘야 한다. 이 방법을 깨달은 건 네스트허브를 초기화하고 lan용 SSID까지 새로 잡은 뒤였다. 아놔.
  • wan: 인터넷용. OpenWRT 기본값.
  • iot: Home Assistant의 ESPHome 장치 액세스 용도. 트래픽 규칙으로 네이티브 API의 6052와, OTA용인 8266, 8892 정도만 열었다.
  • vpn: lan에서의 응답 전달 용도. 위와 목적지가 다를 뿐 역할은 같다.
• guest에서 wan: 인터넷용.
• user에서
  • lan: 관리용+일부 서비스 제공용(Pi-hole 등). 내가 쓰는 기기는 일단 전체 허용인데, 나중에 좁힐 생각이다.
  • iot: ESPHome Web UI 접속용. 비상용인데, 애초에 web_server 컴포넌트를 안 넣은 기기가 다수다.
• iot에서
  • lan: MQTT 브로커인 Mosquitto 접속용으로 1883 포트만 열었다.
  • wan: 일부 기기의 클라우드 연동이나 펌웨어 OTA 용도. 출발지 IP를 제한했다.
• vpn에서
  • wan: 인터넷용.
  • lan: 관리용.
• wan에서: 전부 reject. 외부 접속을 허용할 서비스는 포트 포워딩으로 제어해야 한다.

4. 장비 설정

통신 장애가 필연적으로 발생하고, 뭣하면 문제 해결하느라 한참 인터넷 끊어진 채로 지낼 수 있으니 작업은 되도록 심야에.

자신 없으면 작업은 LuCI에서 하는 게 좋다. 좀 번잡스럽긴 한데, 실수로 통신이 끊어질 만한 설정을 했을 때 롤백이 되는 게 최대 장점이다. 그거 간과하면 라우터에 접속 못 해서 OpenWRT 페일세이프 모드 들어가야 하는 경우가 생긴다.

야매라서 틀린 부분이 있을 수 있으니 적당히 걸러서 읽을 것.

메인 라우터랑 브리지 AP 중 어느 것을 먼저 설정할 지는 두 대 정도면 중요하진 않지만, 접속 위치에서 먼 곳부터가 바람직하다. 브리지 AP는 메인 라우터가 없으면 통신에 제약이 있으니(뭐 구성에 맞게 IP 수동으로 잡고 들어가면 되긴 한다), 안정적으로 하고 싶으면 메인 라우터에 붙어서 브리지 AP부터 설정하자.

4.1 브리지 AP 설정

VLAN이라는 구성을 택하게 된 계기이자, 가장 고생한 부분. 설정할 부분 자체는 많지 않지만, 그 방법이 일반적이지 않아서 애먹었다.

4.1.1. 라우터에서 브리지 AP로의 전환 준비

브리지 AP를 신규 설치하는 경우의 설명. 초기 상태의 라우터라면 네트워크에서 분리한 상태로 PC 등과 라우터의 LAN 포트를 연결해서 하게 될 것이다.

라우터는 초기 상태면 DHCP, DNS, 방화벽 같은 서비스가 자동 실행되는데, 이미 이런 기능을 전부 메인 라우터가 하고 있으니 브리지 AP에서 또 실행하면 구성만 꼬인다. 필요하지 않은 서비스는 종료해 주자.

1. System→Startup에서 firewall, dnsmasq, odhcpd를 찾아, ENABLED를 눌러 DISABLED로 만들고, STOP도 한 번 눌러 주자.
2. Network→Interfaces에서 lan의 General Settings를 연 다음 IPv4 주소를 VLAN 1으로 쓸 서브넷 범위 내에서, 메인 공유기와 안 겹치는 것으로 설정한다. 내 경우 10.15.0.2/24로 했다.
3. IPv4 gateway도 메인 라우터의 IP 주소로 설정해 주자.
4. DHCP Server의 General Setup에서, Ignore interface를 체크한다.
5. wan 포트를 사용하고 싶은 경우, 다음의 조치를 한다.
   1. 기본 인터페이스 중 wan, wan6의 Device에서 wan을 제거하거나, 아예 인터페이스를 통째로 삭제한다.
   2. Devices에서 기본 브리지(br-lan)을 열고, Bridge ports에 wan을 추가한다.
6. 저장 및 적용한 뒤, 아무 LAN 포트(위의 설정을 마쳤다면 WAN 포트도)나 메인 공유기와 연결하면 외부와 통신이 가능해진다.

