공지사항

들어가며저의 아이피숨기기 집에는 IoT 기기들이 약 8~90개 정도 있습니다.대부분이 Zigbee 디바이스이지만, 불가피하게 Wifi 로 통신하는 제품들도 일부 운용중인데 대표적으로는 CCTV, 도어벨, 재실센서(FP2)와 같은 것들입니다.​와이파이 IoT 디바이스를 가급적 쓰지 않는 이유는 1. 많은 갯수를 사용하는 경우 공유기에 부하를 유발하고, 2. 소모하는 전력도 Zigbee를 사용하는 디바이스 대비 2~3배 높기 때문인데요유선으로만 사용할 수 있는 IoT 디바이스(특히, 제조사 서버를 거쳐야하는 것들)도 사실 그렇게 반기지 않습니다.​왜냐하면 데이터의 통제권이 저에게 있지 않고 IoT 제조사 (ex - 스마트싱스, 아카라, 샤오미 등)에 있기 때문입니다. 갑자기 삼성에서 스마트싱스 사업을 철수한다고 발표하면? 또는, 다량의 DDOS 공격을 받아서 서비스를 사용하지 못한다면..?저의 집 불을 켜고 끄는게 외부적인 요인으로 인해 작동이 안된다면 그것만큼 답답한일이 있을까요.​그리고 저는 IoT 제조사들이 말단 디바이스를 통해 어떤 정보를 수집하는지, 그들이 아이피숨기기 말하는 약관 (데이터 정책)을 준수하는지도 믿지 않습니다. 제 아이피를 수집해갈 수도 있고, 내부 망에서 어떤 장치를 사용하는지 수집할 수도 있고, 뭐..물론 하지 않겠지만 마음만 먹으면 언제든지 할 수 있다는게 꺼림칙합니다.​무엇보다도, IoT 제조사들이 정보보안을 엄격하게 관리하고 있는지를 가장 믿지 못합니다. 아무리 보안 인증이 있다고 한들, 발견하지 못한 취약점이 무조건 있기 때문에.. 어떠한 경로로라도 해커들에게 시스템이 장악된다면 정보만 넘어가는것이 아니라 조명/난방이 먹통되서 불편까지 겪게될께 뻔하니까요.​그래서 기업의 국적을 불문하고 불신합니다.물론 IoT 디바이스를 정상적으로 사용하기 위해 서비스에 가입하고 기기를 등록하기는 하지만, 가급적이면 정말 최소한으로 저의 정보를 노출시키려 합니다.잡설이 길었네요.​이번 글을 통해, IoT 디바이스들을 분리된 VLAN 환경으로 옮기고 외부로 나가는 네트워크를 Wireguard Client (cloudflare) 를 통하도록 설정하여 제조사가 저의 공인IP를 알 수 없게 만들도록 하겠습니다.​Prerequisites이 아이피숨기기 글을 이해하기 위한 사전 지식은 아래와 같습니다.VPN (Wireguard)​이 글을 따라하기 위해 필요한 장비는 아래와 같습니다Unifi Network 장비 (이 글에서는 Unifi Dream Machine SE + U6 LR 모델을 기준으로 합니다) ​???? 주의사항이 글을 무턱대고 따라하시면, 포트포워딩 및 DDNS 설정해둔 디바이스(예: Home Assistant, Plex 서버, 시놀로지 나스 등등) 에 접근할 수 없게 될 수 있습니다. 이유는 본문 마지막에 있습니다.만약 저와 같은 환경으로 사용하고 싶으시다면, 먼저 글을 읽어보신 다음, 느낌만 대충 파악하시고 시작하시길 권장합니다.혹시 설정과 관련하여 우려되는 부분이 있다면 댓글로 남겨주세요. 아는 선에서 최대한 도와드리겠습니다.시작 - VLAN 생성먼저 VLAN 생성부터 시작해보겠습니다. (이미 IoT 디바이스용 VLAN 생성하신분은 넘기셔도 좋습니다)먼저, Unifi Network &gtSettings &gtNetworks 메뉴를 통해, VLAN을 생성해주세요.스크린샷에서는 제가 미리 생성하여 사용중인 IoT라는 VLAN이 있지만, 아이피숨기기 무시하고 새로 생성하겠습니다.예시로 IoT-Network 를 입력해두었습니다.설정이 필요한 부분을 체크해뒀는데, 잘 모르겠다 싶으시면 그냥 Auto 로 두셔도 무관합니다.설정을 하시고 Add 버튼을 누르시면..VLAN 생성 결과위와 같이 추가된 것을 볼 수 있습니다.무선 네트워크 VLAN 바인딩뜬금 없지만..무선 네트워크는 가급적이면 IoT 장치들이 연결할 SSID를 분리시켜두는 것이 좋습니다.​이유는 아래와 같습니다.5Ghz를 지원하지 않는 IoT 단말기가 대다수 (특히, 2.4Ghz/5Ghz 혼용 802.11ax를 사용하면 연결불가한 경우가 많음)WPA3 인증을 지원하지 않는 단말기가 대다수 (비교적 출시된지 오래된 장비들은 WPA2 까지만 가능)관리의 용이성 (트러블슈팅이 쉬움)​무선 네트워크 생성하는것은 이미 아실 것이라 가정하고, 설명을 진행하도록 하겠습니다.Network &gtSettings &gtWifi 메뉴무선 네트워크를 설정하기 위해 Network &gtSettings &gtWifi 메뉴를 찾아 들어가봅니다.저는 이미 만들어둔 InternetOfThings 라는 Wifi를 수정해보고자 합니다.Network 항목에 이전 단계를 통해 생성한 VLAN을 선택해주고, Apply Changes를 눌러 아이피숨기기 변경사항을 저장합니다.위와 같이 Network 항목이 수정된대로 나온다면 정상입니다.VPN Client 생성 - (1) wgcf를 이용한 Cloudflare WARP wireguard profile 생성하기만약 다른 VPN (ExpressVPN, Surfshark, NordVPN 등) 을 사용하고 계시다면, wireguard profile을 미리 내려 받아 주시고 이 섹션은 건너뛰어도 좋습니다.