4.1.2. 무선 설정

1. Network→Wireless에서 SSID를 만들거나 고친다.
   1. Interface Configuration의 General Setup에서 Network는 비워 둔다.
   2. AP를 증설한다면, wpad-mbedtls(기본 설치되는 wpad-basic-mbedtls는 로밍 관련 기능이 빠져 있으니 제거부터 해야 한다)를 설치하고, WLAN roaming에서 802.11k RRM, Neighbour Report, Beacon Report, WMM Sleep Mode, WMM Sleep Mode Fixes, BSS Transition, ProxyARP를 활성화한다.
   3. Advanced Settings에서는 Disassociate On Low Acknowledgement도 켜주면 좋다. 감도 약한 장치를 빨리 쳐내야 더 나은 AP에 붙을 거니까.
   4. 전파가 지나치게 멀리 나가지 않도록 출력을 적당히 조절해주는 것도 중요하다. 방 하나에서 쓴다면 12 dBm만 해도 차고 넘치는 듯.
2. 생성된 SSID별 인터페이스 이름(phy1-ap0 등)을 기억해 둔다. SSID 편집 모달의 제목에 나와 있다.
3. 저장 및 적용.

4.1.3. VLAN 장치 설정

네이티브 VLAN을 1로 두는 구성이다. VLAN Hopping을 대비하는 가정집 네트워크는 그것대로…아니 역시 그냥 오버킬이다.

1. Network→Interfaces→Devices에서 기본 브리지 장치(br-lan)의 "CONFIGURE..."로 들어간다.
2. General device options의 Bridge ports를 누르고, 가장 아래의 custom을 골라 4.1.2.에서 봤던 무선 인터페이스를 전부 직접 입력해서 추가해 준다.
3. Bridge VLAN filtering에서 Enable VLAN filtering에 체크해준다.
4. 필요한 만큼 VLAN ID을 추가하고, 각 포트도 멤버로 넣어 준다. 브리지 AP에 연결되지 않는 것은 굳이 추가할 필요는 없다.
   1. Local: 라우터 자신 참여할 지 여부. 브리지 AP에서는 VLAN 1에만 있으면 된다. 메인 라우터에서는 무조건 기본값(체크)으로.
   2. 각 포트:
      • Not Member(-): VLAN과 상관 없음
      • Untagged(U): VLAN의 구성원이지만, 패킷이 ID 없이 드나듦. 장치의 네트워크 설정을 따로 건드릴 게 아니면 대개는 이거다.
      • Tagged(T): VLAN의 구성원이고, 패킷에 ID가 붙어서 드나듦. VLAN-aware인 서버나 네트워크 장비면 이거.
      • Is Primary VLAN(*): Untagged인 포트에 대해, ID가 없는 패킷은 이 VLAN의 것으로 간주하는 것으로 마킹. Untagged인 포트당 하나의 VLAN에만 설정할 수 있고, 이게 체크돼 있어야 통신이 제대로 된다.
   • 대부분의 포트는 하나의 VLAN에 U* 하나씩 있을 것이고, 브리지 AP와 메인 라우터를 잇는 포트는 브리지 AP를 경유하는 모든 VLAN에 대해 T로 체크되어 있어야 하고, VLAN 1에는 U*로 되어 있어야 한다.
   • 브리지 AP와 메인 라우터를 잇는 포트는 양쪽의 설정이 동일해야 한다.
5. Devices에서 \[브리지 이름\].\[ID\](br-lan.1 등)이 생겼는지 보자. 없으면 하나 손으로 만들어 주면 반영되는 것 같다.
   하단의 "ADD DEVICE CONFIGURATION..."을 누르고, Device Type은 "VLAN (802.1q)", Base device는 기본 브리지, VLAN ID는 아까 만든 것 중 하나(1), Device name은 전술한 \[브리지 이름\].\[ID\](br-lan.1)으로 하고 저장.
6. 브리지 AP에서는 위의 VLAN 1의 인터페이스 외의 것이 있으면 패킷 루프의 원인이 되므로 설정하지 않는다.

4.2. 메인 라우터

4.2.1. 방화벽 설정

인터페이스를 만지기 전에 미리 설정해 둬야 통신이 덜 꼬인다. 내부 네트워크를 전부 lan 존에 쓸어넣을 수도 있기야 한데, 그럴 거면 애초에 VLAN 구성을 왜 해…?

4.2.1.1. 존 설정

1. Network→Firewall→General Settings→Zones에서 필요에 따라 Zone을 추가한다.
   • 복수의 인터페이스가 한 Zone에 속해도 된다. 단, 실제 통신이 가능하려면 라우팅도 제대로 돼야 하는데, 절대 다수의 환경에서는 메인 라우터(공유기)가 알아서 잘 한다.
   • 설정 항목의 대략적인 뜻은 이렇다.
     • Name: 존 이름. 안 헷갈리게 짓자. (lan, guest, vpn, iot…)
     • Input: 존 안의 장치가 방화벽(이 경우 라우터)과의 통신을 시작할 수 있는지 여부. 신뢰할 수 있는 네트워크면 accept로 해 두고 라우터의 서비스(관리자 화면, SSH...)에 마음대로 접속할 수 있게 해도 되지만, 기본값을 reject로 두고, 필요한 것만 Traffic Rule로 개방(화이트리스트)하는 게 좀 더 낫다. 손님용 같은 믿을 수 없는 네트워크라면 더더욱.
     • Output: 방화벽이 장치와의 통신을 시작할 수 있는지 여부. 특수한 경우 아니면 accept로 두자.
     • Intra zone forward: 다른 존과의 통신 허용 여부. accept로 하면 다른 모든 Zone에 접속 가능해지니, 대부분의 경우 reject로 두고 접속을 허용할 존은 별도 포워딩 규칙으로 관리한다.
     • Masquerading: 소위 공유기의 주된 기능 중 하나인 NAT의 활성화 여부인데, wan이 출발지일 때 기본적으로 체크돼 있는 것을 보면 알 수 있듯, 사용하면 존 안의 장치의 IP 주소가 보이지 않고, 방화벽의 IP 주소만 보이게 된다. 대부분의 경우 내부 네트워크에서 쓸 일은 없다.
     • MSS clamping: 네트워크 경로의 조건에 따라 패킷의 세그먼트 크기를 줄이는 옵션. VPN 터널 같은 걸 쓰는 게 아니면 필요 없다.
     • Covered networks: 존에 포함할 네트워크(인터페이스). 필요에 따라 고르자.
     • Allow forward to destination zones: 현재 존에서 먼저 통신을 시작할 수 있는 존. 예를 들어 user에서 lan으로의 포워드를 허용하면, user에서 lan에 있는 서버에 접속할 수 있게 된다. 인터넷(외부 접속)을 차단할 게 아니라면 wan으로의 포워딩은 필수. Intra zone forward를 accept로 설정했다면 별 의미 없다.
     • Allow forward from source zones: 위 설정과 쌍을 이루는 설정. 더 정확히는 그냥 같은 거지만 기준점이 출발지가 아닌 도착지라는 점이 다르다. 반대쪽에서 설정하면 이쪽에도 반영되니, 편한 쪽을 쓰자.
2. 저장. 적용은 한꺼번에 해도 상관 없다.

   firewall.@defaults[0]=defaults
   firewall.@defaults[0].input='REJECT'
   firewall.@defaults[0].output='ACCEPT'
   firewall.@defaults[0].forward='REJECT'
   firewall.@defaults[0].flow_offloading='1'
   firewall.@defaults[0].flow_offloading_hw='1'
   firewall.@defaults[0].synflood_protect='1'
   firewall.@zone[0]=zone
   firewall.@zone[0].name='vpn'
   firewall.@zone[0].input='REJECT'
   firewall.@zone[0].output='ACCEPT'
   firewall.@zone[0].forward='REJECT'
   firewall.@zone[0].subnet='10.15.4.0/24'
   firewall.@zone[0].network='vpn'
   firewall.@zone[1]=zone
   firewall.@zone[1].name='lan'
   firewall.@zone[1].input='ACCEPT'
   firewall.@zone[1].output='ACCEPT'
   firewall.@zone[1].forward='REJECT'
   firewall.@zone[1].network='lan'
   firewall.@zone[2]=zone
   firewall.@zone[2].name='user'
   firewall.@zone[2].input='REJECT'
   firewall.@zone[2].output='ACCEPT'
   firewall.@zone[2].forward='REJECT'
   firewall.@zone[2].network='lan3'
   firewall.@zone[3]=zone
   firewall.@zone[3].name='guest'
   firewall.@zone[3].input='REJECT'
   firewall.@zone[3].output='ACCEPT'
   firewall.@zone[3].forward='REJECT'
   firewall.@zone[3].network='lan2'
   firewall.@zone[4]=zone
   firewall.@zone[4].name='iot'
   firewall.@zone[4].input='REJECT'
   firewall.@zone[4].output='ACCEPT'
   firewall.@zone[4].forward='REJECT'
   firewall.@zone[4].network='iot'
   firewall.@zone[5]=zone
   firewall.@zone[5].name='wan'
   firewall.@zone[5].input='REJECT'
   firewall.@zone[5].output='ACCEPT'
   firewall.@zone[5].forward='REJECT'
   firewall.@zone[5].masq='1'
   firewall.@zone[5].mtu_fix='1'
   firewall.@zone[5].network='wan' 'wan6'

   ※주의점: L3 계층(IP) 기반인 WireGuard 통신은 L2 계층에서 VLAN 1을 타기 때문에, vpn 존이 VLAN 1의 원래 주인인 lan 앞에서 걸러져야 한다. 대충 보기 좋게 아래쪽에 두면 패킷이 길을 잃는다.