이 섹션에서는 상용 VPN을 사용하지 않는 사용자들을 위한 내용이 담겨있습니다.Cloudflare WARP을 wireguard profile 로 내려 받아보겠습니다.​먼저 아래의 링크를 방문하여 각자의 사용환경에 맞는 바이너리를 다운로드 해주세요.???? Cross-platform, unofficial CLI for Cloudflare Warp - ViRb3/wgcf설명은 윈도우 환경을 기준으로 하도록 하겠습니다.화면이 위와같이 나타나지 않는다면 Show all 28 assets를 눌러보세요.wgcf_x.x.x_windows_amd64.exe 를 내려받아 주시고,편의를 위해 파일명은 wgcf로 바꿔줍니다.내려받은 폴더에서, 빈곳을 우측클릭하여 터미널에서 열기를 선택하신 다음 아래와 같이 명령어를 입력해주세요..\wgcf.exe register.\wgcf.exe generate​명령어를 입력하면 wgcf.exe 파일이 있던 폴더 내에 wgcf-profile.conf 아이피숨기기 라는 파일이 정상적으로 생성된 것을 확인할 수 있습니다.이 파일을 메모장으로 열어주시고IPv6 형식의 라인 전체를 삭제한 뒤 저장하여 빠져나가주시면 wireguard profile 생성은 완료됩니다.VPN Client 생성 - (2) Wireguard Profile 등록VPN Client를 등록하기 위해 Network &gtSettings &gtVPN &gtVPN Client 메뉴로 진입합니다.위와 같이 잘 보인다면, Create new를 클릭해주세요.​VPN Type은 Wireguard, Name에는 적절한 이름을 넣어주세요. 예시로 VPN-WGCF를 입력해두었습니다.Setup 항목에는 File, Configuration File 에서는 Upload 를 눌러 이전에 만든 wireguard profile을 선택해주시면 됩니다.​입력이 끝났다면 Apply Changes를 눌러 저장하고 빠져나오세요.처음에는 Connecting으로 뜰테지만 몇초정도 기다리면 위와 같이 Connected로 표시될 것입니다.트래픽 라우팅 설정거의 다 왔습니다. 마지막 순서입니다.Network &gtSettings &gtRouting 메뉴로 진입합니다.등록된 규칙이 하나도 없다면, 바로 위와 같이 입력할 수 있는 화면이 나타날텐데요.1. All Trafic을 선택하시고,2. Device/Network 란에는 앞서 아이피숨기기 생성한 IoT용 VLAN을 선택합니다.3. Interface에는 이전 순서에서 등록한 VPN Client을 선택합니다.4. Description은 건너뛰어도 무관하나, 유지보수를 위해 뭐라도 써두는게 좋습니다.​마지막으로 Add Entry를 클릭한다면 완료됩니다.​여기까지 하셨다면, IoT를 위한 SSID에 물려있는 모든 장비가 Cloudflare의 네트워크로 전송되게 됩니다.내부망끼리는 이번 설정과 무관하게 기존과 동일하지만 제조사 또는 외부에서 디바이스의 아이피를 확인하는 경우 KT/LGU+/SK 아이피가 아닌, Cloudflare의 아이피로 잡히게 되는것이죠.​이러한 설정을 통해 제조사가 사용자의 환경을 수집하더라도 실제 공인 아이피가 잡히지 않게 되고 추적하기 어려워지니 프라이버시를 보호하는데 도움이 될 수 있습니다.​한계점이런 설정을 했음에도 분명한 한계점은 있습니다.내부망 환경 수집에는 근본적인 해결책이 되지 않는다는 것인데, 이것은 이어질 글을 통해 VLAN끼리는 통신할 수 없도록 설정하여 내부망 보안을 조금 더 높여보도록 하겠습니다.Discover a walkthrough the new Unifi Port &ampVLAN Manager dashboards from 아이피숨기기 Ubiquiti’s Network Application v8.x for better switch management.마무리 하며글을 시작할때에 경고성 문구로 작성해두었듯, 만약 본인의 환경이 DuckDNS와 같은 DDNS를 사용하거나, DDNS + NPM (Nginx Proxy Manager) 조합, 또는 DDNS + Port Forwarding 을 통해 Home Assistant 등을 설정해두었다면 공인 아이피 자체가 바뀌기 때문에 기존 방법으로는 연결할 수 없게 됩니다.본 내용에서 공유한 Selective routing을 설정하기 위해서는 DDNS 사용을 포기하고 Cloudflare Tunnel을 사용하거나, Home Assistant 호스트만 VLAN을 IoT에서 제거하는것이 방법이 되겠습니다(단, 이런 경우 VLAN끼리 통신하지 못하도록 막는다면 HA가 정상작동 하지 않을 수 있습니다.)Cloudflare Tunnel은 남두오성님 블로그 Port Forwarding 없이 HA 외부접속, Cloudflare Tunnel&quot을 참고하여 주시기 바랍니다.2주정도 삽질 끝에 세팅 성공 했습니다. 키포인트는 Port Forwarding을 하나도 개방하지 않고도 HomeAs...그럼, 모두들 안전한 IoT 라이프 아이피숨기기 즐기시길 바라겠습니다!