4.2.1.2. 트래픽 규칙 설정

1. Network→Firewall→Traffic Rules에서 필요에 따라 트래픽 규칙을 설정한다.
   • [어떤 프로토콜] [어느 존] [어느 IP] [어느 포트]에서, [어느 존] [어느 IP] [어느 포트]로의 통신을 [허용·거부]할 지를 설정할 수 있다.
   • 위에서부터 적용된다. 먼저 몇 가지만 허용하고 나머지는 거부하는 등의 방식이 가능하다.
   • 존의 input, output, forward 설정에 우선한다.
   • input을 reject(혹은 drop)으로 설정한 존의 경우, 방화벽(=라우터, this device)으로 UDP 67 포트(DHCP)나 TCP·UDP 53(DNS)의 통신을 허용해 줘야 정상적인 외부 통신이 가능하다. IP 주소와 DNS를 전부 수동으로 설정하겠다면 모를까.
   • 기본적으로 차단하되 특정 IP에서만 액세스를 허용하는 식의 운용도 가능하다. 다만 별도 수단으로 강제하지 않는다면 IP 주소는 클라이언트가 바꿀 수 있으니, 너무 믿지는 말자.
   • mDNS 같은, 브로드캐스팅을 통해 네트워크 내의 장치를 검색하는 서비스(Bonjour, Chromecast, ESPHome discover 등)는 기본적으로 같은 네트워크 안에서만 동작한다. mDNS 중계용 서비스를 두고 방화벽에서도 허용해 주면 여러 존에 걸쳐 가능한 경우도 있지만, 정신건강에 좋진 않다.
2. 저장 후 적용.

4.2.3. 인터페이스 설정

1. Network→Interfaces→Interfaces에서 기존의 lan 대신 쓸 인터페이스를 생성하고, 적절한 서브넷을 부여한다.
   이름은 적당히 짓고, 프로토콜은 Static Lease, Device는 일단 기본 브리지 장치(내 경우 br-lan)로. VLAN을 활성화하고 나면 한 번 더 바꿔야 한다. Firewall Settings도 적당한 Zone을 지정해 준다.
   • vpn 인터페이스의 경우, 게이트웨이는 당연히 WireGuard 서버가 되고, 여기서는 뭐 입력할 필요 없이 Unmanaged로만 만들면 된다.
2. 필요하면 Network→Wireless에서 SSID를 만들거나 고치면서, Interface Configuration의 General Setup에서 Network를 1.에서 생성한 것 중 원하는 것으로 설정한다. 로밍에 대해서는 4.1.2. 참조.
3. 저장 후 적용.

   network.lan=interface
   network.lan.device='br-lan'
   network.lan.proto='static'
   network.lan.ipaddr='10.15.0.1/24'
   network.lan2=interface
   network.lan2.proto='static'
   network.lan2.device='br-lan'
   network.lan2.ipaddr='10.15.5.1/24'
   network.iot=interface
   network.iot.proto='static'
   network.iot.ipaddr='10.15.6.1/24'
   network.iot.device='br-lan'
   network.iot.delegate='0'
   network.lan3=interface
   network.lan3.proto='static'
   network.lan3.device='br-lan'
   network.lan3.ipaddr='10.15.1.1/24'
   network.vpn=interface
   network.vpn.proto='none'

4. DHCP를 수동 갱신하든, 설정을 직접 고치든 해서, IP 주소와 서브넷 마스크 같은 접속 정보가 갱신되도록 한다. 원래 자동 설정이면 방치하는 것도 방법.

4.2.4. VLAN 장치 설정

1. Network→Interfaces→Devices에서 기본 브리지 장치(br-lan)의 "CONFIGURE..."로 들어간다.
2. Bridge VLAN filtering에서 Enable VLAN filtering에 체크해준다.
3. 필요한 만큼 VLAN ID을 추가하고, 각 포트도 멤버로 넣어 준다. 자세한 설명은 4.1.3. 참조.
4. Interfaces로 가서, 아까 만든 인터페이스를 편집해서 Device를 기본 브리지가 아닌 대응하는 Vlan 브리지(VLAN ID 10이면 br-lan.10 등)으로 설정해 준다. 무선은 전에 설정한 Network(인터페이스)를 따라가니까 지금은 상관 없다.
5. WireGuard 네트워크에 대해서는, Network→Routing→Static IPv4 Routes를 추가한다. Interface는 아까 생성한 인터페이스, Route type은 unicast, Target은 WireGuard 피어가 사용할 IP 대역(10.15.4.0/24), 게이트웨이는 내부에서 봤을 때의 WireGuard 인스턴스의 주소(10.15.0.105).
6. SAVE & APPLY. 메인 라우터에 직접 연결되는 장치는 곧 연결이 복구되겠지만, 브리지 AP 경유면 설정 다시 잡아 주기 전까진 끊어진다.

   network.@route[0]=route
   network.@route[0].interface='vpn'
   network.@route[0].target='10.15.4.0/24'
   network.@route[0].gateway='10.15.0.105'
   network.@bridge-vlan[0]=bridge-vlan
   network.@bridge-vlan[0].device='br-lan'
   network.@bridge-vlan[0].vlan='1'
   network.@bridge-vlan[0].ports='lan1:u*' 'lan3:u*' 'lan4:u*'
   network.@bridge-vlan[1]=bridge-vlan
   network.@bridge-vlan[1].device='br-lan'
   network.@bridge-vlan[1].vlan='10'
   network.@bridge-vlan[1].ports='lan1:t' 'lan2'
   network.@bridge-vlan[2]=bridge-vlan
   network.@bridge-vlan[2].device='br-lan'
   network.@bridge-vlan[2].vlan='50'
   network.@bridge-vlan[2].ports='lan2:u*'
   network.@bridge-vlan[3]=bridge-vlan
   network.@bridge-vlan[3].device='br-lan'
   network.@bridge-vlan[3].vlan='60' # 이건 정신 못 차리길래 수동으로 추가한 군더더기
   network.@device[1]=device
   network.@device[1].type='8021q'
   network.@device[1].ifname='br-lan'
   network.@device[1].vid='1'
   network.@device[1].name='br-lan'

5. WireGuard 도커 컨테이너 설정

Linuxserver.io의 WireGuard 이미지나 WireGuard Easy는 기본적으로 Masquerading을 사용해서, lan에 노출되는 건 호스트의 IP 주소다. 이걸 걷어내고, 통제를 오직 메인 라우터의 방화벽을 통해서 하고 싶었다.

OpenWRT 라우터에 직접 WireGuard를 올리면 어차피 전용 인터페이스를 생성하니, 고민할 필요가 없던 부분이긴 하다.

이번에는 WireGuard Easy를 사용한 설정을 간략하게 남긴다.

1. compose.yaml을 적당히 작성하되, host 네트워크를 사용하도록 한다.

    services:
      wg-easy:
        environment:
          - PORT=51821
          - HOST=0.0.0.0 #localhost
          - INSECURE=true
          - DISABLE_IPV6=true
        image: ghcr.io/wg-easy/wg-easy:15
        container_name: wgeasy
        network_mode: host
        volumes:
          - ./data:/etc/wireguard
          - /lib/modules:/lib/modules:ro
        restart: unless-stopped
        cap_add:
          - NET_ADMIN
          - SYS_MODULE

2. 인터페이스의 IPv4 주소 범위를, 쓰기로 한 10.15.4.0/24로 한다.
3. Admin Panel의 Hooks에서 PostUP과 PostDown을 다음과 같이 고쳐, Masquerading을 비활성화한다.
   • PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT;
   • PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT;
4. 아까 라우터에서 오만 설정을 다 해 뒀으니, 라우터 접속 기록 등에 WireGuard의 피어 IP 주소가 찍히는 걸 보고 만족하면 된다.

6. 결어

원체 네트워크 쪽 지식이 일천하다 보니, 이 정도 결과에 이르는 데에 꽤나 시행착오가 있었지만, 어쨌든 작동하는(아마) 구성을 갖추는 데에 성공했다. 어차피 누가 집 네트워크에 진득하게 붙어 있을 일도 없고, 침투를 시도하는 일은 더더욱 없을 것 같지만, 뭐 하다가 문제 생겨도 큰 일 안 나는 환경에서 한 번 해 봤으니 언젠가는 써먹을 일이 생길 수도 있지 않을까. 하드웨어 규모로 보나 구성으로 보나 직장 사무실보다 강력한() 구성이 돼 놨고.

메인 라우터 교체하고 나서 이 설정 어떻게 다시 하냐며 막막해하고 있을 미래의 나에게 보낸다. 막 이래.